企業法務マンサバイバル

企業法務を中心とした法律に関する本・トピックのご紹介を通して、サバイバルな時代を生きるすべてのビジネスパーソンに貢献するブログ。

個人情報保護法

【本】『アメリカプライバシー法』— 米国プライバシー保護政策の理想と現実


Google、Apple、Facebook、Amazon...と、米国産まれのウェブサービスを毎日利用しているにもかかわらず、プライバシー法のこととなるとFTC3要件やCOPPAの上っ面ぐらいしか分かっていない、そんな私のような者のために翻訳していただいたような本。





米国プライバシー法については、ダニエル・ソロブのシリーズを読んだ後、ロースクール向けに書かれたテキストを一応は手に取りました。しかし実務からの距離は遠く、漫然と判例を読んでいても頭に入ってこずで、ずっと学習法に困っていました。加えて、EUでGDPRが本決まりになって以降のプライバシーの潮流は、ソロブが予測していたものからは大きく外れ、自分自身の学習の軌道修正の必要性も感じはじめていたところでした。

本書は、FTC(連邦取引委員会)によるプライバシー政策施行のタイムラインに沿って、米国におけるプライバシー法の発展の歴史と現状の課題を整理し概説する本です。したがって、1980年代後半の、FTCがプライバシーを消費者保護の問題として大きく捉えることになってからの歴史を中心としています。これは、日本で出版される米国プライバシー法に関する多くの書籍・論稿が、プライバシー権の起源となったウォーレン&ブランダイス論文以降のプライバシー近代史について語ることをしない(できていない)のとは対照的です。学説の紹介に終わらず、ビジネスへの当てはめによってどのようなハレーションが起きてきたのか、そんな観点を強く意識して書かれています。

IMG_0863

また、最終章にあたる6章では、「プライバシーの国際的取組み」と題し、最近のEUが掲げるプライバシー政策に触れた上で、EU法と米国法との衝突にも触れます。

IMG_0864

なんといっても本書の特徴はズバリ、「歯に衣着せぬ物言い」と言ってよいでしょう。たとえば、最近特に逆風が強まってきたアドテク業界(特にFacebookのようなプラットフォーマーや、DMPなど)が「情報ブローカー」化していることに対しての一言がこちら。

情報ブローカーを規制するための法律は,政治的に制定不可能である.その理由の一端は,非常に多くの大企業が——そして,政治家自身が——,国民に関するデータを蓄積するため,情報ブローカーを利用している,という事実に求められる.(P4)

ついでこちらは、児童オンラインプライバシー保護法、通称COPPAの運用実態についての一言。

個人に関する情報に関して非営利的な内部利用に関してまで,「Eメールとは何か」という形での同意をとることで同意要件を満たすというFTCの許容度は,なかなか厳しいものがある.結果として,サイトはCOPPAの要件をすべて取り込むか,または全く子どもたちがサービスを利用していないというフリをするかのどちらかとなってしまっている.(P97)

ここまで本当のコトを文字にしてしまってよかったんでしょうか(笑)と、読んでいるこちらが後ずさりをしてしまうほど。他の法律書ではオブラートに包まれた、厳格な法令をビジネスにおける実務に当てはめたときに感じる「虚しさ」について、ここまでズバズバと言及してしまう本は、日本の法律書でもなかなかお目にかかることはできません。

翻訳は、今年『EU一般データ保護規則』を出版されたばかりの宮下紘先生、日本の個人情報保護法にも精通する板倉陽一郎先生、成原慧先生らが担当されています。非常に読みやすく翻訳されているだけでなく、訳者解説として(本書では省かれた)原著Part1〜3までの要旨を巻末にまとめてくださるなど、丁寧なお仕事をしていただいたのが分かります。

連邦法ベースの解説であり、最近話題になったカリフォルニア州の新オンラインプライバシー法(CALOPPA)などの州法までをフォローするものではありませんが、米国のプライバシー法の歴史を概観してこれからを予測するのに、大変便利な一冊です。
 

【本】『Q&Aで学ぶGDPRのリスクと対応策』― 十分性認定だけでは十分とは認めてくれない世界の潮流

 
GDPR施行1カ月前にして、ようやく、条文の解説や要約・ポイント解説にとどまらない、実務レベルで役立つ文献が公刊されました。





「GDPR」というキーワードに引っかかる書籍、専門誌記事、ネット記事等は一度は目を通すようにしていましたが、
  • GDPRの条文の組み立てに沿って逐条解説またはその要約をしたもの
  • GDPR施行後の制裁リスクが高いポイントに絞って実務対応をピンポイントで指南するもの
この2つのいずれかだったと思います。昨年ご紹介した『日米欧 個人情報保護・データプロテクションの国際実務』は前者にあたりますし、「ビジネス法務」「ビジネスロー・ジャーナル」などの解説記事はほとんどが後者にあたります。

一方本書は、企業目線での疑問や不安に対するQ&Aという形で情報を整理し、各条文・ガイドラインをまたがった理解・解釈が求められるポイントについて、横断的に目配りを利かせたアドバイスを提供する本となっています。

BF3D5216-6604-4192-8C41-866889BC39DE0FFCEF63-93A4-4A76-88BF-C50AC6209B15


過去何度か、Q&A形式の書籍に対する批判的なコメントをした自覚がありますが、本書については、著者が述べたい・述べることができるAnswerを書くためにしらじらしいQuestionを立てるといったことがなく、本当にGDPRを知らない企業が思いつくであろうQを思いつくであろう順に網羅しています。また、Answerの中でより細かい法律的・実務的解説が必要な場合は、さらに後ろにその細かいQ&Aを立ててリンクを張るなど、前から順に読んでいっても自然と理解が深まっていくような、そんな配慮がなされていることが感じられました。これはこの手のQ&A本でよく採用される共著分担式ではなかなか実現できないことです。加えて、著者中崎先生自身が本書刊行までの期間、多数の企業からの度重なる調査依頼に実際に応えていらっしゃったことも伺わせます。

ところどころでGDPRと日本の個人情報保護法の義務の具体的な差異について比較がされている他、VI章以降では、個人データに関する規制の世界的動向(韓国・インドネシア・ベトナム・ロシア)に触れ、さらには同じEUのルールでもまだ未施行のe-Privacy Regurationについてまで言及している点も圧巻です。日本でも少し遅れて夏ごろに発効される見込みと報じられた十分性認定に甘えることなく、GDPRを積極的に遵守する体制を整えていくことが、結局はこれからの企業のグローバルでの競争力を高めていくことにつながる、ということを強めに述べています。

十分性認定で何が変わるのか、変わらないのか

まず、越境移転規制以外の規律は、十分性認定による影響を受けない。さらに、注意すべきは、越境移転規制の中でも、EU・日本間の十分性認定によりカバーされるのは、EUと日本の相互間の越境移転に限定される点である。たとえば、EUだけでなく、東南アジアにも展開している事業者であれば、EUからの個人データの移転先は日本の支社だけとは限らず、東南アジア各国にも移転している可能性があるが、日本・EUの相互認証によっては、EUから東南アジア各国への移転はカバーされず、依然として越境移転規制の対象となる。(P344-345)


さて、本書の感想とは少し離れて、GDPRの施行が近づくにつれバタバタとしている中ではありますが、少し注意したほうがいいのかなと思っているのが、GDPRをいかに上手に遵守しようとも、EUの原則的スタンスとしては、「EUから個人情報を持ち出すな(移転禁止)」であるという点です。

EU域外に対しても法的執行力を担保しようと、EU域内に代理人を設置するところまで強制し、応じなければ世界の潮流から乗り遅れるというムードまでしらっと醸成しているGDPR。素直にうまいなと感心はしますが、個人からの同意を前提とした情報収集の自由や、国家間の政策・法制度・企業競争力にまで大きく影響を及ぼしているのも事実。今後さらに義務を強化することもあり得ない話ではありません。

