高木浩光＠自宅の日記

■ ヤフーの信用スコアはなぜ知恵袋スコアになってしまったのか

毎度ここぞという絶好のタイミングで反面教師となってくださるヤフーさん、7月から「Yahoo!スコア」の提供を開始すると発表したことで、情報銀行界隈の識者の方々の怒りを買っているようだ。「ヤフーが情報銀行はやらないって言ってたのはこのことか」とのコメントがあるが、ヤフーからすれば、オプトインなんかじゃ誰も使わねえよそんなもん（ワナにひっかけて承諾*1とらねえとなとな）ということなのだろう。つぶしあえーという感じだが、ここで悲しいかな笑われてしまっているのは、ヤフーが信用スコアの「信用行動」に「知恵袋での活躍度」*2を投入してきたところだ。

• Yahoo!スコアで利用しているデータ, Yahoo! JAPANヘルプセンター

  ■カテゴリーと利用データ

  カテゴリー	利用データ
  本人確認	Yahoo! JAPAN IDにひもづく住所・氏名・電話番号・メールアドレスなどの情報の登録率、登録された電話番号およびメールアドレスの有効性、Yahoo! JAPANが提供するサービスにおける住所確認や本人確認の有無等
  信用行動	ヤフオク!における取引実績や評価、ショッピングでのレビュー回数、知恵袋での活躍度、Yahoo! JAPANへの支払い滞納の有無および回数、利用規約・ガイドライン違反の有無および回数、宿泊・飲食店等の予約キャンセル率、キャンセル連絡有無などの行動実績等
  消費行動	Yahoo! JAPANが提供するEコマースサービス、Yahoo!ウォレット、Yahoo! JAPANカードなどの利用金額等
  Yahoo! JAPANサービス利用	Yahoo! JAPANが提供するサービスの利用頻度などの実績等

  
  

  Yahoo!スコアの作成および利用は、お客様のプライバシーの保護に十分に配慮したうえで実施しております。

  算出元データには、通信の秘密にあたる情報、スコア化することで不当な差別につながる可能性がある情報（要配慮個人情報、性別や職業等）は使用しません。

知恵袋での行動が知恵袋内での信用評価として使われるのは普通（そういうサービスだということ）だが、それが、知恵袋の外で、お金を借りるときとか、飲食店を予約するときに信用として必要になってしまう、そんな社会はまっぴらごめんだ。（だれにもわかりやすくてたいへんよい。）

ヤフーが信用スコアの作成をオプトアウト方式で全アカウント強制で行うとしていることから、どこが「お客様のプライバシーの保護に十分に配慮したうえで実施」だよと、識者の怒りを買っているわけである。

しかし私には見える。ヤフーがなぜこれで「プライバシーの保護に十分に配慮した」と言っているのかが。

実は、ヤフーの信用スコアは、昨年10月に実証実験を開始すると発表した際には、「購買履歴」「検索履歴」「ニュースの閲覧」が利用されるとされていた。

• ヤフー、信用スコアに年内参入　購買データなど分析 ID情報を点数化, サンケイビズ, 2018年10月11日

  事業化後はネット通販や中古品オークション、ニュースの閲覧や検索の履歴などを統計的に分析し、ＩＤごとの信用スコアを１００点満点で点数化する。

• ヤフー、ユーザーの信用を数値化「信用スコア」事業参入　購買履歴など活用, ITmedia NEWS, 2018年10月11日

  個々のIDと結び付いた購買履歴、検索履歴、性別などの属性情報を分析し、独自の基準で100点満点のスコアを算出するという。2018年内に本格的に事業をスタートさせる計画。

それが今回の正式スタートでは、購買履歴も検索履歴もニュースの閲覧履歴も含まないとしているのだ。GPS位置情報といったものも含まれていない。そこがヤフーの言う「プライバシーの保護に十分に配慮」なのだろう。

つまり、ヤフーは、「プライバシー」を（憲法学者などがよく言うように）個人の秘密に限られると捉えたのではないか。「知恵袋での活躍度」は公開されている情報なのだからプライバシーじゃないと言うのだろう。同様に、今回の「利用データ」で明かされた「ヤフオク!における取引実績や評価」も「ショッピングでのレビュー回数」もいずれも公開されている情報である。*3

だが、個人データ保護とはそういうことじゃない。EUにおけるGDPRは（その前身のデータ保護指令のときから）明確にしているように、秘密を守ることが個人データ保護なわけではなく、たとえ公開情報であってもそれを用いて個人を自動処理で選別することが問題（同意が必要など）とされるのである。

