2012-05-14

武雄市図書館問題 個人の特定は誰にでも起こりうると言う話

偏差値3でもわかる!武雄市図書館問題

http://anond.hatelabo.jp/20120511124327

論点1,論点2について。

レアケースとして、難病、特殊な性癖等、それ単体で自分で珍しい属性と思えるよって個人の特定が発生するという話になっています。人に寄っては「自分はそんな特殊な属性なんか持ってないその他大勢だから問題ない」と考えている人がいるかもしれませんね。また、武雄市市長

僕が言っているのは、「5月6日20時40分、42歳の市内在住の男性が、「深夜特急」「下町ロケット」「善の研究」」を借りた。」ということそのものについては、個人が特定できない

と述べています。(http://hiwa1118.exblog.jp/15827483/)これを見て「この程度の属性ならば個人情報は特定できない。安心だ」と思っている人も多いかも知れません。

が、実際にはそんなこと無く、普通属性の人でも、いくつかの条件を組み合わせていくと簡単に個人が特定できるよと言う話をします。図書館からCCCに対して、上記武雄市市長が挙げている情報が渡ると仮定した場合、ある程度の行動に法則性がある人であれば、かなりの確率で個人の特定ができます

例えば、

これらはみな高確率で本人の特定が可能です。

簡単に言うと

  1. 深夜特急を借りた
  2. 下町ロケットを借りた
  3. 善の研究を借りた
  4. 42歳
  5. 市内在住
  6. 男性

これらはそれぞればらばらには該当する人間は多数いますしかし、これが組み合わさると(さら5月6日20時40分に図書館を利用、タイムスタンプ情報が組み合わさると)どんどん対象は絞り込まれていきます非常に尖ったそれ単体で個人を特定できる様な属性がなくとも、複数の属性が一致する人というのは少ないため、さらにそれを通常のTカード利用履歴データと照合すると、本人の特定ができてしまと言う事です。

一番分かり易い例から、以下に順次説明しましょう。

なお、私も武雄市の市政の問題と言うより、プライバシーセキュリティの問題にのみ関心があるので、以下は架空の市「武雌市」を舞台としておきます

学校帰りで本を借り、通学路経由のファミマで大抵買い食いをする人の場合

武雌市立中学校に通う武雌太郎君(14)は、学校帰りに図書館に寄ることがあります。両親共に仕事が夕方シフト仕事帰宅も遅く食事も遅いので帰宅途中にあるファミリーマート軽食を買って帰るのが日課です。

ある日、太郎君は図書館で本を借りました。この場合図書館から出て行く情報は、仮に以下の様になるとします。

△月○日16時32分、14歳の市内在住の男性が、『暗黒神話体系シリーズ クトゥルー 第1巻』『這い寄れ!ニャル子さん(1)』を借りた。

次に彼はいものようにファミマで買い物をします。するとこちらは以下の様な情報が記録されると思われます

△月○日16:48分

会員IDxxxxxxxxx

購入品目

当然ながら後者ファミマの利用履歴にある会員IDを照合すると、登録時に申告した個人情報、氏名や年齢、住所、電話番号などと結びつきます

この時、時間16時台で、年齢14歳男性武雄市内または周辺で使われたTカード履歴』と言う、図書館から得られる範囲の条件でTカードの利用履歴からデータを引き出してみます。利用状況にも寄りますが、この時点で確率的にそんなにたくさんが引っかからないと思われます。まず武雌市の14歳男性国勢調査によると約300人でした。さらにこの中から、16時台に武雄市周辺でTカードを利用した人というのはどれだけのいるのでしょうか。

さらに「クトゥルーニャル子さんを借りている事から、彼はオタクが好むアイテムを購入している可能性がある」としたとき、ヴァイシュスバルツ(アニメゲームなどのキャラクターを題材にしたカードゲーム)を購入しているので引っかかります。こうなると、ほぼ間違いなく誰が借りたか特定ができてしまうでしょう。このオタク属性等と言うのはレア属性でもなんでもありません。またこの他、例えばここで車好きでもいいし、スポーツ好きでもかまいません。そう言うありふれた属性で良いのですが、年齢と性別、時間地理という条件が重なると、絞り込みの条件になって、特定がより簡単になっていくのです。

次に彼がまた同じ行動をとったとします。

図書館で本を借りて、ファミマで買い食いして以下の履歴が残りました。

△月×日16時28分、14歳の市内在住の男性が、『暗黒神話体系シリーズ クトゥルー 第2巻』『這い寄れ!ニャル子さん(2)』を借りた。

△月○日16:48分、会員IDxxxxxxxxx

購入品目

この時、前回と同じ条件『時間16時台で、年齢14歳男性武雄市内または周辺で使われたTカード履歴』でTカードの利用履歴情報を引き出します。さらに、これを以前の記録の中から、ほぼ同一の行動パターンをとっている人物を引き出してきます。すると、ほぼ一人が浮かび上がってくるのではないでしょうか。

