« クラウドサービスのセキュリティの保証にSAS70をつかってはならない? | Main | IPA eIDに対するセキュリティとプライバシに関する認知と受容の調査報告書 »

2010.08.15

経済産業省の個人情報ガイドラインでプライバシーも考慮するためにどう考えたか。。。

 こんにちは、丸山満彦です。何かと評判があまり良くない日本の個人情報保護法。直感的にはプライバシー保護が重要だろうと思っているのに、条文を読みだすと個人情報の保護の話になってしまう。

 法律の第一条を読むと「個人の権利利益を保護」することが目的となっていて、その目的を達成するための手段の一つが「個人情報を取り扱う事業者の遵守すべき義務等を定めること」となっている。
 法律で規定されている「個人情報を取り扱う事業者の遵守すべき義務」を順守することにより、自動的に「個人の権利利益を保護」されるように法律がなっていれば問題はない。ところが、必ずしもすべてがそうとはなっていないから問題があるのだろう。
 個人情報の取得、第三者提供の場面での規制でもその影響はでるが、安全管理措置、すなわちセキュリティ規制でもその影響はでる。
 経済産業省のガイドラインを作る際にどう考えたか。。。

 
経済産業省のガイドラインは、行政機関が法に基づいた行政権の執行をする際のガイドラインとしている。なので、ガイドラインに違反すると行政機関から法律違反とみなさる可能性がある。
 当時の課長からは、誰にでもわかりやすい具体的なセキュリティ対策をガイドラインに規定するように要求された。
 しかし、一言に個人情報といっても医療情報のようなものから従業員の社員コードと氏名の一覧といったものまでプライバシーとの関係からみても幅広い情報がある。
 また、経済産業省の所管する企業は、売上高何兆円の企業から個人なりの小さな企業まで幅広くあり、かけられる費用を考えるとセキュリティ手段を特定するのは難しいと考えた。
 また、セキュリティの国際基準となっていたISO17799(ISO27001)と大きく異なってもいけないという思いもあった。
 そこで、基本的な考え方として
・何をすべきかは決めるが、どのようにすべきかは規定しない
・何をすべきかを決める際には、ISOを考慮する。
・項目の整理には、マネジメント、人、物理、技術の4つに整理する
ということにした。。。

 セキュリティ対策をどの程度するかは、基本的には企業側に委ねることにした。ただし、次のような条件をつけて、、、
=====
本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。
=====
 これが現行法のもとでのガイドラインを作るとした場合の限界ではないかと思っています。(もっと頭を使えば良いアイデアはあるかもしれませんが。。。)

 プライバシーの保護をもっと明確にするのであれば、個人情報の保護をすれば自動的にプライバシーの保護になるだろうというロジックではなく、明確にプライバシーの保護のために何をすべきかに向き合う必要があると思いますが、どうでしょうか。。。


個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
 
個人情報の保護に関する法律
=====
(目的)
第一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
=====

|

« クラウドサービスのセキュリティの保証にSAS70をつかってはならない? | Main | IPA eIDに対するセキュリティとプライバシに関する認知と受容の調査報告書 »

Comments

丸山 様

夏井です。

個人情報と関連する法領域を専攻する法学者の多くが民法(特に不法行為法)を知らず,もちろん要件事実などまったく知らないということが現在の学問的不毛状況を生んでいると理解しています。行政法でも全く同じです。

縦割りの弊害が行き着くところまで行き着いたんでしょうね。

能力的には非常に高い人でも縦割りの中で生きていたほうが楽だし,軋轢も生じにくいのでそのほうが賢い生き方だと考えるのでしょう。

しかし,個人情報についてもプライバシーについても,単に憲法論やプライバシー論をやっているだけでは全く歯が立ちません。普通に,憲法,民法,商法(会社法),刑法,民事訴訟法,刑事訴訟法の六法を漏れなく完全マスターしすること,そして,そのあとも徹底した自己研鑽によってフォローアップし続けることが大事です。

本当は,例えば民事では,目的・効果として法現象をとらえるという場面に関する限り,損害賠償請求や差止請求の法的根拠としてどのような法益をとらえることができるかを考えることが法学の目的であるはずです。

しかし,現状という事実にはいかんともしがたいものがあり,解決策は全くないかもしれません。

私としては,正しい法解釈論を提示し続けるしかありません。

誰からの支援を得ることもなく,孤軍奮闘し続け,そろそろ力尽きそうですが,最後の最後まで頑張ります。

Posted by: 夏井高人 | 2010.08.15 20:17

夏井先生、コメントありがとうございます。私は法律の専門家ではないので、法律の深い部分はわかりませんが、経済産業省の安全管理措置の部分のガイドラインを考える際には、現在の法律の範囲内でプライバシーの保護が図れ、意味がない規制をかけずに済むように最大限考慮したつもりなんです。いろいろと批判もあるでしょうが。。。しかし、現行法の限界も感じますね。。。
 夏井先生にはぜひとも最後まで頑張ってほしいところでございます。。。多くの人は後からその意図が理解できる状況ではあり、最初は大変かもしれませんが、言い出さないと始まらないことも多いかと思っています。。。

Posted by: 丸山満彦 | 2010.08.15 23:56

丸山 様

夏井です。

言いだしっぺというか,私は,単に正しい理論を述べてきただけです。

でも,何で私がやらなきゃならないんでしょうか?

研究資金が枯渇してしまったこともありますが,ちょっと疲れました。

Posted by: 夏井高人 | 2010.08.16 10:51

丸山 様

夏井です。

いろいろとご配慮いただき,ありがとうございました。

Posted by: 夏井高人 | 2010.08.16 18:21

夏井先生、コメントありがとうございます。
プライバシーをもっと強く意識した個人情報保護法(というかプライバシー保護法?)の改正の必要性を指摘する先生も増えてきているように感じます。。。

Posted by: 丸山満彦 | 2010.08.19 17:23

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 経済産業省の個人情報ガイドラインでプライバシーも考慮するためにどう考えたか。。。:

« クラウドサービスのセキュリティの保証にSAS70をつかってはならない? | Main | IPA eIDに対するセキュリティとプライバシに関する認知と受容の調査報告書 »