日本法はどうかというと、公開されている情報でも個人情報であるとされている*4ものの、その趣旨は必ずしも明らかでなく、前記のように「個人を選別することが問題」とされているかははっきりしない。逐条解説書で「個人情報のコンピュータ処理等に伴う個人の権利利益侵害の危険性、本人の不安等の社会問題に対応しようというもの」*5と、ぼんやりした説明がなされている程度である。ただ、昭和63年法（行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律）の法案立案時の資料に目を通すと、そういったことが当然の前提として想定されていたよう*6である。

日本法について、法目的に「プライバシー」保護であることを明記せよという意見は以前からあり、平成15年法の立案時にもそのような意見があったが、法制局審査資料を見ると、「プライバシー」が何であるかはっきりしないという理由だけでなく、それに限られないから、限定すべきでないという理由であえてそこの目的を明記しなかったという経緯がある*7ようである。

1980年のOECDガイドラインが「privacy」の語を用いたのが誤解を生むことになったのではなかろうか。「個人をデータで選別することの問題」もプライバシー問題の一種だという意見は昔からあったが、そこは、誤解させないために、「データプライバシー」などと呼んで意義を明確にするのがよい。EUでは、データ保護指令のときは「privacy」の語を用いていたのを、GDPRでは「privacy」の語を完全に排除*8しており、PIA（プライバシー影響評価）のことさえ、DPIA（data protection impact assessment）と言い換えて徹底しているのは、そういう誤解を排除することが意識されているものと思われる。

今回のヤフーの知恵袋スコアが「プライバシーの保護に十分に配慮」と称しているのは、この誤解がまたしても露わになったものと言えよう。（つまり、日本法もそのような誤解を避けるべく法目的を明確化する必要があるということ。）

ところで、Yahoo!スコアがオプトアウト方式でスコアの作成を既に開始してしまっているのは、個人データの目的外利用に当たり、個人情報保護法16条違反ではなかろうか。ヤフーとしては、スコアの他社への提供時に本人の同意を得るとして、それで適法だと勘違いしているようだが、スコア作成に知恵袋での行動が同意なく利用されているのは、個人データの目的外利用に当たる疑いがある。

ヤフーは今回のプレスリリースで、「「Yahoo!スコア」の利用目的を、ユーザーへの特典等の付与、審査プロセスの簡略化、コンテンツ最適化、サービスの改善、広告の配信等としました（※4）」としているが、スコアの利用目的の話ではない。スコアに投入する元データの利用目的が問題である。

「※4」のところを見ると、「詳細はプライバシーセンターをご確認ください。」とあって、リンク先を見にいくと、「パーソナルデータの活用」とあって、「Yahoo!スコア」のことは書かれているものの、知恵袋のことは書かれていない。知恵袋の利用規約等で知恵袋の利用目的について書かれている必要があるが、「Yahoo!知恵袋ヘルプ - Yahoo!知恵袋の利用には利用規約への同意が必要です」を見ると、スコアのことは書かれていない。

昨年10月のプレスリリースには、「IDに紐づくさまざまなビッグデータを基に機械的に算出したスコアを統計情報として提供し」と、「統計情報」と書かれていた点が気になる。個人情報保護法ガイドラインQ&Aでは、Q2-5で、「統計データへの加工を行うこと自体を利用目的とする必要はありません。」としているので、ヤフーはこれを根拠に知恵袋データの目的外利用に当たらないと勘違いしたのではなかろうか。

ここで言う「統計データ」というのは、Q1-14で「統計情報（略）は、特定の個人との対応関係が排斥されている限りにおいては、『個人に関する情報』に該当するものではないため、『個人情報』にも該当しないと考えられます。」とあるように、ある個人について属性情報が統計量になっている（ヤフーの言っていることはこれ）という意味ではなく、複数の個人についての個人データが集計されて統計量になったものを言うのであって、もはや一人ひとりの個人データではなくなったもののことを言っている（Yahoo!スコアが一人ひとりの個人データであるのは明らか）のである。

ヤフーが実際にどう勘違いしたのかははっきりしないが、目的外利用禁止違反*9の事例として個人情報保護委員会にはぜひ執行して実績としていただきたいものである。

今からでも、知恵袋やヤフオク!等の利用目的を変更して通知・公表すれば、それ以降に取得したそれらの個人データについては、個別の同意なくその目的で利用することはできる。（変更前に取得したものを用いることはできない。）*10