Re: 鉄道業界に個人情報を任せられるのか

Business Media 誠:杉山淳一の時事日想:鉄道業界に個人情報を任せられるのか (1/6)(bizmakoto.jp)という記事を読みました。日立製作所がSuicaの履歴情報を使ってビッグデータ解析を行う(www.hitachi.co.jp)とした件ですね。

杉山氏の主張を要約するとこんな感じでしょうか。

  • JR東日本を批判している人は「個人情報」を正しく理解していない。
  • 批判は過敏な人々による感情論で行われており、JR東日本は気の毒。
  • Suicaの発行枚数4000万、利用件数月間1億件の膨大なデータの中からIDを使った個人特定などまずやらないし、それはIT界の常識。
  • 飲料自販機の顔認識が問題にならずに、今回の件だけ問題視されるのはおかしい。
  • プライバシーマークがあれば安心。JR東日本はPマークを取得し、他鉄道事業者の手本になるべし。

JR東日本が日立製作所に情報提供することの何が問題か

ただし、JR東日本はその部分に慎重で、個人が特定できる情報は販売していない。「JR東日本が無断で個人情報を提供した」とは、いわれなき批判だ。

Business Media 誠:杉山淳一の時事日想:鉄道業界に個人情報を任せられるのか (1/6)(bizmakoto.jp)

本件に関して、私が問題だと思っているのは以下の2点です。

  • 利用者の事前の同意なく提供をしようとした。
  • 直前に日立製作所からリリースがあり、批判が集まったから希望者は除外できる措置が執られたが、そうでなければすべての利用者が強制的に対象となっていたのではないか。

そして「JR東日本が無断で個人情報を提供した」というのはいわれなき批判どころか事実と思います。日立に提供されるデータには生年月、性別、乗降駅名、利用日時が含まれるようです。とすると、特徴的な乗り方をしている人や、利用客の極端に少ない駅の場合は、他の公開データ(TwitterのつぶやきやFoursquareのチェックイン情報など)と紐づけて個人を特定できるケースもあるのではないでしょうか。実際には利用者が少ない駅は対象から外すと言っていますし、他の面でも配慮が成されているようですが、それはあくまでデータが渡った後の日立側の運用の話。

日立製作所を信用していない人がデータを提供したくないと思ったり、そこまででなくとも不安を覚えてJR東日本を批判する行為を「いわれなき」と非難される筋合いはないと思います。

Suica ID変換のアルゴリズムは非公開?

JR東日本はSuicaのID番号を別の番号に不可逆変換したと説明した。

(中略)

不可逆変換とは、「変換の手順を公開しないから、返還前の元のID番号は分からない」という意味だ。

Business Media 誠:杉山淳一の時事日想:鉄道業界に個人情報を任せられるのか (1/6)(bizmakoto.jp)

JR東日本が不可逆変換だと説明した、というのは7月に公表されたSuica に関するデータの社外への提供について(PDF)(www.jreast.co.jp)の以下の部分のことと思われます。

(2) SuicaID 番号を他の形式に変換した識別番号は、元のSuicaID 番号に復元できないようにしており、氏名や連絡先と紐づけることができません。また、特定のSuicaのデータを長期にわたって追跡できないようにしております。さらに、他のデータと紐づけたり、提供データから個人を特定する行為は契約で厳格に禁止しております。

ここやPDFの最後にある「資料2 日立製作所へのデータ提供の流れ」を見ても、変換の手順を公開しないなどとは書いていないのですが、本当にそうなのでしょうか。

そもそも手順が公開されるか秘密かは利用者にとって気にする必要のないことで、元に戻せなくなっていればそれで良いですよね。むしろ、危険なアルゴリズムになっていないか第三者が検証できるという点において、手順は公開される方が望ましい気がします。

Suica IDの使用用途

そもそもSuicaのIDを使って、第三者が利用者を特定しようと思うだろうか。極端な例を出すと、殺人事件の現場にSuicaが落ちていたら、遺留品として警察が情報の開示を要求し、裁判所が礼状を発行するかもしれない。それほど特異な案件でもない限り、鉄道会社の内部処理以外でSuicaのIDなんて使わない。

Business Media 誠:杉山淳一の時事日想:鉄道業界に個人情報を任せられるのか (2/6)(bizmakoto.jp)

Suicaに限らず、カードのIDを当該事業者以外に提示するケースは日常生活においてごまんとあります。去年はPASMOの「マイページ・PASMO履歴照会サービス」が話題になりましたよね。

私はSuicaもPASMOも持っていませんが、日常生活において厳密さを求められない本人確認では身分証明書の代わりに会員証や図書館カードなどで代用することがあります。なぜならIDは秘密情報ではなく、第三者に提示しても本来は問題ないものだからです。

一方で、IDと生年月日など公開情報のみでログインできるような不適切なシステムが存在すると悪用されることは充分想定されますし、PASMOの時も浮気調査などに使えるといったことがありました。まさにIDを使って、第三者が利用者を特定しようと思う例ですね。

ただ今回のSuica履歴情報の件では、生IDが日立に渡るわけではないのでこのような心配は無用と思います。

顔認識の自動販売機

なぜ飲料自販機は問題にならず、日立製作所への提供は取り沙汰されたのか。他社への販売だからだろうか。

(中略)

個人情報について理解の低い人たちの声が目立ち、それを個人情報に関する知識の低いメディアがあおったからではないか。

Business Media 誠:杉山淳一の時事日想:鉄道業界に個人情報を任せられるのか (4/6)(bizmakoto.jp)

私は例の自販機を使ったことはないので詳しいことは分かりませんが、当初は顔認識をしている旨の表示があったようですね。

無断でやればそれは批判されるでしょう。去年もこんなニュースがありました。

YOMIURI ONLINEの記事ですが、既に閲覧できない状態ですので Internet Archive にリンクします。

もっとも、顔認識自販機についても表示を取り止めたとのことで問題視されていますね。自社か他社か、という以前の話です。

Hiromitsu Takagi (@HiromitsuTakagi) 2012年11月29日 10:25(Twitter)

プライバシーマークを取れば安心?

個人が関わるデータを集積したビッグデータを扱う企業が、個人情報に過敏な人々に理解を求める方法はある。その企業が個人情報について正しい見識を持ち、安心してデータを渡せる存在になることだ。その具体的な取り組みのひとつとして、「プライバシーマーク(Pマーク)」がある。

Business Media 誠:杉山淳一の時事日想:鉄道業界に個人情報を任せられるのか (5/6)(bizmakoto.jp)

プライバシーマークですか…。3年前の岡崎市立中央図書館事件、いわゆるLibrahackで図書館システムを開発・管理していた三菱電機インフォメーションシステムズ(MDIS)もPマークを取得しており、事件後も更新(togetter.com)されたことがありましたね。

杉山氏は鉄道事業者はどこもPマークを取得していない。これでは「鉄道会社の個人情報に関する認識は低い」と思われても仕方がない。と仰られていますが、Pマークを取得しているという事実だけで、利用者が安心できる基準となるかは大いに疑問です。ましてやPマークを取得していないから個人情報に関する認識が低い、などということはないでしょう。あえてPマークの更新を取り止めた事業者もあるようですし。