個人情報の暗号化と安全管理措置
こんにちは、丸山満彦です。武田先生が、2006.06.10のブログに「個人情報の暗号化通信は漏洩にあたるか?」を、そして、高木先生が、2006.08.12のブログに「流出した暗号化ファイルと傍受された暗号化通信データの違い」を書いていますね。
【武田先生】
●武田圭史
・2006.06.10 個人情報の暗号化通信は漏洩にあたるか?
【高木先生】
●高木浩光@自宅の日記
・2006.08.12 流出した暗号化ファイルと傍受された暗号化通信データの違い
【経済産業省】
・2004.10.22 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
・個人情報(個人データ)の暗号化について、どのような場合であれば当面(例えば、1年間)安全とみなすかについてのガイドラインをつくることは可能か?
・可能であれば、つくるべきか?
Comments
「個人情報の保護に関する法律」は、「行政法」に分類される法律であるということは、多くの教科書に書かれてありますし、方々のセミナーの講師やコンサルなどが少なからず言及されているところですよね。
そうであれば、この「個人情報」の定義の問題についても、「行政法」的観点でも捉えて検討してみるべきだと思うのですが、どうでしょうか?
この法律は、各主務大臣に対して、「個人の権利利益の保護」(個人情報の適正な取扱いの実現)という行政目的を与えるとともに、その目的を達成するために一定の権限(道具)を与えるという役割を担っているように思います。
もし、暗号化された個人情報を本法にいう個人情報から除外するという結論を採用するならば、それは、暗号化した時点で、この法律の適用はなくなるということを意味するのではないでしょうか。
暗号化されていることが明白な場合は、もはや主務大臣は、本法に基づいて行政的に介入することはできなくなります。報告の聴取などの行政調査も行えないということになりますが、それでいいのだということを言っているのかどうか、その点の検討と確認も必要だろうと思います。
また、暗号化された個人情報を本法の適用からはずすということにするならば、ここでいう暗号または暗号化とは何かを定義しなければなりません。
一般に、法律は技術に対して中立的であるべきだということが主張されることが多いのですが、はたして暗号技術を指定するという方法が妥当なのか、一方、暗号技術や暗号の強度を問わないということになれば、それは安直に本法の適用を免れる方法を提供することになるだけではないかなど、別の問題を生じてくる可能性があるようにも思います。
私は、個人情報の該当生判断に際して、暗号化の有無は問わずに、むしろ安全管理措置の問題として、主務大臣が関与すべき範囲を画する基準の中で議論した方がいいのではないかと思っているのですが、それでは手ぬるいんでしょうかね。
ただ、結論はどうあれ、一応、
・行政法と司法法の違い
・行政庁の行為規範(権限の問題)としての側面と事業者の行為規範(法的義務の問題)としての側面
をもう少し意識して議論した方がいいように思います。
その上での結論であれば、それはそれでありだろうと思います。
たとえば、行政庁に権限を広く与えすぎた法律であるので、個々の論点において、それを縮減する方向で法解釈していくべきだという発想が背景にあるのであれば、それはそれでそうした価値判断をふまえて法的構成をされて、論理一貫した形で主張されればいいのではないかと思います。
Posted by: 鈴木正朝 | 2006.08.17 11:10
個人情報をはがきに書いて送っても漏洩とされなかったり、封書(さらには書留)で送付しないと問題になったり、いろいろですよね。
また、宛名ラベルに印字された個人情報はまさに平文で露出されて流通してますが、当然漏洩の問題にはなりません。
何をもって適切な取扱いとするかは、まず、コミュニケーションによって社会が成り立っていることによる当然許容されるべき情報流通があることに留意しておくべきだろうと。形式論でアプローチして、非現実的な結論に至るという問題があります。
(国語的に理解するのは当然ですが、国語的なアプローチのみで論理的に結論に至るのであれば、法学、法解釈学は不要ということになりますし・・・。)
次に、実質的には、その情報の重要性などに着目して、暗号化通信とすべきか否かも決まるのかもしれません。必ずしも暗号化通信でなければならないとは言いきれないものがあります。たとえば、個人情報に該当するメールアドレスや、顧客コードなどもありますからね。
個人情報の暗号化通信が漏洩に該当せず、違法ではないという結論になるなら、暗号化した個人情報が外部に流出することを違法とすることと矛盾しはしまいか。という問題提起は、非常に示唆に富むものですが、暗号化の有無で漏洩の有無が決まるという理解が前提にあるなら、その点は間違いであるかもしれません。
安全管理措置義務の問題として考えた場合、通信における安全性の基準と、個人データの管理に求める安全性の基準の考え方、特に暗号化に対する評価においてぶれがあるのではないかという指摘については、非常に重要な問題提起ではないかと思いました。
