はじめに
GPS機能搭載の電子機器が登場した当時、「位置情報が筒抜けになる」ということで嫌悪感を抱いた人が多かったことだろう。だが今となっては、GPS機能は無くてはならないものとなり、その嫌悪感も非常に薄まっているように思える。
とはいえ見方次第では、位置情報はやはりセンシティブな情報だといえる。特に海外でその傾向が強いようだ。そこで本記事では、海外での位置情報事情について解説していきたいと思う。
位置情報はどのような情報なのか?
日本の個人情報保護法では、位置情報は個人関連情報と位置付けされることが多い。
ここで今一度、日本の個人情報保護法における「個人情報」や「個人関連情報」などの定義について振り返ってみようと思う。
まず、「個人情報」の定義は、個人情報保護に関する法律の第2条第1項で以下のように定められている。
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。 (1)当該情報に含まれる氏名、生年月日その他の記述等で作られる情報(中略)により特定の個人を識別できるもの(後略) (2)個人識別符号が含まれるもの
個人情報保護に関する法律第2条第1項
本人の氏名は個人情報だ。また、生年月日や連絡先のような情報と、本人の氏名を組み合わせた情報も個人情報だといえる。ほかにも、防犯カメラに記録された本人だと識別可能な映像や、SNSで公にされている特定の個人を識別する情報も個人情報だとされる。
続いては「個人関連情報」についてだ。
個人関連情報の定義は、同じく個人情報保護に関する法律の第2条第7項で以下のように定義されている。
生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
また個人関連情報は、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)によると、
- Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
- メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
- ある個人の商品購買履歴・サービス利用履歴
- ある個人の位置情報
- ある個人の興味・関心を示す情報
と定義されている。
ということで、個人の位置情報は個人関連情報として扱われることが多い。個人関連情報は、個人情報ほどの厳格な管理が求められないとはいえ、第三者提供における本人の同意などの制限が存在する情報だ。
ただし、超高精度の位置情報で、ピンポイントで居場所が判別可能である場合は、個人を特定できる情報だといえるため、個人情報として扱われる可能性もある。ケースによっては個人情報にもなり得るし個人関連情報にもなり得る情報なので、位置情報は取り扱いが難しい情報だといえる。
海外の位置情報事情
ここからは海外における位置情報事情を紹介していこうと思う。
海外で話題になった位置情報関連のニュース
アリゾナ州とGoogleの事例
2020年5月、アリゾナ州司法省はGoogleが位置情報の収集においてアリゾナ州の消費者詐欺法に違反していると主張し、数百万ドル単位の罰金と賠償金を支払うことを命じた。そして最終的に、2022年10月にアリゾナ州とGoogleは和解を発表し、Googleはアリゾナ州に8,500万ドルを支払うことになった。
ではGoogleはどのような違反をしてしまったのだろうか。
まず、この訴訟の始まりは2018年に投稿されたAP通信の記事がきっかけだった。AP通信の調査で、Googleのサービスにおいて利用者がプライバシー設定を無効にしていたとしても、位置情報を保存していることが明らかになったのだ。
具体的に解説すると、まずGoogleは、Googleマップのように位置情報を取得する必要のあるサービスにおいて、利用者に対して位置情報履歴取得の許可を求めるようにしている。これに対して利用者が許可すれば位置情報は取得されるし、許可しなければ位置情報が取得されない。と、多くの利用者は考えていたはずだ。
しかし実態は違った。利用者が位置情報履歴をオフにしても、Googleマップを開くだけで自動的にタイムスタンプ付きの位置情報データが取得される仕組みになっていたのだ。
これに対してGoogleは、「位置情報データの自動的な取得は、別の設定でオフにすることができる」と主張した。確かに「ウェブとアプリのアクティビティ」という設定をオフにすることで、位置情報データの自動的な取得を防ぐことは可能だった。
ただしそれはつまり、ポップアップで許可を求めてくる「位置情報履歴」をオフにしても、デフォルトで有効となっている「ウェブとアプリのアクティビティ」をオフにしない限り、位置情報データが自動的に取得されるという仕組みということだ。利用者ファーストで設計するのであれば、「位置情報履歴」をオフにするだけで位置情報取得を完全に停止できるようにすべきだっただろう。
そしてアリゾナ州も独自の調査を進め、マーク・ブルノビッチ司法長官が2020年にGoogleを提訴。最終的にGoogleはアリゾナ州に8,500万ドル支払うことになり、そのうち775万ドルがこの訴訟で携わった民間の弁護士に。残りの7,725万ドルは教育、ブロードバンド、プライバシーに関する取り組みに用いられる見込みとなった。
以前から「位置情報履歴をオフにしているのに、なぜ明らかに位置情報に連動した検索結果が表示されるのだろう」と疑問に思っていた。そして実際に設定画面で確認してみると、やはり「ウェブとアプリのアクティビティ」が有効になっていた。
