いまや「商品」となった個人情報。
フェイスブックの大量データ流出発覚後も、学生の同意なしにリクナビが内定辞退率予測データを企業に提供していたり、Tポイントカードからユーザーの個人情報が裁判所の令状なしに捜査機関に流れていたり、事件は絶えません。
監視社会化が進展することによって脅かされる私たちのプライバシー。
個人情報を扱う日本企業では、どのように個人情報が管理されているのでしょうか。
共謀罪廃止のための連絡会は、今年6-8月に日本の大手企業51社に対してプライバシーの保護に関するアンケート調査を行い、11月7日に調査結果を発表しました。昨年、大手通信事業者13社に対して行ったアンケート調査を拡大し、複数の業界にわたる企業にプライバシーポリシーの運用の仕方、個人情報の扱い方についてさらに掘り下げて尋ねました。
世界的な監視社会化の潮流を踏まえたうえで、海渡雄一弁護士がアンケート調査の結果を参照しつつ日本のとるべき対策を論じます。
..........................................................................................................................................................................................
世界的な監視社会化の進展と日本の位置
海渡 雄一
一国の全国民の個人情報が流出する !
先日監視社会化をめぐるBS日テレの「深層」ニュースに出る機会があって、マイナンバーカードで、消費税増税分の還付が受けられるというシステムをはじめとして、監視社会の是非が議論された。世界的な監視社会化の流れは、趨勢であり、日本も乗り遅れないようにという論者もおられた。
しかし、そんなに単純な問題だろうか。最近こんなニュースも報じられている。日経新聞の9月18日の報道だ。
「【サンパウロ=外山尚之】南米のエクアドル政府は16日、国民ほぼ全員を含む約2000万人分の個人情報が海外に流出したと明らかにした。名前や個人識別番号、銀行口座残高を含む。同国のIT企業ノバエストラットがセキュリティーの不十分なサーバーに情報を保管していたことが原因のようだ。実害が出ているかどうかは不明だ。
この情報流出に気づいたのはサイバーセキュリティーの監視を手掛ける米vpnメンターだ。米国にある同社のサーバーに残されていた計18ギガバイトのデータは2000万人分の個人情報を含む。エクアドルの人口である約1660万人を上回るため、死者の情報も含まれているとみられている。
vpnメンターは「悪意のある集団が銀行口座などにアクセスするために十分なデータが流出した」と警告している。
エクアドルのモレノ大統領は16日、教育・スポーツ相と通信・情報社会相を配置し、事態収束に向けて取り組むと発表した。近日中に、個人情報の保護に関する法律を国会に送る。情報を流出させたノバエストラットの責任者に対し、許可なく個人情報を扱った疑いで当局が捜査を始めた。」
2000万人分の個人情報がわずか18ギガバイトという点に驚く。日本国民全体でも100ギガバイトもあれば、十分だろう。それが全部流出したらどうなるのだろうか。
人間を破滅に追い込むこともできるネット監視技術
世界的に監視社会の現状を俯瞰すると、アメリカのNSAが築いたプリズム、スパイのグーグルと呼ばれるXkeyScoreのシステムが存在している。スノーデン氏の告発によれば、NSAは、インターネット時代に即応し、プリズムと呼ばれるデジタル情報の世界的監視システムを構築し、SNSやクラウド・サービス、あるいはインターネットの接続業者など大手のIT企業9社のサーバーから直接網羅的にデータを収集していたという。この9社とは、Microsoft、米Yahoo、Google、Facebook、AOL、Skype、YouTube、Apple、Paltalkであり、NSAはこれらの会社の保有するサーバーなどに自由にアクセスすることができ、フェイスブックのチャットやグーグルの検索履歴、ヤフーメールなども傍受できたという。すべてのプライバシーを知るということは、その人物の経済的な弱点、秘密の異性関係、秘密の交友関係などを知ることができる。そして、その弱点を暴くと脅して言うことを聞かせることもできる。
NSAの傍受システムにはプリズム以外にアップストリームによる傍受として、光ファイバーケーブルの情報を収集するシステムとCNEの3種類がある。CNEは対象ユーザーのパソコンをマルウェアに感染させ、すべてのキーストロークや閲覧画面を監視できる。NSAは全世界の5-10万台のパソコンをマルウェアに感染させることに成功しているという。さらに、7月7日付ワシントンポスト紙によると、FBIは捜査のために、運転免許証のデータベースにある顔写真を無断で使っていた。犯罪歴のない運転免許保持者の写真も、本人に何も知らせないで、勝手に使われていた。顔認証カメラと連動すれば、監視対象の人物がどこにいるかを明らかにすることもできるのだ。
アメリカのネット監視技術は、アメリカ政府によるテロ対策の現場で用いられ、多くの個人を破滅のふちに追い込んできた。
民主主義の崩壊を招くビッグデータの売買
フェイスブックの集めていた個人データの蓄積が、重大な選挙の結果に影響を与えた事件が、ケンブリッジ・アナリティカ事件である。
