■ 情報法制研究12号に画期的な論文（連載第6回）を書いたのでみんな読んでほしい こう言っては何だが、画期的な論文ができた。「情報法制研究」の連載「個人情報保護から個人データ保護へ」の第6回である。 非会員でも有斐閣からオンデマンド出版で買えるようになるはずなので、みんな読んでほしい。 高木浩光, 個人情報保護から個人データ保護へ(6)——法目的に基づく制度見直しの検討, 情報法制学会「情報法制研究」第12号 （2023年9月3日追記：先月からオープンアクセスとなり誰でも読めるようになった。） 今回の章の構成はこうなっている。見出しの数は前半が多いが 、本文の分量的には後半の節が長く、「3. (3) 」までが前半となっている。各節のダイジェストを載せようかと思ったが、どの段落も省略できず全文転載に近くなってしまうので、やっぱり見出しだけ。 VII. 個人データ保護の法目的 1. 本章の概要

■ 情報法制研究11号に連載第5回の論文を書いた 5月発行の情報法制研究11号に連載論文「 個人情報保護から個人データ保護へ—民間部門と公的部門の規定統合に向けた検討」のシリーズ(5)を書いた。報告が遅くなったがここでも宣伝しておきたい。もう次の12号が出るので、しばらく後に11号はオープンアクセスになって会員でなくても閲覧できるようになるはず。 高木浩光, 個人情報保護から個人データ保護へ—民間部門と公的部門の規定統合に向けた検討(5), 情報法制学会「情報法制研究」第11号（2022年5月） そういえばシリーズ(4)の報告もしていなかった。前回ここで報告したのは 、シリーズ(3)の時の2018年12月26日の日記「情報法制研究4号に連載第3回の論文を書いた（パーソナルデータ保護法制の行方 その3前編）」で、もう4年前のことになる。「パーソナルデータ……」 何もかもみな懐かしい。「パーソ

■ 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た 内閣デジタル市場競争本部の「デジタル市場競争会議ワーキンググループ」が、「モバイル・エコシステムに関する 競争評価中間報告」 に対するパブリックコメントを募集している（今月10日23時59分まで）。これについては先月、ITmediaニュース「小寺信良のIT大作戦」で、「「iPhoneにサイドローディングさせろ」を国が言うのは妥当か」との記事が出ていて話題になっていた（はてブの反応、スラドの反応）。 中間報告の内容は多岐にわたっており、全部を把握していないが、ざっと見ると、技術的に誤った理解を前提にし、ろくに調査することなく技術面を蔑ろにしている箇所が、チラホラある。会合の記録を見ると、会議は非公開で行われ、パブコメ開始までに議事録も出して来ない*1。委員に技術者はいないし、技術者からの意見聴取もしていないようだ。そのくせ、技術的な問題

■ 不正指令電磁的記録罪の構成要件、最高裁判決を前に私はこう考える Coinhive事件の上告審判決言渡しが明日に迫ってきた。私としては、昨年4月のL&T91*1で自説を述べたところである。言いたいことは書き切ったのだったが、読み返してみると、紙幅の都合でギシギシに詰めてロジックを書き込んだため、いささか意味を理解されにくい箇所があるところに悔いが残った。どこかに補足を書いておきたいと思っていたのだが、本業に勤しんでいるうちにとうとう直前になってしまった。もはや書いても判決には何ら影響しないが、判決前のうちに書いてしまっておきたい。 私見の要旨 L&T91で述べた私の見解の根幹は、改めて要約（説明の順番を入れ替え単純化するなどして要約）すると以下の通りである。 一審判決が、「意図に反する動作」該当性（反意図性）を肯定し「不正な」該当性（不正性）を否定して無罪としたものであったところ、反意図

■ スマホ覗き見の反復で迷惑防止条例違反の犯罪に？改正ストーカー規制法の位置情報規定に不具合か 先々週、警視庁生活安全部が、東京都の迷惑防止条例（正式名称「公衆に著しく迷惑をかける暴力的不良行為等の防止に関する条例」）の改正を目指しているとのことで、改正概要をパブコメにかけていた。どういうわけかその説明ページが消滅している *1のだが、先ほど締め切りだったので、急いで書いて意見提出した。 【生活安全総務課】警視庁では、東京都の「公衆に著しく迷惑をかける暴力的不良行為等の防止に関する条例」の一部を改正することを検討しています。令和3年12月13日から同年12月26日までの間、皆様から御意見を募集します。詳しくは警視庁ホームページを御覧ください。https://t.co/J9xe1ZcLa4 — 警視庁生活安全部 (@MPD_yokushi) December 12, 2021 これだが、「専

