大阪万博 EXPO 2025の個人情報取扱問題

2025年2月8日の読売新聞で「 万博チケット購入で『顔画像や指紋など第三者に提供も』、個人情報規約にSNS上『ヤバすぎる』…協会が修正検討 」との記事が配信されて結構騒ぎになっています。

もともとはSNSでちょっと炎上していて、2025年2月5日の 衆議院予算委員会で れいわ新撰組の大石あきこ議員が個人情報の取られ方が異常であることを指摘し、その用途を確認するも、伊東良孝万博担当相の回答は不明瞭で更に不安になりました。

不安だったので、ソースである「 EXPO 2025 個人情報保護方針 」を確認してみました。

万博がユーザーが取得する個人情報

どんな情報が抜かれるのか、確認してみました。

まずはここでいう「ユーザー」とは、次の方が対象となっています。

  • ウェブサイト及びアプリケーションの利用者
  • ボランティアスタッフ
  • スリーランスの演者
  • ジャーナリスト
  • 博覧会に個人として参加・関与する人

利用者とスタッフを同列として扱う雑さにまず驚きます。

それはさておき、万博が取得するとしている個人情報を以下にまとめました。

カテゴリー具体的な個人情報
基本情報氏名、ニックネーム、性別、生年月日、住所(郵便番号、都道府県名、市町村)、電話番号、メールアドレス、 パスポート番号、国籍または居住国に関する情報
支払い情報クレジットカード番号等
位置情報GPS や位置情報
生体情報顔画像、音声、指紋等
所属先情報企業名、団体名、部署名、役職等
医療情報障がい者認定の有無等
SNS 情報LINE、X、Facebook、Instagram、Google 等のアカウントやプロフィール、 パスワード等
入力情報言語設定、メール配信設定、既婚・未婚、子どもの有無、趣味嗜好等のユーザー入力情報
端末情報端末の種類、OS、端末識別子、IP アドレス、ブラウザ種別、リファラー情報、Cookie ID、閲覧履歴等

赤字は特にヤバいものです。 個人情報の中でもここまでの機微情報を扱うというのはほとんど見たことがありません。 個人情報(PII - Personal Identifiable Information)の中でもSPI(Sensitive Personal Information)と呼ばれるものです。

例えば「生体認証」の顔画像です。本人確認に使うとしましょう。 通常、顔画像について特徴点を数値化したテンプレート化という処理が行われます。以下はその例です。

  FPT10000001401ba01980159020118016800d601
  015f018600ff01017201d9016502005b004300eb
  02005100dc007001014f001400c40200d8016f00
  2b0200ed0058013b0100aa017d00660101e9005c
  00ee0200980146001a0100d10187013a0100f400
  4d01530200a0010b00ca02011c017d016101013a
  009a00e302005e00f600060100e700bb00630200 20009d008d02

この数値したテンプレートをハッシュ値という不可逆の数値に要約します。 上のハッシュ値の例では8a3a0681となります。認証する場合でもサーバー側が持つのはこのハッシュ値だけです。 ここから顔画像の再製はできません。実際の認証の際には例えばスマホで顔画像について上記の処理が行われてハッシュ値だけがサーバーに送られて、サーバー側のハッシュ値と突合して本人かどうか確認されます。

つまり、指紋や顔の生体認証でさえ、顔や指紋画像を収集することはありません。

ところがEXPO2025の個人情報保護方針では「生体情報:指紋、顔など」と記載しています。ヤバさすぎます。

このような情報は保護対策が非常にコストが掛かり、 漏えい時リスクも跳ね上がるのでシステム屋としては可能な限り対象から外します。 どうしても外せない場合はそのリスク査定してContengencyとして開発費の上乗せしますが、 お客への提示前にかなり社内レビューでのハードルが高くなります。 案件のリスクが高すぎて、提案の是非にまで問われるのが普通です。

なので、たかが 万博を物見遊山で見に来る利用者に対して、ここまでSPIを要求するというのは正直「主催者は頭がおかしいのか?」 と疑いたくなります。

個人情報の提供先

EXPO 2025 個人情報保護方針 では第三者への提供について次のように定めています。

事前同意が必要なケースとして、次のものです。

  1. 当協会が利用目的の達成に必要な範囲内において個人情報の取り扱いの全部又は一部を委託する場合
  2. ②合併その他の事由による事業の承継に伴って個人情報が提供される場合
  3. 人の生命、身体又は財産の保護のために必要がある場合であって、ユーザー本人の同意を得ることが困難であるとき
  4. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、ユーザー本人の同意を得ることが困難であるとき
  5. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、ユーザー本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがある場合
  6. 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人情報を学術研究目的で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除きます。)
  7. その他、個人情報保護法その他の法令で認められる場合
EXPO 2025 個人情報保護方針 より

ただ、「事前同意」が何か不明で、万博ID作成時の同意がそれに当たるのかよく分かりません。

驚くことに、事前同意なしで提供するケースも記載されています。

  • 政府(外国政府や地方地自体も含む)、博覧会国際事務局、協賛企業、パビリオン出展者
  • SNS事業者、広告関係会社、広告配信業者、データ分析事業者、DMP事業者、媒体社、その他当協会が業務を提携事業者

これって、事実上誰にでも個人情報提供するという宣言以外に、私には読めません。

万博側の主張

2月5日の予算委委員会での経済産業省首席国際博覧会統括調整官 茂木 正氏の回答は、次のようなものでした。

  • 万博ID取得に必要な情報は氏名、生年月日、電話番号、メールアドレス、居住国のみである。
  • 会場で勤務する国内外のスタッフや関係者を含めたID登録を想定し包括的に規定したためである。

アホなのにか?

まず利用者とスタッフなど運営側のユーザーの個人情報取り扱いを包括的に定義するなど信じられません。

「個人情報の保護に関する法律(個人情報保護法)」の第十七条には、個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。と規定されいます。こんなことも知らないでよく国会で答弁する官僚がいたものだと呆れます。

百歩譲って包括的に定義したとして、例えば運営側であっても現代では個人認証の最後の砦である生体情報などを団体が収集する自体狂っています。

まとめ

万博協会は規定の修正を検討しているようですが、ここまでの雑さで意識が低いと心配です。 個人的は、来場のチケット管理のためだけならばメールアドレス、電話番号で十分だろうと思います。

なりすましや転売など防止のために名前や生年月日も必要としているのかもしれませんが、 転売を心配するほど売れてないはずです。 チケットが売れないので、大阪府下の学童も動員しようとしているなどとも聞きます。

規定の修正を見守っていきたいと思います。