Upload
muncel
View
36
Download
0
Embed Size (px)
DESCRIPTION
個 人 情 報 保 護 法. 情報社会と情報倫理 第4回. 前回と今回の話題の関係. OECD 保護勧告( 8 原則) ⇕ 個人情報保護法に定められている義務 法律の趣旨を理解する 何が問題になっているのか. OECD 保護勧告( 8 原則). 収集制限の原則 データ内容の原則 目的明確化の原則 利用制限の原則 安全保護の原則 公開の原則 個人参加の原則 責任の原則. 個 人 情 報 漏 え い. - PowerPoint PPT Presentation
Citation preview
個 人 情 報 保 護 法
情報社会と情報倫理
第4回
前回と今回の話題の関係 OECD 保護勧告( 8 原則)
⇕ 個人情報保護法に定められている義務
法律の趣旨を理解する 何が問題になっているのか
OECD 保護勧告( 8 原則)
1. 収集制限の原則2. データ内容の原則3. 目的明確化の原則4. 利用制限の原則5. 安全保護の原則6. 公開の原則7. 個人参加の原則8. 責任の原則
個 人 情 報 漏 え い みちのく銀行、 131 万件の顧客情報入り
CD-ROM を紛失http://internet.watch.impress.co.jp/cda/news/2005/04/22/7411.html
個人情報保護法に基づく是正勧告第 1号となった事件
(後述)
個 人 情 報 保 護 法 個人情報の保護に関する法律
2003 年(平成 15 年) 5 月成立 2005 年 4 月に(完全)施行 以降,大騒動 最近は落ち着いてきた? 情報処理技術者試験を受験しようと思ってい
る場合は,概要を把握しておくこと
制 定 の 背 景 “ 個人の情報”というものの価値
漏えい事件多発 インターネット時代より以前からあった
住民基本台帳ネットワークシステム
日本の個人情報保護法制の体系イメージ
総務省のパンフレット
目 的 第1条 この法律は、高度情報通信社会の進展に伴い
個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
個人情報には価値があるので,活用しないともったいない。
ただし,注意して取り扱わなければならない。
“ 集めてはいけない”ということではない。
第2条 この法律において「個人情報」とは,
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
個 人 情 報 と は (1)
個 人 情 報 と は (2) 国籍の制限はない
外国人の情報も含む
公開されている情報であっても該当 電話帳 名刺 プライバシーとは異な
る
個 人 情 報 と は (3) 文字情報だけではない
顔の写真など
個 人 情 報 と は (4) 学生番号などのコード
それだけでは個人を識別できない
学生名簿と照合すれば,個人を識別できるので個人情報といえる
学生名簿を持っていない者にとっては個人情報ではない
個 人 情 報 と は (5) 直接・間接に特定の個人を識別できる情報が
個人情報 プライバシーに関するものだけでない 生存している人
統計データは該当しない 試験の点数の分布
この 2点がポイント
亡くなった人の情報であっても,生存者の情報になるものもある
個 人 情 報 と は (6) メールアドレスは個人情報か?
