NaviPlus Engineers' Blog

情報ネットワーク法学会・第14回研究大会レポート(その1)

編集長の佐藤です(あきらめてtwitterアカウント作りました。@akihirosato1975

一応私は情報ネットワーク法学会なんてとこの個人会員だったりします(ライター時代には取材レポートとかよく書いてましたねぇ)。なので、12月7日に行われた情報ネットワーク法学会の研究大会@東京電機大学の模様を(わかる範囲で)レポートしようと思います。(正直なところ、プログラム委員長の藤村さん@NTTに圧力かけられたからとも言うwww)
とはいえいっぺんに全部は書けないので、とりあえず午前中の分だけ。

個別報告C

今の会社の業務上(特にレコメンドエンジンはパーソナルデータと切っても切れない関係なので)、午前中は個人情報保護法関連の話題を扱う個別報告Cへ。(以下の要約は私の独断と偏見によるものなので注意)

笹原務氏@情報セキュリティ大学院大学

本職は横浜市役所という同氏の発表は「住所情報の取り扱いに関する考察」。内容としては

・住所は個人情報としては氏名の次に漏洩しやすく、また漏洩した場合の損失レベル評価も低い
・しかし住所は利用方法によって利用コストが大きく異なる情報
・実際に家に訪問するのはコストが高いが影響が大きい
・ストーカーやDVなどの場合、加害者側はコストを度外視して被害者に対する攻撃に及ぶ
・なので住所を使わないで済むのであれば、住所を極力使わないシステムを組むべきでは?

という話。実務で見ても

・相模原市はシステムを改修して、通常業務ではほぼ区名までしか表示しないようにしたが特に問題は出てない
・本人識別はマイナンバーなどで代用できる
・本人の求める情報であれば、郵便の局留め・コンビニ受け取り等で代用可能
・問題になるとすれば「本人は望まないが、相手側の事情で届ける必要がある情報」(ex. 支払督促)

という感じで、住所が本気で必要になる局面って意外と少ないよね、との考察。確かに言われてみるとその通りだなと思います。

飛田治則氏@追手門学院大学

タイトルは「プライバシーリスク統制手法としてのPIA」。いわゆるプライバシー影響評価(PIA)についての話。

前半は過去から現在にかけてのプライバシー概念の変化、そしてプライバシーリスクの評価とその統制方法についての変遷をなぞった形で、後半は

・PIAはリスク統制手法の中でも特に予防型スキームといえる
・ただプライバシーリスクの中には特に「主観的なリスク」が混じっていて、そこのリスクが過大評価されることが往々にしてある
・実際のリスク評価では「自己責任」「社会的連帯(保険で損失補填可能なもの)」「予防」という3つの手法を総合して評価すべき

という主張。他にも(行政PIAと民間PIAの違いとか)いろいろ話されてましたがそこは話が専門的になりすぎるのでカット。

ただ最後の質疑応答で、会場にいた佐藤慶浩氏@日本HPとのやりとりで「今のPIAは真の意味での”プライバシーリスク”評価ではない」「実際のところはプライバシー”侵害を犯した場合における企業の”インパクトマネジメントでしかない」というコメントが(佐藤氏からですが)出たのは、なかなかぶっちゃけたなぁと。飛田氏も「今のPIAは『何かを隠したPIA』」として同意されてました。

板倉陽一郎弁護士

「欧州委員会からの十分性認定に向けた交渉のための理論的整理」という題名。来年予定の個人情報保護法改正(パーソナルデータ規制)が「EUのデータ保護指令に対応するため」行われる、というのは業界関係者の間では有名な話なわけですが、実際のところどーなのよ?というお話です。

具体的にはEUのデータ保護指令に対応して欧州委員会からお墨付きをもらったとして、果たしてどの程度のメリットがあるのか、またデメリットはどうなのか、という解説をされたわけですが、個人的に気になったのはデメリットの部分。確かにEUとの(個人情報を含む)データのやりとりは楽になるものの、

・認定は欧州委員会が一方的に行うため、下手すると(日本への)主権干渉になりうる
・日本でも「他の国が十分な個人情報保護体制を整えているか審査する」体制を作らないといけない → さらにその審査に合格した国にしかデータを移転できない → 中国・韓国・東南アジアとかでオフショアやってるところにデータを移せなくなるリスクが生じる
・そもそも米国はEU相手にセーフハーバーで対応してるわけで、それと同じ構図になると考えると、日米間もセーフハーバーやるの?という話になりかねない

