内閣府 個人情報保護専門調査会報告書 ~個人情報保護法及びその運用に関する主な検討課題~
こんにちは、丸山満彦です。内閣府の第67回 消費者委員会で「個人情報保護専門調査会報告書 ~個人情報保護法及びその運用に関する主な検討課題~」が公表されていますね。。。
過剰反応、第三者機関、安全管理措置、国際的な整合性等について記載されていますね。。。
■内閣府
・2011.08.26 第67回 消費者委員会
・・【資料3】 個人情報保護専門調査会報告書~個人情報保護法及びその運用に関する主な検討課題~
・・【資料4】 平成22年度個人情報の保護に関する法律施行状況の概要(消費者庁提出資料)
・・(資料4-1) 平成22年度 個人情報の保護に関する法律の施行状況の概要(要約版)
・・(資料4-2) 平成22年度 個人情報の保護に関する法律施行状況の概要
・・【追加資料】 個人情報保護制度について(案)
・動画配信
個人情報保護専門調査会報告書 ~個人情報保護法及びその運用に関する主な検討課題~の目次
=====
個人情報保護法及びその運用に関する主な検討課題
第1 総論:個人情報保護法制の全体構想
1.いわゆる「過剰反応」の現状分析
2.第三者機関の意義
3.個人情報保護法制の趣旨と保護法益
第2 各論:個人情報保護法制の点検・調整
1.個人情報取扱事業者の範囲
2.事業者等の取組
(1)利用目的による制限・第三者提供の制限
(2)事業者による任意の取組
(3)個人情報の取扱いについての従業者の同意
(4)安全管理措置の水準
3.本人関与の在り方
(1)開示・訂正・利用停止の求め
(2)苦情の円滑な処理
4.国際的な整合性
5.特定分野の運用
(1)格別の措置とガイドラインの在り方
(2)情報保護評価
添付資料
【参考資料1】消費者委員会 個人情報保護専門調査会 設置・運営規程
【参考資料2】個人情報保護専門調査会の進め方について
【参考資料3】個人情報保護専門調査会 審議経過
【参考資料4】個人情報保護専門調査会 委員名簿
【参考資料5】個人情報の保護に関する法律
【参考資料6】個人情報の保護に関する法律施行令
【参考資料7】個人情報の保護に関する基本方針
=====
=====
1.いわゆる「過剰反応」の現状分析
ア 従前の検討
・「個人情報保護に関する取りまとめ(意見)」(平成19 年6月29 日国民生活審議会。以下「国生審意見」という)では、個人情報保護法等に対する誤解等に起因して、必要とされる個人情報の提供までもが行われなかったり、各種名簿の作成が中止されるなど、「過剰反応」と言われる状況も一部に見られるとされていた。
・他方で、当時の世論調査によると、名簿掲載を拒否した経験のある者は約1割で、そのうち、他目的の利用や個人情報の漏えいをおそれることを理由とする者が約9割、自治会や同窓会等の活動から距離をおきたいことを理由とする者が約8%を占めていた。これらの事実を踏まえ、国生審意見では、個人情報保護法が自治会や同窓会等の「活動から距離を置くことの口実」とされている側面も指摘されていた。
・基本方針は、いわゆる「過剰反応」を踏まえた国の取組として、「事業者及び国民に対する広報・啓発に積極的に取り組むものとする」としつつ、「いわゆる『過剰反応』が生じる背景には、個人情報によって識別される特定の個人(以下『本人』という。)が自らの個人情報の取扱いに不安を感じていることも一因としてあると考えられることから、法の適切な運用により、個人情報の適切な取扱いを図っていく必要がある」ともしている。
・プライバシー意識の高まり等により、地方公共団体において、福祉・防災の担当部局間や、民生委員や自主防災組織等との要援護者情報の共有が進まない、との指摘については、各地方公共団体における条例の運用において、①要援護者本人の同意を得た上で個人情報を他の関係機関と共有すること(手上げ方式及び同意方式)、又は②地方公共団体の個人情報保護条例において、保有個人情報の目的外利用・第三者提供を可能とする規定を整備すること(関係機関共有方式)が提案された(平成19 年8月10 日厚生労働省関係課長連名通知「要援護者に係る情報の把握・共有及び安否確認等の円滑な実施について」参照)。
・(以下略)
イ 検討課題
・本人(個人情報保護法第2条第6項)が、個人情報の提供を差し控える理由の多くは、本来の目的と異なる利用や個人情報の漏えい等に対する不安感によるものと考えられる。この問題は、いわゆるソーシャル・メディアの普及等により情報の拡散する経路が多様化していることも踏まえ、法の誤解に起因する「過剰反応」とは別に、施策の要否を検討する必要がある。
・個人情報保護法制は、事業者や行政機関等が遵守すべき義務を定めている(個人情報保護法第4章、行政機関個人情報保護法第2章等参照)。したがって、個人である本人が個人情報保護法を名目として個人情報の提供等を差し控える事例は、法規制による萎縮というより、むしろ個人の不安感や誤解のあらわれと考えられる。本人が個人情報を提供するかしないかの判断は、個人の人格尊重の理念の下(個人情報保護法第3条参照)、原則として本人の意思に委ねられることに鑑みれば、個人が自己の個人情報とどのように付き合うかという自律的
な倫理の啓発や、事業者等が個人との間で信頼関係を構築するために求められる取組等の観点から検討する必要がある。
・事業者、行政機関又は地方公共団体等が、個人情報保護法制(条例を含む)では制限されていないにもかかわらず、個人情報等の提供を差し控えるケースについては、本人の権利利益を保護する法の目的と、健全な民主主義社会の存立に不可欠な公益性、公共性の観点から公にすべき情報の流通が両立されるよう、施策の方向性を検討する必要がある。
・個人情報保護法制は、地方公共団体による条例に基づく個人情報の取扱いについては、地方自治法を前提とした分権的システムを採用している。国による何らかの支援(個人情報保護法第8条参照)が必要か、必要と考えられる場合にどのような施策が可能かについては、地方分権の趣旨も踏まえつつ、具体的な問題(例えば、災害時の要援護者に係る情報提供等)ごとに検討する必要がある。
=====
漏洩等をした場合に役所にとどけないといけないし、とどけたら役所もなんかいわなあかんし、会社もなんかいわれたら、なんかしなあかんし。。。ということで過剰反応はすすんでいくのかもしれませんね。。。
安全管理措置については・・・
=====
(4)安全管理措置の水準
ア 従前の検討
・国生審意見では、事業者の情報セキュリティ対策の水準向上が図られることが重要であり、事業者の取組を促進するための施策、人材育成及び必要な知識の普及啓発等が必要であるとされていた。
・「国民を守る情報セキュリティ戦略」(平成22 年5月11 日情報セキュリティ政策会議決定)では、「企業から個人情報等の情報の漏えいを防止する観点から、情報の適切な暗号化等を促進するため、漏えいした個人情報に適切な技術的安全管理措置が施されていた場合の手続の簡略化等、各事業分野の特性を踏まえつつ、事業者に暗号化等を行うインセンティブを付与するための見直しを行う」とされた。
・経済産業ガイドラインでは、個人データの漏えい等の事案が発生した場合について、「高度な暗号化等の秘匿化が施されている場合」には、二次被害の防止の観点から公表の必要性がないとして、事実関係等の公表を省略することを許容している。
・電気通信事業における個人情報保護に関するガイドライン(平成22 年7月29日総務省告示第276 号)では、「個人情報の漏えい等がノートブック型パーソナルコンピュータ等の紛失、盗難、破損等により発生したものであって、かつ、本人に対して二次被害が生じないよう適切な技術的保護措置が講じられているとき」には、事後の対応が軽減されている(第22 条各項)。
イ 検討課題
・事業者等は、事故を未然に防止するための措置のほか、事故が発生した場合の二次被害の拡大を抑止するための対策として、暗号化をはじめとした適切な技術的保護措置等を講じることが望ましいが、この点について個人情報保護法制上どのように事業者等の取組を促進することができるか、検討する必要がある。
(参考)審議の過程における委員発言(個別意見)・ヒアリングの概要
・事故前提社会における対策の推進として、暗号化等の技術的な二次被害防止策の実施についても選択肢とすることによって、事故発生後の被害を防止する技術的対策の実施を促すことが可能になると考えられる。この観点から、個人情報保護に係る主務省庁のガイドライン等が検討されていくことが望まれる。
・本人への通知や公表の省略を認めてもよいと考えられる情報セキュリティ技術として、「存在してもアクセスさせない技術」(秘密分散等)、「消去してしまう技術」(遠隔消去、時限消去等)のような対策が有益との意見がある。ただし、いずれも公的な認証制度がないため、法令で求めるレベルに十分な安全管理措置の判断基準はどのように確保するのかが課題である。
・技術の安全性が変化することや、より安全性の高い技術が登場することも考えられ、適切な技術的保護措置については、必要に応じて見直しを実施することが適当である。
・クラウド・コンピューティングのセキュリティについての議論は、データベースのアーキテクチュアについての認識が欠けていることが多い。米国のデータベースでは、個人の情報は塊としてではなく分散して格納されており、一部のデータベースが攻撃を受けてコピーされても、何なのかが理解できないようにされている。セキュリティについては、このような議論も深めた上で、検討する必要がある。
=====
クラウド・コンピューティングについて、データベース上に分散格納されているというのは確かにホストOSからみたらそうかもしれないが、アプリケーションからみたらそれがどうした・・・という話になるので、たいした問題ではないのではないかと思う。サーバを担いで盗んで個人データを盗もうと思う人は少ないだろうしね。。。
Comments
丸山 様
夏井です。
「個人」の定義の問題をそのままにしているので,何の意味もないですね。
私は,根本的な解決策を見つけました。やはり,法システムの全面的な改廃が必要です。
ところで,高木さんかは,生物の個体が「ヒト」である場合に,それを「個人」というという定義で良いという見解のようです。
しかし,シャム双生児等の場合には,個体としては1個ですが,個人としては2個なんじゃないでしょうか?
理論的には,同一の頭骸骨内に複数の異なる人間の脳を詰め込むことは可能ですし,ある脳に別の人間の脳の一部を移植することも可能です。この場合,頭骸骨としては1個ですので個体としては1個ですが,個人としては複数という場合があり得るのではないでしょうか?
こういった基本的な問題をちゃんと考えないで安易に解決できているものとして扱うから,一番クリティカルな問題が発生したときに何も解決できなくなってしまうんです。
この分野における学問の荒涼たる不毛を嘆きます。あまりにも不勉強すぎます。
Posted by: 夏井高人 | 2011.08.30 09:02
夏井先生、コメントありがとうございます。
=====
シャム双生児等の場合には,個体としては1個ですが,個人としては2個なんじゃないでしょうか?
=====
名前もそれぞれあったので、2個だと思っていましたが、どうなんでしょうかね。。。
=====
理論的には,同一の頭骸骨内に複数の異なる人間の脳を詰め込むことは可能ですし,ある脳に別の人間の脳の一部を移植することも可能です。この場合,頭骸骨としては1個ですので個体としては1個ですが,個人としては複数という場合があり得るのではないでしょうか?
=====
たしかに、ここまでは考えていなかったなぁ。。。
ちなみに有識者の意見にある、
=====
・技術の安全性が変化することや、より安全性の高い技術が登場することも考えられ、適切な技術的保護措置については、必要に応じて見直しを実施することが適当である。
=====
ですが、経済産業省のガイドラインでは、そういうことは当然に織り込み済みです。というか、そういうことを言われることを想定して、ガイドラインを作っています。
つまり、何をすべきかを記載していますが、どのようにあという手段については(ほとんど)書いていません。
この意見を述べた有識者は、経済産業省のガイドラインを読み込んではいませんね、、、きっと。。。
Posted by: 丸山満彦 | 2011.08.31 02:38
丸山 様
シャム双生児は,物理的な個体としては1個ですよ。(笑)
人間ではなく動物の個体を数える場合でも同じです。
双頭の鷲は頭が2つあっても1個体でしょ?
メデューサ(ゴルゴン)は多数のヘビの髪の毛をつけていたも1個体でしょ?
個性,認識,人格等を一切無視し,物理的な個数で数えるのが「個体」としての計測方法です。
人間に戻って,シャム双生児を2個体と数えるのは明らかな誤りです。世界中どこでも誰でも1個体として数えます。個体としては1個なんだけど個人としては2個なんですよ。だからこそ,個体として個数と個人としての個数を一致させるために分離手術が実施されるんです。分離すれば,個体としても個人としても2個になります。
Posted by: 夏井高人 | 2011.08.31 09:08
夏井先生、コメントありがとうございます。
よくわかりました!!!
個体ととしては1個で、個人としては2個。
外からみて2つの頭があればわかりやすいけど、
同じ頭蓋骨に2つの脳がはいっていると
個人として2個と数えるべきか外からはわかりませんね。。。
なるほど。。。
Posted by: 丸山満彦 | 2011.09.01 11:35