個人情報保護法

個人情報保護法
情報社会と情報倫理
第4回
前回と今回の話題の関係

OECD保護勧告(8原則)
⇕



個人情報保護法に定められている義務
法律の趣旨を理解する
何が問題になっているのか
OECD保護勧告(8原則)
1.
2.
3.
4.
5.
6.
7.
8.
収集制限の原則
データ内容の原則
目的明確化の原則
利用制限の原則
安全保護の原則
公開の原則
個人参加の原則
責任の原則
個人情報漏えい

みちのく銀行、131万件の顧客情報入りCD-ROM
を紛失
http://internet.watch.impress.co.jp/cda/news/2
005/04/22/7411.html
個人情報保護法に基づく是正勧告第1号
となった事件
(後述)
個人情報保護法





個人情報の保護に関する法律
2003年(平成15年)5月成立
2005年4月に(完全)施行
以降,大騒動
最近は落ち着いてきた?
情報処理技術者試験を受験しようと思っている
場合は,概要を把握しておくこと
制定の背景



“個人の情報”というものの価値
漏えい事件多発
 インターネット時代より以前からあった
住民基本台帳ネットワークシステム
日本の個人情報保護法制の体系イメージ

総務省のパンフレット
個人情報には価値があるので,活用しない
ともったいない。
目 的

ただし,注意して取り扱わなければならな
い。 この法律は、高度情報通信社会の進展に伴い個
第1条
人情報の利用が著しく拡大していることにかんがみ、個
人情報の適正な取扱いに関し、基本理念及び政府によ
“集めてはいけない”ということではない。
る基本方針の作成その他の個人情報の保護に関する施
策の基本となる事項を定め、国及び地方公共団体の責
務等を明らかにするとともに、個人情報を取り扱う事業者
の遵守すべき義務等を定めることにより、個人情報の有
用性に配慮しつつ、個人の権利利益を保護することを目
的とする。
個 人 情 報 と は (1)

第2条 この法律において「個人情報」とは,
生存する個人に関する情報であって、当該情報
に含まれる氏名、生年月日その他の記述等によ
り
特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それに
より特定の個人を識別することができることとな
るものを含む。)をいう。
個 人 情 報 と は (2)


国籍の制限はない
 外国人の情報も含む
公開されている情報であっても該当
 電話帳
 名刺
プライバシーとは異なる
個 人 情 報 と は (3)

文字情報だけではない
 顔の写真など
個 人 情 報 と は (4)

学生番号などのコード
 それだけでは個人を識別できない

学生名簿と照合すれば,個人を識別できるの
で個人情報といえる
学生名簿を持っていない者に
とっては個人情報ではない
個 人 情 報 と は (5)


直接・間接に特定の個人を識別できる情報が個
人情報
 プライバシーに関するものだけでない
 生存している人
この2点がポイント
統計データは該当しない
 試験の点数の分布
亡くなった人の情報
であっても,生存者
の情報になるものも
ある
個人情報と
は (6)
プロバイダは顧客名簿をもってい

るであろうから,プロバイダにとっ
ては個人情報
メールアドレスは個人情報か?

一般の人にとっては個人情報とは
いえない
[email protected]


所属組織・名前があきらか
プロバイダから顧客名簿が漏えい
すると…
[email protected]
 プロバイダのアドレス(らしい)
 これだけでは個人を識別できない
個人情報データベース等(1)

第2条
2 この法律において「個人情報データベース
等」とは、個人情報を含む情報の集合物であって、
次に掲げるものをいう。
一 特定の個人情報を電子計算機を用いて検索
することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報
を容易に検索することができるように体系的に構
成したものとして政令で定めるもの
個人情報データベース等(2)


コンピュータに蓄積されたデータベースである必
要はない
名刺を50音順に並べて整理してあれば,個人情
報データベース等になる
3種類の個人情報



個人情報
個人データ
保有個人データ
3種類あり,区別しないといけないのであるが,こ
の講義では区別しない
個人データ

個人情報データベース等を
構成する個人情報
保有個人データ


個人情報取扱事業者が開示,内容の訂正,追加
又は削除,利用の停止,消去及び第三者への提
供の停止を行うことのできる権限を有する個人
データ
ただし,半年を越えて保有するもの
個人情報取扱事業者と義務
個人情報取扱事業者(1)
義務を課せられる者
 個人情報データベース等を事業のために使って
いる民間の者
 非営利の事業も含まれる
 大量の保有個人データをもつ者
 半年間のうち1日でも,識別される個人が5,0
00人を超える保有個人データを有する
 大雑把にいえば5,000件の保有個人データ
5,000人分を超える大量の個人情報をデータベース化して,

