Home > NCSIRTアドバイザリ > プライバシーとIPアドレス

NCSIRTアドバイザリ

プライバシーとIPアドレス
(SANS Internet Storm Center Diary 2012/1/21より)

SANSインターネットストームセンターのハンドラであるMark Hofmanが、IPアドレスのプライバシーに関して報告している。
(掲載日:米国時間 2012年1月21日)

1/16(月)週の前半に執筆した記事へのコメントを読んで、筆者は世界各地のプライバシー立法に関して調べ、それがいかにごちゃごちゃとしていて、整理すべきであるかを実感した。
ちょっと考えてみてほしい。IPアドレスは個人情報なのだろうか。筆者の結論としては、"一概には言えない"だ。
筆者の意見を述べる前に、筆者は法律家ではなく、物事を解明しようとするただのセキュリティ屋であり、間違っているかもしれないという事をあらかじめ言っておく。もし確実なことを知りたいのであれば、法律家に尋ねる方が良い。

IPアドレスについて議論する前に、個人情報を定義する必要がある。
個人情報は世界各国間で公平で一貫性があるだろう。というのも、ほとんどのプライバシー立法は、約10年の議論の末、1980年に採択された"プライバシー保護と個人情報越境流通に対するOECDガイドライン"に基づいているからだ。
一般に、個人情報の定義は、つまるところ特定の個人を識別できるあらゆる情報、となる。国によっては、人種、宗教、性別および私たちのうちのほとんどが私的だと考えるであろうその他の情報を明示的に述べることにより、定義を拡張する。

ではIPアドレスはその定義に合致するだろうか。この議論は泥沼にはまる。国によってその答えはYESであったりNOであったりするだろう。また、IPアドレスが、個人を特定するその他のものと結合した場合のみYESと考える、と言う第3の考えもある。

上記について筆者達が議論し始めた時、別のハンドラの1人が、「IPアドレスが個人のデータと考えられる状況上の判例に関する研究」というドキュメントを話題に上げた。これはEU内の様々な法律と、それをどうやってプライバシーに関するEU指令(EU Directives)に関連付けるかの研究だ(16ページが特に)。ドキュメントの残りは良い読み物だが、16ページの表は、プライバシー保護法がどんなに混沌としているかを明らかにする。
この表によると、例えば、オーストリアでは疑問の余地なくIPアドレスは個人情報である。だが、オランダではそうではない。ブルガリアでは、他の情報と結合した時、個人情報となる。イタリアでは、間違いなく個人情報だ。ではその他の国では?米国では個人情報ではないように見える。アフリカ連合では他の個人情報と結合したときに個人情報となる傾向がある。

上記のドキュメントを読んで、筆者は幾つか疑問を感じた。もしIPアドレスが個人情報なら、WEBのログを所持していても良いのだろうか。訪問者を追跡するため、第三者に依頼することは良いのだろうか。おそらくは駄目だろう。少なくとも、IPアドレスを個人情報としている国に、筆者が拠点を置く場合は駄目だろう。
だが、多くの国では、研究用途やセキュリティ関連の活動に関しては、その適用除外としていることに注意してほしい。そのため、抽出したログの共有などは問題ないのだ。(確実なことが知りたければきちんと調べて欲しい)

他の疑問点は、他の国にアウトソースできるかということだ。おそらく筆者は彼らとデータを共有できるが、彼らはデータを返してくれるだろうか。また、クラウドにデータを置く場合、どの法律が適用されるのだろうか。
例えば、informationweek.comによれば、インドの法律に入った改定は、インドで集められたデータだけでなく、海外の企業によって提供されるデータにも適用される。もし多国籍企業であれば、どのプライバシー保護法が当てはまるのだろうか。

疑問に思うことはたくさんある。なお、私たち全員がプライバシーの専門家、或いは国際的なプライバシーの法律家になることを、筆者は勧めたかったわけではなく、この問題について読者に一度考えてみてほしかったのだ。
というのも、私たちの仕事はリスクから組織を保護するための支援だからだ。

もしもっと詳しく知りたければ、Wikipediaにプライバシーの法律について良いリンク集がある。いくつかを挙げる。

* OECD Privacy Principles 外部リンク
* OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 外部リンク
* AU - http://www.privacy.gov.au/ 外部リンク
* EU - http://europa.eu/legislation_summaries/information_society/data_protection/l14012_en.htm 外部リンク
* UK - http://www.ico.gov.uk/ 外部リンク
* HK - http://www.pcpd.org.hk/ 外部リンク
* CA - http://www.priv.gc.ca/ 外部リンク

原文:http://isc.sans.edu/diary.html?storyid=12436 外部リンク

2012年2月3日 NCSIRT

NCSIRTアドバイザリ一覧へ

PAGE TOP
お問い合わせ / 資料請求

ご不明な点、ご要望、ご相談等ありましたら、お気軽にお問い合わせください。資料請求も承っております。

お問い合わせ 資料請求


このページを印刷