デジタルまいど No.1~N0.48

110/162

（2） digitalまいど第33号 明るい未来社会の 　　　　　実現に向けて 明るい未来社会の 　　　　　実現に向けて プライバシーマーク 品のIDタグなどが連動し、買いたいものを選んでレジを通過するだけで、購入と決済が完了するシステムの実現。場所を問わないネットワークアクセス環境により、テレワークやSOHOなどの多様な就労環境などが、実現しうる例として挙げられています。 ユビキタスコンピューティング社会を実現するには、一方でハッカーの侵入防止や個人情報の保護などのセキュリティに対し、万全な対策が不可欠な要素になります。こうした裏づけなくして、自由なネットワークの利用は考えられないからです。また、1人が複数の端末を利用するようになると、現在のインターネット接続規約のIPv4では、約43億個のアドレスしかないことから、IPv4の4乗個のアドレスをもつIPv6の早期導入も必要不可欠になってきます。 いずれにせよ、かつては夢のような世界と思われていたユビキタスコンピューティング社会が、まさに現実のものになろうとしています。企業にとっては、大きなビジネスチャンスの到来であると同時に、このユビキタスコンピューティングの社会をより人類にとってよいものにできるかどうかは、私たちの未来をどうするかという意思と行動にかかっていることは間違いありません。より快適で実りの多い社会の実現を目指し、自らがグランドデザインを描く必要があると考えます。 個人情報保護とは 個人情報とは、盗難とか漏えいとかニュースで騒がれていますが、個人情報保護はそれだけではありません。 基本原則として、「利用目的・利用範囲は情報主体(本人)から同意を取る」、「利用目的・利用範囲に合った使い方をする」、「利用目的・利用範囲を変更する場合は情報主体(本人)から同意を取る 」になるかと思います。 盗難や漏えいは、第三者に"目的外利用"をされてしまう措置(事態)ということになるかと思います。つまり、"極論を言えば"、目的外利用さえされなければ、漏えいや紛失をしてもよい、ということにもなりえます。 よく、「メールのCcで個人情報が漏えい(Bcc: のし損ない？)」などのニュースがありますが、そもそも個人によって「個人情報」に対する考え方は異なるため、あらかじめ事前に同意を得て、合意を得た使い方をする、ということになります。 　メールアドレス自体が漏えいすることよりも そこのサイト(事業者)へ登録していることが知られてしまうことを気にする人もいると考えられます(２次被害の危惧とか？)。 　メールアドレスだけの漏えいであれば、個人情報の漏えいだと思わない人も居るかもしれませんが、"付加情報"として、「何処から」という情報が加わると話が変わってくるかもしれません。 また、ウェブでの個人情報の入力の場面でも、 SSLじゃないとダメだと思う人も居れば、あまり気にしない人もいます。そう思う人とそう思わない人が居た場合どっちに合わせるのか？そういう意味で言うと、安全管理に関しては、個人情報保護を完成させる上でも重要な位置付けになると考えられます。 　2003年5月に個人情報保護法が制定されましたが、例えば、環境マネジメント(EMS)では、国や自治体の排水基準などを遵守することだけではなく、＋αとして、どれだけ地球環境にやさしいかをアピールする目的もあるかも知れません。 　企業にとっては、個人情報保護とは、ただの法令遵守だけではなく、"顧客満足"の一部として、消費者の身になって個人情報を今流行の「１to１マーケティング」的なやり方になってくるでしょう。 個人情報とは JIS Q15001:1999の「3. 定義」にもありますが、直接・間接を問わず個人を特定できる情報であり、電子化された情報はもちろんのこと、紙のものも含みますし、画像や音声データも含んでいます。メールアドレスは、構成が様々で、 ISP系のメールアドレスですと無意味な記号かもしれませんが、会社ですと会社のドメインが付いていたりしますし、＠(アットマーク)の前は苗字や名前やその両方だったりすることも多いでしょうし、 .name ドメインであれば、フルネームになったりもするでしょう。メールアドレスを個人情報と思わない消費者もいるかもしれませんが、自らの都合や勝手な思い込みではなく、個人情報を広く捉えておく必要があるでしょう。