個人情報流出の懸念
−スマートフォンの普及と個人情報保護法制の限界−

　最近のスマートフォンの普及・拡大には著しいものがあります。2011年度では出荷台数ベースで60%近くがスマートフォンと予想されており、また、本年3月末には、モバイル回線契約の約4分の1がスマートフォンになると見込まれています。これに伴って、スマートフォンに起因する個人情報流出問題が注目されるようになっています。即ち、スマートフォンでアプリケーションをダウンロードした人の住所や電話番号などが、本人が知らない間にアプリケーションの提供者に送られていたという事象があり、アプリケーション購入サイトのシステム上の不具合で発生したもので、既に修正・改善したと当事者から関係当局に報告されたとの報道が相次いで見られたことは記憶に新しいところです。

　他方、昨年11月11日には、総務省は「グーグル株式会社に対する「通信の秘密」の保護に係る措置（指導）」を行い、再発防止策・状況等について報告を求めました。これは、グーグル社が日本国内において無線LANを経由した通信を受信し、その一部を記録した行為が電気通信事業法第4条に規定する「通信の秘密」の侵害につながるおそれがあったものと認められることから、総務省がとった措置であり、既に昨年12月には同省への報告が行われ、グーグル社は日本国内向けにメッセージを発表しています。それによると、収集したSSIDやペイロードといった関係データは削除を完了し、または第三者の監督のもとで削除する準備を進めているとのことです。

　この2件のうち、後者のケースは直接的にはスマートフォンに結びつくものではありませんが、スマートフォン向けの位置情報サービスに使われるデータベースの整備を図るためと考えれば、やはり広義に見てスマートフォンの普及と関連していると言えます。通信内容の収集・記録に対しては、既に削除措置が進められて是正が図られており、また、実害はなかったと思われるので、この事件それ自体は一定の収束を見たものとしてよいでしょう。

　やはり、問題は前者のアプリケーションのダウンロードに起因する個人情報の流出の方にあります。収集する個人情報の範囲を限定するにせよ、個人の端末から携帯のステータスやID、GPS情報がアプリケーションを通じて外部に送信される危惧があるということです。確かに、アプリケーション購入者（利用者）は、スマートフォンの画面で許諾を求められ同意して初めてアプリケーションがダウンロードできるようになっています。問題は、こうした同意に際しての注意書きや警告が本当に読まれ、理解されているのかどうか。また、こうして収集された個人を特定できる情報が何に使われているのか、利用者にはよく分からないことではないか。その上、情報を収集している主体が通信事業者でないと、電気通信事業法第4条の「電気通信事業者の取扱中に係る通信の秘密は、侵してはならない」との規定は適用されません。通信事業者ではない経済主体が個人情報を管理する仕組みは、パソコン経由の通常の電子商取引に類するので、経産省や消費者庁の領域となっています。結局、適用法規は個人情報保護法となりますが、個人情報の収集にあたっての本人同意の取り方など実態の調査と基本的なルール作りが求められるところです。スマートフォンのアプリケーションがこの種の懸念を増大したと言えますが、これまでのパソコン主体の電子商取引においても、個人情報の提供やその利用を含めての本人同意の取り方にも併せて掘り下げが望まれます。

　他方、総務省においてもアプリケーションによって送出される情報や決済の仕組みから、そもそも電気通信事業にあたるのかどうか確認しているとのことです。先月の1月18日には、利用者視点を踏まえたICTサービスに係る諸問題に関する研究会（座長　堀部政男一橋大学名誉教授）の下に、「スマートフォンを経由した利用者情報の取扱いに関するWG」（主査　新保史生慶應義塾大学総合政策学部准教授）を開催すると総務省は発表しています。このWGでは、利用者情報の取扱いの在り方、利用者が知るべき情報と関係者による周知の在り方、望ましい利用者情報の取扱いなどを検討し、本年6月を目処に取りまとめを行う予定となっています。今後の議論と検討状況を見守っていきたいと思っています。

　今回のスマートフォン経由の個人情報流出問題には、我が国の情報通信サービス産業の規制のあり方と個人情報保護法制という行政組織を含めた基本的問題が底流にあるように思えてなりません。情報通信を利用した各種のサービスは、新しい事業分野であることが多く、従来の業界分野の規定には当てはまらないことが頻発しており、かつ、国境を越えて外国企業の参入によって行われる事例が多く見られるようになっています。これまでの規制では、複数の省庁にまたがるか、その間隙でどちらに属するのか明確でないケースが増えています。加えて、業界という意識に乏しく、個別企業の出自も国内外区々であるため、いわゆる業界の自主規制によって統制していく仕掛けは有効に機能していないのが実情でしょう。それでも当面は、従来の行政手法を最大限活かして、利用者の保護にあたると同時に、個人情報保護法に基づく主務官庁原則を弾力的に運用して、監督官庁間の協調・協力を求めたいと思います。

　そして、究極的には個人情報保護を専担とする中立的な第三者機関を設立して、利用者・消費者の懸念を払拭していく必要があると考えます。現在、政府において実施が進められている共通番号制度における個人情報保護機関の役割のさらなる拡大・向上を望みたい。個人情報の保護と活用は車の両輪です。直近のスマートフォンを経由した個人情報の流出は、これを利用したい経済主体がアプリケーションを通じて行っているものであり、本人同意を得ているとしても、やはり利用サイドのアプローチだけでは不安感を増幅してしまいます。利用（者）情報収集においては、強欲さに片寄らず、自制し、保護・管理についての信頼を得ておくことが大切です。インターネットの世界は自己責任が原則ですが、だからこそ、この市場の参加者には個人情報を利用するばかりでなく保護する責任もあることを忘れてはいけないのです。個人情報に対しては強欲であってはならず、謙虚であるべきです。オプト・アウト方式だけでは解決しないと感じています。