2009.05.20

三菱UFJ証・名簿流出で5億円の支払

朝日新聞より「情報流出5万人に各1万円支払い 三菱UFJ証券

三菱UFJ証券の元部長代理が約5万人分の顧客情報を名簿業者に不正に売った問題で、同社は19日、被害者全員に1人あたり一律1万円の慰謝料を商品券で支払う方針を決めた。

弁護士らと相談して金額を決めたという。支払総額は約5億円。
20日に発表し、被害者に通知を始める。

名簿業者に売られた名前、電話番号、年収水準といった情報は、転売などで約100社の手に渡ったことが確認されたという。
深夜まで電話で投資用マンションや先物商品の購入の勧誘を受けるなどの被害が相次いだ。

流出先で情報利用の停止を約束したのは70~80社。

三菱UFJは一部業者には名簿購入費の実費弁済も始めた模様だ。
だが、情報の完全な回収は事実上不可能とみられる。

過去の個人情報流出では、04年にインターネット接続サービス「ヤフーBB」の顧客名や住所など約650万人分が流出した事件で、運営するソフトバンクBBが1人あたり500円の慰謝料を払った。
だが、その後の裁判では、被害者の原告5人に1人あたり5500円を支払うよう同社などが命じられた。

エステティックサロン大手TBCの個人情報流出をめぐる訴訟では07年、身体のデータが含まれていたため、1人あたり最大3万5千円の慰謝料支払いが命じられている。

今回の問題は、三菱UFJの元部長代理=発覚後に懲戒解雇=が今年2月、全顧客約148万人分の個人情報を持ち出し、このうち昨秋以降に口座を新設した約4万9千人について名簿業者3社に計32万8千円で売却した。
発覚から1週間で7千件以上の苦情や問い合わせがあった。

5億円とは妙に少ないな、と思った

全顧客約148万人分の個人情報を持ち出し、このうち昨秋以降に口座を新設した約4万9千人について名簿業者3社に計32万8千円で売却した。

要するに、損害賠償ですね。

迷惑を掛けたということならば、全顧客約148万人に支払うべきでしょう。
その場合は、1万円なら148億円。5万円で740億円。

これが、損害賠償なら「DM1一回について1万円ずつ無期限に支払う」という選択をせざるを得ないでしょう。
1万円が500円でも良いけど、無限に被害は続き時効はあり得ない、ということだと思いますよ。
「以後は賠償請求は行わない」という和解条項そのものが成立しない。

元もと「賠償ではなくてお詫び」であって、被害者は「許してやろうか」と言うだけのことでした。
つまり、何を許すのか?が問題なのであって、それを「流出がはっきりしている分」として良いのか?という問題になります。
実際的に言えば、会社の事業存続の障害としてどの程度の影響があるか?です。分かっているのか?この会社。

消費省の設置で議論されている、父権訴訟と同列のところで「違法収益のはく奪・被害者還付制度」を設置するべしという主張があります。
たまたま今日(2009年5月20日)参議院議員開会で制度の設置促進を求める院内集会が開かれます。案内はこちら(PDF)

今回ような名簿流出事件へのお詫びの方法としては、個人で受け取るのではなくてこういう機関にプールするというのがあっても良いかと思います。
いずれにしろ今回の三菱UFJ証券の判断の基本が「どうやって限定するのか?」という方向に向かったのは、会社の経営方針が社会とうまくやっていくつもりがないことを示しているわけで、こんな事ではいずれ同種の事件が再び起きても仕方がないでしょう。
何よりも「市場がどう評価するのか?」をちゃんと考えたとは見えないところが痛々しい決定です。

5月 20, 2009 at 08:02 午前 個人情報保護法 | | コメント (0) | トラックバック (0)

2009.04.13

個人情報保護・国が敗訴して損害賠償

共同通信ニュースより「個人情報漏えいで国に賠償命令 議員宿舎移転計画で70万円

東京都千代田区紀尾井町への参院議員宿舎移転計画をめぐり、個人情報が無断で参院事務局などから推進派側に流されたとして、反対派の地元住民(64)が国に約250万円の損害賠償を求めた訴訟の判決で、東京地裁は13日、「必要もないのに個人情報を第三者に開示した」として、国に70万円の支払いを命じた。

松本光一郎裁判官は「反対派を攻撃する材料を提供するのと同然の行為で、公正性が要求される国の機関の規範に著しく違反する」と指摘した。

判決によると、参院事務局の職員らは2007年1月、移転計画について原告(被害者)が電話で問い合わせをした際の会話内容や原告(被害者)本人の氏名、住所などを記録した文書を、推進派団体の求めに応じて手渡した

原告(被害者)らは同6月、移転宿舎が高さ制限などを定めた都条例に反するとして、都知事に建設を認めないよう求め東京地裁に提訴。
都知事が建設に反対したため、昨年取り下げた。

これで、国が損害賠償の責を負うというのは、常識的にはあり得ない事件で、逆に考えると、この事件の判決が「賠償するほどの責任はない」という判決であった場合には「個人情報保護法は無効です」という解釈になったでしょう。

アメリカであれば懲罰的賠償で100億円とかになるのではないでしょうか?

4月 13, 2009 at 07:01 午後 個人情報保護法 | | コメント (1) | トラックバック (1)

2008.11.14

続・2006年度神奈川県立高校全生徒の情報流出

読売新聞より「生徒情報流出、第三者が故意に公開か

2006年度に県立高校に在籍した生徒延べ約2000人分の個人情報流出は、授業料口座振替用コンピューターシステムを開発した日本IBMの下請け業者が県教委との契約に違反して個人用パソコンに情報を保存していたために引き起こされた。
県教委とIBMは13日、下請け業者のパソコンから流出した情報を入手した第三者が、ファイル交換ソフト「シェア」を使って「意図的にネット上に公開した可能性がある」と指摘した。

発表によると、約2000人分のうち、約1400人分は、授業料の口座振替に使う名前や口座番号などの情報。約600人分は住所や氏名、電話番号など。

IBMの下請け業者の社員は、06年3月の契約期間を過ぎてもパソコンに約11万人の個人情報を保存。そのまま使い、08年6月に、ファイル交換ソフト「ウィニー」を介して情報を流出させるウイルスに感染させた。
社員は「作業後に個人情報を消去した」とIBMに報告していたが、今回の調査には「データが残っていることを失念していた」と話したという。

IBMでは、ウィニーを介して流出した個人情報を、第三者が再びネット上でダウンロードできる状態にさせているのではないかとみている。個人情報はシェアにより拡散するおそれがあるが、IBMは「犯罪性がないと警察は動いてくれない」として、流出した個人情報をすべて削除するのは難しいとしている。

県教委が12日に開設した相談窓口には、2日間で「どうして流出したのか」という保護者などから計93件の問い合わせがあった。

県教委では、個人情報が流出した恐れがある06年度に県立高校に在籍した約11万人には書面で謝罪し、流出が確認された2000人分の該当者には電話で連絡するという。
また、被害を防ぐため、県警と協議し口座変更を円滑にできるように金融機関に要請する。

神奈川新聞より「2000人分の流出確認/口座番号など県立高生徒の個人情報

二〇〇六年度に県立高校に在籍していた全生徒約十一万人の個人情報が流出した恐れのある問題で、県教育委員会は十三日、約二千人の口座番号などのデータがインターネット上に流出していた、と発表した。
県教委は流出した恐れのあるすべての生徒や保護者に文書で謝罪し、口座番号の変更を求めていく。

県教委によると十二日午後、授業料の徴収システム開発を委託した日本IBMが、生徒の氏名や住所、口座番号、電話番号を含む個人情報がファイル共有ソフト「シェア」を介して閲覧可能な状態になっているのを確認した。
流出情報が悪用された形跡はないという。

インターネット上では、既に数十人分のデータが大半を消した状態で流出しているのが確認されている。
シェア上のデータも同一人物が流出させた可能性が高いとIBMはみている。

笠原達夫教育局長は「適切に管理する責任があったのに大変申し訳ない。流出が確認された約二千人に対してはできるだけ早く事実を伝え、対応をお願いしたい」と述べた。
IBMは「現状では他の流出はないと思う」と話している。

今回、流出したデータは、システム開発に携わった日本IBMの下請け業者の男性社員のパソコンに保存していたものと同一だった。ファイル共有ソフト「ウィニー」を介してウイルスに感染していた。

2006年度神奈川県立高校全生徒の情報流出の続報であるが、なんだか意味不明ですね。

  • 県教委とIBMは13日、下請け業者のパソコンから流出した情報を入手した第三者が、ファイル交換ソフト「シェア」を使って「意図的にネット上に公開した可能性がある」と指摘した。
  • IBMでは、ウィニーを介して流出した個人情報を、第三者が再びネット上でダウンロードできる状態にさせているのではないかとみている。
  • 被害を防ぐため、県警と協議し口座変更を円滑にできるように金融機関に要請する。
  • 流出情報が悪用された形跡はないという。
  • IBMは「現状では他の流出はないと思う」と話している。

教育委員会も、IBMも情報セキュリティという観点では珍しいほど完璧に失格だと思うのだが・・・・。

リスク評価を公表して比べるとかしないと、何をやったのか理解できないのだろう。

11月 14, 2008 at 12:38 午後 セキュリティと法学, 事故と社会, 個人情報保護法, 教育問題各種 | | コメント (2) | トラックバック (1)

2008.11.12

2006年度神奈川県立高校全生徒の情報流出

神奈川新聞より「最大11万人の県立高生徒の個人情報流出か/PC感染で住所、氏名、口座番号も

二〇〇六年度に県立高校に在籍していた生徒の個人情報がインターネット上に流出した可能性が高いことが十一日、分かった。コンピューターシステムの開発に携わった業者のパソコンから最大で全生徒約十一万人分のデータが流出したとみられ、県教育委員会は確認を急いでいるが、いまのところ個人情報が悪用された形跡はないという。

県教委によると、流出した可能性のあるデータは生徒の住所、氏名、授業料の振替口座番号、電話番号など。二〇〇五年度に県教委が授業料の徴収システムを開発する際、開発を担当した日本IBMの下請け業者の男性社員のパソコンにあったデータと同じ二十~三十人分の個人情報の画像がインターネット上に大半をぼかした状態で掲載されていた。

データは契約終了後に消去しなければならなかったが、男性社員は私物で使っていたコンピューター内にデータを残したままにしていた。ことし六月になってファイル共有ソフト「ウィニー」を介してウイルスに感染していたことが確認されている。

九月に県庁へ匿名の情報があったことを受け、県教委が委託先の日本IBMに調査を指示した。日本IBMの調査によると、今のところそれ以外の生徒の情報流出は確認できていないという。

県教委は発表が遅れたことについて「発表することで検索回数が増えて、仮に流出していた場合にデータが表面化し、二次被害の恐れがあったため」と説明している。ただ、「第三者がデータを持っている可能性が高い」と警戒している。

日本IBMは今後もデータが流出していないか二十四時間態勢で監視を継続。もし流出が確認された場合、県教委は口座番号を変更するなどの対応を生徒に要望するとしている。

日本IBMは「業務委託先で判明した不適切な情報管理について深くおわびする。今後、業務委託先での情報管理の徹底を一層強化し、再発防止に努める」とのコメントを出した。

FNNニュースより「2006年に神奈川の県立高校に通っていた全生徒の個人情報がネット上に流出のおそれ

神奈川県の県立高校に2006年に通っていたすべての生徒の個人情報が、インターネット上に流出しているおそれがあることがわかった。

神奈川県教育委員会によると、情報流出のおそれがあるのは、2006年に神奈川県の県立高校に通っていたすべての生徒およそ11万人分で、名前や住所、それに授業料納付などに使用していた口座番号などが含まれるという。

