砂糖の甘い付箋 https://yoshihiro.cocolog-nifty.com/postit/ 佐藤が気になったことをチョコっとメモするところ ja-JP 2024-06-27T17:22:23+09:00
  • 日本の個人情報保護と米国のプライバシー尊重の違い https://yoshihiro.cocolog-nifty.com/postit/2024/06/post-d0fbfd.html 日本の個人情報保護と米国のプライバシー尊重の違いについて紹介します <![CDATA[

    128480_l

     デジタルフォレンジック研究会という団体が発行するメールマガジンのコラムを輪番で寄稿しており、「割れ窓理論(Broken Windows Theory)の引用可能版」という記事を書く予定でした。しかし、それの執筆中に興味深い時事話題が出たので、その話題に触れて「日本の個人情報保護と米国のプライバシー尊重の違い」という記事に変えることにしました。その記事を以下に紹介します。

     日本のテレビ局が、米国で活躍している日本人野球選手の自宅を本人から事前許可を得ず外観や空撮を撮影し近隣住民にインタビューするなどして紹介する映像を放映したことがありました。このことが問題となり、選手の所属球団がこのテレビ局のメディア取材パスをはく奪しました。この選手への取材のみならず、球団への取材についても、いわゆる出入り禁止にしました。

     これの何が問題だったのかについて、あまり正しく説明されていないようです。

    ]]><![CDATA[

     日本人的には、住居の外観や空撮による撮影と近隣住民のインタビューとを比べると、前者の方がより問題視されたのだろうと思われていることが多いかもしれません。しかし、米国においては、これはほぼ逆の問題意識だということが認識されていないようです。さらに、よくある説明では、例として、自宅の場所を特定できるようにすると本人や家族が強盗などの危険にさらされるからではないかというものです。しかし、これが直接的な問題であるとすれば、著名人は自宅の場所を秘密にして、近隣の住人からも顔を見られないような生活をするしかなくなります。実際には、著名人の住所は薄々知られているし、近隣の住人は知っている状態だと考えるのが現実的です。
     今回の件でも、選手の自宅の場所についての情報をテレビ局が明らかに違法な手段で入手したのなら、日本のテレビ局といえども放映することはなかったと思います。その意味では、どういう手段だったかについて知りませんし、その手段がグレーであったかもしれませんが、明らかな違法ではなく入手したはずだと思います。自宅の場所についての情報とは、住所のことです。住所は、個人情報なので、選手の個人情報を何らかの違法ではない手段で入手した上で、取材活動をしたことになります。
     そこで、この問題を個人情報保護の観点で整理してみます。

     この問題はプライバシーの侵害であるとされたことから、近隣住民にインタビューすることが、近隣住民が迷惑に思うというプライバシー侵害なのではないかと思うかもしれません。(実際に、そういう説明がされていることがあります。)しかし、それは住民にとっては迷惑行為ですが、プライバシーの侵害ではありません。そうではなく、米国においては選手本人へのプライバシー侵害と認識されるのです。近隣住民へのインタビューが、選手のプライバシー侵害?と思うかもしれないので、その説明を本稿でします。

     本人が、自分の個人情報である住所を、自分の意に反した使い方をされたらプライバシーが侵害されたことになります。住所が無断で取り扱われることが直ちにプライバシーの侵害になるわけではなく、その使い方によってプライバシーを侵害したか否かが問われるのです。
     これは当然のことです。そうでないと、近隣の住民がその住所のことを話題にするだけ(=住所を無断で取り扱っただけ)で、プライバシーの侵害になってしまうわけで、そんなことはありません。 
     では、なぜそれがプライバシーの侵害となったのでしょうか?

     住所が、インタビューする地域の特定に使われ、その近隣に住んでいる人にインタビューするために使われたことになります。すなわち、住所が、近隣住民のインタビューのために使われたということになります。
     これをプライバシー侵害の有無の観点でみると、自分の住所が近隣住民のインタビューのために使われることは、本人の意に反したかどうかということになるのです。そのように考えると、どのような手段で住所を入手したのかは定かではありませんが、それが近隣住民へのインタビューを目的としていたとは考えにくく、よって、意に反したであろうことは明らかとなります。
     つまり、選手の自宅の近隣住民へのインタビューは、選手のプライバシーを侵害したと米国では認識されるのです。
     あえて、日本の個人情報保護法的表現をするならば、選手の住所の利用目的に違反したということです。

     ここで説明したことは、日本の個人情報保護と米国のプライバシー尊重の違いとして見ることができます。個人情報については保護という言い方をしますが、米国ではプライバシーを保護する(protect)という言い方は限定的で、プライバシーを尊重する(respect)と表現します。プライバシーを尊重するための手段として、プライバシー保護という言い方がされることはあります。
     尊重と保護の違いですが、別の話しだと少し直感的にわかるかもしれません。個人の意見を尊重するという表現はしますが、個人の意見を保護するという表現はしないことに似ています。個人の意見を尊重するために、その意見に関する情報の一部を保護することはあるかもしれません。それと同様に、プライバシーを尊重する手段において、プライバシーに係る情報を保護することはありますが、プライバシーは保護されるものではなく尊重されるものです。

     冒頭で、予定の記事の内容を変えたと書きましたが、実は、このプライバシー侵害の話しは、割れ窓理論につながります。

     近隣住民へのインタビューを放置すると、自宅への強盗や家族の誘拐につながるかもしれないのです。
     割れ窓理論は、軽微な犯罪を放置すると、犯罪行為全般への「共同体の障壁」が低下し、甚大な犯罪につながるというものであり、よって、軽微な犯罪を放置しないことが、結果的に甚大な犯罪の予防になるという理論です。
     割れ窓理論では、街の落書きを放置すると、その街で違法なこと又はマナーに反することの共同体障壁が薄れ、やがて、強盗殺人などの重要犯罪につながるとしています。一見すると、落書きを放置すると殺人事件が起きる?と思うかもしれませんが、これは、犯罪は原因論に加えて機会論でも考えるべきという割れ窓理論の本質になるのですが、今回は、その説明をしないことにしたので、それはまたいつかの「機会」に紹介します。
     話しを戻すと、住所の不当使用という軽微なものがインタビューで、甚大なものが選手やその家族への強盗や誘拐なのです。そのため、近隣住民へのインタビューを選手本人の意に反して行うプライバシー侵害を放置することは、それが強盗や誘拐につながる連鎖を断ち切るためには、容認してもらえないのです。このことが、日本のテレビ局ばかりではなく、おそらくほとんどの日本人にはあまり認識されていません。

     本稿の前半で「選手の住所の利用目的に違反した。」と書きましたが、日本法ではこれに違反しない可能性が実はひとつだけあります。それは、利用目的が第三者への提供であった場合です。しかし、これを利用目的とした上で個人情報を入手した場合に、その第三者の利用目的に制限がなくなるという解釈がされるのは、米国に限らず世界中で日本だけの解釈であることはあまり知られていません。米国では、プライバシー侵害は、個人情報の使われ方が問題視されるため、その第三者による使われ方も継承して問題となります。したがって、第三者が第三者提供を目的として個人情報を入手したからと言って、その使われ方の制約から免れないと解釈されているのです。

