eSIMサービスを提供せよ

NewsInsightは2019年2月5日、「SIMを内蔵した「eSIM」対応のスマートフォンがなかなか増えない理由」という記事を公表した。なかなか穏当な記事なので、ここで紹介しておきたい。https://news.infoseek.co.jp/article/newsinsight_2362/にぜひともアクセスしてほしい。

ただ、個人向けのeSIM利用をいずれの国内キャリアが提供しないのは、「不作為の談合」と揶揄されても仕方ないだろう。こんなバカな状況に文句を言わないほうがおかしい。寡占化がもたらす不自由に対して、制度的な規制が必要ではないか。

キャリアを法的に規制せよ

こうした不誠実な会社に対しては、まず、「情報フィデュシャリー」という概念に基づいて、厳しい義務を課すことを求めたい。これは、eSIMの問題に直接関係しているわけではない。要は、プライバシー保護の観点から、不誠実な会社の姿勢を糺すことで、eSIMサービスにもきちんと対応させるようにするのがねらいだ。

「フィデュシャリー」（fiduciary）という概念は、2003年に上梓した、拙著『ビジネス・エシックス』において、紹介したことがある。フィデュシャリーは「信認」を受けた者、すなわち受託者を意味している。フィデュシャリーと「スチュワード」はよく似ている。フィデュシャリーの歴史的な定義としては、「他の人々の財産を気遣うよう委任された人々」を意味している。紀元前一八世紀のハンムラビ法典においてすでに、財産の任された代理人の行動を律するためのルールが確立されており、そこにフィデュシャリーへの考慮があった。あるいは、旧約聖書の創世記にあるノアとその子孫は神の財産にフィデュシャリーないしスチュワードとしての責任を負わされていたとみなすこともできる。新訳聖書のルカの福音書16章には、不正な会計管理人（スチュワード）と信認原則（fiduciary principle）をめぐる話がある。そこには、「神にも仕え、また富にも仕えるということはできません」、「ふたりの主人に仕えることはできません」（No servant can serve two masters）という有名な警句が登場する。これは、信認原則が信頼にかかわっているため、その信頼が自然法の制度化の過程で、他者に任された財産の侵害禁止（尊重）という要求につながることになる。

今日的理解では、通常、〝fiduciary relations〟と呼ばれる関係は、複数の対等な主体を前提とする「契約関係」が想定できない（ふたりの主人に仕えることができない）場合にこれを想定することで、フィデュシャリーの責任を問おうとするものということになる。この伝統は英国法、さらに米国法へと受け継がれていく。

わかりやすく言えば、株主からの信任を受けた取締役は株主に比べて当該会社の情報を圧倒的に多くもっているから、この情報の非対称性を前提に株主の委託にできるだけ応える努力をしなければならない。それに違反した場合には、会社にする損害賠償請求の対象となる。「医者－患者」といった関係にも情報の非対称性があるから、フィデュシャリー義務を課すことが可能となる。

これと同じように、個人情報を取り扱う会社はその個人のデータについてメタデータ（「データに関するデータ」を意味するが、後述）まで含めると、圧倒的に多くの情報を保管しているのだから、こうした会社にフィデュシャリー義務を課し、情報の委託者である個人の不利益にならないように最大限努力する責務を負わせることが可能となる。政府は会社に対して、フィデュシャリー義務を負う受認会社となるか、それとも個人情報の管理義務を負わない情報の仲介企業にとどまるかを選択させればいい。前者を選択した会社に対しては、政府は免税措置を講じるなどして、そうした会社が情報管理を徹底させるよう義務づければいい。ただし、インターネットサービス事業者、携帯電話運営会社、検索エンジン会社などについては選択の余地を認めることなく、フィデュシャリー義務を課せばいい。

こうした議論を日本でも展開してほしい。

「サービス責任」という考え方

安倍晋三がdishonestなためか、不正統計問題でも自民党はきわめて不誠実な態度をとっている。日本のキャリアも同じだ。このようにdishonest Abeの影響は日本中に広がっている。だからこそ、もう一つで、サービスに対する責任を課す法律を制定すべきだと主張したい。プライバシー保護の観点から、ソフトウェアを販売する会社にそのサービスに責任を負わせて情報漏洩を防ぐのだ。

米国家安全保障局（NSA）などが高度な暗号化を緩和したり、バックドアを仕込んだりするのを防止するには、製造物責任をソフトウェア製品にも明確に課すこと必要だと米国では議論されている。ソフトウェアの多くは使用許可（ライセンス）というかたちで売買されているため、生産物でなはなくサービスとみなされて製造物責任を逃れている。しかし、ソフトウェアを販売する会社にも明確に製造物責任を課せば、少なくともソフトウェア開発販売会社は安易に政府機関からの要請を敢然と拒否しやすくなり、結果として不完全なソフトが利用者に提供されにくくなるはずだ。あるいは、IoTの対象製品の販売時に、標準的なセキュリティ検査を義務づけ、マークの認証を促進することで、サイバー攻撃を抑止することもできる。米国では、「2017年IoTサイバーセキュリティ改善法」が同年8月に議会に提出されたが、結局、法案成立には至らなかった。しかし、こうした発想こそが求められている。

EUでは、技術的な貿易障壁を撤廃し、製品の安全性と品質を確保するための規格統一がはかられており、1985年に「ニューアプローチ欧州指令」と呼ばれる安全・品質などの規制統一がEU加盟国に義務づけられた。1993年には、同指令の要件に低号する製品に「CEマーク」がつけられることになった。2018年6月現在、電気製品、通信機器、医療機器、産業機械など、製品分野ごとに25種類についてCEマークがつけられている。この制度に、ソフトウェアやIoTの対象製品を含めるといったところまでいけば、セキュリティにかかわる問題は世界規模で改善するだろう。

バカ野郎な日本の「プライバシーマーク」

ついでに、日本には「プライバシーマーク」なる制度があることを紹介しておこう。日本情報経済社会推進協会なる組織が書類審査と現地審査などによって、事業者が個人情報の取り扱いを適切に整備しているかどうかを審査・認定している。2018年9月30日現在、1万5969社に同マークを付与しているというのだが、付与取り消しになった事業者数は2社、付与の一時停止措置を受けたのは3社にすぎない（2019年1月現在）。ところが、取得業者による情報遺漏事故の累計は2006年の段階で400社、700件を超えており、この事業がいかにいい加減かがわかる。笑止千万なのは、大日本印刷が864万件もの個人情報流出事故を起こしたにもかかわらず、マークの認定取り消しにならなかったことである。はっきりいえば、こんな協会は天下りの受け入れ先に成り下がっているだけであり、プライバシー保護の観点からみると、その役割をまったく果たしていない。

「21世紀龍馬」よ。本当に怒ってほしい。消費者が軽視される社会が広がるばかりだからだ。そして、そこには腐敗が跋扈している。Dishonest Abeの存在がそうした「悪」を許しているのだ。