Transcript 個人情報保護法

個人情報保護法
情報社会と情報倫理
第4回
個人情報漏えい

みちのく銀行、131万件の顧客情報入りCD-ROM
を紛失
http://internet.watch.impress.co.jp/cda/news/2
005/04/22/7411.html
個人情報保護法に基づく是正勧告第1号
となった事件
（後述）
個人情報保護法

個人情報の保護に関する法律
2003年（平成15年）5月成立

2005年4月に（完全）施行

以降，大騒動

最近は落ち着いてきた？
制定の背景



“個人の情報”というものの価値
漏えい事件多発
 インターネット時代より以前からあった
住民基本台帳ネットワークシステム
目 的

第１条 この法律は、高度情報通信社会の進展に伴い個
個人情報は活用すべきもの！
人情報の利用が著しく拡大していることにかんがみ、個
人情報の適正な取扱いに関し、基本理念及び政府によ
個人情報を集めるな！というの
る基本方針の作成その他の個人情報の保護に関する施
ではない
策の基本となる事項を定め、国及び地方公共団体の責
務等を明らかにするとともに、個人情報を取り扱う事業者
の遵守すべき義務等を定めることにより、個人情報の有
用性に配慮しつつ、個人の権利利益を保護することを目
的とする。
個 人 情 報 と は （１）

第２条 この法律において「個人情報」とは，
生存する個人に関する情報であって、当該情報
に含まれる氏名、生年月日その他の記述等によ
り
特定の個人を識別することができるもの
（他の情報と容易に照合することができ、それに
より特定の個人を識別することができることとな
るものを含む。）をいう。
個 人 情 報 と は （２）


国籍の制限はない
 外国人の情報も含む
公開されている情報であっても該当
 電話帳
 名刺
プライバシーとは異なる
個 人 情 報 と は （３）

文字情報だけではない
 顔の写真など
個 人 情 報 と は （４）

学生番号などのコード
 それだけでは個人を識別できない

学生名簿と照合すれば，個人を識別できるの
で個人情報といえる
学生名簿を持っていない者に
とっては個人情報ではない
個 人 情 報 と は （５）


直接・間接に特定の個人を識別できる情報が個
人情報
 プライバシーに関するものだけでない
 生存している人
この2点がポイント
統計データは該当しない
 試験の点数の分布
亡くなった人の情報
であっても，生存者
の情報になるものも
ある
個 人 情 報 と は （６）



メールアドレスは個人情報か？
プロバイダは顧客名簿をもっ
ているであろうから，プロバ
イダにとっては個人情報
[email protected]
 所属組織・名前があきらか
一般の人にとっては個人情
[email protected] 報とはいえない


プロバイダのアドレス（らしい）
これだけでは個人を識別できない
個人情報データベース等（１）

第２条
２ この法律において「個人情報データベース
等」とは、個人情報を含む情報の集合物であって、
次に掲げるものをいう。
一 特定の個人情報を電子計算機を用いて検索
することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報
を容易に検索することができるように体系的に構
成したものとして政令で定めるもの
個人情報データベース等（２）


コンピュータに蓄積されたデータベースである必
要はない
名刺を５０音順に並べて整理してあれば，個人情
報データベース等になる
個人データ

個人情報データベース等を
構成する個人情報
保有個人データ


個人情報取扱事業者が開示，内容の訂正，追加
又は削除，利用の停止，消去及び第三者への提
供の停止を行うことのできる権限を有する個人
データ
ただし，半年を越えて保有するもの
３種類の個人情報

個人情報

個人データ

保有個人データ
個人情報取扱事業者と義務
個人情報取扱事業者（１）



義務を課せられる者
個人情報データベース等を事業のために使って
いる民間の者
 非営利の事業も含まれる
大量の保有個人データをもつ者
 半年間のうち1日でも，識別される個人が５，０
００人を超える保有個人データを有する
 大雑把にいえば５，０００件の保有個人データ
大量の個人情報をデータベース化して，事業を行う者
個人情報取扱事業者（２）

非営利事業も含むので，かなり広範囲にわたる
可能性がある
 もちろん上武大学も
 サークル連合会で，全会員数が5,000人を超
える
 交際範囲が広く，個人的に年賀状を5,000人に
出すような場合は，事業とはみなさない
個人情報取扱事業者（３）

民間だけ
 国や地方自治体は別の法で規制される
個人情報取扱事業者の義務（１）


利用目的の特定
 第15条 その利用の目的をできる限り特定し
なければならない
利用目的による制限
 第16条 利用目的の達成に必要な範囲を超
えて、個人情報を取り扱ってはならない
個人情報取扱事業者の義務（２）


適正な取得
 第17条 偽りその他不正の手段により個人情
報を取得してはならない
取得に際しての利用目的の通知等
 第18条 個人情報を取得したときには，あらか
じめその利用目的を公表している場合を除き、
速やかに、その利用目的を、本人に通知し、
又は公表しなければならない
個人情報取扱事業者の義務（３）


データ内容の正確性の確保
 第19条 個人データを正確かつ最新の内容に
保つよう努めなければならない
安全管理措置
 第20条 個人データの漏えい，滅失又はき損
の防止その他の個人データの安全管理のた
めに必要かつ適切な措置を講じなければなら
ない
個人情報取扱事業者の義務（４）


従業者の監督
 第21条 個人データを取り扱わせる従業者に
必要かつ適切な監督を行わなければならない
重要 委託先でトラブルが生じた場合であっ
委託先の監督
ても，責任逃れができないかもしれない

