■ 「不適正利用禁止」規定は立案段階で内閣法制局にどう捻じ曲げられたか この話題はJILISレポートに論文調で書こうと思っていたが、個人情報保護法第2期「3年ごと見直し」がだいぶヤバい感じになっている（最終的には大丈夫だろうとは思っているが）ので、パブコメ期限を月曜に控え、取り急ぎここに走り書きしておく。 どう「ヤバい」のかは、先週の緊急シンポジウムのスライドに書いたが、ここで言いたいのは、そのスライドの「なぜこの混乱が起きたか」のページに書いたように、要するに、令和2年改正で現在の「不適正利用禁止」規定が、立案される過程で、内閣法制局の無理解によって、個情委事務局がやりたかったこととは違うものができてしまったこと、これに端を発するということだ。それが、今回見直しでの個情委事務局の理解を誤らせているのである。 以下では、情報公開請求で開示された令和2年改正時の法制局審査資料*1から、関係箇

■ 個人情報保護法第2期「3年ごと見直し」が佳境に差し掛かっている 個人情報保護委員会の3年ごと見直しの検討は既に昨年11月の時点から始まっており、事務局が示す方向性も3月の時点で公表されていたが、とくに表立って何も言わなかったのは、意見は公式に言うつもりだったからだ。しかし、前回（5年前）は4月に中間整理が公表され5月にヒアリングに呼ばれたのに、今年はトラブルがあったようで中間整理が出てこないし、何の連絡も来ないので、はたして呼ばれるのだろうか？呼ばれない可能性の要因もいくつか考えられるよな？と戦々恐々としていたのだったが、突如お呼び出しがあり、6月12日の委員会で意見表明の機会をいただき、無事にお話ししてきた。 いつもだとスライドを資料とするのだが、スライドでは真意が伝わりそうにないと考え、今回は頑張って文章にした意見書を書いて資料とすることにした。なにぶん2週間前に依頼があり、資料提

■ 文化庁「AIと著作権に関する考え方について（素案）」パブコメ結果について生成AIに聞いてみた 文化審議会著作権分科会法制度小委員会の、「「AIと著作権に関する考え方について（素案）」のパブコメ結果」が気になるところだが、読むのはしんどそうなので、Claude 3に丸投げしてみた。 （94011401_01.pdf を添付して） 私：添付したのは、文化庁の「AIと著作権に関する考え方について（素案）」に対するパブリックコメントの募集結果です。後半部分に、重要な意見のリストと文化庁の回答が掲載されています。全体としてどのような傾向が読み取られますか。 Claude：添付された文化庁の「AIと著作権に関する考え方について（素案）」に対するパブリックコメントの募集結果からは、以下のような傾向が読み取れます。 総論関係では、本考え方の取りまとめや現行著作権法の解釈の明確化について一定の評価がある

■ 速報：Claude 3に判例評釈を自動生成させてみた（Coinhive事件最高裁判決の巻） 一昨日の「Claude 3に例の「読了目安2時間」記事を解説させてみた」の感触からすると、これだけLLMが長文の意味内容を「理解」するようになったとなると、もはや、書評や論文紹介、判例批評など、定形的なスタイルを持つ学術記事は、LLMによって自動生成が可能なんではないか？と思えてくる。 というわけでやってみた。土地勘のあるところで、Coinhive事件最高裁判例（刑集第76巻1号1頁）でやってみよう。しかし、さすがに、ただ最高裁の判決文を投入するだけでは、通り一遍の内容のない判例評釈になってしまうことが予想される。そこで、実在する一審の解説と二審の解説（私が書いたやつ）を読ませて、それを踏まえた最高裁判決の評釈を生成させてみる。これはうまくいくに違いない。たぶん。いや、どうかな。 さて結果は……

■ Claude 3に例の「読了目安2時間」記事を解説させてみた Anthropicの先日出たばかりのClaude 3（Opus）が、ChatGPTのGPT-4を超えてきたと聞いて、自分の原稿を解説させてみたところ、確かに革新的な進歩が見られる。もはや内容を「理解」しているようにしか見えない。GPT-4では、昨年11月に試した時には、そうは見えず、優れた文章読解補助ツールという感じでしかなかった。 一昨年のCafe JILIS「高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱」は、発表した当時、長すぎて読めないから誰か要約してという悲鳴があがっていた。その後、ChatGPTの登場で、その要約能力に期待されたが、冒頭のところしか要約してくれなかったり、薄い論点リストが出てくるだけで、その期待に応えられるものではなかった。 もっとも、GPT-4でも、質問力があ

■ 情報法制研究11号に連載第5回の論文を書いた 5月発行の情報法制研究11号に連載論文「 個人情報保護から個人データ保護へ—民間部門と公的部門の規定統合に向けた検討」のシリーズ(5)を書いた。報告が遅くなったがここでも宣伝しておきたい。もう次の12号が出るので、しばらく後に11号はオープンアクセスになって会員でなくても閲覧できるようになるはず。 高木浩光, 個人情報保護から個人データ保護へ—民間部門と公的部門の規定統合に向けた検討(5), 情報法制学会「情報法制研究」第11号（2022年5月） そういえばシリーズ(4)の報告もしていなかった。前回ここで報告したのは 、シリーズ(3)の時の2018年12月26日の日記「情報法制研究4号に連載第3回の論文を書いた（パーソナルデータ保護法制の行方 その3前編）」で、もう4年前のことになる。「パーソナルデータ……」 何もかもみな懐かしい。「パーソ

