第5回インターネットホットライン連絡協議会研究会
「インターネットにおける個人情報保護と人権」


new 研究会レポートを掲載しました

研究会で配布しましたパンフレット「安心して個人情報を取り扱うためには」はこちらから。

 個人情報保護法の完全施行を来年4月に控えながら、大規模な漏洩事故があとを絶たない。
 ネットでは人権侵害になりかねない出来事も多発している。利用者として、また業者として、個人情報にどう対していけばいいのか。ネットの法律事情に詳しい弁護士と大手情報企業の法務担当者、相談サイトや掲示板運営を通して利用者の声に直に接している方々を招いて、3月23日、第5回インターネットホットライン連絡協議会研究会として「インターネットにおける個人情報保護と人権」を開催しました。

日 時:2004年3月23日(火)10時25分~16時50分
会 場:霞ヶ関プラザホール   地図
    住所:東京都千代田区霞が関三丁目2番5号 霞ヶ関ビル1F
    営団地下鉄:銀座線「虎ノ門駅」徒歩3分、千代田線他「霞ヶ関駅」徒歩5分
委託元:中小企業庁
主 催:(財)インターネット協会
協 力:インターネットホットライン連絡協議会

「インターネットにおける個人情報保護と人権」
(講演順)
岡村 基調講演
「知らなければ許されない個人情報保護法の基礎知識」講演資料・パンフレットPDF:3.8MB
【講師】岡村久道 氏  弁護士法人英知法律事務所 弁護士
【講演内容】施行までに何を準備すべきかを提示

 岡村久道弁護士(英知法律事務所)による基調講演は「知らなければ許されない個人情報保護法の基礎知識」と題し、来年4月の本格施行までに取り組むべき課題を明らかにした。
 岡村氏はまず、田中前外相と週刊文春の間で争われて注目された「プライバシー権」と「個人情報」の共通点と違いについて指摘。また、宇治市の住民基本台帳データ流出事件(1999年)を例に挙げて、個人情報保護法のもつ意味や背景を説明した。
 同事件では約22万人の個人情報がアルバイト学生によって持ち出され、名簿業者に売却されネット販売までされたのであるが、本人所有のMOにコピーしての持ち出しだったため、窃盗罪を問うことはできなかった。
 一方、住民はプライバシー侵害として宇治市を訴え、1人1万円の損害賠償(プラス弁護士費用5,000円)が裁判で認められる結果となった(平成13年京都地裁)。個人情報保護法の完全施行後は、このような場合、市側はプライバシー権に基づく住民の損害賠償請求に加え、個人情報保護法違反による行政処分も受ける。つまり二重に責任を問われることになる。責任を問われるのは、6か月以上継続して5000人以上の個人情報を取り扱う事業者で、利用目的の特定、本人への利用目的の通知・公表、安全管理の措置、本人の求めに応じての開示・訂正などが義務付けられる。
 岡村氏はそうした説明の後、施行までにどのような準備が必要かを示した。まず保護対象となる個人情報とは何かを押さえ、自社所有の個人情報を洗い出すこと。不要データはシュレッダーなどで確実に廃棄し、必要データは予め作成したフローチャートに沿って処理を進めていく。利用目的の通知・公表、本人の求めに応じた情報の開示・訂正への対応が必要となるので、その体勢作りも不可欠である。こうした一連の準備作業を進めるにあたっては、「プライバシーマーク」や「オンラインマーク」などの第三者認定制度を活用するのも有効であるとした。
 講演後、会場から「わが社にも大切なデータが多々あるが、これを持ち出されても罪を問えないのか」と、宇治市の例をふまえた質問があった。岡本氏は、データが「営業の秘密」としての要件を満たしていれば、昨年改正された「不正競争防止法」で刑事罰を問うことができると回答。営業秘密の要件について説明した。
鈴木 特別講演
「個人情報保護法と企業の対応・・・管理者が留意したいコンプライアンス・プログラムの最新論点」講演資料PDF:154KB
【講師】鈴木正朝 氏  ニフティ株式会社 法務部 シニアスペシャリスト
【講演内容】管理側が直面する悩みと検討課題示す

