Pマーク担当向け教育更新コラム:プライバシー影響評価

pmark-anchor 2013年3月1日 金曜日

本日、マイナンバー関連法案が閣議決定されたのに伴い

今後は今国会での法案成立の行方に注目が集まるところだが

個人情報保護法制でも議論になった“個人の権利利益”と“プライバシー権”について

私的備忘録として整理しておきたい。

 

そもそも個人情報保護法はプライバシー権の保護が主目的ではなく

個人情報を取り扱う行政機関や民間の事業者に対して

個人情報の適切な取扱い求めるものであり

行政的規制や監督を主旨としていると考えられる。

そのため自己情報コントロール権を保証するものではない。

一方で、利用目的の通知や提供の制限、開示等の求めなど

本人関与の機会が認められているため

プライバシー権の保護も含まれているのではないかとなる。

やはり個人情報が適切に取り扱われる結果として

プライバシー権の一部も保護されると考えるのが順当ではないかと考える。

 

昨今、“パーソナル情報”の取扱いについて注目が集まるが

個人情報保護法がプライバシー保護を目的とするものではないなら

パーソナル情報の適切な取扱いについては整備が急がれる。

昨年、総務省がまとめた「スマートフォン プライバシー イニシアティブ」は

利用者情報(パーソナル情報を含む)の取扱いについての提言ではあるが

法的な拘束力はなく、事業者向けの指針として公表されたものである。

 

スマートフォンアプリによる利用者情報の不正取得については

形式的許諾手続き(規約の明示と同意)がなされていれば

後から責任を問うことが難しいのが現状である。

違法でなければ問題ないと考える事業者も多く存在する。

問題は利用者の不注意、無関心が原因であり

内容を確認しなかった利用者の責任となれば

子供や高齢者にとって、さらに大きな障害となる可能性もある。

一概に不法行為とは言えないが

利用者目線に立った適切な取扱いに関する規制が望まれる。

 

 

マイナンバー法についてはどうか。

 

行政事務処理者において、個人番号及び法人番号を活用した効率的な情報の管理、利用を行うこと

他の行政事務を処理する者との間における迅速な情報の授受を行うこと

手続きの簡素化による国民の負担の軽減及び本人確認の簡易な手段を得るための事項を定めること

現行の個人情報保護法制の特例を定め、個人番号その他の特定個人情報の適正な取扱いを確保すること

を目的として構成されているが、気になるのは「個人番号その他の特定個人

情報の適正な取扱いを確保すること」であり、新たに“特定個人情報保護評価”

という制度が検討されている。

 

・情報保護評価とは、「番号」に係る個人情報が適切に取り扱われているかを確認するために行うもので、諸外国で採用されているプライバシー影響評価(Privacy Impact Assessment、以下「PIA」という。)に相当するものである。

 

・PIAとは、情報システムの導入等にあたりプライバシーへ及ぼす影響を事前に評価し、その保護のための措置を講じる仕組みをいう。

 

・PIAの実施時期としては、プライバシーへ及ぼす影響に大幅な手戻りなく対応できるようにするため、システム設計の変更が可能であるシステム開発前が適当と考えられている(プライバシー・バイ・デザイン)。

 

とあり、プライバシー保護に重点を置いた制度となっている。

 

個人情報の中で最も他人に知られたくないのがプライバシーに関する情報である。

マイナンバーにより名寄せ・突合せされた個人情報が外部漏えいしたらどうなるか。

集積・集約された個人情報により特定の個人が選別され、差別的に扱われないか。

番号や個人情報の不正利用や改ざん等により財産その他の被害を負う可能性など

今後プライバシーリスクはさらに大きくなるだろう。

プライバシー影響評価の客観性、透明性確保についても慎重な検討を期待したい。

 

