Suica に関するデータの社外への提供を停止してみた

2013年7月頃から、JR 東日本による Suica データの社外への提供が、個人情報の漏洩につながる可能性が高いとして話題になったが、停止するのを忘れていた。9月20日のニュースで、データ販売を拒否する申請の締め切りを延長することを知ったので、改めて調べて停止することにした。

Suica に関するデータの社外提供の経緯

少し前のことになるので、経緯をぼんやりとしか覚えていない。ニュースやニュースリリース、関連サイトなどを調べてみた。
JR 東日本による Suica データの社外への提供は、2013年6月27日に日立製作所が発表したのが最初のようだ(参考:INTERNET Watch の記事)。JR 東日本から、直接発表がなかったことが非難された。プレスリリースを調べてみたら、2013年7月25日付でSuica に関するデータの社外への提供についてというのが見つかった。
プライバシー漏洩の問題については、セキュリティホール memo のJR 東、Suica データ販売の件で謝罪し説明、オプトアウトも開始。しかし約款等への記載や個別の許諾は行わずのまとめがわかりやすい。簡単に要約すると、JR 東日本側は匿名化を行っていると説明しているが、現実空間の情報と、Suica に関するデータを利用して特定個人の ID の判別が可能になることが問題だ。

JR 東日本が提供するデータ

提供するデータが、東日本のサイトを見てもなかなかみつけられない。Google で site:jreast.co.jp を入れて調べてみると、「よくいただくお問い合わせ」の「Suicaデータの社外への提供」というカテゴリーに「Suicaデータの社外への提供について」というタイトルで登録されていた。回答内容は、PDFで提供されていた。PDF に記述されていた提供データと、日経コンピュータの記事を元に以下に要約する。

  • 乗降駅
  • 利用日時(秒単位)
  • 鉄道利用額
  • 生年月(日は除く)
  • 性別
  • 識別番号(SuicaID 番号を変換したもの)

識別番号は頻繁に変更しない限り SuicaID に限りなく近い情報で、個人を特定できる可能性が高くなる。当初は同じ ID で2年半分を日立製作所に渡していたようだ。参考にした日経コンピュータの記事、オプトアウト受付は既に8800件、Suica履歴提供の仕組みをJR東日本に改めて聞くで、気になる箇所を引用しておく。

― 誕生日を年単位でなく月単位で渡したり、利用日時を秒単位で渡したりと、引き渡すデータの粒度が必要以上に細かい印象を受ける。

 大枠でいえば、JR東日本は氏名や電話番号といった個人識別情報を取り除いたデータを日立製作所に渡し、日立製作所の側で統計処理を行っていただく役割分担になっているので、あえてJR東日本でそれ以上の処理は行っていない。
 例えば、「利用者は数百人と少ない駅のデータはレポートから除く」「早朝・深夜で利用者が少ない時間帯のデータは除く」といった匿名化処理は日立製作所が行っている。
 生年月については、その時点での年齢を把握するためのデータとして提供した。生年月でなく年齢で渡しても良かったかもしれない。

マーケティングデータにするのは、基本的に日立製作所が行っているようだ。

― 履歴データの提供や、SuicaIDのID変換方式を切り替える頻度は。

 まず過去2年半分のデータを一括で日立製作所に渡して、その後は月ごとに1カ月分の最新データを渡すという形をとっている。ID変換についてはデータを引き渡すたび、つまり1カ月単位で関数のキーを変え、キーをその都度廃棄する。

問題になるまでは、識別番号と SuicaID を結びつけられることを想定していなかったように感じる。現在は日立製作所に以前のデータの破棄を依頼、オプトアウト申請(今回行う停止申請)を受けた ID を除外し、データを再度引き渡す予定のようだ。

なお、データの提供先は企業で、データ提供にあたっては、プライバシーに配慮した契約を締結するとしている。

Suica に関するデータの社外への提供を停止

JR 東日本が提供するデータから、自分の Suica の情報を除外してもらう方法は3つ用意されている。いずれの方法も、SuicaID が必要になる。SuicaID は、Suica の裏面に記載されている「JE」で始まる17桁の番号だ。Suica カードの情報に、画像を載せた。

  1. 2013年10月1日正午より
    http://www.jreast.co.jp/suica/procedure/suica_data.html で SuicaID を登録
  2. jogaiyobo@jreast.co.jp にメールを送付
    件名はなし、本文に SuicaID を記述。複数申請する場合は、改行で区切る
  3. 03-5334-1655 に電話して SuicaID を伝える
    土日祝日・年末年始を除く平日 10:00~17:00

私は、2番目の方法を使ってみた。メールの本文に記載する SuicaID は、連続で入力するようだ。JE で始まる部分が5桁、残りは4桁ずつ3個あるので17桁である。メールを送信すると、すぐに返信が戻ってきた。タイトルは、「受付完了のご連絡‏」。無事、申請ができたようだ。SuicaID を送信するだけなので簡単でいいが、他人のも申請できてしまうような気がする。

Suica カードの情報

今回記事を書くに当たって、Suica について調べてみたので備忘録として残しておく。Wikipedia のSuicaのページで、「Suicaカード」の項目を見てみると、「Suicaカード(無記名式)」「My Suica(記名式)」「Suica定期券」「スイカ連絡定期券」の4種類があるようだ(原稿執筆時点)。今回データが提供されるのは、My Suica や Suica 定期券などの記名式の Suica カードが対象で、JR 東日本が発行しているものだ。東京モノレール、東京臨海高速鉄道が発行するSuica は対象ではないそうなのだが、JR 東日本以外が発行していることを知らなかった。

Suica には、いろいろな情報が含まれている。Suica カードの裏面には、左上にカードを製造したメーカーの製造番号、右下に SuicaID が記載されている。そのほかに、Felica の ID を含んでいる。

JR Suica

カテゴリー: セキュリティ | 投稿日: | 投稿者:
このエントリーをはてなブックマークに追加
Facebookページも「いいね!」っとしていただけたら嬉しいです!

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

Time limit is exhausted. Please reload CAPTCHA.