個人のプライバシーは尊重しつつ、特に域外適用という点については、他の国が立てたルールに盲目的に従い続けていていいのか、疑問も感じるところです。
 

【本】『個人情報保護法の解説《第二次改訂版》』― 本家本元「ピンク本」が13年の時を経てついに改訂

法改正による個人情報保護法本の新刊ラッシュがひと段落するの待っていたかのような、王者の風格漂うタイミングでの登場となりました。実務に携わる者にとっては必携の書です。





著者の「個人情報保護法制研究会」とは、まさに平成27年改正法の立案を担当し、そして運用の監督権限を司ることになる、個人情報保護委員会事務局の皆さんのこと。もちろんそれぞれの個人の私的な見解とは言え、主務大臣に代わり委員会が権限を持つことになったこの運用フェーズにおいては、本書に示された解説をベースに検討すべきなのは間違いありません。

ちなみに、前著『個人情報保護法の解説《改訂版》』は、業界人からは「ピンク本」と呼ばれ、宇賀本・岡村本のような自説記載を含んでいない点、業界では信頼のおける文献として重宝されていました。といっても、発刊当時の2005年時点は私はまったく注目していませんで、保護法改正の機運が高まりはじめた2012年ごろにあわてて中古で購入した記憶があります。

AF57C2F2-2B10-4FB5-9618-BFF94CDE94DB


その《改訂版》と比較すると、まず一見してデザインががらっと変わっています。ハードカバーで扱いにくかった表紙もソフトカバーに代わり、ページ数は570ページを超え前著比プラス200ページほど増加しています。書体やレイアウトは少し現代風になり、より読みやすい印象です。

特に、実線で罫囲みされた条文の下に趣旨があり、その条に関係する施行令・施行規則の条文が点線囲みで引用された構成が使いやすく、気に入っています。委員会作成のQ&Aまではリファレンスされていませんが、逐条解説の文章の中で十分にその趣旨が織り込まれているので、コンメンタールとしてはここは割り切って正解だったと思います。また、図表が少し少なめな印象がありますが、前著と比較してみると、あまり図式化する意味のない図、たとえば一方通行なフローチャートなどを積極的に削除したフシがうかがえ、これも良い改訂ポイントだと思います。

2B32D074-33E4-4746-B60F-E73C813266BE
4A68E5A9-3746-4A85-B135-07B865462934


また逐条解説パートにおいては、改正による影響があった部分には必ず書き出しに「平成27年改正により」とあり、改正のなかった部分との区別が明瞭になっています。改正内容をもういちど頭に入れたいという方にとっても、この部分を丹念に追っていけば事足りるはずです。

何より驚いたのは、その改正の影響を受けていない条文についての解説は、時折挙げられている例示も含めて、一言一句《改訂版》から変化なしと言って差支えないほど前著のままとなっている点です。これはつまり、個人情報保護法の本質は何も変わっていないということの証左であり、あわせて、前著《改訂版》がいかに信頼できる完全なものであったかを示してもいます。ピンク本もそれはそれで取っておくつもりだったのですが、ここまで踏襲していると、安心して電子化(自炊)送りにできますね。

(余談ですが、この差分を精査している作業中、28条の保有個人データ開示義務を解説しているP237において、「開示を請求された保有個人データが存在しないという情報も重要な情報であることから(略)存在しない旨を本人に通知しなければならない。」という解説が前著になかったのを見つけ、「お、これは委員会の独自見解か?」と思ったのもつかの間、法28条3項の条文自体に新たに加えられていた当然の義務であることに気づいた次第です。恥ずかしながら・・・。)

第4編として、藤原先生によるGDPRについての解説がありますが、これは本当にさわりの紹介程度です。GDPRについては別途文献を参照して対応を検討されることを推奨します。

なお入手に当たっては、ぎょうせいのtwitterご担当者さまに便宜を図っていただき、発行間も無く入手できました。その節は誠にありがとうございました。

【本】『日米欧 個人情報保護・データプロテクションの国際実務』― 待ってましたの三法一覧

 
企業において、個人情報保護のグローバル対応とは、結局何をどこまで準備すればいいのか?専門家が皆答えに窮し逃げていたこの問いに答えようと、一冊で日米欧のデータ保護規制を俯瞰できるようにした、とても便利な書籍が出ました。

 



日本での個人情報保護法施行のドタバタ劇が一段落したのも束の間、2018年5月25日のEU一般データ保護規則(General Data Protection Regulation:GDPR)適用開始日が近づいてきました。EUから個人データをEU域外に持ち出す場合、個人データ保護のための厳しい義務をEU域外企業が個別に守らなければならない。それを定めているのがGDPRです。ネット上で無料で入手できかつ信頼できる情報源としては、JETRO作成の『実務ハンドブック』がありますので、リンクを張っておきます。

▼「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月)
https://www.jetro.go.jp/world/reports/2016/01/dcfcebc8265a8943.html
▼「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)(2017年8月)
https://www.jetro.go.jp/world/reports/2017/01/76b450c94650862a.html


このGDPRについては、先行き不透明な話があります。EUが、個人データ保護レベルについての「十分性認定」を日本に対してしてくれるかどうか、という問題です。この「十分性認定」があれば、EU/日本間の個人データの流通が認められ、企業単位の対応は軽減されます。この行く末が気になるわけですが、今年7月に「認定が得られそう」と報じられて以降、音沙汰がありません。

万が一、2018年5月までに十分性認定が得られないとなった場合、企業が自己の責任と負担でGDPRを順守できる状態(具体的には、「標準契約条項(Standard Contractual Clauses:SCC)」、あるいは「拘束的企業準則(Binding Corporate Rules: BCR)」のどちらかに従った状態)にしなければ、当該企業にペナルティが課されるリスクが発生します。

そんなわけで、対策に予算がつく大手企業は別として、多くの企業の法務担当者や情報セキュリティ担当者としては、「企業として、とりあえずGDPR対策に何をどこまで最低限準備しておいたらいいのか」と不安を抱えている状態なのでは。本書は、その不安に応えるべくGDPRを解説するとともに、なんとUSの個人情報保護法制の解説も(州ごとに異なるため可能な範囲でという限定付きではありますが)加え、日本企業が個人データ保護をグローバルレベルの基準で満たすため何が必要か、まとめてくれています。

C0AE14BE-F4E4-40AF-8728-90424A5AA29B9907F463-6F81-4FF9-9B4E-95313C0DBB88


本書全体の構成は、
第吃堯‘米欧の法制度
第局堯‘米欧の実務上の留意点
第敬堯.院璽好好織妊
の3部。

特に第3部のケーススタディは、
・クラウドサービスを利用して個人データを保管・管理する場合の規制
・モバイルアプリを通じて個人データを取得する場合の規制
・ウェブサイトで行動ターゲティング広告を行う際の規制
・グローバルなグループ会社の従業員情報を一元的に管理する場合の規制
のように、早速直面するであろうケースではあるがはっきりと答えが用意されていない実務的なポイントについて、日本・EU・米国の規制それぞれを分析・解説しており、大きな見どころかと思います。


なお念のため、米国法については連邦法の概説にとどまり、州法については一部言及があるのみにとどまります。それでも、COPPA、GLBA、FCRA/FACTA、HIPAA/HITECH、GINA、Privacy Act of 1974、VPPA、FERPA、DPPA、FTCAといった連邦法がまとめて日本語で解説されている文献は類を見ず、これだけでも非常に価値の高い文献と言えます。


