技術情報
位置情報の取得方法とその活用 第5回(最終回)
Wi-Fiによる位置情報の活用 (その3)
北條 博史
前回、位置情報の利用を制限する2つの法律のことを書きましたが、今回はそれを踏まえた位置情報の取り扱いについて説明します(基本は平成26年に出された位置情報のプライバシーレポート*1に基づいています)。なお、前回述べましたように、位置情報は匿名化する基準を示すことは難しいため、取り扱いは常に慎重に行うことが求められます。
取得データの種類と通信の秘密
前回説明した通り、今回対象とする位置情報は、Wi-Fi端末のアクセスログを取得することにより、その端末がアクセスポイントの周辺に存在するということから位置がわかるという仕組みです。この位置情報は、精度はそれほど高くありませんが、例えばコンビニAの大手町店の周辺にいるという情報がわかるため、コンビニを利用していたであろうという推定ができることから、いろいろな活用が考えられる有用なビッグデータになります。
この位置情報は、取得する手段によって通信の秘密に当たるかどうかが決まり、そのあとの取り扱いが変わってきます。前回述べたとおり、プローブリクエストなど通信の前提として取得される情報は通信の秘密には当たらないという結論になりました。それ以降、アクセスポイントを経由してネットワークのサーバと通信をする段階でのログは通信の秘密となりますので、基本的に、個別かつ明確なユーザの同意がなければ、取り扱うことはできません。
それぞれの情報をどう取り扱うかをみていきます。
プローブリクエスト等による位置情報
無線LANの通信では、接続できる基地局を探すために、端末は頻繁にプローブリクエストという信号を発信して、周辺の基地局からの応答を待ちます。基地局は自分のSSID情報を含むプローブレスポンスを返信するので端末は、もし過去に接続した履歴があれば接続信号を出し基地局と接続することになります。ここまでの動作は、端末側が通信したいかどうかにかかわりなく「自動的に」進む動作になります。
基地局は、このプローブリクエストやその後に来る接続信号(Association Request)を記録することにより該当する端末が基地局の周辺に来たという証拠になります。
この信号には端末のMACアドレスが含まれており、このMACアドレスがユニーク(同じMACアドレスを持つ端末は1つしかない)であり個人識別性があるため、GPSの位置情報などと同様に、そのまま利用または第三者提供する場合は、通信の秘密と同様に「個別かつ明確な同意」*2をとる必要があります。ただ、プローブリクエストなどのログを取得することに対してその端末の持ち主に個別同意をとること自体が難しい(通信の前提の接続なので同意画面を表示できない)ので、このデータをそのまま使うのは困難と考えられます。
そこで匿名化を行うことにより、個人の識別ができないような加工を施すことができれば、GPSによる位置情報と同様に、利用者の同意なく利用することが可能になります。ただ、GPSの位置情報とは異なり、Wi-Fiの電源を入れておくだけで、自分の位置情報のログがとられているという仕組みについて、十分に認知されていないことから、プローブリクエストなどの情報で位置情報を取得するときは、例えば該当空間に看板・ポスターを設置し、位置情報を取得していることを利用者に周知することが望ましいとされています(「監視カメラあり」のようなものと同様に)。さらに、位置情報の取り扱いにかかるオプトアウト*3の機能を設けることが望ましい。
通信の秘密の位置情報
通信の秘密に相当するWi-Fi位置情報については、基本的に利用者の「個別かつ明確な同意」*2が必要です。キャリアWi-Fiの場合などは、スマートフォンの契約するタイミングがあるので、個別同意をとることは可能ですが、自治体や空港のフリーWi-Fiなどで簡単に接続できてしまうようなケースでは、個別同意をとること自体、難しいと考えられます。
しかしながら、位置情報のプライバシーレポートでは、位置情報のビッグデータとしての有用性を鑑み、加工して匿名化を行うことにより、以下のような形での同意の取り方が可能となっています(以下、原文のまま)。
(ア) 対象となる情報の範囲が、通信内容以外の通信の構成要素のうち、通信 の場所、日時及び利用者・端末識別符号に限定されること
(イ) 加工の手法・管理運用体制(「十分な匿名化」の過程で作成される情報の 管理体制を含む。)が適切であること及びそれについて適切に評価・検証が行われていること
(ウ) 利用者が、いったん契約約款等に同意した後も、随時、同意内容を変更できる(設定変更できる)契約内容であって、同意内容の変更の有無にかかわらず、その他の提供条件が同一であること
(エ) 契約約款等の内容(事後的に利用者が同意内容を変更できる(設定変更できる)こと並びに「十分な匿名化」後の情報の利用目的及び第三者提供に 関する事項を含む。)並びに加工の手法・管理運用体制及びその適切性についての評価・検証結果について、利用者に対する相応の周知が図られていること
