『特定の Suica のデータを長期(2年半)にわたって追跡』可能だった
当初、SuicaID は長期にわたった追跡ができないようにしているとされていた。
(2) SuicaID 番号を他の形式に変換した識別番号は、元の SuicaID 番号に復元できな いようにしており、氏名や連絡先と紐づけることができません。また、特定の Suica のデータを長期にわたって追跡できないようにしております。さらに、他のデータ と紐づけたり、提供データから個人を特定する行為は契約で厳格に禁止しております。(強調筆者)
Suica に関するデータの社外への提供について
しかし報道により、過去2年半分のデータは同じIDだったことがわかった。
ー 過去2年半分のデータを一括で渡したということは、変換済IDも2年半にわたり同一のものだったのか。であれば、プライバシーへのインパクトは相対的に大きくなる印象だ。
当初渡していたデータは、確かにそうなっていた。今回、改めて2年半分のデータを渡し直すに当たり、1カ月単位でIDの変換キーを切り替えるように処理しなおす予定だ。(強調筆者)
[続報]オプトアウト受付は既に8800件、Suica履歴提供の仕組みをJR東日本に改めて聞く (2/3)
つまり日立が 「交通系ICカード分析情報提供サービス」を発表した時点では、データは2年半にわたって同じIDだったことになる*1 。
当初の発表文だと「特定の Suica のデータを長期にわたって追跡できないようにしております」が具体的に何なのか不明だったものの、ある SuicaID に対し定期的に別の ID が割り振られ、それらの関係性が失われることで「追跡できないようにして」いるものと想像していた。
たとえば以下のように一ヶ月ごとに別の ID に変換し直せば、第三者へ提供する ID 自体は一ヶ月を超えて存在しないことになり、ID を単位にデータを分析する限りにおいては、「長期にわたって追跡」をしていないと言える。別々になった ID を結合する行為は契約で禁じることになるだろう。
| Suica利用履歴 | SuicaID | 他社へ提供するデータ中の ID |
|---|---|---|
| 2013/07 | JE1234 | TP0001 |
| 2013/08 | JE1234 | TP4649 |
| 2013/09 | JE1234 | TP8823 |
しかし実際はそうなっておらず、 提供データ中の ID は2年半ずっと同じだった。
| Suica利用履歴 | SuicaID | 他社へ提供するデータ中の ID |
|---|---|---|
| 2年半ずっと | JE1234 | TP0001 |
今回は問題が認識され、JR東が方針を改めたことでデータは一旦廃棄されることになった。
しかし声を上げていなければ2年半にわたって同じ ID のままのデータが分析対象となっていたことになる。2年半というのは個人的な感覚だと十分に「長期」だ。
