...

プライバシー影響評価 - 小笠原六川国際総合法律事務所

by user

on
Category: Documents
22

views

Report

Comments

Transcript

プライバシー影響評価 - 小笠原六川国際総合法律事務所
【法律の基礎知識】
プライバシー影響評価(PIA)におけるバイ
オメトリクス 日本におけるPIA導入可能性
2008年9月11日
弁護士・首都大学東京産業技術大学院大学
講師
六川 浩明
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
1
目 次
1.調査研究目的
2.プライバシー影響評価とはなにか,その必要性
3.海外での実施動向
4.日本で実施する場合の課題と対策
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
2
調査研究プロジェクトの概要
  個人情報を扱うシステムの構築および国際的な運用において,
ユーザ保護の立場からシステム構築の適正さを事前評価する
手法の開発が各国で検討されている.海外における先進事例を
調査すると同時に日本における課題と対策を明確にする.
  本プロジェクトは,議論の要点を絞るため,究極の個人情報とい
われるバイオメトリクスを扱う情報システムのアセスメント手法
の確立を図ることを目的とした.ただし,開発した手法はバイオメ
トリクスに関する個人情報に限定されるものでない.
  具体的には下記の調査研究を実施した.
(1)PIA実施が進む海外における調査を行う.特に,政府機関、州政府におい
て,採用が進んでる米国,カナダ,および,専門のコンサルティング企業が
存在するオーストラリアを重点的に調査する.
(2)日本でPIAを実施する場合の課題分析とコンプライアンスフレームワーク
を検討し,PIA実施のためのガイドラインを作成する.
(3)PIAに関するワークショップを開催し,日本での啓蒙を図る.
PIA: Privacy Impact Assessment プライバシー影響評価
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
3
WGミーティング参加者
(1)メンバー
・産業技術大学院大学 瀬戸洋一(主査) 清水将吾 和田あき子
・東京工科大学 村上康二郎
・筑波大学大学院 新保史生
・NEC 小川隆一 矢野尾一男
・東芝ソリューション 山田朝彦
・日立製作所 佐藤嘉則 三村昌弘 瀬野尾修二
・富士通(富士通研究所) 森原隆
・三菱電機 鷲見和彦
敬称略
(2)オブザーバ
・弁護士 六川浩明
・バイオメトリックセキュリティコンソーシアム事務局 中島晴久 柴田夏彦
・(株)情報通信総合研究所 小向太郎 左貝裕希子
・(株)セキュアデザイン研究所 栗田寛久
・セコム(株) 池野修一
・日立オムロンソリューションズ 緒方日佐男
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
4
オーストラリアPIA視察調査での面会者
①Australian Government Information Management Office
(AGIMO: Department of Finance and Administrationの一部門)
Mr. Paul Bambury, Ms. Jasmine Kaul (AGIMO)
Mr. Chris Connolly, Mr. Peter van Dijk (Galaxia)
② Attorney-General Department(司法省)
Mr. Alex Lang, Ms. Emma Shadbolt
③National Center for Biometrics Studies(University of Canberra)
Prof. Clive Summerfeld
④Galaxia社
Mr.Chris Connolly(弁護士) ほか
Prof. Graham Greenleaf (New South Wales University)ほか
⑤Australia Privacy FoundationBaker & McKenzie, Lawyers
Mr. Patrick Fair(弁護士), Mr. Adrian Lawrence(弁護士)
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
5
SSR報告書の目次
1. プライバシー影響評価PIAの概要 1.1 プライバシー影響評価PIAとはなにか 1.2 プライバシー影響評価PIAのフレームワーク 1.3 プライバシー影響評価PIAプロセス
2. 各国の法制度とプライバシー影響評価 2.1 プライバシーと法律 2.2 PIA実施国の法整備状況 3. 海外のPIA実施状況 3.1 米国におけるプライバシー影響評価の実施状況
3.2 オーストラリアにおけるプライバシー影響評価の実施状況
3.3 カナダにおけるプライバシー影響評価の実施状況
3.4 ニュージーランド、香港、韓国におけるプライバシー影響評価の実施状況 3.5 その他国際機関のPIAの状況
4. オーストラリア政府、企業に対するプライバシー影響評価実施状況調査
5. PIAワークショップ
6. 日本における実施例 6.1 ガイドライン
6.2 PIA報告書
報告書は、http://www.bsc-japan.com/にてSSRメンバーへ公開中
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
6
目 次
1.SSRプロジェクトについて
2.プライバシー影響評価とはなにか,その必要性
3.海外での実施動向
4.日本で実施する場合の課題と対策
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
7
プライバシー影響評価とは?
プライバシー影響評価PIA: Privacy Impact Assessment
個人情報に関するリスクコミュニケーション手法
・「個人情報の収集を伴う新たな情報システムの導入にあたり, プライバシーへの影響度を 事前 に評価し,その回避または
緩和のための法制度・運用・技術的な変更を促す」ための一
連のプロセス.
・1990年代後半に体系化が進められた.
・国際標準化されたプロセスは存在しない(ISO TC68で開発中).
・各国の個人情報保護監督機関や行政機関が,各国事情に応
じたガイドラインを公表している.
・一部の国では法的要請となっている.その一方,プライバシー
懸念が予測されるシステム導入について政府や自治体、医療 機関が自主的にPIAを行うケースもある.