     昨今の個人情報に関係する先進技術のひとつにはAI処理がありますが、上記の背景により、日本以外の海外においては、個人情報の利用目的の制約から本人が切り離されることはありません。一方で、日本では本人がひとたび「第三者への提供」を拒否しないと、本人の意は切り離されてしまうのです。本人がそれを拒否しないことがうかつであると言ってしまえばそれまでですが、海外では、個人によるその非があったとしても、プライバシーの尊重はそれに勝って尊重されるべきものとされているのです。なぜなら、それは人権として位置付けられているからです。
     これが人権なのか、あるひとつの権利なのかの違いです。仮に自殺を欲していると思われるような言動や選択をしてしまった人を、殺してよいのか悪いのかという違いだと思うとわかりやすいかもしれません。
     この個人情報保護の制度解釈(実際の制度意図がどうであるかより、一般にどう解釈されているか)は、AI開発の拠点として有益であるとされています。端的に言えば、プライバシー尊重が人権ではない日本で開発すれば、プライバシーを尊重することは、第三者提供を利用目的とすることで回避できると思われている面があるからです。個人情報の1次的取得者は海外と同程度に利用目的制限がありますが、1次的取得者が第三者提供を利用目的として同意を取りさえすれば、2次以後の取得者は弱い制約で利用することがグレーではあるけれど明らかな違法とはならないのは、日本だけなのです。

     第三者への提供を利用目的とできる日本の個人情報保護法について、どう思われたでしょうか?これを読んでいる人は、必ずふたつの側面を持っています。それは個人情報の本人としての立場と、個人情報を使って企業活動などをする利用者としての立場です。後者の立場としては、第三者への提供を利用目的にすることができる日本の仕組みは魅力的で甘い誘惑しかありませんが、一方で、本人としての立場でも見て、さらにはあなたのお子さんや大切な人の立場でも見て、それを安易に使うことの是非について考える機会に本稿がなれば幸いです。

     なお、本稿では、選手名、球団名、テレビ局名について触れませんでした。「割れ窓理論」はとても有名な理論であるにもかかわらず、その原典である論文への引用を目にした人や、論文原書を読んだ人は、あまりいないのではないでしょうか?それはその論文が、あまりに人種差別やその他の差別的表現が多かったからと推察しています。しかも、仮に「罪を犯しやすい人、たとえば、○○人」という書き方であれば、○○人という例示だけを省いてギリギリ引用ができるのですが、単に「○○人」と書いている箇所もあるために、直接引用すると「○○人は、罪を犯しやすい人」と引用者が解釈したことになるという欠陥があるからです。

     その欠陥を払拭するために、ぼくがその解釈をしたことにして、割れ窓理論の差別表現の悪役を引き受けることで「引用可能版」を用意しようとしました。ちなみに、欧米人がこれをすると解釈は個人の責任にしかなりませんが、日本では文脈で内容を解釈するという日本語ならではの特質があるので、ぼくが解釈したわけではなく、文脈として推定しただけと言い訳できるのは日本人だけです。しかし、本稿の時事話題がタイムリーだと思ったので、差し替えました。
     決して、悪役になることに二の足を踏んだのではありません・・・

    ]]>     個人情報保護 プライバシー yoshihiro 2024-06-27T17:22:23+09:00     健康保険証としてのマイナンバーカード https://yoshihiro.cocolog-nifty.com/postit/2023/07/post-4c6819.html   マイナンバーカードを身分証明書として取り扱う場合の運用上の課題について「身... <![CDATA[

    E1fc3cbbb1f45b857ecaa14187ba36cb_w

     

    マイナンバーカードを身分証明書として取り扱う場合の運用上の課題について「身分証明書としてのマイナンバーカード」という記事で紹介しました。

    この記事では、マイナンバーカードを健康保険証として使うことについて紹介します。

    ]]><![CDATA[

    マイナンバーカードを健康保険証として使うことには、日本医師会などが永らく反対していましたが、最終的に厚生労働省の「医療等分野における番号制度の活用等に関する研究会」で2015年に反対しなかったことにより、現在の健康保険証利用の道筋ができました。

    筆者も委員として参加した同研究会の報告書は以下のとおり公開されています。

    https://www.mhlw.go.jp/stf/shingi2/0000106604.html

    報告書に「医師会として同意する。」という明文があるわけではないですが、マイナンバーカードの健康保険証利用について記載された報告書において、研究会委員として「反対する。」と記載することを求めなかったことで、それ以前のような反対ではなく黙認したということになります。

    ただし、具体的な条件として「見えない・預からない」という条件が示され、医療現場で「マイナンバーが見えない」「マイナンバーカードを預からない」ことが報告書の中で繰り返し明記されています。この条件においては、黙認するということになります。

    マイナンバーカードに、マイナンバーを目隠しするケースが付属しますが、それの端緒のひとつになっています。(これについては、他の場面でも同じ懸念が示されたため、いくつかあるうちのひとつです。)

     

    マイナンバーは、正式名称も個人番号であることから、なんにでも使える国民の識別番号のように思うかもしれませんが、用途は社会保障・税・災害対策に限定された番号です。マイナンバーカードを健康保険証に使うことになりましたが、その言葉通りで、マイナンバーを健康保険に使うことはありません。健康保険に使ってしまうと、マイナンバーの用途から逸脱してしまうからです。マイナンバーカードのIC部分に被保険者であることの資格確認情報を格納するだけで、カードに診療情報が記録されることも、マイナンバーを資格確認に用いることもありません。

    簡単に言うと、マイナンバーから、社会保障と税など個人の情報が特定されることはあり得ますが、診療情報など医療に関する情報が特定される経路はないため、特定されることすらないので、万が一にもアクセスされることはないということです。

    マイナポータルで自分の医療情報にアクセスできますが、マイナンバーを使ってアクセスしているわけではありません。その意味では、マイナポータルは、マイナンバー・ポータルではなく、マイナンバーカード・ポータルということです。

     

    しかし、マイナンバーが診療情報に紐づけられないということは、目に見えるものではありません。

    逆に目に見えるものとして、医療現場で医療従事者がマイナンバーカードを取り扱うことになれば、医療機関がマイナンバーを参照したり紐づけたりしているのではないかという疑念を持たれる可能性があります。

    マイナンバーカードを取り扱ってしまうと、そこに記載されているマイナンバーについて見たり控えたりしない運用をしっかりしているとしても、見たり控えたりしているのではないかという疑念を持たれてしまった場合に、それらをしていないことを証明することは、悪魔の証明になってしまいます。

    それを避けるには「見えない・預からない」ことを条件にする必要がありました。

    冒頭に紹介した拙著の「身分証明書としてのマイナンバーカード」で、身分証明書としてマイナンバーカードを受け付けない公立図書館があることについて触れましたが、同じ懸念からくるものです。

     

    そのような背景により、医療現場でマイナンバーカードを健康保険証として使う場合は、マイナンバーカードの取扱いは患者本人だけが行ない、医療従事者はカードには触りすらしないということであれば、医師会としては反対しないということになり、条件として明記されました。

     

    なお、従来の健康保険証は医療機関の窓口に月初めに一回提出するだけでよいのに、マイナンバーカードだと患者自身が毎回カードリーダで読み取る必要があり、患者にとっての利便性が低下したと思う人がいるかもしれません。

    特に混雑している窓口では、従来の健康保険証は診療カードと一緒に窓口に提出すれば、後は診療の順番まで待っていればよく、待ち時間が長ければ、買い物に出かけたりするのを見かけることもあります。

