個人情報保護法 情報社会と情報倫理 第4回 前回と今回の話題の関係 OECD保護勧告(8原則) ⇕ 個人情報保護法に定められている義務 法律の趣旨を理解する 何が問題になっているのか OECD保護勧告(8原則) 1. 2. 3. 4. 5. 6. 7. 8. 収集制限の原則 データ内容の原則 目的明確化の原則 利用制限の原則 安全保護の原則 公開の原則 個人参加の原則 責任の原則 個人情報漏えい みちのく銀行、131万件の顧客情報入りCD-ROM を紛失 http://internet.watch.impress.co.jp/cda/news/2 005/04/22/7411.html 個人情報保護法に基づく是正勧告第1号 となった事件 (後述) 個人情報保護法 個人情報の保護に関する法律 2003年(平成15年)5月成立 2005年4月に(完全)施行 以降,大騒動 最近は落ち着いてきた? 情報処理技術者試験を受験しようと思っている 場合は,概要を把握しておくこと 制定の背景 “個人の情報”というものの価値 漏えい事件多発 インターネット時代より以前からあった 住民基本台帳ネットワークシステム 日本の個人情報保護法制の体系イメージ 総務省のパンフレット 個人情報には価値があるので,活用しない ともったいない。 目 的 ただし,注意して取り扱わなければならな い。 この法律は、高度情報通信社会の進展に伴い個 第1条 人情報の利用が著しく拡大していることにかんがみ、個 人情報の適正な取扱いに関し、基本理念及び政府によ “集めてはいけない”ということではない。 る基本方針の作成その他の個人情報の保護に関する施 策の基本となる事項を定め、国及び地方公共団体の責 務等を明らかにするとともに、個人情報を取り扱う事業者 の遵守すべき義務等を定めることにより、個人情報の有 用性に配慮しつつ、個人の権利利益を保護することを目 的とする。 個 人 情 報 と は (1) 第2条 この法律において「個人情報」とは, 生存する個人に関する情報であって、当該情報 に含まれる氏名、生年月日その他の記述等によ り 特定の個人を識別することができるもの (他の情報と容易に照合することができ、それに より特定の個人を識別することができることとな るものを含む。)をいう。 個 人 情 報 と は (2) 国籍の制限はない 外国人の情報も含む 公開されている情報であっても該当 電話帳 名刺 プライバシーとは異なる 個 人 情 報 と は (3) 文字情報だけではない 顔の写真など 個 人 情 報 と は (4) 学生番号などのコード それだけでは個人を識別できない 学生名簿と照合すれば,個人を識別できるの で個人情報といえる 学生名簿を持っていない者に とっては個人情報ではない 個 人 情 報 と は (5) 直接・間接に特定の個人を識別できる情報が個 人情報 プライバシーに関するものだけでない 生存している人 この2点がポイント 統計データは該当しない 試験の点数の分布 亡くなった人の情報 であっても,生存者 の情報になるものも ある 個人情報と は (6) プロバイダは顧客名簿をもってい るであろうから,プロバイダにとっ ては個人情報 メールアドレスは個人情報か? 一般の人にとっては個人情報とは いえない [email protected] 所属組織・名前があきらか プロバイダから顧客名簿が漏えい すると… [email protected] プロバイダのアドレス(らしい) これだけでは個人を識別できない 個人情報データベース等(1) 第2条 2 この法律において「個人情報データベース 等」とは、個人情報を含む情報の集合物であって、 次に掲げるものをいう。 一 特定の個人情報を電子計算機を用いて検索 することができるように体系的に構成したもの 二 前号に掲げるもののほか、特定の個人情報 を容易に検索することができるように体系的に構 成したものとして政令で定めるもの 個人情報データベース等(2) コンピュータに蓄積されたデータベースである必 要はない 名刺を50音順に並べて整理してあれば,個人情 報データベース等になる 3種類の個人情報 個人情報 個人データ 保有個人データ 3種類あり,区別しないといけないのであるが,こ の講義では区別しない 個人データ 個人情報データベース等を 構成する個人情報 保有個人データ 個人情報取扱事業者が開示,内容の訂正,追加 