情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
みなさま、こんにちは。今月から第三週目の『コラム&レポート』は、「情報セキュリティトピックス」をお届することになりました。情報セキュリティやITにかかるトレンドや事案等、企業危機管理上留意すべき点等について、タイムリーな情報提供を行ってまいりたいと思いますので、よろしくお願いいたします。
さて、今回は、「忘れられる権利」をメインとして取り上げます。ネット上の個人情報を削除すべきかどうかについて、ヤフーが有識者会議を開き、新たな基準づくりに乗り出しました。何を持って削除の対象として認めるのか、不祥事や事件をどこまで「知る」ことができるのかというネットの有用性やプライバシーへの配慮等が新たな争点となっています。
忘れたくても、忘れられないこと
「忘れられる権利」
インターネット上に拡散されている情報が、私たちの現実(リアル)世界の評判や現実の生活に影響を及ぼしています。例えば、誰かと会う時、取引先や見込み先として企業や組織を調べるとき、その他にも採用や審査等で事前に(ヤフーやグーグルなどの)検索エンジンでキーワードを検索して評判を調べるということは今や当たり前のことあり、その有用性を享受しているといえます。
その一方で、今年、日欧で出された以下の判決はITサービスが収集・蓄積する膨大なデータ中で、プライバシーの線引きや個人データの何を守り、どう利活用できるのかについて議論を深めるきっかけとなっています。
- 今年5月、欧州司法裁判所が検索エンジンの検索結果に対してスペイン人男性の過去の記事データへのリンクの削除を要請できる「忘れられる権利」を認める判決。これを受けて、6月末から米グーグルは実際に削除要請への対応を開始した。
- 先月(10月)、検索結果で日本人男性の人格権が侵害されているとして、東京地裁が米グーグルに削除を命じた仮処分決定。これを受け、グーグルは、「裁判所の決定を尊重する」として、削除命令の対象になった122件の表示を完全に削除する方針を明らかにした。
これらの判決の背景にあるのはオンライン上のプライバシー権に関する「忘れられる権利」です。「忘れられる権利」は、ひとたび一般の人々に知れ渡った事実であっても、人間であれば時の経過とともに忘れるのが通常であるところ、「決して忘れてくれることはない」半永久的に記録されるインターネット上においても、その忘却を実現させるために認められる権利というであり、今回、グーグルが命じられた検索結果の削除はまさに、ある意味で「忘れる」ことが行使された場面だと言えます。
※「忘れられる権利」(消去権)とは?
消費者庁「個人情報保護における国際的枠組みの改正動向調査」
http://www.caa.go.jp/planning/kojin/h25report.pdf
2012年1月に公表された「EUデータ保護規則案」の条文に盛り込まれた言葉「rights to be forgotten」の訳語。インターネット上には位置情報や購買履歴やつぶやきなど、私たちの記録がほぼ永久に消えずに残るようになっています。その情報は消え去ることなく、永年にわたって衆目に晒され続け、検索エンジンによって、極めて古い情報を誰でも掘り起こすことが可能になっていることから、適切な期間を経た後に、記録に留められるべき正当な条件を持たない過去の個人にまつわる情報がWeb上に残っている場合、これを完全に削除することを、個人の権利の一つとして提唱したもの。
「忘れられる」範囲
現在、判例をふまえて議論されている「忘れられる権利」は、実は、ある人の名前を検索した時の検索エンジンの検索結果から、その人に関する特定の情報を消すという、かなり限定された議論である点に注意が必要です。検索エンジンをターゲットとした「忘れられる権利」は、データそのものの削除ではなく、検索エンジンからは見えなくするということで、データそのものはあるということになります。
「忘れられる権利」のルーツは、「犯罪を犯した人物が罪を償ったあとにも犯罪歴を公開され続けることは社会復帰を困難にするため避けるべきである」という考えからフランス法で認められている「忘却の権利」にあるとされます。犯罪歴はもちろん、それ以外にも個人に関する過去の情報で公開され続けることを望まない情報はあるもので、インターネット上にアップロードされたこれらの情報が半永久的に公開され続けることは個人のプライバシー権を侵害するものとして、保障する必要性が主張されたのが「忘れられる権利」というわけです。
罪を犯し刑務所に入った人物が、その刑期を終え、出所する場合に、忘れられる権利が適用されるのか、また、その対象が公人の場合、国民の知る権利から忘れられる権利が認められるのかという適用範囲についても今後検討する必要があります。(犯罪行為は事実でも、既に償われた場合は削除すべきだとする考えもあれば、罪の重さや常習性を加味して判断は変わるとする考えもあります。)
今後、例えば暴力団員であった過去の事実や、共生者としての逮捕歴などが「忘れられる権利」として認められるようなことになれば、反社チェックの実務に与える影響はかなり大きいものであり、今後も動向を注視していく必要があります。
