最近、毎月1回は個人情報に関する事故がニュースになっていて、たとえば今日も日本医科大学付属病院様での紛失事故がニュースになっていましたー。
ところで、今年の2月末に経済産業省様の個人情報に関するガイドライン(個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(PDF))が改定されたのですケド、毎月のように発生する個人情報漏洩・紛失事故の対策も改定されて、かなり企業様に有利になっているのですケド、ご存じですかー?
ちょっと例を出しますと、個人情報の紛失事故が発生した場合、旧ガイドラインでは必ず公表しなければなりませんでしたケド、今回の改訂では「公表しなくて良い例外」というのが設けられたのですよー。
上でリンクした資料の2-2-3-2.安全管理措置(法第20条関連)のD(「事故又は違反への対処」を実践するために講じることが望まれる手法の例示)の「(カ)事実関係、再発防止策等の公表」に関して、引用しますねー。
>以下のように、二次被害の防止の観点から公表の必要性がない場合には、事実関係等の公表を省略しても構わないものと考えられる。(略)
>・影響を受ける可能性のある本人すべてに連絡がついた場合
>・紛失等した個人データを、第三者に見られることなく、速やかに回収した場合
>・高度な暗号化等の秘匿化が施されている場合
>(略)
つまり「漏れた本人に連絡が取れた」「上手いこと回収できた」「データが暗号などで秘匿化されていた」場合トカは、個人情報を紛失しても公表しなくて良いわけですケド、「漏れた本人に連絡が取れた」場合は、ブログ等で個人によって公表される可能性が高いため、隠蔽だと騒がれないように公表せざるを得ないでしょうし、「上手いこと回収できた」というのは、たとえば個人情報の入ったフロッピーを紛失して探したら引き出しに入っていたというケースでも紛失事故として公表しなければならなかった旧ガイドラインの問題を是正したわけですし、「データが暗号などで秘匿化されていた」場合は、よっぽど重要なデータであって、それを欲しいという人の手に渡らない限りは普通は暗号化されたデータをわざわざ時間と手間をかけて解読しようとはしないでしょうから、おおよそ問題ないように思われますー。
・・・本当でしょうかー?
実は、上の引用をよーく読むと、凄く恐ろしい言葉が書かれているのですよー。
それは「二次被害の防止の観点から公表の必要性がない場合」という但し書きですー。
今回の改正では「漏洩・紛失事故の公表」に対して、「二次被害の防止のため」という理由がくっついたのですよー。
この「二次被害」というのが何を指しているかについては、別添の「クレジットカード情報を含む個人情報の取扱いについて」に記載されてますので、引用しますねー。
>クレジットカード情報(カード番号、有効期限等)を含む個人情報(以下「クレジットカード情報等」という。)は、情報が漏えいした場合、クレジットカード情報等の不正使用によるなりすまし購入などの二次被害が発生する可能性が高い
ようするに、クレジットカード情報等の不正使用のことを二次被害と言っているわけで、公表されるのは二次被害が予想されるときだけですから、なりすまし購入などで不正使用できる情報が無ければ、住所や電話番号、名前などの個人情報を紛失・漏洩しても公表する必要がないということなのですー。
もちろん、前にも書きましたケド、データを1件暗記して外部に漏らせば漏洩になりますから、どれだけ完璧な体制を作ったとしても個人情報漏洩を完璧に防ぐ方法というのはありませんー。
だから、個人情報保護法で「漏れたら大変なことになるぞ」という抑止力を設ける一方で、ガイドラインで「ここまでやっても漏れた場合は仕方がない」というコンセンサスを作ったわけですー。
そして、以前のガイドラインでは、「ちょっと机に閉まっていたのを忘れてた」ですら公表が必要なぐらいコンセンサスが高い位置にあったため抑止効果が高かったのに、今回の改訂によって、不正使用されるデータじゃなければ漏れても構わないみたいにコンセンサスが骨抜きにされてしまったため、今後は抑止効果は期待できませんので、企業様の個人情報の取り扱いがゾンザイになる可能性が高いということを覚えておいたほうがいいと思いますー。
今回は公表に関してだけ書きましたケド、もなQは、これ以外にもガイドラインには色々と改
もなみ:もなみはそこに戦略的な意図を感じるので、コメントに書いておきますねー。
一方で様:キツ過ぎる基準が萎縮効果ももたらしていた訳ですから、バランスが取れたよーな気も
名無し様:みんなの食いつきが悪いなw
名無し様:どの程度の秘匿化かは当然もらした人任せなんだろうなw
・わざと厳しすぎる基準を設ける
・厳しすぎると批判が出る
・適度に緩和した基準に修正する
という修正内容なら、問題はないのですよー。
問題なのは、最後のが「緩和しすぎた基準」だということなんですー。
そして、もなみはここに戦略的な意図を感じるのですよー。
初めに緩すぎる基準を設けた場合、緩すぎるという批判が出るでしょー。
その場合、厳しい基準に修正する必要が出てきますー。
でも、逆に厳しすぎる基準を設けた場合、後で緩すぎる基準に修正しても批判は出にくいんですよねー。
今回は、もともと「緩すぎる基準」に修正する意図があって、そのために最初は「厳しすぎる基準」にしたのではないかと疑ってしまうのですー。