面白いニュースがありましたのでご紹介します。
------------------------------------------------------
【日経新聞】民間から「情報安全補佐官」 各省庁の採用を政府が義務づけ
2009年度から3年間の政府の第2次情報セキュリティー基本計画案が9日、明らかになった。
最高情報セキュリティーアドバイザー(補佐官)として民間から専門家を採用することを各省庁に義務づける。大規模プロジェクトの情報システムの企画や設計、開発などに携わった経験や大手企業内の情報セキュリティー責任者としての実績などを要件に各省庁が公募する。
各省庁の官房長クラスを「最高情報セキュリティー責任者」として、補佐官が緊急時にアドバイスする。
各省庁の情報セキュリティー体制を客観的視点から評価し、年次報告書を取りまとめて公表する。
------------------------------------------------------
行政にあっても情報化が急速に進んでいます。千葉市も情報セキュリティ体制を強化していかなければなりませんが、未だに担当課レベルに任せてちょこちょこやっている状況です。仙台市のように市を挙げて取り組んでいるところもあるのに何度質問しても変わりません。
中央省庁も取り組んでいるのですから、市民の最前線で多くの個人情報を握る市役所が取り組まなくてどうするのかと思います。
2008年12月10日
| 
2008年11月07日
googleマップによる個人情報流出
昨日の新聞にも載っていますが、googleマップを介しての個人情報流出が県内の学校でも発覚しています。
googleマップは私も使っていますが、このサービスには「マイマップ」機能という、自分で地図上にメモなどを残して自分用の地図を作ることが可能です。そして、ここがポイントなのですが、特に設定をいじらない限り、その地図は世界中に公開されます。
学校の先生が生徒の住所・氏名などをこのマイマップ機能を使って入力し、非公開設定に変えていなかったために個人情報の流出につながるという流れです。
ネット上に個人情報を書き込むこと自体が非常に危険な行為なのですが、十分にネットの知識が無ければ特に意識せず書き込んでしまうのでしょう。
千葉県だけでも万単位で教員がいるので、こういう事件は今後も起き続けるでしょうね…
ちなみに、皆さまはgoogleストリートビューを使ったことがあるでしょうか。地図だけではなく道路沿線の写真までが見えるという凄まじいサービスです。
私は最初見た時「とうとうこういうサービスが出てきたか」と思い、隔世の感がありました。百聞は一見にしかずなので、まだ見たことがない人は是非以下のアドレスからアクセスしてみて下さい。
千葉市役所前のストリートビューです
⇒googleマップ(ストリートビューというボタンを押して下さい)
http://maps.google.co.jp/maps
googleマップは私も使っていますが、このサービスには「マイマップ」機能という、自分で地図上にメモなどを残して自分用の地図を作ることが可能です。そして、ここがポイントなのですが、特に設定をいじらない限り、その地図は世界中に公開されます。
学校の先生が生徒の住所・氏名などをこのマイマップ機能を使って入力し、非公開設定に変えていなかったために個人情報の流出につながるという流れです。
ネット上に個人情報を書き込むこと自体が非常に危険な行為なのですが、十分にネットの知識が無ければ特に意識せず書き込んでしまうのでしょう。
千葉県だけでも万単位で教員がいるので、こういう事件は今後も起き続けるでしょうね…
ちなみに、皆さまはgoogleストリートビューを使ったことがあるでしょうか。地図だけではなく道路沿線の写真までが見えるという凄まじいサービスです。
私は最初見た時「とうとうこういうサービスが出てきたか」と思い、隔世の感がありました。百聞は一見にしかずなので、まだ見たことがない人は是非以下のアドレスからアクセスしてみて下さい。
千葉市役所前のストリートビューです
⇒googleマップ(ストリートビューというボタンを押して下さい)
http://maps.google.co.jp/maps
2008年03月06日
住基ネット、最高裁が「合憲」初判断
住基ネットに合憲判決が出ました。
これは大阪府守口、吹田両市の住民3人が住基ネットはプライバシー権を侵害し違憲だとして、自身の住民票コード削除(住基ネット離脱)を求めた訴訟の上告審判決が6日、最高裁第1小法廷であったのですが、この小法廷で「自分の情報が第三者にみだりに開示される具体的な危険はない」との結論で住基ネットは合憲との初判断を示しました。
⇒<住基ネット>最高裁が「合憲」初判断 住民側の敗訴確定
http://headlines.yahoo.co.jp/hl?a=20080306-00000067-mai-soci
私にすれば当然の判決ですが、ようやく住基ネットに関してまともに議論できる環境に一つ近づいたという意味では大きな判決です。
詳しい判決はリンク先を見ていただきたいのですが、原告が主張していた「住基ネットを使えばあらゆる情報が収集できてプライバシーが侵される」という主張は住基ネットと関係ないということです。
住基ネットが持つ情報は氏名・住所・性別・生年月日であって、これ自体はプライバシー性の高いものではありません。
また住基ネットを使ってあらゆる情報が収集できたとしても、それは住基ネットそのものの問題ではなく、住基ネットと他住民情報系システムとの連携の問題になります。その連携の部分のセキュリティが甘いのであれば問題ですが、住基ネットそのものを否定する理由にはならないわけです。