イギリスのEU離脱をめぐる国民投票で、選挙キャンペーンを行う会社が、約8000万人分のフェイスブックの個人データを買い受けた。僅差が予測されていたが、選挙結果は、イギリスのEU離脱という結論となった。その背後では、この選挙コンサルタント会社が、個人の属性に即応したターゲット広告によって投票行動をコントロールしていた。
この件では、イギリスの情報コミッショナーが2018年3月にケンブリッジ・アナリティカ社の家宅捜索を行い、データサーバーを押収した。このデータはケンブリッジ・アナリティカ社の親会社であるSCLE社がフェイスブック社に27万ドルを支払って入手していたことが判明している。利用者のSNS上の行動から、個人をプロファイリングし、ターゲット広告を行うことによって選挙結果すら左右できることがあきらかになったのである。
究極的監視社会となった中国
他方で、中国は監視カメラとネット監視、スコア制度によって、急速に監視社会システムを構築し、これを発展途上国に売り込み始めている。中国全土に設置された監視カメラはすでに二億台、瞬く間に六億台に達するだろうと言われている。8月24日付の西日本新聞の報道(北京発川原田健雄とクレジットされている)によると、「世界120都市の防犯・監視カメラの設置状況について英国の調査会社コンパリテックが調べたところ、住民千人当たりのカメラ設置台数(設置率)が多い上位10都市のうち8都市を中国が占めた。」という。これらの監視カメラは顔認証システムと連動している。
(中国政府とセルビア政府の合意 Big Brother Comes to Belgrade “Foreign Policy” 2019.6.18)
米フォーリン・ポリシー誌2019年6月24日号に掲載された「ビッグ・ブラザーがベオグラードに来た」という記事によれば、2014年にベオグラードで子供のひき逃げ死亡事故を起こした犯人が、中国に逃亡し、セルビア当局が、中国に犯人の顔写真を送った。その後3日間で、中国国内に潜伏していたこのひき逃げ犯人を検挙したというのである。
この高い捜査効率に驚いたセルビア政府は、中国のファーウェイ社と契約し、今後二年間の間に、ベオグラード市内の800か所に1000台の高性能監視カメラを設置する計画を公表した。中国製のAI監視システムを買うことに決めた国は、ニューズウィーク誌(2019年4月24日)の調べによれば、すでに54か国に達しているという。
アメリカの世界的な監視システムから排除されている国々は急速に中国製の監視社会の導入に動いているように見える。こちらの方が、様子がよくわからず、その規制の困難である。
香港市民は中国型監視社会を拒否している
スマホの5G技術をめぐる米中の覇権争いが世界中で起きている。この争いは、先端IT技術をめぐる経済的な競争としての側面を持っているが、それだけでなく、世界的なデジタル監視システムの覇権をめぐる争いでもあるといえる。
中国ではウィグルやチベットの民族的少数派、労働組合活動家とこれを支援する学生たちなど政府の価値観と異なる思想を持つものは、徹底してマークされ、社会から排除されている。しかし、他方で、大多数の国民には、高いスコアをとれば、金利も下がり、ビザなども優遇される。顔認証決済で、手ぶらで何も持たなくても買い物ができるシステムとして歓迎されているのだという。
香港で一国二制度を守ろうとする市民は、明らかに中国政府から監視対象とされている。香港行政長官は10月4日緊急状況規則条例を発動し、立法院の手続を省略して覆面禁止法を制定した。デモや集会で覆面を禁じ、違反者には最高1年間の禁錮刑などを科す。監視カメラによる監視から逃れることが犯罪化された。これは国家緊急権による自由の圧殺だ。香港市民が逃亡犯条例に反対し、必死のデモを続けているのは、なぜだろうか。この中国の監視システムに呑み込まれてしまえば、自由を根底から奪われることを恐れているためであろう。世界的な監視社会との戦いの最前線が香港市民の闘いなのである。
プライバシー権によるネットの規制を求めるヨーロッパ
米中が監視社会における覇者を争う中で、EUはGDPRという規則によって、監視社会化を個人の尊厳、プライバシーによって法的に規制しようとしている。GDPRとは「General Data Protection Regulation」の略である。「一般データ保護規則」と訳されている。EUで1995年からEUデータ保護指令が有効であり、各国はこの指令を国内法化する義務を負っていた。しかし、GDPRは、規則であり、各国の国内法化を待たず、効力を持つ。GDPRは、2018年5月25日から施行されている。
GDPRにおける個人情報の処理については、IPアドレスやCookieのようなオンライン識別子も個人情報とみなされることとなった。企業は個人情報を取得する場合、自らの身元や連絡先、処理の目的、第三者提供の有無、保管期間などについてユーザーに明確に告知し、同意を得なければならないこととなった。勝手にCookieなどの方法で個人情報を集めてはならないのである。大量の個人情報を扱う企業はデータ保護オフィサーを任命しなければならないこととなった。個人情報を使用する目的を達成するために必要な期間以上に個人情報を保持してはならないことも定められた。そして、GDPRに違反したときには厳しい罰則が科されることとなった。最大で企業の全世界年間売上高の4%以下、あるいは2000万ユーロ以下のいずれか高い額の罰金が科されることとなった。EU域内の顧客に対して、ネット上で取引を勧誘するには、このGDPRに準拠することが必要になったのである。