この時点で逆のアプローチが可能になります。つまり『会員IDxxxxxxxxがファミマを利用するとき、同一の属性の人物が同じ時間帯で図書館を利用している場合、高確率で同一人物である』と言う事が言えるようになります。これでファミマで利用が合った時、図書館から出された情報検索すれば彼の利用履歴が作れる事になります

さらに何回も似たような行動を繰り返します。するとどんどん彼の行動パターンができあがっていきます。行動パターンの積み上げにより太郎君を特定するための情報がどんどん積み上がっていきますこうして積み上がった情報から、例えば彼がファミマを利用しなかったとしても特定が可能になっていくでしょう。「16時台に、同一シリーズニャル子さん4巻を借りている。履歴から照合すると高い確率で会員IDxxxxxxxxの情報である」と判断することができる様になっていくのです。

次に、もう一つのケースを例にしてみます

毎週火曜日は定時退社日。この日は会社帰りで買い物をしたり所用を済ませている。たまに図書館も利用する。

武雌市内にある和平電機につとめている女性小町花子さん(29)。在所は隣接する小町町で、勤務先の和平電機は毎週火曜日がノー残業デー、定時で退社する日と決まっています。協定でいつも1時間程度は必ず残業があるお仕事ですが、この日は17時に退社できるので、いつもこの日に用事を済ましています

彼女節約上手なのでポイントカードの提示を忘れません。Tポイントカードも例外ではなく、たくさんポイントを貯めるためにあちこちでポイントカードを使っていました。勤務先のある武雌市の図書館も利用しています

この条件の場合、上記太郎君の場合パターンでも特定が可能ですが、実はさらそれより一発で特定ができてしまう可能性があります。それは、普段が彼女がTカードを使って作り上げた、行動パターンがあるから

花子さんの利用履歴では、最近カメラのキタムラで高価なカメラを購入している情報地元TSUTAYAカメラ関連の本を購入していたりする履歴があると、花子さん最近カメラはまっているようだ、と言う事が見えてきます。またガストではドリンクバーは2つのことが多いだとか行った情報から2人暮らしである事、一度名義を変更していることから結婚している事、ウエルシアでは愛犬用の用品をよく買っている事、などから犬を飼っている事、等々、どんどん情報が見えてきます

これらの情報図書館の貸し出し情報と照らし合わせます

△月×日17時20分、29歳の小町町在住の女性が、『デジタルカメラ入門 -2- 愛猫、愛犬を撮る』『なぜか夫婦がうまくいく3つの習慣―二人の危機を救う本』を借りた。

この時Tカードデータベースからデジカメ好きの30前後女性ペットを飼っている。既婚者』という検索条件で検索した場合花子さんのTカード利用情報から情報と、図書館の利用履歴の両方が抽出される事になります

ここから小町町の住人の29歳女性、と言うカテゴリで見ると、ほぼ間違いなく同一人物の情報だという事が分かる事になります。ちなみに小町町に在住する29歳女性国勢調査によると約40人でした。

ここで彼女のTカード情報には「図書館利用者である」という属性が蓄積される事になります。この後は豊富に蓄積された情報を元に、彼女図書館利用履歴のトラッキング比較的簡単に、高精度にできることになります

興味があることがあったので、Yahoo!を使って調べていたが詳しい事が分からない。そこで図書館で調べ物をして本を借りた。その後Yahoo!でその本の内容を元にさら検索した

武雌市に在住の、武雌和也さん(41)は、最近母親難病にかかってしまいました。何しろ情報が無いのであらゆる手段を使って調べていますYahoo!検索して見たりしているのですが、欲しい情報が見つからりません。普段は全然利用していませんが、思い立って図書館に行ってみることにした。図書館では興味深い話を見つけましたが、情報が若干古いのでさらYahoo!検索をして新しい情報も仕入れたりもしています。ちなみに和也さんは、普段は奥さん任せでほとんど買い物などはしない人です。

和也さんの場合ほとんどTカードを提示する機会は無い人ですので情報が少なくて照合などできないように見えます。が、ここで出てくるのがYahoo!IDです。和也さんは以前、Yahoo!趣味釣りの道具を購入したことがありました。その時、市が図書館カードとしてアピールしていた時に惰性で作ったTカードと結びつけを行っていました。

それによって、Yahoo! IDにTカード情報が結びついている状態になっていたのです。

実はこのように、Tカードというのは非常に広範囲に利用域が広がっています。一度しか使ったことが無くても、使用した時に別のIDと結びつくような形になっているのであれば、TカードIDのものを利用しなくても、芋づる式に情報がつながってしまうと言う事が起きます

これらを踏まえ、個人の特定を避けるには?

