 |
 |
記事検索 |
イベントレポート |
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
従業員の監視はどこまで許されるのか~ユビキタス時代の個人情報保護 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
IP技術とビジネスの交流をコンセプトに東京国際フォーラムで開催されたイベント「Global IP Business Exchange」最終日の18日には、「ユビキタス時代の個人情報保護」と題したパネルディスカッションが開かれた。特に企業内におけるメールなどの利用状況の監視やバイオメトリクス認証に必要となる指紋や虹彩などの生体情報の管理と、従業員のプライバシーとの関係についてさまざまな考察が行なわれた。 ● 事前モニタリングとしてどこまで監視が許されるのか、基準が必要
この点について、筑波大学大学院図書館情報メディア研究科助教授の新保史生氏は、事件発生後の原因調査や犯人特定を目的とした事後モニタリングについて「企業の秩序を維持するという目的に沿う、調査が過度の支配に当たらないなど、いくつかの条件を満たせば、社会通念上調査は許されると考えるべき」と述べた。一方で事故発生を防止する目的で行われる事前モニタリングについては、ニフティ情報セキュリティ推進室課長の鈴木正朝氏が「裁判所は事前モニタリングについて何も判断を下していないため、そのような監視ツールを入れると適法性に問題が出てくるケースも考えられる」と指摘。「従来、企業内で行なわれてきた管理職の目視による監視が(企業内のIT化の進展に伴い)働かなくなってきている。それに対し、新しい管理手法への国の対応が追いついていない」との不満を示した。 特に鈴木氏は、厚生労働省の「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」において、どこまでの事前モニタリングが許されるのかという具体的な基準が示されることを期待していたにもかかわらず、実際はそういったガイドラインは示されなかったとして、「(厚労省は)行政庁としての判断を下すべきではないか」と要望した。鈴木氏は「現在は違法になるリスクを負いつつも体制を整備しているのが現状であり、極力、社内規定などをクリアにしていくことで安全運転することが重要だ」とも述べ、企業内におけるモニタリング体制の整備を手探りで行なっていかなければならない状況であることを示唆した。 また、監査法人トーマツエンタープライズリスクサービス部の丸山満彦氏は「何も記録を残さない、なんでもかんでも記録を残すという単純な二分論ではなく、事故の時に何を残さなければいけないのかを選別すること、そしてオンタイムで証拠を見つけなければならない問題と、後からの調査で証拠を見つけられれば十分なものをきちんと区別することが重要」と指摘。過度の監視によるプライバシー侵害を防ぐためにも必要なログを選別することの重要性を訴えた。 ● バイオメトリクス認証の問題はあまりにも多い バイオメトリクス認証については、新保氏が「確かに本人確認を確実に行なうという点では有用だが、一方で認証時に大量の個人情報を取得でき、その多くは情報が漏れたからといって変更することができないものであり、管理の重要性がさらに高くなる」と述べた。それ以外にも「例えば虹彩認証を使うやり方は義眼の人は利用できない、義手の人は指紋認証が使えないなど、バイオメトリクス認証が障害者排除につながってしまう可能性がある」「カメラによる認証で問題になる顔の肖像権ひとつとっても、日本と米国、欧州では考え方がそれぞれ大きく異なる」など、バイオメトリクス認証の問題点はあまりにも多岐に渡るとして、今後それらの問題をひとつひとつ解決していかなければならないと述べた。これに対し丸山氏は「バイオメトリクス認証で利用される認証情報はむしろハッシュ値に近いものであり、例えば指紋情報が入ったデータベースから情報が漏れたとしても、そのデータベースに含まれる情報から指紋を再現することは極めて難しい」と説明。バイオメトリクス認証の情報は決して究極的な情報ではなく、そこまで管理に神経質になる必要はないのではないかとの見解を示した。一方でバイオメトリクス認証を警察などが捜査等に利用しだすと、仮に自分の認証情報として他人の情報が間違って登録されていた場合などに大きな問題が発生するとして、「倫理的な部分まで十分考察した上で開発を行なっているのかというとちょっと疑問」と語った。 鈴木氏は、実際に現在ニフティ社内で試験的にバイオメトリクス認証を導入して評価を行なっていることを明らかにした上で、「例えばオフィスのすべての出入口にバイオメトリクス認証を導入すると、おそらく朝の出勤時にはドアの前に行列ができるだろう。既存の電子錠との関係もあり、全部にバイオメトリクス認証を導入することは非現実的」と述べ、「(バイオメトリクス認証では)どんなログが残って、従来のカードによる認証と比べてどう優れているかを評価しなければならない」との見解を示した。 ● 個人情報を電子化しないという選択肢も検討すべき 最後に会場との質疑応答の中で、「監視や認証も大事だが、そもそも不正をさせないようなシステムを作るという観点についてはどう思うか?」との質問があった。これに対して新保氏は、「確かにシステム上、不正を予防する仕組みを用意することも大事だ。しかし、それでも不正を試みる人間がいなくならない以上、今度は不正を試みて失敗したことに対してのログが残る。結局、監視の問題はなくならない」と回答。仮に不正を働くことが困難なシステムができたとしても監視の必要性は残るとの見解を示した。また、鈴木氏は「例えばブラックリストをあえて紙の形で散在させた状態にすれば個人情報保護法上の義務を免れられるといったように、“あえてデジタル化しない”ことで利益を享受するといった方法もあるのではないか」と述べ、企業が持つ情報を電子化しないことで逆に監視の手間を軽減するといったことも目的や用途、企業規模に応じて検討するという選択肢も示していた。 関連情報 ■URL Global IP Business Exchange 2004 http://www.ip-bizex.jp/ ■関連記事 ・ 岡村弁護士、「情報漏洩すれば、個人情報保護法とプライバシー権で法的責任」(2004/03/23) ・ 【Net&Com 2004】講演レポート「個人情報保護法と情報漏えい対策」(2004/02/05)
( 松林庵洋風 )
- ページの先頭へ-
|