そもそも、安全性の基準については、実質的には、その情報の重要性に応じた検討がなされるべきところ、本法は情報の中身を問わずに形式的に規律する思想で全体が構成されていることから、ガイドラインでも、それほどつっこんだ記述はなされていないのは確かだろうと思います。
JISの世界同様に、組織や手順などプロセス・マネジメント的な表現で流しているというか、法の解釈として、流して書かざるを得ないのではないかと。やはりそれ以上の記述は、国会(立法府)の専権事項であり、行政がそこまでルール形成していけるのかという問題もあると思います。
私自身は、顧客コード単体のような情報も、医療情報のようなセンシティブな情報も、一律に単一のルールで規律するという規制自体が、あまりにも乱暴な立法政策であったのではないかと思っています。
法の作りがアバウトですから、ガイドラインレベルで詰めようにも詰め切れない部分は残るだろうと思います。
本問題が示唆している以上に根深い問題が横たわっているはずで、昨今の過剰反応、過小反応の問題は、けして法の施行直後故の過渡的混乱と整理できるものではなく、法の構造に起因する問題があるというべきでしょう。
ていねいな啓発活動で、解消できるという認識にあるとしたら、それは認識のレベルがあまりにも低いのではないかと思います。
Posted by: 鈴木正朝 | 2006.08.18 10:48
鈴木先生、コメントありがとうございます。
いろいろと論点がありますが・・・
1)個人情報を暗号化したら個人情報でなくなるのか・・・
=====
もし、暗号化された個人情報を本法にいう個人情報から除外するという結論を採用するならば、それは、暗号化した時点で、この法律の適用はなくなるということを意味するのではないでしょうか。
=====
おっしゃる通りだと思います。暗号化された個人情報を個人情報から除外するということは、ガイドラインレベルで暗号化の定義もしないといけないことになります。単に説明のための定義ではなくて、行政機関の責任及び権限と一体となる話ですので、暗号化になるかならないのかという境界線を明確にするとともに、境界線の妥当性もあわせて定義にいれる必要があります。しかも妥当性は時の経過とともに変化するものです。
また、定義自体は各省庁でバラバラではだめでしょう。
以上のようなことを考えると、各省庁のガイドラインレベルで暗号化された個人情報を個人情報としないと決めるべきではないと個人的には思います。
暗号化された個人情報を個人情報としておいて、暗号化は、現状の考え方どおり安全管理措置の一環として考えておくべきだろうと思います。
2.個人データの漏えいとは何か
個人データが漏えいしないように安全管理措置を講じる必要があるわけですが、ガイドラインでは何をしろとは規定していても、どこまでしろとは規定していないです(経済産業省のガイドライン)。どこまでするべきかは、究極的には本人がその個人データをどの程度守ってほしいかによるのだろうと思います(実際には一人ひとりに確認することはできないので、いわゆる一般に公正妥当と考えるレベルを会社が想定して実施することになると思います)。その時に、本人が自分の個人データをSSLで送信しなくてもよいと思っている場合、SSL無しで送信したからといって情報の漏えいにはならないのだろうと思います。このあたりは漏えいとは何かの意味をそろえてから議論をする必要があると思いますね。
Posted by: 丸山満彦 | 2006.08.18 19:14
鈴木 様
夏井です。
この問題は何度も蒸し返される問題ですね。
暗号化されていても個人情報としての法的属性に変化がないということは「公理」に近い解釈なのでまだ異論があるとは驚きです。
ちなみに,ひとくちに暗号と言っても強い暗号から弱い暗号までいろいろと存在していますね。
紙の上の文字をアスキーコードで置き換えただけでも暗号化と言えば暗号化なのでしょう。仮にそうだとすれば,「デジタル情報はすべて暗号の一種だ」と言うこともできることになり,個人情報保護法が本来適用されるべきデータベース化された個人情報の保護がほとんどできないという自己矛盾をかかえてしまうことになります。
現在使われている「暗号」は非常に荒っぽい言い方をすれば「コード化」のための技術的手法のひとつに過ぎないので,法の観点からは「この世に暗号なるものは一切存在しない」というちょっと風変わりな解釈論も(机上の理屈としては)成立可能だと解釈しています。
このように書くと技術系の方からはこっぴどく怒られそうですけど,細かな技術論にこだわるのではなく,手法のカテゴリーというもっと大きな枠組みで考えてみると,上記のような見解も理屈としてはあり得るということをご理解いただけると思います。
また,常に述べていることではありますが,いったん暗号化されたデータが個人情報ではないと仮定すると,その暗号化されたデータが複号されても個人情報としての属性を新たに付与されるわけではないので,個人情報ではないデータのままという解釈をとることになるだろうと思いますけど,これは明らかにおかしい。また,複号されて人間が認識可能な状態になると新たに個人情報としての属性が付与され直すのだという解釈をとると,そのたびに新たな個人情報の取得がなされるということにならざるを得ないわけですけど,そのような解釈論が実務上到底耐えられない理屈であることは素人でも分かりますし,およそ法の予定するものでもないことは明らかですよね。