本書の「はじめに」で、著者代表の長嶋・大野・常松法律事務所 森 大樹弁護士が、

実務家による類書がないことを熟知していたので、その責任の重さに躊躇する気持ちがなかったといえば嘘になるかもしれない。

と素直な心情を吐露されています。誰もが逃げていたその作業を率先してチャレンジしてくださり、このような書籍のかたちにしてくださったことに、深く感謝します。
 

【本】『個人情報管理ハンドブック〔第3版〕』― 情報法に悩まされ続ける企業法務担当者にとっての精神安定剤


1か月以上前にTMI総合法律事務所のY先生からご恵贈いただいた、にもかかわらず、書評をアップし忘れておりまして大変失礼致しました…。正直な所、先ほど伊藤先生がブログにアップされた書評を見て、アッと思い出した次第です。

私自身は恥ずかしながら本書第1版・2版のユーザーではありませんでしたが、個人情報保護法以外の関連法(マイナ法・民法・プロ責法・不競法・刑法・不ア禁法・著作権法・会社法・金商法・サイセキュ法)を広くカバーし、かつ企業が知りたい実務的な各論も漏らさずに網羅した、こんなにも使いやすい概説書があったんだな、と驚きました。





TMI総合法律事務所さんについて、私は、頭ごなしに専門知識を振りかざす前に企業の困りごとにきちんと耳を傾けてくださる先生が多いという印象を持っています。本書の内容も、そういったTMIの先生方から受ける普段の印象通り、企業法務担当者に寄り添った読んでいて安心できるものになっています。

たとえば、その一例が、「自己情報コントロール権」についての記載についてです。本書のような情報法の概説書を評価する際、私は「自己情報コントロール権」に関する記載ぶりをチェックするようにしています。というのも、アメリカでの自己情報コントロール権説の隆盛や、日本の一部の下級審判例で示された自己情報コントロール権を認める見解などを必要以上に大きく取り上げて、企業の不安を煽る書籍も少なくないからです。この点、本書の記載はまさに100点満点と言うべき内容でした。

プライバシー権を「自己情報コントロール権」、すなわち自己に関する情報をコントロールすることができる権利と積極的に定義づける見解がある。これは、コンピュータの発達に伴い、大量の個人情報が公的機関、民間事業者問わず大量にデータ化され、その保護が重要になったことに伴い、支持されてきた見解である(たとえば佐藤幸治『憲法〔第3版〕』(青林書院、1995年)等)。この見解に基づいた場合、プライバシー権は自己の情報の開示・訂正・抹消請求権を含むものと解されている(なお、法的権利性については、第7章430頁以下参照)。
下級審判決の中には、マンション購入者名簿事件(東京地判平成2・8・29判時1382号92頁)やニフティ掲示板事件(神戸地判平成11・6・23判時1700号99頁)等自己情報コントロール権の考え方に影響を受けた判決例が現れ始めているが、これらの下級審判決においても結局は私事性、非公知性等「宴のあと」事件判決以降採用されてきた3要件に基づいた判断がなされており、その意味で正面からプライバシー権を「自己情報コントロール権」であるとまで認めているものではない。(P65)
民法学説上は、ほとんどの学説において、少なくともプライバシーの権利が民法上保護され得る1つの権利ないし利益であることが承認されているが、なお従来のプライバシーの権利概念を前提としており、これを自己情報コントロール権として理解するにはなお消極的のようである。民事法の見地からは、プライバシーの権利を自己情報コントロール権と定義づけることは相当でなく、自己に関する記録を閲覧する権利、本来収集されるべきでない情報や誤った情報の訂正・削除請求権は、原則的に肯定する方向で検討する価値があるが、これをプライバシーの権利に包括することはきわめて困難であるとする見解がある。(P432)
最高裁も、最判平成20・3・6民集62巻3号665頁は、プライバシー権に自己除法コントロール権が含まれていることを認めた大阪高判平成18・11・30判時1962号11頁を破棄し、「憲法13条は、国民の私生活上の事由が公権力の行使に対しても保護されるべきことを規定しているものであり、個人の私生活上の事由のひとつとして、何人も、個人に関する情報をみだりに第三者に開示又は向上されない自由を有するものと解される」と判示して、自己情報コントロール権が憲法上保障された人権と認められるか否かについては正面から判断しなかった。(P433)


また、情報法に関する企業法務パーソンの最近の悩みどころナンバーワンと言えば、日本の改正法だけでなく、多数国に渡る個人情報保護法制についてもキャッチアップが求められているという点でしょう。これについても、第10章の40頁ほどを割いて、
・欧州
・米国
・韓国
・シンガポール
・香港
・台湾
・中国
・インド
といった主要国の情報法制のポイントを概説してくださっています。


s-IMG_7749

米国のCOPPAについては対応が悩ましい部分ではあるので、もう少し企業としてなすべきことはどこまでかといったレベルまで踏み込んで書いてくださっても良かったかな、と思うところもありましたが、これだけの国についてまずは確認すべき法令の存在を知らせてくれるだけでもありがたいというべきでしょう。


各章のトビラ部分には、経営者から企業法務担当者が聞かれがちな「つまりどういうこと?」「結局何を知っておけばいいの?」が端的にまとめられていて、こんなさりげないところにも本書執筆陣の配慮・サービス精神を感じました。


s-IMG_7753s-IMG_7755


ということで、久しぶりに法律書マンダラ2016を更新しておすすめしたい本に出会うことができました。このようなすばらしい書籍をご恵贈いただいたにもかからずご紹介が遅れたこと、Y先生には重ねてお詫び申し上げます。
 

やっと出ました個人情報保護法改正案 ― とりあえずはこの3点

 
ようやく、みなさんお待ちかねだった個人情報保護法の改正案が、具体的な条文案のかたちになりました。下記リンク先の新旧対照表P11以降をご覧になると、見やすいと思います。

個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案 新旧対照表

s-PDtaisyouhyou



企業法務に関わる改正ポイントの主だったところを3つだけ、ピックアップしてみます。


1 個人情報の定義の変更

定義規定が変更され、「個人識別符合がふくまれるもの」が個人情報の定義に加わりました(2条1項2号)。では「個人識別符号」とは何か、というと

2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

という定義(2条2項)。

以前当ブログでも言及したとおり、「個人情報の定義は広がらない」としていた事前報道とは異なり、携帯電話番号のようなかなり身近に取り扱われている番号・記号・符合も、政令で指定しさえすれば個人情報となります。

2 匿名加工情報の新設

そして、政府的にはパーソナルデータの利活用を目指すための目玉としている「匿名加工情報」が、以下の定義で新設されました(2条2項)。

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

ただし、匿名加工情報であれば自由に取り扱ってよいというものではなく、
・匿名加工情報を作成したとき:そこに含まれる情報の項目
・匿名加工情報を第三者提供するとき:そこに含まれる情報の項目および提供の手段
を、個人情報保護委員会規則に従って公表する義務が設けられ(36・37条)、あわせて他の情報と照合するなどの再識別化も行ってはならないことが法定されました(36・38条)。

3 第三者提供の制限の強化

特にオプトアウト方式で個人データの第三者提供を行う場合について、個人情報保護委員会への届出が新たな義務として法定されました(23条2項)。事業者等から届出があった事実は、個人情報保護委員会が公表することとなります(23条4項)。

2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

一・二 (略)
三 第三者への提供の方法
四 (略)
五 本人の求めを受け付ける方法

また、個人データを第三者提供した年月日、相手先等の記録保存義務が追加されたことに加え、第三者提供を受けた(個人データを受領した)側にも、
・誰から取得したのか、およびその個人データの取得の経緯を確認する義務
・そのデータの提供を受けた年月日を記録し保存する義務
が新設されました(26条)。


さらに細かいところを見ていくと、利用目的の特定義務について、現行法の15条2項では「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて(利用目的の変更を)行ってはならない」とするところ、「相当の」がさりげなく削除されていたり(15条)、正確性確保義務が拡充される形で利用終了後の個人データに関する遅滞なき消去努力義務が追記されていたり(19条)、外国へ個人データを提供する場合には別途その旨の同意を取得する義務がさらっと新設されていたり(24条)、興味深い点もたくさん見つかるのですが。

