いつの時点で、個人情報が漏えいしたと考えるか・・・ (2)
こんにちは、丸山満彦です。2005.08.09で個人情報は「漏えい自体が問題」というより、「未承認者への開示が問題」ではないのか?ということを書きました。特に「媒体自体の漏えい」とは、一線あってしかるべきなのでは・・・
漏えいしたといえるのは・・・というより、安全管理措置が果たせなくなった状態というのは・・・
=====
① 個人情報(を記録した媒体)が管理者の管理外に置かれた状態になった時点
② 個人情報が未承認者にアクセスされる状態(利用される状態かどうかは問わない)となった時点
③ 個人情報が未承認者にアクセスされた時点(利用される状態かどうかは問わない)
④ 個人情報が未承認者にアクセスされ、利用される状態となった時点
=====
のどの段階でしょうか?
2005.08.09 いつの時点で、個人情報が漏えいしたと考えるか・・・では、OECDの原文などと比較して、「漏えい」ではなく「未承認者への開示」が問題であろうと、ましてや、「媒体の紛失」ではないだろう・・・という話を書きました。丸山説では、本質的には④であるが、安全管理措置の状況に応じて②~④の間になるのでは・・・という意見です。
この件について、何名からか次のような意見をいただきました。
======
①説
「個人情報を記録した媒体が収集目的を管理する管理者の管理外に置かれた状態になった時点」ではないだろうか。
情報主体から見ると、いつの時点で権利侵害となるか、つまり、情報主体の自己情報コントロール権が侵害されたかが基準になるのではないだろうか。
情報主体は情報保有者が「必要かつ適切な措置」を講じ権利侵害がされないことを期待して、個人情報を提供している。個人情報保護法でも「個人データの安全管理のために必要かつ適切な措置を講じなければならない」ので、「管理ができなくなった」状態は義務違反であり、情報主体の期待を裏切った状態と考えるべきではないだろうか。この意味で「紛失」は「漏えい」の無限の可能性を秘めた状態で、少なくとも「漏えい」として事故の態様が判明するよりも悪い状態ではないだろうか。
======
======
①説
個人情報を記録した媒体が、その管理者の手から離れるということがそもそも、安全管理措置が十分に講じられていないということなので、紛失をした段階で安全管理措置違反と考えるべきではないだろうか。
======
======
①説
個人情報取扱事業者の管理外となった段階で個人情報の漏えいと考えるべきではないか。たとえ媒体に保管されているとしても本人の情報が個人情報取扱事業者の管理外になったということは、漏えいにつながる重要な問題であり、個人情報取扱事業者が本当にどのような安全管理措置(暗号化など)をしているのか、わからないので、本人の立場にたてば、個人情報取扱事業者の管理外となった段階で個人情報の漏えいと考えなければ、本人の権利利益を十分に保護することができない。本人への情報の開示も媒体が紛失した段階で、行ってもらわないと意味がないのでは。
======
①説の方が多いです。丸山説ピンチです。
【参考】
・2005.07.24 金融機関で約678万件の個人情報が紛失したが、顧客に被害が発生したと報告されたものはない
・2005.07.20 JNSA 個人情報漏洩インシデント調査結果 (2)
・2005.06.20 Thin Clientパソコンの紛失と普通のノートパソコンの紛失の違い
・2005.06.13 個人情報漏えい 米国の状況
・2005.06.07 JNSA 個人情報漏洩インシデント調査結果
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
Comments
「情報主体の自己情報コントロール権が侵害されたかが基準になるのではないだろうか」というコメントについ反応してしまう。
本論とは関係ないが、
「自己情報コントロール権」。う~む根強いなぁ。この考え方は。
しかし、同意原則を採用していない法律でも、プライバシー情報を採用していない法律でも、自己情報コントロール権で説明するのかと小一時間。
開示範囲もさぞかし広かろうと思う。
Posted by: 鈴木正朝 | 2005.08.16 23:43
鈴木さん、コメントありがとうございます。自己情報コントロール権ですが、ユビキタス時代では、ちょいと難しいのではと私も思っています。
ところで、いつの時点で個人情報が漏えいしたと考えればよろしいのでしょうか?教えてください。
Posted by: 丸山満彦 | 2005.08.17 07:26
個人情報保護法とその関連において「漏えい」の法的効果っていうのは、なんですかね。
主務官庁への報告義務くらいですかね。ならば、その趣旨にしたがって報告すべき時をその関係で「漏洩」と定義してしまえ、というのが、(いっちゃった)法律家的アプローチかと。
Posted by: ミスターIT | 2005.08.19 09:57
ミスターITさん、コメントありがとうございます。法律的につめたら駄目じゃないですか・・・。行政指導の話なので、その辺、法律的な問題とは、ちょっと視点を変えて・・・。
なんとか、うまくできないですかね・・・
Posted by: 丸山満彦 | 2005.08.20 01:59
>法律的につめたら駄目じゃないですか・・・
法律的に詰めたときに、何が正しい解釈かというスタンスは、不毛で、実益がないよねというように議論が収束しちゃうんですよね。
ただ、逆に、その議論は、なんの法律効果を議論するためにやっているのという方向から、検討すると、議論の実益がはっきりしたりするということがあり、そのほうが、法律家的には、意味があったりします。
Posted by: ミスターIT | 2005.08.20 08:19
ミスターITさん、コメントありがとうございます。
法律的に詰めたときに、何が正しい解釈かというのは、非常に重要な話です。最終的には法律的にきちんとつめて対応することが法治国家の基本ですから。。。それは、それで重要。ただ、法律的にきちんと詰める手前の段階で実務は動いていることが多いので、その辺をきちんとしてほしいというのが私の主旨でございまして・・・
例えば、政府推奨暗号により暗号化された個人データファイルを格納したCD-ROMを紛失した場合であっても、企業が個人情報を紛失したと公開しないといけないような、行政指導があったとします(仮定)。でも、それは、法律上には明確にそのようにしないといけないと明記されているわけではなく、しかもガイドラインでもそこまでのことは書いていないわけです。
でも、そのように行政指導されると、どうしても企業はそれに従わなくてはならない雰囲気になります(従わないことも企業の選択なのですが、行政指導に反する行為をするのは、企業にとってかなり勇気のいる行為ですよね。本来ならおかしな行政指導については、きちんと反論するのが最終的には株主の利益になるのでしょうが・・・)
そこで、個人情報を紛失したらその情報を公開しなければならないということを当たり前のように受け入れてしまってよいのですか?というのが、私の問題意識なんですね・・・
個人情報が他人に利用されて悪用される可能性がほとんどない状況まで、個人情報の漏えいとして何でも公開してしまうと、本当に重要な問題が隠れてしまいそうな気がしているんですよ・・・
Posted by: 丸山満彦 | 2005.08.20 11:53
>法律的に詰めたときに、何が正しい解釈かというのは、非常に重要な話です。
一般的には、これは、そのとおりです。
しかしながら、一歩踏み込むと、正しい解釈などというのは、存在しないので、妥当な解釈があるにすぎないことになります。だって、法律は、取引にかかるコストがゼロならば、なにも生み出さないですもん。
じゃ、どうするのっていったところで、官房が音頭とって、ガイドラインとかをつくっちゃうというのが一番「正しい」解釈をつくれることになるんじゃないですか。(要は、どこかが問題点を指摘して、一つにきめればいいだけの話でしょ)
Posted by: ミスターIT | 2005.08.21 22:53