といった問題が想定されるとのこと。

またEU指令に従うといわゆる「プライバシーコミッショナー」を置かなきゃいけないんですが、この機関(日本だと特定個人情報保護委員会がいずれそうなるはず)の独立性がどこまで必要か、という問題が「下手すると憲法問題になる」とのこと。EU側は「裁判所並みの独立性」を要求する可能性があるのに対し、日本国憲法上ではそこまでの独立性を持った機関は作れなくて「精一杯でも三条委員会まで」(なぜ裁判所並みの機関が作れないかは、Wikipediaの行政委員会の「会計検査院との比較」の項なんかを参照)。ただイスラエルの例(法務省の外局で対応しているらしい)なんかもあるので、この問題はそこまでクリティカルではないかも、とのこと。

まあ今のままずっと放置、というわけにはいかないのは確かなので、いずれ制度的な整備は避けられないのは確かなんですけど、実際やろうとするといろいろ大変なのね、という印象。親会社(ベリトランス)が東南アジア進出を積極的に進めていて、実際インドネシアに開発子会社作ったりしてることも考えると、対岸の火事と笑ってはいられない状況なので…。

高木浩光氏@産総研 & 鈴木正朝氏@新潟大

毎度おなじみ高木先生と鈴木先生のコンビ。これで山本一郎氏が揃えばまさしく「プライバシーフリークカフェ」だったんですが、さすがに山本氏は登場しませんでしたwww

内容は、一言で言えば「個人情報保護の範囲を少し狭めて、『散在情報』は保護対象から外したほうがいいのではないか」という話。このことの裏付けとして、俗にいう「昭和63年法」(行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律)から現在に至るまでの法改正の流れにおける『散在情報』の取扱の変遷をまとめた、というのが発表内容になります。

詳細な変遷は省略してざっくりまとめると、

・昭和63年法はそもそも電算処理ファイルのみが保護対象
・現行の行政機関法でも、保護対象は「保有個人情報」(二人以上で共有している個人情報)のみ → 一人で個人名をメモしただけのようなものは保護対象ではない
・ではなぜ現行の個人情報保護法では散在情報が全て保護対象になってしまった? → 国会での審議過程での修正で条文がゆがんだ結果ではないか?

というのが高木先生の見解。どこがどうゆがんだのか、という話は、逐条解説とかを細かく説明しないといけないのでここでは省略しますが、とにかく結果として「今の状態だと、会社のブログに他社の社員の名前を書いただけでも、個人情報保護法16条(利用目的の制限)違反になる恐れがある」「この状態で、いわゆる『準個人情報』まで規制対象を広げると、匿名の形でも他人についての言及ができなくなる」という状況になってしまっている、ということで、大阪弁護士会が「表現の自由に対する深刻な脅威」として個人情報保護法の改正の際に度々反対意見書を出してる話につながる、と解説されてました。

高木先生は「Webのアクセスログや、無作為に(個人を特定しない形で)tweetを収集したものなどは『散在情報』扱いとして、保護対象から外してしまっていいのではないか」という私見を語ってましたが、一方で『散在情報』を無制限に保護対象から外すと「個人情報取得をどっかの会社に委託する → 受託した側は紙のアンケート等で個人情報を集める」というようなケースで、個人情報の入ったアンケートを紙のまま委託先に渡すと「受け渡しされるのは『散在情報』なので保護対象外 → 個人情報保護法で定めのある『業務委託先の監督義務』がなくなる」という困ったちゃんな状況も発生しうる、ということで、どう条文を起こすかが難しい、という話でした。

ただ鈴木先生が「何でも行政で規制してしまうと過剰規制になる」「司法救済による対応を考えていくべき」とも語られていたので、個人情報保護法で取りこぼす部分が出てくることは承知の上での提案なようです。鈴木先生曰く「不法行為構成を変えることで対応すべき」とのことですが、不法行為法となると私も詳しくないので、その提案が適当なのかどうかわかりません…。

午後についてはまた後日(ここまでまとめるだけで2時間かかってるのよ…)。