[email protected] 所属組織・名前があきらか
[email protected] プロバイダのアドレス(らしい) これだけでは個人を識別できない
プロバイダは顧客名簿をもっているであろうから,プロバイダにとっては個人情報
一般の人にとっては個人情報とはいえない
プロバイダから顧客名簿が漏えいすると…
個人情報データベース等(1) 第2条
2 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
個人情報データベース等(2) コンピュータに蓄積されたデータベースであ
る必要はない
名刺を50音順に並べて整理してあれば,個人情報データベース等になる
3 種 類 の 個 人 情 報 個人情報 個人データ 保有個人データ
3種類あり,区別しないといけないのであるが,この講義では区別しない
個 人 デ ー タ 個人情報データベース等を構成する個人情報
保 有 個 人 デ ー タ 個人情報取扱事業者が開示,内容の訂正,追
加又は削除,利用の停止,消去及び第三者への提供の停止を行うことのできる権限を有する個人データ
ただし,半年を越えて保有するもの
個人情報取扱事業者と義務
個人情報取扱事業者(1) 義務を課せられる者 個人情報データベース等を事業のために使っ
ている民間の者 非営利の事業も含まれる
大量の保有個人データをもつ者 半年間のうち 1 日でも,識別される個人
が5,000人を超える保有個人データを有する
大雑把にいえば5,000件の保有個人データ
5,000 人分を超える大量の個人情報をデータベース化して,事業を行う者
個人情報取扱事業者(2) 非営利事業も含むので,かなり広範囲にわた
る可能性がある もちろん上武大学も 交際範囲が広く,個人的に年賀状を 5,000
人に出すような場合は,事業とはみなさない
個人情報取扱事業者(3) 民間だけ
国や地方自治体は別の法で規制される
個人情報取扱事業者の義務
OECD 保護勧告との対比
義務と OECD8原則の関係 http://www.kantei.go.jp/jp/it/privacy/houseika/h
ourituan/pdfs/03.pdf
個人情報取扱事業者の義務(1) 利用目的の特定
第 15 条 その利用の目的をできる限り特定しなければならない
利用目的による制限 第 16 条 利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない
個人情報取扱事業者の義務(2) 適正な取得
第 17 条 偽りその他不正の手段により個人情報を取得してはならない
取得に際しての利用目的の通知等 第 18 条 個人情報を取得したときには,
あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない
個人情報取扱事業者の義務(3) データ内容の正確性の確保
第 19 条 個人データを正確かつ最新の内容に保つよう努めなければならない
安全管理措置 第 20 条 個人データの漏えい,滅失又は
き損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない
個人情報取扱事業者の義務(4) 従業者の監督
第 21 条 個人データを取り扱わせる従業者に必要かつ適切な監督を行わなければならない
委託先の監督 第 22 条 個人データの取扱を委託する場
合,委託先に必要かつ適切な監督を行わなければならない
重要 委託先でトラブルが生じた場合であっても,責任逃れができないかもしれない
個人情報取扱事業者の義務(5) 第三者提供の制限
第 23 条 あらかじめ本人の同意を得ないで,個人データを第三者に提供してはならない。
親会社が集めた情報を子会社で活用するなどの場合 (その予定があるのなら,明示しておく)
個人情報取扱事業者の義務(6) 保有個人データに関する事項の公表等
第 24 条 保有個人データに関し,取扱事業者の名称や利用目的などを本人の知り得る状態に置かなければならない
どんなデータを保有し,どのような方針で活用し,責任者は誰
個人情報取扱事業者の義務(7) 開示
第 25 条 本人から,当該本人が識別される保有個人データの開示を求められた場合,開示しなければならない
訂正等 第 26 条 本人から,当該本人が識別される保有
個人データの内容の訂正,追加又は削除を求められた場合,調査を行って,結果に基づき,当該保有個人データの内容の訂正等を行わなければならない。
個人情報取扱事業者の義務(8) 利用停止等
第 27 条 本人から,当該本人が識別される保有個人データが,第 16 条や第 17 条に違反しているものであるという理由によって、当該保有個人データの利用の停止又は消去を求められた場合,その理由があることが判明したときは,当該保有個人データの利用停止等を行わなければならない
理由の説明 第 28 条,開示等の求めに応じる手続 第 29 条,手数料 第 30 条 (省略)
個人情報取扱事業者の義務(9) 個人情報取扱事業者による苦情の処理