のすべての要件を満たしている場合であれば、契約約款等に基づく事前の包括同意*2であっても、有効な同意ということができると考えられる。
匿名化の手法について
以上の通り、Wi-Fi位置情報の利用については基本的に「個別かつ明確な同意」*2が必要ですが、匿名化することで通信の秘密でないものは利用・第三者提供が可能になり、通信の秘密のものでも、事前の包括同意で利用可能となりました。
ここで十分な匿名化というものがどういったものなのか簡単に説明します。このあたりはとても専門性が高いので興味のある方は、位置情報のプライバシーレポート*1やその参考文献をご覧ください。
前回お話しした通り、位置情報の場合はこうすれば匿名化できる、という明確な手法はないため、以下のような加工方法を組み合わせ、かつ利用する際の有効な情報が損なわれない形で匿名化をする必要があります。
まず、どういった場合に個人が特定されるかというと
- 位置情報に伴う氏名や属性情報等の記述から個人が特定されてしまう
- 詳細な位置情報と時間から個人が特定されてしまう
- 位置情報と他のデータが、位置情報を用いてマッチングされ、その結果個人が特定されてしまう
- 特徴的な位置情報の履歴から生活圏や行動パターンがわかり、個人が特定されてしまう。
などであるため、具体的な可能の例としては、
- 直接あるいは組み合わせで個人が特定できる情報の削除、仮名化
- 組み合わせで個人が特定できる情報の一般化、ランダム化
- 位置情報(時間)のより広いエリア(時間帯)への一般化、違う位置(時間)へのランダムな置き換え
- 生活圏情報や行動パターンの削除、一般化、置き換え
- 仮名の短い時間での更新、長い履歴の削除、分割や間引き
- 位置情報の取得間隔の適切な設定(極端に短い間隔にしない)
- 上記の手法を用い位置情報と属性情報を適切に加工し、全ての属性に対して、同じ位置情報(移動の軌跡を含む)が複数ある状況を作り出す
となります(詳細はプライバシーレポートを参照ください*1)。ただ、第三者提供した場合、その第三者の持つ別のデータと照合ができてしまうと、個人特定の可能性が生まれてくるので、これらの情報を第三者に提供するときは、契約の中に、受領側が他のデータとの照合など個人を特定することを禁止することを含めておく必要があります。
まとめ
位置情報のプライバシーレポートの内容を中心に、Wi-Fiの位置情報の取り扱い方法について説明しました。位置情報は個人を特定できる可能性があるため、災害時にどこに避難しているのかが分かったり、警察の犯罪捜査などにおいて有用な証拠となるなど、公共的な有用性は極めて高いものですが、一方で、個人のプライバシーを大きく侵害してしまう可能性もあるため、その取り扱いには十分に注意することが必要です。
なお、これらの位置情報の取り扱いはあくまでも電気通信事業者に対する基準であり、GoogleやAppleが取得している位置情報については対象ではありません。彼らが取得しているデータの取り扱いは、スマートフォン初期設定時の膨大な規約の中にあり、同意することでそれらの行為を承認したことになっているんですね。
つまり、通信として取得した位置情報を他の用途に転用するときは取り扱いに注意すべきだが、位置情報を取られるとわかっていて使うときは、利用者は同意していると見なされるんです。フェイスブックなんかまさにその通りですね。でも、同意しないと利用できないわけですから、ユーザに選択権があるのかどうか。彼らがスマートフォンから上がってくる膨大な位置情報をどのように加工してどのように第三者提供しているのかは……。
*1: 位置情報プライバシーレポート(平成26年7月)
(総務省「緊急時等における位置情報の取扱いに関する検討会」報告書)
http://www.soumu.go.jp/menu_news/s-news/01kiban08_02000144.html
http://www.soumu.go.jp/main_content/000303636.pdf
*2: 個別かつ明確な同意と包括同意
規約が一覧で並んでいるものを包括同意といい、そのポイントだけひとつの同意事項になっているものを個別同意という。さらに、個別の規約を見せるだけでなく、ポップアップして同意するボタンを押すなど、明確な動作を必要とするものを「個別かつ明確な同意」という。
*3: オプトアウト
ログを取得された利用者からの依頼により、取得されたデータから該当者のデータを除いて処理を行うようにするもの。ただし、モバイルキャリアではないWi-Fiの位置情報の場合、識別はMACアドレスとなるため、オプトアウトするためにはMACアドレスを申告してもらう必要がある。
■Wi-Biz通信(メールマガジン)の登録はこちら