まずは、上記3点を抑えて、事業者としてやるべきことをリストアップしはじめるのが良いと思います。
 

【本】『プライバシー大論争 あなたのデータ、「お金」に換えてもいいですか?』 ― プライバシー大論争年表を作ってみました


日経BPの浅川さまよりご恵贈いただきました。 ありがとうございます。


プライバシー大論争 あなたのデータ、「お金」に換えてもいいですか?
大豆生田 崇志 (著), 浅川 直輝 (著), 日経コンピュータ (編集)
日経BP社
2015-01-24



煽り系のタイトルに嫌悪感を持たれる方もいらっしゃるかもしれませんが、本文はこの分野を追いかけ続けている浅川記者と大豆生田記者の手によるものだけあって、内容はいたって冷静な本。

筆者がこの本を企画した動機は、こうしたデータプライバシーの議論について、日本固有の歴史や事例を発掘し、議論の土台として紹介したかったことである。
本書の執筆に当たっては、プライバシーの専門家に加え、100人を超える企業関係者に取材した。「今は消費者がプライバシーに敏感なので、このテーマでは語りたくない」と取材を断る企業が多かった中、取材を引き受け、率直に語っていただいた企業および担当者の方々に、厚く御礼を申し上げる。今後、日本の企業、政府、消費者がデータプライバシーについて議論する際、本書が互いの共通認識を形作る一助になれば幸いだ。

このような趣旨のもと、ベネッセ名簿漏洩/Suica騒動/CCC(Tカード)&ヤフージャパンによるデータビジネスの3つを中心に、プライバシーが取り沙汰された事件、法改正、活用事例等を丹念に振り返り、世界と日本のプライバシー観の変化を追い、また特に昨年からのパーソナルデータ検討会の議論の過程については細かく描写し、来たる個人情報保護法の大改正を展望しています。プライバシー関連のニュースは意識的に追いかけている私でも、本書で紹介されているもののうち忘れかけていた事件・出来事がいくつかあり、記憶の整理に大変役立ちました。1点、「(現行)個人情報保護法が自己情報コントロール権の考え方を部分的に取り入れたもの」という記述がいくつか見られた(P35など)のは、現行法の法解釈としてはミスリーディングなように思われましたが。

s-IMG_4495

もう1点、出来事が年月を追って順に紹介されているわけではないのが、資料という意味では惜しいなあ…と。

なので、余計なお世話ついでに、本書で紹介されている全事件・法改正のメモを取り、年表形式に編集してみました。こうしてみてあらためて、本書執筆者の取材の丹念さに感服する次第です。

『プライバシー大論争』年表
内容 本書ページ
17世紀 イギリスで住居が部屋で分かれるようになる P27
18世紀 産業革命により職場が家庭から工場・事務所へ P27
1890 アメリカで「放っておいてもらう権利(right to be let alone)」が認められるようになる P28
1961 「宴のあと」事件、プライバシーという言葉が巨人、大鵬、卵焼きとならぶ流行語となる P29
1963 核家族が流行語となる P29
1963 ダイヤル式黒電話「600形電話機」登場 P31
1964 東京地裁がプライバシー権を正面から認める P29
1967 住民基本台帳法施行 P31
1970 政府自治体による統一個人コード導入議論により、自己情報コントロール権の概念が加わる P30
1970 名簿業者が電話帳をコンピュータ入力しはじめる P32
1980 ダイレクトマーケティング理論の本格導入 P32
1980 OECD「プライバシー保護と個人データの国際流通についてガイドライン」採択 P35
1981 警察庁「Nシステム」導入開始 P94
1987 日経社説「情報を伝えるDMが多くて何が悪い」 P33
1989 世論調査「現住所・電話番号は他人に知られたくない」10.9% P34
1990 クーリングオフ制度の強化 P33
1995 EUデータ保護指令採択 P104
1996 民間信用情報機関の個人情報が社員によって引き出され債権回収業者へ P33
1998 早稲田大学江沢民講演会出席者名簿事件 P60
1999 京都宇治市住民票データ流出事件 P34、P60
2000 5 EUと米国によるセーフハーバー合意 P108
2002 5 TBC無料体験応募者名簿流出事件 P61
2003 5 個人情報保護法成立 P10
2003 世論調査「現住所・電話番号は他人に知られたくない」42.9% P34
2004 2 Yahoo!BB加入者記録流出事件 P59
2004 10 APECプライバシーフレームワークに基づく越境執行協力 P143
2005 3 住民基本台帳閲覧による名古屋市強制わいせつ事件 P36
2005 4 個人情報保護法全面施行 P10
2006 11 住民基本台帳法改正法施行 P35
2007 4 経産省「情報大航海プロジェクト」開始 P42
2007 4 ホンダによるGPS情報提供開始 P75
2009 12 警視庁「テロ対策に向けた民間カメラの活用に関する調査研究報告書」公開 P95
2010 2 アン・カブキアンの「プライバシー・バイ・デザイン」がFTCプライバシーレポートに採用 P159
2010 3 経産省「情報大航海プロジェクト」終了 P43
2010 5 総務省「配慮原則」公開 P44
2011 1 世界経済フォーラム報告書「パーソナルデータは新しい原油」 P105
2011 9 カレログ騒動 P69
2011 10 ミログ事件 P41
2012 1 EUデータ保護規則改正案提案 P108
2012 2 アメリカ消費者プライバシー権利章典発表 P108
2012 2 カリフォルニア州司法長官がグーグル・アップル等主要6社とプライバシーポリシー表示について合意 P174
2012 3 アメリカFTC「急変する時代の消費者プライバシー保護」でFTC3条件を提示 P130
2012 7 総務省「スマートフォンプライバシーイニシアティブ」公開 P47
2012 10 アメリカFTC顔認証データのビジネスの応用について勧告 P91
2013 3 NHK「震災ビッグデータ」放映 P71
2013 5 トヨタ自動車「ビッグデータ交通情報サービス」開始 P76
2013 6 アメリカNSAによる職員による私的通信傍受が暴露 P96
2013 7 OECDガイドライン改訂 P109
2013 7 Suica乗降履歴販売騒動 P13、P64、P121
2013 9 政府IT戦略本部(内閣官房)「パーソナルデータに関する検討会」開催 P48、P111
2013 10 NTTドコモ「モバイル空間統計」サービス開始 P74
2013 12 パーソナルデータ検討会の下部組織技術検討WGによる「技術検討WG報告書」が公表される P125
2014 1 行政手続番号法(マイナンバー制度)での「特定個人情報保護委員会」発足 P113
2014 3 EUデータ保護規則が欧州議会で可決 P108
2014 4 IT総合戦略本部事務局がパーソナルデータ検討会において準個人情報の類型を提案 P138
2014 5 経産省がパーソナルデータ検討会において利用目的規制の緩和を要求 P134
2014 5 総務省「位置情報プライバシーレポート」 P72
2014 6 CCCとヤフーが購買履歴・閲覧履歴を共有する提携 P82
2014 6 内閣官房「パーソナルデータの利活用に関する制度改正大綱」公表 P111
2014 6 購買履歴や健康情報から児童で医薬品をレコメンドする行為が改正薬事法で禁止される P100
2014 6 ヤフーやDeNAによる遺伝子検査サービス参入 P97
2014 6 ソニー電子お薬手帳サービス開始 P101
2014 7 ベネッセ個人情報漏洩事件 P10、P54
2014 10 東京地裁がグーグルに検索結果の一部を削除するよう命じる仮処分 P183
2014 11 CCCがT会員規約を変更 P78、P148
2014 11 情報通信研究機構大阪駅ビル実証実験騒動 P86
2014 11 欧州議会が米グーグルに対して検索事業の分社化を求める決議案を承認 P173
2014 11 欧州委員会作業部会「忘れられる権利」ガイドライン公表 P182
2014 12 CCCとマイクロアドが属性情報突合で提携 P83
2014 12 全国万引犯罪防止機構「防犯画像の取り扱いに関する見解及び提言」公表 P93
2014 12 内閣官房「パーソナルデータの利活用に関する制度改正大綱骨子案」公表 P111
2015 個人情報保護法改正(予定) P10ほか多数