Tカードは絶対に図書館以外で使わない、と言うのが一番シンプルです。図書館専用のTカードと、図書館以外のTカードを別けてもあまり意味がありません。Tカードによって記録されるデータベースに、図書館以外の部分で乗るような事をしてはいけません。従って、今、Tカードを利用している人が、図書館でTカードを利用し、尚且つTカード図書館データを結びつけたくない人は、どちらかあきらめる事が必要です。図書館をあきらめるか、Tカードの利用を停止するか、どちらかになります。すでにTカードを利用しながら、結びつけたくない人は、図書館にて利用を開始する前に、一度CCC個人情報保護法に基づく情報削除を依頼しておくことも忘れてはいけません。

想定される論点

おそらくこれらの指摘に対しては

と言う異論がでるものと思います

情報分析については、コンピュータの大容量化高速化によって不可能ではなくなりつつあります。近頃「ビッグデータ」処理システムなどを用いることによって実際に行われています

これが「容易に」と言えるかどうかと言う事になるのですが、個人的な見解としては容易だと言って良いと思います。完全にデータベース上だけで照合が完結できてしまうと言う時点で、後はリソースの問題であるからですコンピュータリソースなどは数年もたてば倍にと言った世界です。そして毎回膨大なデータを処理しておかなくても、あらかじめデータをあらかじめ整理してあれば、許可を受けた店舗マーケティング担当者レベルでも情報を引き出せるようになるでしょう。さらに言えば、観覧したい個人がすでに決まっていて、本人を知っている場合(標的を絞っている場合)はもっと簡単に情報を引き出せます。そこにダイレクトに個人を特定するID名前も含む)が含まれているかどうかは関係ありません。

また情報を際限なく結びつける事を許さないので問題ない、と言う話についてはまず、Tカード利用規約がすでにそれを許す形になっていることがあります。もちろん企業の内規等でそれができないようにしている可能性はありますしかし、そこは行政が直接的に知る事も、コントロールする事もできません。何しろTカードの加盟店は膨大ですのでそれら全てに行政が行うべき情報保護に対する規律を求める事ができるのか、と言うと不可能でしょう。

であれば、共通的にTカード規約を変更する等が必要になるでしょう。また技術的な原則論を超えて、特別な条例を作ってそれによってCCCを縛る事をするだとか、そういった政治的解決法はありますしか裾野が広いだけあって、規約だけでは駄目で、実際には不可能な形にしておかないと不十分である、と私は思います

これはプライバシー問題の特殊さ、難しさが絡んでいますプライバシー問題の難しさは、観覧された時点ですでに侵害が発生しており、さら原状回復が不可能である(予防しかない)事、さらに発覚しにくいためです。

ちなみにこれは、公共サービスをそのような民間ベースID認証に付け加えると、毎回このような情報の取り扱いについて問題が発生していくことになりますし、それらが適正に処理されているかの確認は行政側が行わなければなりません。住基ネット住民票コードが民間利用禁止されているのもこう言った難しい問題があるからです。

次に「これらの事は民間ではすでに当たり前である」という話もあります。何を今更、と言う事ですね。これは全く持ってその通りで「俺はそうであっても気にしない」と同じような立場になりますしかし、事問題が行政サービスに関わる事であると言う事を忘れてはなりません。また、気にする気にしないと言う話は本質的には個人情報かどうかには直接関係はしないと思います

まとめ

もはや落としどころとしては、Tポイントカードを単なるユニークIDが振られたカードとしてのみ図書館で利用する形にするしかないと思います情報の流れを一方通行にする。図書館からは一切CCC情報を渡さない事ですね。

ではポイントの付加はどうするのか、と言う事になりますが、これはあきらめるか、さもなくば独立したシステムポイントを加えるしかないでしょう。これでも「このID図書館を利用した」という情報は発生することになります。これも解釈によっては個人情報ですが、独立したシステムにすることによって、情報を渡したくないかポイントをつけない、と言う選択肢も可能にするべきです。当然Tカード以外のカードでも利用可能になっていないといけません。

こうなると「図書カードとTカードを別々に持つ必要がない」程度しかメリットが残りませんが仕方が無いでしょう。

最後に。セキュリティ論じゃないところに踏み込むと…正直CCC戦略を誤ったとしか思えませんね。Tカードの話なんか出さなけりゃ良かったんですよ。あとポイントも。分かり易いメリットのつもりで市長に売り込んで、市長がそれを大々的に宣伝してこうなったのです。本を買わずレンタルで済ます層の情報に商売としてのうまみがそれほどあるとは思えませんし。CCCグループTSUTAYAを始めとした幅広い販売チャンネルから得られるPOS情報に、自前の取次MPD、流用出来るノウハウなども多数持っているんだからそっちで責めれば良かった。その上で競争入札に入れば良かったんですよ。

確かに「Tカードを全面に出さなければならなかったと言う事は、その他のメリットがなかったためでは?」と言う話はありますけど、それならば他の既存の業者を選んだ方が市のためになるわけですから今より悪い事にはならないはずです。

追伸

きちんとセキュリティの事を勉強した人間ではありませんので、専門の人、お時間があればツッコミをお願いします。

記事への反応 -
  • 目次 今回の問題 1分でわかる論争の要約だよ! 論点1 現行の「個人情報」の解釈が遅れているか否か問題 論点2 CCC(TSUTAYA )の管理する「IDに紐付いた貸出履歴が個人情報に該当す...

