ICT技術と位置情報に関する制度の動向

特集:IoT時代のプライバシーを考える
ICT技術と位置情報に関する制度の動向

日本大学 危機管理学部 教授
小向 太郎

位置情報への期待と不安

(1)何が起きているのか

 道端に置いた椅子に腰掛け、人や車が通るたびにカウンターのボタンを押している人を見かけたことはないだろうか。以前は、こうした方法で、結構頻繁に交通量調査がおこなわれていた。特定の道路を何台の車が通るか、何人の人が通るかといったことが、都市計画やマーケティングにとって、とても重要だからである。現在では、ある時点での人の分布は、例えばNTTドコモが提供する「モバイル空間統計」を利用すれば、大まかな傾向が十分に分かる。これは、携帯電話の位置情報を利用したものである。

 最近良く話題になるビッグデータ、IoT、AIといった技術を高度なものにしているのは、一つはコンピュータ処理能力の向上である。しかし、高度な処理能力も利用できる情報があってこそ役に立つ。つまり、情報収集量の爆発的な増加もまた、こうした技術の発展を支えているのである。スマートフォンやタブレットは、持ち主の行く先々でネットワークにアクセスしている。スマートフォンにはGPSをはじめとする各種センサーが内蔵されており、様々な情報を発信している。SNSでは利用者が大量の情報を発信しており、インターネット上にこれらの情報が蓄えられている。自動車の情報化も進展が著しく、カーナビや制御装置がネットワークに接続しつつある。こうした情報のなかで、特に重要視されているものの一つが、位置情報である。

(2)期待される活用

 位置情報については、さまざまな利用方法が考えられている。例えば、都市計画に利用することで、交通システムを最適化することや、防災時の避難経路の補強しておくことも可能になる。日常的に、公共交通機関の混雑状況や渋滞情報など、便利な情報の提供にも役に立つ。さらに、目的地への経路情報や地域案内、障害者等への移動支援のような行動支援型サービスにも、位置情報が不可欠である。犯罪やテロの予防や捜査活動などの治安維持のための利用も現実的なものになっている。

 ビジネス面では、いわゆる行動ターゲッティング広告と呼ばれるものが典型的な利用例である。所在エリアに応じた広告や割引クーポンの提供やレコメンデーションやサービスのカスタマイズにも有効である。

(3)あまり意識されない取得

 留意すべき点として、こうした情報取得には、個別には意識されにくいものも多いということがある。いつどんな情報がとられているか意識されずに、自分についての収集されることが増えており、それをもとにして、さらに情報を生成することも容易になっている。

 例えば、安全対策などの目的で各所に設置されている監視カメラはあまり位置情報とは意識されないが、画像から個体を識別する技術というのはかなり進んでいる。技術的可能性だけを考えれば、映画「マイノリティー・レポート」が描いた世界が、すぐそこまで来ている。ただし、こうしたことは、現在の監視カメラの性能では十分な画質が確保できないことや、こうしたトレースを行うことに対する非難が強いため、現実にはあまり行われていない(※1)。

 もう一つ、あまり位置情報の取得とは意識されにくいものとして、会員用ポイントカードをあげておきたい。

図表1 位置情報取得技術の例
端末等種別 ネットワーク接続機器(例) 収集情報(例)
インターネット端末 PC、スマートフォン、
タブレット端末、ゲーム機
GPS端末、基地局情報、Wifiアクセスポイント
自動車、重機 カーナビゲーション・システム、
自動運転や電気自動車の制御装置、
遠隔操作システム
GPS位置情報、走行情報
カメラ 監視カメラ、デジタルカメラ 顔認識等によるトレース情報、
GPSによる撮影位置情報
IDカード等 POSレジ、ICカードリーダ
、REIDリーダ、自動改札
購買場所と登録住所、交通機関の利用経路

出典:小向太郎「ネットワーク接続機器の位置情報に関するプライバシー・個人情報保護制度の動向」情報処理学会研究報告電子化 知的財産・社会基盤(EIP)2016-EIP-74, 2016-11-17

 ここからは、重要なふたつの位置情報が取得される。カード所有者の住所と買物をした購入場所である。どこに住んでいる人がどこで何を買ったかという情報は、店舗の出店計画や事業計画にとって決定的に重要である。