保護法の改正については、昨年12月に出された骨子案によって、おぼろげではありますが改正後の姿が見えてきています。一方で、その骨子案に対して、複数の委員からEUの十分性認定やOECDガイドラインへの抵触に懸念が呈されている現状があります。特に、新保先生ら学者筋の方々から批判が集中しているのが、「利用目的変更に関する規制緩和」、いわゆるオプトアウトによる取得後の利用目的の変更を認めることとする規制緩和案です。

パーソナルデータ検討会後半では匿名化のあり方に議論が集中していた中、青天の霹靂のように出てきたこの論点、いつ上がっていたのだろうと改めて振り返ってみると、決して土壇場で突然ねじ込まれたわけではなく、2014年5月時点で経産省がこれを提案していたことが分かります。検討会のメンバーにはあれだけの論客が揃っていたにもかかわらず、経産省の意見がこうして事務局案にスッと入ってしまうあたりに、コンプガチャ騒動後に消費者庁が動いた際にも感じた日本の「行政立法の闇」が垣間見えるような気もします。実際に、この5月のタイミングで経産省に働きかけた事業者が具体的に存在したのかどうかは不明ですが、こういった役人へのロビイング活動が与える影響はやはり大きいのだろうなと感じざるをえません。

本書では、検討会以外に個人情報保護法制の今後に影響を与えるであろう存在として、OpenIDファウンデーション、モバイル・コンテンツ・フォーラム(MCF)、インターネット広告推進協議会(JIAA)といった業界団体とその活動も紹介されています。この辺りキーパーソンを掴まえてきっちりと取材されている点も、本書の素晴らしいところです。我々ビジネスサイドが事実上の立法権を握る行政に影響力を有していくためには、検討会に参加されているような一部の有識者任せではなく、こういった業界団体を巻き込んでの議論をしていくことがますます大切になってくると、私も強く感じています。


法改正までの残り時間も少なくなってきました。事業者としては、骨子案の線で改正・施行されてもビジネスが停滞しないよう、法改正が見込まれるポイントについては先取りで自主規制の強化やビジネスの変更を進めるなど、やれることを粛々とやっていくのみです。
 

【本】情報セキュリティ管理の法務と実務 ― ベネッセ個人情報漏洩事件を踏まえて現行法義務を総点検する

 
2004年に発生したソフトバンクの個人情報漏洩事件に次いで、様々な文献で事例として語り継がれることになるであろう、ベネッセの大規模個人情報漏洩事件。

管理委託の外部業者が個人情報流出か(NHKオンライン)
nhkbenesseベネッセコーポレーションの通信教育サービスを利用している顧客の子どもや保護者の名前や住所など、およそ760万件の個人情報が流出したもので、流出した個人情報は最大でおよそ2070万件に上る可能性があるとみられています。
警視庁は、企業の営業秘密に当たる顧客の個人情報を何者かが外部に流出させたとみて、不正競争防止法違反の疑いで捜査していますが、顧客データベースの保守管理は本社から委託を受けたベネッセのグループ会社が、外部の業者に再委託していたことが警視庁などへの取材で分かりました。
データベースへのアクセス権限は、業者の中でも一部の担当者にしか与えられていなかったということです。
ベネッセによりますと、データベースに不正にアクセスされた形跡はないということで、警視庁は、こうした外部業者の担当者が情報を記憶媒体にコピーするなどして持ち出し、流出させた疑いがあるとみて調べています。

IPAの「組織内部者の不正行為による インシデント調査 − 調査報告書 − 」にも記載されているとおり、個人情報漏洩事件のほんどは外部からの攻撃である一方で、今回のような業務委託先を含む内部関係者の不正行為による漏洩事件となると、防止・発見が難しいことと相まって被害人数が多くなるという特色があります。

パーソナルデータ検討会以降、個人情報保護法が今後どう変わるかばかりを気にして浮足立っていたところがありますが、今回ベネッセに起こっていることを他山の石とし、そもそも自社が現行法を順守できているのかを改めて見直す機会としたいところ。その参考となりそうな新刊をご紹介したいと思います。


情報セキュリティ管理の法務と実務
野村総合研究所・浅井国際法律事務所
きんざい
2014-05-12




本書は、そのタイトルに忠実に、情報セキュリティに関わる法令上の義務を概説する「法務編」と、その義務を果たすために具体的に何をやるべきかをまとめた「実務編」に大きく二分されており、そのどちらも秀逸な出来となっています。

前半の「法務編」は、カバーする法令の網羅性に加えて、金融機関に求められる法的義務に目線を合わせているところが特徴となっています。その心は、
企業における情報セキュリティに関する法規制のほか、最先端の情報セキュリティが確立している金融機関に関する法規制や金融機関の取り組みを多数紹介しているが、これは、当該法規制や当該取組みがBtoC取引に携る一般事業会社にとっても実務上参考になると考えたからである。
(巻頭言より)
というもの。

・個人情報保護法 
・不正競争防止法 
・経済産業省告示 ーソフトウェア等脆弱性関連情報取扱基準(平成16年経産省告示第235号)
 ー情報システム安全対策基準(平成7年通産省告示第518号)
 ーコンピュータ不正アクセス対策基準(平成8年通産省告示第362号)
 ーコンピュータウイルス対策基準(平成7年通産省告示第429号)
 ーソフトウェア管理ガイドライン(平成7年公表)
・会社法 ー内部統制システム構築義務(362条4項6号、会社法施行規則100条)
・刑法 ー窃盗罪(235条)
 ー私文書毀棄罪(259条)
 ー建造物侵入罪(130条)
 ー器物損壊罪(261条)
 ー背任罪(247条)
 ー偽計業務妨害罪・威力業務妨害罪(233条・234条)
 ー不正指令電磁的記録に関する罪(168条の2および3)
 ー電子計算機損壊等業務妨害罪(234条の2)
 ー電子計算機使用詐欺罪(246条の2)
 ー電磁的記録不正作出・供用罪(161条の2)
 ー支払い用・預貯金引き出し用カードに関する罪(163条の2ないし4)
・不正アクセス禁止法 ーアクセス権限のないコンピュータを利用する行為の禁止(2条4項)
 ー他人のパスワード等を不正に取得・保管する行為の禁止(4条・6条)
 ーフィッシング行為の禁止(7条)
 ーアクセス管理者による防御措置構築に関する努力義務(8条)

といった、どの企業にも関係する法規制について網羅的に概説しながらも、金融機関における情報セキュリティ規制を定める
・金融商品取引法
・銀行法施行規則
・金融検査マニュアル
・金融分野における個人情報に関するガイドライン
・中小・地域金融機関向けの総合的な監督指針
そしてさらには、
・電気通信事業法と総務省ガイドライン(通信履歴・発信者情報・位置情報)
・番号(マイナンバー)法
・ISMS・Pマーク等の認証制度
・行政機関における情報の取扱に関する規制
まで取り上げます。またこれにあわせて、金融機関において発生したセキュリティ事件に関する判例が多く紹介されています。ベネッセ事件との絡みでは、特に安全管理義務や外部委託先管理責任について、金融機関に求められているレベルを知っておいて損はないでしょう。

s-IMG_3964


後半の実務編は、
・情報セキュリティの組織・体制・ルール
・従業員管理・教育訓練
・情報資産/施設・環境/端末・媒体/ネットワークごとのセキュリティ対策
・セキュリティ監査
・グループ管理
ごとに、章を分けて解説。