 ニフティの法務部シニアスペシャリストの鈴木正朝氏は、特別講演「個人情報保護法と企業の対応-管理者が留意したいコンプライアンス・プログラムの最新論点」として、企業がこの法律のもとで個人情報の管理にあたる際、何に留意しなければならないかを具体的に示した。
 まず「個人情報は誰のものか?」という論点を出し、同じ個人情報といっても、簡単に入手可能なありふれた情報から、遺伝子情報のようなセンシティブ情報までを一括りに扱うべきではなく、それぞれのケースに応じた取り扱いルールを決めるべきとした。次いで、個人情報の取得から利用、消去に至るプロセスを「個人情報のライフサイクル」として図示し、どのフェーズでどのような問題の発生が予想され、どう対応すべきかを論じた。
 最初の難問は、個人情報を取得する際に示さなくてはならない「利用目的」をどう表現するかである。取得時に示した利用目的にない使い方をすれば法律違反となり、行政指導や社会的制裁が待っている。この危険を回避するには、個人情報を扱う業務ごとにビジネスプランと個人情報のライフサイクルを検討し、データベースシステムの設計を考える必要があるとした。委託先の管理と、個人情報の第三者への提供という問題も重要な検討課題である
 たとえば、量販店がISPの加入申し込みを代行して受けている場合、顧客が申込書に書いた個人情報は、ISPに届くだけでなく量販店にもコピーが残る。そこから漏洩事故が起きたとき、ISPがどこまで監督責任を負うのか。このような委託先管理の問題はいまだ明確にされていない部分が多く、知恵を絞らなければならないと言う。
 また、漏洩事故・事件が派遣社員や外注先の従業者によることが少なくないことを理由に、これらの労働力を危険視することには疑問を呈した。雇用が多様化している現在、要はどう管理するかという管理の問題であり、アウトソーシング先に監視ツールを導入する方法などを紹介。その際、監視対象となる労働者の個人情報保護も考慮を要するとした。
 「消去」については、バックアップデータが存在することから、何をもって消去とするか、その定義と方法を確認しておく必要があるとし、これは「利用停止」についても同様であると述べた。
講演1 利用者の立場
「相談事例から見るプライバシー保護の弱点」講演資料PDF:476KB
【講師】吉川誠司 氏  WEB110 代表
【講演内容】被害者が“救われない理由”の具体例

 ネット利用者のさまざまな相談を受けている「WEB110」代表の吉川誠司氏は、「相談事例から見るプライバシー保護の弱点」として、実際にネットで起きた2つの事例を取り上げ、被害者側から見た現時点での問題点を浮き彫りにした。
 1つは個人情報漏洩の変則的事例で、海外のホテルの宿泊者データが流出した事件である。サイトの設計ミスからホテル側の内部情報がロボット型検索エンジンに採取されてしまったもので、宿泊予約者670名の個人情報が、住所・氏名・電話番号からカード番号/有効期限までさらされる事態となった。ホテル側は通報を受けてすぐに閉鎖措置をとったものの、Googleのキャッシュに残ってしまい、その後1か月以上も閲覧可能な状態が続いてしまった。
 海外からのメールで解決を依頼された吉川氏は、Googleに削除依頼メールを出したが、返答が得られなかったという。キャッシュの削除依頼は弁護士が依頼すれば比較的簡単に応じるということであるが、対象がカード番号を含む個人情報であることを考えると、なぜ迅速な対応がなされなかったのか首を傾げざるを得ない。
 吉川氏はまた日本人の被害者に事実を連絡しようとして、アクセス方法を伝えると名簿の他の顧客の情報を教えることになってしまうジレンマに気づいた。責任をとるべきホテルが海外にあり法的措置が困難であったことも解決を難しくした。
 もう1つの事例は、下着オークションサイトが規約に違反した会員の個人情報を、見せしめのために公開したというものである。住所・氏名・電話番号・生年月日など7人分がこの会社のサイトに意図的に晒されたのである。さらにこれを何者かが2ちゃんねるに転載し、いわばネットでの集団ストーカーが行われるという形で被害が拡大してしまった。
 この事例では、オークションサイト運営者に第一の非があるのはもちろんであるが、2ちゃんねるの削除規定の不備が被害を拡大させた面も大きいとして、吉川氏はその不備の1つ1つを具体的に指摘し、改善すべきことを訴えた。
講演2 管理者の立場
「個人情報や人権を守るために・・・企業の立場から」講演資料PDF:188KB
【講師】別所直哉 氏  ヤフー株式会社 法務部 部長
【講演内容】ヤフーが目指すプライバシーポリシー

