遅ればせながら、新年あけましておめでとうございます。
少しずつですがこちらのページも更新していきたいと思っています。
本年もよろしくお願いします。

年初草々ですが、個人情報漏えい事件のニュースが相次いて報道されています。

1月5日　ScanNetSecurity　記事
業務連絡FAXの誤送信で個人情報が流出（WOWOW）

1月5日　ScanNetSecurity　記事
IPA職員の個人用PCがウイルス感染、PC内の情報が流出（IPA）

1月6日　ScanNetSecurity　記事
元社員、285件の顧客情報を持ち出し不正利用（旭化成ホームズ）

とりわけ、IPAの漏えい事件はファイル共有ソフトの利用によるものであり、

IPAは過去に、「コンピュータウイルス・不正アクセスの届出状況[11月分]について」（2007.12）の中で

（前略）ファイル共有ソフトによる情報漏えいは、思いがけないことで起きることが想定されますので、いくら注意をしてもファイル共有ソフトを利用し続ける限りは、情報漏えい事故はなくなりません。
このため IPA では従来から「ファイル共有ソフトを使用しないで下さい」と呼びかけておりますが、再度注意喚起をします。

と述べていました。

IPAの理事は会見の中で以下の発言をしています。

IPA職員の私物PCからの情報流出、事実関係を説明 NewsInsight　記事

「IPAではセキュリティ対策を推進しており、特にファイル交換ソフトの利用については、ウイルス感染によってPC内の情報がインターネットにさらされる危険性を訴えてきた。そして、その危険を避けるために一番いい方法はファイル交換ソフトを使わないことだと啓蒙してきた。こういう事態はIPAとして慚愧（ざんき）に堪えず、非常に遺憾だ」と述べた。

情報セキュリティについてこれまで広く啓発活動を行ってきた機関だけに
非常に残念な思いです。

プライバシーマークの取得者数は、公式HPのアナウンスによれば
2008年12月25日現在で9,894社となっています。

これまでの取得事業者の数からみれば、明らかにその伸びが鈍化しています。
今年度はこのままのペースでいくと、取得事業者数は1千社程度になるのではないでしょうか。
勢いのあった2005年度は2,395社、2006年度は3,798社が取得していました。
※プライバシーマーク公式HP　「プライバシーマーク付与認定事業者数が 8000 を超える」（PDF）より

一因として、勢いのあった2005年に個人情報保護法による特需が発生し、
2006年をピークに、現在はその動きが落ち着いたとも考えられます。
また、更新取得をしない事業者も増えているようで、
中止事業者は累計772社（2008年12月25日現在）にのぼります。

ただ、事業者の個人情報保護や情報セキュリティなどへの関心が
必ずしも薄れてしまったという訳ではないと思います。
情報の安全管理という側面で考えると、
昨年、マネジメントシステムとは違った形で動きがありました。
民間主導のアプローチでは、情報セキュリティ格付けの稼働やPCIDSSの普及しだし、
行政側では、割賦販売法の改正により、クレジットカード情報を取り扱う者は、
一定のセキュリティ基準をクリアすることが求められることでしょう。

2009年は、マネジメントシステムだけではカバーしきれない領域を手当するソリューション、
具体的な安全管理の基準値をもつ認証などが、これまで以上に普及するかもしれませんね。

これまで2回（11/21,12/15）ほど、子供の個人情報とプライバシー情報に関する話題を紹介しました。

今回はこの分野での国内の状況を、国民生活センターの報告や省庁・業界ガイドラインなどで
どのように取り扱っているかについて触れてたいと思います。

11/21でも触れた、国民生活センターの「子どもの個人情報に係る消費者トラブルの現状と対応」（2005.3）では以下のデータが示され、
年々、子供の個人情報に関する相談の割合が増えているという結果が報告されています。

*（注）国民生活センターのPIO-NETによる（2005年2月10日までの登録分）

残念ながらデータが少し古く、ここ数年の経過はは不明ですが、
この傾向が現在も続くのか、また2005年の個人情報保護法施行後に、
影響があったのかについては興味があります。

同報告書には、子供をターゲットとした個人情報への懸念として以下のような記述があります。

子どもの個人情報に係る相談にみられる典型的なケースは、子どもの名前や携帯電話番号を知る業者から有料情報サービスの高額な料金請求を受ける（子ども個人を特定した不当・架空の請求）、子どもの名前で自宅に勧誘のダイレクトメールや注文した覚えのない商品が送りつけられる（子ども個人を特定した郵便物や配達物）、子どもから個人情報を聞き出そうとする不審な電話や電子メールなどを受け取る（子どもの個人情報を狙う電話やメール）などである。

また、続けて省庁・業界ガイドラインにも触れて、

個人情報に係る消費者トラブルが急増しているなか、個人情報保護法が、2005年4月から全面施行される。同法では特別の対象として子どもを規定していないが、同法を受けて作成・改訂された各省庁や事業者団体等の各分野ごとの個人情報保護ガイドライン等には、特に子どもの個人情報の取扱を規定・解説した部分もみられる。なかでも事業者団体等が自主的に作成した個人情報保護ガイドラインには、子どもの個人情報に対する特別な配慮を規定している場合がある。

