SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

プライバシーフリークカフェ

漏洩が問題なのではない、名寄せが問題なのである―第3回プライバシーフリーク・カフェ(前編)


「適正な取得」(法17条)の問題

山本 前置きが長くなってしまいましたが、そろそろ本題に入りましょう。

高木 はい。では、本題に入っていく…というか、もう入ってますけれども。

鈴木 ええ。

山本 適正な取得。

高木 ベネッセ事件に政府はどう対応するかですが、パーソナルデータ大綱に名簿屋をどうすると書いてあったかがここですが、前回はこのへん飛ばしました。

山本 飛ばしましたね、はい。

鈴木 この名簿屋規制の話ですが、大綱は全17ページで構成されていますけども、その最後の17ページのところに書いてあるんですよね。

パーソナルデータの利活用に関する制度改正大綱
http://www.kantei.go.jp/jp/singi/it2/info/h260625_siryou2.pdf

高木 「いわゆる名簿屋。販売された個人情報が詐欺等の犯罪行為に利用されていること、不適切な勧誘等による消費者被害を助長するなどしていること及びプライバシー侵害につながり得ることが、社会問題として指摘されている。このような犯罪行為や消費者被害の発生と被害の拡大を防止するためにとり得る措置等については、継続して検討すべき課題とする。」となっていまして、「継続して検討」ですから、今度の法改正ではやらないっていうのが、このときの方針でした。

鈴木 6月24日の大綱では、まさに「継続的検討課題」という項で示された4つの中の1つに置いてありますから、2015年の通常国会に提出する改正法案の中には盛り込まないという整理です。二次改正、三次改正など、将来対応する課題だと示しただけということです。

 で、名簿屋規制の必要性については、消費者団体の長田委員、それから私から意見を言ったところです。長田委員は当然ながら消費者保護の観点から主張されて、私の方は、公然と名簿が売買されている、それがネット上で容易にわかると。で、公然と換金できる状態にあって誰でも容易にそこにアクセスできるということは、企業のセキュリティ対策上も、これは極めて脅威であろうと。だからそういうところを抑えていく方がいいのではないかと、どちらかというと産業界寄りの視点から問題提起したと。その結論が、この「継続的検討課題」ということです。

第三者提供(法23条2項)の問題

高木 で、大綱にはもう一カ所書いてありまして、個人データの第三者提供についてのオプトアウト規定のところ。

パーソナルデータの利活用に関する制度改正大綱
http://www.kantei.go.jp/jp/singi/it2/info/h260625_siryou2.pdf

高木 23条2項のところですが、「事業者がオプトアウト規定を用いて第三者提供を行う場合には」、第三者機関に届け出るようにすると。第三者機関はその届け出られた事項を公表するようにすると。こういう措置が大綱には入っているのですが。

山本 はい。

高木 これは、5月末の第10回で、事務局案として「第三者提供におけるオプトアウトの適正な執行について」で入ってきたものですけども。

山本 これってちゃんと機能しますかね?

高木 いやあ、しないと思いますけどね。

山本 さすがに条件があんまり思いつかなくてですね、どうやったらちゃんと機能してくれるのか。

鈴木 仕組みですか。

山本 そう、執行する仕組みと運用する仕組みについては綿密に考えないと、話芸で終わってしまいそうです。気が付いたときには「こう規約に書いときゃいいんでしょ」みたいな感じになっちゃうと…

高木 この案の趣旨は、こういうことらしいですよ。つまり、現状はオプトアウトで提供している事業者は、オプトアウトを受け付けている旨を知らせないといけなくて、それはウェブサイトに書いておけばいいと。そんなのどこにそういうサイトがあるのかわからないじゃないかという批判に対して、じゃあ、届け出制にして、第三者機関のサイトを見に行けば全部の名簿屋のサイトが並んでいるっていう状態を、まず作るっていうのが、この案の発想だったようです。だけども、人々は自分の情報がどの名簿屋にあるのか、ないのか、わからないのが問題なわけでして。

鈴木 確かに。その第三者機関の登録サイトに行って、「鈴木正朝」って自分の名前等を入力して、「私の情報を持っている名簿屋は、A社とD社とF社だ」っていうようにわからなかったら、とてもオプトアウトなんて機能しないですよね。

