Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メールアドレスと個人情報のビミョーな関係(1)

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2004/7/23号)」に掲載されたものです

●スパムの嵐にさらされる

先週、メールマガジン創刊号を発行した。発行して数時後、フッタにある問い合わせ先に数通のメールが到着。スパムだ。なんという反応の早さ。しかも、その数十分後には異なる送信元から再びスパムが届く。自動巡回ソフトでメールアドレスを取得しているのであろう。メルマガ上の複数の宛先に同内容のメールが届く。

その中には、「ン万件のメールアドレスを激安販売!」といった内容のものまである。私の元へスパムを送信している時点で、そのリストにマーケティング価値がないのは明らかだが、それでも飛びつく人間がいるのであろう。今回取得された私のメールアドレスもすでにリストに加えられ、きっと転売されるに違いない。メルマガ発行時より覚悟していたものの、なんとも気分が滅入る瞬間だ。

●メルアドは個人情報なのか?

メルマガのフッタは企業の窓口なので、個人情報ではないが、メールアドレスと個人情報の関係は、事あるごとに取り上げられる。友人やクライアントと個人情報保護法について話していると、必ず「メールアドレスは個人情報か?」といった質問が出る。

経済産業省は6月15日にガイドラインを公開し、パブリックコメントとして意見を募集しているが、同ガイドラインにはメールアドレスの取り扱いについて事例が掲載されている。

経済産業省パブリックコメント
http://www.meti.go.jp/feedback/data/i40615gj.html

事例では、「hoge@security-next.com」のような場合、Security NEXT編集部のホゲ氏を特定できるため、個人情報であるとの記載がある。一方、「abc123@security-next.com」など、記号や数字により人物が特定できない場合は、個人を特定できないため、個人情報ではないとしている(ただし、他の情報と容易に照合することによって特定できる場合は個人情報としている)。

これは、個人情報保護法を素直に解釈したものといえるだろう。いくつかの書籍やメディアでも同様の解釈が掲載されている。しかし今回、同ガイドラインへ経済界から「物言い」がついた。

意見表明をしたのは、日本経済団体連合会だ。「今日では多くのメールアドレスが個人名を特定できないようにしてあり、それだけの理由で保護の対象から外すのは合理的でないので、メールアドレスは全て個人情報に該当することとすべき」としている。

日本経済団体連合会の意見
http://www.keidanren.or.jp/japanese/policy/2004/062.html

個人情報保護法は基本法であり、運用は各省庁が発表したガイドラインに従う。経団連の主張は「メールアドレス=個人情報」というものだが、個人情報保護法における個人情報の定義「特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」という解釈から一歩踏み出した形となる。今回の意見に対し、経産省がどのような判断を示すか興味深いところだ。

●個人情報? リーチ情報?

とはいえ、経団連が示した意見は、消費者から共感を得られるだろう。消費者は電子メールや携帯メールへ送りつけられるスパムに日々うんざりしており、悪質メールから保護して欲しいとの要望は強い。

しかし、両者の視点は異なる。経団連は運用における合理性を主張しているのに対し、消費者がメールアドレスを保護して欲しいと理由は、「個人が特定され、悪用される」ことより、まずは「スパム対策」なのだ。

サイバー法に詳しい牧野二郎弁護士がとあるカンファレンスで「リーチ情報」という概念を紹介した。「リーチ情報」とは、個人が特定されようと、されまいと、情報所有者の選択の余地なく本人へ「リーチ」できる情報のことだ。消費者が望んでいるのは、まさしくその「リーチ情報」の保護なのである。

スパムは、コンピュータが自動的に合成したメールアドレスへ送信される場合もある。このような場合、個人情報保護法違反となるのだろうか? 「メールアドレス=個人情報」としたところで、非常に難しい運用が迫られるだろう。スパム問題がスムーズに決着するとは思えない。

いずれにしても、企業は社員や顧客、取引先など、大量のメールアドレスを保有しているはずだ。経産省ガイドラインの最終版でどのような記載になるのか、注目したい。

(Security NEXT - 2004/07/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

MSのマルウェアスキャンエンジンに深刻な脆弱性 - 定例外アップデートを実施
多数メールクライアントに送信者偽装できる「Mailsploit」が判明 - 送信ドメイン認証では防げず
「ディズニーランド入場券が当選」 とだますマルウェアメール - 不自然な日本語に中国語も
市立中学校で生徒の個人情報を紛失 - 大阪市
JNSA、「Network Security Forum 2018」を都内で開催
NICT、東京五輪向けサイバー演習「サイバーコロッセオ」展開 - 約220人のセキュリティ人材を育成
「iOS 11.2」では脆弱性14件を解消 - 「KRACK」の修正対象を拡大
「公的個人認証サービス」のインストーラに再び脆弱性
千代田区の図書館サイト、1カ月にわたり公開停止
警視庁と仮想通貨取引所10社、サイバー犯罪の対処で協定