    マイナンバーカードでは、少なくとも、カードリーダを通す列に自分で並ぶ必要があります。自分でやることになった背景はここで説明したとおりです。

    では、従来の健康保険証の提示は月初めの1回だけなのに、マイナンバーカードの読み取りはなぜ毎回なのでしょうか・・・

    これについては、諸事情によりこの記事で具体的に書くことができません。上記報告書の中に、すごくさらっと書かれており、その箇所に関連する議事録などにも目を通していただくと察することができるようになります。ご興味があれば参照してみてください。

     

    率直に言うと、マイナンバーカードを健康保険証に使うのは筋がよいとは言えません。

    健康保険に使うことが法律上認められていないマイナンバーでありながら、そのマイナンバーのためのカードを使うのは、マイナンバーを使っていることにはならないという建付けで難解です。

    さらに、マイナンバーを取り扱っているという疑惑を受けないために、医療現場での患者の利便性が下がってしまうというのは本末転倒でしょう。

    マイナンバーカードの発行を任意としながら、それを全国民に発行するための手段として、全国民の加入が義務付けられている健康保険のための従来の健康保険証を廃止して、マイナンバーカードを健康保険証にするというのもおかしな話しです。

    最終的にどう落ち着くのかが、まだ見えていません。「まだ」と言うのは、いったんは従来の健康保険証廃止で決定しましたが、ここにきて廃止の反対意見が出ているので、変わる余地があるのかなと思っています。
    しかし、「身分証明書としてのマイナンバーカード」でも書いたとおり、はりぼて式からの脱却をすべきなのではないかと思っています。

    ]]>     マイナンバー yoshihiro 2023-07-20T08:00:00+09:00     国際規格ISO/IEC 27701プライバシー情報マネジメントシステムのJIS化 https://yoshihiro.cocolog-nifty.com/postit/2023/03/post-a76c86.html プライバシー対策に関わる国際規格であるISO/IEC 27701が、JIS化... <![CDATA[

    1635471iso27701

    プライバシー対策に関わる国際規格であるISO/IEC 27701が、JIS化されて発行されますので紹介します。

    日本語対訳書が2020年3月に出版されていましたが、このたび、JIS規格として国内規格になることになりました。

    草稿はできあがり最終的な出版の準備が進められています。(2023年3月現在)

    ]]><![CDATA[

    ISO/IEC 27701とは

    ISO/IEC 27701は、ISMS(情報セキュリティマネジメントシステム)の要求事項を規定したISO/IEC 27001及びISMSを実施するための規範をまとめたISO/IEC 27002に、プライバシー対策に関する要求事項及び規範を拡張することにより、組織によるPIMS(プライバシー情報マネジメントシステム)の構築を支援することを目的とした国際規格です。

    27701の開発経緯は、ブログ「ISO/IEC 27701「プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張」の解説」で紹介しています。

    27701と国内規格や個人情報保護法との違いなどは、ブログ「国際規格ISO/IEC 27701プライバシー情報マネジメントシステムと国内規格や個人情報保護法との違い」で紹介しています。

    国際規格の27701は、ISO/IEC 27002規格が構成変更になったことを反映するための改訂を終えて、出版の最終準備段階にあります。(2023年3月現在)

    そのため、JIS 27701が出版されるときには、国際規格の27701が改訂されていることになりますが、国際規格の改訂は現状の考え方や内容が大きく変わるものではなく、27002の構成変更に対応するための改訂なので実質的な問題はないと言えます。

    ISO/IEC 27701の対訳書の課題

    話しをJIS 27701に戻すと、もともと対訳書がある国際規格がJIS化される場合には、基本的には対訳書を大きく変えることはありません。

    しかし、国際規格の27701は、通常の単語の使われ方とは異なる定義語がいくつかあります。定義した単語なので、定義語だと割り切って、その単語の元の意味にこだわらずに読めばよいのですが、誤解しやすい規格文になっています。

    それらを概ね直訳した対訳書をそのままJIS規格にすると、日本語でも同様に、誤解しやすい規格文になってしまいます。

    ISO/IEC 27701のJIS化での用語の見直し

    そこで、今回のJIS 27701では、定義されている内容に見合うように定義語を書き換えました。

    たとえば、国際規格の「customer」を対訳書では「顧客」と訳してありますが、JIS規格では「取引先」と訳すことに変えました。
    この単語の訳だけを見ると、「customer」の訳が「取引先」って日本語訳がおかしいと思うかもしれませんが、国際規格での「customer」の定義内容を読むと、それが必ずしも「顧客」だけの意味ではないことがわかります。

    たとえば、「customer」の定義の中に委託先が含まれています。
    規格として委託先を含むと定義しているので、委託先を「顧客」と呼ぶことは規格として間違えではありません。
    しかし、規格文を読むときに頭の中で、「顧客には委託先も含まれている」 と言い聞かせながら読まなければならなくなります。

    そこで、JIS規格では「取引先」と訳しました。顧客のことを「取引先」と呼ぶことに違和感があるかもしれませんが、委託先を「顧客」と呼ぶことの違和感よりは、比べればましなのではないかということで、そのようにしました。

    他にもあります。対訳書では「partner」を「取引相手」と訳していますが、JIS規格では「相手方」としました。
    規格では、取引のある相手のことだけではなく、遵守事項を守らせる契約をしただけの相手のことも「partner」としています
    取引があれば「取引相手」で違和感はないのですが、単に守秘義務の誓約書を交わすだけの対象を「取引相手」と呼ぶよりは、単に「相手方」と呼ぶ方が、取引の有無とは関係ないということについて読みやすくなるために書き換えました。

    これらは、私が27701規格の対訳書を理解するためのコンサルティングで、「規格文に書いてある顧客を取引先のこと、取引相手を単に相手方と読み替えるとわかりやすくなりますよ。」と説明していたものが採用されました。後から思ったのは、コンサルティングのネタの1つがなくなってしまうので、ちょっと惜しいことをしたかなと後悔していたりもします。(笑)

    コンサルティングで説明していることには、他にもあります。 

    この規格では、いわゆる個人情報のことをPII(Personally identifiable information)と呼びますが、これに付随した用語で難解とされているものに、PII管理者とPII処理者があります。

    用語だけからすると、PIIを管理する人がPII管理者で、PIIを処理する人がPII処理者と思ってしまいそうですが、そうではありません。

    定義では、PII管理者はPIIの利用目的を決定する人で、PII処理者はPII管理者の指示に従ってPIIを処理する人となっています。そのため、PII管理者とPII処理者は、両者ともそれぞれの役割にそってPIIを管理し処理もします。

    これらの用語を単語の意味合いからの誤解を避けて直感的に読めるようにするには、たとえば、PII利用目的決定者と、PII委託処理者などとすれば、管理と処理という単語にまどわされずに、わかりやすくなるかもしれません。

    しかし、PII管理者とPII処理者という用語は、既に出版されているJIS X 9250(ISO/IEC 29100)で定義されているものなので、JIS 277071でも変えずに直訳したままにしました。(決して、コンサルティングのネタが惜しくなって、わかりにくいまま残したのではありません。笑)

     

    以上のような背景で、JIS 27701規格の用語のいくつかを、あえて英単語とは異なる日本語にしましたので、規格を読むときの参考にしてください。

    ]]>     個人情報保護 情報セキュリティ プライバシー yoshihiro 2023-03-20T10:44:27+09:00     米国データプライバシー及び保護法の討議草案 https://yoshihiro.cocolog-nifty.com/postit/2022/07/post-1250ca.html 米国データプライバシー及び保護法の討議草案が2022年6月3日に公表されました... <![CDATA[

    275751_m_20220721125101

    米国データプライバシー及び保護法の討議草案が2022年6月3日に公表されました。

    HOUSE AND SENATE LEADERS RELEASE BIPARTISAN DISCUSSION DRAFT OF COMPREHENSIVE DATA PRIVACY BILL
    上記のページに草案について法条文と各章解説文が公開されています。

    米国における同法の最初の草案が出されたのは2010年なので、かれこれ12年は出ては消え、出ては消えしている法案です。
    第1案については、我輩は連邦プライバシー法である。まだ名は無い・・・
    第2案については、米国連邦プライバシー法-第2案

    の各記事で紹介してあります。

    その後しばらく間が開いて、今回のものは通算で第4案となります。

    この第4案については、上記法案の修正案(AMENDMENT IN THE NATURE OF A SUBSTITUTE TO H.R. 8152)が2022年7月20日の下院エネルギー・商業委員会にて、賛成53対反対2で賛成され、下院本会議での審議に進めることが決まりました。
    法案が下院本会議で採決がはかられることになるところまで進んだのは第4案が初めてのことになります。

    いまの時期に検討されているのは、2023年1月に施行されるCPRA(California Privacy Rights Act)の施行が関係していると思います。CPRAはGDPRより厳しい事項も含む規制となっており、ご興味あれば、こちらから記事を参照できます。

    Enjn4vqvoamxvzj
    事業者にとっては、カリフォルニア州の市民だけを区別して事業をするのは現実的ではなく、州法が乱立するよりは、むしろ連邦法による規制の方が対応しやすいと考える事業者も多くいることになります。

    ]]><![CDATA[

    では、本題の今回公開された草案の話しに戻ります。

    草案の法条文と各章解説文について邦訳をしておきました。
    米国データプライバシー及び保護法案(2022年版)邦訳

    どちらも、DeepLによる機械翻訳をもとにしていますが、各章解説文については査読して手直ししてあります。法条文については、対象データの定義文などのごく一部だけ手直ししてありますが、ほとんどの部分は機械翻訳のままです。
    ここでは邦訳した内容をもとに紹介したいと思います。

    まず、法案名ですが、American data privacy and protection actなので、データプライバシー及び保護法となります。プライバシーの保護ではなく、プライバシー及び保護となっているので、意味としては、データプライバシー及びデータ保護に関する法律ということになります。
    データ保護は日本法における安全管理措置に相当します。そのデータ保護をデータプライバシーの一部とするのではなく、法律名に列挙していることになります。

    法律名にはデータとありますが、本法で対象とするデータは、対象データ(Covered data)として定義されています。

    まずは、討議草案を紹介し、その後に下院委員会での修正案を紹介します。


    「対象データ」という用語は、個人または一人以上の個人を識別する、リンクされる、もしくは合理的にリンク可能なデバイスを、識別する、リンクされる、または合理的にリンク可能な情報を意味し、派生データおよび固有の識別子を含む。ただし、以下を含まない。非識別加工されたデータ、従業員データ、または公開されている情報。

    原文
    (A) IN GENERAL.—
    The term "covered data" means information that identifies or is linked or reasonably linkable to an individual or a device that identifies or is linked or reasonably linkable to 1 or more individuals, including derived data and unique identifiers.
    (B) EXCLUSIONS.—
    The term “covered data” does not include—
    (i) de-identified data;
    (ii) employee data; or
    (iii) publicly available information.

    前段の部分の包含関係がわかりにくいので「」を付けてくくってみます。


    「対象データ」という用語は、「個人」または「一人以上の個人を識別する、リンクされる、もしくは合理的にリンク可能なデバイス」を、識別する、リンクされる、または合理的にリンク可能な情報を意味し、派生データおよび固有の識別子を含む。

    となります。“識別する、リンクされる、または合理的にリンク可能な”を“識別等する”として置き換えて、列記した形式に言い換えると、以下のようにまとめることができます。


    「対象データ」という用語は、
    (1)個人を識別等する情報、または、(2)一人以上の個人を識別等するデバイスを識別等する情報
    を意味し、派生データおよび固有の識別子を含む。

    これが、以下のとおり下院委員会で修正されました。


    「対象データ」という用語は、単独又は他の情報と組み合わせて、個人または個人を識別する、個人にリンクされる、もしくは合理的にリンク可能なデバイスを、識別する、リンクされる、または合理的にリンク可能な情報をいい、派生データおよび固有の持続的識別子を含み得る。ただし、以下を含まない。非識別加工されたデータ、従業員データ、公開されている情報、または複数の、独立しており、個人に関するセンシティブな対象データを明らかにしない、公開されている情報源だけから作成された推察。

    原文
    (8) COVERED DATA.—
    (A) IN GENERAL.—
    The term "covered data" means information that identifies or is linked or reasonably linkable, alone or in combination with other information, to an individual or a device that identifies or is linked or reasonably linkable to an individual, and may include derived data and unique persistent identifiers.
    (B) EXCLUSIONS.—
    The term "covered data" does not include—
    (i) de-identified data;
    (ii) employee data;
    (iii) publicly available information; or
    (iv) inferences made exclusively from multiple independent sources of publicly available information that do not reveal sensitive covered data with respect to an individual.

    討議草案と同様の手順で以下のようにまとめることができます。討議草案からの修正箇所を赤色文字で示します。

    「対象データ」という用語は、単独又は他の情報と組み合わせて、
    (1)個人を識別等する情報、または、(2)一人以上の個人を識別等するデバイスを識別等する情報
    を意味し、派生データおよび固有の持続的識別子を含み得る

    対象データの除外事項として、従業員データがあります。
    これも法案で定義がされていますが、端的に言うと、事業者が雇用のために必要最小限なことを除外してあります。これによって、ほとんどの事業者は、従業員のデータについて個別に利用目的などを作文する必要がなくなります。逆に言うと、雇用のための最小限ではない利用をする事業者だけが、それを対象データとして取り扱う必要があり、従業者にとっては、そのような利用の存在があった場合に認識しやすくなります。

    対象データの除外事項については、討議草案に対して修正案で以下のものが追加されています。

    複数の、独立しており、個人に関するセンシティブな対象データを明らかにしない、公開されている情報源だけから作成された推察

    法案で特徴的な概念としては、「affirmative express consent」があります。機械翻訳では、「積極的な明示的同意」と訳されましたが、各章解説文の邦訳では、あえて「アファーマティブ・エクスプレス・コンセント」とカタカナにして目立たせておきました。

    expressは従来でいうexplicitに相当しており、明示的な同意を求めるものです。いわゆる、デフォルト・オンの禁止=デフォルトでは同意をオフにしておきなさいというものです。これは、同意したつもりがないのに同意したとみなされることがあってはならないということです。とはいえ、デフォルトがオフ(不同意)であっても、書いてあることを読まずに本人がオン(同意)を選択してしまうことは、従来から起こりえます。そのため本当に同意していたのかを形式的に判断することには限界がありました。

    一方で、内容をちゃんと確認した上で、不本意ではあるけれど同意するしかないという課題があります。
    たとえば、何かのサービスを利用するにあたって、個人情報の利用目的に対して納得はいかないけれど、そのサービスを利用するには、同意するしかないから、同意の選択をせざるを得ないという場合です。この問題は、明示的同意では解決されません。
    それに対処するためのものが、affirmative(積極的な)同意というものです。端的に言うと、不同意を選択できる状況での同意を求めるものです。
    先の例でいれば、同意しないのならサービスを利用できないとした状況で得る同意はaffirmative同意を得たことにならないことになります。なんらかの利用目的に不同意をしてもサービスが利用できるようになっていれば、affirmative同意を得たことになります。

