ねとらぼ「予約キャンセルデータベースへの取材記事」に対するセキュリティ専門家高木浩光氏のツイート

ごあん @goan8jyo

昨日は、予約されたまま連絡無しでいらっしゃらない6名の方が。 何か理由があるのかもしれませんが、うちの様な小さなお店は潰れてしまいます。 せめてご連絡を。 飲食店全体の問題になっていて、無断キャンセル電話番号のデータベース登録が始まっています、ご注意ください。

ねとらぼ @itm_nlab

運営者と行政に取材しました 予約を無断キャンセルした客の番号を共有するサイト、注目浴びる　背景には飲食店の“泣き寝入り”事情 nlab.itmedia.co.jp/nl/articles/17… pic.twitter.com/imokYtsHB3

拡大

Hiromitsu Takagi @HiromitsuTakagi

かつてのネットメディアがプレスリリースをリライトするだけで、ちったあ当事者に取材しろやと苛立ったものだったが、最近のねとらぼは、当事者にちゃんと取材をして記事を書いており、新聞に勝るとも劣らないジャーナリズムを発揮しており、大変素晴らしいと感心しているのだが、しかし、この記事は…

Hiromitsu Takagi @HiromitsuTakagi

…この記事は、間違いが多すぎる。 twitter.com/itm_nlab/statu…

Hiromitsu Takagi @HiromitsuTakagi

これはサイト側の言い分だが、技術的に間違い。ねとらぼの見解として書いてしまっているのでダメ。 nlab.itmedia.co.jp/nl/articles/17… 「さらに暗号鍵とともに不可逆暗号化（ハッシュ化）して保存されているため、運営者が生のデータを見ても詳細を知り得ないシステムになっている。」

Hiromitsu Takagi @HiromitsuTakagi

一方向性ハッシュ関数について、元データを復元できないと言えるには、元データの値域が十分に広いことが前提。電話番号の場合、10億通り程度（30ビット程度）しかないので、簡単に復元できる（鍵付きハッシュの場合は鍵の保有者にとって）ことは、ハッシュの語を使う者は全員知っておくべきこと。

Hiromitsu Takagi @HiromitsuTakagi

「情報保護委員会」ではなく「個人情報保護委員会」 nlab.itmedia.co.jp/nl/articles/17… 「運営者と情報保護委員会　両者の見解」

Hiromitsu Takagi @HiromitsuTakagi

委員会は事業者を監督するが、行政を監督するというのは誤り。（匿名加工情報については行政機関についても所管するが監督ではない。） nlab.itmedia.co.jp/nl/articles/17… 「「個人情報の保護に関する法律」に基づいて行政や事業者を監督している機関・個人情報保護委員会の担当者に」

Hiromitsu Takagi @HiromitsuTakagi

委員会担当者の回答らしいが出鱈目。どんな担当者に聞いたのだ？ nlab.itmedia.co.jp/nl/articles/17… 「このように個人で運営しているケースですと、事業者しか規制の対象となりません。運営者がこのサイトを通して利益を得ようとしているのか、趣味の範囲か、それも大事な観点と…」

Hiromitsu Takagi @HiromitsuTakagi

この回答は委員会ガイドラインに明白に反している。 ppc.go.jp/files/pdf/guid… 「ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わない」

Hiromitsu Takagi @HiromitsuTakagi

続き 「なお、法人格のない、権利能力のない社団（任意団体）又は個人であっても、個人情報データベース等を事業の用に供している場合は個人情報取扱事業者に該当する。」

Hiromitsu Takagi @HiromitsuTakagi

その結果、出鱈目な解釈をねとらぼの見解として披露してしまっている。 nlab.itmedia.co.jp/nl/articles/17… 「サービスは電話番号しか登録できない仕組み、さらに個人が有志で非営利的に運営しているので、運営側が同法律に抵触する可能性は低いようだ。」