ただ、それぞれの個人情報の取り扱いレベルは一律にする必要はなく、 "個人情報に関するリスク"によって変えればいい、ということになります。 　JIS Q15001:1999の定義に従うと、名刺や電話帳も個人情報になります。公開か否かは関係ありません。名刺や電話帳を個人情報として扱うことと、どのように保管・利用するかということは別です。 　保管レベルは「個人情報のリスクに応じて」決まるものですから、名刺や電話帳を個人情報として扱ったとしても、金庫で保管する必要もないかと思います。取り扱いのレベルは別として、少なくともすべての個人情報の利用目的は明確にしておくべきでしょう。 　紙ベースの電話帳に関してはそういう考えでいいとして、最近やっかいなのがカーナビや年賀状ソフトに使われている"電話帳データ"です。電話帳に印刷された情報を電子データにして、いろいろな検索ができるようにしたものであり、電話帳に載せているのは、あくまでも電話をかけるための目的であり、電話帳に載せている人も電話番号から住所・氏名を"逆引き"したりすることを想定しているだろうか？電話帳に関しては、NTT から著作権などでクレームが出ているようですが、それとは別に個人情報保護の観点で見てみると、紙ベースのものでは合意が取れていても、電子化した場合は"目的外利用"になるケースもあるかと思われます。 　これと似たようなケースで、名刺に書かれたメールアドレスを抜き出して、メールソフトのアドレス帳に登録することはよくあるかと思いますが、これはあくまでも「メールを出すことが目的」だからです。 　個人ユースの場合は許されるかもしれませんが、社内や部内で共有して、活用する場合はちょっと話が変わってくるかもしれません。たぶん共有することで、利用目的が混ざり合い、管理ができなくなっているのではないかと想像してしまいます。 　話が逸れましたが、保護方針や同意を求める告知文の修正の前後も含め、個人情報の利用目的を明確にして、他と混ざり合わないようにする必要があります。 プライバシーマークとは プライバシーマーク制度とは、(財)日本情報処理開発協会が1998年より行っている「個人情報保護に関する事業者認定制度」であり、その旨を示すロゴマークである「プライバシーマーク」を付与し、事業活動に関して「プライバシーマーク」の使用を認める制度です。 対象となる個人情報はオンライン／オフラインなどの入手経路を問わず、顧客情報に限らず、社員情報や採用情報など、自社内で存在するすべての個人情報について適用されます。 この制度は運用要領に従って運営されており、認定を受けた事業者はもちろん、取り消しを受けた事業者名も公表されています。 　注意・勧告の場合は社名までは公表しない場合もありますが、社会的影響も大きいため、注意・勧告・取消などの措置はかなり慎重に行っています。 認定期間は２年であり、２年毎に同様の審査(更新審査)を行っています。２年に１回しか審査を行いませんが、認定後のフェイルセーフ措置として、情報主体(本人)からの苦情に対して、"苦情処理窓口"を設け、事実を調査し、事と次第によっては、勧告・取消などの措置を取ることもあります。プライバシーマーク制度は、JISに基づいて審査をしてますが、事業者認定であり、製品やサービスの認証ではないので、「JISマーク」とは異なります。 　特定の製品やサービスの信頼性を示すものではないのですが、手順の実施状況を確認する上での具体事例として、サンプリングチェックをしています。しかし、時間的な制約があるので、個人情報の取り扱い量などを考慮した上でのサンプリングで行っていました(ヒアリングがメイン)。 認定にあたっては、JIS Q15001:1999に基づいて審査をしており、個人情報の収集、保管、利用、委託、提供、情報主体(本人)からの要求対応、破棄などの、一連の取り扱いについて適切に行う手順が確立されているかを審査しています。 　プライバシーマークの申請には、JISQ 15001:1999の要求事項以外に、追加事項として、 * (原則として)全社的な取り組み * 過去２年間の"欠格事項"への非該当 * 個人情報保護方針の事業者ウェブサイトへの掲示 * 消費者相談窓口の設置と消費者への明示 * 年１回以上の教育と監査の実績 が必要です。"取消や勧告"があるので、CPの文書化や体制の整備だけではなく、ある程度実施し、実績を積むことが必要です。

※このページを正しく表示するにはFlashPlayer10.2以上が必要です