委託先管理という観点でやはり最近気になるのは、既に水・電気の如く必要不可欠な存在となってしまったクラウドサービスの存在。クラウドベンダー側に確認すべき事項がまとまっているところなどは、最新刊ならではの読みどころです。

s-IMG_3966


漏洩の規模もさることながら、謝罪会見において「センシティブ情報が漏れたわけではなく、金券を配布することは検討していない」と頭ごなしに賠償責任を否定した同社のスタンスや、名簿屋を通じてジャストシステムが当該情報を購入していたことの是非についても議論が波及、さらには大臣が情報の消去義務について個人情報保護法改正の必要性に言及するまでに発展している同事件。被害を受けている方にとっては不謹慎な物言いとなってしまいますが、企業法務パーソンにとっては格好の学習・反省材料ともなりそうです。
 

参考:

▼内部関係者による情報漏えいを繰り返さないためにできること(@IT)
http://www.atmarkit.co.jp/ait/articles/1407/11/news158.html
 

【本】新訂版 個人情報保護法 ― 「匿名化」時代の保護法再考

 
日本の個人情報保護法の基本書・概説書として最高峰にあるこの本。この数年手に入らない状態が続いていましたが、ようやく2刷となり、手に入るようになりました(Amazonにはまだ反映されてないようですが)。


個人情報保護法個人情報保護法 [単行本]
著者:岡村 久道
出版:商事法務
(2009-03)


恥ずかしながら、自分用には黄色い表紙の旧版しか持っておらず、出版社在庫もなかったため、数年前から古本が出ていないか毎週のようにブックタウンじんぼうなどで定期的に探していたところでした。

s-IMG_2496


概説書は辞書的に使うものであり会社にあればいいという考え方もありますが、今回この2刷となった新訂版をもう一度最初から読んで、この本はやはり自分で買って読み込むべき本だと思いました。旧版から100ページほど増量し、記載にも厚みが生まれているのはもちろんのことですが、今回手に入ってじっくり読んでみると、新しい発見がいくつか有ります。たとえば、旧版では自己情報コントロール権を正面から認めるかについて躊躇がみられた記述が、新訂版では

学説上では、佐藤幸治教授をはじめ、情報プライバシー権説を採用する者が出現して多数説となった。(P17)
本人関与に関する規定は、個人情報取扱事業者に義務を課すだけではなく、本人に個人情報取扱事業者に対する具体的な権利を付与するものか否か争いがある。
立法者意思に照らして、具体的権利性を肯定すべきである。(P269-270)

と、わりとはっきりと認めていらっしゃったり。この新訂版を最初に読んだ2009年当時のころの私は、勉強不足もあり、そういう機微に気づけなかったんですね。このブログの2010〜11年前後のエントリで、一生懸命自己情報コントロール権説に対する反対意見(ポジショントーク)を書き連ねていたのは、今となっては懐かしい思い出です(笑)。

しかし、そんなすばらしいこの本も、2009年刊行ということもあり、最近のプライバシー議論、ビッグデータとプライバシーの問題についていけてないのでは?という疑問の声もあります。先日、高木先生が公開されていた講演資料にも、このような指摘がありました。

産業技術総合研究所 高木 浩光「パーソナルデータ保護法制に向けた最近の動向」P11

s-okamurasetsu

同法の大家である岡村先生の説が、プライバシーを軽視する企業によって拡大解釈・悪用されてしまうことを恐れてのご発言のようです。しかし、2009年ごろは保護法によるビジネスサイドの過度な萎縮が問題視されていたのも事実。

ビッグデータの解析技術が現実かつ身近な脅威ともなってきた今、匿名化と個人情報保護の厳密な議論の必要性が加速度的に高まることは確実でしょう。しかし一方で、あれだけ喧々諤々な議論で成立した個人情報保護法がすぐに変わることもないだろうことを考えると、いまだからこそもう一度しっかりと保護法と向き合う必要があるのではと思います。

読めば読むほど自分自身の勉強不足を感じさせてくれる一冊です。
 

「パーソナルデータ」を公式用語にしたのは誰か

 
最近、ウェブサービスにおける個人情報の取り扱いが論じられる際に、「個人情報」ではなく「パーソナルデータ」という語が使われるようになっています。

これは、世界経済フォーラムが2011年1月に公表した報告書“Personal Data: The Emergence of a New Asset Class(PDF)”において、“Personal data is the new oil of the Internet and the new currency of the digital world.(パーソナルデータは、インターネットにおける新しい石油であり、デジタル世界における新しい通貨である)”と謳われたことがきっかけで日本の有識者に広まり、好まれて使われるようになった語です。そこから発展して、法的な文脈において日本語で単に「個人情報」と表現してしまうと悪法と名高き個人情報保護法第2条において定義された「個人情報」の定義と同一視されてしまって不都合が生じる場面が多いことから、保護法でいう「個人情報」よりも広い意味での、「個人に関する情報」を意味する語として、加速度的に使われる頻度が高まってきました。

説明において「個人情報」では不都合が生じる場面とはどんな場面か?その実例が、『良いウェブサービスを支える「利用規約」の作り方 』で私が書いたP29ー30の一節にもあります。ここでは、「広義の個人情報」と「狭義の個人情報」という語を使いわけ、個人情報保護法で保護される情報と保護法では保護されない情報の違いについて図まで使って長々と一生懸命説明しているのですが(苦笑)、ここでいう「広義の個人情報=パーソナルデータ」という一言で表すことができると、とても便利なわけです。

Personalinfo1

さて、この「パーソナルデータ」、現在ウェブサービスと個人情報の取扱いにおける実務上の公式ガイドラインとなっている『第二次提言』や『スマートフォンプライバシーイニシアティブ』においては全く使われていなかった語です。では日本において、公式にはいつ頃から何をきっかけに使われはじめ、一般に広まったのか?出自が気になったので、Googleとtwitterの期間指定検索で時期を区切りながら調査してみました。すると、2012年10月30日の総務省による「パーソナルデータの利用・流通に関する研究会」の発足が契機となって、ネット上でこの語が使われ始めたことが見てとれました。先日、この報告書のパブコメ募集が話題にもなっていたので、聞き覚えがある方も多いかと思います。

searchpi1searchpi2


一方、こちらも先日報告書が提出されましたが、経産省もIT融合フォーラムパーソナルデータWGというものを立ち上げて以降、この言葉を公式に用いるようになっています。念のためこのWG発足日を確認してみると、2012年11月28日。ほほう、つまり総務省が10月にオフィシャルに使い出して、経産省が11月に遅れてこれをフォローしたと。そうなのかぁ・・・と思って調査終了しようかと思ったところ、そのWG報告書(PDF)P1の脚注にこんな「主張」が・・・。

パーソナルデータとは、2005 年(平成 17 年)より経済産業省において推進した「情報大航海プロジェクト」で用いられた「パーソナル情報」の概念を引用しており、個人情報保護法に規定する「個人情報」に限らず、位置情報や購買履歴など広く個人に関する個人識別性のない情報を含む。なお、2012 年(平成 24 年)より総務省で開催されている「パーソナルデータの利用・流通に関する研究会」においても上記の概念と同様に個人識別性を問わない「個人に関する情報」を「パーソナルデータ」と定義している。

“概念を引用”というのがもはや何を言っているのかよくわからない言い回しですが、とにかく、経産省としては「パーソナルデータも、もともと俺達が先に考えた概念のようなもんです。総務省が後から真似しましたけどね(キリッ」というわけです。ちなみに、その情報大航海プロジェクトにおける「パーソナル情報」の定義がこちら。

