「IPアドレスは『個人情報』を特定できないから漏えいしても心配ないよね」

2020年8月16日 01:25

はじめに

IPアドレスの件で賑わっていますね。

Twitterでは、IPアドレスが個人情報かどうかとか、IPアドレスが投稿者のものだったと公表するべきだったかどうかとか色々な意見を見ました。

諸先生方の解説が既にありますので重ねて説明するのもn番煎じ感がありますが、「情報セキュリティを物語の形で伝える」という活動をしていますので、個人情報保護法上の個人情報の定義を知っておくことの大切さや、サービス提供側の心得として何が大切かということについて、作品としてまとめたいと思います。

『もし京姫鉄道で同じようなインシデントが起きたら』という設定で、書いてみようと思います。標記のインシデントを参考にはしていますが、もちろん架空の設定ですので、細かい点は実際のインシデントとは異なります。

4コママンガにする予定ですが、ちょっと時間がかかるので先行して執筆中の脚本を先に公開します。内容について問題等があれば、ご指摘いただければ幸いです。

完成版と解説が＠ITに掲載されました

(続きは9/4掲載予定）

漫画ネーム（下書き）

脚本（改稿前）

＜1 ＞
芽依「大変だ、アカネちゃん！」
芽依「うちのサイトで漏えいしたって！」
芽依「京姫鉄道ツアーのレビュー投稿ページで、投稿者のIPアドレスが」
アカネ「へい、毎度」
--
アカネ「で、広報的には何て発表するんです？」
芽依「『IPアドレスからは本名や住所などの個人情報を特定できないから大丈夫』って」
--
アカネ「事前に相談してくれてありがとうございます。よしよし」
芽依「嬉しいけど、何か嬉しくない！」
--
アカネ「その対応には、まず二つ問題があります」

1．『個人情報』を誤解していること
2．利用者がリスクを低く誤認する可能性があること

アカネ「まず、法律上の『個人情報』って何か知っていますか？」

＜2＞
アカネ「これが件の投稿記録です」
アカネ「この中で『個人情報』はどれでしょう」

===投稿記録===
投稿ID: 1234
投稿日時: 2020-08-01T15:30:24.235Z
氏名（非公開）：高輪　彁
住所（非公開）：兵庫県◯◯市◯◯町◯丁目◯番地
ニックネーム：リンゴLOVE
IPアドレス（非公開）： 203.0.113.12
コメント：この宿は、食べきれない量の料理が出てきます。廃棄されるのは勿体ないので、意地で全部食べました。美味しかったです。（※個人の意見です）
=======

芽依「氏名と住所……かな？」
芽依「一般的なIPアドレスは個人を特定できないから個人情報じゃないって法務に聞いたし……」

アカネ「相談ありがとうございます。よしよし」
芽依「うん、不正解っていうのは分かったよ」

アカネ「実は、これ全部が個人情報なんです」
芽依「全部!?」

アカネ「個人情報の定義を見てみましょう」

＜3＞

個人情報の保護に関する法律
第二条　この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一　当該情報に含まれる氏名、生年月日その他の記述等（略）により特定の個人を識別することができるもの（略）

芽依「ほら、氏名って書いてある」

---

アカネ「たいていの人はそこで誤解するんです」
芽依「誤解？」

---

アカネ「『氏名が個人情報』という先入観を捨てて、きちんと読んで下さい」

---

アカネ「個人情報は、『個人に関する情報』なんです！」
芽依「何か有名人っぽい」

＜ 4＞

アカネ「この投稿記録自体、『個人に関する情報』だと思いませんか？」

芽依「うん。個人の意見だし」

---

アカネ「そして、『当該情報に含まれる氏名……等の記述により、特定の個人を識別することができるもの』ですね？」

===投稿記録===
投稿ID: 1234
投稿日時: 2020-08-01T15:30:24.235Z
氏名（非公開）：高輪　彁　
住所（非公開）：兵庫県◯◯市◯◯町◯丁目◯番地
ニックネーム：リンゴLOVE
IPアドレス（非公開）： 203.0.113.12
コメント：この宿は、食べきれない量の料理が出てきます。廃棄されるのは勿体ないので、意地で全部食べました。美味しかったです。（※個人の意見です）
=======

芽依「うん、氏名や住所が書いてあるし、識別できる」

---

アカネ「はい。だから、この『個人に関する情報』――つまり、この投稿記録自体が、法律上の『個人情報』に該当するわけです」

===投稿記録===
投稿ID: 1234
投稿日時: 2020-08-01T15:30:24.235Z
氏名（非公開）：高輪　彁
住所（非公開）：兵庫県◯◯市◯◯町◯丁目◯番地
ニックネーム：リンゴLOVE
IPアドレス（非公開）： 203.0.113.12
コメント：この宿は、食べきれない量の料理が出てきます。廃棄されるのは勿体ないので、意地で全部食べました。美味しかったです。（※個人の意見です）
=======