    アファーマティブ・エクスプレス・コンセントは従来よりも厳しい条件となりますが、法案において、すべての同意についてそれを求めてはおらず、重要な同意が必要なときに限っての条件としています。
    しかし、この同意条件が明文化されたことにより、重要でない同意ならばアファーマティブではなくてもよいのか?とう議論が始まるかもしれません。なぜなら、アファーマティブではないということは、不本意な同意ということですから、それはそもそも同意なのか?という議論になるかもしれません。

    明示的な同意については、それが明示的なものかを外形的に判断できるのに対して、アファーマティブについては、同意内容の書き方によって抜け道はありそうです。これについては、本法がFTC法(連邦取引委員会法)に建てつけられることから、書き方でごまかそうとした場合には、従来からあるFTC法第5条における欺瞞的行為として罰することで抑止するのだと思います。

    いずれにしても、今回の法案が4度目の正直で制定されるのかどうかに注目したいと思います。

     

    ]]>     個人情報保護 プライバシー yoshihiro 2022-07-21T12:06:28+09:00     米国データプライバシー及び保護法案(2022年版)邦訳 https://yoshihiro.cocolog-nifty.com/postit/2022/06/post-efabe6.html 米国データプライバシー保護法討議草案の邦訳を掲載しています。 <![CDATA[

    米国データプライバシー保護法の討議草案が公表されましたね。
    HOUSE AND SENATE LEADERS RELEASE BIPARTISAN DISCUSSION DRAFT OF COMPREHENSIVE DATA PRIVACY BILL

    とりあえず、日本語に翻訳しておきましたので、Googleドライブからダウンロードしてお使いください。

    実際には、American data privacy and protection actなので、「データプライバシー及び保護」ではなく、日本語としては「データプライバシー及びデータ保護」ですが、長くなるので米国データプライバシー及び保護法としてあります。

    翻訳に修正が必要な箇所があれば随時更新しますので、こちらのコメントに書いていただけると幸いです。

    2022年7月22日追記:
    本法案の修正案(AMENDMENT IN THE NATURE OF A SUBSTITUTE TO H.R. 8152)が、7月20日の下院エネルギー・商業委員会にて、賛成53対反対2で賛成され、下院本会議での審議に進めることが決まりました。

    ]]>     個人情報保護 プライバシー yoshihiro 2022-06-08T11:01:20+09:00     チャタムハウスルールの違和感 https://yoshihiro.cocolog-nifty.com/postit/2021/06/post-65f86e.html このツイートの件で、チャタムハウスルールを知らんのか?ってコメントが多い... <![CDATA[




    このツイートの件で、チャタムハウスルールを知らんのか?ってコメントが多いのだけど、その人って、この厚労省会議での事前確認内容とチャタムハウスルールの両方をちゃんと見比べたのかというかんじ。

    ]]><![CDATA[




    この会議での「傍聴される皆様への留意事項」は、
    1.指定した場所以外の場所に立ち入らないこと。
    2.カメラ等による撮影を行わないこと。
    3.録音をしないこと。
    4.発言者の特定を行わないこと。
    5.静粛を旨とし、喧噪にわたる行為をしないこと。
    6.当日は手洗い、咳エチケット、マスク着用等の一般感染対策を講じること。
    7.その他、事務局職員の指示に従うこと。
    というもの。

    "When a meeting, or part thereof, is held under the Chatham House Rule, participants are free to use the information received, but neither the identity nor the affiliation of the speaker(s), nor that of any other participant, may be revealed."
    というもので、DeepLで和訳すると、
    "チャタムハウス・ルールに基づいて会議またはその一部が開催された場合、参加者は受け取った情報を自由に利用することができますが、発言者や他の参加者の身元や所属を明らかにすることはできません。"
    というもの。

    おそらく、「傍聴される皆様への留意事項」の
    4.発言者の特定を行わないこと。
    が、チャタムハウスルールだと勝手に結び付けたんだと思うけど、チャタムハウスルールは、「身元や所属を明らかにすることはできません。」というものであって、「身元や所属を特定してはいけません。」ではない。

    ここで取り上げられている会議の場合には、会議の構成員リストが公開されており、おそらく席上には名札があったと思うが、その状態で、「発言者の特定を行わないこと。」は現実的ではない。
    まさに「発言者の特定禁止」は「謎ルール」だ。
    おそらく、
    4.発言者を特定して発言内容を公開しないこと。
    というのが求めたかったことであり、日本語としては正しい。
    それならば、「発言者を特定した公開禁止」となり、謎ではなくなり、チャタムハウスルールにも通じるものになる。

    そういう意味では、チャタムハウスルールも回りくどい。
    neither the identity nor the affiliation of the speaker(s), nor that of any other participant, may be revealed.
    となっているが、revealeは、伏せてあるものを暴露するという意味合いの用語。
    会議上では、伏せられていないのだから、秘密を暴露しないことと書くより、外部に開示しないという意味で、discloseや    publishなどの方がわかりやすい気がする。
    revealeを使うことで、身元や所属を秘密として扱うべきことを認識させられていたことについて言い逃れの余地を与えないようにした、いかにもイギリス人ぽい表現。でも、それではルールが再帰的になっている感もあり、厳密ではあるがわかりにくい。
    さらに言うと、「発言者や他の参加者の身元や所属を明らかにすることはできません」とあるが、チャタムハウスの会議で出席者名を公開する場合もあり、実際には、誰が何を発言したのかを結びつけてはいけないということなのだから、これも間違ってはいないがわかりにくい。

    ということで、ぼくがチャタムハウスルールの改正案を書くならば(笑)・・・
    "When a meeting, or part thereof, is held under the Chatham House Rule, participants are free to use the information received, but neither the identity nor the affiliation of the speaker(s) who provided the information, nor that of any other participant, may be disclosed or published."
    "チャタムハウス・ルールに基づいて会議(またはその一部)が開催された場合、参加者は受け取った情報を自由に使用することができますが、情報を提供した発言者や他の参加者の身元や所属を開示または公表することはできません。"
    とするかな。


    記者が勝手に発言者を公開したことは、不適切ではあるけれど、「チャタムハウスルールを知らんのか?」っていう意見には、会議の傍聴条件にはチャタムハウスルールを適用するとは書いてないし、それらの内容は異なるのだから、記者は「知らん」と答えればよく、知っていても「知ってるけど、それと何の関係があるのか?」と開き直ればよい気がする。
    ]]>     日記・コラム・つぶやき yoshihiro 2021-06-20T10:19:51+09:00     新型コロナワクチン接種と急死の因果関係が肯定できるものはない。というより、因果関係が認められないと断定できるものはない。とすべき https://yoshihiro.cocolog-nifty.com/postit/2021/05/post-0897e4.html まず、結論からすると新型コロナワクチンは接種すべきという立場だけど・・・ 新型コ... <![CDATA[

    まず、結論からすると新型コロナワクチンは接種すべきという立場だけど・・・

    新型コロナワクチン接種後に死亡して厚労省の専門家評価対象になった事例が4月30日に19人だったところ
    参考記事:ワクチン接種後19人死亡の衝撃 基礎疾患のない26歳看護師も