私は議会で散々取り上げているとおり、自治体のセキュリティ対策に対しては厳しい目で見ていますが、住基ネットは大いに活用して市民サービスの向上に努めるべきです。
プライバシーの保護を今後も原告が求めるのであれば矛先を住基ネットにするのではなく、自治体の住民情報系システムやそれを使ったセキュリティの甘い業務プロセスにするべきだと思います。
これは大阪府守口、吹田両市の住民3人が住基ネットはプライバシー権を侵害し違憲だとして、自身の住民票コード削除(住基ネット離脱)を求めた訴訟の上告審判決が6日、最高裁第1小法廷であったのですが、この小法廷で「自分の情報が第三者にみだりに開示される具体的な危険はない」との結論で住基ネットは合憲との初判断を示しました。
⇒<住基ネット>最高裁が「合憲」初判断 住民側の敗訴確定
http://headlines.yahoo.co.jp/hl?a=20080306-00000067-mai-soci
私にすれば当然の判決ですが、ようやく住基ネットに関してまともに議論できる環境に一つ近づいたという意味では大きな判決です。
詳しい判決はリンク先を見ていただきたいのですが、原告が主張していた「住基ネットを使えばあらゆる情報が収集できてプライバシーが侵される」という主張は住基ネットと関係ないということです。
住基ネットが持つ情報は氏名・住所・性別・生年月日であって、これ自体はプライバシー性の高いものではありません。
また住基ネットを使ってあらゆる情報が収集できたとしても、それは住基ネットそのものの問題ではなく、住基ネットと他住民情報系システムとの連携の問題になります。その連携の部分のセキュリティが甘いのであれば問題ですが、住基ネットそのものを否定する理由にはならないわけです。
私は議会で散々取り上げているとおり、自治体のセキュリティ対策に対しては厳しい目で見ていますが、住基ネットは大いに活用して市民サービスの向上に努めるべきです。
プライバシーの保護を今後も原告が求めるのであれば矛先を住基ネットにするのではなく、自治体の住民情報系システムやそれを使ったセキュリティの甘い業務プロセスにするべきだと思います。
| 2008年01月06日
偽造住基カードに関するニュース
身分証明にも用いられる住民基本台帳カードが各地で偽造され、携帯電話や銀行口座の不正取得に悪用されたケースが2007年度で少なくとも16都府県で計50件に上ったことが、総務省の調査でわかったそうです。
⇒読売新聞:偽造住基カードで口座など不正取得、悪用50件に上る
http://www.yomiuri.co.jp/national/news/20080106i101.htm
読売新聞の記事では「偽造が容易」「住基カードの信頼性が揺らぐ」とありますが、50件の内容を見るとその判断は早計と思います。
住基カードを(外見上)偽造することは難しくありません。パスポートのようにホログラムが施されているわけでもありません。
ただし、それは自動車免許証でも同じで、目視確認による本人確認というレベルにおいては住基カードだけが特別偽造しやすいわけではありません。
問題は本人確認ではなく、住基カードを使用した様々な申請なども可能になるような偽造が可能かどうかです。これが可能であれば大問題で、住基カードの仕様そのものを見直さなければいけません。
ただ、そのためにはICチップレベルでの偽造が必要になるのですが、私の知っている範囲ではそうした偽造は行われていないようです。
住基ネットの問題はセキュリティやネットワーク知識のない方が不必要に不安を煽ってしまうケースが多いです。
私は今の住基カードの発行体制や管理体制に満足しているわけではありませんが、正しい認識の下に立って議論をすべきだと思います。
⇒読売新聞:偽造住基カードで口座など不正取得、悪用50件に上る
http://www.yomiuri.co.jp/national/news/20080106i101.htm
読売新聞の記事では「偽造が容易」「住基カードの信頼性が揺らぐ」とありますが、50件の内容を見るとその判断は早計と思います。
住基カードを(外見上)偽造することは難しくありません。パスポートのようにホログラムが施されているわけでもありません。
ただし、それは自動車免許証でも同じで、目視確認による本人確認というレベルにおいては住基カードだけが特別偽造しやすいわけではありません。
問題は本人確認ではなく、住基カードを使用した様々な申請なども可能になるような偽造が可能かどうかです。これが可能であれば大問題で、住基カードの仕様そのものを見直さなければいけません。
ただ、そのためにはICチップレベルでの偽造が必要になるのですが、私の知っている範囲ではそうした偽造は行われていないようです。
住基ネットの問題はセキュリティやネットワーク知識のない方が不必要に不安を煽ってしまうケースが多いです。
私は今の住基カードの発行体制や管理体制に満足しているわけではありませんが、正しい認識の下に立って議論をすべきだと思います。
2007年12月29日
習志野市で個人情報紛失
習志野市で個人情報紛失です。
学校入学に関わる子どもの個人情報が掲載された書類を段ボールに詰めてトラックで市内の清掃工場に運ぶ途中、荷台から飛び出して散乱したそうで、何ともお粗末な事件です。
⇒読売新聞:子供の個人情報はがきなど紛失 習志野市教委
http://www.yomiuri.co.jp/e-japan/chiba/news/20071229-OYT8T00080.htm
習志野市の業務プロセスが分からないのですが、個人情報が記載された資料をシュレッダーにかけずに輸送をするという行為がそもそも適切なのか、という疑問があります。