芽依「何と！」

---

アカネ「氏名、住所、IPアドレスは、個人情報である『投稿記録』の一部です」
アカネ「だからこそ、個人情報の一部なんです」

芽依「何か有名人っぽい」

＜5＞

アカネ「氏名等は、むしろ、ある情報が個人情報に該当するかの要件と理解する方が正確です。大切なのは、個人情報の要件を満たした情報の方なんです」

---

芽依「つまり、投稿記録そのものが個人情報だから、IPアドレスから『個人情報』を特定できない云々っての自体が的外れなんだね」
アカネ「はい。意味を成していません。このケースでは、IPアドレス自体が個人情報の一部なのですから」

---

アカネ「確かに、大抵はIPアドレスから個人の特定は困難ですし、IPアドレス単体では、個人情報に該当するとは限りません。それは法務の人が言うとおりです」

---

アカネ「でも、今回は投稿記録が個人情報である以上、それに含まれるIPアドレスは、個人を特定可能かどうかに関わらず個人情報の一部なんです。」

芽依「なるほど」
芽依「法務の人への聞き方が悪かったのかな……」

＜6＞

アカネ「ちなみに、条文には続きがあります」

（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

---

アカネ「つまり、たとえ、投稿記録自体に氏名や住所が含まれない場合でも、容易に照合できるなら個人情報に該当します」

===投稿記録===
投稿ID: 1234
投稿日時: 2020-08-01T15:30:24.235Z
ニックネーム：リンゴLOVE
コメント：この宿は、食べきれない量の料理が出てきます。廃棄されるのは勿体ないので、意地で全部食べました。美味しかったです。（※個人の意見です）
=======

↑↓容易に照合出来る

===アクセス記録（非公開）===
投稿ID: 1234
投稿日時: 2020-08-01T15:30:24.235Z
IPアドレス： 203.0.113.12
氏名：高輪　彁
住所：兵庫県◯◯市◯◯町◯丁目◯番地
内容：新規投稿作成
=======

芽依「可能性が広がりんぐ……」

※諸説ありますが、仮に情報の受領側が容易に照合できなくとも、情報を提供（公開）する側の事業者の視点で容易に照合できれば個人情報に該当するとする説（提供元基準説）が有力です。

---

アカネ「だから、個人情報に該当しないなんてことは、軽々しく言えないわけですよ」
芽依「なるほどね」

＜7＞

芽依「個人情報の定義は分かったけど、もう一つ問題があるって言ってたね」
アカネ「はい、ズバリ、利用者を嘘で安心させてしまうってことなんです」

---
アカネ「確かにIPアドレスでは個人が特定できるとは限りません」

アカネ「でも、IPアドレスから、所属組織やだいたいの在住地域を割り出せるケースがあります」

---

？？？「おいおい、リンゴLOVEのIPアドレスってWHOISで見たら『高輪　彁デザイン事務所』のアドレスだよ」
？？？「主要取引先に京姫鉄道って書いてあるぜ」
？？？「少なくとも事務所のスタッフが京姫鉄道ツアーのステマしてるってことじゃね」

---

芽依「うわあ」
アカネ「陰謀論が好きな人が多いですからね」

＜8＞

アカネ「さらに、最悪なのは、関係ない情報と結びつけられるケースです」

---

？？？「おいおい、20年前に同じIPアドレスから『線路に置き石した』って投稿があるよ」
？？？「ｷﾀ━(・∀・)━!!!!　置き石犯が鉄道会社と取引ってクソワロリンヌ」
---

芽依「でも、あの人ならやってそう……」

---

アカネ「ね、濡れ衣で信用が傷つくこともあるんです」
芽依「……確かに」

＜9＞

アカネ「もし英賀保さんがその立場だとしたらどうですか？」

広報担当「IPアドレスでは本名や住所などを特定できないので安心してください」

---

芽依「最初はちょっと安心するかもだけど」
芽依「知らないうちに、あることないこと紐付けられてたらって思うとぞっとする」

？？？「芽依ちゃんは姫路市のCATVの回線を使ってるのか」
？？？「某ブランドにも興味があるのか」

---

芽依「ちょっと安心した自分が馬鹿っぽいし」
芽依「そういうリスクがあるってきちんと教えて欲しい」

---

アカネ「そういう気配りが大切なことですよ、サービス提供側として」
芽依「うん。分かったよ。発表文について、取締役を説得してみる」