いつの時点で、個人情報が漏えいしたと考えるか・・・
こんにちは、丸山満彦です。個人情報が漏えい、紛失した・・・という記事が多いのですが、「紛失」と「漏えい」は違うような気がしますね。いつの時点で「漏えいした」というべきなんでしょう。
個人情報保護法では・・・
個人情報保護法
=====
(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
=====
と規定されているわけですが、「紛失」というのは、「漏えい」の原因、「滅失」の原因となるのでしょうかね・・・privacy exchange orgでの英語の仮訳では、
個人情報保護法(英語仮訳)(word)
=====
Article 20 (Security Control Measures)
A Business Handling Personal Information must adopt measures necessary and appropriate for preventing the unauthorized disclosure, loss or destruction of handled Personal Data and otherwise control the security of Personal Data.
=====
となっていますね。
「漏えい」=unauthorized disclosure
「滅失」=loss
ですね。
OECDのガイドラインでは、
=====
OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
=====
Security Safeguards Principle
11. Personal data should be protected by reasonable security safeguards against such risks as loss or unauthorised access, destruction, use, modification or disclosure of data.
=====
安全対策の原則
11. 個人データは、データの滅失又は未承認アクセス・き損・利用・変更・開示等のリスクに対して適切なセキュリティ対策によって保護されなければならない。
(丸山仮訳)
=====
となっていて、
「漏えい」というのはなく
unauthorised access of data
unauthorised use of data
unauthorised disclosure of data
というのが、該当するのでしょうかね・・・
本題は、いつの時点で「漏えい」したとするか・・・なんですが、
① 個人情報が管理者の管理外に置かれた状態になった時点
② 個人情報が未承認者にアクセスされる状態(利用される状態かどうかは問わない)となった時点
③ 個人情報が未承認者にアクセスされた時点(利用される状態かどうかは問わない)
④ 個人情報が未承認者にアクセスされ、利用される状態となった時点
と、まぁ、4つほど考えてみました。
「未承認者にアクセスされる状態(利用される状態かどうかは問わない)」というのは、暗号化されているか、パスワードロックがかかっているかどうかにかかわらず、個人情報が格納されているファイル、媒体に、機器に未承認者が触れる状態になった時点を想定しています。紙媒体で考えると、金庫に入れた個人情報が金庫毎盗まれた時点で漏えいと考えるということです。
媒体を金庫に入れるとか、ファイルのパスワードロックや暗号化は安全管理措置のひとつなので、「漏えい」とは結びつけずに②、③を漏えい時点とするのがいいなかなぁ・・・
④がいいのかなぁ・・・
それとも、安全管理措置の程度に応じて、②~④の中間であいまいにしておくのがよいのかなぁ・・・
Comments
丸山先生
よく、あんなヘビーなセミナーのあった日にこんなエントリが書けますね・・・
「漏えい」は、どうも「disclose」を使うようですね。
どうして、「leak」とか「divulge」は使わないんでしょう・・・
どの時点で漏えいかというのは難しいですね。
第三者がアクセス可能かどうかという基準だと、セキュリティが甘い状態も漏えいした状態であることになってしまう。
語感としては、情報が企業の管理下(甘い管理でも)から出てしまうときなんでしょうか。
Posted by: 森 | 2005.08.13 23:14
森先生、コメントありがとうございます。個人情報保護法の条文に「漏えい」と書かれているので、漏えいと思っているのですが、本質は「開示」ではないかと思っているんですよ・・・。
①と②~④は区分が違っています。①はちょっと説明足らずだったと反省しているのですが、正確にいうと
① 個人情報が格納されている媒体が管理者の管理外に置かれた状態になった時点
をイメージしています。媒体の管理状態のイメージです。
②~④は個人情報へのアクセス可能性状態のイメージです。
本来的には④が「開示」となるのでしょうが、②の外観があれば、④の状態であることが容易に想像できる場合は、②の外観をもって④になっているので、「開示」と言ってもよいのかなぁ・・・と思っている次第です。
このブログでは、細かい点はつめずに、イメージで書いているので正確性はかけます。すみません。
Posted by: 丸山満彦 | 2005.08.14 10:34
丸山先生、お久しぶりです。
私見では①でいいんじゃないですか。
(1)不動産登記法123条、独立行政法人国立印刷局法14条等で用いられている「漏えい」の語との整合性を勘案すると、②~④は狭きに失する(不動産登記法123条、独立行政法人国立印刷局法14条等では当該業務に携わる者の秘密管理義務が定められているところであるが、②~④のように解すると、秘密情報を蔵置する媒体を紛失したとしても、それが何者かに取得され②~④のような事態が生じない限り当該管理義務規定違反とはいえなくなる)。
(2)①になった時点で、②~④が発生する蓋然性が高くなる(逆にいえば、①~④を区別する意義がそんなにあるのでしょうか)。
Posted by: 湯淺墾道 | 2005.08.18 00:16
湯淺先生、コメントありがとうございます。
「①~④を区別する意義がそんなにあるのでしょうか」
実務的には問題だと思っているんですよ。例えば、暗号化されている個人情報が記録された媒体を紛失しても、行政指導とか受けないように・・・。
全然関係ないですが、電子投票についての論文読ませていただきました・・・。
こっちも問題ですね・・・
Posted by: 丸山満彦 | 2005.08.18 11:17
「例えば、暗号化されている個人情報が記録された媒体を紛失しても、行政指導とか受けないように・・・。」
成る程。たしかに、そういう意味では区別の意義はありますね。
ところで、そのような媒体を紛失するというのは、「漏えい」なんでしょうか。
媒体を紛失するということは、蔵置した個人情報を紛失するということでもあり、蔵置した個人情報にアクセスできない状態になるのですから、それは「滅失」ともいえるんじゃないかな、と。それとも、保有個人データ自体はHDDの中にあり、その写しを蔵置した媒体を紛失したにすぎないから、「滅失」とはいえないのか。
これはどう考えるべきでしょうか?
Posted by: 湯淺墾道 | 2005.08.18 15:56
湯淺先生、コメントありがとうございます。紛失と滅失の違いも考えないといけませんね・・・
Posted by: 丸山満彦 | 2005.08.19 01:24