第22条 個人データの取扱を委託する場合，
委託先に必要かつ適切な監督を行わなけれ
ばならない
個人情報取扱事業者の義務（５）

第三者提供の制限
 第23条 あらかじめ本人の同意を得ないで，
個人データを第三者に提供してはならない。

親会社が集めた情報を子会社で活用するな
どの場合 （その予定があるのなら，明示して
おく）
個人情報取扱事業者の義務（６）

保有個人データに関する事項の公表等
 第24条 保有個人データに関し，取扱事業者
の名称や利用目的などを本人の知り得る状態
に置かなければならない

どんなデータを保有し，どのような方針で活用
し，責任者は誰
個人情報取扱事業者の義務（７）


開示
 第25条 本人から，当該本人が識別される保有個人
データの開示を求められた場合，開示しなければなら
ない
訂正等
 第26条 本人から，当該本人が識別される保有個人
データの内容の訂正，追加又は削除を求められた場
合，調査を行って，結果に基づき，当該保有個人デー
タの内容の訂正等を行わなければならない。
個人情報取扱事業者の義務（８）


利用停止等
 第27条 本人から，当該本人が識別される保有個人
データが，第16条や第17条に違反しているものである
という理由によって、当該保有個人データの利用の停
止又は消去を求められた場合，その理由があること
が判明したときは，当該保有個人データの利用停止
等を行わなければならない
理由の説明 第28条，開示等の求めに応じる手続 第29
条，手数料 第30条 （省略）
個人情報取扱事業者の義務（９）

個人情報取扱事業者による苦情の処理
 第31条 個人情報の取扱に関する苦情の適
切かつ迅速な処理に努めなければならない。
主 務 大 臣（１)


主務大臣は，個人情報取扱事業者に個人情報
の取扱に関し報告させたり（第32条），必要な助
言をすることができる（第33条）。
事業者の違反行為の中止や是正のための処置
を勧告や命令することができる（第34条，第35
条）。
主 務 大 臣（2)


第56条～第59条で罰則が決められている
個人情報が漏えいした被害者救済の規定はな
い
 損害賠償訴訟という手段（民法）
 個人情報取扱事業者の管理責任を問う
義務とOECD８原則の関係

“法案の論点解説”（内閣官房個人情報保護室資料）
適 用 除 外（１）

第50条 個人情報取扱事業者のうち次の各号に掲げる
者については、その個人情報を取り扱う目的の全部又は
一部がそれぞれ当該各号に規定する目的であるときは、
前章の規定は、適用しない。
一 放送機関、新聞社、通信社その他の報道機関（報道
を業として行う個人を含む。）報道の用に供する目的
二 著述を業として行う者 著述の用に供する目的
三 大学その他の学術研究を目的とする機関若しくは団
体又はそれらに属する者 学術研究の用に供する目的
四 宗教団体 宗教活動（これに付随する活動を含む。）
の用に供する目的
五 政治団体 政治活動（これに付随する活動を含む。）
の用に供する目的
適 用 除 外（２）


本来の目的の場合だけ除外
新聞社が，営業活動に個人情報を使うような場
合は除外されない
現状は…
出版物

多数の出版物
是正勧告

金融庁、顧客情報紛失のみちのく銀行に是正勧
告～個人情報保護法で初の勧告
http://internet.watch.impress.co.jp/cda/news/2
005/05/20/7692.html
頻発する個人情報漏えい（１）


事業者の個人情報漏えいは848件、内閣府が
2007年度とりまとめ
http://internet.watch.impress.co.jp/cda/news/2
008/09/29/20983.html
2007年の個人情報漏洩事件、864件・約3,053万
人分が漏洩～JNSA調査
http://internet.watch.impress.co.jp/cda/news/2
008/05/19/19611.html
頻発する個人情報漏えい（２）



つい最近も
三菱UFJ証券、社員が148万人分の顧客情報を
不正持ち出し
2008年の個人情報漏えい、件数は増加も漏えい
人数は減少
頻発する個人情報漏えい（３）

行政機関と独立行政法人の個人情報漏えい、
2008年度で2929件発生
http://internet.watch.impress.co.jp/docs/news/
20090901_312198.html
頻発する個人情報漏えい（４）

日本大学、個人情報1万件以上を含む内部情報
がShareで流出
http://internet.watch.impress.co.jp/docs/news/
20100427_364120.html
 禁止されている業務情報の持出し
 ファイル共有ソフトをインストールしているパソ
コンを使用（個人情報を扱うのならば，リスク
を避けるのは当然）
自 己 規 制（１)



小学校のクラスで生徒の住所録（緊急連絡用）
の作成をやめる
災害時の援助対象者（老人など）の住所録の作
成をやめる
病院の呼出しを名前ではなく，受付番号で行う
自 己 規 制（２)



個人情報保護法への「過剰反応」が被害者救済
の壁に～国民生活センター
http://internet.watch.impress.co.jp/cda/news/2
005/11/10/9797.html
間違いだらけの個人情報保護，牧野二郎，イン
プレス，2006（出版物の例の右の書籍 文献7）
さまよえる個人情報保護，朝日新聞，3/23～29，
2006
自 己 規 制（３)






なぜ，このようなことになったのか？
第16条 利用目的による制限
第23条 第三者提供の制限
適用除外があるが
よく分からないから，とりあえず止める
法の趣旨に反する
自 己 規 制（４) 対策


例 学校の連絡用名簿の作成
保護者の同意を取れば良い
 “Yes”の家庭だけで名簿を作成
見直し

（自己）規制の行き過ぎ
 いろいろな見直し

法律の改正も考慮された

運用で改善
提供側の対策


漏れたら大変！個人情報
http://www.ipa.go.jp/security/kojinjoho/index.ht
ml
自分の情報は自分で適切に守る
 過剰反応に注意（バランス感覚）
将 来



個人情報を扱う業務に従事
漏えいしたら
後始末
 被害がどこまで広がるか？
 信用失墜
 コストは？