https://www.sp-network.co.jp/column-report/bouhi/candr02025.html
株式会社エス・ピー・ネットワーク 「暴俳トピックス2014年8月号」
忘れてはいけないこと
「忘れられる権利」の議論は、検索の対象となる個人のプライバシー保護は当人の人格権に関わる重要な問題であるといえますが、検索エンジンを利用する側が情報にアクセスすることの一般的利益とのバランスをどのように確保するかが問われています。検索エンジンは実際国境を越えたグローバルなサービスであり、国ごとに分かれた対応では問題解決は実際上困難であるということが、問題をいっそう複雑なものとしています。議論はまさに世界中で進行中であり、欧州委員会及び加盟各国の動向も含め、今後の議論の行く末には注目していきたいと思います。
いずれにせよ「忘れたい」「消したい」「なかったことにしたい」ことが、若気の至りやプライバシーの主張だけの都合の良い解釈だけで即座に削除されるわけではありません。SNSを発端とした炎上事案とは限りませんが、一度インターネット上に発信され、拡散した情報を、後で消してなかったことにするのは極めて難しいといえます。インターネット上には、一時的な発言や感情でその場だけを楽しんで水に流せるようなコミュニケーションが許容される場は多くありません。
今後、もし、過去に思わず投稿し、今になって後悔している内容が、「忘れられる権利」として法廷で認められたとしても、当該情報がインターネット上から完全に消えるわけではありません。ただ、インターネット上から削除できる可能性があるという、一つの救済措置になり得るといった程度の認識を持つべきだと思います。今最も気を付けるべきことは、他人に見つけられて困るようなこと、迷惑をかけることを発信しないように心がけることではないでしょうか。
関連するトピックス
◆消費者庁「アジア太平洋地域等における個人情報保護制度の実態調査に関する検討委員会・報告書」
http://www.caa.go.jp/planning/kojin/pdf/h24report01_130830.pdf
コスタリカでは個人情報保護法制として、データ保護は確立した基本的人権であるとしています。コスタリカの法制の特徴の一つとして、「忘れられる権利(Derecho al olvido)」を定め、法令で定められている場合や当事者の合意がある場合を除き、個人データの保有は 10 年以内としてます。
◆消費者庁「個人情報保護における国際的枠組みの改正動向調査」
http://www.caa.go.jp/planning/kojin/h25report.pdf
「忘れられる権利」については、現実の執行には疑義が当然生じています。例えば、検索サイト等のデータ管理者が、直接関係のない無数に存在する掲示板における個人データに対して消去のために通知をすることが果たして可能であるのか、SNSにおいて共通の写真に掲載されている複数の個人の間で、ある個人が削除を求め、別の個人がその削除を求めない場合、どのように対応すべきか、あるいはインターネット上のサーバーにおけるデータを消去するためにどのような技術的措置を講ずべきか、といった様々な問題が提起されているのは事実です。現在の個人情報の流通は、インターネット上複雑な過程を経て、収集、追跡、さらには再識別化が行われており、どの段階の個人情報を削除すべきかについても明確な判断に困難を極めるといえます。
◆総務省「「スマートICT」の戦略的活用でいかに日本に元気と成長をもたらすか」
http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h25/html/nc131120.html
データ保護規則提案の内容は、今後欧州議会及び理事会との議論の過程で大幅に修正される可能性はあるものの、同提案に盛り込まれている主な事項として、個人には、現行のEU指令に規定されているデータ削除に関する個人の権利をより明確化した「忘れられる権利」や、利用者がサービスを他のサービスに切り替える際など、管理者に妨害されることなく自分のデータを取得し、他のサービスに移転できる「データ持ち運びの権利」の保障、パーソナルデータの取得に当たって必要な同意は明示的であることを要する、いわゆるオプトイン原則を適用することとする「同意の明示」等があります。
◆内閣府「平成25年度 アメリカ・フランス・スウェーデン・韓国における青少年のインターネット環境整備状況等調査」
http://www8.cao.go.jp/youth/youth-harm/chousa/h25/net-syogaikoku/index.html
フランスでは「青少年のインターネット利用環境に関する制度、法及び政策とその背景」でリベンジ・ポルノに対する取り組みとして、欧州委員会が「1995年データ保護指令」の改正案で個人情報保護を強化する側面から「忘れられる権利」や「データポータビリティの権利(droit à la portabilité des données)」が新たに付与されています。
最近の個人情報漏えい事故(10月)
下記の表は、先月10月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
(1)意図的な情報の持ち出しについて
