個人情報・プライバシー保護の話

2007.08.30

どんと来い,個人情報保護法

 8月29日午前10時に,ニフティのビジネスポータル「ビジネススペース」に オフィシャル・コミュニティ『どんと来い,個人情報保護法』 がオープン致しました。

 ここで,アドバイザをやっています。

 個人情報保護法,JIS Q 15001,プライバシーマーク制度,プライバシーの権利,肖像権,営業秘密,その他情報管理一般について,いろいろ議論したり,愚痴を言ったりというオンライン・コミュニティです。

 登録が必要なので,ちょっとうざいでしょうが,よろしかったらどうぞ。

 http://business.nifty.com/

| | Comments (0) | TrackBack (0)

2006.07.03

JIS Q 15001:2006解説書発行

『JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項の解説』(財団法人日本規格協会)
Jis_q_15001
http://www.amazon.co.jp/exec/obidos/ASIN/4542306011/qid=1151868456/sr=8-4/ref=sr_8_xs_ap_i4_xgl14/249-8051509-2369134

監修 堀部政男 中央大学大学院 教授
著者 鈴木正朝 新潟大学大学院 教授
    新保史生 筑波大学大学院 助教授
    斉藤雄一 経済産業省情報経済課 課長補佐
    太田克良 衆議院調査局 経済産業調査室 調査員

 JIS Q 15001改正原案作成委員会委員および担当官によるJIS Q 15001:2006の逐条解説
 各要求事項ごとに、個人情報保護法との関係と解説にわけて論じている。
 巻末には、新旧規格の対応表等もついている。

233頁 2,200円(税別)
2006年6月30日発売
ISBN4-542-30601-1

| | Comments (0) | TrackBack (0)

2006.03.19

ビジネスの“攻め”に活かす「個人情報保護法対策」

オンライン・マガジンHP Technology at Work(日本ヒューレット・パッカード)に日本HP 個人情報保護対策室 室長 佐藤 慶浩さんとの対談記事 ビジネスの“攻め”に活かす「個人情報保護法対策」 が掲載されました。

| | Comments (0) | TrackBack (0)

2005.04.03

個人情報保護法入門 12

(8)消去
 最後に消去という局面がありますが、この法律は消去義務を明示的には課していません。利用停止または消去と言っていますから、事業者側は利用停止という選択肢と消去という選択肢を持っていますので、顧客情報を消し去るということはしなくても良いわけですが、個人データを持っている限りは安全管理措置の対応にずっと苛まれることになります。そういった意味では法的リスクから脱するには最終的には消去を選択すべきかもしれません。この消去という考え方は、実は第16条第1項からも要請されていまして、利用目的の制限の範囲内で取り扱うということになりますと、契約を終了したお客さまの大半は、商品・サービスの提供が不要となりますからたぶん利用目的を達成してしまうことになるかもしれません。その時にも利用停止で済むのかという論点がありまして、総務省ガイドラインにおきましては、速やかに消去すべきだということが言われています。
 消去ということも、色々考えていくと大変で、今後の企画のために色々使いたいのに顧客情報を全部消すというのは極端じゃないかという意見もあるわけです。確かに全部の記録を消す必要はありません。要は、特定個人を識別できなくさえすればいいわけですから、たとえば氏名と住所の市町村以下を消し他の情報は残しておく。それは統計的情報であって、それが漏洩したからといって、ご本人に一切迷惑をかけないし、主務大臣から関与されることもなく、ワン・トゥー・ワン・マーケティングまでは使えないけれども、一応マーケティング資料には役立つ資料にはなるかもしれません。したがって、企業においては、実務的に消去の定義を定めることも重要です。現場でおいては、消去せよといわれても、どこをどう消せばいいのかということを事細かに指定してもらわなければ、作業できないわけです。また、消去したつもりが、後日みたらバックアップされていたとか、そこを空欄にしたら潜在バグが健在化したとか、レスポンスタイムが異常に遅くなったとか、データベースの場合は、いろいろ問題が出て参ります。

(9)法定公表事項
 本法は、公表せよとか、容易に知りうる状態にせよとか、といった義務がありますが、具体的には、ホームページに載せればいいと言うことになります。
 たとえば、下記のような感じになります。最低限のことを書いているにすぎませんので、これからもっとわかりやすく作っていく必要がありますが。
(参考)
 @nifty「法定公表事項」のページ

