個 人 情 報 保 護 法 情 報 社 会 と 情 報 倫 理 第4回
前回と今回の話題の関係 ⇕ OECD保護勧告(8原則) 個人情報保護法に定められている義務 法律の条文を覚える必要はない。趣旨を理解する ⇕ 個人情報保護法に定められている義務 法律の条文を覚える必要はない。趣旨を理解する 何が問題か
OECD保護勧告(8原則) 収集制限 データ内容の原則 目的明確化の原則 利用制限の原則 安全保護の原則 公開の原則 個人参加の原則 責任の原則
個人情報保護法に基づく是正勧告第1号となった事件 個 人 情 報 漏 え い みちのく銀行、131万件の顧客情報入りCD-ROMを紛失 http://internet.watch.impress.co.jp/cda/news/2005/04/22/7411.html 個人情報保護法に基づく是正勧告第1号となった事件 (後述)
個 人 情 報 保 護 法 個人情報の保護に関する法律 2003年(平成15年)5月成立 2005年4月に(完全)施行 以降,大騒動 最近は落ち着いてきた? 情報処理技術者試験を受験しようと思っている場合は,概要を把握しておくこと
制 定 の 背 景 “個人の情報”というものの価値 漏えい事件多発 インターネット時代より以前からあった 住民基本台帳ネットワークシステム
日本の個人情報保護法制の体系イメージ 総務省のパンフレット
目 的 個人情報は活用すべきもの! 個人情報を集めるな!というのではない 第1条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
個 人 情 報 と は (1) 第2条 この法律において「個人情報」とは, 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により 特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
個 人 情 報 と は (2) 国籍の制限はない 外国人の情報も含む 公開されている情報であっても該当 電話帳 名刺 プライバシーとは異なる
個 人 情 報 と は (3) 文字情報だけではない 顔の写真など
学生名簿を持っていない者にとっては個人情報ではない 個 人 情 報 と は (4) 学生番号などのコード それだけでは個人を識別できない 学生名簿と照合すれば,個人を識別できるので個人情報といえる 学生名簿を持っていない者にとっては個人情報ではない
個 人 情 報 と は (5) 直接・間接に特定の個人を識別できる情報が個人情報 プライバシーに関するものだけでない 生存している人 統計データは該当しない 試験の点数の分布 この2点がポイント 亡くなった人の情報であっても,生存者の情報になるものもある
個 人 情 報 と は (6) メールアドレスは個人情報か? foo@jobu.ac.jp 所属組織・名前があきらか プロバイダは顧客名簿をもっているであろうから,プロバイダにとっては個人情報 一般の人にとっては個人情報とはいえない プロバイダから顧客名簿が漏えいすると… メールアドレスは個人情報か? foo@jobu.ac.jp 所属組織・名前があきらか abc123@example.ne.jp プロバイダのアドレス(らしい) これだけでは個人を識別できない
個人情報データベース等(1) 第2条 2 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。 一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの 二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
個人情報データベース等(2) コンピュータに蓄積されたデータベースである必要はない 名刺を50音順に並べて整理してあれば,個人情報データベース等になる
3 種 類 の 個 人 情 報 個人情報 個人データ 保有個人データ 3種類あり,区別しないといけないのであるが,この講義では区別しない
個 人 デ ー タ 個人情報データベース等を 構成する個人情報
保 有 個 人 デ ー タ 個人情報取扱事業者が開示,内容の訂正,追加又は削除,利用の停止,消去及び第三者への提供の停止を行うことのできる権限を有する個人データ ただし,半年を越えて保有するもの
個人情報取扱事業者と義務
5,000人分を超える大量の個人情報をデータベース化して, 個人情報取扱事業者(1) 義務を課せられる者 個人情報データベース等を事業のために使っている民間の者 非営利の事業も含まれる 大量の保有個人データをもつ者 半年間のうち1日でも,識別される個人が5,000人を超える保有個人データを有する 大雑把にいえば5,000件の保有個人データ 5,000人分を超える大量の個人情報をデータベース化して, 事業を行う者
個人情報取扱事業者(2) 非営利事業も含むので,かなり広範囲にわたる可能性がある もちろん上武大学も 交際範囲が広く,個人的に年賀状を5,000人に出すような場合は,事業とはみなさない
個人情報取扱事業者(3) 民間だけ 国や地方自治体は別の法で規制される
個人情報取扱事業者の義務 OECD保護勧告との対比
個人情報取扱事業者の義務(1) 利用目的の特定 第15条 その利用の目的をできる限り特定しなければならない 利用目的による制限 第15条 その利用の目的をできる限り特定しなければならない 利用目的による制限 第16条 利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない
個人情報取扱事業者の義務(2) 適正な取得 第17条 偽りその他不正の手段により個人情報を取得してはならない 取得に際しての利用目的の通知等 第17条 偽りその他不正の手段により個人情報を取得してはならない 取得に際しての利用目的の通知等 第18条 個人情報を取得したときには,あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない
個人情報取扱事業者の義務(3) データ内容の正確性の確保 第19条 個人データを正確かつ最新の内容に保つよう努めなければならない 第19条 個人データを正確かつ最新の内容に保つよう努めなければならない 安全管理措置 第20条 個人データの漏えい,滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない
個人情報取扱事業者の義務(4) 従業者の監督 第21条 個人データを取り扱わせる従業者に必要かつ適切な監督を行わなければならない 第21条 個人データを取り扱わせる従業者に必要かつ適切な監督を行わなければならない 委託先の監督 第22条 個人データの取扱を委託する場合,委託先に必要かつ適切な監督を行わなければならない 重要 委託先でトラブルが生じた場合であっても,責任逃れができないかもしれない
個人情報取扱事業者の義務(5) 第三者提供の制限 第23条 あらかじめ本人の同意を得ないで,個人データを第三者に提供してはならない。 第23条 あらかじめ本人の同意を得ないで,個人データを第三者に提供してはならない。 親会社が集めた情報を子会社で活用するなどの場合 (その予定があるのなら,明示しておく)
個人情報取扱事業者の義務(6) 保有個人データに関する事項の公表等 第24条 保有個人データに関し,取扱事業者の名称や利用目的などを本人の知り得る状態に置かなければならない どんなデータを保有し,どのような方針で活用し,責任者は誰
個人情報取扱事業者の義務(7) 開示 第25条 本人から,当該本人が識別される保有個人データの開示を求められた場合,開示しなければならない 第25条 本人から,当該本人が識別される保有個人データの開示を求められた場合,開示しなければならない 訂正等 第26条 本人から,当該本人が識別される保有個人データの内容の訂正,追加又は削除を求められた場合,調査を行って,結果に基づき,当該保有個人データの内容の訂正等を行わなければならない。
個人情報取扱事業者の義務(8) 利用停止等 第27条 本人から,当該本人が識別される保有個人データが,第16条や第17条に違反しているものであるという理由によって、当該保有個人データの利用の停止又は消去を求められた場合,その理由があることが判明したときは,当該保有個人データの利用停止等を行わなければならない 理由の説明 第28条,開示等の求めに応じる手続 第29条,手数料 第30条 (省略)
個人情報取扱事業者の義務(9) 個人情報取扱事業者による苦情の処理 第31条 個人情報の取扱に関する苦情の適切かつ迅速な処理に努めなければならない。
主 務 大 臣 主務大臣は,個人情報取扱事業者に個人情報の取扱に関し報告させたり(第32条),必要な助言をすることができる(第33条)。 事業者の違反行為の中止や是正のための処置を勧告や命令することができる(第34条,第35条)。
注 意 個人情報が漏えいした被害者救済の規定はない 損害賠償訴訟という手段(民法) 個人情報取扱事業者の管理責任を問う
義務とOECD8原則の関係 “法案の論点解説”(内閣官房個人情報保護室資料)
適 用 除 外(1) 第50条 個人情報取扱事業者のうち次の各号に掲げる者については、その個人情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、前章の規定は、適用しない。 一 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。)報道の用に供する目的 二 著述を業として行う者 著述の用に供する目的 三 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者 学術研究の用に供する目的 四 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的 五 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的
適 用 除 外(2) 本来の目的の場合だけ除外 新聞社が,営業活動に個人情報を使うような場合は除外されない
現 状 は …
出 版 物 多数の出版物
是 正 勧 告 金融庁、顧客情報紛失のみちのく銀行に是正勧告~個人情報保護法で初の勧告 http://internet.watch.impress.co.jp/cda/news/2005/05/20/7692.html
頻発する個人情報漏えい(1) 事業者の個人情報漏えいは848件、内閣府が2007年度とりまとめ http://internet.watch.impress.co.jp/cda/news/2008/09/29/20983.html 2007年の個人情報漏洩事件、864件・約3,053万人分が漏洩~JNSA調査 http://internet.watch.impress.co.jp/cda/news/2008/05/19/19611.html
頻発する個人情報漏えい(2) つい最近も 三菱UFJ証券、社員が148万人分の顧客情報を不正持ち出し(2009年) 2008年の個人情報漏えい、件数は増加も漏えい人数は減少
頻発する個人情報漏えい(3) 行政機関と独立行政法人の個人情報漏えい、2008年度で2929件発生http://internet.watch.impress.co.jp/docs/news/20090901_312198.html
頻発する個人情報漏えい(4) 日本大学、個人情報1万件以上を含む内部情報がShareで流出 http://internet.watch.impress.co.jp/docs/news/20100427_364120.html 禁止されている業務情報の持出し ファイル共有ソフトをインストールしているパソコンを使用(個人情報を扱うのならば,リスクを避けるのは当然)
自 己 規 制(1) 小学校のクラスで生徒の住所録(緊急連絡用)の作成をやめる 災害時の援助対象者(老人など)の住所録の作成をやめる 病院の呼出しを名前ではなく,受付番号で行う
自 己 規 制(2) 個人情報保護法への「過剰反応」が被害者救済の壁に~国民生活センター http://internet.watch.impress.co.jp/cda/news/2005/11/10/9797.html 間違いだらけの個人情報保護,牧野二郎,インプレス,2006(出版物の例の右の書籍 文献7) さまよえる個人情報保護,朝日新聞,3/23~29,2006
自 己 規 制(3) なぜ,このようなことになったのか? 第16条 利用目的による制限 第23条 第三者提供の制限 適用除外があるが よく分からないから,とりあえず止める 法の趣旨に反する
自 己 規 制(4) 対策 例 学校の連絡用名簿の作成 保護者の同意を取れば良い “Yes”の家庭だけで名簿を作成
見 直 し (自己)規制の行き過ぎ いろいろな見直し 法律の改正も考慮された 運用で改善
自分の個人情報漏えい対策 漏れたら大変!個人情報http://www.ipa.go.jp/security/kojinjoho/index.html 自分の情報は自分で適切に守る 過剰反応に注意(バランス感覚)
ま と め(1) 個人情報保護法 法の“趣旨”は “個人情報”とは (個人情報取扱事業者)の義務は(次のスライド)
ま と め(2) “法案の論点解説”(内閣官房個人情報保護室資料)
ま と め(3) 法の趣旨を活かした,個人情報の活用が必要 自分の情報は,自分で守る なぜ個人情報漏えいは続くのか?!
将 来 個人情報を扱う業務に従事 漏えいしたら 後始末 被害がどこまで広がるか? 信用失墜 コストは?