    5月12日に28人になった。
    参考記事:副反応、100万回当たり28件 新型コロナワクチン―厚労省

    ]]><![CDATA[

    統計数のように扱ってしまうと、数字の問題のように思えてしまうが、一番若い26歳看護師の詳細の記事を読むと、人命のこととして切なくなる。
    参考記事:コロナワクチン接種の4日後に急死した26才女性 因果関係はあったのか

    この人の具体的な内容は、厚労省の報告書の事例2で評価されている。
    参考資料:新型コロナワクチン接種後の死亡として報告された事例の概要

    「ワクチン接種と急死との因果関係が否定できないものはない」という説明や報道がされているわけだけれど、厚労省報告書を見てもわかるとおり、評価結果は、「因果関係が否定できないもの」と「因果関係が認められないもの」の2択ではない。
    すなわち、「因果関係が否定できないものがない」=「因果関係が肯定できるものがない」という事例が、「因果関係が認められない」にはなっていない。
    実際には3択目として、「情報不足等により因果関係が評価できないもの」があり、全件がこれになっている。
    評価結果の報告書なのに、全件が「評価できない」という評価結果になっている。
    それなのに、「因果関係が否定できないものはこれまでない」という説明に使われている。

    ただし、因果関係が評価できていないのは、行政が何か恣意的にしているわけではなく、死亡者遺族が解剖検査を拒むことによるようなので、どこかに悪意や隠蔽の意図があるわけではないと思われる。

    しかし、そもそも、従来のインフルエンザワクチンでは、4159万人の接種で1人の死亡については、「ワクチン接種との因果関係が否定できない」とされており、死亡までしないにしても、後に回復する重篤化については、10万人に1人くらいとされている。
    それなのに、新型コロナワクチンだけがゼロのわけがないと考えるのが合理的だと思う。
    参考記事:【新型インフルワクチンの副反応】死亡例133件も、接種との関連認められず

    このあたり、日本の危機管理の本質的な課題のように思う。
    リスクとは存在していて、それをある程度許容し、リスクを残存させるという選択が基本的な考え方とされている。
    選択のひとつには、リスクの回避というものがあるが、それは、本来やろうとしていることをしないという選択。
    新型コロナワクチン接種の場合で言えば、接種しないというのがリスク回避になる。
    リスクを回避しないのであれば、すなわち、接種するのであれば、ある程度のリスクを残存させたことにしかならない。

    原発の安全神話でも同じだったが、日本では、リスクはないということにして、物事を進めてしまうことが多いと思う。

    リスクがあることは正直に説明した上で、全体利益のために、リスクを許容する選択をしてほしいと説明しなければ、どんどんと信頼を失ってしまうのではないかなと心配になる。

    ワクチン接種と急死との因果関係が否定できないものはない。というのではなく、因果関係が認められない(と断定できる)ものは(今のところ)ない。というのが、残存リスクを正しく伝えるために必要な表現だと思う。

    それを踏まえた上で、社会全体のためには、ワクチン接種はするべき(してほしい)という考え方を示さないと、原発災害と同じで、リスクはないという建前が足かせとなって、逆にリスクを軽減するための対策が疎かになったり後手に回ったりしてしまうのではないかと思う。

     

    ]]>     リスクマネジメント yoshihiro 2021-05-18T09:35:35+09:00     国際規格ISO/IEC 27701プライバシー情報マネジメントシステムと国内規格や個人情報保護法との違い https://yoshihiro.cocolog-nifty.com/postit/2021/05/post-a31a39.html    プライバシー対策に関わる国際規格としてISO/IEC 27701が、2... <![CDATA[

    1635338iso27701  

     プライバシー対策に関わる国際規格としてISO/IEC 27701が、2019年8月に国際標準として発行されました。この規格について紹介します。

    ]]><![CDATA[

    ISO/IEC 27701とは

     これは、ISMS(情報セキュリティマネジメントシステム)の要求事項を規定したISO/IEC 27001及びISMSを実施するための規範をまとめたISO/IEC 27002に、プライバシー対策に関する要求事項及び規範を拡張することにより、組織によるPIMS(プライバシー情報マネジメントシステム)の構築を支援することを目的とした国際規格です。27701は、日本工業規格化はされていませんが、日本語対訳書が2020年3月に出版されています。

     27701は、PIMSを構築するためのものですが、独立したマネジメントシステムではなく、ISMSによるマネジメントシステムの拡張として規定されています。

     また、27701を基にしてISMSの審査及び認証を行う機関に対する要求事項の開発が2019年12月に開始され、2021年2月にISO/IEC 27006(情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項)のPart 2(PIMS)が技術標準として発行され、現在対訳書が準備中です。27006-2については、さらに内容を充実させるための国際標準化の審議が継続されています。

     国内では、27701を基にしたISMS-PIMS認証が2020年12月から開始されており、既に認証を取得した組織もあります。

    27701と15001の位置付け

     日本では、個人情報保護マネジメントシステムとしての日本工業規格として、JIS Q 15001が1999年に発行されています。こちらは、27701とは異なり、独立したマネジメントシステムとして規定されています。15001を基にした個人情報保護マネジメントシステムの認証としては、JIPDEC(一般財団法人日本情報経済社会推進協会)によるプライバシーマーク制度や、JAPiCO(一般社団法人日本個人情報管理協会)によるJAPiCOマーク制度などが普及しています。

     27701と15001は、将来どちらか1つに統合されるものではなく、異なる2つのマネジメントシステムを構築するためにそれぞれ利用することができるものです。

     15001の最新の改正は2017年に改正されましたが、この改正により、マネジメントシステムの要求事項は、ISMSの27001とほとんど同じになりました。異なるのは、管理目的と管理策の包括的なリストである附属書の内容と、それらを実施するための規範の内容になります。

     27701の管理目的、管理策及び規範は、国際標準であるISO/IEC 29100(プライバシーフレームワーク)に基づいています。29100は、対応する日本工業規格が2017年にJIS X 9250として発行されています。

     15001の管理目的、管理策及び規範は、日本の個人情報保護法に基づいており、それに利用目的の事前同意取得(オプトイン)を求めるなどの要求事項を追加した内容になっています。

     国際標準と国内法の違い

     国際標準が国内法と異なる点はいくつかありますが、その一つは、保護の考え方です。国内法では、その名のとおり個人情報を保護しようとします。たとえば、電話番号については、どういう状況なら電話番号が個人情報になるのかを考え、それに該当するなら保護します。他方、欧米では、電話番号は疑いなく個人情報とした上で、個人情報の利用を保護しようとします。たとえば、夜間に電話できる時間帯を制限したり、職場に個人の投資信託のセールス電話をかけたりすることは、プライバシーを侵害することとして保護します。しかし、職場の電話番号に職場で必要な事務用品のセールス電話をかけることはプライバシーの侵害としません。つまり、電話番号が何かではなく、電話番号を使って何をするかに制限をかけようとします。 これについて詳しくは、以下のコラムで紹介しています。

     プライバシー対策を個人情報保護対策と訳して考えてしまうと、それらに違いがあることにとまどうかもしれませんが、上記の前者を個人情報保護対策、後者をプライバシー対策と区別して考えれば、わかりやすくなると思います。実際にも、個人情報保護を英訳すれば、protection of personal informationあるいはpersonal information protectionであり、privacy protectionではありません。そのため、プライバシーを保護するという表現はあまりされず、プライバシーの尊重(respect for privacy)という表現をします。プライバシーを尊重するために、個人情報を保護するという建付けを欧米ではしており、国際標準はその考え方に基づいています。