5.最後に

 以上のように、個人情報保護法に対応するためには、いろいろな手当が必要です。個人情報の漏洩対策に尽きるものではなく、利用目的管理など個人情報保護法固有の作業が多数あるのだということを申し上げたかったということであります。
 まだまだ論点は尽きないのでありますが、とりあえず、入門編は以上とさせて頂きたいと思います。なお、今回お話できなかった点につきましては、堀部政男先生に監修いただいた『個人情報保護法とコンプライアンス・プログラム』(商事法務)という本で述べました。機会があればそちらをご参照いただければ幸いにです。

| | Comments (0) | TrackBack (1)

2005.03.28

個人情報保護法入門 11

(6)開示等の求め
 この法律によって、「開示等の求め」の対応業務が新しい業務として発生します。たとえばお客様に不愉快な思いをさせてしまったことによって、「私の個人情報を全部見せて欲しい」という要求をいただくことがあるだろうと思います。
 これが権利なのかどうかということについては、いろいろ議論のあるところですが、個人情報取扱事業者の法的義務であることは紛れもない事実ですので、その対応が必要です。あらかじめ手続を定めておかないと、ケースバイケースの対応になりまして、非常に煩雑な、高コストな対応を強いられることになります。
 まず、全部開示せよという要求に対しては、事業者側がお客様に対して、その情報を特定してくださいと言えることになっています。ところが、そういわれてもデータベースの内容をわからないお客様は困ってしまいますから、特定に資する情報を示せと事業者に言えることになっています。その特定に資する情報というのは、ひとつに開示する保有個人データのいわばメニュー化です。現実問題としては、データベースに格納されているいくつかの情報をプリントアウトして出すほかないわけですから、その情報の類型をあらかじめメニュー化して、どれを開示対象としたいのですかと、最初から出しておくべきだろうと考えます。こういう業務を先行して初めて定型処理が可能になるわけです。
 また、開示等の申し出先も明確に定めておく必要があります。特に、大企業は子会社や支店がいっぱいあるわけで、場合によっては営業マンに託されてしまうかもしれません。
 開示の求めを口頭で言われてしまいますと、日常的なコールセンター業務における事実上の回答なのか、法的な義務としての回答なのか、混乱してきます。あらかじめ開示申請書を用意して、この申請書によらなければ法的義務とは認識しないと明らかにしておく必要もあります。
 また、本人以外の者に対して、すなわちなりすましに対して、回答してしまいますと、漏洩になってしまいますので、運転免許証とかパスポートのコピーを添付してもらうなど本人確認のルールも決めておく必要があります。代理人による開示の求めもあります。その確認の手続も必要です。
 それから、法30条には、手数料を徴収してよいと書いてあります。これは、コストを負担してもらうというよりも、企業においては毎日請求のような濫請求を阻止したいということで、検討するのだろうと思います。
 また、開示の求めの申請書類などの受領は個人情報の直接書面取得に該当しますので、これ自体に利用目的の明示義務がありますので忘れないようにしなければなりません。

(7)苦情処理
 次に、苦情処理体制を整備し、それを公表しておかなくてはなりませんし、所属する認定個人情報団体ができれば、その連絡先も示さなければならないということになります。
 この点も詳細については別途お話ししたいと思います。

| | Comments (0) | TrackBack (0)