 この他にも、業務用の機器、スマートメーター、サイネージ、自動販売機、エレベーターなど、いろいろなところにセンサーが付いて、ネットワークでやりとりされるようになっており、何らかの形で集積されている。

※1…例えば、情報通信研究機構が、JR大阪駅に設置されている監視カメラで個体識別をして、人流解析をして、災害対策に役立てようとしたことが数年前にあった。これに対してはかなりの反発があり、慎重な検討を経て、広範囲のアナウンスやプライバシーへの配慮等を十分にした上で実施することになっている。

わが国の位置情報に関する制度

(1)個人情報保護法

 特定の個人を識別できる位置情報は個人情報であり、個人情報保護法の規制を受ける(2条1項)。特定の個人を識別できるというのは、その情報が誰に関するものかが分かるということである。そうした情報と「容易に照合することができ、それにより特定の個人を識別することができることとなる」場合も個人情報にあたる。2015年の法改正によって、個人識別符号を含む情報も個人情報になることが明確化された。個人情報に該当する位置情報を業務に使っている場合には、利用できる目的をできる限り特定し(15条)、公表等することと(18条)その目的の範囲で利用すること(16条)が求められる。

 ただし、個人データ(電子化または体系化された個人情報)の第三者提供には原則として本人の同意が必要である(23条)。また、利用目的を「関連性を有すると合理的に認められる範囲」を超えて変更する場合にも、本人の同意を得なければならない(15条2項)。なお、2015年の個人情報保護法改正によって、適正な匿名加工を行うことによって、一定の条件のもとで本人の同意がなく第三者提供等ができる制度が整備されている(2017年5月30日施行)。

 つまり、わが国の個人情報保護法においては、事業者が自ら収集して利用する場合には、利用目的を特定・公表して、その範囲で利用するのであれば、本人の同意等は求められていない。本人が事後的に利用の停止を求めることができるのは、目的外利用や不適正取得がされた場合に限られる(30条)。

(2)携帯電話事業者の位置情報

 わが国では、携帯電話事業者が取得する位置情報は、特別な法的制約を受けると考えられている。携帯電話事業者は、「個別の通信を行った基地局の位置情報」「位置登録情報(端末所在地を基地局単位等で把握する情報)」「GPS位置情報(GPS機能により取得する情報)」という、3種類の位置情報を取り扱っている。

 これらのうち「個別の通信を行った基地局の位置情報」は、通信の秘密であるとされる。通信の秘密には、通信内容以外に、個別の通信の通信当事者がどこの誰であるかということや、いつ通信を行ったかということも含まれると考えられており、「個別の通信を行った基地局の位置情報」は、こういった情報に該当する。そして、通信の秘密に当たる情報の取得は、電気通信サービスの提供に必要な範囲で利用できるほかは、正当防衛や緊急避難などの違法性阻却事由が認められる場合にのみ許される(※2)。一方で、位置情報の利活用を求める声もあがっており、2017年に改正された総務省ガイドラインでは、通信の秘密に係る位置情報について十分な匿名化を行った上で他人への提供その他の利用を行う場合について、約款等に基づく包括同意でも一定の要件のもとでは有効な同意となりうるという考え方が示されている(※3)。

 さらに、総務省のガイドラインでは「位置登録情報」「GPS位置情報」についても、「ある人がどこに所在するかということはプライバシーの中でも特に保護の必要性が高い上に、通信とも密接に関係する事項であるから、通信の秘密に準じて強く保護することが適当である」と位置づけ、情報の取得に際して利用者の同意を取得すること等を求めている。

 なお、公衆無線LAN(Wi-Fi)経由でアクセスする場合のアクセスポイントについても、端末利用者が通信を行っている場合のアクセスポイントは通信の秘密、端末利用者がアクセスポイントにアクセスしているだけの場合に取得される情報はその他の位置情報であると考えられている(※4)。

 以上のように、携帯電話事業者が取扱う位置情報については、一般の個人情報とは異なり、利用者の同意が必要となる。

(3)スマホアプリとGPS情報

 GPS情報は、電気通信事業者以外にも、スマホアプリやスマホ向けのサービス提供者によって利用されることがある。スマホアプリが電気通信事業者以外の者によって提供される場合には、通常の個人情報取扱事業者となるため、法律上は本人の同意等が必要ないことになる。一部のアプリでは利用者の情報を同意なく送信していることや、情報を取得・利用する旨の同意をとっている場合でも、どのような情報を何に利用するのかは詳しく表示されていないまま、利用者は反射的に同意ボタンを押してしまっていることが指摘されていた。