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
8
社会に浸透するバイオメトリクス技術
2001
2004
2007
2010
△米国同時多発テロ △金融におけるスキミング詐欺
△?
△ICカード運転免許証、
電子パスポート、入国管理システム
国境での個人の特定
基幹系民間応用の認証強化
社会IDの実用化
民間応用の浸透
ナショナルセキュリティへの 金融において静脈認証技術の定着 政府関係において
本格展開
顔、指紋技術の展開
モダリティ毎の画像処理技術
2008/9/11
センシング技術と
画像処理技術の統合
コモディティ化?
個人情報および大規模運用に
おける現実的な課題への対応
センシング・実装・
暗号技術の連携
国際標準化活動の立ち上げ
国際標準化活動の浸透
(相互接続、測定方法の確保)
(コンフォーマンス体制の整備)
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
9
環境影響評価とプライバシー影響評価
環境影響評価EA (日本) プライバシー影響評価PIA (カナ
ダ)
実施主体
実施の目的
実施の契機
関係法令等
報告の提出先
・ 環境影響評価法に定められた事業主
・ 個人情報を取り扱うITシステムを導入・改修する
行政
組織
・ アセスメント結果を許認可(建築確認、
補助 金の交付等)に反映させることにより、
環境
の保全に配慮した事業実施
・ ステークホルダー間の意思疎通
・ アセスメント結果をシステム構築・運用に反映さ
せるこ
とにより、電子的サービス提供の向上とプライバ
シーの 保護の両立
・ アセスメント結果を公表することにより、国民に
対し
説明責任
・ 事業概要の届出を受けた許認可権者の
実施判定
・ 政府Webサイトでは導入・改修前の実施を
“must”と
記載
・ 環境影響評価法
・ 各自治体の環境影響評価条例他
・ Privacy Act
・ Personal Information Protection and Electronic
Documents Act 他
・ 許認可権者
・ 補助金交付決定権者
・ 国が行う事業の実施に関する事務を所掌
する主任の大臣他
・ “Deputy Heads of Institutions”が報告書に署名し
承認
また、Privacy Commissioner、Treasury Board (国家財政委員会)が調査評価
EA:
Environment Assessment
・ 国
・ 実施主体である行政組織
ステーク
・ 地方公共団体
・ Privacy Commissioner
ホルダ
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
2008/9/11
・ 事業者
・ Treasury Board
・ 国民(住民)
・ 国民
10
プライバシー影響評価PIAの目的(Ⅰ)
・個人情報を運用するシステムに対して,個人情報提供者
(データ主体)の「プライバシー」に与える「脅威」(リスク)を測
定・評価し,その結果から
‐「プライバシー」リスクの低減に有効な情報を見出す.
‐この情報にもとづき,事業・施策,システム設計・調達など に必要な具体的提案(改善案)を選出する.
‐個人情報運用システムの透明性を確保し,システム運用
者とデータ主体の間の信頼関係形成を支援する.
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
11
プライバシー影響評価PIAの目的(Ⅱ)
・事前対策を促すという実質的な意図もある.
・PIAを取り入れることで,プロジェクト従事者にプライバシー保 護に対する意識や理解を促進し,さらに,評価結果としてまと めたPIA報告書をもとに,意思決定者に対して,プライバシー
課題を把握した上で政策判断を促すことができる.
・個人情報のやりとりは,基本的に公共部門では,国/市民には
選択の余地がなく,任意取引先を選べる民間企業以上の配慮
が求められる.
システムが動き出してから重要なプライバシー懸念が生じ,大
幅な変更や中止に追い込まれたときに大幅なコスト増に税金
がつぎ込まれることを回避する.
・利害関係者とのコンセンサスの重要である.
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
12
プライバシー影響評価PIAの目的(Ⅲ)
  事業実行前の調査実施で計画改善を図る
  ITシステム運用のリスク回避
  説明責任の実施
調査実施主体
(行政)
共通認識
PIA報告書
影響を受ける
議論・対話促進
世論、メディア
個人
議論の前提
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
13
個人情報とプライバシーの関係
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
14
PIAと「個人情報保護」の関係
・PIA(プライバシー影響評価)
‐個人(システムに個人情報を提供するデータ主体)の
利益のために行われる活動
目的は別物
利害対立もありうる
・個人情報保護
‐システム運用者が、データ主体にリスクが及ぶ個人情報の
運用について、運用者の社会的正当性を確保するために
行う活動
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
15
PIAは何を対象とするのか、誰が実施するのか
・個人情報を運用する「システム」の全体
‐システムに関わるネットワーク全体
‐システムに関わるコンピュータ,ソフトウエア,データ
・PIAが準拠する法制度などは原則として対象外
‐「プライバシー・フレームワーク」(個別作業のための判断基準:プライバシ要件)
を明確にすることは,PIA作業の範囲
・PIAが実施されるタイミング
‐新システムの企画・設計/従来システムの改修・機能追加などの時点
・システム設計および業務担当セクション
‐上位の「プライバシー」政策セクションに報告(USA)
‐最終的にプライバシー監督局に報告(カナダ)
‐PIAが実施しなければ予算は執行されない
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
16
PIAのフレームワーク
PIA
法律
ガイドライン
規制
プライバシー・
情報伝達
フレームワーク
計画
契約上の義務
ポリシー
etc..