と述べています。

以下に一部の省庁・業界団体ガイドラインなどの該当箇所をPickUpしてみます。

【1】ECOM（電子商取引推進協議会）
「民間部門における電子商取引に係る個人情報保護に関するガイドライン（Ver.6.0）」

第14 条（子どもから個人情報を取得する場合の措置）
事業者は、子どもから個人情報を取得する場合には、子どもが理解できる平易な表現で利用目的を明示するものとする。また、事業者は、子どもに個人情報の入力を求める場合は、保護者の了解を得るようにその子どもを促すものとする。
（解説） <中略>
3. ここで「子ども」とは、必ずしも全ての未成年者をいうものではなく、取り扱う商品やサービスにより、対象となる年齢層が定まることを想定した用語である。「ＪＩＳ Q15001」では一般に１２歳から１５歳までの年齢以下を対象としている。事業者は、それらを参考にし、かつ個人情報を取り扱う業務の内容を考慮し、対象となる「子ども」の年齢を定め、適正な取得方法に配慮するものとする。また、子どもから取得状況から考えて関係のない両親、家族、友人等に関する個人情報を不当に取得してはならない。

【2】社団法人全国学習塾協会
「個人情報保護に関する学習塾におけるガイドライン」（PDF）

（定義）第4条
(３)本人：個人情報によって識別される特定の個人をいう。情報主体でもある。なお、本人が未成年者（児童・生徒等）又は成年被後見人である場合にはその法定代理人・保護者等も「本人」に含まれるものとする。

(４)生徒及び保護者の同意：情報主体（本人）である生徒及び／又は保護者、従業者（以下、生徒、保護者、従業者等の全ての情報主体を「本人」という）が、取得、利用又は提供に関する情報を与えられた上で、本人に関する情報の取扱いを承諾する意思表示を行うことをいう。

【3】社団法人情報サービス産業協会
「情報サービス産業　個人情報保護ガイドライン」(第４版)（PDF）

（定義）第4条
(2)本人の同意　本人が、個人情報の取扱いに関する情報を与えられた上で、自己に関する個人情報の取扱いについて承諾する意思表示をいう。ただし、本人が子ども又は事理を弁識する能力を欠く者の場合は、法定代理人などの同意を得なければならない。

【4】経済産業省
「電子商取引及び情報財取引等に関する準則」（H20.8）（PDF）

Ⅰ-3-4 インターネットを通じた個人情報の取得
1．考え方
また、子どもを対象としているウェブサイトで、子どもの判断能力・理解力が不十分であることを利用して、親権者の知らない間に子どもから個人情報を取得することも同法第１７条及びプライバシー侵害として民法上の不法行為等により違法とされる場合が考えられる。

（２）適用される法律
①個人情報を取得しようとしていることや取得の目的を偽って個人情報を取得すること
子どもを対象としたウェブサイトについては、「取得の事実や取得目的を偽っている」か否かを判断する上で、対象年齢の子どもの判断能力も勘案する必要がある。したがって、大人向けの通常のウェブサイトであれば問題がないと判断されるような行為でも、子ども向けのウェブサイトでは問題とされる可能性がある。例えば懸賞への応募など子どもにとって誘惑的な目的を大きく掲げる一方、個人情報取得の目的については大人向けに作成された個人情報の利用目的を形式的に表示するだけであれば、子どもは個人情報の利用目的を理解しないまま個人情報を入力する可能性が高い。このように子どもの判断能力の不足を利用した方法で個人情報を取得することは、「偽り」による個人情報の取得に該当する可能性がある。特に、ウェブサイトの利用と直接関係しない個人情報（例えば両親の職業や収入状況、家族の趣味など）を子どもから取得することは、ウェブサイトを通じて子どもから取得する合理的な必要性のない情報をわざわざ親権者ではなく子どもから取得すること自体の妥当性に加えて、子どもにとって個人情報取得の意図や意味を理解することが難しいという面でも、取得方法の適法性が問題となる場合が多いと考えられる。

【5】経済産業省
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（H20.2）（PDF）

2-1-10.「本人の同意」

なお、個人情報の取扱いに関して同意したことによって生ずる結果について、子どもが判断能力を有していないなどの場合は、法定代理人等から同意を得る必要がある。

2-2-2.個人情報の取得関係（法第１７条～第１８条関連）

【不正の手段により個人情報を取得している事例】
事例１）親の同意がなく、十分な判断能力を有していない子どもから、取得状況から考えて関係のない親の収入事情などの家族の個人情報を取得する場合

COPPAでは対象年齢は13歳未満と定められており、
JISQ15001では、12-15歳以下となっています。

サービスの種類にもよりますが、このあたりの年齢がひとつの目安にはなりそうです。

情報の不正取得は何故に起こるのか。
それはつまり、お金になるからに他ならないからだと思います。

アンダーグラウンドな世界では、
不正取得した情報は常時売買されていると聞きます。
情報の値段はこれまでも、いくつかのセキュリティベンダなどにより調査されてきました。

■Security NEXT （2008/12/19記事）

G DATA Softwareは、2008年におけるインターネット上の脅威について統括し、今後の予測などを発表した。2009年もウイルスが増加すると予測しており、個人情報の窃盗も増加。低価格化が進む不正取引は、ますます活発になるという。