県では、授業料徴収のシステムを日本IBMに委託していて、システムを作成した下請け会社の社員のパソコンが、ファイル交換ソフト「Winny(ウィニー)」を介してウイルスに感染し、2008年9月には、流出した情報の一部がウェブサイトの掲示板に掲載されていたという。

それ以降、個人情報の流出は確認できていないということだが、県やIBMでは引き続き情報流出がないか監視を続けている。

開発で生データを使うのは禁じ手であります。

なんで、県 → IBM → 下請け → 担当者 と生データが渡ってしまったのかの方が重大問題でしょう。

県も、IBMも事件を矮小化しようとしているように見えますね。
情報管理の徹底をいっそう強化し、って生データを直接開発の末端まで回した時点で、落第であって強化以前の問題、早い話が「今後はこの種の開発業務を引きうけません」と言うぐらいしか対策がないと思うのだが。

11月 12, 2008 at 09:10 午前 セキュリティと法学, 事故と社会, 個人情報保護法, 教育問題各種 | | コメント (0) | トラックバック (0)

2008.07.12

横浜市職員が個人情報をネットに晒した・その2

「横浜市職員が個人情報をネットに晒した」の続報です。

神奈川新聞より「横浜市の個人情報漏えい問題/施設職員がネットに流す

横浜市の五十代の男性職員がインターネット上に職務上知り得た個人情報を流していた問題で、この職員の勤務先は市立の児童福祉施設で、ネットに流されたのはこの施設の児童の様子や癖だったことが十一日、分かった。

関係者によると、この職員は職員同士で情報を共有するつもりで、入所児童の様子や癖などを日記風につづり、ネット上に掲載していたという。

ネット上の個人情報は既に削除されているが、市は「ネット上で検索され、被害者への人権侵害が拡大するおそれがある」などとして、職員の所属や漏らされた個人情報の内容を公表していない。

この報道が事実だとして、つくづくと「情報管理はテクニカルな問題ではない」と思います。

職員同士で情報を共有するのに、ネットを利用する必要がどれほどあるのでしょうか? おそらくは「ネットの方が手軽」ということなのでしょう。

情報が社会全体(世界中)でどう位置づけられているのかを一々評価するのは大変ですから、実際的には「ネットで公開して良い情報」「ネットに出してはいけない情報」「コンピュータに記録してはいけない情報」といった区別をするのが一番簡単で実際的なのでしょう。

ところが今のPCはネットに接続しないと使えなくなってきていますし、そもそもネット利用の主流が携帯電話システムを中心とするモバイル環境に移りつつあります。

情報管理の原理原則といった事をキチンと整理して教育する必要がありますね。

7月 12, 2008 at 10:16 午前 個人情報保護法 | | コメント (0) | トラックバック (0)

2008.07.11

横浜市職員が個人情報をネットに晒した

神奈川新聞より「横浜市職員、市民の個人情報ネットに流す

横浜市は十日、五十代の男性職員が職務上知り得た十数人の市民のプライバシーに関する情報をインターネット上に流していたと発表した。
ネット上に掲載された情報は六月中旬までに削除された。市は、男性職員の所属や漏えいした個人情報の内容について一切明らかにしなかった。

市によると、今年五月下旬、匿名の電子メールが市に届いたことで情報の漏えいが発覚。職員は市の調査に対し、「日記を書くようなつもりで知り得た情報を漏らしてしまった」などと話しているという。

市は現在、個人情報を流された被害者を訪問し、個別に謝罪している。

市は詳細を公表しない理由について、被害者の平穏な生活を損ねる恐れがある場合などに限り、市の個人情報保護審議会の意見を聞いた上で、公表内容の一部または全部を非公表とすることができると定めた市の要綱に基づく措置と説明。
今回は「公表によって二次被害や被害者の人権侵害が拡大する恐れがある」として、同審議会の意見に基づき「一部非公表」を決めたという。

二〇〇六年四月に施行された要綱に基づいて非公表をめぐる一連の措置が取られたのは初めて。

非常に興味深いのは、

  1. 個人情報である
  2. 職務上知り得た情報
  3. 十数人分の情報
  4. インターネット上に日記のような形で書いた
  5. 内容は二次被害あるいは人権侵害の恐れがあるから非公開

よくこんな段階でチェックできたとは思いますが、同時にこれは確信犯的行動だと思われますね。

そもそも、公務員に限らず職務上知った情報を個人的に公開する場合には、公益目的が不可欠で、職務上知った個人情報を公開する公益目的というのはちょっと想像しがたい。

絶対にあり得ないとは言わないが、
公務員が職務上知り得た、個人情報十数人分を、私的に公開。
というのはかなり重大な問題だと思う。

7月 11, 2008 at 09:46 午前 個人情報保護法 | | コメント (0) | トラックバック (0)

2008.07.05

ひどい図書館行政

毎日新聞より「文集:個人情報? 茨城・土浦市教委が図書館から回収

茨城県土浦市教育委員会が、市立図書館が所蔵する児童生徒の文集を回収していることが分かった。「文集は個人情報に当たる」が理由。図書館は既に閲覧を差し止め、回収に応じる方針。他人に見られる前提で書かれた文集が個人情報に当たるのか。また行政が図書館の資料を撤去できるのか。専門家から市教委の対応を疑問視する声が出ている。

文集「つちうら」は教員でつくる「市教育研究会」が66年ごろから毎年発行。市内の児童生徒が書いたさまざまなテーマの作文の中から優秀作を選び、校名、学年、氏名も掲載している。00年発行の33集では、日々の生活で感じたことや家族とのふれあい、部活動の思い出などがつづられている。

作品の掲載は原則保護者の同意を取り、希望者には販売もしている。教員らが「お手本にしてほしい」と、図書館に寄贈することもあり、現在計10冊が蔵書となっている。

毎日新聞が4月、取材のため、図書館が所蔵していない年の文集の開示を市教委に求めたところ、市教委は「個人情報に当たる」として拒否した。その後、市教委は図書館に所蔵文集の撤去を求めた。

市教委の指導課長は「文集は不特定多数に公開しているわけではない。内容は思想信条に値し、図書館に置くべきではなかった」と説明した。市立図書館の高野秀男館長は「市教委の意向に従った」と話している。

◇「過剰保護では」

個人情報に詳しい国立情報学研究所の岡村久道弁護士は「文集は他人に見られるものであり、敏感な個人情報は載せない前提で作られているはず。個人情報の名を借りて情報を隠す『過剰保護』と言われても仕方がない」と指摘。そのうえで「市教委は(文集が取材に使われることで)問題になったらどうしようと考えたのではないか」と話した。

一方、司書らでつくる日本図書館協会は、図書館の資料収集や提供の自由、不当な検閲に反対することを定めた「図書館の自由に関する宣言」(54年採択、79年改訂)を決議している。同協会事務局長は「図書館は独立して資料の選定にあたる責務がある。行政が図書館の所蔵に立ち入って判断するのはおかしい」と述べた。【山本将克、原田啓之】

岡村先生は、個人情報保護法の解釈として「他人に見られることを前提とする文章」という表現をしていますが、編集して販売もしている「書籍」と同じですから、検閲の禁止に抵触するでしょう。

市教委の指導課長は「文集は不特定多数に公開しているわけではない。
内容は思想信条に値し、図書館に置くべきではなかった」と説明した。
市立図書館の館長は「市教委の意向に従った」と話している。

「置くべきではない」事の理由が「思想信条に価するから」というのはどういう意味なのだ?
こんなことをやったら、図書館には随筆は一つも置けないぞ。

いくら図書館長は教育委員会の下部組織の人間であるにしても、「市教委にしたがった」ではダメでしょうが。
図書館の歴史には、時の権力に反抗して記録を保存したという話はいくらでも出てくるのであって、この館長の言い分は、図書館の歴史を貶めるものと言われても仕方ないと考えます。

7月 5, 2008 at 03:39 午後 個人情報保護法 | | コメント (2) | トラックバック (0)

2008.06.29

個人情報保護法・ガイドラインの大規模改訂

日経新聞より「個人情報保護ガイドライン、24分野で改訂へ 政府方針

政府は2008年度中にも雇用や金融など24分野の個人情報保護ガイドラインを改訂する。
保護対象となる個人情報の定義、開示要求があったときの公表手続きなどの記述方法を統一し、個人情報保護法が想定する義務を明確にする。

学校などが名簿作成を控えるといった「過剰反応」を抑えるとともに、企業が個人情報の管理・保護をしやすい環境を整える。

30日の内閣府国民生活審議会個人情報保護部会で、24分野の合計で37本に上るガイドラインの改訂方針を決める見通し。今後、内閣府がつくった基準に沿って、各省庁がガイドラインの見直し作業に入る。 (07:00)

ようやく、「保護対象となる個人情報の定義」にたどり着きましたか・・・・・

とはいってもガイドラインだから、報道でも37本のガイドラインで別々の定義になるだろうから、現場の判断力がより必要なるのではないだろうか?

改良であって欲しいとは思うけど、こればかりは結果を見ないと分からない。

6月 29, 2008 at 09:06 午前 個人情報保護法 | | コメント (0) | トラックバック (0)

2007.12.25

個人情報保護のため?都教育委員会

サンケイ新聞より「児童・生徒の個人写真も持ち出し禁止 東京都教育委員会

児童・生徒の個人情報を教職員が学校外へ持ち出して紛失するケースが相次いだため、個人情報を含んだメール送信の禁止など管理基準の厳格化を検討していた東京都教育委員会が、セキュリティー対策に生徒らの個人写真や歯の検査表などの持ち出し禁止を明記していることが24日、分かった。

個人写真については、羽村市の小学校の元男性教諭が交通事故死した子供の写真をホームページ上に無断掲載した事件も起きており、都教委は基準の厳格化で、個人情報流出によるトラブルや被害を可能な限り防ぎたい考えだ。

情報セキュリティー対策基準は21日、中高一貫校を含むすべての都立学校に通知された。緊急連絡先の電話番号以外、個人情報の持ち出しを原則禁じている。指導記録や進路希望調査はもちろん、校内で個人情報を取り扱い中、離席する場合も情報をUSBメモリーに一時保存して、施錠できる保管庫に入れるように求めている。

対策基準は、個人情報の持ち出しを

  1. 絶対禁止
  2. 原則禁止だが、校長の承認があれば可能
  3. 包括的に可能

に分類。例えば、児童・生徒の個人写真、健康診断表や歯の検査表は「絶対禁止」。教員が自宅で採点をしようと考えて持ち出す場合が多かった定期テストの答案用紙は、校長の承認を得なければ持ち出せないよう定めた。

このほか、個人情報を含むメールの送信も原則禁止。やむを得ず送信する場合は、校長の許可を得てパスワードを設定することや、USBメモリーを校外に持ち出す際は、複数人で運搬し、鍵付きのケースに収納するなどの措置を取らなければならないとしている。

都教委は、先月から全教員を対象に個人情報管理の研修を実施。学校外で児童・生徒の個人情報を話題にした会話も慎むように求めていた。

こういうのは「禁止事項」を定めれば良いのでしょうか?

少なくとも交通事故死写真をアップした教員のような人物の行為の歯止めになるとは思えない。
だから「こんなこともあるから持ち出し禁止を厳格にしよう」というのは、筋違いということでしょう。

「トラブルや被害を防ぎたい」とのことだけど、被害を防ぐのは当然としても、被害とトラブルを同列に置いて対処するべき事なのか?