プライバシー・
プライバシー・
アセスメント
アーキテクチャー
運用に関する
技術に関する
設計要素
設計要素
評価対象システム
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
17
PIAの構成要素
  プライバシー・フレームワーク
・法的側面
・プライバシー要件とプライバシー測定条件の定義
  プライバシー・アセスメント
・運用上の側面
・分析とチェックによる問題抽出
  プライバシー・アーキテクチャ
・技術的な側面
・抽出された問題に対する技術的対応PET
(Privacy Enhancing Technologies)
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
18
PIAの手順
  しきい値評価
しきい値評価
プロジェクトにおける個人情報の取得・利用・開示
の実施の有無を評価してPIAが必要か判断する.
  プロジェクトの記述
プロジェクトの目的と個人情報の取扱いの有無を
含め,プロジェクトの概要を記述する.
  情報フローマッピング
プロジェクトにおける個人情報の取扱いの流れを
記述し,マッピングする.
  プライバシー影響分析
プロジェクトがどのようにプライバシーに影響を与
えるかを特定し,分析する.
  プライバシー管理
特に、プロジェクトの目標を達成する一方で、プラ
イバシーへの影響を改善する代替的な選択肢を
検討する.
  勧告
プロジェクト記述
情報フローマッピング
プライバシー影響分析
プライバシー管理
勧告(PIA報告書作成)
上記の情報と勧告を含む最終PIA レポートを作成
する.
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
19
目 次
1.SSRプロジェクトについて
2.プライバシー影響評価とはなにか,その必要性
3.海外での実施動向
4.日本で実施する場合の課題と対策
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
20
PIAに関する各国の状況(Ⅰ)
カナダ
・連邦予算局発行のポリシー(2002年)により,世界で始めて実施を義務化
・州レベルでは,これに先行して広く活用(医療分野など)
米国
・電子政府法(2002年)で、情報セキュリティ管理法の制定などに加え,
・プライバシー影響評価を義務化
・金融分野でもPIAが1999年に米国規格ANSI化
オーストラリア
・政府や自治体の各部門が自主的に採用
・国勢調査のデータ分析方式の変更案などで採用
ニュージランド
・政府や自治体の各部門が自主的に採用
・全政府共通のオンライン認証システム構築などで採用
香港
・政府や自治体の各部門が自主的に採用
・香港IDカードのICカード化プロジェクトとなどで採用
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
21
PIAに関する各国の状況(Ⅱ)
国名
法律、ガイドライン、
独立
ポリシー
検証機関
カナダ 法律で説明責任明示、ガイ
実施主体
備 考
あり
新規導入・改修され
る個人情報を取り扱
うシステムを使用・
管理する行政機関
連邦レベルで予算執行前のPIA実
施を義務化
連邦各省庁、各州にPrivacy Officer
が存在
アドバイスと検証を省庁から独立
したPrivacy Commissionerが実施
ドライン、ポリシー(連邦
レベルではTreasury Board
が作成)で手順等を説明
米国
法律で義務付けOMB
Guidance for Implementing
the Privacy Provisions of the
E-Government Act of 2002を
制定
ない
新規導入・改修され
る個人情報を取り扱
うシステムを使用・
管理する行政機関
電子政府法で情報セキュリティ管
理法の制定に加えPIAを義務化
(電子政府法208条)
実施組織内にPrivacy Officerが存在
オース
トラリ
ア
ガイドラインとポリシー、
および、Privacy Actが存在
する
あり
政府や自治体の各部
門が自主的に採用
国勢調査のデータ分析方式の変更
案などで採用
ニュー The Office of The Privacy
ジー Commissioner発行のハンド
ランド ブックあり
あり
政府や自治体の各部
門が自主的に採用
全政府共通のオンライン認証シス
テム構築などで採用
Privacy
Actが存在する
OMB: Office
of Management
and Budget:行政管理予算局
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
22
オーストラリアPIA調査
・調査期間: 2008年2月19日∼21日 ・訪問/インタビュー先:
①Australian Government Information Management Office
(AGIMO: Department of Finance and Administrationの
一部門)
② 司法省
③National Center for Biometrics Studies、
④Greenleaf教授(New South Wales 大学)
⑤Australia Privacy Foundation
⑥Galexia社(プライバシーコンサルティング会社)
・訪問者:
緒方日佐男(日立オムロン)、新保史生(筑波大学)、
瀬戸洋一(産業技術大学院大学)、瀬野尾修二(日立)、
村上康二郎(東京工科大学)、六川浩明(弁護士)
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
23
プライバシーコミッショナー制度
英米法 (えいべいほう、英語:common law)とは、イングランド・アメリカに特徴的な
法体系。日本のように私法の重要な部分が法律の条文によって規定される大陸法
系に対して、判例の蓄積によって規定される。コモン・ローともよばれる。 2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
24
豪州におけるプライバシー法の現状(1)
・1987年、連邦政府がNational ID Card(国民IDカード)を 導入しようとした際、国民のプライバシー保護に懸念が生じた ことから、1988年連邦プライバシー法が成立し、同法のなか でPrivacy Commissioner制度が明記されたことにより、
1988年よりPrivacy Commissioner制度が導入された。
・Privacy Commissionerは、連邦政府と各州政府の双方に 存在している。
・連邦プライバシー法は、当初、行政機関を対象とするもので
あったが、2000年改正によって、民間企業に対しても適用さ
れるものとなっている。
・2つのPrivacy Principlesも存在している。Information
Privacy Principlesは、行政機関に対して適用され、
National Privacy Principlesは、民間企業に対して適用さ
れる。
Hiroaki Rokugawa
25
豪州におけるプライバシー法の現状(2)
・現在、ALRC(Australian Law Reform Commission:
豪州法制度改革委員会)において、プライバシー法の見直
しに入っている。
・ALRCのHPに、「Review of Australian Privacy Law:
Discussion Paper」が掲載されているが、それは約1997頁