学校入学に関わる子どもの個人情報が掲載された書類を段ボールに詰めてトラックで市内の清掃工場に運ぶ途中、荷台から飛び出して散乱したそうで、何ともお粗末な事件です。
⇒読売新聞:子供の個人情報はがきなど紛失 習志野市教委
http://www.yomiuri.co.jp/e-japan/chiba/news/20071229-OYT8T00080.htm
習志野市の業務プロセスが分からないのですが、個人情報が記載された資料をシュレッダーにかけずに輸送をするという行為がそもそも適切なのか、という疑問があります。
| 2007年12月17日
相次ぐ個人情報流出:今度はまたも松戸市
松戸市で個人情報の紛失がありました。
こども発達センターで子育て相談などを受けた幼児205人分の個人情報が入ったUSBメモリーを紛失し、メモリーには幼児の住所や名前、生年月日、自宅電話番号のほか、一部で知能検査や行動観察の評価記録など、のべ227件の情報が入っていたそうです。
ちなみに松戸市は今年に入って3件目の個人情報紛失です。
私が何度も指摘しているUSBメモリーによる流出で、心理士をしている女性非常勤職員が紛失させたとのこと。
非常勤ということでセキュリティ研修も受けていなかったのでしょう。私は先週の一般質問で非常勤も含めセキュリティ研修を受けさせるよう訴えましたが、千葉市は動くでしょうか。
またセキュリティ関係で重要なニュースが二つあります。
一つはセンター試験資料の紛失です。
試験問題作成担当委員がパソコンやUSBメモリーをカバンごと紛失し、その中にセンター試験資料が入っていたとのこと。センターの外部に試験問題に関する資料を持ち出してはいけないことになっていたようですが、当然守らない人はいるわけです。
官公庁のセキュリティ意識の低さは私がよく知っています。
二つ目は個人情報流出全般に関わる重要な判決です。
Yahoo!BBの大規模顧客情報流出事件に関する最高裁判決があり、 ヤフー側に1人当たり5,500円の賠償を命じた大阪高裁判決が確定しました。ヤフー側は「流出による具体的な不利益を被っていない」と主張しましたが、裁判所は「原告のプライバシー権を侵害した」と賠償を認めました。
千葉市で仮に50万人の市民情報が流出し、そのうちたった1%の5,000人が賠償請求をしただけでも千葉市は2500万円以上の財源が必要になります。
千葉市当局の対応を切に求めますが、私が一般質問であれほど時間を割いて訴えても理解できていないように見えるので期待薄です…
こども発達センターで子育て相談などを受けた幼児205人分の個人情報が入ったUSBメモリーを紛失し、メモリーには幼児の住所や名前、生年月日、自宅電話番号のほか、一部で知能検査や行動観察の評価記録など、のべ227件の情報が入っていたそうです。
ちなみに松戸市は今年に入って3件目の個人情報紛失です。
私が何度も指摘しているUSBメモリーによる流出で、心理士をしている女性非常勤職員が紛失させたとのこと。
非常勤ということでセキュリティ研修も受けていなかったのでしょう。私は先週の一般質問で非常勤も含めセキュリティ研修を受けさせるよう訴えましたが、千葉市は動くでしょうか。
またセキュリティ関係で重要なニュースが二つあります。
一つはセンター試験資料の紛失です。
試験問題作成担当委員がパソコンやUSBメモリーをカバンごと紛失し、その中にセンター試験資料が入っていたとのこと。センターの外部に試験問題に関する資料を持ち出してはいけないことになっていたようですが、当然守らない人はいるわけです。
官公庁のセキュリティ意識の低さは私がよく知っています。
二つ目は個人情報流出全般に関わる重要な判決です。
Yahoo!BBの大規模顧客情報流出事件に関する最高裁判決があり、 ヤフー側に1人当たり5,500円の賠償を命じた大阪高裁判決が確定しました。ヤフー側は「流出による具体的な不利益を被っていない」と主張しましたが、裁判所は「原告のプライバシー権を侵害した」と賠償を認めました。
千葉市で仮に50万人の市民情報が流出し、そのうちたった1%の5,000人が賠償請求をしただけでも千葉市は2500万円以上の財源が必要になります。
千葉市当局の対応を切に求めますが、私が一般質問であれほど時間を割いて訴えても理解できていないように見えるので期待薄です…
2007年10月17日
県職員の情報流出 警官と教員除く1万5000人分
風邪でダウンしていて日記に書けませんでしたが、この日は個人情報関係で大きなニュースがありました。1万5千人分の県職員情報がファイル交換ソフトを通じて流出したのです。
これは今まで各自治体で頻発していた数百件程度のレベルではなく、しかも紛失ではなく流出をはっきりと確認できた極めて深刻な事件です。
⇒県職員の情報流出 警官と教員除く1万5000人分
今まで私は6月・9月議会と連続して行政の個人情報保護・セキュリティ対策を質問してきましたが、その中でも「委託先のセキュリティは特に厳しくチェックすべきだ」と主張してきました。
今回はまさにその委託先からの流出です。
私の質問に対し千葉市は6月に委託先の緊急調査を行ったものの、自己申告を聞いて終了、という危機感が全くない対応でしたが、県庁が大規模流出を招いたことで市側もようやく動き始めた感があります。
「6月議会で質問した時に真剣に対応していれば今頃慌てることはないのに」というのが私の率直な気持ちです。
<必要な対策>
・具体的なチェックリストを作りチェックすること
・申告に任せるのではなく専門部署が全て現場でチェックすること
・個人情報委託先への損害賠償を明記すること
・セキュリティ全般に責任を持つ部署を設置すること
・教職現場のセキュリティが最も危険、すぐに対応を