事業を行う者
個人情報取扱事業者(2)

非営利事業も含むので,かなり広範囲にわたる
可能性がある
 もちろん上武大学も
 交際範囲が広く,個人的に年賀状を5,000人に
出すような場合は,事業とはみなさない
個人情報取扱事業者(3)

民間だけ
 国や地方自治体は別の法で規制される
個人情報取扱事業者の義務
OECD保護勧告との対比
義務とOECD8原則の関係

http://www.kantei.go.jp/jp/it/privacy/houseika/houritua
n/pdfs/03.pdf
個人情報取扱事業者の義務(1)


利用目的の特定
 第15条 その利用の目的をできる限り特定し
なければならない
利用目的による制限
 第16条 利用目的の達成に必要な範囲を超
えて、個人情報を取り扱ってはならない
個人情報取扱事業者の義務(2)


適正な取得
 第17条 偽りその他不正の手段により個人情
報を取得してはならない
取得に際しての利用目的の通知等
 第18条 個人情報を取得したときには,あらか
じめその利用目的を公表している場合を除き、
速やかに、その利用目的を、本人に通知し、
又は公表しなければならない
個人情報取扱事業者の義務(3)


データ内容の正確性の確保
 第19条 個人データを正確かつ最新の内容に
保つよう努めなければならない
安全管理措置
 第20条 個人データの漏えい,滅失又はき損
の防止その他の個人データの安全管理のた
めに必要かつ適切な措置を講じなければなら
ない
個人情報取扱事業者の義務(4)

従業者の監督
 第21条 個人データを取り扱わせる従業者に
必要かつ適切な監督を行わなければならない
重要 委託先でトラブルが生じた場合であっ
ても,責任逃れができないかもしれない

委託先の監督
 第22条 個人データの取扱を委託する場合,
委託先に必要かつ適切な監督を行わなけれ
ばならない
個人情報取扱事業者の義務(5)

第三者提供の制限
 第23条 あらかじめ本人の同意を得ないで,
個人データを第三者に提供してはならない。

親会社が集めた情報を子会社で活用するな
どの場合 (その予定があるのなら,明示して
おく)
個人情報取扱事業者の義務(6)

保有個人データに関する事項の公表等
 第24条 保有個人データに関し,取扱事業者
の名称や利用目的などを本人の知り得る状態
に置かなければならない

どんなデータを保有し,どのような方針で活用
し,責任者は誰
個人情報取扱事業者の義務(7)


開示
 第25条 本人から,当該本人が識別される保有個人
データの開示を求められた場合,開示しなければなら
ない
訂正等
 第26条 本人から,当該本人が識別される保有個人
データの内容の訂正,追加又は削除を求められた場
合,調査を行って,結果に基づき,当該保有個人デー
タの内容の訂正等を行わなければならない。
個人情報取扱事業者の義務(8)


利用停止等
 第27条 本人から,当該本人が識別される保有個人
データが,第16条や第17条に違反しているものである
という理由によって、当該保有個人データの利用の停
止又は消去を求められた場合,その理由があること
が判明したときは,当該保有個人データの利用停止
等を行わなければならない
理由の説明 第28条,開示等の求めに応じる手続 第29
条,手数料 第30条 (省略)
個人情報取扱事業者の義務(9)

個人情報取扱事業者による苦情の処理
 第31条 個人情報の取扱に関する苦情の適
切かつ迅速な処理に努めなければならない。
主務大臣


主務大臣は,個人情報取扱事業者に個人情報
の取扱に関し報告させたり(第32条),必要な助
言をすることができる(第33条)。
事業者の違反行為の中止や是正のための処置
を勧告や命令することができる(第34条,第35
条)。
注意