に及んでいる。同Discussion Paperは、2008年5月30日
にファイナルとなる。
・同Discussion Paperのなかで、現在存在している2つの
Privacy Principlesは、Uniform Privacy Principlesに統
合されていくことが提言されている。
・新しい連邦プライバシー法及びUniform Privacy Principlesは、2010年ころ、成立する見込みである。
Hiroaki Rokugawa
26
豪州におけるPIAの歴史と現状(1)
・1990年、豪州政府が、data matching programmes を
導入しようとする際、Data Matching Program法別紙1に
記載されているProgram Protocolが、その端緒である。
・1995年、情報通信産業のオンブズマンが、PIAの実施を提唱し
た。
・2001年、Privacy Commissionerが、Guidelines for
Agencies using PKI to communicate o r transact
with individualsを公表し、そのなかで、Agencies
should undertake a Privacy Impact Assessment
before implementing a new PKI system or
significantly revising or extending an existing PKI
systemと主張した。
・2004年、PIA Guideの草案(Managing Privacy Risk: An
Introductory Guide to Privacy Impact Assessment)が 公表される。
Hiroaki Rokugawa
27
豪州におけるPIAの歴史と現状(2)
・2005年、AGIMO(Australian Government Information
Management Office)が、本人認証を含む事業については、
PIAが実施されるべきであると主張。
・2006年8月、Office of the Federal Privacy Commissioner
が、Privacy Impact Assessment Guide for Australian
Government and Australian Capital Territory
Government agencies in 2006を制定。
(邦語訳が、日本自動認識システム協会(JAISA)のHPに掲載 されている)
・行政機関も民間企業も、PIAを実施することは、義務づけられていな
い。推奨されているのみ。
・2006年、Privacy Commissionerが、民間団体が作成した
Biometrics Codeを承認。生体認証を含む事業については、PIA の実施を強く推奨。
Hiroaki Rokugawa
28
豪州におけるPIAの歴史と現状(3)
・PIAは、事業の着手前または実施中に行い、事業のプライバシー リスクを検討するもの。プライバシーリスクが存在する場合、事業計
画の改良が行われることがある。
・ALRC(Australian Law Reform Commission:豪州法制度改
革委員会)に提出されている多くの意見(パブコメ)のなかには、行
政機関が実施する事業で個人情報の収集及び利用を含むものにつ
いてはPIAの実施を義務づけるべきであるという意見がある。
・PIAの実施は、PIA報告書の作成を含めて約4∼6週間ほど。
・民間事業者におけるPIA実施のメリットは、システム構築後に反対
意見が出てシステムの大幅な変更発生等を事前に回避すること
・PIA策定に当たり、ISO15408やISMS(ISO27002)等の国際的
標準フレームワークは、参考にしたりする場合もあるが、殆ど使わ
ない。
Hiroaki Rokugawa
29
行政機関が実施したPIA
以下のとおり、多くの事例がある。
• National E-Health Transition Authority (NEHTA), re a unique health identifier (2006-07)
• Access Card Privacy and Consumer Task Force, re a proposed national identification scheme (2006-07)
• Attorney-General's Department, re Document Verification Service (DVS, 2007)
• Attorney-General's Department, re AusCheck – employee background checking services for the maritime and aviation
industries (2007)
• Centrelink (the government benefits administrator), re a voice authentication scheme to be implemented within the IVR
application on the (very) high-volume call centre (2005, 2006, 2007)
• Australian Communications and Media Authority (ACMA), re ENUM (a scheme to enable mapping between telephone
numbers and Internet IP-addresses (2006)
• Attorney-General's Department, re provisions within the Anti-Money Laundering and Counter-Terrorism Financing Bill
and Rules (AML-CTF, 2006)
• Department of Health, in relation to Electronic Health Records (2006)
• Australian Government Information Management Office (AGIMO), re the Australian Government Authentication
Framework (AGAF, 2004, 2005, 2006)
• Australian Government Information Management Office (AGIMO), re the Gatekeeper PKI Framework (2006)
• Department of Human Services, re a common login-point for multiple client-facing agencies (2006)
• Attorney-General's Department, re provisions within a money-laundering / counter-terrorism Bill (2006)
• Department of Human Services, re a proposed ID card for clients of a variety of agencies (2005)
• Department of Employment & Workplace Relations, re Workplace Reform (2005?)
