• はじめに
• 動画の補足＆解説
  • 個人情報とは？
  • IPアドレスと一意性
  • Re-identificationとビッグデータ
  • 注目するべき法律/レギュレーション/スタンダード
  • 個人情報の取り扱い方と非個人情報化(De-identification)
• まとめ

はじめに

最近、noteでIPアドレスが漏洩したという事で話題になっていますね。

note.jp

その中に、

なお、一般的なIPアドレスから、個人情報を特定することはできません。

とあります。言われたい事は分かるのですが最新の個人情報保護の観点からはIPアドレスは個人情報そのものです。せっかくなので今回は個人情報って何？ っていう点を含めて解説動画を作成してみました。

www.youtube.com

動画の補足＆解説

個人情報とは？

動画の中でも話しましたが「個人情報」というのは現代の定義では非常に広範囲です。また、面倒なのはこの定義は法律やレギュレーションによって結構違います。

最近の定義はGDPRっぽい内容を採用していることが多いですが、古いものは全然違う事もありますし、GDPR/CCPA/個人情報保護法案の中でも違いはあります。下記のブログが非常によくまとめられているので参考になると思います。

note.com

ちなみに、日本では厳密にはIPアドレスは個人情報では無いこともあります。他の個人情報と組み合わせれなければ個人情報では無いですね。なので今回の件でnoteが他の個人情報は管理してないならば、セーフになります。とはいえ、多くの会社では紐づけれる可能性が非常に高いですし、なによりこの手の法律は今後厳しくなっても緩くなることは無いのでGDPR/CCPAに従っておくのが無難だと思います。

それと動画の中で言うのを忘れていましたが、指紋や顔などの生体情報も重要な個人情報です。普通しないでしょうが、生体認証をサーバサイドでやる場合には要注意ですね。

もう一つ注意点として、繰り返しますが言葉の定義の揺らぎが非常に多いことです。「PII」と言ってもどういう意味か一意にはならないので、社内で定義しなおすか「GDPRと同様の定義を使う」 とか「個人情報保護法案の個人情報の定義に準拠する」とかを明示しないと混乱します。レギュレーションによってはPIIが識別子だけを指すケースもありますし。。。

IPアドレスと一意性

IPアドレスは個人の認証には使えません。それは、動画でも述べた通り場所に紐づくので家族や職場/学校、場合によっては集合住宅で同一になるからです。

また固定IP出ない場合はISPの都合の良いタイミングで変わる事もあります。しかしながら、実際にはさほど頻繁には変わらないため、確実性の低い本人識別の手段としては十分に機能してしまうんですね。

警察がIPアドレスを頼りに操作をして炎上するのは、確実性の低い本人確認手段であるIPアドレスを唯一の根拠にしてるように見えるからであって、補助情報として使うのはとても正しいのだと思います。

Re-identificationとビッグデータ

IPアドレスからインターネット上の他の情報をかき集めて「個人」を浮き彫りにする作業をRe-identificationと呼びます。別に犯罪じゃなくてもマーケッティングやアドテクでも使われますね。今は適切に運用する事が求められますが。

そしてこれにMLや統計処理と組み合わせることで、存在しないピースを埋めることもできます。

www.dappsway.com

これは技術的にはとても興味深いですが、情報の取り扱いとしては見せ方も含めて気にする必要があるという事例でもあります。

注目するべき法律/レギュレーション/スタンダード

動画でも話した通り代表的なものは以下です。

• プライバシー保護法 (2020年改訂)
• GDPR (EU一般データ保護規則) <- お手本
• CCPA (カリフォルニア州消費者プライバシー法)
• ISO27701 (ISO27001(ISMS)をベースに個人情報管理を強化)
• NIST Privacy Framework

他にもPマークとかを思い浮かべる人も居るかもしれませんが実はあの定義は少し古いです。個人情報の範囲が少し狭かったり、個人情報処理者の視点が抜けてたります。なので、個人情報の管理がしっかりできてる事を示せるスタンダードのISO27701 (PIMS規格)への準拠を目指す方が今後は良いはずです。

ちなみに動画の中で2018年と2020年にプライバシー保護法が改正と言ってしまいましたが、2017年と2020年でした。すいません。

個人情報の取り扱い方と非個人情報化(De-identification)

仮名化(Pseudonymization)は匿名化(Anonymization)と違いまだ個人情報だと言いましたが、すべての個人情報が同じコントロールをしないといけないわけではありません。 個人情報なので取り扱いルールを適切に作って運用は必要ですが、それがあるならリスクに応じた運用は可能です。 たとえば、生データを触るのは携帯も持ち込めないセキュリティルームじゃないとダメだけど、仮名化後のデータは通常の執務室で取り扱ってもいいとか、そういうルールを定義して実行はできます。

なので個人情報を直接書き換えたりする必要がある業務以外はPseudonymizationを検討するべきだと思います。 GoogleのCloud DLPなどPseudonymizationやAnonymizationをサポートしてくれるツールもあるので実務ではそれを使うのも検討してみても良いかもしれません。

まとめ

IPアドレスは個人情報っぽくは確かに思えないですが、きちんと個人情報です。言われてみればIPアドレスが動的に降られていてもめったに再接続しないから変わらないですよね。

かつては掲示板に書き込めば普通に公開されていた情報なので、そこまで取り扱いは厳しく無かったのですが現状ではやはり個人情報に準じる扱いをする必要があるなとあらためて思いました。

もう1点、GDPRが当時騒がれていましたが日本のプライバシー保護法案もそれにどんどん近いものになってきています。なので、この辺の知識は改めてアップデートしておくのは大事ですね。私も今回調べてみていろいろ勉強になりました。

それでは、Happy Hacking！