2005.03.25

個人情報保護法入門 10

(3)利用目的による制限
 この法律はデータベース管理のあり方に大きな影響を与える法律でもあります。それは、第16条第1項の義務「利用目的による制限」でありまして、利用目的を宣言したならば、以後、消去するまで、利用目的の制限の範囲内において取り扱えと言っております。これが安全管理措置義務と並んでこの法律で義務付けている最大の過酷な義務かもしれません。私は15条、16条、18条の義務に対応する業務を「利用目的管理業務」と呼んでいますが、これは、個人情報保護法ができたことでわれわれが新たに対応しなければならなくなった、個人情報保護法固有の対応義務ということが言えるのではないでしょうか。
 例えば、本法が施行されて5年が経ったある日、営業部門が優良顧客10万人をデータベースから抽出して、新たなキャンペーンのためにDMを発送しようとしたとします。その10万人全てに利用目的を示していたはずですから、利用しようとするときは、16条の義務を遵守するため、利用目的の制限の範囲内か点検してから発送しなければなりません。
 はたして、そのときに利用目的が確認できるのでしょうか。もし、確認する術がないのなら、DMの発送は中止せざるを得ません。DMを受け取ったお客様から目的外利用ではないかと苦情を受け取る可能性が高いからです。利用目的の範囲内であることを確認できる体制なくして、個人情報を取り扱うことはできないということです。
 また、仮に、利用目的の参照機能をデータベースがもっていたとして、例えば、私があるメーカーの直販サイトから5年間で色々な製品を買うとします。その都度、製品登録でハガキを送ったりしますが、5年経てば5回くらいはハガキを送っているかもしれません。そうしますと私は5種類の利用目的に直面している可能性があります。すなわち、お客様ひとりひとりを名寄せした場合、利用目的は幾重にも折り重なることになるということです。現場に利用目的をきちんと特定して明示せよといったことを徹底したが故に、顧客との接点が多数あればあるほど、それだけものすごい数の利用目的が示されていきます。どのように管理していくのでしょうか。
 その場合の対応方法は2つです。一つは折り重なった利用目的のいわば最大公約数の範囲内で狭く取り扱っていくのか、それとも今日お送りするDMは、平成18年5月5日にパソコンをお買い上げになったときに明示させて頂いた、なになにという利用目的の範囲内で取り扱っておりますというのか、いずれにせよ、ルール化して仕様を固めてデータベースシステムのあり方に反映させなければ、とうてい人手で処理できるものではありません。

(4)安全管理措置
 安全管理措置、情報セキュリティ対策については、さまざまなところでいろいろ述べられていますので、ここではとりあえず後回しに致します。

(5)第三者提供の制限
 第三者に個人データを提供する場合は、原則としてあらかじめ本人から同意を得ておくことが必要です。オプトアウト手続きによる第三者提供の定めもありますが、個人情報が同時にプライバシーに係る情報でもある場合は、容易に承諾がとれるのに特別の事情もないのにそのまま提供すると不法行為責任が問われる可能性がありますので、実務上はオプトアウト手続きによる第三者提供はおすすめできません。
また、この第三者提供の制限についての問題としては、M&A業務についての論点があります。
 企業買収にあたっては、デューデリジェンスというというのをします。この企業がいくらになるのかという企業価値を捕捉しなければならない。労働者名簿や顧客名簿などを確認することも出てくるでしょう。それについてあらかじめ労働者や顧客から同意を取ろうとしますと、M&Aが内々で進んでいる場合に、それを内外に宣伝することになってしまいます。これは、またナンセンスな話です。合併分社事業承継に伴い、M&Aを行う場合には同意は要らないと言っていますが、 “伴い”という文言がありますから、デューデリジェンスという合併するかどうかわからないという、前作業の段階で、“伴い”に入れるのは、たぶん無理だろうというのが法文上の解釈です。では、M&A実務をこの法律で潰すのかというとけしてそういう意図はないはずですから、ここは私の私見ですが、デューデリジェンスを委託ととらえて、第三者から除外するという理屈でいけばいいのではないかなと思っています。

| | Comments (0) | TrackBack (0)

2005.03.24

個人情報保護法入門 9

4.「個人情報」のライフサイクル
  ――取得・利用・消去

 個人情報の一生は取得によってはじまり、利用し、そして消去することでおわります。個人情報を持つがゆえに行政規制の対象となるわけですから、それを捨て去ることで法的リスクはゼロになります。取得、利用、消去、この3つの局面ごとに具体的にどのような義務に直面するかを洗いだして、個々の業務ごとに、時系列的にどのような対応策を実施していくかを確認していくことが重要でしょう。
 まずは、義務の全体をざっとながめてみたいと思います。

(1)利用目的の特定
 まず取得のところですが、この法律の大きな特徴のひとつは、「利用目的概念」を導入したというところであります。第15条第1項に利用目的を「できる限り特定せよ」とありますが、これは、どう取り扱うかをきちんと定めておきなさい、という義務です。
 「できる限り」とはどのくらいかというと、経済産業省ガイドラインによると、たとえば日本産業分類の中分類や小分類を参考にしながら業種を示し、かつ商業登記における定款の目的程度を表現する程度でもよいとしています。このあたりの行政のさじ加減は、各主務大臣のガイドラインや今後公表される個人情報保護指針などを参考にしていくとよいでしょう。