■ 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た 内閣デジタル市場競争本部の「デジタル市場競争会議ワーキンググループ」が、「モバイル・エコシステムに関する 競争評価中間報告」 に対するパブリックコメントを募集している（今月10日23時59分まで）。これについては先月、ITmediaニュース「小寺信良のIT大作戦」で、「「iPhoneにサイドローディングさせろ」を国が言うのは妥当か」との記事が出ていて話題になっていた（はてブの反応、スラドの反応）。 中間報告の内容は多岐にわたっており、全部を把握していないが、ざっと見ると、技術的に誤った理解を前提にし、ろくに調査することなく技術面を蔑ろにしている箇所が、チラホラある。会合の記録を見ると、会議は非公開で行われ、パブコメ開始までに議事録も出して来ない*1。委員に技術者はいないし、技術者からの意見聴取もしていないようだ。そのくせ、技術的な問題

まず、平成27年改正と令和2年改正で、「〇〇情報取扱事業者」という用語が増えた。全部で4つになった。これが令和3年改正で、用語定義が一箇所に集められ、見通しが良くなった。そこを抜粋すると以下である。 （定義） 第16条 この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの（……）をいう。 一　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの 二　前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの 2　この章及び第6章から第8章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。 （略） 5　この章、第6章及び第7章において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情

■ 不正指令電磁的記録罪の構成要件、最高裁判決を前に私はこう考える Coinhive事件の上告審判決言渡しが明日に迫ってきた。私としては、昨年4月のL&T91*1で自説を述べたところである。言いたいことは書き切ったのだったが、読み返してみると、紙幅の都合でギシギシに詰めてロジックを書き込んだため、いささか意味を理解されにくい箇所があるところに悔いが残った。どこかに補足を書いておきたいと思っていたのだが、本業に勤しんでいるうちにとうとう直前になってしまった。もはや書いても判決には何ら影響しないが、判決前のうちに書いてしまっておきたい。 私見の要旨 L&T91で述べた私の見解の根幹は、改めて要約（説明の順番を入れ替え単純化するなどして要約）すると以下の通りである。 一審判決が、「意図に反する動作」該当性（反意図性）を肯定し「不正な」該当性（不正性）を否定して無罪としたものであったところ、反意図

■ 緊急速報：マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか まえがき 個人番号（マイナンバー）を、法定された目的（税とか社会保障とか）以外で他人に対して提供を求めることが禁止されていることは、わりと広く知られており、みんな遵守してきたところだろう。だが、今、どう見ても目的外で提供を求めている（自社サービスの利用者登録の目的とされている）スマホアプリがあるということで、個人情報保護委員会の出方が問われているところ、宇賀説（宇賀克也『番号法の逐条解説』有斐閣）によれば合法ということになるのではないか？（おそらく弁護士らもそれを参考にしていたのでは？）という話が出ているのだが、これについて、番号法（行政手続における特定の個人を識別するための番号の利用等に関する法律、平成25年法律第27号）の立案過程で、内閣法制局で二転三転していたことが判明したので、至急、速報的に、こ

■ 日本版ePrivacy立法を目指すならクッキーのつまみ食いではなく通信の秘密の再構成を含めて検討するべき 総務省総合通信基盤局電気通信事業部消費者行政第二課が「プラットフォームサービスに関する研究会」の「中間とりまとめ（案）」のパブコメ募集をしていたが、気付いたら期限ギリギリになっていたので、急いで個人で書いて提出した。 「プラットフォームサービスに関する研究会 中間とりまとめ（案）」に対する意見 東京都墨田区在住 高木浩光 2021年8月22日 意見 日本版ePrivacy立法を目指すならクッキーのつまみ食いではなく通信の秘密の再構成を含めて検討するべきである。 理由 脚注101に「eプライバシー規則（案）を踏まえて制度化に関する検討を進めるべきではないか……等の指摘があった。」とされているが、日本版ePrivacy立法を目指すのであれば、cookie関係の規定だけ真似るのではなく、

■ 郵便事業がコモンキャリアを逸脱すれば郵便物を差し出す事業者が個人情報保護法に抵触する 総務省の郵政行政部が「デジタル時代における郵政事業の在り方に関する懇談会」の最終報告書（案）のパブコメ募集をしていたので、先ほど急いで書いて提出した。 「『デジタル時代における郵政事業の在り方に関する懇談会』最終報告書（案）」に対する意見 東京都墨田区在住 高木浩光 2021年7月12日 意見1 仮名加工情報に過大な期待が見られるが制度に誤解があるのでは 報告書案5頁には、「こうしたデータ活用のためには、たとえば令和2年改正後の個人情報保護法の定める『仮名加工情報』の仕組みの利用が考えられる」とあり、13頁には、「特定のエリアにおける郵便物の動き（配達データ）等を分析し、地域の経済活動の見える化やグループ内でのエリアマーケティング等に活用」の手段として「仮名加工情報」の利用が例示されているが、そもそも