管理能力の差でもあることを再認識すべきであろう

Pマーク担当向け教育更新コラム:マイナンバー

pmark-anchor 2013年2月21日 木曜日

マイナンバー制度の関連法案が来月1日に再び閣議決定される見込みとなった。
前政権においても閣議決定されたが政権交代により一旦廃案になったものである。
社会保障・税番号制度の改革の一環として協議されてきたものだが
同制度導入による多くの効果が期待される半面
運用において個人情報が適切に管理できるのかという不安が
まだ払拭仕切れていない感がある。

では番号制度で何ができるのか。
社会保障・税番大綱(概要)では大きく6つの項目を上げている。

  1. より決め細やかな社会保障給付の実現
  2. 所得把握の精度向上等の実現
  3. 災害時における活用
  4. 自己の情報や必要なお知らせ等の情報を自宅のパソコン等から入手できる
  5. 事務・手続きの簡素化
  6. 医療・介護等のサービスの質の向上等

一方、番号制度に必要な3つの仕組みとして、以下の3点が上げられている。

  1. 付番…新たに国民一人ひとりに、唯一無二の、民・民・官で利用可能な、見える「番号」を最新の住所情報と関連付けて付番する仕組み
  2. 情報連携…複数の機関において、それぞれの機関ごとに「番号」やそれ以外の番号を付して管理している同一人の情報を紐付けし、紐付けられた情報を活用する仕組み
  3. 本人確認…個人や法人が「番号」を利用する際、利用者が「番号」の持ち主であることを証明するための本人確認(公的認証)の仕組み

詳しくは内閣官房サイトで確認ができる。
http://www.cas.go.jp/jp/seisaku/bangoseido/

これまで膨大に蓄積されてきた国民の個人情報を一つの番号に紐付することが必要となるが
年金記録問題を思い出すと多くの国民が不安に思うことは確実である。
また国家による国民情報の一元管理という懸念もあるが
利便性の享受とプライバシー保護のバランスも気になるところである。
個人情報に関わる多くの事件・事故が“人”が原因となって発生しているという現実もあり
まだまだ官・民で運用するためには越えるべきハードルが数多くあるだろう。
今国会で予算関連法案として成立させ、平成28年1月の利用開始を目指すとあるが
まだ3年あるのか、あと3年しかないのか。
新政権の舵取りに新たな注目が集まるところである。

Pマーク担当向け教育更新コラム:いつか来る“その時”

pmark-anchor 2013年1月17日 木曜日

阪神・淡路大震災から18年。
それまで神戸には大きな地震は発生しないという通説があった。
当時は誰もがこの根拠のない“安全地帯”という安心感に
疑問を持った人は少なかったのではないかと思う。
しかし、それは一瞬にして崩壊する結果となった。

毎年、厳寒期を迎えるこの頃になると“あの瞬間”が思い出される。
1995年1月17日午前5時46分52秒。
震災の詳細は内閣府の防災資料として公開されているが
http://www.bousai.go.jp/1info/kyoukun/hanshin_awaji/earthquake/index.html
数字からだけでは見えない現実も数多くある。

TVの取材ヘリが移す映像を見たときに言葉を失った。
高速道路やビル、マンション、病院、住宅の倒壊。
線路は信じられないほどに曲がり、断線し、車両は脱線。
市街地のありこちで火災が発生し、黒煙が吹き上げている。
到底信じられない光景が次々と映し出され現実味が感じられなかった。
しかし、それはまぎれもなく6400名以上の命を奪った地震災害であった。

気象庁の統計資料によれば
明治以降、日本付近で発生した地震で最大震度7というのは
阪神・淡路大震災(兵庫県南部地震)と2011年の3.11東北地方太平洋沖地震だけである。
正直なところ、震度7での生存率は“その時どこにいたか?”による部分が大きい。
誰しも24時間365日の臨戦態勢は不可能である。
できることは生存確率を上げるための備えであり、心構えではないかと思う。

1月17日(木)22:00からNHKスペシャルで南海トラフの巨大地震をテーマにした
防災、減災への取り組みが紹介されるようである。
いつ、どこで、どのレベルで起きるかを正確に予測することは困難だが
一定のサイクルで繰り返されてきたことだけは間違いない事実である。
“その時”のためにも風化させないことが大切だと感じる。