例えば、インターネット上に写真を公開したら、それは善意・悪意・必然性などに無関係に回収不可能になる。
そういう事実を「悪いこと」「問題がある」「仕方がない」「構わない」という判断をその時々にしていくことが必要であって、事前に決めておくのは極めて難しい。

写真を例にすれば、プリントした写真を持ち出してもネットを通じてバラ撒かれることは無いわけで、つまりは写真の持ち出しよりもネットワークの使い方の問題の方が重要だと考えます。

先日、神奈川県立の高校1年生に話したのは

「高校一年の女子です。父は○○電鉄の部長です」と書くだけで、個人が特定できる。

なんて話もしました。
もちろん○○電鉄には生徒が通学に使う電車の名前を使ったのですが「○○電鉄の部長はたぶん10人ぐらいだろう。100人は絶対に居ない。その内で高校一年の娘の親は1人しか居ない。だから特定できる」と種明かしをしたわけです。さすがにギョッとした表情になりました。

質問で「ネットワークを見張っていて、削除をドンドンやっている映像がテレビで紹介されたが」とありましたが、これについても「単に文字や絵だけをチェックしても別の言い方に置き換えたりするから、機械的なチェックでは難しい」なんて答えをしました。

高校1年生にこういう話が通用する時代なのですから、東京都教育委員会はもっと知恵を使うべきでしょう。
校長など管理職の手間は激増する割には明らかに効果は薄いと考えます。
教育委員会自身の責任逃れのための規則制定ではないのかな?

12月 25, 2007 at 11:01 午前 個人情報保護法 | | コメント (2) | トラックバック (0)

2007.07.05

個人情報保護法の改正論議

読売新聞社説より「個人情報保護 「過剰反応」の解決に必要な法改正

こうした個人情報保護法の「過剰反応」問題を解決できるのか、疑問が残る結論である。

国民生活審議会の個人情報保護部会が過剰反応対策として、法の運用の改善などで対処するとの意見書を内閣府に提出した。焦点の法改正は見送られた。

過剰反応の多くは、現行法に対する誤解が原因だ。
法の周知徹底を図れば、必要な情報は提供される。そもそも過剰反応は一時より落ち着いてきた。

そうした判断が、現状維持色の濃い意見書につながったのだろう。

しかし、現実には、過剰反応は各方面に広がり、深刻な影響が生じている。

高齢者や交通遺児の支援団体は、行政機関などから情報が入手しにくくなり、活動に支障が出ている。学校などの名簿がなくなったため、交流が減り、人間関係が疎遠になった、との指摘も多い。

部会は、こうした「匿名社会」の実態と問題を軽視しているのではないか。

5000人以下の情報を扱う団体などは法の対象外のため、通常の規模の自主防災組織や自治会は、名簿を作成する際に規制を受けない。

人の生命や身体の保護に必要な場合などは、本人の同意なしで情報提供できるとの例外規定もある。例えば、家電製品の欠陥が発覚した場合、修理や回収を行うメーカーに販売店が顧客情報を提供することなどを認めるものだ。

部会の論議では、公益性が認められる場合なども、この例外規定の対象とするよう法改正すべきだとする意見が出た。
だが、意見書は、「法改正の必要性も含め、更なる措置を検討していく」とし、法改正については、今後の課題とするにとどまった。

個人情報保護法の主たる目的は本来、電話やダイレクトメールによる執拗(しつよう)なセールス活動などに、本人には無断で、情報が悪用されるのを防ぐことだった。

学校内などでの情報共有や、公益的な活動を行う非営利団体への情報提供までが制限されるのは、本末転倒だ。

無論、法に対する誤解は解く必要がある。意見書の提言通り、政府は、法の内容に関する広報啓発活動に「最大限の努力」を傾けるべきだ。金融、医療など22分野で35のガイドライン(運用指針)を総点検し、必要な情報が円滑に提供されるよう見直さねばならない。

だが、それで過剰反応問題が解決されるだろうか。やはり、法改正に踏み込むしかないのではないか。

個人情報保護法に問題があるのは多くの人の指摘しているところであるが、何が問題か?となると意見は集約していないだろうと思う。

読売新聞社説は読み直しても良く分からない意見である。

  1. 過剰反応を解決するべきだ
  2. 過剰反応の多くは誤解が原因
  3. 個人情報保護法の主たる目的は、本人には無断で、情報が悪用されるのを防ぐことだった。
  4. 法に対する誤解は解く必要がある。
  5. ガイドラインを見直さねばならない。
  6. 過剰反応問題を解決するためには、法改正に踏み込むしかない。
と読める。

そもそも法律が運用時点で混乱するのは、法律そのものがおかしいからだろう。過剰適用が問題じゃなくて、適正な適用が過剰適用になってしまう、つまり個人情報保護法の中に矛盾するような条項があるからであって、過剰適用なのか適正な適用なのかが混乱しているのだ。過剰適用が独立して存在しているわけではない。

さらに読売新聞社説が「本人に無断で情報が悪用されること」と気楽に書いているのが混乱の元だと思う。
個人情報保護法は「無断で私用することを禁じる」などとは規定していないし、第一個人情報法の利用を一々確認許可を取ることなどは社会的に考えられない(あり得ない)事である。
であるとすると「悪用」が問題になるが、DMの宛名に使うことは「悪用」なのか?
この社説が「個人情報保護法の主たる目的は、本人には無断で、情報が悪用されるのを防ぐこと」と書いているところにこそ、混乱がありつまり過剰適用になっているのだ。

まして社説のタイトルである「過剰反応の解決に必要な法改正」の「改正」とは何を改正しろというのだ?
どう改正すればよいのか議論がまとまらなかったから「法の運用で対応」という話なったのであって、社説として「運用の問題ではない、法律改正をするべきだ」と主張するのであれば、当然「法律のこの部分が問題だ」など指摘するべきではないのか?
問題を明らかに指摘できないのであれば、部会と同じではないか。
だから、この社説全体を読んでもタイトルの「法改正が必要」という話が出てこない。

「じゃあ酔うぞはどう考えるのか?」と言われそうだが、わたしは保護するべき情報と保護する必要がない情報を分けるべきだと思う。

もちろん、全面的に切り分けるのは不可能だから原則とか通常といったまくら言葉付きになるだろうが、例えば「氏名」は保護するべき個人情報とは思わない。

氏名は社会における、個人を識別する基準の情報であって、個人を識別しないのであれば個人情報そのものが無いと言っても良いくらいだ。
個人情報があることは社会の基本であって、個人の識別が氏名で行われているのだから、氏名は社会が共有するべきものであると思う。

現行の個人情報保護法が氏名と遺伝情報を同次元で扱っている、つまり保護するべき情報のレベルに差がないところこそが問題の中核でありましょう。

7月 5, 2007 at 08:52 午前 個人情報保護法 | | コメント (0) | トラックバック (0)

2007.07.01

高校の個人情報流出事件

読売新聞より「愛知で県立高生徒情報流出、教諭PCから…空自基地資料も

愛知県教委は30日、同県立高校の男性教諭のパソコンから、県立高校2校の個人情報がインターネット上に流出したと発表した。

教諭の自宅パソコンに入っていたファイル交換ソフト「シェア」のウイルスを介して流出したとみられ、情報が流出した生徒数は延べ1万4598人に上るという。

航空自衛隊岐阜基地の個人情報なども、この教諭のパソコンから流出していた。

県教委によると、流出したのは教諭が勤務する一宮工業高と前任校での1994年度以降の内部資料。
生徒の氏名、進路希望、成績表や大学、専門学校などの受験の合否結果、指導要録を作成するための性格検査の結果などが流出した。

教諭は、進路指導資料作成のため、無断で持ち帰り、自宅のパソコンで作業をしていた。

空自岐阜基地の情報は、教諭の親族が同基地に以前勤めていた関係で、同じパソコンに資料を保存していた。
流出したのは退職者名簿や行事内容などで、機密資料などはないという。

教諭は県教委の調査に対し「ファイル交換ソフトが入っているパソコンでデータを扱ってはいけないと知っていたが、毎日ウイルスチェックをしており、大丈夫だと過信していた。個人的な目的には使用していない」と話している。

同県教委高等学校教育課の高須勝行課長は、「仕事熱心な教諭で、極めて残念。教員一人ひとりに徹底されるよう、指導のあり方を考えたい」と話した。

結構詳細な情報なので色々と検討することができます。

  • 一万5千人以上のデータ
  • 現在と前任地、家族の勤務先のデータ
  • 進路指導資料の作成
  • シェアをインストールしていたが、ウィルスチェックで大丈夫と判断
  • 教育委員会は「教員一人ひとりに徹底」とコメント

業務用のPCでシェアーを使う神経が分かりませんが、それ以上に分からないのが「1万5千人以上の個人情報」そんなものを個人で抱えてどうするつもりだったのでしょうか?
ましてや、前任地の学校のデータは何に使うつもりだったのか?

要するに「情報を捨てられない人」なのだろうと思いますし、言い分としては「進路指導の基礎データを集めていた」というのはあるでしょう。
しかし、なんで個人のPCでやるのか?となります。

最悪なのが、教育委員会のコメント

ですね。
今回の事件は早い話がアクシデントの一種で、防止策は何重にも掛けなければならない。
個人の責任に負わしてもまた同じような事件が出てくるだろう。

個人のPCで仕事をするな、と教育委員会は主張できる程のものではあるまい。
わたしが見ている範囲でも、教員のITスキルが十分に世間に通用する人はかなり少ない。
もちろん「これはやってはいけない」と言われたことを忠実に守ればアクシデントにはならないが、そういうレベルでは個人PCを使ってまで仕事をする必要もないIT利用が現実だ。

ウイルス感染、ハードウェアの破損、データの流出、不正アクセスなどは誰にでも起きる可能性があるのであって「こうすれば絶対」なんてあり得ない。
一番確実な安全策はコンピュータを利用しないことだ。

わたしが見るところ、教員のPC利用スキルを大幅に引き上げることが必須で、その結果として「個人PCの使用禁止・教育委員会がPCをすべて供給する」というのようなことになるだろう。

だいたい、学校には1000人以上もの人がいるわけで、扱っている個人情報の数は莫大だ。
それらを安全に運用するために、それなりの体制や設備が不可欠だが、現実にはネットワーク・プリンターもまともに運用出来ない。メールは個人に届かない。情報管理者が居ないという仕事場がかけ声を掛ければなんとかなるものなのか?