 この問題については、総務省が2012年8月に「スマートフォン プライバシー イニシアティブ」を公表し、アプリが利用者情報を外部送信したり蓄積したりしている場合には、どのような情報が取得・利用されているかを分かりやすく記述したプライバシー・ポリシーを公表することや、電話帳・位置情報・通信履歴等のプライバシー性の高い情報を取得する際の利用者の同意を取得することを推奨している。ただし、このような取り組みを法的に求めるものではなく、事業者の自主規制を促すものである。

※2…多賀谷一照他編著『電気通信事業法逐条解説』(財団法人電気通信振興会、2008)37-41頁参照。

※3…総務省「電気通信事業における個人情報保護に関するガイドライン(平成29年総務省告示第152条)の解説」。

※4…藤波恒一「位置情報に関するプライバシーの適切な保護と社会的利用の両立」ジュリスト1484号(2015年9月)87頁。

諸外国の制度動向と今後の課題

(1)EUの動向

 EUでは「個人データの取扱いに係る個人の保護および当該データの自由な移動に関する欧州議会および理事会の規則案(GDPR)」が提案され、2016年5月に発効し、2018年5月に施行されることになっている(※5)。GDPRが保護の対象とする個人データは、識別子を参照することで自然人を識別できる情報であり、この識別子の例として「位置情報」が明示されている。したがって、位置情報を含む情報は、個人データとしてGDPRの保護を受ける(※6)。

 また、2002年に採択され、2006年および2009年に改正されている電子通信プライバシー指令(※7)には、電子通信網や電子通信サービスに関する位置情報(※8)について、処理が許されるのは、利用者等が範囲と期間について同意している場合に限られ、利用者等はその同意をいつでも撤回できるという規定がある。また、位置情報の処理は関連サービスの提供に必要な範囲に限定することが求められている(第9条)。

 GDPRの施行を見据えて、電子プライバシー指令の改正が検討されており、現在公表されている規則提案においては、位置情報やトラフィック・データのようなメタデータについて、サービス提供や課金等のために必要がなくなった場合に、本人の同意がなければ匿名化か消去をしなければならないとされており(第7条第2項、第3項)、ネットワーク側だけでなく、ユーザが利用する端末やそれに関連して保存される情報に関しても保護の規定が置かれている(第8条)。

(2)米国の動向

 米国で消費者プライバシーを所轄する連邦取引委員会(FTC: Federal Trade Commission)は、2012年3月に「急変する時代の消費者プライバシー保護」という報告書を取りまとめている(※9)。この報告書は、本人意思の反映を重視しており、(1)データが収集される際に示された方法と大きく異なる方法で利用される場合と(2)ある目的のためにセンシティブ情報を収集する場合には、積極的な同意の表明を得るべきであり、「一定の位置情報」も、センシティブ・データとして扱うべきだと述べている(47頁、注214)。ただし、これは事業者に対するベストプライティスを示したものと位置づけられており、このような対応を取らなければ、直ちにFTCが法執行等を行うというわけではない。

 一方で、電気通信事業者に対する規制を所轄する連邦通信委員会(FCC: Federal Communications Commission)は、2012年に「ロケーション・ベースド・サービス」という報告書(※10)を公表し、位置情報利用ビジネスとプライバシーの問題とのバランスを最適化するために規制を強化する可能性もあることを示唆していた(40-41頁)。そして、2016年10月には、「ブロードバンド顧客プライバシー保護規則(※11)」を採択して、「正確な地理的位置情報」をセンシティブな情報と位置付け、その利用・提供に際しては「オプトイン」を求めていた。ただし、この規制全体が、ISP等のインターネット・アクセスを提供する事業者だけが対象で、Googleなどのいわゆるプラットフォーム事業者が対象外とされているため、バランスを欠くという批判も強かった(※12)。

 結局、政権交代の影響もあり、この規則は議会審査法(the Congressional Review Act, 5 U.S.C. §802)に基づく撤廃決議が連邦議会の上下院で可決され、2017年4月3日には正式に撤廃されてしまった。今後、ISPやプラットフォーム事業者に関するプライバシー保護について、新たな規制が検討されるかどうかは、今のところ明らかになっていない(※13)。

(3)これからも電気通信事業者だけが特別なのか?

