No.4 匿名性の要素
匿名性という言葉の定義を、情報工学の観点からまとめている文書があります。これを元に、匿名性の要素についてご紹介します。
PRIVACY AND DATA SECURITY(ドレスデン大学)にて、Pfitzmannらがまとめている"Anon Terminology Paper"は、2000年以来随時更新され続けており、技術標準を討議するIETFでも多く引用されています。英語の文書ですが、訳語は随時巻末に追加されているようです。
この文書を簡単にご紹介しましょう。
工学的な定義として、まず匿名性とはユーザが自分の属性を公開せずにリソースやサービスを利用できる状態、と定義しています。匿名性を決定するのは、情報の「送信者」と「受信者」の関係であり、「観察不能性(unobservability)」「リンク不能性(Unlinkability)」「仮名性(Pseudonymity)」という言葉によって匿名性が説明されています。
まず、「観察不能性 (Unobservability)」。これは情報の「送信者」「受信者」の存在、もしくは、コミュニケーション自体が観察できない状態です。誰が参加しているのか、もしくは何が行われているのかが秘匿されていると言い換えられるでしょう。観察不能性が満たされれば、存在が発見されない(undetectable)ために、匿名性は高いのです。
次に、「リンク不能性 (Unlinkability)」。これは、複数のセッションが行われたときに、それが同一人物によるものかどうかが判定不能であることを表します。例えば、掲示板に複数の書き込みがあった際に、これが同一人物によるものであるとわかれば「リンク可能」であり、同一人物とわからなければ「リンク不能」です。「名無しさん」「通りすがり」と言った書き込みが並んでいると、それらが同一人物なのか、違う人物なのかわからない‥という状況を想像してください。リンクが不能であれば、リンクが可能である状態よりも匿名性は高いとされます。
これらに加えて、情報の発信者・受信者に与える識別子を「仮名性 (Pseudonymity)」と定義しています。ここで言う仮名とは、必ずしもペンネームやハンドルだけではなく、例えばシステムに付与されるIDを含んでいます。これらの仮名(pseudonym)を割り振ることによって、実名を隠したとしてもどの行為がどのIDを持つものによるかを判定できるというわけです。
リンクが可能であれば、仮名性は発生します。リンク可能な一連のセッションに名前をつけることができるからです(図)。
例えば、2ちゃんねるでは、スレッドごとに(24時で更新されますが)発言にIDが付与される板もありますが、これは発言を「リンク可能」な状態にし、「仮名」を付与している状態と言えるでしょう。
このように、リンクが可能であって、仮名の属性や履歴が蓄積されるなら、個人を識別するための情報は増大しおます。つまり、それぞれの行為や断片的な属性が集められ、組み合わせられることで、プロフィールを再構成する可能性が発生するわけです(実名を隠しているのに!)。いわゆる「特定した」と言われる状態です。
Websterは、"Theories of The Information Society" (「情報社会」を読む)の中で、分断された情報が結合する可能性について、1995年にすでに指摘をしています。
監視の危険:一つは、別の目的で集められたファイルを利用するのではないかという恐れで、例えば警察が、労働記録やカルテや銀行取引記録などを利用する、といったものである。もう一つは、異なったデータベースが一つにされてしまうのではないか、という心配である。多くの国家のコンピュータ化に伴い、かつては分断されていた情報が結合する可能性が出てきた。(略)これによって、特定の個人の「全体的な肖像」を描くことができる。医療、教育、税務、仕事、銀行、犯罪の記録などに当局がアクセス可能となれば、各人のある程度複雑で詳細な像を構築できることは明白だ。(Webster,1995)
もちろん、情報がリンクされることによるメリットも多いことは確かです。ある人の発言、背景、人となりを関連付け(リンクさせ)ることは、より日常生活での人間関係にも近い状況がネット上でも作り上げられる可能性につながるでしょう。ただし、こうしたリンク可能性・リンク不能性に無自覚でいることが、匿名性への過信や意図せぬ情報流出につながるという危険性は、考えなければならないでしょう。
参考資料:
・Anon Terminology (TU Dresden)
青土社 (2001/07)
売り上げランキング: 142749
「情報社会」を読む
地に足のついた「情報社会」論を求める人に