「個人の責任」で全部まとめてしまうようでは、対策にはならない。

7月 1, 2007 at 11:57 午前 セキュリティと法学, 個人情報保護法, 教育問題各種 | | コメント (8) | トラックバック (0)

2007.06.16

捜査情報流出を考えると

朝日新聞より「警視庁情報流出、わいせつ画像コピーがきっかけ

警視庁北沢署の巡査長の自宅パソコンから警察書類を含む計1万件の文書がネット上に流出した問題で、この巡査長が同僚所有の外付けハードディスクから、わいせつ画像をコピーしたのが流出のきっかけだったことが13日、わかった。

調べによると、巡査長は自宅に私用パソコンを2台所有。
ファイル変換ソフト「ウィニー」が入った1台にデータをコピーしたため、同僚のハードディスクの情報がほぼ丸ごと、遅くとも今年4月までに流出していた。

1万件のうち1000件は画像で、逮捕前の被疑者を隠し撮りしたと見られる写真もある。
9000件の文書の中には、強姦(ごうかん)や強制わいせつ、恐喝事件に関する捜査書類や被疑者の携帯電話の解析記録もあった。
暴力団関係者の使用車両などを示した捜査資料もあり、ほとんどが実名入りだった。

警視庁は今年3月、私用の全パソコン約4万1000台に、ウィニー導入の有無を調べるソフトを走らせる一斉点検を実施。
この際、巡査長はウィニーを入れたのが発覚するのを恐れ、流出元になった1台には点検ソフトを使わなかったらしい。

なんで winny を入れたPCに捜査資料のデータを繋いだのか、この巡査長は自分のやっていることが分かってなかったのでしょうか?
しかしこういう詳細が伝わってくると、「winny を使わなければ」といったことでは防げないのではないか?と思うところです。

今回の捜査情報流出は社会システムに影響を与えたことは確実で、DMの名簿が流出したのとはレベルが違うと考えても良いでしょう。
原理的には情報流出で政府が潰れるとか、核戦争が起きるなどといった空想的な可能性も皆無ではないのですが、法的にそういう「社会の安定を壊す可能性がある」として規定されているものに、偽造通貨の扱いがあるな、と思い出しました。

刑法 第十六章 通貨偽造の罪

第百四十八条 通貨偽造及び行使等

行使の目的で、通用する貨幣、紙幣又は銀行券を偽造し、又は変造した者は、無期又は三年以上の懲役に処する。
2 偽造又は変造の貨幣、紙幣又は銀行券を行使し、又は行使の目的で人に交付し、若しくは輸入した者も、前項と同様とする。

第百四十九条 外国通貨偽造及び行使等

行使の目的で、日本国内に流通している外国の貨幣、紙幣又は銀行券を偽造し、又は変造した者は、二年以上の有期懲役に処する。
2 偽造又は変造の外国の貨幣、紙幣又は銀行券を行使し、又は行使の目的で人に交付し、若しくは輸入した者も、前項と同様とする。

第百五十条 偽造通貨等収得

行使の目的で、偽造又は変造の貨幣、紙幣又は銀行券を収得した者は、三年以下の懲役に処する。

第百五十一条 未遂罪

前三条の罪の未遂は、罰する。

第百五十二条 収得後知情行使等

貨幣、紙幣又は銀行券を収得した後に、それが偽造又は変造のものであることを知って、これを行使し、又は行使の目的で人に交付した者は、その額面価格の三倍以下の罰金又は科料に処する。ただし、二千円以下にすることはできない。

第百五十三条 通貨偽造等準備

貨幣、紙幣又は銀行券の偽造又は変造の用に供する目的で、器械又は原料を準備した者は、三月以上五年以下の懲役に処する。

こうして調べてみると、通貨偽造や行使の罪が思いっきり重罰であることが分かります。
そこで、今回の捜査資料流出を通貨偽造や行使に比べて社会的な被害はどのようなものだろうか?と考えてみます。

世界中で偽札事件は続いていて、そのために通貨の変更で対策するのが普通です。
米ドルは世界中で流通することあって、頻繁に変更しているという印象があります。
日本でも過去何回も緊急事態扱いで通貨を更新したことがあります。

こういうことがあるから、通貨偽造は世界的に重罪になっているのでしょう。それに比べて、捜査情報流出といっことの被害はどうか?と考えると、現時点で法的にはなんの処罰も無いというのはかなり問題ではないだろうか?
別に捜査情報でなくても、銀行や税金といった情報が流出した場合に、国家としての信用が毀損されて、国際取引に問題が出てきたら偽装通貨問題を上回る被害となりうるでしょう。

それで、片方は無期懲役で片方は全く罪がない、というのはいつまでも通用するものではない、という印象が強くします。

明らかに、P2P技術や winny そのものを規制してもダメで、例えば「電磁的公文書流出罪」とでもいった法律を作って、結果を積極的に処罰するというぐらいしか抑止効果が無いと思うのです。

こんな「対策」にでもしないと、今回のように

  1. 他人のHDDを
  2. 個人的管理下のPCの内
  3. winnny を使用中の機械に接続した
なんていう組合せを事前に回避できるわけがない。
そりゃ元をたどれば、データの入ったHDDを他人に渡すのが論外だ、とは言えますがだからと言って無くなるとは思えない。
結局は、結果に対して処罰するしか無いのかな?と思うところです。

6月 16, 2007 at 11:15 午前 セキュリティと法学, 個人情報保護法, 国内の政治・行政・司法 | | コメント (0) | トラックバック (1)

2006.12.04

住基ネット違憲判決について

大阪高等裁判所で住基ネットがプライバシー権の侵害だとする判決が出ましたが、これに対して二つの社説を紹介します。

読売新聞社説12月2日付 「危険性を過大視した高裁判決
住民基本台帳ネットワークの目的外利用など運用面の危険性を過大視してはいないか。

住基ネットへの接続でプライバシー権を侵害されたとして大阪府内5市の住民が個人情報の削除などを求めた訴訟で、大阪高裁は、個人情報保護対策に欠陥があるとして住民の離脱を認める判決を言い渡した。

全国の15地・高裁で同種訴訟が係争中だが、高裁判決は初めてだ。
これまで住基ネット離脱を認めたのは金沢地裁だけだった。他の10地裁判決は、その公益・有用性に理解を示している。
電子政府・電子自治体の構築が求められる中、この高裁判決には疑問が少なくない。

「個人情報が際限なく集積・結合されて利用されていく危険性が具体的に存在する」と、判決は述べた。
しかし、この一例だけをもって、住基ネットが危険だと言えるのか。

これは、住基ネットそのものの問題ではない。
情報管理のあり方が問われたに過ぎず、個人情報保護法の施行後には、こうした対応は考えにくい。

判決は、本人が情報の提供や利用の可否を決める「自己情報コントロール権」が侵害されたという。
しかし、これはまだ確立した法概念ではない。

住基ネットによる行政の効率化が進んでいる。
国の機関には、パスポートの発給申請など年間3000万件の情報が提供され、10月からは年金受給者の現況確認にも使われ始めた。
これで年間2600万件もの「現況届」は不要になる。個人離脱はコスト増を招く。
中日新聞社説12月4日付 「既成事実押し付けるな
政府は、プライバシー侵害の恐れが消えない住民基本台帳ネットワークを国民に押し付けるべきではない。
電子政府構想でバラ色の夢を振りまくのではなく、デメリットとも向き合うべきだ。

住基ネットに生年月日などの個人情報を入力された大阪府民が情報削除を求めた訴訟で、大阪高裁は「ネットはプライバシー権を保障した憲法一三条に反する」と判断した。

さらに、さまざまな個人データの入った複数のコンピューターをつなげば特定の人を丸裸にすることもでき、その情報を行政機関が本人の予期しない形で利用する恐れもある。
この点を大阪高裁が「自己情報コントロール権侵害」と認め、データマッチングの危険性に言及したのはシステムの本質をついている。

ただし、自己情報コントロール権は公権力に対する権利を中心に考えるべきであって、市民間で過度に重視すると「透明人間として暮らす権利」を認めることになりかねず、弊害も生じる。

いずれにしろ政府の説明に国民は納得していない。国税庁が一昨年始めた所得税の電子申告の利用率も著しく低い。これは電子政府なるものが、住民にとっては政府の宣伝とは逆にわずらわしく、不安を感じさせるものであることを示している。
この二つの社説の「勝負」ということだと、余波売り新聞の方がより踏み込んでいると思う。

中日新聞が指摘している
さまざまな個人データの入った複数のコンピューターをつなげば
という点について読売新聞は
住基ネットそのものの問題ではない。 情報管理のあり方が問われたに過ぎず、個人情報保護法の施行後には、こうした対応は考えにくい。
個人情報保護法の全面施行は民間部門が遅れていただけなんですが・・・・・。
ま、それは置いておいて確かに情報管理の問題であり住基ネット特有の問題ではない。
強いて言うのであれば、情報を高度に集積することによる問題発生のリスクにどう対処するかはありますね。

それよりも、プライバシー権の侵害というのが正面切って出てきたのに驚きました。
自己情報コントール権が住基ネットの4情報(氏名・住所・生年月日・性別)にまで及ぶものとは思えません。
4情報を全く出さないのでは社会的には存在しないわけで、そのような生活はあり得ないでしょう。

わたしは名前などは社会に公表するから意味があるもので、公表しないのなら名前の存在自体が不要であると考えます。匿名があるではないか、という指摘もあるとは思いますが匿名で情報を発信してもその行為自体が個人の存在を示していますから、匿名という名前を名乗っているわけで実名とハンドルとの違いぐらい意味しかないです。

結局は読売新聞が指摘するように運用の問題であって、住基ネットの原理・原則の問題を自己情報コントロール権で決定できるというのは間違えだと考えます。
しかしながら、住基ネットが運用レベルで有用なのか?となると大いに疑問です。
パスポートの発給申請など年間3000万件の情報が提供され・・・・
そんなに大量に利用されているとは思えないのですが・・・・。
ここらは正確な利用状況を政府は公表するべきでしょう。
アメリカでは社会保障番号でなんでもできるようになったために、身分を盗まれる事件の報告があります。
日本でも知らない間に戸籍を書き換えられている事件がありますが、何でもかんでも住基ネットの11桁の番号によるとすると、誤り訂正がどんどん大変になります。情報の手中はどこかでデメリットに転換するのは確実でそういうリスクも総合的に判断することが必要なのですが、利用状況の公表もないのでは「有効だ・危険だ」の論争が延々と続くことなります。
政府はさっさと住基ネットの利用状況を公表するべきです。

12月 4, 2006 at 07:52 午前 個人情報保護法 | | コメント (8) | トラックバック (1)

2006.08.02

原付ナンバーの秘密?

毎日新聞より「札幌市:原付きバイクの所有者照会拒否、一転OKに
改正道交法(6月施行)に伴う原付きバイク(125CC以下)の放置車両取り締まりに絡み、道警からの所有者情報の照会を拒否していた札幌市が、総務省からの通知を受けて近く開示に転換することになった。
陸運局は同様の照会に応じており、同市の対応が取り締まりを滞らせた形だ。

同法は放置車両の運転者が反則金を納めない場合、所有者に「放置違反金」の支払いを義務付けた。
警察当局はナンバープレートを基に、一般車両は各地の陸運局、原付きバイクは市町村に所有者情報を照会している。

ところが同市は「地方税法上の守秘義務や個人情報保護の義務がある」と照会に応じていない。
このため放置違反金が未納付の同市内の原付きバイクは7月末までに約1800台に上っている。

総務省は警察庁の要請を受け、7月20日付で「原付きバイクの所有者情報は、所有者と公安委員会の間では『秘密』に当たらない」と全国の市町村に通知。
札幌市の対応は個人情報保護法の過剰適用例そのものだと思いますが、私は総務省の通達の方が気になる。


原付きバイクの所有者情報は、
所有者と公安委員会の間では『秘密』に当たらない

これは個人情報保護法の話なんでしょ?そうなると所有者情報が秘密に当たらないってどういうことよ?

個人情報保護法の最大の問題点をわたしは、(秘密を)保護するべき情報と保護に値しない情報に区別がないところだ、と考えています。
個人情報保護法の定義する個人情報は「個人を特定出来る情報」であってその情報が秘密であるかどうかは規定がありません。
必要な情報は複数の人や機関で共有しているはずで、共有していない情報を共有するときには、個人情報の本人の許可を取れとなっています。
秘密だから保護する、秘密じゃないから伝えよいなんて話は今までどこにも出てこない。

こんな点は個人情報保護法が現実離れしていてそれをしゃくし定規に使うと何も出来ない、という点をわたしは強く非難するし「さっさと改正しろ」という論者ですが、一体これは何を言いたいのだ?
誰か事情を教えてくれませんかねぇ?

