 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
個人情報保護の問題点と対策~ヤフーの法務部部長らが講演 |
||||||||||||||||||
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
財団法人インターネット協会は23日、都内で「インターネットにおける個人情報保護と人権」セミナーを開催した。セミナー・午後の部の前半は、利用者・管理者・法曹界のそれぞれの立場から、個人情報やプライバシーの保護に関する問題点とその解決策に関する話題が取り上げられた。 ● 被害者に情報が漏洩している具体的な状況を伝えられないジレンマ~吉川誠司氏
今回同氏は具体的な2つの事例を取り上げた。1つは、香港のあるホテルのWebサイトから顧客名簿が漏れた事例だ。宿泊予約者の670名の住所・氏名・電話番号・メールアドレス・カード番号・カード有効期限が流出したというもの。ロボット検索によりこれらのデータが検出されたもので、加害者はいない。この予約客名簿に記載のある全670名のうち、日本人が7名含まれており、同氏は海外からメールで「被害者に日本人が含まれているようなので、代わりに連絡してほしい」と連絡を受けこの事実を知ったという。 原因はWebサイトの設計ミスで、同ホテルでは通報を受けてすぐに同サイトを閉鎖する措置を取ったそうなのだが、ここで問題となったのがGoogleのキャッシュにこの顧客情報が残ってしまったこと。同氏はGoogleに対しメールで何度か削除要求を出したそうなのだが、Googleからは返答を得られず、警察庁からはGoogleに対して削除要請をする権限がないと回答され、「打つ手立てがなかった」と述べた。 また、同氏は名簿に記載されていたメールアドレスを頼りに当事者にも連絡をしたそうだが、この際に「具体的な名簿へのアクセス方法を教えてしまうと、名簿に載っている他の顧客の個人情報を漏らすことになってしまうのでアクセス方法を通知するわけにいかないし、かといって実際に名簿が漏れている状況を見せないと当事者には信用してもらえない」というジレンマに陥ったという。 もう一つの事例は、中古下着のオークションサイトで複数のIDを使って不正に価格のつり上げを図っていたユーザーの個人情報が見せしめ的に晒された事例。実際につり上げを行なっていたのはもちろん女性なのだが、この女性がID登録の際に以前交際していた(事件発生時点では既に別れている)男性の個人情報を無断で使用していたことから、晒された情報の中に、実際には事件と無関係な男性の個人情報が含まれてしまったのだそうだ。しかも同サイトの管理者に苦情を訴えたところ、管理者は逆にその女性が加入するプロバイダーからのアクセスを禁止する措置を取り、さらに何者かの手によりオークションサイトのURLが2ちゃんねるに記載され、「掲示板ユーザーが“集団ストーカー”化するという事態にまで発展してしまった」という。 このケースでは吉川氏が相談を受けた後、オークションサイト本体で公開されていた個人情報については、いろいろな手だてを取ることで、なんとかとか削除させることに成功したという。同氏は、「2ちゃんねるのガイドラインでは他サイトで公開済みの情報やURLは削除対象外となっているほか、削除依頼板に誤って個人情報を書き込んだ場合は、自己責任を理由に削除に応じないなどの問題もある」と指摘した。
● プライバシーポリシーの共通化・普遍化が必要~別所直哉氏
まず「個人情報を自ら取り扱う立場」では、同氏は「中で働く人がすぐ理解できるようにするためにも、基本となるプライバシーポリシーをわかりやすくすることが重要だ」と語る。内部の人間が悪意を持って情報を漏洩する事態を防ぐために、システム的なアクセス制限やログ・メールの監査などだけではなく、わかりやすいポリシーを作るなどの方法で、中で働く人間がモラルを持って相互にチェックし合うような雰囲気をいかに維持するかが重要であるとの考えを示した。 また、利用者との関係においては、同氏は「プライバシーポリシーは約款などの形で法的拘束力を持たせる必要はないが、ユーザーとの約束事として遵守するという姿勢を取るべき」という米FTC(連邦取引委員会)の見解を紹介し、これを支持すると表明。さらに、「個人の利益と企業の利益を共に考慮しつつ合理的なポリシーの適用を図る必要がある」と訴えた。 