千葉市の対応を今後しばらく注視しますが、この期に及んで中途半端な対応をしているようであれば、副市長に会ってこれら対策の必要性を訴えることも検討しています。
これは今まで各自治体で頻発していた数百件程度のレベルではなく、しかも紛失ではなく流出をはっきりと確認できた極めて深刻な事件です。
⇒県職員の情報流出 警官と教員除く1万5000人分
今まで私は6月・9月議会と連続して行政の個人情報保護・セキュリティ対策を質問してきましたが、その中でも「委託先のセキュリティは特に厳しくチェックすべきだ」と主張してきました。
今回はまさにその委託先からの流出です。
私の質問に対し千葉市は6月に委託先の緊急調査を行ったものの、自己申告を聞いて終了、という危機感が全くない対応でしたが、県庁が大規模流出を招いたことで市側もようやく動き始めた感があります。
「6月議会で質問した時に真剣に対応していれば今頃慌てることはないのに」というのが私の率直な気持ちです。
<必要な対策>
・具体的なチェックリストを作りチェックすること
・申告に任せるのではなく専門部署が全て現場でチェックすること
・個人情報委託先への損害賠償を明記すること
・セキュリティ全般に責任を持つ部署を設置すること
・教職現場のセキュリティが最も危険、すぐに対応を
千葉市の対応を今後しばらく注視しますが、この期に及んで中途半端な対応をしているようであれば、副市長に会ってこれら対策の必要性を訴えることも検討しています。
2007年05月25日
また個人情報流出:今度は幼稚園
今度は成田市の幼稚園でFD紛失がありました。
園児25名の住所・氏名が含まれており、帰宅途上のホームセンターで紛失したとのこと。
⇒産経新聞の記事
http://www.sankei.co.jp/chiho/chiba/070525/chb070525004.htm
このブログでも何度も触れているように、個人情報が含まれたデータを気軽に社外に持ち出せる環境がまず恐ろしいと思います。しかも暗号化も何もしていないわけで。
昨日も市役所でヒアリングを行いましたが、まだまだ意識レベルで途上の面があります。
Yahoo!BBが顧客情報を大量に流出させた事件の後、マスコミが民間企業の顧客情報流出に食いつき一気に類似の事件が報道されました。マスコミが注目すれば今まで見えていなかったものが表に出ます。
私はいずれ近いうちに役所・教育関係で大規模な顧客情報流出がマスコミを騒がせる時代が来ると思います。情報通信産業出身として早期の対策をこれから訴えていきます。
園児25名の住所・氏名が含まれており、帰宅途上のホームセンターで紛失したとのこと。
⇒産経新聞の記事
http://www.sankei.co.jp/chiho/chiba/070525/chb070525004.htm
このブログでも何度も触れているように、個人情報が含まれたデータを気軽に社外に持ち出せる環境がまず恐ろしいと思います。しかも暗号化も何もしていないわけで。
昨日も市役所でヒアリングを行いましたが、まだまだ意識レベルで途上の面があります。
Yahoo!BBが顧客情報を大量に流出させた事件の後、マスコミが民間企業の顧客情報流出に食いつき一気に類似の事件が報道されました。マスコミが注目すれば今まで見えていなかったものが表に出ます。
私はいずれ近いうちに役所・教育関係で大規模な顧客情報流出がマスコミを騒がせる時代が来ると思います。情報通信産業出身として早期の対策をこれから訴えていきます。
2006年07月30日
個人情報の過剰保護をどう防ぐか
今日の読売新聞の社説で個人情報の過剰保護について触れています。
私は仕事でセキュリティや個人情報保護法対策をずっとやってきましたので、この分野については黙っていられないところがあります。
以前の日記でこの過剰保護による問題を書きました。
⇒読売新聞社説[個人情報保護法]「運用の見直しだけでは済まない」
http://www.yomiuri.co.jp/editorial/news/20060729ig90.htm
⇒前の日記「個人情報保護法、運用見直しを協議へ…過剰反応に対応」
http://shibucho.seesaa.net/article/8985679.html
■おかしな社会に
個人情報保護法とは本来「望まない利用を防ぐ」ことにあったのですが、いつのまにか「下手に個人情報を使えない」社会にしてしまいました。
・緊急連絡網に卒業アルバムが作れない
・事故など緊急時に病院が家族や警察の問い合わせに応じない
・地震があった時に福祉課が持っている高齢者や障害者ら「災害弱者」の名簿を消防署が活用できない
他にも山のように個人情報の「もったいない」未利用がどんどん増えています。
■なぜこうなってしまったのか
上のような使い方について個人情報の持ち主は99%は賛成しているんです。たった1%の人が個人情報保護法を曲解したり、これを口実に利用した側を責めたりするものですから、利用者側もその1%を恐れて99%に利便性を損ねている、そんな状況なのです。
■個人情報を持つ者はどんどんビビる
私も個人情報の使い方を決める担当でしたが「危ない橋は渡らない」という流れにどうしてもなるんですよね。またお客さんと対応しても保護法を少しかじって「保護法違反だ!」と叫ぶ人がどれほどいたか…。勿論違反でもなんでもないのですが。
今自民党を中心に個人情報漏洩罪みたいなものを作ろうとしていますが、これを作ればますます企業・個人はビビって本当に使わなければいけない時にも出せなくなってしまいます。
■意図的に悪用するケースも(情報公開の壁に)
逆に行政などが個人情報保護をたてに大事な情報を明らかにしないケースも目立ってきました。
・人事異動の際に幹部職員の最終学歴や生年月日を公表しない。
