アクセスログにIPアドレスを保存するには承諾が必要――EUでトンデモ判決

「IPアドレスは個人情報」「アクセスログにIPアドレスを保存するには、訪問者の承諾が必要」という判決がEUの司法裁判所で出たという報道がありました。

BusinessNewslineによると、判決が出たのはEU司法裁判所。ドイツ連邦政府のWebサーバーが利用者の承諾を得ずにIPアドレスをアクセスログに保存しているのはEUの個人情報保護法違反だという、ドイツ海賊党の議員による訴えに対して出した判決だといいます。

• EU: IPアドレスも個人情報とする新判断・承諾なしでのアクセスログの保管は違法に（BusinessNewsline）

プライバシーに対する考え方が我々とは大きく異なるEUだとしても、Webサーバーを管理している者からするとにわかには信じがたい判決です。BusinessNewslineの記事では、次のように述べています。

今後、EU域内でウエブサイトの運営を行っている事業者は全て、アクセスログにユーザーのIPアドレスを記録することを事前にユーザーに対して了解を取ることを求められることとなる。

EU圏の事業者が運営するWebサイトでは、Cookieを保存する承諾を得る機能があります。アクセスログに関してもこうした許諾をとるようになるのでしょうか。

英国政府のサイトでのCookie取得承諾の例

報道の元になったオーストリア紙derStandard.atの記事を見てみました。

そもそもの訴訟がトンデモな印象なのですが、実際にはそれほどではありませんでした。

訴訟の背景にあるのは、公的なサイトを訪れる人のプロファイルをIPアドレスで記録することに対する懸念だったといいます。

たとえば、違法薬物に関するページを見ている人を判別するようなことを、公の機関が行うことを心配してのことですね。

また、この判決は「動的IPアドレス」に関するもののようです。

データセンターや企業が保有していて「このIPアドレスはどこに割り当ててある」と決まっているものではなく、いわゆるプロバイダーが利用者に割り当てるIPアドレスですね。

こうしたIPアドレスは、プロバイダーがもっている情報と付き合わせることで個人を特定できるため、プライバシー情報にあたるということの模様。

そしてプライバシー情報は、定められたルールに則って扱われなければいけない＝記録には事前に承諾が必要ということの模様。

当然のことながら、システムやネットワークの管理、特に悪質な攻撃者に対抗し、さらにその後、犯人を起訴するには、こうした情報が必要だという反論はなされていたようです。それでも、こうした判決が出てしまった模様。

当然のことながら、あらゆるコンピュータシステムは、動作の「ログ」を記録しています。それによって、何か問題が発生したときに、原因を探って対応できるのです。特にインターネットに公開しているサーバーの場合、外部から攻撃されていることを判断するにも、なぜ攻撃されたのかを調べるにも、ログファイルは必須です。

そもそも、「情報の保存」と「情報の利用」を別のものとして扱えば、こういう問題は起きにくいはずなのですが、なぜこうなるのでしょうか。それは、EU指令におけるデータの「処理」には、収集も記録も利用も頒布もすべて含まれてしまっているからのようなんですね。むー。

それにしても、問題が発生しないことを前提としているのか、サーバー管理とプライバシーは別の問題として扱っているのか、我々の考えている「プライバシー」とは次元が違うのか、いずれにしても、サーバー運用をして正しい情報を提供しなければいけない立場からすると、とんでもない判決です。

まるで、「顔はプライバシーだから、承諾を得ずに防犯カメラで記録するのは違法」とでもいうかのような……何と言いますか。

でもまぁ実際には、EU司法裁判所のサイト自体も、承諾を得ずにCookieを保存しているようなんですよね（日本からのアクセスでしか確認はできていませんが）。グローバルサイト担当の人が気にしているほどは、実際には重視されていないのかもしれません。

もしこの件の影響が強くなっていきそうでしたら、IT系の企業や団体はちゃんと対処しなければいけませんね。