同氏は、先日のソフトバンクBBの個人情報漏洩事件を念頭に置いてか、「共同事業を行なっている相手が情報漏洩を起こした場合に、実際には『自分達は独自のポリシーで運営しているから問題ない』と問題を放っておくことはできないのが実情であり、共同事業の場合は事前に双方のポリシーの共通化・普遍化が必要だ」とも語った。 一方、「個人情報開示の場としてサイトを利用される立場」については、「例えば少年犯罪の加害者情報のように、法的には公開すべきではないと定められているものでも、実際にはその情報の公開を求める声が大きいものもあり、一律の基準で(公開・非公開を)解決していくのは難しく、結局は個別判断が必要」と語った。また、「掲示板に書き込んだユーザー全ての個人情報を収集しておくという考え方もあるが、そうすると今度はその収集したデータを外部に漏れないように管理しなければならず、『余計な個人情報はなるべく持たない』というリスク回避の原則から外れる」とも述べ、一筋縄では問題を解決できない難しさがうかがえた。 ● Google対策、ログ保全など弁護士を活用すべき~小倉秀夫氏
同氏はまず、最初に行なうべきこととして「現状を把握して、漏洩した情報の中にいわゆるセンシティブ情報に属する情報(思想・信条・本籍地など)や、悪用される危険性がある情報(銀行の口座番号、クレジットカード番号など)が入っているかを確認すること」を挙げた。「実際問題として氏名・住所・電話番号・生年月日程度の情報は、何もしなくても既に世間一般に流通している覚悟をしておくべきだし、流通した情報がその程度であればわざわざ対策を立てるほどのものではないことが多い」と語った。 また同氏は「先日のYahoo! BBの件のような大量のデータ漏洩は、個々人のデータは埋没してしまうため、現実にはそれらの情報が悪用されるケースは少ない」と語り、「むしろ2ちゃんねるなどの掲示板で特定個人の情報が晒されるケースの方が危険度が高く、特に犯罪行為の呼びかけが行なわれているようなケースには注意すべき」と述べた。 具体的な対策としては、同氏は「名簿漏洩の場合はそのWebサイトを運営する企業への連絡、特定個人の情報の場合はプロバイダー責任制限法に基づく送信防止措置要求を出すのが有効」と語った。「私の感覚だと、Googleキャッシュは明確な理由を付けて削除要求を出すと2日くらいで削除してくれる」「2ちゃんねるは別格として、それ以外の掲示板に個人情報を晒された場合はGoogleの検索対象から外してもらう(通称“Google八分”)だけでも、だいぶ被害の拡大を防げるし、実際私も何度かやったことがある」と述べ、吉川氏がGoogleになかなか対応してもらえなかったという件については「Googleが動かなかったのは、被害を受けた当事者本人(もしくはその代理人となった弁護士)からの通報ではなかったからではないか」と分析した。 その後は、必要ならばメールや携帯電話の番号を変更する、敵意を持った攻撃の場合は警察に相談するなどの措置を取った上で、掲示板で情報が晒されたようなケースでは情報を流した人間の特定に入ることになる。この際、2ちゃんねるのようなIPアドレス非表示の掲示板では「まず掲示板の管理者にIPアドレスの開示請求→その情報を元にしてISPに対し個人情報の開示請求」という2段階の手順を踏む必要があり、下手をするとその請求の間にISP側がログを廃棄してしまう可能性がある。そのため同氏は「このあたりは仮処分申請などを併用するなどのテクニックが必要であり、弁護士以外には実務的に対応は無理だろう」との見解を示した。 最後に同氏は、顧客名簿漏洩のケースで損害賠償を求めて裁判になった場合について「損害賠償が認められても、その中にセンシティブ情報が含まれていない場合は大抵費用倒れになるし、裁判の進行上も個人情報を管理している企業側の過失の立証が難しい上に、損害との因果関係の立証が困難だ」と述べた。最近同種の事例で裁判に訴えるケースが増えている状況に、実務家の観点から釘を刺すコメントで講演を締めくくった。 関連情報 ■URL 「インターネットにおける個人情報保護と人権」セミナー http://www.iajapan.org/hotline/seminar/jinken2004.html ■関連記事 ・ 岡村弁護士、「情報漏洩すれば、個人情報保護法とプライバシー権で法的責任」(2004/03/23)
( 松林庵洋風 )
- ページの先頭へ-
|