 これまで見てきたように、EUでも米国でも、位置情報に関するプライバシー・個人情報保護に関する検討が行われているところである。

 EUの電子通信プライバシー指令改正の議論では、位置情報等の保護がネットワーク関連事業者により処理される情報に限定されていることが実情にそぐわないことが指摘され、現在提案されている規則案では保護すべき情報の対象が拡大されている。米国ではISP等の位置情報について厳格な保護を求める規則が施行に至らず撤廃されているが、この背景にもネットワーク事業者以上に大量の情報を収集しているプラットフォーム事業者との不均衡についての指摘があった。我が国では、現在のところ携帯電話事業者に関する位置情報に関しては厳格な配慮が求められており、電気通信事業者以外の者が取扱う位置情報に対して特別な保護が必要かどうかに関する議論は行われていない。

 このように各国の状況は様々であるが、いずれの国においても、伝統的な電気通信事業と新しく急成長しているネットワーク関連ビジネスにおけるプライバシー保護のギャップが顕在化しつつあるといえるであろう。確かに、従来から、電気通信事業者の取扱う情報は、通信の秘密に代表されるセンシティブなものが多く、どの国でも特別な規制が課せられていることが多い。

 しかし、現在、インターネット上で利用者に関する情報を利用しているのは電気通信事業者だけではなく、プラットフォーム事業者を始めとして様々な事業者が、顧客に関する大量の情報を収集・利用している。位置情報を収集・利用するのも、もちろん電気通信事業者だけではない。どのような事業者が取扱うどのような種類の位置情報に規制を課すべきか、収集・利用される位置情報の拡大も視野に入れて、引き続き検討していく必要がある。

※5…Regulation(EU)2016/679 of the European Parliamento and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC.

※6…個人データは「識別(identify)された、または識別可能な自然人に関するあらゆる情報」と定義されている。ここでいう識別可能な自然人とは「直接的であるか間接的であるかでを問わず特に識別子を参照することで、識別されるもの」をいう。そして、識別子には「名前、識別番号、位置情報、オンライン識別子や、その人物の物理的、生理的、遺伝子的、精神的、経済的、文化的または社会的な固有性として、単独または複数組み合わせによって特定される要素」が該当する(第4条(1))。

※7…個人データの保護および電子通信分野のプライバシー保護に関する欧州議会および理事会の指令。Directive 2002/58/EC of the European Parliamento and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector.

※8…「電気通信網または電子通信サービスにおいて処理される情報であり、公衆電気通信サービスのユーザ端末機器の地理的な位置を示す情報」と規定されている。

※9…FTC,Protecting Consumer Privacy in an Era of Rapid Change(2012).

※10…FCC Wireless Communications Bureau,Location-Based Sevice- An overview of opportunities and other considerations,May 2012.

※11…Protecting the Privacy of Customers of Broadband and Other Telecommunications Service,Report & Order,FCC16-148(2016).

※12…そもそも、この規則は、ネットワーク中立性政策に関する議論の結果、ISP等に対してFCCの規制権限が及ぶようになったため、伝統的な電話会社を中心に行われてきたプライバシーに関する規制方針をISP等にだけ拡張した面があった。

※13…ブロードバンド顧客プライバシーを保護規則の動向については、小向太郎「米国連邦取引委員会のプライバシー政策」情報法制研究第1号(2017)36頁以下を参照。

【プロフィール】
小向 太郎(こむかいたろう)氏
日本大学危機管理学部教授。1987年3月早稲田大学政治経済学部卒業。2006年3月中央大学博士(法学)。専門は情報法、情報通信法。主な著書に『情報法入門(第2版)デジタル・ネットワークの法律』(NTT 出版、2011年)、『表現の自由Ⅱ-状況から』(共著、尚学社、2011年)、『実践的eディスカバリ』(共編、NTT出版、2010年)、『プライバシー・個人情報保護の新課題』(共著、商事法務、2010年)など。

(初出:機関誌『日本データ通信』第215号(2017年7月発行))