というわけで,「データが暗号化されると個人情報ではなくなる」という理屈は完全に誤りですし,世界的にも通用することなど絶対にあり得ない考え方です。
なお,誤解を避けるために私見を繰り返しておきますと,私見では,情報技術上の「暗号技術」は存在するという前提で,「個人情報としての法的属性を有する特定のデータが暗号化されていても個人情報としての法的属性に変化はない」ということになります。
Posted by: 夏井高人 | 2006.08.18 19:27
丸山 様
夏井です。
仕事でやっていることとの関係もあるので,この記事に関連する記事をざっと全部読んでみました。
気付いたことは,「暗号化」したことによる法的効果または法的意味について正確に理解されていないということです。
以下のような理解が正しいと思われます。
1:暗号化されていても個人情報としての法的属性には変化がない。
2:複号が非常に困難または不可能な技術により暗号化されたデータが紛失したような事案では,損害発生の可能性が客観的に低いという経験則は一応成立する。したがって,証明責任の分配から考えると,損害賠償責任を求める被害者が損害の発生または損害と過失行為との間の因果関係を証明することが実際には不可能になり,ほぼ常に請求棄却となるという意味において,当該個人情報を保有する者が民事上の損害賠償責任を免れることのできる可能性が比較的高いということはできる。
3:しかし,2の場合に,データの紛失が発生したという事実を動かすことはできないので,そのデータの暗号化の有無を問わず,当該個人情報取扱事業者の(行政法としての)個人情報保護法上の義務違反があることには変わりがない。ただし,複号不可能な暗号化データ(割符暗号の断片など)の場合,データそれ自体に対する管理措置としては不適切とは言えず,ただ人的面での管理措置が不備であったという点に行政法上の義務違反を見出すべきである。
以上のようになると思います。
これで議論それ自体が非常に簡単な構造をもったものであることをどなたにもご理解いただけると思いますけど・・・(笑)
Posted by: 夏井高人 | 2006.08.18 20:24
夏井先生、コメントありがとうございます。
美しくまとめていただいてありがとうございます。
このコメントに対する回答は、本文で・・・
Posted by: 丸山満彦 | 2006.08.19 14:45
夏井先生
鈴木です。いつもながらの明快な回答ありがとうございます。
確かに毎度どうどうめぐりですね。
行政庁の取締りの対象となる「個人情報」を暗号化すると、その取締りの対象情報ではなくなると解すべきなのか。
この点は行政法に限った問題ではなく、たとえば、権利(著作権)の客体である「著作物」を暗号化すると権利保護の対象情報ではなくなり、また客体の消滅とともに権利も消滅すると解すべきなのか。
暗号化・復号化の度に、点滅を繰り返すという法解釈では、おっしゃる通りとても実用に耐えられそうにありません。
でも、まぁ、チャレンジしたい方は、いろいろ法的構成をひねくり返してみてもいいんじゃないでしょうか。錬金術みたいに、何か副産物が生まれるかもしれませんし。
少なくとも、やっぱり駄目かということを確認できるだけでも、他の人は徒労を回避できるのでありがたいかもしれません。
しかし、今回の問題提起は、本論点以外のところにつながる指摘もあり、いろいろ考える契機になりました。
Posted by: 鈴木正朝 | 2006.08.19 18:19
初めまして。技術側の人間からのコメントです。
例えば皆さんがやり取りされる紙にはたくさんの指紋が付いています。これは、潜在的には個人を特定する情報を含んでいますが、普通個人を特定することができないので個人情報とは扱われません。指紋は本質的には顔写真と同じで、読むことが難しいという意味で暗号化された状態と同じです。つまり、紙に付いた指紋は暗号化された個人情報です。暗号化された個人情報が、個人情報として扱われなくてはならないなら、とても大変なことになると思われますが、どうなのでしょう? 観点が違うから、こんなことは問題にすらならないのかもしれなせんが…
Posted by: 石井俊直 | 2006.10.26 18:42
石井俊直さん、コメントありがとうございます。紙についている指紋、なかなか面白い視点ですね。指紋情報といえば警察などにありますが、一般事業会社に関して考えて見ますと、紙についている指紋から特定の個人に結びつけることは容易にはできないので、現実的にはあまり問題とならないのでしょう。それは、指紋が暗号化された情報と同じというよりも、容易に照合できないということだからだと思います。紙をスキャナで読み取るだけで、その紙についている指紋が誰の指紋であるか一覧表示できるような装置があれば、ひょっとしたら問題となるかもしれませんね。
Posted by: 丸山満彦 | 2006.10.27 08:37