個人情報とともに漏洩した固有識別番号はもはや個人情報?
携帯電話が携帯向けサイトに対してデフォルトで送信する契約者固有IDは過去のエントリー(「固有IDは個人情報に該当しないは本当か?」)でも書いたとおりそもそも個人情報として位置づけられるべきと考えているが、特に利用者の個人情報とともに携帯電話の契約者固有IDが漏洩した場合には、個人情報保護法でいうところの「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に該当するところとなり、漏洩の対象となった利用者に対してキャリアによる契約者固有IDの再割り当てなどの処置が必要なのではないだろうか。
現在の固有ID送信を前提としたサービスについてはIDの変更によりサービスが使えなくなったり、再登録が必要となったりとそれなりのデメリットが生ずることも考えられるが、これらは現行の携帯ウェブにおける契約者固有ID送信による識別(認証)スキームの問題点の一つといえるだろう。
これまで携帯電話の固有IDの悪用のシナリオについていろいろな人の話を聞いたが、架空請求の脅しに使われるのでは?といったものが大半であった。しかし自分では、架空請求のうまみは何もしなくてもサイトの閲覧者が自動的にお金を振り込んでくれるところにあり、攻撃者がわざわざそんな面倒なことをする必要はないだろうと考えている。またそもそも個人情報を入手しているなら直接メールを送りつけるなりして直接架空の請求をすれば済む話だ。しかし知らない間に固有IDを含む個人情報が横流しされ知らないうちに自分のアクセス情報が何か不正な目的に利用されているとすると話は別だ。
朝日新聞が6/22に報じた下記の事件では一見無害なサイトに登録した個人情報が他の怪しげなサイトに横流しされている様子が報じられた。この件において契約者固有IDが横流しの対象となっているかは不明だが、契約者固有IDを含む個人情報が横流しされるケースが発生するということは十分に考えられる。
着メロ会員情報、出会い系に横流し メルアド30万人分(Asahi.com, 6/22)
http://www.asahi.com/digital/internet/TKY200906210188.html
「着メロ」などの一般サイトに登録された会員のメールアドレスなどの情報を、複数の出会い系サイト運営会社に横流ししていたことが、運営会社幹部の証言などでわかった。
このような横流しの事実が判明した場合、一般の利用者にその責を問うのは難しいと考えられ彼らはあくまでも被害者であると考えるべきだろう。こういった横流しの事実が判明した状況下においてもキャリアがこれまでに言っていたように「契約者固有IDは個人情報ではなく自由に流通させてよい」と言い切れるだろうか。個人情報とともに契約者固有IDが横流しあるいは流出された時点で契約者固有IDは個人情報としてみなされ、容易にIDの変更を可能とする等の措置をとる必要があるのではないだろうか。
最近のコメント