通常、生存者に関する情報であって、特定の個人を識別することができるものを個人情報といいますが、それだけではなく、行動や視聴など個人と連結可能な情報を総称してパーソナル情報といいます。これは情報大航海プロジェクトで定義した考え方です。
そして、関連制度で明確な定義のされていない情報についても、情報大航海プロジェクトでは定義を行っています。大きく「識別情報」と「非識別情報」に分けて定義をしています。
「識別情報」は、「個人を識別する目的で使用される情報」を指します。例えば、名前、住所などが該当し、情報大航海プロジェクトでは、識別情報とそれ以外の境界線を調査しています。
この境界線を明確にすることで、「個人情報ではない状態」を定義しようとしているのです。
「非識別情報」は、「それだけで個人を識別することはできない情報」を指します。例えば、生年月日、家族人数、年収などがそうです。
これに加え、情報大航海プロジェクトでは、現状の関連制度において何も定義などされていない行動や購買、視聴などに関する情報も「その他情報」と定義しています。


DAIKOUKAI


まるで発明者であるかのような言いっぷりですが(苦笑)、とにかく、2011年に世界経済フォーラムが流行らせるだいぶ前から考えてたんだぜーということらしいです。

こういうところからも、個人情報・プライバシー保護行政についての総務省と経産省の骨肉のイニシアティブ争いが見て取れますが、いろいろなWGがそれぞれの省庁で乱立し、報告書ができ、パブコメで意見を求められ、さらにその文書の中で微妙に違う定義で言葉を使われたりすると、混乱するのは国民であり企業ですので、そろそろどちらが大将なのかを決定していただくべき時が来たのかな、と思っております。
 

【本】論文の書き方マニュアル ― 学者もすなる論文といふものを、サラリーマンもしてみむとてするなり

 
年末年始、普段できないまとまった作業をしてみようかということで、学会誌に投稿予定の論文みたいなものを書いています。

私がブログでものを書くのは、私のものの考え方を反面教師に皆さん自身が考え方を整理していただいたり、紹介する情報が皆さんの仕事のお役に少しでも立てばと思ってのことなのですが、所詮ブログなんて自己満足の世界だ、という批判も根強いものがあります。私は必ずしもそうは思いませんけど。

そこで、もう少し自分の職業経験やアイデアを社会の役に立てる道はないかと考えたとき、起業するには持てる資本も人脈もなく、共著でなく単著を出版とかいうのもそんな声がかかる実績もないので、背伸びせずに頭とカラダだけあればできる論文みたいなものを書くことにしてみました。(この「サラリーマンも論文を書いてみたら?」ってアイデア自体は誰かの本で読んだ記憶があるのですが、思い出せません・・・。)


とはいえ、論文なんてほとんど書いたことがない私。そんな私でもこの方法なら書けるんじゃないかと思わせてくれたのが、この本でした。

論文の書き方マニュアル―ステップ式リサーチ戦略のすすめ (有斐閣アルマ)


この本では、論文を書きあげるまでのステップを、大きく3つに分けて考えます。

まずは、「テーマとねらいの決定」。
テーマを自分の手に負えるエリアに絞り込み、世の中に既に出ている関連文献を読み漁って、先行研究がないかどうか、ねらいについて自分なりの新味が出せるかを検討し、大まかな章立てを考えます。

s-IMG_3385


次に、「リサーチ」。
関連分野の基本書・文献・先行研究を精読して自分のテーマに関わるトピックをピックアップし、文房具店で売っている情報カードに引用したい部分や自分のアイデアを書き出していき、これを眺めたり並べ替えたりしながら、大まかな章立てにしたがって節を作って行きます。

s-IMG_3387


最後に「執筆・仕上げ」です。
・書き出し、改行は一字下げる
・カッコ類の開き部分は行末に置かない
・アルファベットは横書きにして1マスに2字書く
などの執筆の基本ルールを守りながら、整理した情報カードを参考に、最初のステップで検討したテーマとねらいと摺り合わせて、下書き→清書をすすめます。

特に、引用文献やアイデアを情報カードにまとめて整理していくという手法論がとってもわかりやすいですし、TwitterでつぶやいたりRTしたことをブログにまとめる感覚にも似ていて、これなら自分でも書けそうという気にさせてくれる、いい本だと思います。


なお、私がまとめたいのは、個人情報保護法の不備が生んだ日本の個人情報保護偏重主義をどう是正していくかについての提言です。

企業が個人情報を利用する場面、中でもすべての企業が行うはずの採用選考の場面における応募者のプライバシーに関わる情報の取扱いを題材に、プライバシー保護ありきの個人の目線だけではなく企業の視点からも課題を捉え、個人情報保護と利用のバランスをとるアイデアを探ってみたいと思っています。個人がSNSに書き込んだことが当たり前のように採用選考担当者にも参照されたりと、企業が情報を集めようと思えば集められてしまうこの情報化社会において、個人として何を覚悟すべきか、という個人側の視点も含まれることになるでしょう。

いままさに、リサーチのステップをすすめているところで、残り二十数時間あまりの正月休み終了までに下書きまでやりきれるか、そして1月下旬の〆切に間に合うのか相当不安ですが、もうここで言っちゃったから書くしか無くなりました(笑)。背伸びせず、書ける範囲で書けるだけのものを書いてみることにします。

“web(画面)上の契約約款なんてみんな読まずに同意する”ことを前提にしちゃったら、「個人情報の収集・利用のオプトイン同意」ってどう取ればいいの?

 
「総務省がユルユルなせいで個人情報がネットで盗取されるようになるからおまいらビビれ」的なノリで話題になっているasahi.comのこの記事から。

「ネット全履歴もとに広告」総務省容認 課題は流出対策(asahi.com)
インターネットでどんなサイトを閲覧したかがすべて記録される。初めて訪れたサイトなのに「あなたにはこんな商品がおすすめ」と宣伝される―。そんなことを可能にする技術の利用に、総務省がゴーサインを出した。ネット接続業者(プロバイダー)側で、情報を丸ごと読み取る技術を広告に使う手法だ。だが、個人の行動記録が丸裸にされて本人の思わぬ形で流出してしまう危険もある。業者は今後、流出を防ぐ指針作りに入る。

asahi.comは単に「総務省は容認」と短く評していますが、少し眉に唾しながら読んで頂く必要もあるかと思います。以下が総務省が出している提言の原文になりますが、これを読むと、DPI(ディープ・パケット・インスペクション)による個人情報収集・利用の基本的な法的論点について網羅的に検討・言及され、同意がなければ違法であることも断言されています。

利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」第二次提言ー別紙2(PDF)
DPI 技術を活用した行動ターゲティング広告の実施は、利用者の同意がなければ通信の秘密を侵害するものとして許されない。(P58)

しかし、その違法性を阻却するために事業者が採用すべき“新しい同意の取り方”が、何とも事業者泣かせな嫌な感じになっています。
通信当事者の同意がある場合には、通信当事者の意思に反しない利用であるため、通信の秘密の侵害に当たらない。もっとも、通信の秘密という重大な事項についての同意であるから、その意味を正確に理解したうえで真意に基づいて同意したといえなければ有効な同意があるということはできない。一般に、通信当事者の同意は、「個別」かつ「明確」な同意である必要があると解されており、例えば、ホームページ上の周知だけであったり、契約約款に規定を設けるだけであったりした場合は、有効な同意があったと見なすことは出来ない。(P56)
つまり、色々書いてあって長文な契約約款をweb上のスクロールボックスの中でだらだらよませて「同意」ボタンを押させるような同意の取り方じゃダメだよと。

s-539521_40215418

では、どうすればいいの?という回答がこれまた意味不明。
有効な同意とされるためには、例えば、新規のユーザに対して、契約の際に行動ターゲティング広告に利用するため DPI 技術により通信情報を取得することに同意する旨の項目を契約書に設けて、明示的に確認すること等の方法を行う必要がある。(P56)
ん?web上で「契約約款に規定を設けるだけ」ではダメだけど、「同意する旨の項目を契約書に設け」るとOKになるんですか?