（中略）

マルウェアなどを通じて入手した情報はブラックマーケットで流通しているが、低価格化がいっそう進んだ。同社によれば、銀行アクセスデータであれば日本円に換算して約800円弱から5万円前後。偽造防止コードに関する情報を含むクレジットカード情報も100件あたり約5000円から1万円程度だという。

さらに通常のクレジットカード情報であれば、1000件でわずか4万円から8万円弱、メールアドレスに至っては、1Mバイト数十円から提供されている。同社ではこうしたデータ窃盗は過熱し、今後も市場が成長していくと予測している。

■シマンテック社 News Release (2008/11/24 米国本社発表資料抄訳）

アンダーグラウンドエコノミーで最も広告の多い商品はクレジットカード情報で全体の 31%を占めています。クレジットカード番号の売値はカード 1 枚につき 0.1 ドルから 25 ドルまででしたが、シマンテックが観察した盗難クレジットカードの利用限度額は平均で 4,000 ドルを超えていました。シマンテックの計算では、本レポート期間中に宣伝された全クレジットカード情報の潜在的な価値は 53 億ドルに上ります。

（中略）

広告数の多い商品第 2 位は銀行口座で、全体の 20% でした。盗まれた銀行口座情報の売値は 10 ドルから 1,000 ドルでしたが、その平均残高は 4万ドル近い数字です。この平均残高と盗まれて売りに出ている銀行口座番号の平均価格から計算すると、本レポート期間中に宣伝された銀行口座の潜在的な価値は 17 億ドルになります。銀行口座情報の人気が高い理由はおそらく、大金を入手できる可能性と、換金までのスピードにあります。あるケースでは、銀行口座情報を使い、インターネット上の追跡不能な場所にキャッシュアウト ( 換金 ) されるまで 15 分かかりませんでした。

傾向として、1件当たりの情報価値は低下にある模様ですね。
供給過多が背景にがあるとも聞きますが…。

銀行口座情報からわずか15分以内に換金されてしまうのには驚きです。

皆さんの関係する組織は、プライバシーポリシーを公表しているでしょうか。
それは、はたして分かりやすいものでしょうか。

国民生活センターの公表する
「個人情報の保護に関する事業者の取組実態調査」（PDF）（2007.4）※によれば、
半数以上の事業者が「（プライバシーポリシー等を）策定しており、公表もしている」という結果が出ています。
※業種や事業規模（従業員数）などにも配慮し、特定の業種や事業規模の事業者に
偏らないように配慮して抽出した20,000事業者（有効回答数4,060件、回収率20.3%）を対象としている。

しかし、実際にその内容は読まれているのでしょうか。

同調査の別のデータでは、「プライバシーポリシー等の策定・公表に際して必要な支援」という質問に対して、
「効果的な公表の方法、社内における周知徹底の事例等の情報提供」
という回答が2番目に多い結果となっています。

以前に、経済産業省で開かれるパーソナル情報研究会のことに触れましたが、
この研究会の議事録に以下のような件（くだり）がありました。

ホームページ上のプライバシーポリシーについては、一個の企業が掲げているものではあるが、個別ではないと感じている。「個別」というのは、企業の中に複数の事業部があり、その事業部によって共同利用先などが異なってくるような場合を想定している。プライバシーポリシーで共同利用を掲げている場合、個別具体的に「この事業で共同利用する個人情報については」という書き方をしないと、個人情報の提供側としてはわかりにくいのではないかと感じる。
全社としては、企業で一つのプライバシーポリシーを掲げていることになるが、事業部ごとにホームページを持っているような場合で、あるサービスや商品購入の際に提供される個人情報がそれぞれどう取り扱われるのか、ということについて、個別に消費者が判断できるような形の掲示が必要であるのではないか。

これは、共同利用に限ったことではなく、多くの部門を抱える企業や、
事業ごとに利用目的や管理方法が異なっている場合などは、
1つのプライバシーポリシーで包括的に全ての情報を盛り込むと相当なボリュームになってしまい
結果的に読み手にとって分かりづらいものになってしまうのではないでしょうか。

こういった、懸念を払拭するひとつの方法として、
Multi-layered privacy noticeというアプローチがあります。
privacy noticeはプライバシーポリシーと同義に考えてもよいと思います。

部門や目的ごとにポリシーをグループ分けし、ディレクトリ化（階層化）した後、
各グループのインデックスとなるページを設けて、情報にアクセスしやすくするというものです。
詳しい内容は、以下URLをご覧下さい。

The Center for Information Policy Leadership（CIPL）-Multilayered Notices
「Ten steps to develop a multilayered privacy notice」（PDF）（英文）

ワールドワイドに活動する事業者などは、
既に国や地域ごとにMulti-layered方式を採用しているところも見受けられます。
国ごとに遵守する法律が違えば、共通する部分とローカライズすべき部分を分ける必要もでてくるでしょう。

