Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メールアドレスと個人情報のビミョーな関係(1)

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2004/7/23号)」に掲載されたものです

●スパムの嵐にさらされる

先週、メールマガジン創刊号を発行した。発行して数時後、フッタにある問い合わせ先に数通のメールが到着。スパムだ。なんという反応の早さ。しかも、その数十分後には異なる送信元から再びスパムが届く。自動巡回ソフトでメールアドレスを取得しているのであろう。メルマガ上の複数の宛先に同内容のメールが届く。

その中には、「ン万件のメールアドレスを激安販売!」といった内容のものまである。私の元へスパムを送信している時点で、そのリストにマーケティング価値がないのは明らかだが、それでも飛びつく人間がいるのであろう。今回取得された私のメールアドレスもすでにリストに加えられ、きっと転売されるに違いない。メルマガ発行時より覚悟していたものの、なんとも気分が滅入る瞬間だ。

●メルアドは個人情報なのか?

メルマガのフッタは企業の窓口なので、個人情報ではないが、メールアドレスと個人情報の関係は、事あるごとに取り上げられる。友人やクライアントと個人情報保護法について話していると、必ず「メールアドレスは個人情報か?」といった質問が出る。

経済産業省は6月15日にガイドラインを公開し、パブリックコメントとして意見を募集しているが、同ガイドラインにはメールアドレスの取り扱いについて事例が掲載されている。

経済産業省パブリックコメント
http://www.meti.go.jp/feedback/data/i40615gj.html

事例では、「hoge@security-next.com」のような場合、Security NEXT編集部のホゲ氏を特定できるため、個人情報であるとの記載がある。一方、「abc123@security-next.com」など、記号や数字により人物が特定できない場合は、個人を特定できないため、個人情報ではないとしている(ただし、他の情報と容易に照合することによって特定できる場合は個人情報としている)。

これは、個人情報保護法を素直に解釈したものといえるだろう。いくつかの書籍やメディアでも同様の解釈が掲載されている。しかし今回、同ガイドラインへ経済界から「物言い」がついた。

意見表明をしたのは、日本経済団体連合会だ。「今日では多くのメールアドレスが個人名を特定できないようにしてあり、それだけの理由で保護の対象から外すのは合理的でないので、メールアドレスは全て個人情報に該当することとすべき」としている。

日本経済団体連合会の意見
http://www.keidanren.or.jp/japanese/policy/2004/062.html

個人情報保護法は基本法であり、運用は各省庁が発表したガイドラインに従う。経団連の主張は「メールアドレス=個人情報」というものだが、個人情報保護法における個人情報の定義「特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」という解釈から一歩踏み出した形となる。今回の意見に対し、経産省がどのような判断を示すか興味深いところだ。

●個人情報? リーチ情報?

とはいえ、経団連が示した意見は、消費者から共感を得られるだろう。消費者は電子メールや携帯メールへ送りつけられるスパムに日々うんざりしており、悪質メールから保護して欲しいとの要望は強い。

しかし、両者の視点は異なる。経団連は運用における合理性を主張しているのに対し、消費者がメールアドレスを保護して欲しいと理由は、「個人が特定され、悪用される」ことより、まずは「スパム対策」なのだ。

サイバー法に詳しい牧野二郎弁護士がとあるカンファレンスで「リーチ情報」という概念を紹介した。「リーチ情報」とは、個人が特定されようと、されまいと、情報所有者の選択の余地なく本人へ「リーチ」できる情報のことだ。消費者が望んでいるのは、まさしくその「リーチ情報」の保護なのである。

スパムは、コンピュータが自動的に合成したメールアドレスへ送信される場合もある。このような場合、個人情報保護法違反となるのだろうか? 「メールアドレス=個人情報」としたところで、非常に難しい運用が迫られるだろう。スパム問題がスムーズに決着するとは思えない。

いずれにしても、企業は社員や顧客、取引先など、大量のメールアドレスを保有しているはずだ。経産省ガイドラインの最終版でどのような記載になるのか、注目したい。

(Security NEXT - 2004/07/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Spectre」「Meltdown」と類似した脆弱性2件が判明 - 数週間以内に更新予定
メールボックスの振る舞いを機械学習するフィッシング対策ソリューション
「baserCMS」に7件の脆弱性 - リモートより悪用のおそれ
個人情報保護委、「Privacy Awareness Week」を実施 - 啓発活動を展開
理学療法士免許申請書類を紛失 - 千葉県
パスワード認証の無効化で「パスワードリスト攻撃」に対抗 - ヤフー
6割強がGDPRを理解せず - 半数以上で過去に域内個人情報が流出
「BIND 9.12」にリモートから攻撃可能な脆弱性が2件 - アップデートがリリース
ルータ改ざん攻撃の誘導先不正アプリが進化 - iOS狙うフィッシング機能も
管理甘い「Cisco Smart Install Client」の探索行為が増加 - 警察庁が注意喚起