(2)利用目的の明示・公表等
 個人情報を本人から直接書面で取得する場合、たとえば、書面を介して、サービスや商品のお申し込みを頂く場合、記名式のアンケート調査に回答いただく場合、懸賞などに応募いただく場合などが典型です。この書面というものにはウェブ画面も入ります。
 こうした場合には、必ず都度利用目的を明示しなければなりません。
 それ以外の場合、すなわち、直接書面取得以外で個人情報を取得する場合は、通知または公表することになります。公表とは何かというと、経済産業省ガイドラインには、各社のホームページ、そのトップページからわかりやすく1クリックか2クリックで誘導されるところに掲載されていればよいと言っています。ある意味非常に対応しやすい義務であると思います。
 実際のビジネスの現場では、多様で、かつ非常に多くの顧客接点があろうかと思いますが、そこで個人情報を取得しているのであればそれを全て洗い出し利用目的を明示したりする必要があるということです。

| | Comments (0) | TrackBack (0)

2005.03.22

個人情報保護法入門 8

3.「個人情報」は本人のものか?
  ――実験的な法律としての個人情報保護法

 私は、機会あるごとに「個人情報保護法は実験的な法律ではないか」ということを、繰り返し言っています。個人情報を保護せよということは、標語的には当たり前のことでわかるのですが、個人情報の概念がここまで茫漠としていますと、実際上は、どこまで守ればいいかわからないということになります。よく市販の解説本などでは、個人情報は本人のものであって、本人の権利でコントロールされるべきもの(自己情報コントロール権)であると書かれています。
 一見当然のことのように思いますが、実は、私はこれにかなり懐疑的な立場にあります。
 個人情報は本人のものであるというのは、これは常識的に受け入れられ易いのですが、これは、ちょっと乱暴に説明しますと、所有権の考え方と同じです。所有権モデルで理解しようという説なのです。
 たとえば、消しゴムを隣の人に貸した場合に、貸した人はそれを返せと言えるわけですが、これは理論的には所有権に基づく返還請求をしているわけです。こんなものはいちいち訴訟に乗せる話しではないのですが、それが、土地であったり、宝石だったりする場合、資産価値が高い場合には訴訟になっていくわけで、最終的には司法が、すなわち国家がそれに対して裁定をしてくれます。それは、法に基づくことで正当化されており、そのルールは主に民法の物権法制が担っています。さて、そのアナロジーで個人情報を捉えることができるのでしょうか?
 私の一番ベーシックな問題意識はそこにあります。
 名刺の交換について考えると、さっき名刺を渡したけども、それは紙を無償で譲渡したにとどまると。でも載っている情報は私の情報だから消去せよとか、お前とは絶交したから、お前の手帳に記録されている私のメールアドレスと電話番号を消しておけ、とかいうようなことがまかり通ることになります。もちろん極論をいっているわけですが、所有権の場合は、消しゴム1個の貸し借りもそれで十分に説明づけられるのです。個人情報は本人のものであるということを基本命題にするならば、つまらない個人情報1個も同様に説明づけられなければなりません。
 さて、個人情報保護法の条文をみてみましょう。条文のどこにも個人情報は本人のものであるということは書いてありません。この法律がうまいなと思ったところは、個人情報は本人のものであるという哲学にのっとらずに、「本人が関与し得る」としたところです。関与という表現はなかなか良くできています。
 当初は個人情報基本法と言われていましたが、基本原則を外したので、基本の文字はとりました。しかし、今後電気通信事業者を規制する“特則”を作る議論があったり、個人信用情報、医療情報についての“特則”を作る議論があったり、そういった特別法を起案するときの指導理念になるべき基本法的性格を残した法律となっています。のちの立法を指導する役割も担っているので、実は自己情報コントロール権を否定するわけにはいかないという事情があるのだろうと思います。例えば、遺伝子情報について自由に扱えるようになるというのは誰も望んでいません。自分の髪の毛を遺伝子解析されて、40ぐらいになったら癌が発病する率が高いということが生命保険会社に伝わってしまったら、加入を拒否されてしまうこともあるかもしれない。またそれがどこかの誰かに知られるようなことがあったら、結婚、就職、昇進に影響を与えるというようなことも起こりえます。そんなことにならないように、遺伝子規制に関しては自己情報コントロール権的な考え方を入れて、遺伝子に関する個人情報については本人のものであると規定して、第三者が持っていたら、それを開示せよ、変更せよ、消去せよと、消しゴムを貸したのと同じように、所有権モデルで本人にコントロールさせる法制を作るべきでしょう。それから、今回の法制のように間接罰ではなく、禁止行為に触れたら直罰にするという強い規制も必要かもしれません。こうした議論をしながら、ある類型の個人情報について必要な手当をしていくことが特別法の役割です。一概に自己情報コントロール権をこの法律で否定してしまうのは、のちの立法政策の自由をいたずらに拘束することになるという意味で、やはり問題があるのかもしれません。
 こうしたことを考えていくと、あえて個人情報は本人のものだということをいわずに、個人情報は本人が関与しうるものだという程度にとどめて、この法律を設計したということは評価できるのではないかと思います。