日本の市民団体の調査によっても、日本企業はプライバシー保護に消極的
日本政府は、どのような監視技術を持ち、それをどのような要件で使用しているのか、明らかにしていない。アメリカの監視システムの端末は、日本の情報機関も保有しているようである。しかし、それがどのように使われているのか、政府は説明しない。
日本企業の多くは、EUのGDPRに準拠しようとしているようだ。しかし、今回、公益社団法人自由人権協会、特定非営利活動法人日本消費者連盟、国際環境NGO FoE Japan、国際環境NGO グリーンピース・ジャパンの4団体が、今年6月から8月に、51社に対して行った「プライバシーの権利に関するアンケート調査」に対して、51社中回答があったのは5社のみであったという事実に照らすと、アンケートを実施した四団体もプレスリリースで述べているように、「日本企業はプライバシーの権利保護に消極的である」と言わざるを得ないだろう。
四団体は昨年に引き続いて、今回は、
① 2018年に個人情報保護法が改正されたように、個人情報の保護やプライバシーの権利保護の要請が社会的な広がりをみせていること、
② レンタルサービス業者TSUTAYAを傘下にもつカルチュア・コンビニエンス・クラブ株式会社が本年1月21日付けで、「Tカード」の会員の個人情報を令状や本人の同意に基づかずに、捜査関係事項照会に応じて捜査機関に提供していたことを明らかにした後、会員の個人情報の取り扱いに関する基本方針が確定するまでの間は、捜査機関からの要請に対しては、令状に基づく場合にのみ対応する方針を示したこと、そして、同種の業態の企業が捜査関係事項照会に対して同様の対応をしてきたことが相次いで報道されたこと、
③ EUでGDPRが制定されたように、国際的にも個人情報保護の必要性が強く認識されるに至っていること等を考慮し、標記のアンケート調査を実施することとしたという。
この調査は、日本社会におけるプライバシーの権利の保護に関する現状を把握するとともに、プライバシーの権利を保護するための制度のよりよい進展を実現するためのものである。
そうした観点から、今回のアンケート調査は、特に、捜査照会事項などの個人情報開示要請への対応、個人情報を第三者に移転することへの本人の同意の取得、個人情報開示の実態に関する透明性レポートの発表、サービス利用停止後の個人データの消去に注目したという。
調査対象を前回よりも大幅に拡大して全51社(リスト参照も公表されている)に調査への協力を依頼した。しかし残念ながら、今回もまた、回答を寄せてくれた会社は前回とは異なる5社にすぎなかったという。
そして、5社すべてが、プライバシーの権利を保護するポリシーを公表しているものの、個々の項目について各企業の方針や実践はまちまちであった。確立した慣行は成立していないと見ざるを得ない。
4団体は、サービス利用者や顧客の個人情報を扱う企業に対して「個人情報の自己コントロール権」を尊重し、個人情報取り扱いの透明性を改善する具体的な取り組みを行うよう呼びかけているが、このような個人情報の取り扱いに甘んじていては、「GAFAに対する批判的な国際世論が高まり、デジタル時代におけるプライバシーの権利のより厳格な基準を確立したGDPRの制定といった潮流がある。こうした動きの中で、市民の信頼を得るに足るプライバシーの権利の保護の具体的な方針や実践を示すことのできない日本企業は、国際的な競争力を失っていくことが懸念される」と言わざるを得ない(四団体による11月7日付プレスリリース)。
日本はどこへ向かうべきか、我々は何をなすべきか/
日本版GDPRの立法化と公的情報も監督する個人情報保護委員会への拡充を !
日本にも、個人情報保護委員会がある。しかし、この委員会は企業情報とマイナンバーだけを管轄している。公的な個人情報が適切に管理されているかどうかを第三者的な立場で監督できる仕組みを欠いている。
そのような状況で、マイナンバーカードを健康保険証にしたり、ポイント還元に使うというのは、あまりにも危険性が大きすぎる。
まず、日本でも、日本版GDPRを立法化し、すべての公的な情報を管轄する権限を保障された個人情報保護委員会を作らなければならない。日弁連は、ずいぶん以前からそのようなシステムの必要性を訴えてきた。
2015年8月19日付の会長声明では、日弁連は「かねてから、専門性が高く、かつ、独立性の強い第三者機関によって、官民を問わず、プライバシーの侵害に対して強い指導監督権限を有する日本版プライバシー・コミッショナーの設立を強く求めてきた。そして、そのような制度がEU等の諸外国においてスタンダードとなっていることを指摘してきた(2014年2月21日付け「日本版プライバシー・コミッショナーの早期創設を求める意見書」等)。」「したがって、行政機関・独立行政法人等について総務大臣が監督する方向で検討することを直ちに改め、法改正後の個人情報保護委員会が官民を一元的に監督する権限を有する制度の創設を行うべきである。」としていた。
制度の遅れは決定的である。国会は憲法改正などを議論している場合ではない。災害対策も待ったなしであるが、プライバシー保護のための制度構築も急務中の急務だ。