8月 2, 2006 at 07:18 午後 個人情報保護法 | | コメント (0) | トラックバック (1)

2006.07.30

個人情報保護法を改正するべき

読売新聞社説より「[個人情報保護法] 運用の見直しだけでは済まない
「個人情報は隠すべきもの」という誤解が蔓延(まんえん)している。
早急に是正しないと、社会がますます不健全になる。

昨年4月の法施行以来、「過剰反応」による行きすぎた保護が目立つ。

事故など緊急時に病院が家族や警察の問い合わせに応じない。
緊急連絡網や卒業アルバムがなくなった学校もある。
地方自治体では高齢者や障害者ら「災害弱者」の名簿作りが進まない。

神奈川県は、住民に「個人情報を保護するとともに有益に利用しよう」と呼びかける手引を作った。
こうした過剰反応対策をとった自治体は、まだ全体の2・6%に過ぎない。

過剰反応を防ぐには、まず法の解釈を明確にし、医療や教育など分野別に各省庁が出しているガイドライン(指針)の周知徹底を図る必要がある。

関係15省庁は2月末、過剰反応防止へ対策を強化することを申し合わせたが、十分効果を上げているとは言えない。
運用の見直しでは限界があるだろう。

日本新聞協会は「個人情報の保護を理由に情報の隠蔽(いんぺい)が進んでいる」と指摘している。
これでは報道機関は、行政を監視できない。
行政の透明化を目的とした情報公開法の趣旨にも反している。

日本弁護士連合会は、具体的な法改正案を提案した。
個人情報の種類や利用目的などによって、保護するよりも情報を提供する方が利益が大きい場合は、個人情報を提供出来るようにする。
個人情報保護法には、そんな条文を加える。

行政機関個人情報保護法でも、職務遂行に関連した公務員の氏名などの個人情報は、情報提供を制限する条項の例外とするよう求めている。

今後の議論の焦点の一つになろう。

「過剰反応」は、啓発やガイドラインの見直しだけで解消される問題ではあるまい。
法改正を前提として、具体案の検討を進めるべきである。
個人情報保護法はとでも出来が悪くて、個人が特定出来る情報を個人情報とするなんてやっているのが問題の根源なのだろうと思っています。
法改正を目指すべきです。

7月 30, 2006 at 04:22 午後 個人情報保護法 | | コメント (1) | トラックバック (0)

2006.04.21

個人情報保護法・日弁連のシンポジウム

読売新聞より「「解釈誤った拒否多い」個人情報保護法で日弁連シンポ
全面施行から1年が過ぎた個人情報保護法を巡る問題と解決法を考えるシンポジウム「個人情報保護法混乱の原因は何か」(日本弁護士連合会主催)が20日、東京・霞が関の弁護士会館で開かれ、約250人が参加した。
  • 社会保険事務所が、死亡者の国民年金保険料滞納の有無について、相続財産管理人の弁護士に提供を拒んだケース
  • 銀行協会が法人の取引停止の有無について、弁護士法に基づく照会に回答を拒否したケース
などが紹介され、同委員会は「誤った解釈で、『とりあえず拒否すればいいだろう』という事例が多い」と指摘し、保護法の正確な理解と解釈を求めるべきだと訴えた。

パネルディスカッションでは、医療や地域の現場で起きている問題や、行政機関の情報非開示の広がりについて討論した。

内閣府が昨年、幹部人事の発表で、それまで公表してきた生年月日や最終学歴を原則非公表としたことについて、宇賀教授は「国の政策決定にかかわるような影響力の大きい公務員の情報は公開すべきだ」とし、森田教授も「慣行として公開されていた個人情報は出すべきだ」と述べた。
確かに「理由にならない理由として個人情報保護法が使われている」というのは分かりやすい問題提起ですが、個人情報保護法の間違った運用をデメリットであるとするのならば、個人情報保護法の適切な運用によってどのようなメリットがあったのかを評価しないと個人情報保護法の存在意義が確認できていない、となってしまいます。

この一年間で役所が個人情報法保護法による行政手続きを実行した件数が幾つでどんな効果があったのか?が分からないのでは、現在の個人情報保護法にはデメリットばかりが目立つ、という可能性もあるでしょう。

一年経って評価するのであれば「メリット・デメリット」の両方を出してみることが不可欠であると思います。

4月 21, 2006 at 08:49 午前 個人情報保護法 | | コメント (3) | トラックバック (0)

2006.04.18

個人情報保護法・1年経って

毎日新聞社説より「個人情報保護法 「官」だけ得した1年だった
内閣府が昨年7月、幹部の人事異動で従来は公表してきた生年月日や最終学歴などを「個人情報に該当する」として外した。
国の政策にかかわる幹部官僚の経歴はその人物を国民がチェックするうえで欠かせないが、他の省庁も次々と後を追った。
懲戒処分では、免職でさえ名前の公表を控えるケースが増えた。
こうした動きは地方の自治体にも波及している。
役所が個人情報保護重視の流れに便乗し、自分たちに都合の悪い不祥事などを表に出さないようにしているとしか思えない。
一方、官庁や自治体を舞台にした個人情報の大量流出は一向になくならない。
結局、法律で一番得をしたのは役所と言われても仕方がない。
う~ん、こんなことが得になるようでは役所も困ったものだ。 そもそも法律とは一部を制限することが全体の利益になる、といったものであるべきです。
個人情報法保護法の施行によってDMが減ったことは現実に見える変化ですがわたしは「DMが減ることが全体の利益と言えるほどのものか?」と思いますね。
その一方で、何かというと書類に署名するといったことが激増してこれは不便なことです。

確かに、名簿を売り飛ばすといったことが減ったのは社会の安全という意味では良いことだと思うが「個人情報保護法・過剰適用実例」で紹介した沖縄での実例のように「名簿を作ることが良くない」となってしまったことは「過剰反応」と言うよりも「必要な名簿を作らない事は悪である」とはっきり宣告するべきでしょう。少なくとも「名簿は必要だが、個人情報保護法があるから名簿を作らない」では本末転倒と言うしかないでしょう。

個人情報保護法はあまりに包括的というか広範囲なので2003年ごろに勉強会で「どうすりゃいいのだ?」と言う話は盛んに出ていました。結局は役所が管轄する業界ごとにガイドラインを定めて「ガイドラインが個人情報保護法の実務」となってしまいました。結果として「色々な個人情報保護法が出来た」という非常に分かりにくいものにてってしまいました。
その上、一般ルールとして「5000人の情報を持ってい者は個人情報取扱事業者とする」としたものだから、学校などは全部が個人情報取扱事業者になっています。しかし、学校には大勢の人が居るに決まっているわけで、商店が顧客名簿を管理するのと同列で扱ったら学校にとって極めて負担が大きくなるのは当然のことだろう。

高校に社会人講師として授業の一部を引き受けて学校の実務を知るに従って、教科書とか教科といった学校教育が極めて良く磨かれたもので、短期間で実に膨大な「教育」が出来る非常に優れた仕組みだと、理解するようになりました。
そこに一般企業などと同じ個人情報保護ルールを持ち込んだら、大変ですよ。だから個人情報保護法の効果については「学校では」「同窓会では」「町内会では」「医療機関では」といった具合に各業種ごとに具体的に「コストと効果の比較」をきちんとやらないと個人情報保護法の有用性そのものが評価出来ないことだろう。
何かというと「個人情報ですから」とばかり言って、物事を止めることが良いことだという今の風潮はやり過ぎだと思う。

4月 18, 2006 at 08:02 午前 個人情報保護法 | | コメント (0) | トラックバック (0)

2006.04.17

個人情報保護法・過剰適用実例

琉球新報より「名簿作り断念の団体も 個人情報保護法施行1年
同窓会は保護法施行前年の2004年、創立100周年に向けた名簿作成の中止を決めた。
事務局長は15年前の名簿を使い、新聞広告や同期生を通して連絡をしている」と困惑気味に語る。

自治会長の連絡名簿に、自宅電話の記載を望まない人が増えた。
同市自治会長連合会会長は「自治会事務所に常駐していない会長がほとんどで、連絡が取りにくい」と話す。

社会福祉協議会の事務局関係者は「母子家庭を訪ねる前に、母子台帳の情報が必要だが、保護条例で閲覧を審議会に諮る決まりになった」と説明。
「民生委員は地域を歩き足で情報を稼ぐのが基本だが、情報収集の手続きが複雑で時間がかかる」と話す。

琉球銀行は法施行後、営業先に預金額などを記載した顧客情報を持ち歩かないよう全行員への指示を徹底。
同行事業統括部は「情報データを持ち歩かず、すべて記憶頼みで営業をかけている。持ち歩くのは住宅地図だけ」と話す。

病院では「初診時にフルネームで呼んでいいかどうか、入院の場合は病室前に名前を表記していいかを確認している」
「事故で運ばれた患者が学校の生徒で、学校から電話で問い合わせがあっても、直接、来てもらわないと本当に学校関係者かどうかを確認できず、安易に情報提供できない」と語る。
この記事は「社会部・高江洲洋子」と署名記事であって、幅広く混乱ぶりを伝えたという意味でなかなか丁寧な記事だとは思いますが、せっかくの署名記事でありながら問題の報告だけで、どのようにする方向が良いのかを書かなかったのはもったいないと思います。

個人情報保護法が保護するものの実際の形がどうなるのかを考えないで、法律を動かしているという側面が大きいですね。
もう一つは行政法であるという面が問題になって来たのかな?とも考えています。

行政法は、違反について行政が命令を出すことが基本で、違反の事実そのものを裁判で争う刑法などとは扱いが違います。
つまりAとBの二件の個人情報流出事件がを比較して「このA事件は個人情報保護法違反で、B事件は個人情報保護法違反ではない」という判定を争うことがAとBの個人情報取扱事業者が裁判で争うということがありません。行政が決めるだけです。
このため、何が個人情報保護法違反なのか?という「相場」が形成されません。

この事を、新潟大学 法学部/大学院教授の鈴木正朝氏は「行政法ではどうしても厳しくなる」という表現をされていました。
こんな背景を考えると「自治会の連絡名簿に電話番号を載せない」などという名簿を作る意義や自治会連合会の存在意義そのものを個人情報保護法は否定しているようなトンチンカンな話も出てくるのでしょう。
自治会長の連絡網が機能しないというのは明らかに過剰適用と言えるでしょう。

こんな解釈・適用が出てくる法律はなんらかの改正が必要と言わざるを得ません。

4月 17, 2006 at 08:19 午前 個人情報保護法 | | コメント (0) | トラックバック (0)

2006.04.13

海上保安庁・個人情報保護法で困った

読売新聞より「海保の負傷者情報収集が難航…個人情報保護が壁に
鹿児島県・佐多岬沖での高速船事故で、事故直後、鹿児島海上保安部が負傷者の情報を収集する際、搬送先の医療機関から「個人情報保護の観点から電話では言えない」と次々に断られ、捜査が難航していたことが分かった。

事故発生後の9日深夜から翌10日未明にかけ、少なくとも約80人の負傷者が、同県指宿市と鹿児島市の十数か所の病院などに運ばれた。

同海保は、負傷者が到着した二つの港で負傷者の氏名や搬送先などの概要をまとめ、各医療機関に電話で確認しようとしたが、「個人情報にかかわることは言えない」と大半は断られた。

このため、すべての搬送先に海上保安官を派遣、海上保安手帳を提示して身分を明らかにした上で、ようやく人数や氏名、負傷の程度などを確認できた。負傷者情報の取りまとめには最終的に4日を要した。
う~む。
海上保安庁が病院に電話で聞いたら大半の病院から断られた、そこで海上保安庁の職員が直接病院を訪問したらようやく情報が出てきた、ということですね。
結構微妙ですね。

そもそも、個人情報保護法は一般人の生活では遵守義務に当たらないように「5000人以上の個人情報を過去半年以内に一度でも管理した者が対象」となっています。
ところが医療福祉機関では5000人というのが外されているので「一人の情報も管理しなければならない」です。

海上保安庁が怪我人の情報を集約しようとしたら4日間掛かったから問題、ということでありますが海上保安庁からは救急車で十数ヶ所の病院に搬送されたのがほとんどじゃないでしょうかね?
ということは、消防(救急)には情報は入っているのではないだろうか?少なくとも、人数、年齢、性別、氏名、住所ぐらいまでの情報は救急でも集めていると思います。
病院じゃなけりゃ分からないのは症状でしょうね。海上保安庁はこういった病院でしか分からない情報を電話で聞こうとしたのかね?これは個人情報保護法が仕組みはとにかくとしても、なんとか保護の機能を果たしたことの証拠じゃないのか?海上保安庁にすら情報が出なかったから、報道の取材にも間違えなく出なかった。その何が問題なのだろう?