■Multi-layered方式を採用するグローバル企業のポリシーの事例

• P&G社
• Microsoft社

また、携帯電話用のウェブサイトでは、1ページあたりの情報量の制限や
アクセシビリティの関係でこの方式をよく見かけるのはないでしょうか。

プライバシーポリシー等を公表していても、読まれないのでは意味がありません。
今後は、読み手にっとって分かりやすい表現も必要なのではと思います。

情報処理推進機構（IPA）が、
「漏れたら大変！個人情報」 ～個人情報漏えいを防ぐために、チェックしましょう～
と題したウェブページを公開しました。

個人情報漏えいに関する注意喚起や啓発をテーマとしており、
読者の立場に応じて、以下の4つの切り口で注意すべきチェックポイントをまとめています。

• 経営者
• ユーザ
• ECサイト運営者
• システム管理者

流出事故が多いP2Pの使用やPhishingなどについても触れており、
初心者にも分かりやすいように、簡潔にまとめられていると思います。
関連リンク集も充実しており、必要な情報にもアクセスしやすいでしょう。

慌ただしい、年末だからこそ
もう一度身の回りのチェックをしてみてはいかがでしょう。

(財)日本データ通信協会　迷惑メール相談センターのウェブサイトに
迷惑メール法に関するページが更新されました。

ここには、改正特電法に関する簡単な背景や法令等のリンクが載っていますが、
注目すべきは、
「特定電子メールの送信の適正化等に関する法律のポイント広告宣伝メールに係るオプトイン方式の規制等について」（PDF）

と題するパンフレットがアップされたことです。

内容は改正特電法のポイントを絞って、分かりやすく解説したものですが、
随所に特商法についても解説があり、特電法と特商法の違いが分かりづらいという方には、
参考になる資料かと思います。

以下に、パンフレット内の「特定電子メール法と特定商取引法の主な違い」という表を載せておきます。
※詳細はパンフレットをご覧下さい。

特定電子メール法と特定商取引法の主な違い

※1 プログラムにより自動的に作成された電子メールアドレスであって、利用者がいないもの
※2 送信に用いた電子メールアドレス、IPアドレス、ドメイン名

また先日、(財)インターネット協会が開催した「第６回 迷惑メール対策カンファレンス」において
会場から出された質問を中心に、比較的よく聞かれる内容を加えて整理した
「改正迷惑メール対策法に関するＱ＆Ａ」がアップされています。

■ 免責事項

本コーナーで書かれたものは、これまでに行われた質疑応答の内容をできるだけ分かりやすくなるように一般化してまとめたものですが、間違いを含まないという保証はありません。したがいまして、あくまで参考的なものとしてお読みください。本サイトの関係者および質疑応答の内容を提供していただいた関係者は、あなたに対して一切の責任を負いません。あなたがここに書かれた内容を利用する場合には、自己責任として行う必要があります。

とあるものの、内容は非常に具体的かつ現実的な問題に触れており、
大変参考になる資料ではないかと思います。

曖昧で解釈に迷っていた部分も、徐々に情報出そろってきたことで明らかになってきていると思います。
当協会も、近日中に特電法や特商法などについてまとめた資料の公表を検討しています。

12月11日、米連邦取引委員会（FTC）は、
米SONY BMG MUSIC ENTERTAINMENT社をCOPPA（Children’s Online Privacy Protection Act）
違反により提訴した模様です。

■ ITmedia
「SONY BMG、児童のプライバシー保護法違反で100万ドル支払い」

米連邦取引委員会（FTC）は12月11日、米SONY BMG MUSIC ENTERTAINMENTを児童オンラインプライバシー保護法（COPPA）違反で訴えていた件で、同社が100万ドルを支払うことに合意したと発表した。

FTCによれば、SONY BMGは1000以上の音楽関連サイトを運営しており、これらサイトの利用には、生年月日を含む個人情報の提供が求められている。同社はこのうち196のサイトで、少なくとも3万人の13歳以下の児童の個人情報を、親の合意なく収集しており、FTCはこれがCOPPAに違反するとして10日に同社を提訴した。

■ FTCのリリース（英文）
「Sony BMG Music Settles Charges Its Music Fan Websites Violated the Children’s Online Privacy Protection Act」

今回の事件だけではなく、FTCはCOPPA違反として過去に以下のような行政処分を下しています。

• 2006年　9月　Xanga.com社　　　　　　　　100万＄　※2006年当時の日本語記事（CNET Japan）
• 2004年　2月　UMG Recordings社　　　　40万＄
• 2004年　2月　Bonzi Software社　　　 　　7.5万＄
• 2003年　2月　Mrs. Fields Cookies社　　10万＄
• 2003年　2月　Hershey Foods社　　　 　　8.5万＄

SONY BMG社への100万＄は、過去に比較しても最大クラスの支払い命令のようですね。

COPPAについては、以前にもこここで触れましたが、
子供の個人情報に対する懸念とその対策は日米の温度差を感じます。
それにしてもFTCの罰則は強烈ですが…。

日本では、青少年に対するコンテンツに関しては法や自主規制の動きがありますが、
個人情報、プライバシー分野への大きな取り組みは聞かれません。
青少年（含む子供）への携帯電話の普及率を考えると、この分野の対策がもっと進んでもよいと思うのですが。