     国際標準と国内法の異なる点としては、PII管理者とPII処理者を区別することもあります。(PII:Personally Identifiable Information)これについては、以下のコラムで紹介しています。

     その他にも、異なる点がありますが、27701の規格文書の構成については、解説動画としてまとめてあります。

     規格の開発経緯は、以下の記事で紹介しています。

     27701と15001の使い分け

     以上のように、組織が構築するマネジメントシステムで国際標準に合わせたいなら27701を、国内法に合わせたいなら15001を利用するという使い分けをすることができます。

    ]]>     個人情報保護 情報セキュリティ プライバシー yoshihiro 2021-05-07T08:45:08+09:00     PIA(プライバシー影響評価)という名のエゴ https://yoshihiro.cocolog-nifty.com/postit/2021/02/post-181b0d.html 個人情報保護の関連用語にPIAというものがある。Privacy Impact ... <![CDATA[

    246331pia

    個人情報保護の関連用語にPIAというものがある。Privacy Impact Assessmentの略で、直訳するとプライバシー影響評価となる。

    ]]><![CDATA[

    PIAについて意見を述べる前に、より身近な環境影響評価というのをまず紹介する。

    街の中で大きな施設を建築するときなどに、環境影響評価をすることがある。
    たとえば、工事中の騒音が近隣の生活に悪影響を与えないかとか、地面を大きく採掘して地下に構造物を作ることが地下水脈に悪影響を与えないかといったことを調査することで、環境への悪影響がないことを事前に評価して、環境を保護しようとするのである。
    それによって、環境破壊が未然に防がれることになる。

    そのように保護対象への影響を事前に評価することで、未然に保護違反を防ぐことは意義がある。
    事前評価であることから、予測が前提の手法であり、事後の計測とは無関係という印象があるかもしれない。
    しかし、過去の類似事例の計測結果と、それが与えた影響という先例を参考にすることで、影響を予測することができるのであるから、どのような計測を想定するかは予測には欠かせないことだ。

    そのため、環境影響評価においては、たとえば騒音であれば音量を計測することができ、水脈への影響も水流量を計測することができる。
    それによって過去の事例で計測された定量値とそれが与えた影響に基づいて、今回予想される定量値が害のある悪影響をもたらすのか、許容できる範囲内の影響にとどまるのかを評価することができる。

    PIAは、環境影響評価が環境保護を目的とする手段であるのに対して、プライバシー保護を目的としているものと考えることができる。
    実際には、個人情報を取り扱う仕組みやシステムを構築する際に、それがプライバシーに与える影響を評価するということになろう。

    このとき、PIAが保護するプライバシーについて、何を計測すれば、それがプライバシーへの影響を予測できるのだろうか。
    そもそもプライバシーとは何か?というお題はあるが、ここではその議論は避けて、ここでは、個人が邪魔をされないことでプライバシーが保護されるという範囲にする。
    英語では、Leave me aloneと言われるが、それがプラバシーであるということではなく、本稿ではその範囲でPIAを考えることにするということである。

    そうすると、個人が邪魔をされない程度の影響にとどまっているかの評価がPIAということになる。
    それができれば、環境破壊を未然に防ぐことができるのと同様に、個人が邪魔をされなくなるはずである。

    しかし、個人が邪魔をされたかは、個人それぞれの主観によるところが大きい。
    たとえば、企業が商品紹介の広告を電子メールで送る際に、メール受信者がどの程度の頻度なら許せて、どの頻度なら邪魔だと思うかは、人それぞれである。
    環境保護の場合の騒音も実は同じはずだが、そちらは、測定値に対して、どれ以上の音量であれば悪影響のある騒音とするかの基準値が定められている。
    本来は、その基準値を許容できる人もいれば、むしろ、基準値をもっと下げるべきだと思っている人もいるかもしれないが、ある意味勝手に定められている。
    これに相当することを、広告メールの送信頻度が個人を邪魔する影響の予測に適用することは適当なのだろうか?
    そうではなく、本人が邪魔だと思うのがどの程度かを、本人に選択してもらうという、選択肢を提供する方が適当なのではないだろうか。
    そのような機能の有無を評価するだけなら、影響の評価などという回りくどい言い方をする必要はない。

    PIAから得られる語感は、「あなたのプライバシーに与える影響を評価して対策してます。」という印象だ。

    しかし、まさかとは思うが、PIAが、本人のプライバシーに与える影響の評価ではなく、誰かのプライバシーを侵害した場合に自社が受ける損害に関する影響の評価になっていたりはしないだろうか。
    それでは、実際には自分への影響を評価しているエゴを、あたかも、よそ様への影響を評価してあげているふりをしているだけということになる。
    PIAの影響を自社の損害金額に換算しようとしていれば、エゴ型PIAそのものだ。

    今年から始まるマイナンバー制度では、PIAに相当していたはずのことを、個人情報保護評価と称した。
    個人情報保護評価には、プライバシーという用語も、影響という用語もない。
    したがって、個人情報保護評価がPIAに相当しているという文脈には、違和感がある。
    PIAはやめて、個人情報保護評価にしたということであれば、違和感はない。

    そのように、自社が受ける悪影響を回避するための取り組みを実施することや、その実施内容に異議はない。
    それによって、間接的によそ様への悪影響の軽減にも役立つだろうから、実施した方がよいだろう。
    しかし、その取り組みを、あたかも、よそ様への影響を直接評価しているかのように呼ぶことには違和感がある。

    さて、それでもなお、PIAを実施するという人には問いたい。
    保護するプライバシーとは何か?
    その影響は誰にとっての何の影響なのか?
    影響を予測するために想定する測定は何なのか?と。

    それに答えることもできず、特に誰にとっての影響かをあいまいにしたままで、実際にはプライバシーを侵害した場合に自社が受ける影響の評価をPIAと呼んでいるならば・・・
    それは、PIAという名のエゴでしかない。

     

    (この記事は、IDFコラムとして2015年1月26日に寄稿した記事を再掲したものです。)

     

    ]]>     個人情報保護 企業 マイナンバー yoshihiro 2021-02-02T09:18:33+09:00     身分証明書としてのマイナンバーカード https://yoshihiro.cocolog-nifty.com/postit/2020/12/post-e92d7b.html マイナンバーカードを身分証として普及させるための課題 <![CDATA[

    1

    マイナンバーカードが来年から健康保険証として使われることが決まり、さらに運転免許証にも使われる方向で検討されていることが報道された。

    そのようになれば、マイナンバーカードが身分証として使われ始めることになる。
    本来は、いまでもマインバーカードは身分証として使うことができる。

    しかし、マイナンバーカードが身分証として定着していないのが実情である。
    いろいろな原因が考えられるが、ここでは2つの課題を考えてみる。

    ]]><![CDATA[

    2

    もっとも大きな問題は、カードの裏面に記載されたマイナンバーを秘密として取り扱う必要があることだ。

    政府は、表面だけを確認することで、身分証として使えるとしている。

    しかし、身分確認をする担当者が、万が一にも裏面について不適切な取り扱いをした場合には、問題となる。

    情報の管理を適切にリスクマネジメントしている組織であれば、身分確認をする業務において、マイナンバーカードを身分証に加えることにはリスクがあることが明確だ。リスクマネジメントとは、認識したリスクを、軽減するか分散するか移転するか回避するか受容するかを決めて対処することだ。