• Department of Education, Science & Training, re a Learner Identity Management Framework, a Commonwealth-State
collaboration featuring a unique student identifier (2005)
• Australian Bureau of Statistics (ABS), re enhancements to the 2006 Census (2005)
• Department of Health, re electronic consent (2004)
• National Office of the Information Economy (NOIE), re the Australian Government Authentication Framework (AGAF,
2003)
• Centrelink, re a proposed ID card for Centrelink clients (1998)
• Department of Workplace Relations and Small Business, re a business register (1998)
• Australian Commission for the Future, re smartcard payment schemes (1996)
Hiroaki Rokugawa
30
行政機関が実施したPIAに関する
PIA報告書(公開されているもの)
• NEHTA Unique Health Identifier (Privacy 'Blueprint' rather
than PIA)
• Attorney-General's Department, re Document Verification
Service (DVS, 2007)
• Attorney-General's Department, re AusCheck – employee
background checking services for the maritime and aviation industries (2007)
• Attorney-General's Department, re provisions within the
Anti-Money Laundering and Counter-Terrorism Financing
Bill and Rules (AML-CTF, 2006)
• Australian Government Information Management Office
(AGIMO), the Gatekeeper PKI Framework (2006)
• Australian Bureau of Statistics (ABS), re enhancements to
the 2006 Census (2005)
Hiroaki Rokugawa
31
民間企業が実施したPIA
•
Coles-Myer, re a customer data warehouse (2006)
• Telecommunications, specifically ENUM, undertaken by a Working Group coordinated by the regulator (ACMA), but
also involving industry associations and some technology
providers (2006)
• An identity management service (Fasfind, 2004)
• Transport ticketing (Melbourne myki, 2004)
• Forensic applications of an email archive analysis product
(Nuix, 2002)
• A PKI certificate authority for the health sector
(Healthexchange, 2000)
• Toll-roads (Melbourne CityLink, 1998)
いずれも、PIA報告書は、非公開である。(以上のPIA実施例は、Linden Consulting, Inc.
“Privacy Impact Assessments: International Study of their Application and
Effects” October 2007から引用)
Hiroaki Rokugawa
32
プライバシー(1)
・プライバシー法第6条には、個人情報の定義はあるが(意見を
含むと定義されている)、プライバシーの定義はない。
・ 連邦プライバシー法において、「プライバシー」という用語が定
義されていない理由には複数の理由がある。立法技術の観点
からみた場合、オーストラリアの立法において「データ
(Personal Data)」という用語は法令用語として一般的に用い
られている用語ではないため、「Personal Information」とい
う用語を用いたといえる。この点については、Greenleaf教授
(New South Wales大学)が関わった1984年の法律制定に
あたっての検討委員会において検討がなされた。
・近時、中国が「個人情報(Personal Information)」という用
語を法律で用いたことにみられるように、日本も含めてアジアで
は「個人情報」という用語を法令の規定において用いる傾向が
ある。「プライバシー」という用語を法令において用いているの
は香港ぐらいであろう。
Hiroaki Rokugawa
33
プライバシー(2)
・プライバシー権は、豪州では、憲法上の人権ではない。また、豪
州民事法においては、プライバシーは、コモンロー(慣習法。衡平
法に対する概念)上の権利として裁判上認められていないことか
ら、プライバシーという法概念が確立したものとなっていない。
参考: 2001年11月15日連邦最高裁判決。Australian Broadcasting Corporation v.
Lenah Game Meats Pty Ltd. 同判決は、a cause of action for breach of privacy
does not exist in the common law of Australiaとし、a general tort of privacy did
not develop in Australia, as it did in the United States of America and
elsewhere.としている。また、Indeed the Australian Law Reform Commission
concluded that a general statutory right to privacy, as had been enacted in
some places overseas, should not be recommended in Australiaと述べている。)(し
かし、2003年6月16日Queensland 州District Court 判決(Alison Robyn Grosse v.
Robert James Purvis)では、当該最高裁判決に反対している。)
Hiroaki Rokugawa
34
プライバシー(3)
・イギリスにおいても同様にプライバシーはコモン・ロー上の権利
としては認められていないが、衡平法(equity law)上の権利
として認められるものであり、プライバシー侵害については、コ
モン・ロー上の救済(legal remedy)ではなく、エクイティ上の
救済(equitable remedy)がなされるものと考えられる。
・企業の企業秘密(trade secret)の対概念という意味では、個