■ 緊急速報：マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか まえがき 個人番号（マイナンバー）を、法定された目的（税とか社会保障とか）以外で他人に対して提供を求めることが禁止されていることは、わりと広く知られており、みんな遵守してきたところだろう。だが、今、どう見ても目的外で提供を求めている（自社サービスの利用者登録の目的とされている）スマホアプリがあるということで、個人情報保護委員会の出方が問われているところ、宇賀説（宇賀克也『番号法の逐条解説』有斐閣）によれば合法ということになるのではないか？（おそらく弁護士らもそれを参考にしていたのでは？）という話が出ているのだが、これについて、番号法（行政手続における特定の個人を識別するための番号の利用等に関する法律、平成25年法律第27号）の立案過程で、内閣法制局で二転三転していたことが判明したので、至急、速報的に、こ

■ 日本版ePrivacy立法を目指すならクッキーのつまみ食いではなく通信の秘密の再構成を含めて検討するべき 総務省総合通信基盤局電気通信事業部消費者行政第二課が「プラットフォームサービスに関する研究会」の「中間とりまとめ（案）」のパブコメ募集をしていたが、気付いたら期限ギリギリになっていたので、急いで個人で書いて提出した。 「プラットフォームサービスに関する研究会 中間とりまとめ（案）」に対する意見 東京都墨田区在住 高木浩光 2021年8月22日 意見 日本版ePrivacy立法を目指すならクッキーのつまみ食いではなく通信の秘密の再構成を含めて検討するべきである。 理由 脚注101に「eプライバシー規則（案）を踏まえて制度化に関する検討を進めるべきではないか……等の指摘があった。」とされているが、日本版ePrivacy立法を目指すのであれば、cookie関係の規定だけ真似るのではなく、

■ 郵便事業がコモンキャリアを逸脱すれば郵便物を差し出す事業者が個人情報保護法に抵触する 総務省の郵政行政部が「デジタル時代における郵政事業の在り方に関する懇談会」の最終報告書（案）のパブコメ募集をしていたので、先ほど急いで書いて提出した。 「『デジタル時代における郵政事業の在り方に関する懇談会』最終報告書（案）」に対する意見 東京都墨田区在住 高木浩光 2021年7月12日 意見1 仮名加工情報に過大な期待が見られるが制度に誤解があるのでは 報告書案5頁には、「こうしたデータ活用のためには、たとえば令和2年改正後の個人情報保護法の定める『仮名加工情報』の仕組みの利用が考えられる」とあり、13頁には、「特定のエリアにおける郵便物の動き（配達データ）等を分析し、地域の経済活動の見える化やグループ内でのエリアマーケティング等に活用」の手段として「仮名加工情報」の利用が例示されているが、そもそも

■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」（改定第7版2015年、初版2006年）のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック／ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF（クロスサイト・リクエスト・フォージェリ） 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落 というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の

■ MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を Mac OS Xの初期設定の危険性 私の周囲に物理的に近づくことのできる人は、私が使っているノート型コンピュータの無線LANインターフェイスのMACアドレス*1を知ることができる。たとえば、セミナー等で私が講演している会場に来れば、講演中に私が無線LANのスイッチを切り忘れていたなら、無線LANのパケットを傍受することで私のMACアドレスを知るだろう*2。それだけでは他の人のアドレスと混じって区別できないだろうが、別の場所で再び同じことをすれば、両方に存在したものが私のMACアドレスだ。 これはもう隠しようがないので、先に自ら暴露してしまおう。「00:1f:5b:d1:ec:bd」は私のMACアドレスだ（図1）。 これを暴露するのはリスクのある行為であり、お薦め出来ない。また、仮に他人のMA

■ 続・検察官は解説書の文章を読み違えていたことが判明（なぜ不正指令電磁的記録に該当しないのか その4） Law & Technology誌に、板倉先生から解題をいただき、横浜地裁のコインハイブ事件無罪判決についての評釈を書かせていただいた。 Law & Technology No.85, 民事法研究会, 2019年10月 板倉陽一郎, 解題 コインハイブ事件, pp.15-19 高木浩光, コインハイブ事件で否定された不正指令電磁的記録該当性とその論点, pp.20-30 横浜地裁でモロさん事案が無罪判決となり、その後、検察側が東京高裁に控訴し、公判が未だ開かれない状況にある中、ここ（日記）に書こうと思っていたことを、法学雑誌の判例評釈スタイルで書いた。内容は基本的に4月26日の日本ハッカー協会のセミナーでお話し*1したこと*2（の一部）であるが、いくつか新たな根拠も見つけたのでそれを含