私はこれを読んで、2001年に定められた借地借家法第38条第2項の定期借家契約制度を思い浮かべました。

それまで日本では困難だった定期借家(賃借人が強制的な返還義務を負う借家)契約が法律で認められた際、賃貸人にはそれを契約書に明示するだけではなく、契約書とは別に「更新がなく、期間の満了により終了する」ことについて別途書面を交付し説明しなければならない(で結局説明を受けた旨の証拠として印鑑を押させる)という、なんとも重畳的な義務が課されたあの改正。
今回の提言では「書面で」とははっきりと言わず、「契約書」という文字でさらっとごまかしていますが、総務省はDPIをやりたくてしょうがない事業者サイドと権利意識の強い消費者サイドとの狭間で、この定期借家契約スキームを落とし所として想定しているのかもしれません・・・。

web(画面)上の契約約款だとどうせ読まないから同意したとは認めないが、紙の契約書だったらちゃんと読むだろうからOKっていうのはもうやめませんか。どれだけ消費者の契約行為に対して過保護な国なのかと。

利用者も事業者も喜ばない行き過ぎた個人情報保護に対する批判を反映した提言になるはずが、個人情報保護法にも規定されていないような収集・利用にあたっての不毛な義務を事業者に新たに課すだけの提言にならないことを、そして、この過保護さが今回のDPI許諾以外のネット上でのあらゆる契約行為に対する規制に波及しないことを、祈るばかりです。

「プライバシー情報とは何か」を真正面から定義したアメリカの新プライバシー保護法案が、日本の個人情報保護法よりもはるかに男気溢れるものになってる件

 
今日は、日本では未だはっきりと定義されないままの「プライバシー情報とは何なのか」が、アメリカでは新しい法律によってハッキリと明示されようとしている、というお話です。

New privacy bill makes your location, sexual orientation "sensitive info"(ars technica)
The bill isn't particularly long, and compared to laws in other countries, it's not particularly strict. But it does provide a decent privacy baseline in the US, providing limited protection for "covered information" and much tougher protection for "sensitive information."

プライバシー保護必要性の度合いを2段階に分けて、低い方を“covered information”、高い方を“sensitive information”と名づけ、しかもその具体的情報項目を明示したのが画期的なこの法案。

covered informationのリストがこちらで、
  • The first name or initial and last name
  • A postal address
  • A telephone or fax number
  • An e-mail address
  • Unique biometric data, including a fingerprint or retina scan
  • A Social Security number, tax identification number, passport number, driver's license number, or any other government-issued identification number
  • A financial account number, or credit or debit card number, and any required security code, access code, or password that is necessary to permit access to an individual’s financial account
  • Any unique persistent identifier, such as a customer number, unique pseudonym or user alias, Internet Protocol address, or other unique identifier, where such identifier is used to collect, store, or identify information about a specific individual or a computer

こちらがsensitive informationのリスト。
  • Medical records, including medical history, mental or physical condition, or medical treatment or diagnosis by a health care professional
  • Race or ethnicity
  • Religious beliefs
  • Sexual orientation
  • Financial records and other financial information associated with a financial account, including balances and other financial information
  • Precise geolocation information<
特にsensitive informationを収集する際は、express opt-in consent、つまり明示的なオプトイン型同意を取った上でないとNGという義務がついてます。

いくつかのサイトでこの法案に対する評釈を見ていると、「IP AdressとUnique biometric data(指紋などの生体情報)がcovered informationに入ってるのは緩すぎるんじゃないか?」という批判や、「geolocation information(位置情報)がsesitive informationに入ったのは厳しすぎるんじゃないか?」というあたりに注目が集まっています。

前者については議論の余地は確かにあるなと思いつつ、後者については、かねてからリアルタイムwebの世界で位置情報が公開されることは危険すぎると思っていた(だからTwitterでも現在地だけは決してつぶやかない)私としては、その感覚にとても共感します。

翻って、日本の個人情報保護法はどうかと言えば、
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう
っていう定義だけで、プライバシー度合いの定義や、それによる義務の軽重なんかも全くなし。裁判で判決を貰うまでプライバシー侵害の責任を問えるかどうかも分からない状態ですから、だいぶ遅れをとってしまった感があります。
 
判例を積み重ねてゆっくりと法規範を定立していくのが基本のコモンローの国アメリカが、法律で権利と義務を定める成文法の国ここ日本よりも先にプライバシーとその義務を法律でしっかり規定するというのも皮肉な話ですが、そうせざるを得ないほど、アメリカ社会では既にITが国民生活の基盤となっているということなのでしょう。

さて、日本においてプライバシーに対する問題意識が醸成され、法案ができるのは、これから何年後になるでしょうか。
 

【本】個人情報保護法の理念と現代的課題―滝のような量の英/米/日プライバシー権判例に打たれて、悟りの境地に達してみる

同じ部署で情報セキュリティを担当している同僚が、情報セキュリティ大学院大学に通っているんですが、こんな大学院ができちゃうぐらい今が旬かもしれない情報セキュリティの世界。

そこの専任講師を務める石井夏生利(かおり)さんによる大変な労作。


個人情報保護法の理念と現代的課題―プライバシー権の歴史と国際的視点個人情報保護法の理念と現代的課題―プライバシー権の歴史と国際的視点 [単行本]
著者:石井 夏生利
出版: 勁草書房
(2008-05-26)


石井さんは私と2つしか年齢が変わらないお若い女性。ユニ・チャーム株式会社法務部でも経験を積まれていたそうです。そのせいか、文章もいわゆる学者肌とは違う親近感を感じます。


英/米/日に渡る圧倒的な判例調査

何がすごいって、とにかく調査している判例の量がすごい。

個人情報、特にプライバシー権の国際水準を探るために、英・米・日の3カ国の判例を原資料にあたって丹念に分析しているのですが、この量がハンパない。

600ページあるこの本の中で、
・イギリスの判例…54ページ
・アメリカの判例…64ページ
・日本の判例…49ページ
・上記3カ国をまとめた考察…27ページ
と、純粋な判例紹介・評釈だけでこれだけのページ数を割いています。しかも1800年代後半の判例まで遡って。石井さんはすべて原資料に当たられているそうですが、この作業だけでも数年かかりそうですね。

この大量の判例にまとめて触れさせてもらったおかげで、プライバシー権の判例と言えば『宴のあと』事件ぐらいしかまともに読んだことがなかった私にも、
  • プライバシー権を正面から認めようとはしなかったイギリス
  • 当初から積極的にプライバシー権を認めようとしたアメリカ
  • イギリスとアメリカで長い年月をかけて整理されたプライバシー権の考え方をそっくりそのままパクった日本
という構図が見えてきて、非常に興味深かったです。


個人情報保護の問題は突き詰めればプライバシー権の問題になる

私が今所属している会社は、ビジネスパーソンの転職を支援するというお仕事。個人情報保護の問題はいくら研究してもしたりないテーマであることを、まさに仕事を通じて実感させられています。

そして特に個人情報保護というテーマの中でも、私の部署は今センシティブ情報をどこまで収集し・伝達すべきなのか(たとえば転職の相談においてコンサルタントが病歴の申告を受けた場合、これを求人企業にどのように伝えるべきか)について検討しています。

私はそんな検討を進める中で、個人情報コントロールの要諦は、行き着くところプライバシー権をきちんと理解できるかどうかにポイントがあるのでは、と思うに至っていました。

石井先生が個人情報保護法を研究対象としつつもこの本のサブタイトルを「プライバシー権の歴史と国際的視点」 と冠されたこと、そしてこの大量のプライバシー権に関する判例を読んで、その確信が深まった次第です。

「企業と人との新しい結びつき」の実現を目指して頑張ります。ご支援いただける方はこちらをクリック!(blogランキング)

記事検索
月別アーカイブ
プロフィール

はっしー (Takuji H...