    ここで認識されるべきリスクは、本来は、身分確認作業に不要な、裏面記載のマイナンバーが、不適切に取り扱われてしまうというリスクだ。

    担当者に裏面にあるマイナンバーを見ないようにすることを徹底するなどで、リスクを軽減することができるが、そのリスクを残存することになる。しかし、身分証としてマイナンバーカードを取り扱わないとすることで、このリスクを回避することができる。

    実際にも、一部の公立図書館などが、利用開始時の身分確認に、マイナンバーカードを身分証として受け付けないことにしているのは、このためだ。

    マイナンバーカードを身分証として受け付けなければ、マイナンバーを不適切に取り扱うというリスを回避することができる。

    身分証としては、マイナンバーカード以外のものを用いることで足りる。マイナンバーカードを身分証として使いたかったという利用者からは不満が出るが、従来からあった方法でよいだけのことなので、大きな混乱にもなっていないのが現状だ。

     

    この問題を見直すには、マイナンバーを特段の秘密として取り扱うという制約を緩和するしかない。

    この事例は、マイナンバーを取り扱う業務ではないので、マイナンバーの制約と関係ないと考えるのは愚かだ。実務上は、マイナンバーカードを取り扱うことは、マイナンバーを取り扱うことになる。この場合のマイナンバーの取り扱いとは、「見ないものとして取り扱う」ということだ。

    そもそも、マイナンバーは秘密として取り扱わなくてもよいように、マイナンバー情報連携システムが設計され運用されているので、他の個人情報と同程度に取り扱えばよいだけのものであり、特段の秘密とすることは過剰な規制である。その結果、個人情報を直接取り扱うような情報管理がなされている現場においてさえ、上記のような実務上の問題を生じてしまうのである。

     

    実は、この問題は、健康保険証としてマイナンバーカードを利用する検討においても問題視された。検討の結果、マイナンバーカードの読み取りを本人が行なうという窓口業務にすることを条件に。医療機関はマイナンバーカードを取り扱わずに受付をするということで取り扱いを合意した。

     

    余談になるが、健康保険証については、来年春からマイナンバーカードでの利用が始まるが、この読み取り機の設置などに準備が必要ということで猶予期間を2年間設けた結果、実は、従来の健康保険証も発行される。これだと、医療機関での受付業務では、健康保険証が2種類あって業務は同じということではなく、直接保険証を確認する業務と、本人が読み取り機にかざして確認する業務が混在することになるため、業務を煩雑にしない医療機関は、読み取り機を猶予期間のぎりぎりまで導入しないことも考えられる。まさに、一部の公立図書館がマイナンバーカードを受け付けないのと、理由は異なるが同じような状況になるかもしれない。利用者にとっても、通常は、診療カードと保険証を一緒に保管しており、それらをまとめて医療機関に持って行けばよいので、保険証としては、従来のものを持参してくださいと言われても不満が出ることすらないかもしれない。

     

    3

    2つ目の問題は、カードの表面に控えに使える番号列がないことである。

    この問題は受付業務という実務に起因するもので、認識すらされていないことがある。

    身分証を確認する場合には、そのID番号などを書き控えるという手順を経験することが多いだろう。

    これは何か問題があった場合に、書き控えた番号で、本人確認をするなどの目的に使われるためだろうと思っているかもしれないが、実は、その目的よりも重要な目的で行なわれている。

    身分証による身分確認をするという業務は、身分確認が少なからず重要な用途なはずである。先の例にように図書館が図書を貸し出すとか、レンタル店で物品を貸し出すなど、返却されなかったときに支障があるなどがわかりやすい例である。

    しかし、保険証や運転免許証、パスポートなどの番号で、本人を特定することは刑事事件として被害届を出して捜査してもらうなどしない限り、民間の事業者で、その番号を直接使えることはない。

    もちろん、そのような番号を控えることで、身分の詐称を抑止するという効果はあるが、実はこれが主たる理由ではない。

    何のために番号を控えるかというと、身分確認を怠っていないことを担保するためである。

    身分確認の業務で、「身分証を確認したか?」というチェック欄を設けて、そこにチェックを書き込むのと、身分証の番号を転記させるのとでは、後者の手順をすることで確認漏れを少なくできるのである。

    どういうことかというと、身分証の確認を忘れてしまったのに、チェック欄にはチェックを入れてしまうという過失はあり得るが、忘れてしまったのに、番号記入欄に、デタラメな番号を記入するのは過失としては起こりにくいからである。

    そのため、カードの表面に控えに使える番号列がないマイナンバーカードによる身分確認では、身分確認をしたことの記録は、「身分証を確認した」というチェック欄を設けることしかできなくなってしまうのである。

    これに代わる手順としては、提示された身分証のコピーを取るということが行なわれているが、その場合には、マイナンバーカードについては、先述の裏面記載のマイナンバー取り扱いのリスクが高まってしまう。

     

    身分証として何かを使うという場合に、それの実務を管理している人であれば、控えるべき番号をどれにするかをまず決めるのだが、マイナンバーカードにはそれに使えるものがないのである。

     

    この問題を見直すには、ひとつの方策としては、マイナンバーカードの表面に、控えに使える何らかの番号を記載することである。あるいは、表面に記載されている製造番号かセキュリティコードを控えに使うことを明示的に許可するかである。

    説明した目的からすると、この番号は必ずしも唯一無二である必要はない。極端に言えば、4桁くらいの乱数番号があるだけでもよい。しかし、券面に何か数字が記載されていれば、それが何かの区別をしているのではないかなどを邪推され不安視されることがあるかも知れない。実際にも製造番号が個人を特定できるのでないかと心配されていることがある。その観点でいえば、たとえば、マイナンバーの下2桁なり4桁だけを裏面ではなく表面に記載するということも考えられる。

    マイナンバーを裏面と表面に分散して記載することは、マイナンバーを秘密として保護することにも役立つかもしれないが、本来は、先に述べたように、マイナンバーを秘密として規制することがおかしいことに変わりはない。

     

    ここでは、マイナンバーカードを身分証として普及させるための課題について2つくらいの問題を紹介したが、普及の観点の他にも、プラスチックカード表面に金属端子があるカードの耐用年数は10年より短いという問題もある。実際にも、運転免許証やパスポートは金属接点のないものが使われている。

    以上のとおり、マイナンバーカードを身分証として定着させるには、いくつもの課題があり、それはマイナンバーの取扱いというソフト面のみならず、カードの券面デザインや構造といったハード面にも影響する。

    Photo_20201222113001

    現状は、マイナンバーカードの普及の手段としての身分証という印象を受けるが、身分証として使うことについては目的として再確認し、ソフト面とハード面両方の改善を検討してもよい時期だと思う。
    ハード面の変更については、マイナンバーカードの更新も視野に入れれば検討の余地はあるはずだ。

    マイナンバーカードを普及させる手段として身分証明書や健康保険証にするというのは、目的と手段が本末転倒してしまうのではないかという印象がある。
    本来は、身分確認の手段としてのマイナンバーカード、健康保険資格確認の手段としてのマイナンバーカードと考えた設計をするのがよいと思う。

    はりぼて式の見直し(retro-fit)ではなく、設計に立脚した見直し(design-centered)による改善がされることを期待している。

     

    ※この記事はデジタル・フォレンジック研究会第645号コラムとして寄稿したものです。

    ]]>     マイナンバー yoshihiro 2020-12-22T09:00:00+09:00