・懲戒処分を受けた職員の氏名や元職員の再就職先を伏せる
最近では千葉市教育委員会が下着ドロボーを何度も繰り返し逮捕された教員の氏名と学校名を公表しなかったケースがありました(この件は詳しく書こうと思ったのですが、あまりに情けないので書きませんでした)。
あと、ひどい例だと議員名簿を「個人情報なので出せない」という意味不明な対応を取っている市町村があったりします。
⇒うそで名を伏せ、一転実名発表 千葉市教委
http://mytown.asahi.com/chiba/news.php?k_id=12000000607250003
こうした行政の動きは絶対に許してはいけません。
■どう変えていくべきなのか
そもそも個人情報の利用レベルというのは命に関わる医療・福祉の分野から名簿が商売に繋がる業界まで幅広く過ぎて一律に「ああしちゃダメよ、こうしちゃダメよ」なんて決められません。
今は業界ごとのガイドラインで現場に近いルールを決めていますが、ガイドラインでは一般人に理解を求めるのは難しいんですね。
私は保護法そのものは大原則を決めるのみにしておいて、各業界毎に個別に法案を作った方がいいのではないかと思います。
読売新聞の社説にも書いていますが、日本弁護士連合会が具体的な法改正案を提案しています。
・情報を提供することが保護するよりも利益が大きい場合はOKにする。
・業務に直結する公務員の氏名などの個人情報は、情報提供を制限する条項の例外とする
などなど。詳しくは直接ご覧下さい。
⇒日弁連「個人情報保護法制の改正に関する意見書」
http://www.nichibenren.or.jp/ja/opinion/report/060720.html
■第三者機関による監視も大事
情報の利用について保護と利益の天秤を見るというのは面白い考え方です。
危険性として利益の名の元に「こっちの方がお客さんにいいと思って」という名の元個人情報が拡大利用される件ですが、これは日弁連の意見書にもあるとおり具体的事例を明記するとともに第三者機関を設け常に監視の目を働かせることが大事だと思います。
私は仕事でセキュリティや個人情報保護法対策をずっとやってきましたので、この分野については黙っていられないところがあります。
以前の日記でこの過剰保護による問題を書きました。
⇒読売新聞社説[個人情報保護法]「運用の見直しだけでは済まない」
http://www.yomiuri.co.jp/editorial/news/20060729ig90.htm
⇒前の日記「個人情報保護法、運用見直しを協議へ…過剰反応に対応」
http://shibucho.seesaa.net/article/8985679.html
■おかしな社会に
個人情報保護法とは本来「望まない利用を防ぐ」ことにあったのですが、いつのまにか「下手に個人情報を使えない」社会にしてしまいました。
・緊急連絡網に卒業アルバムが作れない
・事故など緊急時に病院が家族や警察の問い合わせに応じない
・地震があった時に福祉課が持っている高齢者や障害者ら「災害弱者」の名簿を消防署が活用できない
他にも山のように個人情報の「もったいない」未利用がどんどん増えています。
■なぜこうなってしまったのか
上のような使い方について個人情報の持ち主は99%は賛成しているんです。たった1%の人が個人情報保護法を曲解したり、これを口実に利用した側を責めたりするものですから、利用者側もその1%を恐れて99%に利便性を損ねている、そんな状況なのです。
■個人情報を持つ者はどんどんビビる
私も個人情報の使い方を決める担当でしたが「危ない橋は渡らない」という流れにどうしてもなるんですよね。またお客さんと対応しても保護法を少しかじって「保護法違反だ!」と叫ぶ人がどれほどいたか…。勿論違反でもなんでもないのですが。
今自民党を中心に個人情報漏洩罪みたいなものを作ろうとしていますが、これを作ればますます企業・個人はビビって本当に使わなければいけない時にも出せなくなってしまいます。
■意図的に悪用するケースも(情報公開の壁に)
逆に行政などが個人情報保護をたてに大事な情報を明らかにしないケースも目立ってきました。
・人事異動の際に幹部職員の最終学歴や生年月日を公表しない。
・懲戒処分を受けた職員の氏名や元職員の再就職先を伏せる
最近では千葉市教育委員会が下着ドロボーを何度も繰り返し逮捕された教員の氏名と学校名を公表しなかったケースがありました(この件は詳しく書こうと思ったのですが、あまりに情けないので書きませんでした)。
あと、ひどい例だと議員名簿を「個人情報なので出せない」という意味不明な対応を取っている市町村があったりします。
⇒うそで名を伏せ、一転実名発表 千葉市教委
http://mytown.asahi.com/chiba/news.php?k_id=12000000607250003
こうした行政の動きは絶対に許してはいけません。
■どう変えていくべきなのか
そもそも個人情報の利用レベルというのは命に関わる医療・福祉の分野から名簿が商売に繋がる業界まで幅広く過ぎて一律に「ああしちゃダメよ、こうしちゃダメよ」なんて決められません。
今は業界ごとのガイドラインで現場に近いルールを決めていますが、ガイドラインでは一般人に理解を求めるのは難しいんですね。
私は保護法そのものは大原則を決めるのみにしておいて、各業界毎に個別に法案を作った方がいいのではないかと思います。
読売新聞の社説にも書いていますが、日本弁護士連合会が具体的な法改正案を提案しています。
・情報を提供することが保護するよりも利益が大きい場合はOKにする。
・業務に直結する公務員の氏名などの個人情報は、情報提供を制限する条項の例外とする