特に携帯電話は契約者固有IDの通知問題もありますし、今後、大きな動きがあるかもしれません。

前回の続きで
「個人と連結可能な情報の保護と利用のために」から考えたいと思います。

前回も少し触れましたが
本レポートでは、「共同利用」についてかなり掘り下げられていることが印象的です。

個人情報保護法上では、
他者に個人情報を移動させる場合「委託」「第三者提供」「共同利用」の3つに分けられますが、
「委託」「第三者提供」に比べて「共同利用」は分かりづらいという意見をよく耳にします。

本レポートでは、

「共同利用」は、個人情報の有用性に対する配慮から設けられた制度であるものの、法及びガイドライン等では事業者が共同利用を行う際の最小限のルールしか示していないことから、「共同利用」による個人情報の利用に慎重な事業者が多いとの指摘がある

と述べられています。

その背景として、

このように、「共同利用」制度の利用があまり進んでいない背景として、事業者によっては必ずしもそれほど広範な個人情報の利用を必要としていないという事情のほか、以下のような要因も指摘されている。

• 消費者の間に個人情報保護に対するいわゆる「過剰反応」や誤解が見受けられる状況では、「共同利用」による幅広い個人情報の利用は理解を得づらい。
• 共同利用制度について消費者の認知度が十分ではない。
• 「共同して利用される個人データの項目」「共同して利用する者の範囲」をいちど通知又は公表すると容易に変更することができないため（法第２３条第４項及び第５項参照）、制度を利用しにくい。

といった分析がされています。

法が解釈しづらいのであれば、具体的な事例を確認するのですが、
「個人情報の保護に関する法律についての経済産業分野を対象としたガイドライン」の中でも、
「共同利用」についての事例は以下の3つが挙げられているだけです。

【共同利用を行うことがある事例】

事例１）グループ企業で総合的なサービスを提供するために利用目的の範囲内で情報を共同利用する場合
事例２）親子兄弟会社の間で利用目的の範囲内で個人データを共同利用する場合
事例３）外国の会社と利用目的の範囲内で個人データを共同利用する場合

今後は、この問題を解決すべくガイドラインやQ＆Aの明確化、モデルケースの紹介・普及、消費者への啓発などにより是正されていくそうです。

去る11月に、経済産業省で開かれるパーソナル情報研究会から
「個人と連結可能な情報の保護と利用のために」と題されたレポートが公表されました。

パーソナル情報とは以下のように定義されており、

単独で個人情報に該当するか否かにかかわらず個人と連結可能な情報

検討の背景としては、

インターネット技術の発展により、ユーザーからの発信機会が増加するとともに、検索語など行動履歴を基にしたサービス提供が拡大している。今後消費者向けのビジネスは、一人一人の個性に応じたサービスを提供するパーソナライゼーションサービスを中心に大きく変貌していくものと考えられる。

（個性に応じたサービスの事例）

• 複数の方法により入手した消費者・利用者の情報（売買・検索の履歴等）を一体化・分析し、新たなサービスを提供しようとする動き
• ポイント・電子マネーの企業間連携に伴う個人の購買情報等の交換・流通
• 健康情報活用基盤（ＰＨＲ）の事業化、政府による社会保障カード事業や電子私書箱構想等の動きを踏まえた、民間事業者による個人情報の一括管理

一人一人のニーズを満たすサービスやマーケティングを可能にするためには、ユーザー自身のニーズを的確に捉える必要があることから、個人情報も含めた幅広い情報の有効利用が不可欠となる。その一方、個人と連結可能な情報がユーザーの意図しない形で利用されると、個人の権利利益を侵害する、社会的な地位や信頼を脅かすなどの行為が蔓延し、大きな社会不安に繋がる危険性がある。

となっています。

確かにインターネットを使った取引もごく普通になってきましたし、
事業者にとってはDBによる顧客管理が容易になったことから、マーケティングの精度は高まったと思われます。
行動履歴、購買履歴などを分析にすることにより、ユーザー個々の嗜好にあった広告やサービスを展開することは、ある意味で利便をもたらしています。
ネット広告企業にとってみれば、まさにここが生命線ともいえるでしょうし、
事業者は商品開発や在庫管理などに役立てていることでしょう。

一方でこういった行動履歴などの情報は、単独では特定の個人を識別できませんが、
氏名等のその他情報と関連付けた場合は、大きくプライバシーの領域にも踏み込んだ情報ともなり得ます。

情報精度の向上による利便性と、プライバシー問題や情報管理のあり方は今後も議論される点だと思います。

本レポートでは上記内容と既存の個人情報の問題点をふまえて、
個人情報保護制度の観点から3つの区分けをしています。

• 個人情報保護制度の枠内の問題
• 個人情報保護制度の境界線上の問題
• 個人情報保護制度の枠外の問題

個人情報保護制度の枠内の問題として
かねてより、つかいづらいとされてきた「共同利用」についても、かなり踏み込んだ報告がされています。
※この点は次回で触れたいと思います。

来春には、本レポートを踏まえて
「個人情報の保護に関する法律についての経済産業分野を対象としたガイドライン」
が改定されるということなので、どのような形で内容が反映されるかその動向を注視したいと思います。