■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。 そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ

■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」（改定第7版2015年、初版2006年）のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック／ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF（クロスサイト・リクエスト・フォージェリ） 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落 というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の

■ メールのFrom:には複数のアドレスを書けるがS/MIME署名は？ メール本体のヘッダにある「From:」フィールド（Outlook Express日本語版では「送信者」として表示される）には複数のアドレスを記述できる。この仕様のことはあまり知られていないかもしれない。（なしにろ、そもそもFrom:が自由記述する場所だと知らない人も少なくないくらいなのだから。） From:に複数のアドレスを書くのがどういうときかというと、たとえば、結婚する2人が連名で披露宴の案内メールを出す場合など*1だ。新郎と新婦のメールアドレスをコンマで区切って並べて書く。そして、実際に送信を行う者のアドレスをSender:に書く（ここには1つのアドレスしか書けない仕様になっている）。 From: "新婦の名前" <shinpu@example.com>, "新郎の名前" <shinro@example.jp>

■ 続・検察官は解説書の文章を読み違えていたことが判明（なぜ不正指令電磁的記録に該当しないのか その4） Law & Technology誌に、板倉先生から解題をいただき、横浜地裁のコインハイブ事件無罪判決についての評釈を書かせていただいた。 Law & Technology No.85, 民事法研究会, 2019年10月 板倉陽一郎, 解題 コインハイブ事件, pp.15-19 高木浩光, コインハイブ事件で否定された不正指令電磁的記録該当性とその論点, pp.20-30 横浜地裁でモロさん事案が無罪判決となり、その後、検察側が東京高裁に控訴し、公判が未だ開かれない状況にある中、ここ（日記）に書こうと思っていたことを、法学雑誌の判例評釈スタイルで書いた。内容は基本的に4月26日の日本ハッカー協会のセミナーでお話し*1したこと*2（の一部）であるが、いくつか新たな根拠も見つけたのでそれを含

■ あのSuica事案が国立大入試問題になっていた 6月のこと、日本著作権教育研究会から連絡があり、私の著作物が今年の東京学芸大学の入試問題に使用されたとのことで、転載の許諾を求めるものであった。一昨日それが以下で公開された。 東京学芸大学過去問題2019年, サイバーカレッジ, 日本著作権教育研究会 出題されたのは、A類社会選修、A類環境教育選修、B類社会専攻の‎「現代社会」の問題において。5年前の朝日新聞に掲載されたコラムが以下のように使用されている。 コラムの途中までしか使用されず、肝心の主張部分は掲載されなかったが、Suica事案の何が問題なのかを説明した部分がバッチリ使われている。他にもあの「赤本」（教学社）にも収録されるようなので、これからの受験生にも読まれることになるであろうか。 このコラムの全文は既に2015年3月8日の日記の図1に転載していた*1。カットされた残りの文章は

■ 天動説設計から地動説設計へ：7payアプリのパスワードリマインダはなぜ壊れていたのか（序章） 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。（何を言ってるかわからねえだろうと思うが。） — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2

■ 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない 昨日からこれが話題になりつつある。 総務省の資料より。ウイルスがダメなのはわかるけど、どこからがウイルスと捉えられるのかが問題。「ユーザーの意図に反する動作」っていわれても「ユーザー」のリテラシによるから難しいなぁ。 pic.twitter.com/hpGnPmUWlS — はぁこ🌸ビール女子麦子開発中 (@paco_itengineer) June 23, 2019 みんなに役立たないことにプログラミング技術を使った奴はタイーホ了解！！！！！！！！！自分のためにしか役に立たなかったり面白いだけで役に立たないことにプログラミング技術を使っているみなさん！！！！！！！ pic.twitter.com/YUjSTzmUkj — sksat@OtakuAssembly (@sksat_tty) June 24, 2

ヤフオク!における取引実績や評価、ショッピングでのレビュー回数、知恵袋での活躍度、Yahoo! JAPANへの支払い滞納の有無および回数、利用規約・ガイドライン違反の有無および回数、宿泊・飲食店等の予約キャンセル率、キャンセル連絡有無などの行動実績等 Yahoo!スコアの作成および利用は、お客様のプライバシーの保護に十分に配慮したうえで実施しております。 算出元データには、通信の秘密にあたる情報、スコア化することで不当な差別につながる可能性がある情報（要配慮個人情報、性別や職業等）は使用しません。 知恵袋での行動が知恵袋内での信用評価として使われるのは普通（そういうサービスだということ）だが、それが、知恵袋の外で、お金を借りるときとか、飲食店を予約するときに信用として必要になってしまう、そんな社会はまっぴらごめんだ。（だれにもわかりやすくてたいへんよい。） ヤフーが信用スコアの作成をオプト