新聞記事では、
堀部政男・中央大法科大学院教授は「今回の対応は過剰反応ではないか」と指摘している。
となっているが、海上保安庁(行政機関)からの問い合わせだから病院は電話での問い合わせに無条件に答えて当然というのはヘンだろう。現実に役人が個人的に知りたい情報を役所名義で問い合わせて知ってしまったという事件は数多く起きている。一方、緊急性があるから当然だ。となると身元確認などを家族への連絡などのために必要ということかもしれないが、病院がそこまで理解しているか?となると無理じゃないのか?つまり海上保安庁の仕事を病院が理解しているのか?という問題に直面します。

海上保安庁が職員を病院に送ったから調査に4日間掛かったことが問題だとするのなら、海上保安庁は組織的に人を送って調査することでずっと短縮出来ただろう。4日間掛かったことの全責任が病院側にあるとまでは言えない、つまり4日間という数字の一人歩きのような気がする。


もちろん、そもそも個人情報保護をこのレベルでやる必要があるのか?という問題は今回の事件などとは無関係にあります。
JR西日本の尼崎事故で、見舞金などを詐取した犯人が逮捕されたなど、大規模な事故では色々な問題があって完璧には処理できないものなのだから、個人情報保護法を守ることばかりに目が向いていては何か大きなことを見落とす可能性もあると思うので、もっと緩めた運用をするというか、個人情報保護法の抜本的な改正をして「保護するべき情報」を明確化するべきだろう、とは思います。

しかし今回の事件が「個人情報保護法の過剰適用なのか、個人情報保護法の適切な運用なのか?」という問題だけに絞れば、わたしはどちらかと言うと適正な運用だったと思います。逆に言えば「こんなことになるから、さっさと改正しろ」であります。

4月 13, 2006 at 09:07 午前 個人情報保護法 | | コメント (0) | トラックバック (0)

2006.04.08

個人情報保護法・新聞協会の見解

産経新聞より「個人情報保護法 行政の非開示過剰 新聞協会が意見書
日本新聞協会は7日、内閣府の国民生活審議会個人情報保護部会が実施したヒアリングで、昨年4月の個人情報保護法全面施行以来、情報の取り扱いをめぐる過剰反応や行政の情報非開示が相次いでいると指摘する意見書を提出した。
また、情報の有用性と保護のバランスに配慮し、早急に制度を見直すよう求めた。
この記事は新聞協会の発表だからあっちこっちの新聞記事に出ていますが、現在の混乱は当初から指摘されていたことの現れなのでしょう。

まるで個人情報保護法が出来るまでは個人情報を保護する手段が全く無かったかのような対応になっていて、肖像権とかプライバシーの確保といったことまで全部をひっくるめて「扱わない方が良い」といった扱いが増えています。

ちょっと考えれば、名前や住所は個人だけのモノとして社会に出さないのであれば、そもそも必要がないモノだ。と分かると思うのですが・・・・。
新聞協会は特に行政のこれまでの公表方針の変更について言及しています。
さらに問題なのは、法律の拡大解釈とも言える行政の情報非開示の動きである。従来は公表していた幹部の天下り先を伏せたり、不祥事を起こした職員の名前を公表しなかったり、幹部公務員の経歴を省略したりするケースが少なくない。
当然公表すべき「公共の利害」に関する事項さえ、「個人情報の保護」を理由に情報の隠蔽(いんぺい)が進んでいる実態は、法律が想定した保護範囲を大きく逸脱するものと言わざるを得ない。
これは言い方をもっと追求するべきではないかね?
そもそも「行政」だけが非開示であることが悪いのか?一般企業や団体なら非開示は当然なのだろうか?
分かりやすく言えば、会社HPで経営者はどんな人か?を見に行ったら「個人情報は開示しません」として社長名を明示しなかった場合に、そのHPさらにはその企業は信用されるわけがないだろう。

つまり「信用」なんてものは自分ではどうにもならない、社会によって作られることなのだという観点からは行政も企業・団体もさらには個人も社会に対して過度に隠すと信用を失う、という現実を指摘する方が先決ではないだろうか?

問題の大半は「個人情報の価値の絶対視」にあるわけで、一般論として個人は社会によって活かされているという現実は個人は社会と妥協しつつ生活していくという当たり前の話に反している考え方だと、はっきりさせるべきです。

4月 8, 2006 at 10:53 午前 個人情報保護法 | | コメント (0) | トラックバック (0)

2006.03.08

個人情報保護法・週刊ダイヤモンドはお勧め

ただいま発売中の「週刊ダイヤモンド」は特集記事が「大混乱・間違いだらけの・個人情報保護」です(^^ゞ


dw_H
過剰反応を呼ぶ曖昧と思い込み
個人情報保護法の構造問題

世間に溢れる過剰反応の背景には、個人情報保護法そのものが抱える大問題と、個人情報への大きな誤解がある。保護法対応のの実務にも精通する鈴木正朝・新潟大学教授に解説してもらおう。









雑誌の記事としては極めて良いと言えるでしょう。
鈴木さんの切れ気味の問題解説もなかなか良いです。
この本は多少関係のある方は手元に置くべきですよ。

ところで、問題はこの本じゃ間に合わないほどなんですね。まして、個人情報漏洩罪を付け加えるとか言っているのは、混乱を増すだけになると思います(記事中にも同じ考え方で記事があります)
わたしはここまで混乱する法律は、内容や役目のいかんに関わらず利益よりも損失が大きいのではないかと思うので、廃止や停止も含めて再検討するべきだと思っています。

3月 8, 2006 at 02:32 午後 個人情報保護法 | | コメント (2) | トラックバック (0)

2006.03.05

個人情報保護法・違反ではないがルール違反?

産経新聞より「横浜検察審査協会副会長 名簿を無断提供
横浜検察審査会の審査員経験者でつくる任意団体「横浜検察審査協会」の副会長(75)が、会員約二百人の住所、氏名をまとめた名簿が掲載された冊子を、会員に無断で法律系出版社(東京)に提供していたことが四日、分かった。副会長は「善意のつもりで安易に個人情報を提供してしまった」と話している。
う~ん新聞に出るニュースなんでしょうかね?
確かに、マナーという点では「勝手にヘンなことするな」ですが、出版社は
出版社はその後、冊子に掲載された会員らに「検察審査会経験者からみるわかりやすい刑事裁判とは」と題したアンケートを郵送した。
裁判員制度の導入を控えた企画で、四月発行の季刊誌に掲載される予定だった。
という方向に動いたわけで、個人情報保護法違反でもないしねぇ、結局は名簿の再利用についてなんかルールが欲しいってことでしょうか?
副会長氏の「善意で」というのももっともだと思うしさ、どうしたものでしょうかねぇ?

3月 5, 2006 at 03:39 午後 個人情報保護法 | | コメント (2) | トラックバック (0)

2006.03.04

個人情報保護法・流出を公表しない場合

朝日新聞より「委託先からの個人情報流出 産業再生機構、公表せず

説明のために記事の前後をちょっと入れ替えます。
産業再生機構が、業務を委託した大手監査法人トーマツの子会社、トーマツコンサルティング(本社・東京)。昨年7月、機構が経営支援を検討していた複数の企業の役員や社員名、給与情報などが入ったパソコンとハードディスク(HD)装置が、都内の社員宅から盗まれた。この社員は社内の内規に違反して、HDにコピーしていた。

機構側が情報流出の事実を公表しないようにトーマツ側に要請した、と指摘する。この取り扱いに、経産省は当初、可能な範囲で事実を開示すべきだと伝えた。だが、経産省も金融庁も結局はトーマツからの報告を受け入れたという。個人情報保護法第22条は、個人情報を取り扱う場合、外部委託先であっても、委託元に管理義務を課している。

発生から半年余り事実を公表していなかったことが3日わかった。個人情報保護法は、流出した場合はできるだけ事実関係などを公表することを求めており、経済産業省など監督官庁には、非公表とした機構の判断を疑問視する指摘もある。
個人情報保護法は、流出した場合はできるだけ事実関係などを公表することを求めておりって法律が求めていることじゃないと思うんですけどね。

実際に個人情報が流出した時に問題となる個人情報保護法の条文は
第二十条 (安全管理措置)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
第二十一条 (従業者の監督)
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
第二十二条 (委託先の監督)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
ですから、事実を公表する方が良いというのはコンプライアンスという観点からは個人情報保護法21条に反したといことを公表した方が良いだろう。という意味でしょうねぇ。

その上で、現在の個人情報保護法はどうなんだ?という気が強くします。
わたしが一番の問題だと考えているのは「保護するべき情報」といった情報の区別を全くしていないことです。
病歴と氏名は個人情報保護法上は同列の情報です。普通は病歴を自分から話す人はそうそう居ない(たまに病気自慢は居るが)名前を常に隠す人もそうそう居ないでしょう。

もし保護するべき情報を定義できるのであれば(必ずしも出来るとは思っていません)今回のような個人情報流出事件も「保護するべき情報の流出」となりますからそれだけで刑事・民事のペナルティ(契約違反など)を課してもすっきりするでしょうね。

現状はそこの区別が無いので、こんなことになります。
トーマツは「当事者たちには流出の事実を伝えており、二次被害の恐れがないことや、公表により企業名が特定されると判断し、非公表にした」と説明している。
いかに面倒な話であるのかが実例を積むほど明らかになってきている、というべきでしょう。
今後も個人情報保護法が現状のままで運用できるか?と考えると、日ごとに「無理だろう。場合よっては廃止するしかないのでは?」とすら思うようになってきています。

3月 4, 2006 at 02:39 午後 個人情報保護法 | | コメント (0) | トラックバック (0)

2006.02.25

個人情報保護法・扱いの見直し

読売新聞より「個人情報の過剰保護、省庁や自治体で見直す動き
中央省庁や自治体など行政側が、個人情報の保護と利用の調和を図ろうとする新たな動きを見せ始めた。

経済産業省が「過剰反応の抑制措置」として、事業者向けの質疑集に、不良品回収のためメーカーに顧客情報を提供することなどは個人情報保護法上、問題がないと盛り込んだことを報告。

文部科学省が解説書を改訂

神奈川県も手引を作成する

文科省は私立学校向け解説で、連絡名簿、卒業者名簿・アルバムは「本人や保護者の同意を得れば従来通り提供できる」と明記。
子どもたちが写った学校行事の写真も、展示や家庭への配布に同意は不要とした。
一見「方針転換」のような記事ですが、これだけの内容であっても「過剰な抑制」への対応(正常化)であって法律を改正するとかではないところが関わってきた人間としては「イタイ」といったところです。

もともと「人命財産の危機を侵しても法律を守れ」というのはあり得ないわけで、温風器が故障すると中毒死することがある、という時に「購入者の名簿を出してよいのか?」と判断に迷うような印象を与える法律というのがいかにも地に足が着いていない法律の証拠と言うべきでしょう。

全体として無理をしている法律だと思うし、その中でも「保護するべき個人情報」という考え方が無いところは非現実的だと思っています。
果たして法律で定義できることなのでしょうかねぇ?