| | Comments (0) | TrackBack (1)

2005.03.21

個人情報保護法入門 7

(5)他の情報と容易に照合することで特定個人を識別できるか?
 個人情報は、非常に広い概念なのですけれども、その外延は比較的明確で、個人情報該当性判断も楽といえば楽です。でも、一部に曖昧なところも残っており、個人情報に該当するか否かよくわからない。それは何かといいますと、今ハンドリングしている情報だけでは特定個人を識別できないけども一定の条件を充たせば個人情報になるという場合です。つまり、それだけでは特定個人を識別できない。しかし、あるデータベースがあって、これと照合すれば特定個人を識別できるような、いわばインデックス的機能を有した情報の場合です。典型的には顧客コードや社員コードのようなID情報です。断片的な情報といってもいいかもしれません。これが個人情報の該当性判断で非常に悩ましい存在なのです。
 その断片的なIDのような情報と他の情報、たとえばデータベースと照合することで特定の個人が識別できるものか、それは容易に照合できるのかということを法は聞いているわけです。これがYESであれば、IDのようなインデックス的情報も個人情報に該当することになります。
 社員コードなどは果たして個人情報として保護に値するものなのでしょうか?氏名を伏せてハンドリングするために、外部に露出して流通させるためにコード化したということもあり、ある意味では匿名化情報ともいえますので、これが個人情報に該当するとなると、IDの取得においても利用目的の特定や明示、公表などの義務に服することになり、ビジネスが過度に不自由になるようにも思います。
また、複数企業間の情報システムを連携して行き交うIPアドレスが個人情報に該当するとなった場合、われわれは本当に義務をきちんんと遵守していけるのだろうかと非常に不安にかられることになるのです。

(6)「他の情報」とは何か?
 ここで重要なのは、「他の情報」とは何かという法解釈です。たとえば、私がある社員コードの番号情報を持っているとします。これが個人情報に該当するためには、人事データベースが必要です。このデータベースが「他の情報」に該当します。「他の情報」が、自社が保有するデータベースのみを指すのであれば、比較的範囲は狭まり、個人情報該当性判断もなんとかしていくことが可能です。しかし、文言上一番広い解釈をしますと、この社員コード以外の世の中にあるすべての情報が「他の情報」に該当します。たとえば、google等の検索エンジンを使い、社員コードで検索して、「鈴木正朝」という名前とマッチングできてしまう状況があれば、私の社員コードは、「個人情報」に該当するということになる。いや、それは容易性が無いと説明すればいいという人がいるかもしれないですが。でも、googleに文字列等を記述しクリックするだけの行為を容易ではないと言い切れるのかというと、やや強弁に過ぎるようにも思います。
 私は、容易性判断基準で調整するのではなく、「他の情報」の解釈で、こうした問題を解決するべきではないかと思っています。ここで「他の情報」というのは、自社が保有する「個人情報データベース等」など限定的に解釈すべきだろうということです。そうでなければ、個人情報取扱事業者は、いつ何時、こうした断片的情報が個人情報になってしまうのか、予見できないことになります。規範に直面することができないのに、法的義務が課せられるかもしれないように解釈する必要があります。ガイドラインでは、実は、まだこのあたりの「他の情報」の解釈基準がクリアではないのです。これは、今後、法を運用する中で整理し、ガイドラインに反映していってもらわなければならない問題だろうと思います。

| | Comments (0) | TrackBack (0)