高木 そうですよね。

鈴木 そんな仕組み、作れるのかって。

高木 何百という名簿屋が並んでいるときに、全部について自分でオプトアウトの連絡をするのかという。

鈴木 チェックボックスにして、オプトアウトしたいところをチェックして、あとはポンとエンタ−キー押して終了とやれるくらいの便利なシステムでもあれば話しは別ですが。まあ、そういうのを作ろうということになるとまた一千億円とかいう話しになりますかね。

山本 やっぱり、名簿屋の仕組みっていうか、実態としてどう名簿屋さんが動いているのかっていうのがわからないと、運用できないと思うんです。実効性のある形では機能しないと思うので、「どの名簿に何が載ってるか、全部出しなはれ」っていうところからやらないといけなくてですね、そうすると登録制度 ではだめでですね…。

鈴木 そうですね。

山本 名簿屋に対して「あんたの持っているものはコレコレですよね?」っていうところまで、立ち入りできないと、運用の枠組みとしてはワークしないだろうという話になると、じゃあ、名簿屋規制っていうのは別の法律でやるのか、みたいな話になるわけですよ。たとえば東京都だけが暴れて、とある舛添さんがうちの都だけはやるんだとか言っても絶対できないですよね。で、じゃあ、国にやってくれって話になったとき、だれがどの官庁のどの役職に振る可能性があるのかと。当然、オブザーバーで捜査機関が全部入ってやります、という話になれば、また議論は最初から紛糾することになります。そして、国内に関して名簿屋の認可制にするとして、持っているものを全部出せといったところで、その実態は金融庁のファンド規制と一緒になりますよ。あれと一緒のやり方でやるんだったら、何人そこに必要なの?みたいな話をしてたんですよね。名簿屋の認可制を敷くだけで、凄い労力がかかることになります。臨店検査、やるんですかね。

鈴木 あとね、本当に悪賢い奴は、いつの間にか国外出て行って、個人データも国外に持ち出して。で、国外からサービス提供したりするでしょうね。

山本 もちろんです。

鈴木 迷惑メール屋さんと同じで、本格的にやろうと思ったら国外に行っちゃう。迷惑メール規制法が機能しない。同じことになりかねないですね。

山本 ちょっとこのあたり、本旨と若干逸脱しますけれども、基本的には着地主義みたいな形になって、ある特定の方にDMが送られて、そこはセンシティブな家庭です、と。どの名簿屋から出たメールなのか、もしくは住所なのか、確認させろという話になりますね。で、確認した結果、未登録でしたといったところに対しては、それを利用したDMを送った業者から踏み込んでいって、お話聞きました、どこの業者からこの住所を買いましたか、みたいな方法で追っかけて行って、ぶん殴りに行くといった話になるわけですよ。

鈴木 そうですね。

高木 それは、なんかいかにも警察的な発想で…

山本 そうです、もう、着地主義ですよね。

高木 なんか…どうなんですかね、たとえば、届け出制だったらですよ、届ければいいわけですからねえ、届けてないマヌケなところだけしか…

山本 摘発できないです。

高木 それに届け出たところで…っていう。これ、古物商…

鈴木 そうですね。古物営業法そっくりですね。

山本 まあ、あんまり機能しないですよね。

鈴木 古物は有体物だからね。コピーがいくつも出回ることないしね。

高木 どなたでしたか、こんなことをおっしゃってましたよ。「事業者の負担ばっかりかけるような規制はけしからん」と。

山本 んー。どっかで聞いたことあるセリフですね(笑)。

高木 「それより名簿屋をなんとかしろ」と。それで、「トレーサビリティを確保するために、どの情報はどこから取得したかを全部記録して管理するべき」と言っている人がいましたよ…

山本 それも、どっかで聞いたことのあるフレーズですね。みなさん、ひとことでトレーサビリティっていうんですけど、トレースする側になってほしいですよね。

高木 そう。これ、余計に大変じゃないですか、と。

山本 そうなんですよ。

高木 自分の首を絞めるようなことを言っているのに、と思って聞いたんですけどね。

山本 彼らと「トレーサブルにできる仕組みにしようね」って議論をするとですね、「それは我々の責任ではない」っていうんですよ。「え、でも今トレーサブルっておっしゃいましたよね?」みたいな話をすると、「それは我々の仕事ではない」。「じゃあ捜査機関の仕事ですか?じゃあ、情報出してくださいねって言わざるを得ませんよね?」っていうと、「いや、そんなことは民間の負担が増えるだけで許せん」みたいな堂々巡りの議論になるわけですよ。ぐるぐる回っていると、いつかバターができるんですけども(笑)。そういう状態になっちゃうので、簡単にそのトレーサブルっていうんじゃなくて、「より実効性のある個人情報の管理をしろっていう話になるのであれば、もうちょっとやりようがあるんじゃないですか」と。前に鈴木先生がおっしゃってたみたいに、なんかこう、中間に公的データベースみたいなの作って、なにがどういう感じで個人情報が動いているのかみたいなものが視認できるような仕組みが何か作れないですかね?って話になったじゃないですか。それが最善なのかは別としても、何か仕組みを考えないとやられ放題ってことになりかねません。

鈴木 んー。あと、やはり買い受ける側にも何か規制が必要ですよね。「変なところから買い受けてDM出すのはだめですよ」「きれいなところから買ってください」と。で、買うこと自体はある程度許容していかないとだめなんじゃないかなとも思うのですよ。

山本 ええ。ええ、そうですよ。おっしゃる通り。

鈴木 ええ。ええ。ええ。えっと、氏名住所くらいは流通していいじゃないかっていう話は一方であるじゃないですか。一方でね、やっぱり世の中コミュニケーションで成り立っていて、ある種の商行為だってそのコミュニケーションのひとつとも言えなくもないしね。たとえば町の小さな呉服屋さんが、過去に来店して住所氏名を書いてくれたお客さんにだけDM出したって売上げが伸びていかないわけですよ。やっぱりそこの商店の商圏というのでしょうか。たとえば半径20キロくらいに住んでいる19歳の女性に来年の成人式をめざしてDMの1本も打ちたいじゃないすか。

山本 はい。

鈴木 そうしないと商売をやっていけない会社が山のようにあるでしょう。その程度の連絡手段くらいは許してもいいのではないかと。ある種の、宛名付きのラベルを買ってDM出したいというニーズには、やっぱり応えるべきところはあるのではないかとも思うのですね。

山本 アメリカなんかは、データブローカーに対する州単位の規制や枠組みがあります。で、たぶんそれだけだと完結しないので、しょうがないので、まさにおっしゃったような、買った人責任。利用した人は、適法と思えないデータブローカーから買ったときには責めを負いますよ、みたいなことでなんとかやってるんですけども。おそらく次のフェーズで、今おっしゃったような一個上のレベルの話が出てくると思います。

鈴木 FTCは、「透明性と説明責任を果たしてくれ」みたいなことを言っていますよね。データブローカーの方は、「いちおう俺たちも頑張ってるよ」みたいな。「アクセスするなら権利かどうかわかんないけど本人からアクセスしてくれればちゃんと応えるから」と。で、オプトアウトの機会も提供しているから適法な事業だよねというようなことを主張しているところもありますよね。たぶんこれを本当にしっかりやっているのであれば、ホワイト名簿屋だと。それ以外は闇名簿屋と。このあたりの相場観で社会的に了解がとれてくると法規制もだいぶやりやすくなっていくのかなと。

山本 はい。

鈴木 でも相手が微妙な連中だと消費者も怖いからアクセスなんてできないですよね。アクセスすることで、アクティブ情報だとみすみす教えちゃうだけのことになる。やっぱりそこは、何らかのかたちで白い名簿屋は見た目も白く見えてないと、だれも怖くてアクセスすらできない。

山本 そうです。

鈴木 そこはまたマーク付与制度になるのかわかりませんが(笑)。で、アクセスして自分の名前があるかどうかを確認する。あった、と。じゃあDMやめてくれと申し出る。名簿屋はそれを消去するか停止すると。

山本 ええ。

鈴木 まあ、そういう仕組みを組み上げられるかどうか。ホワイト名簿屋ができるかどうか。

山本 難しいですねえ…

次のページ
「トレーサビリティの確保」はこんなに難しい

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
プライバシーフリークカフェ連載記事一覧

もっと読む

この記事の著者

プライバシーフリークの会(プライバシーフリークノカイ)

山本一郎
イレギュラーズアンドパートナーズ株式会社 代表取締役 高木浩光
独立行政法人産業技術総合研究所 主任研究員 鈴木正朝
新潟大学 法学部 教授

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6239 2015/02/17 14:54

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング