利用者が記事を配信・販売できるサービスnoteで8月14日、執筆者のIPアドレスを確認できてしまう不具合が見つかり、運営元は謝罪し同日中に修正しました。同社は「一般的なIPアドレスから、個人情報を特定することはできません」としていますが、ネットでは有名人のIPアドレスと一致する5ちゃんねる投稿が検索されるなど騒ぎは続いています。IPアドレスから個人を特定されたり、他の投稿との名寄せが行われるリスクはどの程度あるのでしょうか。

IPアドレスとはインターネットで通信を行う際に必要な差出人・宛先を示す住所のことです。現在IPv4、IPv6という2つの世代の技術が利用されており、note社のサービスはIPv4のみを利用しています。インターネットのIPv4アドレスは2011年に枯渇し、その後も利用者が増え続けたISPではCGNAT等の技術を用いることで数百人の利用者が同じIPアドレスを共用しています。また携帯電話・スマートフォンからは以前から、キャリアのゲートウェイ経由でWebサイトにアクセスしていました。

このIPアドレスは数百人が共有している上に、一定時間で変える運用が一般的です。そのため一般にIPアドレスが同じだからといって、同一の利用者からのアクセスとは断定できません。有名人がnoteに投稿したIPアドレスと、匿名掲示板に書き込んだIPアドレスが一致したからといって同一人物による書き込みとは限らないのです。IPアドレスの一致する書き込みを見つけたからといって、それを同一人物による書き込みではないかと騒ぎ立てることは、名誉毀損に当たる場合があるので気をつけましょう。

ところでサイト上で誹謗中傷など不適切な書き込みが行われた場合、プロバイダー責任制限法の発信者情報開示請求の手続きを経て、投稿者を特定できる場合があります。このことからIPアドレスと投稿する時刻が分かれば、やはり個人を特定できるのではないかという疑念を持つ方もいらっしゃるのではないでしょうか。ISPが発信者情報開示請求を受けた場合、ISP内で保存されているログと付き合わせて、当該時間帯に当該サイトに当該IPアドレスから接続している利用者を割り出します。CGNATでIPアドレスを共有している場合も、ポート割当のログを付き合わせることで、当該サイトにアクセスしている利用者に払い出した変換前のプライベートIPアドレスを把握できるようにしているのです。ISPが開示請求に応じて発信者を開示する場合、単にIPアドレスだけを見ているのではなく、アクセス時刻と接続先サイトをログと付き合わせることで接続元を特定しています。従ってIPアドレスと接続時刻が一致しただけでは、同一人物からのアクセスと断定できるとは限りません。

なお、運営元のお詫びの文言を巡ってIPアドレスが個人に当たるかどうかが議論されています。Yahoo!ニュース個人の記事でも、IPアドレスは個人情報に当たらないという解説が出ていますが誤解があるようです。IPアドレス単体は日本法において必ずしも個人情報には該当しませんが、今回noteから漏洩したIPアドレスがnoteが持っている他の個人情報（氏名やクレジットカード番号など）とデータベース上で紐付いて容易に照合できる場合、noteを運営するnote株式会社にとっては保有個人データに該当します。IPアドレスから実際のところ容易に個人を特定できるか否かに関わらず、その事実関係及び再発防止策等について、個人情報保護委員会に対し、速やかに報告するよう努めることとされています。漏洩したデータが個人情報取扱事業者にとって個人情報に当たるか否かは、そのデータ単体の性質だけでなく、データベース上で他のどのようなデータと紐付いているかが影響するので注意を要するところです。