2005年4月に個人情報保護法が全面施行されてから、3年以上が経過しました。

2008年は施行後3年目にあたるということで、法改正を検討することも考慮されましたが、
今回は見送られた経緯があります。

この3年間に、「情報漏洩」や「過剰反応」などの問題はありましたが、
社会の個人情報に対する意識は随分と高まったと思われます。
当協会がテーマの1つにしているインターネット上の個人情報についてはどうでしょうか。

国民生活センターの「「個人情報相談」３年の概要」（2008.7）に以下のデータがあります。

*その他の事業分野は、不動産業、飲食業、運輸業、教育・学習支援業等で、「医療・福祉」、「金融・信用」、「情報通信」のいずれにも該当しない事業分野。

全体の相談件数は、緩やかな減少傾向にあるものの、情報通信分野に関しては大幅に増加する傾向にあります。
国民生活センターの報告にも次のようにあります。

事業分野別の相談件数をみてみると、電話会社、携帯電話会社、インターネットプロバイダ等の「情報通信分野」に関する相談件数は2005 年度1,975 件から2007年度3,311 件と増加している（なお、2006 年度は1,886 件と若干減少している）。相談総件数が減少しているなかで、「情報通信分野」に関する相談が増加していることは、注目に値しよう。相談が増加している原因のひとつは、「自分の個人情報がネットの掲示板に無断で掲載されている」、「プロバイダが有している個人情報を開示させたい」等の、インターネットに関連する個人情報の相談の増加がある。

また、同じく国民生活センターの
個人情報に関する消費者の意識 ‐個人情報保護法説明会参加者へのアンケート調査結果報告書‐（2008.3）にも以下のようなデータがあります。

ここでは、「インターネットで自分の個人情報を直接発信しないなど、事業者への情報 提供は必要最小限に留める」という回答が最も多い結果となっています。

両報告書の結果により、
一般からはインターネットを介した個人情報の取扱いについて懸念が高まる傾向にあると言えそうです。

当協会は、今後もユーザーが安心してウェブサイトで個人情報等を利用できる環境を構築するために
活動していきたいと思っています。

去る、2008年11月27日、「迷惑メール対策推進協議会」が発足しました。

事務局は(財)日本データ通信協会の迷惑メール相談センター におかれ、
総務省、経済産業省、警察庁の関係省庁をはじめ、識者、業界団体、関係事業者などが参加する模様です。
メール送信代行ASP、ISP、セキュリティベンダーなど主要なプレーヤーがそろい、
かつ省庁が枠組みを超えて協力・解決を目指すのは非常に良いことだと思います。

とりわけ、

行政機関等　- 法の迅速かつ適正な執行

という取り組みには興味があります。

これまで、違法メールの送信に関して行政処分を下された事業者数は
総務省が、6件
経済産業省では、4件

と実際の違法メールを送信する事業者の割合から考えてもごく僅かと思われます。

改正法が実効性を持ち、違法事業者の行動を抑止するためには
これまで以上に行政処分の数を上げる方法がひとつの有効策だと思います。

消費者からの情報提供窓口である迷惑メール相談センターや日本産業協会がさらに有効活用され、
違法事業者の摘発につながると良いなと思います。

今後もこの動きを注視していきたいと思います。

今回は、ちょっと趣向を変えて疑似個人情報に関する話題です。

疑似個人情報なるものをサービスとして提供している企業があります。

提供元であるPeople to People Communications 社のHPによれば、
非営利目的での利用に限り、3,000件までは無料でダウンロードできるらしいです。

いったいその用途とは？

サイトの説明によれば

1. テスト用データとして使う
2. ダミーデータとして使う

らしいです。

1.に関しては分かる気がします。システム開発用の疑似データしての使用する可能性はあるでしょう。
2.はおとり捜査的な使われ方なのでしょうか？

2.の具体的説明の一部をみると、

もし、悪意のある内部者がデータベースにアクセスしたときに、データが暗号化された目的不明のテーブルと、”USER”のよう　なわかりやすい名前で、暗号化されていないデータが格納されているテーブルがあったとしたら・・・

疑似個人情報をダミーのテーブルとして設置するだけでも、気休め程度の効果があるのです。

とあります。

ここはアクセスログ等で、内部者の作業履歴を確認することで対策すればよいのではと思うのですが…。

この他にも、
「なんちゃって個人情報」というサイトもあり、同様のサービスを提供しています。
こちらは無料のようです。

試しに、テストデータを見てみると、なるほどリアリティがあります。
実際の名簿だと言って渡されても、すぐには気がつかないでしょう。

複数から同様のサービスが提供されていることは、ある一定のニーズがあるのだろうなと思います。
皆様はいかがですか。

今日はWeb Bugについての話題です。

Web Bug（ウェブバグ）とは、
Web Beacon(ウェブビーコン)とも呼ばれるウェブページのアクセス解析方法のひとつで、
通常はウェブページに画像として埋め込まれ、
その多くは1×1ピクセルで透明色に設定されていることから
ユーザーには一見してその存在が分からないようになっています。

ユーザーのクライアントマシンが、埋め込まれた画像をサーバー側にリクエストすることにより、
サイト運営者は、どのページが閲覧されているのか等を確認できます。
また、Cookieと組み合わせて使用することで取得できる情報はさらに拡大され、
個人情報と紐づけることも可能です。
HTML形式のメールで使用された場合には、開封状況を確認することもできます。