などなど。詳しくは直接ご覧下さい。
⇒日弁連「個人情報保護法制の改正に関する意見書」
http://www.nichibenren.or.jp/ja/opinion/report/060720.html
■第三者機関による監視も大事
情報の利用について保護と利益の天秤を見るというのは面白い考え方です。
危険性として利益の名の元に「こっちの方がお客さんにいいと思って」という名の元個人情報が拡大利用される件ですが、これは日弁連の意見書にもあるとおり具体的事例を明記するとともに第三者機関を設け常に監視の目を働かせることが大事だと思います。
| 2006年06月14日
KDDIで400万人分情報漏れ〜長い目で見た施策〜
昨日会社を休んでいたのですが今日の朝ニュースを見てビックリ。
KDDIが顧客情報の流出を起こしたらしいですね。しかも400万とは…
http://www.yomiuri.co.jp/national/news/20060613it12.htm
流出したのは2003年12月ということですからYahooを始めとする顧客情報流出騒ぎが起きる前の出来事のようです。
この時までの日本の顧客情報対策はまだまだ不十分でしたから、おそらく内部犯行の疑いが相当濃いと思います。
流出元と見られる保守用のパソコンはICカードで入退室が管理されたシステムルームにあり、社員48人、業務を委託していたシステム会社の社員177人が利用できる状態にあったということですから、やっぱりズブズブの時代ですね。
顧客情報流出事件によってYahooが負ったダメージは相当大きくボディーブローのように効いています。
ブランドというのは一朝一夕に生まれるものではなく、そして一度のミスで全てが消えてしまいます。
私は昨年までセキュリティ対策・個人情報保護法対策を指揮する立場にいましたが、どうしても社内では「余計な手間を増やしやがって」「面倒くさい」という意見が圧倒的で非常に迷惑がられました。
しかし、自分たちが日常的に扱っている個人情報量の多さを真摯に考えれば相当危ない話であり、面倒くさいというレベルで論じる話では全くないのです。
しかし、末端の社員というのは自分の身の回りの仕事しかどうしても考えられません。こういう「直接利益を上げるものではない、しかし長期的には絶対に必要な対策」というものは最終的にはトップの号令によって行わなければ絶対に社内で徹底されません。(勿論、全社員の教育というのは一番大事なテーマではあります)
我が社でもトップクラスが口を酸っぱくして「不必要な情報を持つな」「いいから捨てるんだ」など言い続けております。
政治も同様で、有権者に口当たりの良い政策ばかりを言うのではなく、官僚では実施できない「口当たりは良くないが長期的には絶対に必要な政策」というものを政治家こそが責任をもって決断し、有権者に理解を求めなければいけないと思います。
それこそが「国家百年の計」なのではないでしょうか。
今はみんな口当たりの良いことばかりを主張し、予算を取り、結果財政が破綻し、将来へどんどん負の遺産を残していっています。
将来財政が破綻した時、「こんな日本を残した先人達はバカか!?」と私は言われたくありません。
KDDIが顧客情報の流出を起こしたらしいですね。しかも400万とは…
http://www.yomiuri.co.jp/national/news/20060613it12.htm
流出したのは2003年12月ということですからYahooを始めとする顧客情報流出騒ぎが起きる前の出来事のようです。
この時までの日本の顧客情報対策はまだまだ不十分でしたから、おそらく内部犯行の疑いが相当濃いと思います。
流出元と見られる保守用のパソコンはICカードで入退室が管理されたシステムルームにあり、社員48人、業務を委託していたシステム会社の社員177人が利用できる状態にあったということですから、やっぱりズブズブの時代ですね。
顧客情報流出事件によってYahooが負ったダメージは相当大きくボディーブローのように効いています。
ブランドというのは一朝一夕に生まれるものではなく、そして一度のミスで全てが消えてしまいます。
私は昨年までセキュリティ対策・個人情報保護法対策を指揮する立場にいましたが、どうしても社内では「余計な手間を増やしやがって」「面倒くさい」という意見が圧倒的で非常に迷惑がられました。
しかし、自分たちが日常的に扱っている個人情報量の多さを真摯に考えれば相当危ない話であり、面倒くさいというレベルで論じる話では全くないのです。
しかし、末端の社員というのは自分の身の回りの仕事しかどうしても考えられません。こういう「直接利益を上げるものではない、しかし長期的には絶対に必要な対策」というものは最終的にはトップの号令によって行わなければ絶対に社内で徹底されません。(勿論、全社員の教育というのは一番大事なテーマではあります)
我が社でもトップクラスが口を酸っぱくして「不必要な情報を持つな」「いいから捨てるんだ」など言い続けております。
政治も同様で、有権者に口当たりの良い政策ばかりを言うのではなく、官僚では実施できない「口当たりは良くないが長期的には絶対に必要な政策」というものを政治家こそが責任をもって決断し、有権者に理解を求めなければいけないと思います。
それこそが「国家百年の計」なのではないでしょうか。
今はみんな口当たりの良いことばかりを主張し、予算を取り、結果財政が破綻し、将来へどんどん負の遺産を残していっています。
将来財政が破綻した時、「こんな日本を残した先人達はバカか!?」と私は言われたくありません。
2005年11月05日
個人情報保護法、運用見直しを協議へ…過剰反応に対応
個人情報保護法の運用見直しを視野に国民生活審議会(首相の諮問機関)の個人情報保護部会が今月末に再開されるようです。