第 31 条 個人情報の取扱に関する苦情の適切かつ迅速な処理に努めなければならない。
主 務 大 臣 主務大臣は,個人情報取扱事業者に個人情報
の取扱に関し報告させたり(第 32 条),必要な助言をすることができる(第 33 条)。
事業者の違反行為の中止や是正のための処置を勧告や命令することができる(第 34 条,第 35 条)。
注 意 個人情報が漏えいした被害者救済の規定はな
い 損害賠償訴訟という手段(民法) 個人情報取扱事業者の管理責任を問う
適 用 除 外(1) 第 50 条 個人情報取扱事業者のうち次の各号に掲げる者については、その個人情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、前章の規定は、適用しない。
一 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。)報道の用に供する目的
二 著述を業として行う者 著述の用に供する目的 三 大学その他の学術研究を目的とする機関若しく
は団体又はそれらに属する者 学術研究の用に供する目的
四 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的
五 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的
適 用 除 外(2) 本来の目的の場合だけ除外
新聞社が,営業活動に個人情報を使うような場合は除外されない
利用目的の通知の例
現 状 は…
是 正 勧 告 金融庁、顧客情報紛失のみちのく銀行に是正
勧告~個人情報保護法で初の勧告http://internet.watch.impress.co.jp/cda/news/2005/05/20/7692.html
頻発する個人情報漏えい(1) 事業者の個人情報漏えいは 848 件、内閣府
が 2007 年度とりまとめhttp://internet.watch.impress.co.jp/cda/news/2008/09/29/20983.html
2007 年の個人情報漏洩事件、 864 件・約3,053 万人分が漏洩~ JNSA調査http://internet.watch.impress.co.jp/cda/news/2008/05/19/19611.html
頻発する個人情報漏えい(2) つい最近も 三菱UFJ証券、社員が148
万人分の顧客情報を不正持ち出し( 2009年)
2008年の個人情報漏えい、件数は増加も漏えい人数は減少
頻発する個人情報漏えい(3) 行政機関と独立行政法人の個人情報漏えい、
2008 年度で 2929 件発生http://internet.watch.impress.co.jp/docs/news/20090901_312198.html
頻発する個人情報漏えい(4) 日本大学、個人情報 1 万件以上を含む内部情
報が Share で流出 http://internet.watch.impress.co.jp/docs/news/20100427_364120.html 禁止されている業務情報の持出し ファイル共有ソフトをインストールして
いるパソコンを使用(個人情報を扱うのならば,リスクを避けるのは当然)
自 己 規 制(1 ) 小学校のクラスで生徒の住所録(緊急連絡
用)の作成をやめる
災害時の援助対象者(老人など)の住所録の作成をやめる 災害対策基本法の改正で対応
病院の呼出しを名前ではなく,受付番号で行う
自 己 規 制(2 ) 個人情報保護法への「過剰反応」が被害者救済の壁に~国民生活センターhttp://internet.watch.impress.co.jp/cda/news/2005/11/10/9797.html
間違いだらけの個人情報保護,牧野二郎,インプレス, 2006 (出版物の例の右の書籍 文献 7 )
さまよえる個人情報保護,朝日新聞, 3/23~ 29 , 2006
自 己 規 制(3 ) なぜ,このようなことになったのか? 第 16 条 利用目的による制限 第 23 条 第三者提供の制限 適用除外があるが よく分からないから,とりあえず止める 法の趣旨に反する
自 己 規 制(4 ) 対策
例 学校の連絡用名簿の作成
保護者の同意を取れば良い “Yes” の家庭だけで名簿を作成
見 直 し (自己)規制の行き過ぎ
いろいろな見直し
法律の改正も考慮された
運用で改善
自分の個人情報漏えい対策 漏れたら大変!個人情報
http://www.ipa.go.jp/security/kojinjoho/index.html
自分の情報は自分で適切に守る 過剰反応に注意(バランス感覚)
ま と め(1) 個人情報保護法
法の“趣旨”は “ 個人情報”とは (個人情報取扱事業者)の義務は(次のス
ライド)
ま と め(2)
ま と め(3) 法の趣旨を活かした,個人情報の活用が必要
自分の情報は,自分で守る
なぜ個人情報漏えいは続くのか?!
将 来 個人情報を扱う業務に従事 漏えいしたら 後始末
被害がどこまで広がるか? 信用失墜 コストは?