プライバシー OECDの勧告6


簡単にここまでをまとめると、50年以降各国でプライバシー権(個人の権利)に対する議論が深まってきた中で、デジタル情報としての個人情報がHDやFDに保存されるようになり、さらには国境をこえてネットワーク上に流通するようになりました。特に欧州の状況を石井先生は以下のように書いています。

特にヨーロッパの法律には、個人データの国外処理を制限する条項を設けているものが多く存在した。そのような制限事項は、自国民のプライバシー保護には役立つが、諸国間の情報の自由な流れを妨げるという効果を持っていた。

このことは全地球的規模の通信ネットワークを保持し、ヨーロッパの市場を圧巻してきたアメリカにとって、経済的に大きな脅威となった。その結果、アメリカとヨーロッパで、利害が対立するようになった。


1980年、OECD経済協力開発機構)が「プライバシ保護と個人データの流通についてのガイドラインOECDプライバシーガイドライン)」が採択されました。その中には8つの原則が示されていて、その後の各国の「個人情報保護法」に影響を与えていくことになります。以下が8原則となります。


以下は石井先生の「個人情報保護法の理念と現代的課題」より引用させていただきます。

1.収集制限の原則

 個人データの収集には制限を設けるべきであり、いかなる個人データも適法かつ公正な手段によって、かつ適当な場合には、データ主体に知らしめ又は同意を得たうえで、収集されるべきである。

2.データ内容の原則

 個人データは、その利用目的に沿ったものであるべきであり、かつ利用目的に必要な範囲内で正確、完全であり最新なものに保たれなければならない。


3.目的明確化の原則

 個人データの収集目的は、収集時よりも遅くない時点において明確化されなければならず、その後のデータの利用は、当該収集目的の達成、または、当該州目的に矛盾せず、かつ、目的の変更毎に明確化された他の目的の達成に限定されるべきである。


4.利用制限の原則

 個人データは、「目的明確化の原則」により明確化された目的以外のために、提供、利用、その他の使用に供されるべきではないが、次の場合はこの限りではない。

A)データ主体の同意がある場合
B)法律の規定による場合


5.安全保護の原則

 個人データは、その紛失または無制限のアクセス・破壊・使用・修正・提供等の危険に対し、適切な安全保護措置により保護されなければならない。


6.公開の原則

 個人データに係わる発展、運用及び政策については、一般的な公開の政策が取られなければならない。個人データの存在、性質、及びその主要な利用目的とともにデータ管理者の識別、通常の住所をはっきりさせるための手段が容易に利用できなければならない。


7.個人参加の原則

 個人は次の権利を有する
A)データ管理者が自己に関するデータを有しているか否かについて、データ管理者またはその他の者から確認を得ること。
B)自己に関するデータを「適切な期間内に」、「もし必要なら角にならない費用で」、「適切な方法で」、かつ「自己に分かりやすい形で」、自己にしらしめられること。
C)上記A)項及びB)項に基づく要求が拒否された場合には、その理由が与えられること、及び、そのような拒否に対して異議を申し立てることができること、かつ、
D)自己に関するdケー田に対して異議を申し立てること、及び、その意義が認められた場合には、そのデータを消去、修正、完全化、補正させること。

8.責任の原則

 データ管理者は、上記の諸原則を実施するための措置に従う責任を有する。


情報システム上で、「プライバシー情報」はこのように管理され、流通されるべきである、というこの勧告は、確認しても違和感がないどころか、大変によく練られている内容と感じます。さらにOECDは加盟国に対して以下の要請を行いました。

1.ガイドラインにおいて示された原則を、濃くないようにおいて考慮すること
2.プライバシー保護の名目で個人データの国際的流通を不当に阻害しないこと
3.ガイドラインの履行について橋梁すること


引き続き具体的に確認していきたいと思うんですが、プライバシー保護のソリューションということで、21世紀に入る手前あたりから、データマイニングのグループが活動を活発にしていて、「プライバシー保護データマイニングというテーマを扱っています。

現在大手のベンダーでも個人情報の扱いに関して、データベース上でこのように扱います、というテーブル設計のガイドラインを自社で持っているところもあります。さらにはそのデータをどう自動処理するのかという、アルゴリズムに関しても議論は既に10年以上続けられ成果としてまとめられはじめています。

情報システムにおける「プライバシー保護」のほとんどの部分は、その基盤技術となるのが「情報セキュリティ技術」です。ゆくゆくの監査は、テーブル構造を含むデータの持ちかた、と、自動処理をどう実装しているのか、というアルゴリズムに踏み込んでいく必要があるのだろうな、と今は漠然と思っています。


※参考==============================
個人情報保護法の理念と現代的課題―プライバシー権の歴史と国際的視点 石井 夏生利 (著) 勁草書房 (2008/5/26)

プライバシー保護データマイニング J. ヴァイダヤ (著), Y.M. ズー (著), C.W. クリフトン (著), シュプリンガージャパン (2010/12)