Hiromitsu Takagi @HiromitsuTakagi

この回答もひどい。nlab.itmedia.co.jp/nl/articles/17…「「サイトが電話番号しか確認できないシステムですと、法律の対象外になる可能性が高いです。名前や住所など個人が特定できるような情報がひも付けられていたら個人情報となる…電話番号だけ並んでいるとそうはなりづらいですね」」

Hiromitsu Takagi @HiromitsuTakagi

電話番号が単体で個人情報となるかは、一昨年の改正法案の国会審議で問われている。特に携帯電話の場合は個人が占有利用しているから個人識別符号とするべきではないかとの議論だったが、政府答弁は「法人契約の場合もあるから」というものだった。 takagi-hiromitsu.jp/misc/jpappi-am…

Hiromitsu Takagi @HiromitsuTakagi

この答弁は、逆に言えば法人契約でないものは個人情報と言える余地を残していると言うべきであろう。 takagi-hiromitsu.jp/misc/jpappi-am… pic.twitter.com/Ei8WlD6FyL

拡大

拡大

拡大

拡大

Hiromitsu Takagi @HiromitsuTakagi

一覧できないならいいじゃん検索だけなら問題ないだろ的な声も出ているが、これは法の趣旨を漏洩対策に矮小化して捉えていると陥る典型的な誤解で、法の趣旨は、誤った情報に基づく自動処理により個人が不当に扱われることの防止こそにある。 twitter.com/sanakichi_love…

さなきち🌽 @sanakichi_love

一覧を見ることが出来ないならいいんじゃない？　登録と検索だけでしょ？ 予約を無断キャンセルした客の番号を共有するサイト、注目浴びる　背景には飲食店の… nico.ms/nw2866180 #niconews

2017-07-08 17:26:59

Hiromitsu Takagi @HiromitsuTakagi

ブラック個人リストの適正な運用は正確性の確保（19条）、開示（28条）、訂正等（29条）、利用停止（30条）によって規律される。 これは、以前から話題になっている顔識別カメラによる万引き犯検知システムに求められる規制と同じであり、カメラに規制が及ぶならこれも同様にするべきだろう。

Hiromitsu Takagi @HiromitsuTakagi

ねとらぼは委員会のどこに取材したのか。おそらく「個人情報保護法相談ダイヤル」ppc.go.jp/application/pi…に聞いただけでは？ ここはヘルプデスクみたいなところで、コールセンター同様、いい加減な回答が出る恐れがある。新聞記者ならならここを頼りに記事にしたりはしない。

Hiromitsu Takagi @HiromitsuTakagi

「担当者」のこれも素人レベルだ。 nlab.itmedia.co.jp/nl/articles/17…「法律で個人情報を取り扱う事業者は…外部に提供することは禁止されているのです。このサービスですと店側はお客さんから許可をもらわずに登録することになるので、このあたりで問題が発生する可能性がありますね」

Hiromitsu Takagi @HiromitsuTakagi

第三者提供が制限されるのは、データベース化された個人データの場合であり、店側がここに電話番号を登録するとき参照するものが予約メモ程度のものであれば、個人データの提供に当たらない。 twitter.com/hiromitsutakag…

Hiromitsu Takagi @HiromitsuTakagi

店が予約データベースを構築している場合には、電話番号の外部登録は第三者提供制限（23条）違反となるわけで、むしろそこを真っ先に強調して回答するべきところだろう。改正法施行直後なのだから、提供時の記録義務（25条）にも触れて然るべき。 twitter.com/hiromitsutakag…

Hiromitsu Takagi @HiromitsuTakagi

このように、この担当者見解は素人電話係のものと見るべきだが、改めて本件の個人情報取扱事業者該当性について言うと、法の趣旨はブラックリスト運用の適正化にあり、このサイトが悪質な個人を識別しようと企図していることは明らかなのだから、「個人情報として扱われている」と言うべきものだろう。