又は削除,利用の停止,消去及び第三者への提 供の停止を行うことのできる権限を有する個人 データ ただし,半年を越えて保有するもの 個人情報取扱事業者と義務 個人情報取扱事業者(1) 義務を課せられる者 個人情報データベース等を事業のために使って いる民間の者 非営利の事業も含まれる 大量の保有個人データをもつ者 半年間のうち1日でも,識別される個人が5,0 00人を超える保有個人データを有する 大雑把にいえば5,000件の保有個人データ 5,000人分を超える大量の個人情報をデータベース化して, 事業を行う者 個人情報取扱事業者(2) 非営利事業も含むので,かなり広範囲にわたる 可能性がある もちろん上武大学も 交際範囲が広く,個人的に年賀状を5,000人に 出すような場合は,事業とはみなさない 個人情報取扱事業者(3) 民間だけ 国や地方自治体は別の法で規制される 個人情報取扱事業者の義務 OECD保護勧告との対比 義務とOECD8原則の関係 http://www.kantei.go.jp/jp/it/privacy/houseika/houritua n/pdfs/03.pdf 個人情報取扱事業者の義務(1) 利用目的の特定 第15条 その利用の目的をできる限り特定し なければならない 利用目的による制限 第16条 利用目的の達成に必要な範囲を超 えて、個人情報を取り扱ってはならない 個人情報取扱事業者の義務(2) 適正な取得 第17条 偽りその他不正の手段により個人情 報を取得してはならない 取得に際しての利用目的の通知等 第18条 個人情報を取得したときには,あらか じめその利用目的を公表している場合を除き、 速やかに、その利用目的を、本人に通知し、 又は公表しなければならない 個人情報取扱事業者の義務(3) データ内容の正確性の確保 第19条 個人データを正確かつ最新の内容に 保つよう努めなければならない 安全管理措置 第20条 個人データの漏えい,滅失又はき損 の防止その他の個人データの安全管理のた めに必要かつ適切な措置を講じなければなら ない 個人情報取扱事業者の義務(4) 従業者の監督 第21条 個人データを取り扱わせる従業者に 必要かつ適切な監督を行わなければならない 重要 委託先でトラブルが生じた場合であっ ても,責任逃れができないかもしれない 委託先の監督 第22条 個人データの取扱を委託する場合, 委託先に必要かつ適切な監督を行わなけれ ばならない 個人情報取扱事業者の義務(5) 第三者提供の制限 第23条 あらかじめ本人の同意を得ないで, 個人データを第三者に提供してはならない。 親会社が集めた情報を子会社で活用するな どの場合 (その予定があるのなら,明示して おく) 個人情報取扱事業者の義務(6) 保有個人データに関する事項の公表等 第24条 保有個人データに関し,取扱事業者 の名称や利用目的などを本人の知り得る状態 に置かなければならない どんなデータを保有し,どのような方針で活用 し,責任者は誰 個人情報取扱事業者の義務(7) 開示 第25条 本人から,当該本人が識別される保有個人 データの開示を求められた場合,開示しなければなら ない 訂正等 第26条 本人から,当該本人が識別される保有個人 データの内容の訂正,追加又は削除を求められた場 合,調査を行って,結果に基づき,当該保有個人デー タの内容の訂正等を行わなければならない。 個人情報取扱事業者の義務(8) 利用停止等 第27条 本人から,当該本人が識別される保有個人 データが,第16条や第17条に違反しているものである という理由によって、当該保有個人データの利用の停 止又は消去を求められた場合,その理由があること が判明したときは,当該保有個人データの利用停止 等を行わなければならない 理由の説明 第28条,開示等の求めに応じる手続 第29 条,手数料 第30条 (省略) 個人情報取扱事業者の義務(9) 個人情報取扱事業者による苦情の処理 第31条 個人情報の取扱に関する苦情の適 切かつ迅速な処理に努めなければならない。 主務大臣 主務大臣は,個人情報取扱事業者に個人情報 の取扱に関し報告させたり(第32条),必要な助 言をすることができる(第33条)。 事業者の違反行為の中止や是正のための処置 を勧告や命令することができる(第34条,第35 条)。 