情報セキュリティ理解度チェック

pmark-anchor 2012年12月7日 金曜日

【プライバシーマーク教育にオススメ資料】

情報セキュリティ理解度チェック

 

 

 

 

 

 

 

 

 

 

 

NPO日本ネットワークセキュリティ協会

ルール(内部規程)は存在するが、徹底できていない顕著な例

pmark-anchor 2012年7月25日 水曜日

個人情報の事故から学ぶ

ルール(内部規程)は存在するが、徹底できていない顕著な例です。

 

【事故の概要】

兵庫医科大学の研究生がひったくりに遭い、患者141人の個人情報が保存されたUSBメモリが盗まれたことがわかった。

被害に遭ったUSBメモリには、患者141人の氏名、年齢、性別、患者ID、調剤薬名、主治医の氏名などが保存されていた。7月18日20時ごろ、同大内科学リウマチ・膠原病科の研究生が帰宅途中の路上で、バイクに乗っていた男に鞄ごとひったくられたという。

翌19日に警察から連絡があり、財布は発見されたが、現金やUSBメモリは見つかっていない。同大学では、患者情報の外部持ち出しを禁止しているが、周知徹底されていなかったとして、対策を強化。対象となる患者への報告と謝罪を進めるとしている。

(Security NEXT – 2012/07/23 )

http://www.security-next.com/032531

健康情報の漏えいは1件からでも公表

pmark-anchor 2012年7月20日 金曜日

個人情報紛失のお詫びとご報告

この度、当社従業員の定期健康診断個人結果票を各個人へ配布した際、1名分の定期健康診断個人結果票が本人へ届かず、配送途中で紛失する事故が発生いたしました。当社の管理体制の不備からこのような事態を招き、心から深くお詫び申し上げます。

なお、紛失した個人情報の詳細は下記の通りです。

◆ 従業員1名の個人情報(定期健康診断結果票)

定期健康診断結果票を紛失した従業員ご本人に対して、謝罪と報告を行うとともに、関係省庁への報告を行いました。現在のところ、紛失した個人情報(定期健康診断結果票)が不正に利用された形跡は確認されておりません。

当社では、個人情報の取り扱いについて、社内における教育、および管理体制の強化に努めて参りましたが、今回このような事態を招いたことを重く受け止め、再発防止に真摯に取り組むとともに、さらなる情報セキュリティの強化に取り組んで参ります。

2012年7月18日

パナソニック株式会社 デバイス社

事前同意は必要。同意の無い場合のリスク事例

pmark-anchor 2012年7月6日 金曜日

 

事前同意は必要です!

今回の内容は、個人情報の取り扱いについて同意の無い場合の典型的なリスクです。

 

さんようタウンナビより

http://town.sanyo.oni.co.jp/news_s/d/2012070221470766

弁護士会が岡山大に勧告

岡山弁護士会は2日、人権侵犯救済の申し立てに基づき、岡山大(岡山市北区津島中)に

個人情報の拡散防止など適正な措置に努めるよう勧告したと発表した。

 

同会によると、岡山大は2008年12月、障害者雇用枠で採用した元職員の同意を得ないまま、

発達障害であることや接する際に配慮を求めるメールを、女性職員に指示して配属予定だった職場の約60人に送信した。

元職員が昨年3月、事前に同意を得ることなく公表されたとして、同会に人権侵犯救済を申し立て。

個人情報の適正な取り扱いを求めた独立行政法人等保有個人情報保護法に反する人権侵犯が生じたと判断した。

勧告は6月25日付。

岡山大人事課は「本人の同意を得ることが必要とまで認識していなかった。

勧告を真摯(しんし)に受け止め、職員の個人情報の取り扱いには十分留意したい」としている。

 

手提げカバンの紛失事故。リスク事例

pmark-anchor 2012年7月5日 木曜日

手提げカバンの紛失事故です。リスクを認識することが個人情報保護です。

 