2月 25, 2006 at 07:51 午前 個人情報保護法 | | コメント (0) | トラックバック (0)

2006.02.17

個人情報漏洩罪の問題

「個人情報・漏示罪を付け加える改正案」に対してはまるちゃんの情報セキュリティ気まぐれ日記の「自民党 個人情報漏えい罪」にトラックバックをいただいたのですが、こちらにあるキチンとした説明を転載させてもらいます。
(1) 5000件以上の個人情報を保有する個人情報取扱事業者
(2) 個人情報取扱事業者から個人データの取り扱いを受託した業者

<1> 従業員
<2> 元従業員
が、 ●業務上知り得た個人情報を「自己または第三者の不正な利益を図る目的」で漏えいした場合
に適用されるようです。
これで罰則が 1年以下の懲役または50万円以下の罰金 ですからかなり厳しいです。
問題はいったいこれは何を罰するのかはっきりしないですね。
個人情報漏洩事件の75.7%が不注意で起きた、というデータがあります。
個人情報保護の現状と施策について

平成17 年11 月30 日
内閣府国民生活局

(3) 漏えい元と漏えいした者
① 漏えい元については、「事業者」から直接漏えいした事案が全体の77.9%、「委託先」から漏えいした事案が全体の21.4%となっている。

② 「事業者」及び「委託先」の中で、実際に漏えいに関わった者(以下「漏えいした者」という。)についてみると、「従業者」が全体の78.4%である。

③ 漏えいした原因をみると、「従業者」については「意図的」が6件、「不注意」が677 件であり、ほとんどが「不注意」である。
「第三者」については、159 件全てが「意図的」である。
このデータを読んでみると

総数894件中に、従業者が関わった亊案が701件(78.4%)
残り193件は第三者・その他・不明が関わって個人情報漏洩になりました(21.6%)
従業者が関わった漏洩が不注意によるものが677件、不明が18件、意図的が6件です。

この結果からは、個人情報漏洩罪が対象とする「従業員による意図的な個人情報漏洩」は894件中の6件(0.67%)しかありません。
そもそも894件中で意図的に情報漏洩したのは165件(18.4%)でそのほとんどが第三者の持ち出しです。

わたしは個人情報を持ち出したことによってなんらかの被害が生じるから処罰する、というのであれば漏洩そのものでは被害がまだ生じていないし、情報によっては処罰が必要なほどの被害を生じない可能性も大きいだろう。
一方、保護するべき情報であるから漏洩したことが、故意・過失を問わずに処罰するということにすれば「だれも個人情報なんて扱わない。すべての取引は現金引き換え。当然アフターサービスなど無い」という社会にするしかない。

こういう両極端の間をこの法律(改正案)は想定しているのだろうけど、処罰の対象となる故意に従業者が漏洩したが、0.67%ではほとんどの漏洩事件にこの罰則は適用されず抑止力が無い法律です。
いったいこの法律は何をしようとしているのでしょうか?


わたし自身は「個人情報であるから、すべて保護するべき」という考え方は全くのナンセンスであると断定します。

「山本さんですね?」
「あなたはわたしの名前を合法的に入手したことを先に証明する義務があります」

なんてことをやるのでしょうか?個人情報には「保護するべき情報と保護する必要がない情報がある」という考え方を入れない限り、全体として個人情報保護法は実用できないと考えています。

2月 17, 2006 at 08:49 午後 個人情報保護法 | | コメント (1) | トラックバック (0)

2006.02.16

個人情報・漏示罪を付け加える改正案

NIKKEI NET BIZ+PLUS より「個人情報漏えい、1年以下の懲役・自民が保護法改正案
民党の情報漏えい罪検討プロジェクトチーム(谷本龍哉座長)は15日、業務上知り得た個人情報を漏らした民間企業の従業員に、新たに1年以下の懲役または 50万円以下の罰金を科す個人情報保護法改正案の概要をまとめた。公明党と協議し、3月中に議員立法で今国会に提出、早期成立を目指す。
わたしは個人情報保護法に漏示罪を付け加えるのは無理であるから反対、という立場です。

個人情報漏示罪が個人情報そのものでなくて個人情報取扱事業者つまり5000人以上の個人データを持っているところ(一般企業の場合)だけを対象にしてどうするのか?と思うわけです。
さらに、刑事罰を科すというからには何らかの刑罰に相当する損害があったということが前提になると思いますが、個人情報漏示による損害とは一般的に理解できるものなのだろうか?
一方、個人情報には他人に漏らされることに誰でも反対するだろうものに病歴とか遺伝子情報とかがあるだろうが、氏名なんてのは他人に伝えないと意味がない。この保護するべき情報・保護する必要がない情報といった個人情報の質についての評価が全く無いのが現行の個人情報保護法の問題だとわたしは繰り返して主張しているのだが、漏示罪についてもこの個人情報の質は問われないから、量の問題か?とも思うが会社の職員名簿1万人分を漏示した場合と、医院からカルテを1人分持ち出した場合とどちらが罪になるか?と考えた場合に、社員名簿は1万人だから罪が重い、なんて判断は社会常識に反するというべきではないだろうか?
いやそもそも、1万人は罪だが10人なら罪は問わない、なんて言えるのか?

個人情報の漏示が罪になるというのは、個人情報とは何なのか?という話に戻ってしまう。
個人情報が秘密にするべき情報に限定されるとは到底言えない、氏名なんてのは他人に知られないのでは不要だ。
では個人情報は個人情報の本人の持ち物か=財物か?そんなことはあり得ない。
財物であれば、価格がついて取引できるはずだ、世界中で個人情報が公然と売り買いされているということは無いのだから財物ではない。
いったいこんな「個人情報」というものを漏示することの何が問題なのか?

管理してることに対するルール違反ということなら分からないではない、がそれは個人情報に限定することではあるまい。
企業であれば財務情報なんてのは秘密にしていて当然だから、財務情報を持ち出されて取引がご破算になって損害が発生したから賠償しろ、という論理で社会的に抑制している。
個人情報もこれと同じであろう。ずいぶんとひどい法案だと思う。

2月 16, 2006 at 08:42 午前 個人情報保護法 | | コメント (2) | トラックバック (2)

2006.02.10

個人情報漏示罪を追加

朝日新聞より「個人情報保護、漏洩社員に罰則盛る 与党の改正原案
自民、公明の与党が作成した個人情報保護法改正案の原案が9日、分かった。個人データを外部に漏らした民間企業の社員らに対する罰則規定として「情報漏洩(ろうえい)罪」を新設。

原案では、民間企業の社員らが第三者に個人データを不正な利益を図る目的で提供した時は「1年以下の懲役または50万円以下の罰金に処する」との罰則規定を追加。この規定について「日本国外で罪を犯した者にも適用する」との条項を加えた。金融機関などで相次いでいる顧客情報の流出を防ぐのが目的だ。
こんなムチャクチャな法律はダメでしょう。
だいたい個人情報保護法も問題だらけです。
個人情報が財物と同じか?という問題が元々あって、わたしは「保護するべき個人情報」を決めないと個人情報保護法自体の成立が難しくなる、という側面を指摘しています。

個人情報を全く知られないというのは「人間じゃない」という意味になりますから人間であり社会生活をするのであれば「ある程度の個人情報は社会つまり他人に知られるべきモノ」です。

これを「個人情報を個人所有の財物として扱う」という大誤解をしているのではないでしょうか?

もちろん名簿を持ち出して売り飛ばして収入を得るなんてのは刑事的処罰をするべきだと思いますが、それは「個人情報だから」なのか?

もともと個人情報保護法が全国民に課せられる理由が、住基ネット問題から発していることでした。
住基ネットは住民基本台帳をネットワーク化することで、行政が管理できない民間に端末が開放されるから、民間端末から住民基本台帳のデータが流出した場合などに法的に追跡できないのは問題だ。
という話から始まったのだそうです。 この意見の基本は「行政の外に情報を出さない」という意志の表れでしょうが「それでは個人情報保護法を作ります」となったのです。

個人情報について法的対応が出来ないものか?というのはプライバシー問題などで以前から論じられていましたが、ネットワーク時代になって一気に重大視されるようになり、そのために法学的にかなり歪んだ形で個人情報保護法が出来たと判断しています。

個人情報保護法についてわたしは2002年ごろから騒いでいて、その過程で当時ニフティ社の法務部に在職していた鈴木正朝・新潟大学教授に法学的な側面についてレクチャーを受けて理解しました。
話はこんな短いコラムでまとまるような簡単なものではありませんが、個人情報漏示が刑事処分に値する犯罪性がある、つまり社会的に罰するべきだとなるためには「だれが損害を負ったのか?」を明らかにする必要があると思いますが、現在起きている個人情報流出事件で刑事処罰を必要とする損害が発生しているのでしょうか?
「オレオレ詐欺とかあるじゃないか!」という指摘はあると思いますが、これは「住所・氏名などが知られたから」起きたことも多いわけで「ある特定の個人情報流出事件が、刑事処分に値するほどの損害を及ぼす事件そのものか?」という問題のハードルは恐ろしく高い、証明はほとんど不可能です。

銀行のキャッシュカードの暗証番号の流出といった事件でないと「保護されていて当たり前の情報」ではないですよ。
いずれにしろ、個人情報の流出が何かの犯罪に利用されて損害が発生し、というのが普通の流れでしょうから、個人情報を流出(漏示)した人物が犯罪目的のためにというのが処罰の対象ですが、犯罪が実行されない時に「犯罪目的で漏示した」なんてのは法的論理は明らかにおかしい。
それこそ「包丁を売ったから殺人の共犯」のような論理であると思います。 ムチャクチャだよ。

2月 10, 2006 at 09:23 午前 個人情報保護法 | | コメント (0) | トラックバック (0)

2005.10.28

個人情報保護法の適用問題

読売新聞より「民生委員困った…秋田市が母子家庭名簿の提供取りやめ

これも「個人情報保護法の過剰適用問題」の代表でしょう。
秋田市が、個人情報の保護を理由に、民生委員に対する母子家庭の世帯名簿の提供を、今年から取りやめていたことが、27日わかった。
同市は約10年前から毎年夏、児童扶養手当の受給申請をもとに、母子家庭の世帯名簿を38地区に分けて作成。地域ごとの民生委員約700人に渡していた。名簿には住所、氏名などが記載されていた。
今年も約2600世帯の名簿を作成する予定だったが、個人情報保護法が全面施行された4月以降、同市に「市の職員でもない人間がなぜ来るのか」といった問い合わせが相次いだ。このため、「個人情報を守ってほしいという市民の声は無視できない」(同市児童家庭課)として、名簿の作成自体を取りやめた。
どうも民生委員に世帯名簿を配るか配らないかでしか判断できない行政当局がトンマである、というべきなのでしょう。

言うまでもなく実社会はこのような二者択一に出来るわけがなく、単に技術論としては行政があらかじめ該当世帯に「民政委員に通知しても良いか?」と確認にするだけのことですから、その手間を惜しんだのだとすると「やる気あるのか?」と言われても仕方ないですね。

ところで、大きなテーマである「個人情報保護法の過剰適用問題」の問題は、秋田市児童家庭課がどう判断したのか?を検証するのが適切だと思いますが、簡単に言えば「ノーリスク」を実現するのが正しい個人情報保護法対応である、と思っているのでしょう。

わたしが個人情報保護法を個人的に勉強していて「なんとかしろ」と岡村久道弁護士に言ったのは、確か2003年5月にコンピュータ犯罪に関する白浜シンポジウムで言った時だと思います。
岡村さんは「本を書いている」とか言っていて、結局「個人情報保護法入門―新法解説」商事法務刊が7月に出ました。
それ以来、ニフティ社と「どうする?」という話を2004年末まで一年半に渡って色々な話をしたのですが、そこで大きな問題を感じました。当時はよく分かっていなかったのですが、今になるとはっきりしてきました。

