内閣府による個人情報保護に関する広報番組が公開されました。
テレビ番組/政府広報オンライン 　からご参照ください。

テーマの通り、個人情報保護に関する過剰反応について分かりやすく説明した内容となっています。
個人情報保護法は、個人情報を 5001 件以上取り扱う民間事業者を対象としているのですが、法律の名前が先行して走ってしまったこともあり、まだまだ誤解も多いようです。

誤解に端を発する行動に対して、法律の主旨を理解しないまま批判するようなメディアも見受けられますので、個人個人でしっかりと理解することが大切です。
とはいえ、法律を、個人単位で理解することは、現在の日本においては容易なことではないと感じています。分りやすい法律名と法記載が望まれます。

個人情報保護法の正式名称は、"個人情報の保護に関する法律" ですが、いっそのこと、"5000 件を超える個人情報を取り扱う事業者における個人情報保護と適切な利用に関する法律"　としたほうが良いかもしれませんね。

事務局長 久保田　

ISO が欲しい場合は、日本規格協会から購入しなければなりません。
情報セキュリティについては、やはり外せないのが ISO27000 です。
シリーズをいかに簡単にまとめてみました。(現時点での情報)

日本における個人情報保護への取り組みは、EU指令. 「個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」 に端を発しています。以前の世の中の状況については詳しくないのですが、プライバシーという言葉についても、やはり、その前後から使われるようになったのではないでしょうか。

日本においては、個人情報保護法という名前ですが、アメリカ合衆国では Privacy Law です。

では、「個人情報保護 = プライバシー」 なのかというと、ちょっと意味が違うように、私は感じています。
プライバシーというのは、個人の権利を尊重するためのものであり、その中に秘匿ということも含まれてくる場合もあると認識しています。
一方、個人情報保護というと、その人本人の意向よりも、その情報そのものの取り扱いということに注意が向いているように思われます。
その感覚の違いが、いわゆる、「過剰反応」を生み出しているのではないかと考えています。

「本人の意向を尊重し、すべての関係者に利益をもたらし、適切に管理する」という、社会生活における基本的なマナーが欠け落ちてきてしまっているのかもしれません。

なお、個人情報保護法では、その法律がおよぶ対象を 「5001 人以上の個人情報を 6 か月以上保管する者」 としています。その条件に満たないのであれば、法律を理由に、なんらかの行動を制限する必要はありません。逆に言うと、法で裁かれないということでもあります。もちろん、個人情報保護法では裁かれなくても、他の民法が該当する場合があります。

法律ができ、その存在が注目されることは良いことですが、利用する側もされる側も、正しい理解を深めていくことが大切です。

事務局長　久保田

個人情報の誤廃棄について幾つかニュースになっています。
流出ではないために、2次被害などは発生しないと説明されています。一見、何も問題ないように思われますが、そこには大きな問題が隠されている可能性があります。

まずは、法令に照らし合わせみましょう。以下は個人情報保護法からの抜粋です。

（安全管理措置）
第二十条　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人 データの安全管理のために必要かつ適切な措置を講じなければならない。

誤廃棄は、滅失に当たるのではないかという疑問がわきます。ただ、これは全損した場合とされていますので、元データがしっかりしていれば、滅失には該当しません。ニュース報道では詳細まではわからないことが多く、また、元データがなくなってしまっていると、事業者側で本人確認ができないため、本人側にて証拠を用意する必要が出てきます。非常にやっかいな話になってきます。(年金問題などは、このような落とし穴に陥っているように思われます)

次に、そもそもの管理体制がどうなっているのだろうか？という素朴な疑問についてです。
個人情報保護法においては、データの保存期限については触れられていません。(金融系などの業界によっては、保存年限を定めた法令に則っている場合もあります。)　法令上の制約がない場合は、事業者自身が決めることとなります。
個人情報は、「取得～利用～廃棄」のライフサイクルを決めることが大切です。そして、それぞれのフェーズにて、なんらかの承認、そして、その記録がなされていることが必要です。
誤廃棄は、"ライフサイクルを定めないまま取得している" と、"廃棄の記録を取らない" という問題ということになります。いずれも管理が杜撰ということには変わりありません。

取得～利用　については、大きな注意を払われることが多いのですが、「使った後は忘れてしまう」というのは人が行う限りは消えない問題かもしれません。特に、個人情報は、いわば他人の情報ですので、後回しにしているうちに忘れやすいのも事実です。
マイクロソフト社内においては、この問題を解決するために、個人情報取り扱いのシステムから後通知が来るようになっています。その通知は、その利用者の上長にも届きます。もちろん、取り扱いの記録なども管理されています。私を含めた管理者側も定期的にチェックをしています。これにより、使った後の放置ということを防いでいます。システムと、人によるマネージメントの両建てでようやく達成できています。いずれ、利用者側の日常意識がより高くなれば、人手の部分は不要になるかもしれませんし、不要にしていくことが目標でもあります。

事務局長　久保田

2005年4月に個人情報保護法が全面施行され、もう約 2 年半経過したことになります。
法律施行日前後時期における大きな漏えい事故や、法令順守のためのコストの話などに加え、世間の中における過剰反応もたびたび話題となってきました。

法律ができたから個人のプライバシーに配慮しなければならないということではなく、法律ができる前から、(本来は) 当たり前のように配慮されてしかるべき事柄でした。ただしかし、それの規範となるものがローカルルールや慣習であったという点において、基準化されない、若しくは明文化されていないルールとして守られにくい背景となっていたことは事実です。

過剰反応、つまり、積極的未利用についてはどうでしょうか。確かに、利用しない情報は取得しないという観点は間違っていないでしょう。しかしながら、利用されるべき情報についても、法律の誤解釈などもあって、取得しないという状況、または、管理責任が発生することに対する嫌忌感などが起きているように見受けられます。

一般的に、法律は読解するのが難しいです。そして、それを実運用にあてはめることは、法務の仕事している人間でも、時には難解な作業となります。しかし、社会が成熟していくには、ひとつひとつ吸収し、一般化させていくことを継続しなければいけません。一般化、普遍化させることで次のステージに進むことができるのです。

個人情報保護に関して、今はまだ、沢山の報道がなされています。過渡期であるが故と考え、一つ一つの事象を教訓、教材としていかなければなりませんね。

事務局長　久保田

独立行政法人情報処理推進機構 (IPA) から報告書が公開されました。

詳細は以下のページをご参照ください。
情報処理推進機構：セキュリティセンター：2006年 国内における情報セキュリティ事象被害状況調査の報告書公開について

特記すべきは、Winny に関する項目でしょう。
何かが起こる前に先手を打っての対策、つまり予防を行っていなかった場合、 その被害額は多額になります。Enterprise Risk Management(ERM) という言葉を良く聞くようになりましたが、個々人の行動が会社の経営リスクに転じることがあることも考えていかなければなりません。
Risk Management は、予測のサイエンスで、手法は単純ではありません。Case by Case に拘りすぎると決定が遅れ、かといって、些細なことと優先度を下げることも難しいことがあります。経営方針、企業規模、地域における存在などを踏まえて、チェック項目を作成する必要があります。

事務局長　久保田