2005.03.20

個人情報保護法入門 6

(4)メールアドレスと識別性
 それから識別性の問題として、メールアドレスの事例が経済産業省ガイドラインに載っています。例えば、keizai-ichiro@meti.go.jpは、日本(jp)の政府機関(go)である経済産業省(meti)のケイザイイチロー(keizai-ichiro)氏のことであろうと、メールアドレスの文字列から推測できるという意味で特定個人を識別できるので「個人情報」に該当します。一方、abc12345@ispisp.jpのようにアルファベットと数字の組み合わせのようなメールアドレスでは、特定個人を識別することができないので「個人情報」には該当しません。
 こうした事例を挙げたところ、パブコメで非常に技巧的で判りづらいという意見が寄せられたようです。実際のメールアドレスはメーラーの中に入っていて、その大半は特定個人の識別が可能であるから、メールアドレスは個人情報と説明すべきであるというのです。非常にごもっともな意見です。でも、私はそうした意見に反対です。仮にメールアドレスは個人情報だ、というような社会的認識が一般的であったとしても、あえて識別性を厳格に問うべきだと考えるからです。
 まず、「個人情報」が非常に広い概念であるということ。また、各省を所管する全ての国務大臣に対して、主務大臣としての行政権限を付与しているということ。すなわち、他の業法と異なり権限を持つ主務大臣が多く、しかもその守備範囲が非常に広いという意味で、権限濫用の危険性が非常に大きい法律だからです。当然、行政罰に至るまでは非常にハードルが高くて、実質的には過大な濫用の危険性は少ないのかもしれませんが、われわれ事業者にとっては助言も勧告も非常に怖いわけで、概念的には行政指導ではあっても、実は十分に権力行政と感じるのです。
 こうした中で、ガイドライン(告示)は、実質的にという限定つきですが、行政の権限発動の基準を明確化する役割を担っています。主務大臣には、ガイドライン(告示)の制定を通じて、本法に基づく、権限行使の基準を宣言していただかないと困ります。例えば、IPアドレスは個人情報ですかとか、RFIDはどうなるのですか、などこれからどんどん新たな問題に直面していくことになりますが、このような曖昧な、グレーゾーンにある情報について、その個人情報該当性判断の基準を曖昧にして、結果として主務大臣の広い裁量に委ねてしまっていいのだろうかと。
 ですから、メールアドレスの事例に込められたココロというのは何かというと、メールアドレスにおいても、その特定個人の識別を厳格に問うということ、識別性が無いものは個人情報に該当せず、従って、個人情報保護法の適用外であり、当然、本法に基づく権力の行使はできないのだということを象徴的に宣言してもらうことにあります。まさに事業者側からみたガイドライン(告示)の実質的なねらいはそこにあるというべきでしょう。けして、わかりやすさだけが第1に優先されるわけではないだろうと思うのです。
 確かに、ガイドラインの内容はよくわからないという批判もあたらないわけではないですが。では、民法、刑法や独禁法、特商法といった法律はわかるのかというと・・・、それもわからない・・・・。日本の法制度は、法曹というプロフェッショナルを介して実現される、ある意味、プロ仕様で出来上がっているわけですから、われわれ一般市民もある程度のスキルが要求されるのはいたしかたありません。それは、法学に限らず、簿記も、プログラム言語もみな同じでしょう。ただ、法律は、民主主義の基盤ですので誰でもわかるように作られることが期待されるということはありますから、もう少し、ルールのあり方と表現を工夫していくべきということはあるのでしょうね。ただし、わかりやすくすると言っても、国語力だけで足りるというわけにはいきません。
 また、法的な観点から、権力の発動の基準を明確化することに寄与しているかどうかといった観点からも評価していくべきです。法の内容のわかりやすさについては、別途解説やFAQの公表など政府広報に求めるべき部分もあるでしょうから。

| | Comments (0) | TrackBack (0)