「リスク無しを目指すのなら何もしない・出来ないとなる」です。
わたしは「リスクを理解した上でリスクを取ることが必須」だと考えています。

今、地元のデイケアセンター(福祉法人)の事業での個人情報保護法対応について相談に応じていますが、質問として「家族などで面会に来た人に誰(会員)を誰(家族)が見舞いなどでで訪ねてきたのかをノートに書かせているのだが・・・」というのがありました。
病院じゃないし入院しているわけではないのだから、訪問簿を付ける必要が絶対にあるとは思いませんが、万一何かあった時に追跡できないのマズイから記入してもらうのも無理からぬところでしょう。
ところが「ノートに記入しているので、前のページを見て誰が訪ねて来たか見ている人がいる」というのですから、誰が考えても「そりゃうまくないでしょう」となります。

このデイケアセンターはリスクを取っているわけです。
もちろんやり方として「前の見ることが出来ない」方法はいくらでもあるわけで、そちらを勧めましたが、それこそ羮に懲りて膾を吹く(あつものにこりてなますをふく)ということわざもあるくらいで、この世の中はリスクを全く取らないでなんとかなるとは言えません。

ところが個人情報保護法については「とにかくリスクを無くすことが重要」という事ばかりが強調されて、病院が家族に患者について情報を伝えない、警察からの問い合わせに答えない、といったことがかなりの数で報告されています。
しかし、どう考えても多くの病院は家族に患者の情報を伝えているでしょうし、警察からの問い合わせに答えるところの方が多いでしょう。
個人情報保護法の対応という観点では、回答したり家族に情報を伝えない方が正しいかもしれません。しかしそれでは、別のリスクが発生してしまいます。
病院であれば病院が管理していない情報に患者の重要な情報(遺伝病とか)があるかもしれない。そもそも病院が家族よりも情報を多く持っているとは言えないでしょう。(深く持っているだろうけど)
警察であれば、予防出来た犯罪に実行されてしまうかもしれない。

つまり問題の先送りになりかねないわけで、経験則では先送りするとコトは大がかりな話に成長します。
今そこにあるリスクを取らないのは正しいことなのか?という問題に直結しているのです。
ただ、今の世間の風潮として「リスクを取るのはアホのやること」といったところが過度にあるのかな?とも思っています。例えばインターネット掲示板で匿名で発言するというのも発言者がリスクの低減を狙っているのものです。
リスクがあまりに大きすぎるから匿名するというの否定するものではありませんが、何でも匿名というのではやはり世間は真剣に相手になることは無いですね。

こんなわけでわたしは今、個人情報保護法の正し使い方ということに「リスクを取ること」があると思っています。
「全くリスクを取りたくない」ということだと、以後の話は出来ません。
多くの会社がこのようなことを考えてもいないことは大問題だと思っています。

10月 28, 2005 at 12:50 午後 個人情報保護法 | | コメント (1) | トラックバック (0)

2005.10.27

個人情報保護法の過剰適用問題

2005年3月1日に書いた「個人情報保護法・お勧めの解説本」に下記のコメントをいただきました。
18歳になる子供(学生)が病院に通って薬を服用しています。親はどういう医療を受けているか子供がどんな病気か。保護者として子供の健康を守る義務があります。病院は個人情報保護法で子供の同意がないと教えられないと回答しています。未成年者で扶養者を病院任せでいいのでしょうか?治験では未成年者の同意には法的に問題があり、通常親の同意が必要です。 親の責任は、個人情報保護法に及ばないのでしょうか?私ども親も医療人で病気・薬に知識は十分あります。どなたか回答を下されば幸いです。
個人情報保護法の過剰な適用というべき問題はあっちこっちで起きていますが、コメントいただいた内容はなかなか重々しい問題だと思いますので、ご本人の了解の元に新たにエントリーして議論してみたいと思います。

10月 27, 2005 at 11:59 午後 個人情報保護法 | | コメント (2) | トラックバック (1)

2005.10.17

個人情報保護法・捜査上の照会に拒否多数

読売新聞より「個人情報保護法、捜査に深刻な支障…照会拒否500件
刑事訴訟法に基づく警察の正式な捜査照会に対し、各地の病院や自治体などが個人情報保護法などを理由に回答を拒否するケースが、今年4月の同法全面施行から6月までの3か月間だけで、約500件に上っていることが警察庁の調査で分かった。
医療機関の対応の背景について、医療関係者は、厚労省や日本医師会の指針に「照会に応じても保護法違反ではないが、本人から損害賠償を求められるおそれもある」などと記されている点を挙げる。これに対し、同省では「一般論として例示しただけで、過剰に受け取られるのは本意ではない」としている。
この報道には「やはりなぁ」という思いがあります。

もう2年近く前ということになるが個人情報保護法をかみ砕いて説明することになって、とりあえずどんなことを聞きたいのか?と数人にヒアリングしてみたら「どうすれば大丈夫なのか」「何をするといけないのか」を聞きたいという意見ばかりだった。

「なるほどねぇ」と思う一方で「どうやって理解してもらおうか」ということになって、その後は地味に説明を繰り返して、徐々に法律の体系など法学というべき部分も説明することで、そこそこ理解を得られたと思ってます。

その後は説明する方も慣れて、個人情報保護法のそれぞれの条文を説明するのやめて、むしろいかに判断が難しいかを具体的に想定した問題で説明するようにしているけど、それをやっていくと事務所のレイアウトを変えないとダメだ、みたいな展開にもなって、それはそれでなかなか難しい。

「これをやっては個人情報保護法違反になる」みたいなハウツーで覚えると今回の報道のようなことになるのでしょうが、今までの法律の利用がハウツーで済むようにこなれていたからそれで済んでいたのだと考えると、個人情報保護法が「こなれていない法律」ということなのでしょう。

10月 17, 2005 at 09:15 午前 個人情報保護法 | | コメント (4) | トラックバック (2)

2005.09.23

消防本部が個人情報で悩んでる

東京新聞より「個人情報保護法で困った!!
個人情報保護法の施行に伴い、沼田市の利根沼田広域消防本部が、火災発生時などの住民への情報提供や問い合わせの対応に苦慮している。

火災の際に問い合わせがあった場合、発生時には住民の関心も高いため、出火場所の地番、世帯主名も知らせるが、鎮火後はプライバシーに配慮して出火場所については、特定できないように大字までに限定、世帯主は公表しないことを決めた。

ここで問題となるのが同法義務規定の適用除外となっている報道機関の取材への対応。同本部ではこれまで、当直体制でも担当職員が取材に応じてきたが、「社名を名乗られても本当に報道機関なのか電話取材では一般住民と区別できない。記者と確認できれば問題ないのだが…」(幹部)と頭を抱えている。
それこそ「ほら見ろ!言わんこっちゃ無い」といった思いである。

NIFTY-Serveでフォーラムマネジャーをやっていた当時から削除依頼があった場合、請求者の確認に苦心した者としては、適用除外なんてのは関わる人が立場ごとに都合良く解釈するだろうから現場の対応はとても大変というか事実上無理だと考えていた。

今回の消防本部の苦労は良く分かるが、元々個人情報保護法には「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」(第一条)とあり個人情報の適正な扱いを目的としているのだから、適正とは社会的な利益などとの比較で決まることは明らかだろう。だからこそ、報道機関は適用除外なのだがそれを文字通りに解釈すると「電話ではダメ、E-Mail もダメ。登記簿と個人の印鑑証明を持ってこい」のごとき事になる。

正に広域消防本部の悩みがここにあるわけで「違反になるかもしれないが・・・・」となってしまう。今の個人情報保護法の一番の問題点は「全面的に厳密に適用したら社会生活が成り立たない」ところにあると思ってます。

9月 23, 2005 at 01:03 午後 個人情報保護法 | | コメント (4) | トラックバック (0)

2005.08.26

自殺予告は、個人情報開示だそうだが

朝日新聞より「ネット自殺予告、個人情報提供に指針 総務省や警察庁
指針は、自殺予告者についての情報提供は、人命救助が目的なら、法律に違反しても罪に問われない「緊急避難」にあたると明記。警察から、自殺をにおわせる投稿をした人を照会された場合は住所や名前などを開示できると規定した。
ただし、照会には警察署長などの責任者名の書類が必要で、「自殺の予定日が近い」「書き込みが具体的」など、開示を求める理由も説明しなければならない。警察以外からの照会には「信頼性の判断が難しいので、警察に110番通報してもらう」とした。
町村先生の blog に「自殺予告時の情報開示指針にパブコメ」とエントリーがあり

少なくとも自殺予告に介入しようとする警察からの開示要請には、通信の秘密の暴露が正当化できる限りで協力しようというわけである。
プロバイダ側が主体的に自殺防止に介入するわけではないし、そのつもりもないので、開示が根本的な解決に結びつくかどうかわからないではないかとプロバイダを責めても仕方がないことである。
それにしても、やはり地下に潜ることを助長することは、ダイヤログ・セラピーとでもいうか、要するに対話による癒しの可能性をなくしてしまうようで、有害な気がする。
と意見を述べられていますが、同感です。

確かに、自殺予告記事を知りつつ放置するというのは問題だとは言えますが、組織的になんとかしようとなると「知りつつとはどういう状態だ?」といった議論になるのは避けられないし、さらには「知っていたはずなのに何もしなかったから責任を追及する」といった展開も予想できます。

しかし目的が「自殺予防」だとするとこれはほとんど効果無しでしょう。
むしろ、町村先生も指摘するように「地下に潜る」でしょうから、全体としては悪化する可能性も予想出来ます。

その一方で、警察として「一から十まで全部見張る」という誘惑は強いでしょうが、それでは下手すると警察国家やビッグブラザーといったところまで行く可能性もあります。
この話はどうも警察やプロバイダの「こんなに注意しています」といった「言い訳のための仕組み」とか「アドバルーン」といったところに近いのではないでしょうか?

それにしても、わざわざ手順を決めようというのは個人情報保護法に抵触しないようにということでしょうが、社会生活が一から十まで個人情報保護法に抵触するのは常識でそれを制約しようという現在の個人情報保護法の解釈(なのか?)が間違っているのではないか?という印象も強いですね。

8月 26, 2005 at 10:01 午前 個人情報保護法 | | コメント (0) | トラックバック (1)

2005.08.22

個人情報流出で分かること

INTERNET Watchより「個人情報保護のための講演会で個人情報を流出~日本情報処理開発協会
日本情報処理開発協会は9日、経済産業省との共催で5日に札幌で開催した「個人情報保護に関する講演会」において、同協会が受けた苦情相談者の個人情報1件を、参加者に配付した資料190部に誤って掲載したことを明らかにした。

資料を印刷していた際に、資料とは関係のない、プライバシーマーク認定事業者に関する消費者からの苦情を印刷しており、誤って混入してしまったという。資料には相談者の名字と携帯電話番号、相談内容が記載されており、相談内容については、相談対象の事業者名も含まれていた。
いやはや、要するに印刷段階で乱丁のようなことをやったという意味ですか?

講演会の資料ということなら、コピー+製本であるかもしれないが、どんな方法であろうともゲラチェックをすれば分かることだろう。
さらに、コピーであるのなら「原稿の管理はどうなっているのだ?」が問題だろう。個人情報保護法上の問題はたまたまであって、もっと本質的に品質管理が出来ないことも大問題だと思う。
品質管理や情報管理がちゃんと出来ていることを前提にして、その中で個人情報をどう扱うのか?ということやっているであって、例えば契約書や機密文書と個人データを流出した場合に、個人情報保護法上の問題の対応をすれば良いのか?と言えば、機密情報や契約書の流出を理由に契約解除や損害賠償請求で会社が倒産することは十分にあり得る。
まぁ、個人情報保護法上のインシデントが会社の質を表すようになるのは良いことでもあるかもしれない。

8月 22, 2005 at 10:02 午前 個人情報保護法 | | コメント (0) | トラックバック (0)