Web Bugの使用自体が悪い訳ではありませんが、
こういった行為を快く思わないユーザーもいることから
ウェブサイト運営者は適切な使用とプライバシーポリシー等での説明が必要でしょう。

米国では日本に比べてこういった懸念への意識が高いようで、
Web Bugとおぼしきものを視覚的に教えてくる無料ソフト「Bugnosis」があります。
公式サイトやソフト自体は英語しかサポートしていませんが、
操作はさほど難しくなく、直観的に理解できるのではと思います。
ちなみにIEにプライグインして使用します。

試しにいろんなサイトをのぞいてみると、
IT系のNEWSサイトにはほぼWeb Bugが使用されていたり、
複数のWeb Bugを使用しているサイトも珍しくないことがわかります。

なお、「Bugnosis」をご自身の端末にインストールする場合は、
公式サイト内の説明文よくご確認の上、ご自身の責任によりご利用下さい。

少し間が空きましたが、メールアドレスの利用目的について考えたいと思います。

「特定電子メールの送信等に関するガイドライン」（2008.11）（PDF）によれば、
適正な同意の取得（オプトイン）の説明として、

“通常の人間であれば広告・宣伝メールの送信が行われることが認識されるような形で説明等が行われていること”

“同意の範囲について求められているのは、特定電子メールの「送信をすること」であり、送信する電子メールの種類や内容まで特定して同意をとることまでは、法律上の義務としては求められていない。”

との記述があります。

上記によれば、ユーザーへの事前の説明文として、

・「当社からの広告メールマガジンを送信します」

といった文言を記述すれば良いと思われるのですが、
これはあくまで特電法の範囲に限ったことではないでしょうか。

11月19日のTopicでは、メールアドレスは個人情報となり得る可能性があることに触れました。

メールアドレスは、ユーザー名とドメインの組み合わせにより
氏名と所属・関係する組織が判別され、場合によっては特定の個人が識別される可能性があるということです。

■メールアドレスのユーザー名とドメインの区分け
xxxxxxxxxxx@compliance.or.jp
（ユーザー名）　　（ドメイン）

ただし、携帯電話のメールアドレスに限ってい言えば、キャリアが数社限られていることから、
ドメインにより所属・関係する組織を判断するのは不可能で、
個人を特定される可能性は、PC等に利用される一般のメールアドレスよりも低いと思われます。
※ユーザー名が任意であることから、絶対とは言えませんが。

仮に、メールアドレスのみを取得している場合でも、
メールアドレスが個人情報としてみなされる可能性があるのならば、
個人情報保護法18条で規定される利用目的を状況に応じて
「通知」、「公表」、「明示」のいずれか方法でユーザーに伝える必要があると思われます。
※特電法と合わせて考えると、「明示」がほとんどかと思いますが。

その際に、同15条にあるように
利用目的はできる限り特定することとされているので、

単に

・「当社からの広告メールマガジンを送信します」

といった説明だけでは不足である場合もあるのではないでしょうか。
つまり、種類や内容についてもある程度は説明する必要があるのではということです。

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」には、

【具体的に利用目的を特定している事例】
事例１ ）「○○事業における商品の発送、関連するアフターサービス、新商品・サー
ビスに関する情報のお知らせのために利用いたします。」

とあります。

このあたりのバランス感覚は難しいところで、

過去に、阿部内閣は前小泉内閣のメールマガジンに登録していたユーザーに対して
引き続きメールマガジンを発行したことがありました。

一部のユーザーからは
「小泉内閣のメルマガへ登録を同意したのだから、当時の登録リストを利用して、阿部内閣がメルマガを配信するのは目的外利用ではないのか」
との声が挙がったという話しを聞いたことがあります。

今となっては小泉内閣当時に、利用目的が何と書かれていたのかは分かりませんが、
クレームの内容から察するに「小泉内閣メルマガへの登録」といった表示がされていたのではないかと思います。

ちなみに現在の、麻生内閣のメルマガ登録画面には
「メールマガジンの読者登録を行います。」
とだけ表示されています。

事業者にとっては、一度利用目的を具体的に特定してしまうと
後々変更したときに、同意を取得する必要が出てくる可能性もあることから、
時間や費用の都合上、あまり絞り込んだ形にはしたくないというのが本音ではないでしょうか。

利用目的をわざと大枠で書くのもひとつのテクニックという声を
ある企業担当者から聞いたこともあります。

メールアドレスを単体で取得する場合でも、個人情報保護法を意識して
ある程度の範囲で利用目的を特定し、説明文に盛り込むという方法が事業者にとっては無難（?）なのでしょうか…。

本年6月に、　いわゆる「青少年ネット規制法」
（正式名称:「青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律」）
が成立しました。

現在も賛否両論あると聞きますし、記憶に新しい方も多いのではないかと思います。
これは青少年をネット上の有害なコンテンツから保護することを目的とした法律です。

この法律に限ったことではありませんが、青少年や未成年を対象とした規制というものは
精神的、肉体的に未発達な者が、正しい判断ができる年齢に達するまでは、
大人（社会）がこれを保護をするという目的が含まれるかと思います。