 

個人情報を含む書類の紛失について

滋賀県 県政eしんぶんより

http://www.pref.shiga.jp/hodo/e-shinbun/ha04/20120629_2.html

 

1.概要

滋賀県高島土木事務所が治水対策検討業務を委託している(株)建設技術研究所の社員が、

個人情報を含む24件の「水源カルテ」の入った手提げカバンをJR湖西線の電車に置き忘れ紛失した。

2.経過

平成24年6月26日、同社社員が土木事務所との協議後、JR湖西線(上り)にて帰社途上、

17時過ぎにJR山科駅で下車した際、手提げカバンを電車の棚に置き忘れたことに気が付いた。

カバンの中には、「水源カルテ」やその他協議用資料が入っており、

JRに忘れ物の問い合わせるとともに到着駅での確認をお願いした。

その後、幾度となくJRに問い合わせたが、該当カバンは見当たらないとのことであった。

6月28日13時30分に同社から連絡を受けた土木事務所は、

同社と共に15時30分から紛失情報に該当する方々に、この事実をお知らせするとともに謝罪した。

 

3.紛失した情報

「水源カルテ」は、安曇川の改修を実施するにあたり、

今後の地下水調査個所を抽出するために県が貸与したもので、

井戸の所有者氏名、住所、電話番号および井戸の位置、用途、構造、使用状況、水質・水位が記載されていた。

医療機関による漏えい事故、報告遅れる、レピュテーション・リスク

pmark-anchor 2012年5月18日 金曜日

(事故の内容)

鹿児島県の川内医師会立市民病院は、患者908人の個人情報や治療情報が保存されたUSBメモリを紛失していたことを明らかにした。

紛失したUSBメモリには、同院のカルテ情報のほか、ほかの病院や施設から返却されたデータが保存されていた。

脳卒中を発症した患者908人の氏名、住所、電話番号、生年月日、発症日、病名のほか、

担当医師や看護師の指名、治療内容、障害の程度などが含まれる。

職員がバックアップのためUSBメモリにデータを保存し、規定の保管場所である引き出しに入れていたが、

施錠していなかった。職員は1月初旬に紛失へ気付いていたが、上長への報告は3月初旬、病院長への報告は

4月18日になったという。同院では警察へ届け出るとともに、対象となる患者への報告と謝罪を行っている。

セキュリティニュースより

http://www.security-next.com/030515

 

(コメント)

USBの紛失事故。職員は1月初旬に紛失へ気付く、

上長への報告は3月初旬、病院長への報告は4月18日。

個人情報の漏えい事故の他、レピュテーション・リスク(顧客の信頼を失うリスク)の顕著な事例です。

保育園職員による個人情報の紛失について考える

pmark-anchor 2012年4月14日 土曜日
事故の内容(荒川区のホームページより)
平成24年4月9日(月曜日)、綾瀬警察署より、荒川区立保育園3園(第二東日暮里保育園、第二南千住保育園、荒川さつき保育園)に通う園児32名の個人情報が記載された新入園児名簿などを、4月6日(金曜日)の拾得物として保管しているため、受け取りにくるよう連絡がありました。
受け取り後、調査した結果、第二東日暮里保育園の担当保育士(派遣職員・女性)が平成24年4月5日(木曜日)夜に新入園児の名簿等を鞄に入れて自宅に持ち帰ったものと判明しました。
この新入園児名簿は、本年7月に開園予定の南千住七丁目保育園に入園する園児32名の名簿でした。(なお、この32名は、4~6月の間、上記3園で保育している園児です。
当該職員は、書類の紛失について、警察署から連絡があるまで気がつきませんでした。
新入園児名簿には、保育園名、氏名、性別、生年月日、アレルギーの有無等が記載されていました。住所及び電話番号、連絡先の記載はありません。

 

事故について考える

書類の持ち出し管理について、実施できていなかったことが最大のポイントであると考える。