とはいえ、Googleはプライバシーポリシーで位置情報を使用する目的や現在地を認識する仕組みを公開している。そしてそこには、「ウェブとアプリのアクティビティ」に保存されるアクティビティに位置情報が含まれる場合があることがしっかりと明示されている。
カリフォルニア州のジオフェンス令状却下の事例
2022年10月、カリフォルニア州の裁判所は、サンフランシスコ警察に発行されたジオフェンス令状がCalECPAに違反するとの判決を下した。
まずジオフェンス令状とは、民間で活用されているジオフェンス技術を活用することで個人の詳細な情報を開示させる令状のことだ。具体的には、対象となる区域内の特定の時間に存在した全てのデバイスからデータを収集する手法となっている。
そしてCalECPAとは「California Electronic Communications Privacy Act(カリフォルニア州電子通信プライバシー法)」のことを指す。
この問題のきっかけは、2018年に起きた強盗事件まで遡る。民間の監視カメラによって強盗を撮影することに成功するものの、映像から容疑者を特定するのが困難だったために、サンフランシスコ警察がジオフェンス令状に目をつけたのだ。
ジオフェンス令状は、デバイスの所有者が捜査中の犯罪と関係があるかどうかにかかわらず、指定された期間に特定エリアに存在した全てのデバイスのデータを収集できてしまう。もちろん、機密性の高い情報のため、プライバシーの観点で問題点があるといえる。
なお、Googleはジオフェンス令状に対応するために3つのステップを設けているようだ。まず、対象となる区域内にある全てのデバイスのIDを非識別化したリストを警察に提供する。そして次に、警察は興味のあるデバイスを絞り込んで、そのデバイスが犯罪発生前にどこから来たのか、犯罪発生後にどこに向かったのかを確認することができる。そして最後に、警察は対象端末をさらに絞り込み、Googleはその端末を所有しているユーザーの完全なアカウント情報を提供する。一般的に、どの端末を対象とするかを決める際に、警察は大きな裁量権を持っている。
位置情報は国家機密?
位置情報は非常に価値のあるデータだといえる。もし仮に世界中の人々の位置情報をリアルタイムでモニタリングできるようになれば、世界を変えるようなサービスが出現しても全くおかしくない。例えば、世界中の人々の位置情報をビッグデータとしてAIに与えれば、ちょっとした未来予測ができるかもしれないのだ。
また、国家の安全を守るという名目で位置情報が役立つ可能性がある。実際に、フォグデータサイエンス社(バージニア州)が提供しているフォグリベールは、国会議事堂での暴動に参加した可能性のある人物を追跡する犯罪捜査で2018年から活用されている。このフォグリベールは、2億5,000万台の携帯電話から数千億件の記録を活用することで生活パターンを作成できるという。
しかしだからこそ、自国の位置情報は厳重に管理しなければならないといえるだろう。実際に中国は国家安全法やデータ安全法などで、位置情報を含めたデータを海外に流出させることを厳格に制限している。これがここ最近で話題になっているデータローカリゼーションの動きだ。
法執行機関が位置情報を握るべきか
現在、ジオフェンス令状のように法執行機関が位置情報を握るべきかどうかで議論が進められている。確かに、国民の位置情報を法執行機関が活用できれば、捜査能力は飛躍的に向上するのは言うまでもない。容疑者の動向を監視カメラで断続的に監視するよりも、位置情報を活用して監視した方がスマートだといえる。
ただし、位置情報が悪用される可能性があるのも否めない。ジオフェンス令状のように犯罪に関係あるかどうかに関係なく、特定の期間の特定のエリア内のデバイスのデータを全て取得するのは、プライバシー保護の観点では大きな問題だといえる。そのため、法執行機関は本当に最後の手段としてジオフェンス令状を用いるべきだ。
しかし、実態はそうでないように見える。Googleの調査によれば、全米50州のジオフェンス令状に基づくGoogleに対する請求の数は、2018年の941件から2020年には11,033件と急増している。
もし法執行機関がジオフェンス令状を活用するのであれば、指定エリアを可能な限り小さくして、入手したデータは捜査終了後に速やかに削除するべきだ。また、令状の取得に関しては、ジオフェンス令状を必要とする理由を明確にする必要があるだろう。
まとめ
- 海外において位置情報はセンシティブな情報
- Googleは位置情報取得においてカリフォルニア州の法律に違反し、8,500万ドルの和解金を支払うことになった
- 法執行機関が民間企業から利用者の位置情報を取得できるジオフェンス令状が、米国で問題視されている
参考文献
Arizona AG sues Google for consumer fraud over cell phone tracking
AZ and Google settle consumer fraud lawsuit for $85 million
AP Exclusive: Google tracks your movements, like it or not
First Court in California Suppresses Evidence from Overbroad Geofence Warrant