■ あのSuica事案が国立大入試問題になっていた 6月のこと、日本著作権教育研究会から連絡があり、私の著作物が今年の東京学芸大学の入試問題に使用されたとのことで、転載の許諾を求めるものであった。一昨日それが以下で公開された。 東京学芸大学過去問題2019年, サイバーカレッジ, 日本著作権教育研究会 出題されたのは、A類社会選修、A類環境教育選修、B類社会専攻の‎「現代社会」の問題において。5年前の朝日新聞に掲載されたコラムが以下のように使用されている。 コラムの途中までしか使用されず、肝心の主張部分は掲載されなかったが、Suica事案の何が問題なのかを説明した部分がバッチリ使われている。他にもあの「赤本」（教学社）にも収録されるようなので、これからの受験生にも読まれることになるであろうか。 このコラムの全文は既に2015年3月8日の日記の図1に転載していた*1。カットされた残りの文章は

■ 天動説設計から地動説設計へ：7payアプリのパスワードリマインダはなぜ壊れていたのか（序章） 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。（何を言ってるかわからねえだろうと思うが。） — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2

ヤフオク!における取引実績や評価、ショッピングでのレビュー回数、知恵袋での活躍度、Yahoo! JAPANへの支払い滞納の有無および回数、利用規約・ガイドライン違反の有無および回数、宿泊・飲食店等の予約キャンセル率、キャンセル連絡有無などの行動実績等 Yahoo!スコアの作成および利用は、お客様のプライバシーの保護に十分に配慮したうえで実施しております。 算出元データには、通信の秘密にあたる情報、スコア化することで不当な差別につながる可能性がある情報（要配慮個人情報、性別や職業等）は使用しません。 知恵袋での行動が知恵袋内での信用評価として使われるのは普通（そういうサービスだということ）だが、それが、知恵袋の外で、お金を借りるときとか、飲食店を予約するときに信用として必要になってしまう、そんな社会はまっぴらごめんだ。（だれにもわかりやすくてたいへんよい。） ヤフーが信用スコアの作成をオプト

■ 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ トレンドマイクロ製品がApp Storeから締め出された事案が重大局面を迎えた。エバ・チェン社長兼CEOの声明が発表されると同時に、準備されていたZDNetニュースが報じられた。 App Store上の当社アプリに関する重要なお知らせ, トレンドマイクロ, 2018年10月31日 トレンドマイクロのチェンCEO、App Storeでのアプリ削除問題に謝罪と説明, ZDNet Japan, 2018年10月31日 これまでの説明とは異なり、もはやトレンドマイクロ社固有の事情を超え、情報セキュリティ業界の一般論として、業界が必要としている情報取得だったのだと正当化し、社会が理解すべきものだとして、世間に理解を求める声明になっている。 セキュリティ企業は、お客さまのセキュリティならびにプライバシーを改善

■ eLTAXに反省なし 誤りを認めない告知文の捻出に3か月を費やしその間利用者を危険に晒す 3月14日の日記「治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ」から3か月近く経った今日、eLTAXが注意喚起を出しているとの情報が入り、なぜ今頃になって再び注意喚起をするのだろうかと首を傾げた。 ３ヶ月前の高木さんのblogの「署名済みActiveXコントロールのダウンロードを有効にする」eLTAXの件で、問題の対策して今日利用者向けにお知らせしているようです。https://t.co/Qk37l9cRMkhttps://t.co/epQvcdKiu5 — あさくら (@AkioAkioasakura) 2016年6月3日 よく見てみれば、あれ以来、何ら注意喚起を出していなかったのだ。つまり、これは再度の注意喚起などではなく、3か月経ってこれが初の「お

■ 防衛庁情報公開請求者リスト事件は10年先行くSuica事案だった（パーソナルデータ温故知新 その2） 個人情報保護法の制定過程を検証すべく、2002年の国会審議の会議録を改めて通読していたところ、防衛庁で起きた、情報公開請求者リストの不適切な作成・取扱い事案に対する激しい追求の場面が出てきた。当時の私は法律に全く感心がなく、個人情報保護法の法案が出ていることすら気に留めていなかった*1が、この事件のことは報道で耳にしていた。これを今頃になってどういうことだったのか把握したところ、昨今の論点とも通ずる大変興味深い事案だったことがわかった。 事案の概要 この事実を最初に明らかにしたのは毎日新聞の報道だった。 防衛庁が情報公開請求者の身元調査 100人以上の個人情報リスト作成、幹部で回覧, 毎日新聞 2002年5月28日大阪朝刊1面 防衛庁が、情報公開法に基づく請求者100人以上の身元を独自