 ヤフー株式会社の法務部部長である別所直哉氏は「個人情報や人権を守るために─企業の立場から」として、同社が個人情報やプライバシーポリシーについてどのように考え、どう取り組んでいるかを述べた。
 同社には「自らが個人情報を取り扱う場合」と「個人情報開示の手段として利用される場合」の2つの立場がある。前者の立場においては基本的ポリシーが2 つ設定されており、その1つは「不要な情報は持 たない」こと。情報が多ければ多いほど管理コストや漏洩事故などのリスクが高まるので、不要な情報は収集しない・保持しないが原則である。もう1つは、従業員が個人情報にアクセスする際、「厳格なneed to know basis」を守ること。必要な範囲の情報に限定して利用するということで、これも従業員のリスク軽減が目的である。
 これら基本ポリシーの徹底には、十分な理解のうえにモラルを維持することが第一であるが、同時に制度や仕組みによって担保することも重要であるとした。
 同社サイトには「プライバシーの考え方」としてプライバシーポリシーが公開されている。これは法的拘束力のある約款としてではなく、「ユーザーとの約束事として、企業の社会的責任として遵守する」という米FTC(連邦取引委員会)の考え方に沿ったものだという。
 掲示板やチャットなど「個人情報開示の手段として利用される場合」は、表現の自由とプライバシー保護の問題が大きい。たとえば、少年犯罪の加害者情報、被害者情報、特定個人を名指ししての批判、名誉毀損等には該当しないプライバシー侵害などに管理者としてどう対していくか。これらは一律には判断できないものが多く、解決 には個別判断が必要になってくるという。
 また、プライバシー侵害を犯した人物の個人情報をどう扱うかという問題もある。表現の自由とプライバシー保護のバランス、利用者のコンセンサスを得ることは今後の課題であるとし、被害を防ぐためにできることを考えていきたいと語った。
講演3 法曹界の立場
「個人情報が流失してしまった場合の傾向と対策・・・法律家の視点から」講演資料PDF:461KB
【講師】小倉秀夫 氏  東京平河法律事務所 弁護士
【講演内容】漏洩した後、最も被害を小さくするには

 小倉秀夫弁護士(東京平河法律事務所)は「個人情報が流出してしまった場合の傾向と対策-法律家の視点から」として、被害を最小にとどめる方法について述べた。
 まず流出情報にセンシティブ情報(思想信条、人種、門地など差別につながりかねない情報)、悪用される危険がある情報(カード番号など)が含まれていないかを確認することが第一である。大量の個人情報の中の目立たない1つとしての流出か、自分にスポットが当たっての流出か、また危険な行為の呼びかけを伴っていないかも確認する。
 もし流出情報が氏名・住所・電話番号・生年月日程度の情報であれば対策を立てるほどのことはない、その程度の情報はすでに一般に流通していると考えたほうがいいと小倉氏は言う。看過できない情報の流出である場合は、次の対策を講じる。
 まずは情報流出の拡大を止めることである。名簿などの場合は流出させた企業へ連絡する。個人のサイトや掲示板で情報が晒されている場合は、プロバイダー責任制限法に基づく送信防止措置の要求を出す。具体的危険が想定されるときはメールや電話番号の変更、警察との連携も検討する。
 掲示板で意図的に個人情報が晒されたような場合は、流布者のIPアドレスと送信日時を把握できれば追跡できる可能性が高い。IPアドレスが表示されない掲示板では管理者にIPアドレスの開示請求をし、それを得てからISPに個人情報の開示請求を行う。この手続きはISPのログ保存期間との時間の勝負になり、仮処分申請なども必要になることから、弁護士に依頼するのが現実的であるという。
 最後に、流出情報がセンシティブ情報を含まない「大勢のうちの1人」である場合、損害賠償が認められても費用倒れになることが多いことを指摘し、「諦める」ことも1つの選択肢であると述べた。
ディスカッション1 パネルディスカッション
「個人情報を保護し人権を守るための対策」
モデレータ:
財団法人インターネット協会 副理事長 国分明男 氏
パネリスト:
WEB110 代表 吉川誠司 氏
ヤフー株式会社 法務部 部長 別所直哉 氏
東京平河法律事務所 弁護士 小倉秀夫 氏
2ちゃんねる 西村博之 氏

【ディスカッション内容】個人情報の開示めぐり、ひろゆき氏らが熱い議論

 前出の吉川氏、別所氏、小倉氏に、2ちゃんねる管理人である西村博之(ひろゆき)氏を迎え、パネルディスカッションが行われた。司会は国分明男氏(インターネット協会副理事長)が務め、午前中に講演を終えた岡村氏や鈴木氏も会場から参加した。
 個人情報の定義や、企業からの情報漏洩の際に、実際に流出を起こした下請け企業も大元の企業と共に訴えるべきか否かなど活発な意見交換が行われた。ネットで仲間を募って複数で自殺をはかる事件が多発しているが、救出目的で個人情報の開示を求められることついて、ヤフーの別所氏は「自殺は犯罪ではないので刑事訴訟法に基づく照会の対象にはならず、警視庁から別途用意した書面で連絡がある。それによりいわば緊急避難的に個人情報を開示している」と現状を述べた。
 これに対し、ひろゆき氏は2ちゃんねるに来た開示要求を拒否した経験を語り、「死にたい人は死ぬ権利がある、赤の他人がどうこうできるものではない」と持論を展開。「集団自殺は自殺幇助という見方も可能」「自殺は通常の精神状態で行われるものではない」という意見が出て、白熱した議論となった。

◆ Webニュースにてセミナーの模様が報道されましたのでご紹介致します。
INTERNET Watch(2004.03.23)
岡村弁護士「情報漏洩すれば、個人情報保護法とプライバシー権で法的責任」
全体 ディスカッション2
INTERNET Watch(2004.03.23)
個人情報保護の問題点と対策 ヤフーの法務部部長らが講演
INTERNET Watch(2004.03.24)
個人情報やプライバシー保護に関する話題をひろゆき氏らが議論
ITmedia Enterprise(2004.03.24)
あと1年 個人情報保護法全面施行に向けた課題とは?
ITmedia Enterprise(2004.03.24)
個人情報保護法対策「具体的に何を?」と悩む企業
ITmedia Enterprise(2004.03.24)
不要な情報は入手しない ヤフーにおける個人情報保護の取り組み
ITmedia Enterprise(2004.03.24)
基本的な個人情報は「既に一般に流通しているという覚悟を」

問い合わせ先:(財)インターネット協会 三田オフィス内
       インターネットホットライン協議会 事務局:大久保貴世、山本真紀
       E-mail:seminar@iajapan.org(研究会受付専用メール)
       Tel:03-3452-6420 Fax:03-3451-9604
       住所:〒108-0073 東京都港区三田1-4-28 三田国際ビル23階


Copyright (C) 2004 Internet Hotline Expert Network
インターネットホットライン連絡協議会ページへ