注意 個人情報が漏えいした被害者救済の規定はな い 損害賠償訴訟という手段(民法) 個人情報取扱事業者の管理責任を問う 適 用 除 外(1) 第50条 個人情報取扱事業者のうち次の各号に掲げる 者については、その個人情報を取り扱う目的の全部又は 一部がそれぞれ当該各号に規定する目的であるときは、 前章の規定は、適用しない。 一 放送機関、新聞社、通信社その他の報道機関(報道 を業として行う個人を含む。)報道の用に供する目的 二 著述を業として行う者 著述の用に供する目的 三 大学その他の学術研究を目的とする機関若しくは団 体又はそれらに属する者 学術研究の用に供する目的 四 宗教団体 宗教活動(これに付随する活動を含む。) の用に供する目的 五 政治団体 政治活動(これに付随する活動を含む。) の用に供する目的 適 用 除 外(2) 本来の目的の場合だけ除外 新聞社が,営業活動に個人情報を使うような場 合は除外されない 現 状 は… 是正勧告 金融庁、顧客情報紛失のみちのく銀行に是正勧 告~個人情報保護法で初の勧告 http://internet.watch.impress.co.jp/cda/news/2 005/05/20/7692.html 頻発する個人情報漏えい(1) 事業者の個人情報漏えいは848件、内閣府が 2007年度とりまとめ http://internet.watch.impress.co.jp/cda/news/2 008/09/29/20983.html 2007年の個人情報漏洩事件、864件・約3,053万 人分が漏洩~JNSA調査 http://internet.watch.impress.co.jp/cda/news/2 008/05/19/19611.html 頻発する個人情報漏えい(2) つい最近も 三菱UFJ証券、社員が148万人分の顧客情報を 不正持ち出し(2009年) 2008年の個人情報漏えい、件数は増加も漏えい 人数は減少 頻発する個人情報漏えい(3) 行政機関と独立行政法人の個人情報漏えい、 2008年度で2929件発生 http://internet.watch.impress.co.jp/docs/news/ 20090901_312198.html 頻発する個人情報漏えい(4) 日本大学、個人情報1万件以上を含む内部情報 がShareで流出 http://internet.watch.impress.co.jp/docs/news/ 20100427_364120.html 禁止されている業務情報の持出し ファイル共有ソフトをインストールしているパソ コンを使用(個人情報を扱うのならば,リスク を避けるのは当然) 自 己 規 制(1) 小学校のクラスで生徒の住所録(緊急連絡用) の作成をやめる 災害時の援助対象者(老人など)の住所録の作 成をやめる 病院の呼出しを名前ではなく,受付番号で行う 自 己 規 制(2) 個人情報保護法への「過剰反応」が被害者救済 の壁に~国民生活センター http://internet.watch.impress.co.jp/cda/news/2 005/11/10/9797.html 間違いだらけの個人情報保護,牧野二郎,イン プレス,2006(出版物の例の右の書籍 文献7) さまよえる個人情報保護,朝日新聞,3/23~29, 2006 自 己 規 制(3) なぜ,このようなことになったのか? 第16条 利用目的による制限 第23条 第三者提供の制限 適用除外があるが よく分からないから,とりあえず止める 法の趣旨に反する 自 己 規 制(4) 対策 例 学校の連絡用名簿の作成 保護者の同意を取れば良い “Yes”の家庭だけで名簿を作成 見直し (自己)規制の行き過ぎ いろいろな見直し 法律の改正も考慮された 運用で改善 自分の個人情報漏えい対策 漏れたら大変!個人情報 http://www.ipa.go.jp/security/kojinjoho/index.ht ml 自分の情報は自分で適切に守る 過剰反応に注意(バランス感覚) ま と め(1) 個人情報保護法 法の“趣旨”は “個人情報”とは (個人情報取扱事業者)の義務は(次のスライ ド) ま と め(2) ま と め(3) 法の趣旨を活かした,個人情報の活用が必要 自分の情報は,自分で守る なぜ個人情報漏えいは続くのか?! 将 来 個人情報を扱う業務に従事 漏えいしたら 後始末 被害がどこまで広がるか? 信用失墜 コストは?
© Copyright 2024 ExpyDoc