22番の事案では、10月14日、医師向けの求人情報サイト運営会社元従業員が勤務先から医師や看護師の情報を大量に持ち出したとして不正競争防止法違反(営業秘密の複製)の疑いで逮捕されたものです。2012年5月にシステム管理の担当者であった元従業員が、新会社設立のためにデータベースにアクセスし営業秘密に当たる登録医師などの約1万7000件の個人情報(氏名、住所、生年月日、学歴、勤務先)を不正に複製し入手したとされています。
本件については、一時的な金銭目的による名簿業者等への売却ではなく、転職や独立のために既存顧客情報を持ち出したというケースです。個人情報だけに限らず、技術情報等の営業秘密が競合他社等へ流出する場合は、当然ながら中途退職者が多く関与しています。(持ち出されたことにも気づかず、いつの間にか競争力を損なうようなこともあります)
当事者が権限者(システム担当など)であって、かつ情報の価値を充分認識していたということであれば、持ち出しの制限に対する管理上の限界はあるものの、情報の複製やイレギュラーな操作に対して検知する仕組みや、管理者を管理する監視の目が必要になります。
また、情報の管理面から見た場合、不正競争防止法違反ということであれば、営業秘密として一定程度の管理レベルは満たしていたと考えられますが、退職者や従業員との秘密保持に関する誓約の状況などについては、皆さんにおかれましてもあらためて確認する必要があるといえます。
(2)飲食店で紛失について
詳細が公表されることはあまりありませんが、年末の忘年会シーズンや連休前に飲酒によって鞄を携帯電話、スマホ、記憶媒体ごと紛失してしまう事故が多く発生します。
業務上、個人情報を含む記憶媒体や書類等を持ち出す場合には、情報持ち出しの規則や、今自分が扱っている情報の重要性をあらためて認識し、紛失することのないよう注意が必要ですし、社内での注意喚起もこの時期、行うべきだといえます。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 保険協会 | 書類誤記載 | 114名分の被保険者情報 | 対象者を並べ替える際にミス |
| 2 | 市立大学 | HD盗難 | 277名分の学生情報 | 飲食店で鞄ごと盗難 |
| 3 | 鉄道会社 | メール誤送信 | 134名分のメールアドレス | 誤ってCcで送信 |
| 4 | 地方銀行 | 書類誤廃棄 | 30名分の氏名や口座番号など | 他の書類と一緒に誤って廃棄 |
| 5 | 電力会社 | 携帯電話紛失 | 130名分の氏名、電話番号 | 帰宅中に紛失 |
| 6 | メーカー | メール誤送信 | 5388名分のメールアドレス | 誤ってCcで送信 |
| 7 | 区役所 | 書類誤廃棄 | 約12万件分の住民票の写しなど | 誤って焼却処分 |
| 8 | 医科大学 | メール誤送信 | 40名分の学生や保護者情報 | 添付ファイルを誤って添付 |
| 9 | 市 | HD盗難 | 約4万件分の住民の住所など | 委託先で金品とともに盗難 |
| 10 | 県立高校 | 書類紛失 | 408名分の学生や教職員の氏名や携帯電話番号など | 修学旅行中に教員用マニュアルの紛失 |
| 11 | カード会社 | 記憶媒体紛失 | 1500名分のカード番号や氏名 | 従業員が社外で紛失 |
| 12 | 労働金庫 | 書類紛失 | 34名分の氏名や融資残高など | 電車の網棚に鞄ごと置き忘れる(同日発見される) |
| 13 | 大学 | USBメモリ紛失 | 約500名分の学生情報 | 自宅で作業するために持ち出した際に紛失 |
| 14 | 県立高校 | 書類紛失 | 716名分の生徒名簿 | 職員室内で名簿ファイルの紛失 |
| 15 | 宅配会社 | 不正アクセス | 約3万4000件分の会員情報 | 第三社による不正ログイン |
| 16 | メーカー | 内部不正(持ち出し) | 540人分の個人情報 | 顧客個人情報の売却 |
| 17 | 研究所 | 書類紛失 | 21人分の氏名、審査結果 | 詳細不明 |
| 18 | 県 | サイトで公表 | 9人分の個人情報 | 後悔範囲の設定ミス |
| 19 | 新聞会社 | 不正アクセス | 不明 | 改竄された可能性 |
| 20 | 市立中学 | USBメモリ紛失 | 21名分の学生や保護者情報 | いつ紛失したかは不明 |
| 21 | 機構 | メール誤送信 | 650名分の氏名 | 誤って内容を記載 |
| 22 | サイト運営 | 内部不正(持ち出し) | 約1万7000件の求人登録情報 |
転職(新会社)設立のために持ち出し ※持ち出しは2012年5月、当該元社員の逮捕は今年10月 |
| 23 | 市立中高 | USBメモリ紛失 | 97名分の学生や成績情報 | 私物USBメモリの無断使用による紛失 |
| 24 | ホテル | メール誤送信 | 103名分のメールアドレス | メルマガの宛先を誤ってToに記載 |
| 25 | 財団 | CD-R紛失 | 2559名分の氏名や住所など | 委託先従業員が移動中に紛失 |
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