個人情報保護法の精神を理解せず、過剰反応が相次いでいる現状を見ると早急に見直して頂きたいと思います。
http://www.yomiuri.co.jp/main/news/20051105i101.htm
だって、病院で患者名を言わなかったり、懲戒処分を受けた教師・公務員の名前を公表せず、警察の捜査照会にも病院側が怪我人の容態を教えないなど無茶苦茶なケースが多すぎなんですよ。
個人情報保護法は本人が望んでいない利用を制限するために存在しているわけであって、個人情報を出してはいけないという法律ではないのです。
ま、法律の内容が悪いというか悪法なんですけどね。。。
私も今年4月の個人情報保護法全面施行への対応をしましたが、非常に難解というか現実と合わない法律で困った記憶があります。
個人情報保護法で苦しんでいた時の日記はこちら
http://shibucho.seesaa.net/article/1753664.html
http://shibucho.seesaa.net/article/1754381.html
http://shibucho.seesaa.net/article/1870183.html
個人情報保護法の精神を理解せず、過剰反応が相次いでいる現状を見ると早急に見直して頂きたいと思います。
http://www.yomiuri.co.jp/main/news/20051105i101.htm
だって、病院で患者名を言わなかったり、懲戒処分を受けた教師・公務員の名前を公表せず、警察の捜査照会にも病院側が怪我人の容態を教えないなど無茶苦茶なケースが多すぎなんですよ。
個人情報保護法は本人が望んでいない利用を制限するために存在しているわけであって、個人情報を出してはいけないという法律ではないのです。
ま、法律の内容が悪いというか悪法なんですけどね。。。
私も今年4月の個人情報保護法全面施行への対応をしましたが、非常に難解というか現実と合わない法律で困った記憶があります。
個人情報保護法で苦しんでいた時の日記はこちら
http://shibucho.seesaa.net/article/1753664.html
http://shibucho.seesaa.net/article/1754381.html
http://shibucho.seesaa.net/article/1870183.html
2005年02月20日
詐欺電話〜個人情報の流出〜
先ほど私の家に「そちらの番号から昨日電話があったのでかけてみた。失礼ですがお名前は?」という電話があった。
私は固定電話を殆ど使わない。もちろん昨日も電話などしていない。ちなみに固定電話の発信番号に間違いはあり得ない。
つまり、こいつはウソを言っているということになる。おそらく電話を片っ端からかけて相手に名前を言わせて電話番号と氏名(うまくいけばプラスアルファ)を紐付けたリストを作成している業者なのだろう。
全く色々考えつくものである。
そもそもこういった連中の電話の語り口は独特で、すぐに胡散臭いと分かる。
でも、これで騙される人は結構いるのだろう。
詐欺さんとの応対模様はこちら
私は固定電話を殆ど使わない。もちろん昨日も電話などしていない。ちなみに固定電話の発信番号に間違いはあり得ない。
つまり、こいつはウソを言っているということになる。おそらく電話を片っ端からかけて相手に名前を言わせて電話番号と氏名(うまくいけばプラスアルファ)を紐付けたリストを作成している業者なのだろう。
全く色々考えつくものである。
そもそもこういった連中の電話の語り口は独特で、すぐに胡散臭いと分かる。
でも、これで騙される人は結構いるのだろう。
詐欺さんとの応対模様はこちら
2005年02月08日
個人情報の開示請求(回避策と手数料等)
4月1日個人情報保護法施行全面施行に伴い発生する個人情報の開示請求への対応。
これに頭を悩ませている企業は多いはず。
開示請求への対応で一番大事なポイントは「いかに開示請求を減らすか」に尽きる。
続きを読む
これに頭を悩ませている企業は多いはず。
開示請求への対応で一番大事なポイントは「いかに開示請求を減らすか」に尽きる。
続きを読む
2005年01月29日
個人情報保護法対策(利用目的の公表)
ここから一気に個人情報保護対策について書いていきます。
今回はその中の「利用目的の公表・通知」について、どの範囲をどこまで対応しなければならないのか、具体的に考えたいと思います。
ちなみに個人情報保護法に関する基本的な解説は行いません。基本解説書は今や本屋で平積みで陳列されていますし、アマゾンでも「個人情報保護」と打つだけで死ぬほど本が出てきます。
個人的なオススメとしては、個人情報保護法の権威とも言うべき岡村久道氏の著書でしょうか。ちなみに私は以下の本を結構重宝しています。
続きを読む(長いよ!)
今回はその中の「利用目的の公表・通知」について、どの範囲をどこまで対応しなければならないのか、具体的に考えたいと思います。
ちなみに個人情報保護法に関する基本的な解説は行いません。基本解説書は今や本屋で平積みで陳列されていますし、アマゾンでも「個人情報保護」と打つだけで死ぬほど本が出てきます。
個人的なオススメとしては、個人情報保護法の権威とも言うべき岡村久道氏の著書でしょうか。ちなみに私は以下の本を結構重宝しています。
 | 詳解 個人情報保護法と企業法務―収集・取得・利用から管理・開示までの実践的対応策 菅原 貴与志 民事法研究会 2004/09 定価:¥ 3,465 アマゾン価格:¥ 3,465 中古価格:¥2,500 通常24時間以内に発送 アマゾンで詳細を見る |
続きを読む(長いよ!)