人のプライバシーではなく、個人のRight to protect
confidential informationが、コモンローの権利として認めら
れてきた(1890年の英国の判決)。そこで、個人のプライバ
シーを暴露することは、秘密保持義務違反(Breach of
Confidence)にも問われることになる。しかしながら、プライバ
シー侵害に関する法的救済に関し、豪州では、そのような方式
であっても損害賠償が認められた事例が極めて少なく、十分な 判例が存在しない。
Hiroaki Rokugawa
35
豪州のプライバシー保護の程度と、
EUからの指摘
・EUの個人データ保護指令第29条委員会が、豪州の連邦プライ
バシー法がEU指令が定める十分性の基準に適合していないと
の見解を示したことについては、欧州委員会の判断は多分に政
治的な判断であって、必ずしも法的な判断ではないといわざるを
得ない部分がある。
・現に、欧州域内においても十分なレベルの保護に達していない
国が存在し、欧州委員会は、欧州域内における個人情報保護
のレベルを一定のレベルにするために、対応が十分に行われて
いない保護水準が低い国のレベルアップをはかっている。
・さらに、データ保全指令(Data retention Directive)の制定により、
EU個人データ保護指令に基づいて行ってきた個人データ保護
の対応に加えて、法執行のために必要な個人データの利用に
ついても新たな取り組みが行われており、この点からしてもEU
における個人データ保護については政治的な側面が見受けら
れるといえる。
Hiroaki Rokugawa
36
Privacy Commissioner制度(1) ・コミッショナー制度について、プライバシーコミッショナーを日本
に設置することはよいことだと思う。アジアでは、韓国のKISA
がコミッショナー制度に関心を示している。
・コミッショナー制度は、英米法系のコモン・ローの諸国にとどま
らず、大陸法系(Civil Law)の諸国においても設置されるよ
うになっていることから、日本のように大陸法系の国がプライバ
シーコミッショナーを置くことに何ら違和感はない。
・日本の個人情報保護制度のように、コミッショナーによらずに主
務大臣が法律の実効性を担保する仕組みをとっている場合に
は幾つかの問題点がある。
一つは、「独立性」(independence)の問題である。主務大臣による
権限の行使は、個々に独立して権限が定められていることや所
掌範囲が分離していることから総合的な対応が十分に実施でき
ないおそれがある。いわゆる縦割り行政の弊害が現れやすい。
Hiroaki Rokugawa
37
Privacy Commissioner制度(2) ・次に、専門的知識の醸成が十分に行われないことである。プライ
バシー保護への対応は一定の期間を経て対応が行われる問題
も多いことや、一般的に適切であると考えられる基準を見いだす
ことが困難な場合もある。そのような場合、コミッショナー制度の
場合には一つの組織に情報が集約され、経験を生かして総合
的な対応を行うことが可能であり、また、一般的な基準を確立し
て対応することも可能である。
Hiroaki Rokugawa
38
The Australian Privacy Foundation
・The Australian Privacy Foundationは、1987年6月28日に
オーストラリアの国民IDカードシステム(Australia Card
national identity system)に反対することを目的に設置されたN
GO。団体の活動は、個人の健康記録、電子メールやインター
ネットの利用とプライバシーの問題など、プライバシーに関する
諸問題を幅広く扱い検討を行っている。
・オーストラリア人のプライバシー権の保護に最も貢献している
団体と評価されており、オーストラリア人の自由やプライバシー
への脅威になると考えられる問題を一般に提起することを主た
る活動内容としており、自らに関する個人情報の管理や不当な
侵害からの自由を確保するために様々な活動を行っている。
・消費者団体、市民団体、専門家団体、及びプライバシー問題を
扱う特定の団体とも共同で活動を行っている。また、必要に応じ
て政府機関との協調や支援も行っているが、あくまで独立した
立場において政府機関における取り組みがプライバシー保護に
与える影響を批判的立場から監視している。
Hiroaki Rokugawa
39
The Australian Privacy Foundation
・プライバシー・インターナショナルにも加盟しており、世界規模で
のプライバシー保護に関するネットワークを築いている。
・団体が現在行っているプライバシー関連の課題として、喫緊の
課題となっているものは、
①オーストラリア人のプライバシー保護を実効性あるものにするために、
プライバシー法の民間部門を対象とする規定の改正を実現すること
②業界団体におけるプライバシー保護に関するガイドラインの制定を進め ること
③バイオメトリクスを含む新たな技術開発に伴うプライバシーに対するリス
クの検討を実施すること、④インターネット上における個人のプライバシー
保護に必要な取り組みを行うために国際的な取り組みに協調した対応を
行うこと
等である。
Hiroaki Rokugawa
40
バイオメトリクス
・オーストラリアでは、バイオメトリクスの利用は積極的に行われ
ていない。
①バイオメトリクスを用いた認証にはリスク(Dangerous)
が伴う
生体情報の取扱いは他の情報の取扱いと比較して高度なリスクを伴う
おそれがあること、当該情報を取得して保存することについても大きな リスクを伴うおそれがあること
②必要最低限の情報の取扱い
プライバシー法が定めるプライバシー原則のうち必要最低限度の取扱
いを求める原則との関係において、バイオメトリクスの利用が当該原則
を満たすことができるか疑問があること
(3)指紋認証に対する歴史的抵抗。
豪州では、指紋は、犯罪者、刑事被告人、受刑者の管理のために用い られてきたため。
(4)音声認証は、利用されているようである。
Hiroaki Rokugawa
41
PIA実施に対する助言・監督機関
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
42
独立監督機関(プライバシー・コミッショナー)
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
43
独立監督機関(プライバシー・コミッショナー)
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
44
US-VISITシステムの構成
・2004年1月4日に出入国時にバイオメト リクスを用いた個人認証を行う
US-VISITプログラムが開始された。
・2007年3月の時点で、バイオメトリクス
を用いた入国手続きは、116の空港、
15の海港で実施中である。
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
45
米国におけるPIAの法的な根拠
  2002年電子政府法第208条
・各行政機関が個人情報を直接的または間接的に推定可能な方法で
収集する場合,または配信するための情報技術を開発または調達
する場合,事前にプライバシー影響評価を実施することを義務付け
ている.
・各行政機関は予算を要求するシステムに対するPIA報告書の写しを
行政管理予算局OMB(Office of Management and Budget)
長官に提出しなければならない.
  国土安全保障法第222条
・DHS(Department of Homeland Security)省内でチーフプラ
イバシーオフィサーCPO(Chief Privacy Officer)を任命すること
を義務付けている。CPOはDHSによって使用される技術がプライバ
シー保護を確立することを保証しなければならない.
・CPOはDHSによって実施されたPIAを承認する権限をもつ.
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
46
US-VISITにおけるPIA承認フロー
電子政府法208条により実施が義務づけられている
DHS
CPO
(承認)
OMB長官
報告書写し
PIA報告書
GAO
(認可)
PIA報告書
PIAの実施の必要性
の判断
DHS
閾値分析
(PTA実施)
DHS
US-VISIT構築
(PIA実施)
公開
予算認可
GAO General Accounting Office:米国会計検査院
OMB Office of Management and Budget:行政管理予算局 DHS U.S.Department of Homeland Security:アメリカ国土安全保障省
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
47
US-VISITの問題点
  機微な個人情報を扱うシステムの構築に対しては、国際的なセ
キュリティ評価基準であるISO/IEC 15408認証を取得してい
ることが望ましいが,調査した範囲ではUS-VISITのISO /
IEC 15408認証取得についての情報は見当たらなかった.
  システム運用に対しても個人情報が安全に管理されているか等
のセキュリティ評価を実施していることが望ましいが,USVISITに対して運用時の評価を行っているかどうかについて
は不明であった.
・国際的な観点でのコンフォーマンスができない
・運用において、適正な対応がとられているか評価できない
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
48
ISO TC68とPIA   TC68は金融業務を扱う
  幹事は米国(editor:J. Martin Ferris)、事務局はANSI
  PIAはSC7金融サービス‐コア銀行業務のWG5で取り上げ
られている(SC7の幹事は仏)
  SC7の日本国内検討委員会は日本銀行
  ANSIにはPIA規格(特に金融分野)がある
http://webstore.ansi.org/RecordDetail.aspx?
sku=ANSI%20X9.99:2004
  現在、PIAの標準案はTC68で,米国よる Draft
International Standard (22307 Financial Service
Industry -- Privacy Impact Assessment )が提案さ
れ,2007.9投票→賛成多数で成立 日本は反対投票
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
49
APECとPIA(Ⅰ)
  APECの中でプライバシーに関する問題を扱っているのは
TELWG(電気通信作業部会)とCTI(貿易・投資委員会)内の
ECSG(電子商取引運営グループ)である.
  TELWGが2002年に発行した電子認証に関するレポートは
PIAに言及している.   2004年にAPEC Privacy Frameworkを策定した.2006年2
月に開催されたECSGの会合ではオーストラリアがPIAの共同
実施について言及している.   APEC Privacy Framework : APEC 加盟エコノミーにおける
整合性のある個人情報保護への取組を促進し,情報流通に対
する不要な障害を取り除くことを目的とする.
  APEC Privacy Frameworkは以下の9原則から構成される.
Ⅰ. 損害の回避(14 項) Ⅱ. 通知(15∼17 項) Ⅲ. 収集の制限(18 項)
Ⅳ. 個人情報の利用(19 項) Ⅴ. 選択の機会提供(20 項) Ⅵ. 個人情
報の正確性確保(21 項) Ⅶ. 安全管理措置(22 項) Ⅷ. 開示・訂正(23
∼25 項)
APEC: Asia-Pacific Econmic Cooperation Conference アジア太平洋経済協力閣僚会議
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
50
APECとPIA(Ⅱ)
  APEC Data Privacy Pathfinder: 第19回APEC閣僚会議共同声明
で,APEC Data Privacy Pathfinderを発表.
5つの主要部からなる.
1. Conceptual Framework Principles
2. Consultative Process
4. Implementation
3. Practical Documents
5. Education and Outreach
  APEC Data Privacy Pathfinderに合意したAPECメンバーはCBPRs
(Cross-Border Privacy Rules)を実現するための枠組み作りの
ために9つのプロジェクトのどれかに参加して活動することが求められている.
1.self-assessment guidelines 2.trustmark guidelines 3.compliance review of CBPRs 4.directories of compliant organizations
5.contact directories for data protection authorities and privacy
contact officers 6.templates for enforcement cooperation
arrangements
7.templates for cross-border complaint handling forms
8.guidelines and procedures for responsive regulation in CBPR systems 9.and an implementation pilot program
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
51
目 次
1.SSRプロジェクトについて
2.プライバシー影響評価とはなにか、その必要性
3.海外での実施動向
4.日本で実施する場合の課題と対策
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
52
PIA実施における日本の課題
•  課題1: PIA実施法なし
•  課題2: ガイドラインが未整備
•  課題3: 承認・監視・助言体制がはっきりしない(米国のChief Privacy Officer,カナダ,オーストラリア,ニュージー ランドのようなPrivacy Commissionerが存在しない).
解決案
(1)国際標準などのコンフォーマンスの利用が適切.
(2)米国以外の諸国では,法律による要求はない.ガイドラインを
策定し,実施を推奨している.日本でも横断的な組織体制でガイ
ドラインの策定が必要.
(3)プライバシーコミッショナーなどの職を新設することが適切であ
るが,CIO(CISO)補佐官などにその能力をもたせることも可能
ではないか.
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
53
日本のPIA構築の提言
(1)システム構築
・個人情報保護の観点に立脚したISO/IEC15408 情報技術セキュリティ評価
基準での設計構築を行う.PIAのプライバシー・アーキテクチャに相当する.
(2)システム運用
・システム運用において,PIA のプライバシーポリシーおよびガイドラインを考 慮し,ISO/IEC 27001(2)ベースの情報セキュリティマネジメントシステム ISMS適合性評価を実施する。ISO/IEC 27001(2)の管理策において、適合
性項目における,①適用法令の識別,②データの保護,③個人情報の保護に
関し,PIAのフレーム ワークに取り込む.
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
54
ガイドライン記載項目案
米国
カナダ
オーストラリア
日本案
序論
序論
PIAの定義、要求事
項、保護対象、注意
事項、実施時期(条
件)、機密及び機微
情報
ガイドラインの目的
ガイドの使用方法
PIAの概要
PIAの目的
要求事項
実施時期(条件)
実施体制
しきい値分析
記述について
PIAの実施(事前
PIAの実施)
しきい値評価
しきい値評価
PIA報告書記述につ
いて
プロセス概要
PIAの手順と計画
PIAプロセス概要
2008/9/11
(序論)
詳細プロセスの記述 PIA実施手順詳細
PIAプロセス詳細手順
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
55
実施体制案
助言 プロジェクト
実施組織省庁 助言
内閣官房
報告 副責任者
国民生活審議会
報告 個人情報保護部会
CISO
公開
PIA報告書
実施指示
PIAの実施の必要性の判断
担当職員
閾値分析
(PTA実施)
2008/9/11
プロジェクト
担当
(PIA実施)
・15408/27001(2)認証
独立認証機関
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
56
PIAのフレームワーク案
ガイドライン
規制
コンプライアンス
PIA
法律
プライバシー・
ISO/IEC
27001(2)
フレームワーク
契約上の義務
ポリシー
etc.
プライバシー・
プライバシー・
アセスメント
アーキテクチャー
運用に関する
技術に関する
設計要素
設計要素
ISO/IEC
15408
評価対象システム
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
57
PIAガイドライン案
システムの構築前
(1)
(2)
(3)
プロジェクト
立ち上げ
PIAフレーム
ワークの特定
データフロー
分析
(4)
プライバシー
リスク分析
(チエックリスト)
(5)
PIA報告書
の作成
ISO15408
システムの構築
ISO2700X
システムの運用開始後
2008/9/11
(6)
(7)
(8)
(9)
プライバシー
管理策の運用
プライバシー
管理の監視・レビュー
プライバシー
管理の維持・改善
PIA報告書
の更新
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
58
入国審査システムに関する模擬PIAの前提
  プライバシー影響評価は仮想であり,実在するシステム,組織に対する評
価ではない.また,関係するシステムの評価に影響も与えない.
  日本で構築運用されているBICSのシステム情報は公開されていないた
め,システム構成は公開されているUSVISITモデルを用いた.
  コンプライアンス等の想定
PIAフレームワーク:Tindallレポート,USVISIT,日本におけるPIAガイドライン案
根拠法,関連法:個人情報保護法,行政機関個人情報保護法,出入国管理法,出入国
管理法の一部を改正する法律,法務省保有個人情報保護管理規定 ほか
実施体制の想定
  システム構築主体: 法務省
  PIA実施指示: 法務大臣
  しきい値評価: 法務省所管部署、産業技術大学院大学
  PIA実施: 産業技術大学院大学、法務省所管部署
  PIA報告書提出ルート: 実施チーム→法務省CIO→法務副大臣
  報告書回付及びコメント: 内閣官房国民生活審議会個人情報保護部会、行政手続法
に基づく意見公募手続(パブリックコメント)
  PIA及びコメント結果に基づく構築開始判断: 法務大臣
 
 
 
BICS:Biometrics Immigration Identification & Clearance System
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
59
実施体制の想定
助言 プロジェクト
実施組織
報告
法務省
CISO
PIA報告書
2008/9/11
公開
PIA実施指示(法務大臣)
システム構築許可(法務副大臣)
PIAの実施の必要性の判断
担当職員
閾値分析
(PTA実施)
内閣官房
国民生活審議会
個人情報保護部会
プロジェクト
担当
(PIA実施)
・15408認証
独立認証機関
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
60
まとめ
(1)PIAはAPEC,ISOなどで開発が進む.日本の対応は不明確であり,今後のア
セアンにおけるビジネスに影響を与える恐れもある.
(2)日本におけるPIA実施の課題として,
・責任行政組織で,情報の収集と分析および対応策の検討が不十分
・PIA実施法なし(必ずしも本質的な課題ではない)
・ガイドラインが未整備
・承認・監視・助言体制がはっきりしない(米国のChief Privacy Officer,
カナダ,オーストラリア,ニュージーランドのようなPrivacy Commissioner
が存在しない)
(3)以上の課題に対し、以下の対応が有効と考える.
・国際標準などのコンフォーマンスの利用
・米国以外の諸国では,法律による要求はない.ガイドラインを策定し,実施 を推奨している.日本でも横断的な組織体制でガイドラインの策定が必要
・プライバシーコミッショナーなどの職を新設することが適切であるが,CIO (CISO)補佐官などにその能力をもたせることも可能
(4)今後の調査課題として、カナダおよびAPEC、ISOの内容を詳細に調査分析
する必要がある.
2008/9/11
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
61
ご清聴ありがとうございました。
付記 今回のWG活動に関して,書籍を出版する予定です.
本OHPのオーストラリア調査、個人情報保護法、プライバシーコミッショナー制度などは、共同研究者である瀬戸教授,
新保准教授、村上講師の資料を使わせていただいた.環境評価に関しては、伊瀬氏の資料を使用させていただいた.
copyright(C)2008,Hiro Rokugawa ALL RIGHTS RESERVED
2008/9/11
62
Fly UP