    • 偏差値3でもわかる!武雄市図書館問題 http://anond.hatelabo.jp/20120511124327 論点1,論点2について。 レアケースとして、難病、特殊な性癖等、それ単体で自分で珍しい属性と思えるよって個人の...

    • 偏差値3ってどういう成績の分布をしてるの?

    • で、この件でひろみちゅは何したかったんだ。 責任者である市長にケンカ売って意固地にさせて、この問題を硬直化、袋小路に追い込みたかったのか。 増田だから書くが、CCCの担当者ぼ...

      • 図書館がどういうものかわかってない市長に十分な説明ができなかったCCCのケツ持ちご苦労さん。

      • CCC「市長はおだてて持ち上げながら柔らかく説得しないと納得しないのにあんな言い方するなよ、へそ曲げちゃったじゃないか。どうしてくれるんだ、高木」 ってことですか?

      • TSUTAYAの会員DBとの連携は最終的には最小限且つ形だけのものにしようと画策 担当変わったら、変わるような会社の方針を第3者が信じるわけ無いだろ。 それにそもそも、並行して皆指...

        • 連動させることがサービスとしてどのように評価されるか次第だから、競争がどうのというのは無意味な指摘。 ただ、入札は必要だろう。

        • http://anond.hatelabo.jp/20120512021526 . 最初、俺もツタヤを利用できるものとして 「で、ツタヤユーザーの市民にとっての最大メリットはポイントではなく更新料が不要になる点だと思う。」 「...

      • 何がしたいって、現状維持だろ。 どこぞのリーガルハイじゃないが、世の中には人権派弁護士が居るように、純粋な社会正義や個人情報の保護を目指す人もいる。 商標権の審査が降りる...

    • 高木先生のやり方も、毎回問題ある。 なんやらよく解らない専門用語(UID、MEIDやら)を出してきて、お前らは悪だ!今すぐ死ね!という勢い。 そして、その背後には数万のフォロワー ...

      • 武雄市長のやり方も、毎回問題ある。 なんやらよく解らない脅し文句(政治家、職場上司やら)を出してきて、お前らは悪だ!今すぐ死ね!という勢い。 そして、その背後には数十の...

      • >もはや、地方図書館は個人情報を切り売りしていかないと成り行かない状況というのを解ってあげないと。 え?! 個人情報をやっぱ売るつもりなの?! そりゃビックリ やっぱ市...

        • 何というか、いい意味での自由主義の気風が本格的に無くなりつつあるのを感じるなぁ。 資本主義も自由主義の気風を失うと、社会主義や共産主義と大差ありませんぜ・・・。

        • 何というか、いい意味での自由主義の気風が本格的に無くなりつつあるのを感じるなぁ。 資本主義も自由主義の気風を失うと、社会主義や共産主義と大差ありませんぜ・・・。

        • 何というか、いい意味での自由主義の気風が本格的に無くなりつつあるのを感じるなぁ。 資本主義も自由主義の気風を失うと、社会主義や共産主義と大差ありませんぜ・・・。

    • http://anond.hatelabo.jp/20120511124327 偏差値3となると、4.7σだから約77万人に一人の低学力。このレベルになると読み書きどころか日本語による意思疎通すらできんぞ?

    • http://anond.hatelabo.jp/20120511124327 武雄市長の主張は確かに筋が通っています。つまり、現状ではTカードに紐付いた貸出履歴・行動履歴は「個人情報」に該当しないと述べることができます...

      • 横からだが、まとめると そこに、匿名だが、継続的な履歴管理用のIDが振られるだろ。その匿名管理用のIDとCCCのカード番号の組み合わせが、論理的に照合不能であることを証明せよ。と...

    • 今年度 総合 タイトル ブクマ数 日付 カテゴリ 1 (14) 先日倒産したメモリメーカーの友人と飲んできた話 2085users 2012/02/29 コンピュータ・IT 2 (15) "Hello world!" ...

    • 今年度 総合 タイトル ブクマ数 日付 カテゴリ 1 (14) 先日倒産したメモリメーカーの友人と飲んできた話 2085users 2012/02/29 コンピュータ・IT 2 (15) "Hello world!" ...

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん