« 2004年12月26日 - 2005年1月1日 | トップページ | 2005年1月9日 - 2005年1月15日 »

2005.01.08

個人情報保護法を考えてみる 2

その2です。

個人情報保護法自体は割と明快なように見えるからやっかいなものだ、という側面があるのかもしれません。

1月4日のニュースで「個人情報流出:TDL年間パスなど14万人分 恐喝未遂も」というのがあります。
この事件は外部から「個人情報リストを持っている。買わなければマスコミにばらす」と恐喝されたことで始まりました。
TDLの説明によると16人分の個人情報が流出したとのことで、14万人にお詫び状を出しています。わたしの知人も受け取ったとの報告をくれました。言うまでもなく莫大なコストであったでしょう。

この問題について法律の専門家とお話ししましたが、TDLが14万人にお詫び状を出したということは、流出した情報がそれなりに問題のあるものであったろう、ということになりました。
というのは、16人分ですから極端なことを言えばTDLのバスポートを持っている人の名簿を集めて「ほれ個人情報流出だ」とやれる可能性もある、ということです。
しかし実際にこんなことであれば、どこの会社でも14万人にお詫び状を出すなんて手間は掛けないのではないか?と思います。
つまり、もっとクリティカルな情報が流出していたのではないか?ということです。

そこで、個人情報の流出として問題になる個人情報とはナンなのか?に舞い戻ります。
これは「個人情報」が流出と考えるのが問題なのではないでしょうか?
「問題になる個人情報」の流出であるべきでしょう。
問題になる情報が流出したから問題になった、なら理解できますが個人情報が流出しただけでは問題になるかどうか分からない、という当たり前のことです。

ところが新聞報道をチェックしてみると読売新聞の記事に「個人情報2万9500件流出、札幌市の保健所から」とあります。

個人情報を入力したノート型パソコン2台が盗まれたとして、市は7日、札幌中央署に盗難届を出した。人口動態統計のうち、死亡情報約1万9000件、離婚約5000件、出生約3000件、婚姻約2500件が登録されていて、氏名、生年月日、住所、職業などが入力されているが、人数は数万人単位になるものの「不明」という。
記事の中身には「個人情報が盗まれた」とは書かれていません、ノートPCが盗まれたと書いています。しかし、記事のタイトルは「個人情報流出」です。ごく普通に「個人情報が盗まれた」と読めると思います。

その何が問題なのか?というと、個人情報は財物ではありません。
盗むとか詐取するというのは財物に対して出来ることであってこれは最古の法律で「汝盗むなかれ」と書かれているくらいです。
氏名(姓名)は個人情報の代表的なものでしょう。問題は名前の所有者は誰なのか?です。
一見、個人の姓名はその個人のモノのように思えますが、よくよく考えると自分の名前を自分だけで独占していると全く名前として機能しません。他の人はその人の名前を知らないのですから。
つまり、名前(姓名)はその個人の社会的な位置を確定するために社会が共有しているものである。
といった定義の方が実際的なものではないでしょうか?

個人情報保護法に関わってから違和感があったのが「名刺も個人情報です」と言われることです。
ネット用の名刺としてハンドルとメールアドレスしか書いていない名刺を使うことは特に女性には珍しいことではありませんが、ビジネス用途に限っても名刺を出したらそれがDMに使われるのは覚悟の上でしょう。
それを個人情報として管理しなさいという話しになると、説明として出てくるのは「机の中に名刺の束を放り出しておいて、誰かがそれをDM業者に渡したら文句が来ます」なんて説明になっています。
これは、名刺が個人情報だとしてもその取り扱いの一局面の話しであって、名刺そのものや名刺を交換することについて特段の注意をしろという意味では無いでしょう。
ところ「名刺は個人情報」「鍵の掛かるところにしまうべき」といった議論がなんの疑問もなく語られますが、普通はオフィスは鍵が掛かるでしょう。野天でオフィスを開業しているなんて例はほとんどありません。

というわけで「個人情報」という言葉だけが走りすぎていて、その問題点をかえって考えていないのではないか?さらには「個人情報の使い方の問題」を「個人情報の問題」にしてしまっているのではないか?と思うようになりました。

1月 8, 2005 at 05:25 午後 セキュリティと法学 | | コメント (4) | トラックバック (1)

2005.01.07

個人情報保護法を考えてみる 1

個人情報保護法を考えてみます。
4月から個人情報保護法が施行されます。
この法律は行政法というもので、行政から主に企業や団体などの個人情報の取扱について管理監督があるという趣旨の法律です。
だからある特定個人の個人情報を悪用したといったことが直接個人情報保護法違反にはなりません。
実際には、
個人情報が悪用された→個人情報が流出したのだろう→流出させた企業の情報管理に落ち度があったのだろう→監督官庁が企業を調査する→監督官庁は企業に情報管理について是正を指示する→命令を受けた企業が命令に反した→個人情報保護法違反で管理者が処罰される。

なんてことになります。

こんなことなので、企業は個人情報保護法対応のために莫大な投資をしているのが現状です。
一例が日立製作所の発表した「社内のPC全廃」です。PCに代わってターミナルを配付するのでしょうが莫大な投資額になるでしょう。

ところで個人情報保護法が定義している個人情報は次のようなものです。

第二条  この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

これではナンのことか分かるような分からないような・・・です。
ところで、個人情報保護と境目があいまいなものに「プライバシー保護」があります。
プライバシーは個人にとってはかなり明確ではありますが、それが他人にとっては「それくらいいじゃないの」というところで、摩擦になるから「個人が勝手にされている権利」といった概念プライバシーである、とも言われています。
もっとも法律上はプライバシーを権利として確定していませんし、そもそも法律で決めることなのか?という議論もありますが、同時にプライバシーが全く存在しないということもあり得ないので、かなり自然なことでしょう。

これに個人情報がくっつくとヘンなことになります。
例えば「公職」という言葉があって、多くの場合は議員などの職務や上級公務員の職務を指すようです。じゃあ「私職」という言葉があるのか?というとあるわけ無い。「公職」だけですね。
そこで「代議士の○○が愛人を・・・」なんて週刊誌などが書くと愛人なんてのは職とはあまり関係ないわけで、公職であろうがプータローであろうが人類公平の原則によるでしょう。
しかし実際には公職の人の愛人問題を週刊誌に書いても多くの場合は名誉棄損にならない。一方、市井の人の愛人問題を電柱に貼ったりすると、名誉棄損で逮捕される可能性は高いです。この違いはどこから出てくるのか?

簡単に言えば「個人として違う人だから裁判の結果も違う」ということになります。
つまり「個人」とは「社会の中での個人」であるということを改めて認識にする必要があります。
私たちは自分の氏名を自分で変更することは許されません。裁判所の判決を必要とします。同様に住所のデータは住民票のデータでありますから、自分で管理していないことは確実です。
ところが個人情報保護法の個人情報の定義に「氏名、生年月日その他の記述等により特定の個人を識別することができるもの」となっているのですから、氏名や住所は個人情報の一部であることになります。

さて、ここで後戻りになりますが「保護するべき個人情報とは何なのだ?」という問題が浮かび上がって来ますが、それは法律にも書いていない。
ちょっと大変なことになってきました。
個人情報保護法には保護するべき個人情報の定義が無いようです。

1月 7, 2005 at 02:42 午後 セキュリティと法学 | | コメント (4) | トラックバック (2)

2005.01.05

まだまだ続く Mozilla Thunderbird

いささか慣れが必要なのはどんなソフトウェアでも同じだから、メーラーのように目的がはっきりしている場合には使用上の大問題が起こらないのであれば、利点だけが生きてくると言えます。
(利点があるから、取り替えるのであるから)

Mozilla Thunderbird を継続して使うことにして、以前のメールを移しました。
数万通のメールを移動して、改めてディレクトリーに割り振るというおよそ非能率なことになってしまいました。
(ディレクトリー単位で移動すること出来るのだから・・・・)

結局の所、メーラーも時代々々で変わらないとダメなのだな、と確認しましたね。
なんのかんのと今日は100通来ました。その半分が迷惑メール・・・・。
これが、一日の間に平均してくるわけではないから、10分ごとに読みに行くと、必ず来ているといった感じになります。
しかし、2年ぐらい前を考えると1日に100通のメールが連日来るなんてことは滅多にあることでは無かったです。

実際、携帯電話にメールを転送していたら、MLを転送してしまい、あわててMLのアドレスを変えたことがありました。
その後、携帯電話も定額制になったから遠慮無く転送できるようになった、という経緯があります。

ところが今では、特別に忙しいMLを使っているわけではないのに、迷惑メールが半分とは言え1日に100通来ることが珍しくないのですから、その頃のメーラに比べて自動化を要求するのも当然だ、となります。
そういうタイミングで出てきたのが Mozilla Thunderbird ですから特に何をしないでも、快適に動くというのは何気ないことではありますが、今の時代に合っているのでしょう。

1月 5, 2005 at 11:51 午後 ネットワーク一般論 | | コメント (0) | トラックバック (0)

2005.01.04

Mozilla Thunderbird その後

「Mozilla Thunderbird を使ってみます」を書いた時にはとりあえずインストールして普通に動くようにしただけといったとこでしたが、別の3台にもインストールしました。

「自動受信の設定が無いようです。」と書きましたが、ツール→アカウントの設定→サーバ設定の中に「新着メッセージが無いか」10分ごとにチェックする。
となっていました。

今まで使っていたのは ShurikenPro3 でこれで、メーラにアカウントを追加するとディレクトリーがアカウント毎に作られます。
これに対して Mozilla Thunderbird ではディレクトリーはそのままでアカウントだけが追加になります。従って送信用のデータを作る時にはエディタを開いてからアカウントを選択することになります。

ちょっと不便かな?と思うのが、送信フォームが出来ないようで、bcc: で自分に送るといった設定が出来ません。毎回、アドレスを追加することになります。
もう一つはこれもエディタにルーラが出ないことで、それでも72字で自動改行に設定されていて、ちょっと違和感があります。

とは言え、学習型迷惑メールフィルターの実力は大したもので、Spam Mail Killer に手動で設定していた時よりも確実にチェックしています。

いささか立ち上がりが遅いかな?というのが気になるところです。
ログを圧縮しないとかなり大きな形(htlmメールのまま)で保存しているようですが、所詮はメールですから大したことにはならないでしょう。

1月 4, 2005 at 03:05 午後 ネットワーク一般論 | | コメント (2) | トラックバック (0)