個人情報が漏えいした被害者救済の規定はな
い
 損害賠償訴訟という手段(民法)
 個人情報取扱事業者の管理責任を問う
適 用 除 外(1)

第50条 個人情報取扱事業者のうち次の各号に掲げる
者については、その個人情報を取り扱う目的の全部又は
一部がそれぞれ当該各号に規定する目的であるときは、
前章の規定は、適用しない。
一 放送機関、新聞社、通信社その他の報道機関(報道
を業として行う個人を含む。)報道の用に供する目的
二 著述を業として行う者 著述の用に供する目的
三 大学その他の学術研究を目的とする機関若しくは団
体又はそれらに属する者 学術研究の用に供する目的
四 宗教団体 宗教活動(これに付随する活動を含む。)
の用に供する目的
五 政治団体 政治活動(これに付随する活動を含む。)
の用に供する目的
適 用 除 外(2)


本来の目的の場合だけ除外
新聞社が,営業活動に個人情報を使うような場
合は除外されない
現 状 は…
是正勧告

金融庁、顧客情報紛失のみちのく銀行に是正勧
告~個人情報保護法で初の勧告
http://internet.watch.impress.co.jp/cda/news/2
005/05/20/7692.html
頻発する個人情報漏えい(1)


事業者の個人情報漏えいは848件、内閣府が
2007年度とりまとめ
http://internet.watch.impress.co.jp/cda/news/2
008/09/29/20983.html
2007年の個人情報漏洩事件、864件・約3,053万
人分が漏洩~JNSA調査
http://internet.watch.impress.co.jp/cda/news/2
008/05/19/19611.html
頻発する個人情報漏えい(2)



つい最近も
三菱UFJ証券、社員が148万人分の顧客情報を
不正持ち出し(2009年)
2008年の個人情報漏えい、件数は増加も漏えい
人数は減少
頻発する個人情報漏えい(3)

行政機関と独立行政法人の個人情報漏えい、
2008年度で2929件発生
http://internet.watch.impress.co.jp/docs/news/
20090901_312198.html
頻発する個人情報漏えい(4)

日本大学、個人情報1万件以上を含む内部情報
がShareで流出
http://internet.watch.impress.co.jp/docs/news/
20100427_364120.html
 禁止されている業務情報の持出し
 ファイル共有ソフトをインストールしているパソ
コンを使用(個人情報を扱うのならば,リスク
を避けるのは当然)
自 己 規 制(1)



小学校のクラスで生徒の住所録(緊急連絡用)
の作成をやめる
災害時の援助対象者(老人など)の住所録の作
成をやめる
病院の呼出しを名前ではなく,受付番号で行う
自 己 規 制(2)



個人情報保護法への「過剰反応」が被害者救済
の壁に~国民生活センター
http://internet.watch.impress.co.jp/cda/news/2
005/11/10/9797.html
間違いだらけの個人情報保護,牧野二郎,イン
プレス,2006(出版物の例の右の書籍 文献7)
さまよえる個人情報保護,朝日新聞,3/23~29,
2006
自 己 規 制(3)






なぜ,このようなことになったのか?
第16条 利用目的による制限
第23条 第三者提供の制限
適用除外があるが
よく分からないから,とりあえず止める
法の趣旨に反する
自 己 規 制(4) 対策


例 学校の連絡用名簿の作成
保護者の同意を取れば良い
 “Yes”の家庭だけで名簿を作成
見直し

(自己)規制の行き過ぎ
 いろいろな見直し

法律の改正も考慮された

運用で改善
自分の個人情報漏えい対策


漏れたら大変!個人情報
http://www.ipa.go.jp/security/kojinjoho/index.ht
ml
自分の情報は自分で適切に守る
 過剰反応に注意(バランス感覚)
ま と め(1)

個人情報保護法
 法の“趣旨”は
 “個人情報”とは
 (個人情報取扱事業者)の義務は(次のスライ
ド)
ま と め(2)
ま と め(3)

法の趣旨を活かした,個人情報の活用が必要

自分の情報は,自分で守る

なぜ個人情報漏えいは続くのか?!
将 来



個人情報を扱う業務に従事
漏えいしたら
後始末
 被害がどこまで広がるか?
 信用失墜
 コストは?