個人データ保護とプライバシー保護の混同について
個人情報保護はもうひと工夫を——個人データ保護とプライバシー保護の混同 (1/3):ITmedia エンタープライズより
RSA Conference Japan 2007では、国際大学グローバル・コミュニケーション・センターの青柳武彦客員教授が、個人情報とプライバシー保護の解釈について誤りがあるとし、情報保護のあり方について解説した。
「個人データ保護=プライバシー保護」とするのは誤りだ、というのが青柳氏の意見だ。データ保護とは漏えいや紛失、改ざん、不正利用などから「データ自体」を守ることだという。一方、プライバシー保護とは他者との調整の基に、情報主体の権利を侵害されないようにすることだとしている。
青柳氏は、「ネットワークの発達によって、データ保護とプライバシー保護が混同されるようになった。個人情報を争点にした裁判でも、そのような傾向が見られる」と話す。個人情報の定義とプライバシーの関係が曖昧なままにされていることが原因で、「個人情報の漏えいがすぐにプライバシーを侵害する犯罪行為に当たるという司法などの判断は間違い」と述べている。
青柳先生の著書は、2冊読んだことがある。
個人的にも研究している分野であり、ビジネスでも同様の分野なので、興味がある。
私も同じに考えている。個人データの中にプライバシーが含まれることは確かだが、保護の観点から考えれば違うものになる。
個人情報に含まれるものにプライバシーに係わるものが多くある。このプライバシーに明確な範囲はない。
その本人が他人に知られたくないものであれば、プライバシーに該当すると私は考えている。これは個人それぞれに色んなものがあり、範囲も相当に広い。
例えば、私が自分の体重を人に知られる事は、あまり興味がなく問題のないこと。
しかし体重を気にする方ならば、他人に知られたくない。見た目でわかるような事であっても、本人が気にする以上は仕方のないこと。
私がOK・・・相手もOK・・・ではない。ということだ。
身体的な事などは、特に注意するべき内容になる。
私の身長は176センチくらいだが、シークレットシューズ(靴底が厚く身長が高く見える靴)を使われている方にとっては、知られたくない事になるだろう。
これが、間違いやすい部分になると思う。
自分自身でコントロール出来る範囲の事であれば良いのだが、コントロール出来ない範囲になると、尚更に難しくなる。
自分の情報が企業などの顧客情報などに登録されていて、それが漏洩したら自分ではコントロール出来ない範囲になってくる。
この部分が個人データの保護になり、情報を保有しているところが保護しなければならない。個人情報保護法で言えば、5000件のデータを持っているところは保護しなければならない事業主体の対象になるが、4999件だったら良いのか?って事になる。
法律では明確な件数を決めない限り、どの範囲かわからないから仕方ない。
個人情報を沢山もつ場合・・・などでは、沢山の定義が明確でない。だから件数になるのだが、私は1件でも重要な保護対象として考えなければならないと思っている。
ようは漏れなければ、なにも問題は起こらない。
しかし、漏れてしまうのが現実で現状だ。
乱暴な言い方をすれば、守る側に携わる人たちにすべてはかかっている。
でも、そこに守る側の人たちのデータがあれば、本気に対策するだろう。
デジタルデータの管理になり、情報量が大量になってくると、野菜の山盛り皿売りのような管理になっている。
もしも、その中に自分のプライバシーに係わる情報があったとしたら、新聞紙上を賑わすような問題は減ってくるだろう。
明確に分けて考えることも一方で必要な事だが、結局は似通ってきてしまうところ。
個人の情報が、これだけ色んなところにある以上は、対策側にしっかりと保護してもらうことしかできない。
逆説としては、一切個人が情報を出さない・・・
情報がなければ、漏れようがないってこと。
現実そんなことはあり得ないことだからこそ、リスクは漏れちゃう側にある。
漏れることを前提として対策案を考え、実行することが最も重要な点になるのだ。
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。