個人情報保護法対策(開示請求の動向)
今年の4月1日に個人情報保護法が全面施行されます。
現在個人情報を保有する企業は皆対策に必死になっていることでしょう。私も毎日これに携わっています。もうゲップです。
個人情報保護法というと個人情報の流出対策にばかり焦点が行きがちですが、一番大きいのは自己情報のコントロール権が明確に認められている点です。簡単に言うと、自分の情報が何の目的で利用され、かつどのように登録されているか知る権利があるということです。
企業としてはこれまで漫然と収集していた個人情報について、事前に目的を知らせた上で収集する必要があり、かつユーザから申請があれば自分が保有している情報を開示し、間違っていれば削除まで含めて対応する必要が出てくるのです。
この「開示請求」が一番やっかいで、企業は色々な所に散在している個人情報の在り処をきちんと把握し、一元的に対応する窓口を設置しなければなりません。どの情報を開示対象とするのか、どこまでを開示するのか、窓口はどうするのか、手数料は取るのか等、決めなければいけないことは山ほどあります。
雑誌等でこの開示請求に対するネタが増えており、私も一体どの程度開示請求があるのかビクビクしておりましたが、どうも最近ではそれほど開示請求は出ないのではないかと考え始めております。
他社の動向もじわじわと見えてきているのですが、手数料を500円以上取る企業も多いですし、これを機にネット上でユーザ自身が自分の情報を確認できるよう整備しているところも多いので、普通のユーザはお金もかかり煩雑な申請が必要な開示請求を行わないでしょう。
まあ、そうはいっても個人情報が含まれるデータベースをどう一元管理していくかは今後必要になってきますので、その整備と利用目的の公表、そして何より情報流出を防ぐためのセキュリティ対策は今後も企業の頭を悩ませることになりそうです。
ここ最近、今まで頭の中でまとめてきた個人情報保護対策とセキュリティ対策について、どこかで公開しようかと考えております。自分の整理のためにも。
現在個人情報を保有する企業は皆対策に必死になっていることでしょう。私も毎日これに携わっています。もうゲップです。
個人情報保護法というと個人情報の流出対策にばかり焦点が行きがちですが、一番大きいのは自己情報のコントロール権が明確に認められている点です。簡単に言うと、自分の情報が何の目的で利用され、かつどのように登録されているか知る権利があるということです。
企業としてはこれまで漫然と収集していた個人情報について、事前に目的を知らせた上で収集する必要があり、かつユーザから申請があれば自分が保有している情報を開示し、間違っていれば削除まで含めて対応する必要が出てくるのです。
この「開示請求」が一番やっかいで、企業は色々な所に散在している個人情報の在り処をきちんと把握し、一元的に対応する窓口を設置しなければなりません。どの情報を開示対象とするのか、どこまでを開示するのか、窓口はどうするのか、手数料は取るのか等、決めなければいけないことは山ほどあります。
雑誌等でこの開示請求に対するネタが増えており、私も一体どの程度開示請求があるのかビクビクしておりましたが、どうも最近ではそれほど開示請求は出ないのではないかと考え始めております。
他社の動向もじわじわと見えてきているのですが、手数料を500円以上取る企業も多いですし、これを機にネット上でユーザ自身が自分の情報を確認できるよう整備しているところも多いので、普通のユーザはお金もかかり煩雑な申請が必要な開示請求を行わないでしょう。
まあ、そうはいっても個人情報が含まれるデータベースをどう一元管理していくかは今後必要になってきますので、その整備と利用目的の公表、そして何より情報流出を防ぐためのセキュリティ対策は今後も企業の頭を悩ませることになりそうです。
ここ最近、今まで頭の中でまとめてきた個人情報保護対策とセキュリティ対策について、どこかで公開しようかと考えております。自分の整理のためにも。
2005年01月26日
セキュリティ資格比較評価
今セキュリティが熱い。
Yahoo!BBの顧客情報流出を始めとして後を絶たない個人情報の流出、そして2005年4月1日の個人情報保護法全面施行を受けて、セキュリティに関するスキルの需要はかつてないほど高まっています。
そんな中、雨後のタケノコのように出てきているのがセキュリティ関連の資格。
今日は通信会社でセキュリティ・個人情報保護法対策にどっぷり浸かりまくっている私がセキュリティ資格について勝手に評価してみたいと思います!
まずセキュリティ関連の資格である程度有名なものを下にざっと挙げます。
●情報セキュリティアドミニストレータ(情報処理技術者) 【情報処理推進機構】
●ISMS審査員(主任、審査員、審査員補) 【日本情報処理開発協会】
●プライバシーコンサルタント 【日本プライバシーコンサルタント協会】
●ネットワーク情報セキュリティマネージャー(NISM) 【NISM推進協議会】
●CISSP(情報システム・セキュリティ・プロフェッショナル認定資格) 【国際資格】
●CISA(米国情報システム監査人) 【国際資格】
「情報」やら「セキュリティ」やらカタカナが一杯飛び交っていてサッパリですね。
とりあえず一つずつ説明したいと思います。
続きを読む
Yahoo!BBの顧客情報流出を始めとして後を絶たない個人情報の流出、そして2005年4月1日の個人情報保護法全面施行を受けて、セキュリティに関するスキルの需要はかつてないほど高まっています。
そんな中、雨後のタケノコのように出てきているのがセキュリティ関連の資格。
今日は通信会社でセキュリティ・個人情報保護法対策にどっぷり浸かりまくっている私がセキュリティ資格について勝手に評価してみたいと思います!
まずセキュリティ関連の資格である程度有名なものを下にざっと挙げます。
●情報セキュリティアドミニストレータ(情報処理技術者) 【情報処理推進機構】
●ISMS審査員(主任、審査員、審査員補) 【日本情報処理開発協会】
●プライバシーコンサルタント 【日本プライバシーコンサルタント協会】
●ネットワーク情報セキュリティマネージャー(NISM) 【NISM推進協議会】
●CISSP(情報システム・セキュリティ・プロフェッショナル認定資格) 【国際資格】
●CISA(米国情報システム監査人) 【国際資格】
「情報」やら「セキュリティ」やらカタカナが一杯飛び交っていてサッパリですね。
とりあえず一つずつ説明したいと思います。
続きを読む