個人情報やプライバシーの世界では、この点はどうなるのでしょうか。

「個人情報の保護に関する法律施行令」8条1項には、開示等の求めをすることができる代理人として

未成年者又は成年被後見人の法定代理人

という規定がありますし、

国民生活センターのレポート「子どもの個人情報に係る消費者トラブルの現状と対応 」(2005年)では、

子どもの個人情報に係る消費者トラブルの急増は、情報通信ネットワークの急速な普及との関連が深く、ネットワークを通じて一方的に取得された個人情報が、年齢に関係なく無差別的に勧誘や不当な請求に利用されるケースが多い。また、知らない相手に個人情報を知らせてしまうことに対する子どもの無防備な態度が、個人情報に係るトラブルに子どもを巻き込んでいる面がある。

との報告が、

米国法である、COPPA（Children’s Online Privacy Protection Act）では、

商用サイトで13歳未満の子供から個人情報を収集する場合は、親の同意が必要である

とされています。

懸賞などを目的に、子供の射幸心をあおり情報を取得することや、
本人のみならず家族の情報までも聞き出すといった事例もあるようです。
特に、親の年収や個人の病歴などの機微な情報を取得されたら、たまったものではありません。

青少年・未成年向けのウェブサイトを運営する者は、個人情報やプライバシー情報の取扱いについて
対象年齢にあわせた表現を行うとともに、上記の懸念を念頭におくことが望ましいと思われます。

ウェブサイトで親から同意を得るというスキームは理想ですが、
実効性を考えると、現在普及している技術ではちょっと難しいかなと思います。
免責として、「親の同意を必ず得て下さい」と書くのは簡単なのですが…。

※2008/12/4追記
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
にも以下のような記述がありました。

2-1-10.「本人の同意」

なお、個人情報の取扱いに関して同意したことによって生ずる結果について、子どもが判断能力を有していないなどの場合は、法定代理人等から同意を得る必要がある。

2-2-2.個人情報の取得関係（法第１７条～第１８条関連）

【不正の手段により個人情報を取得している事例】
事例１）親の同意がなく、十分な判断能力を有していない子どもから、取得状況から考えて関係のない親の収入事情などの家族の個人情報を取得する場合

去る11月14日(金)に、総務省から本年の改正特電法に関する
省令とガイドラインが公布・公表されました。

「特定電子メールの送信の適正化等に関する法律施行規則の一部を改正する省令案新旧対照表」
「特定電子メールの送信等に関するガイドライン」

本年12月1日に改正法が施行されることを考えると、もう少し余裕が欲しいところですが、
改正法は本来、悪い事業者を取り締まることが目的なので、
少なくとも施行当初は、よほど悪質でない限り罰則を受ける可能性は低いと思われます。

ガイドラインは、概ね総務省の「迷惑メールへの対応の在り方に関する研究会」での
「最終とりまとめ」で言及されていた内容に近いのですが、細かな点で変更がある模様です。
この点については、後日ここで取り上げられたらと思います。

また、ガイドラインに関するパブコメの結果では、
事業者などから具体的な質問があげられていますが、2点ほど気になる点がありました。

【その1】　特商法との相違点に関する疑問

ほぼ同じタイミングで改正された特商法ですが、
事業者にとっては、両法の守備範囲や差異がわかりづらいようです。
混乱を避ける意味でも、法令やガイドラインの一本化を望む声もあがっていました。

特商法に関して、以下に参照URLを貼っておきます。

「特定商取引に関する法律及び割賦販売法の一部を改正する法律」
「特定商取引に関する法律施行規則の一部を改正する省令」
『電子メール広告をすることの承諾・請求の取得等に係る「容易に認識 できるよう表示していないこと」に係るガイドライン』
「改正特定商取引法における「電子メール広告規制（オプトイン規制）」のポイント」

【その2】　個人情報保護法との整合

改正特電法ではメール送信終了後も、
1か月はユーザーから取得したメールアドレスを記録として保存する事が定められています。
メールアドレスも場合によっては、個人情報に該当することから、個人情報保護法 27条にもとづき、
ユーザーから個人情報の「消去」を求められた場合は、
どちらの法令を優先するのか判断に迷うところです。

個人情報保護法 27条をみると事業者が応じる「利用停止等」とは
「利用の停止」又は「消去」を指しており、その条件は、以下の3つを満たしている場合です。

• メールアドレスが、保有個人データに該当する場合

• 個人情報取扱事業者である場合

• メールアドレスを個人情報保護法17条に定める「適正な取得」を行っていない場合

総務省によれば、ユーザーからの求めは個人情報保護法27条で定める「消去」ではなく
「利用の停止」による対応が考えられる旨を回答しています。

つまり、メールアドレスをDBなどから消去せずとも、サービス等に利用をしないこと
（メール送信の停止やサービスの停止など）で対応できると解することができます。

本来、事業者はユーザーから適正に取得したメールアドレスであれば、
「利用停止等」に応じる義務はありませんが、
実際は事業者の運用ルールとして、ユーザーの求めに応じる場合が多いのではと思います。
上記のとおり「利用の停止」により、改正特電法の「記録の保存」義務を守る方法が、
現実的ではないかと思われます。

長くなりましたが、今後も改正特電法やその他関連法はここで取り上げていきたいと思います。

本日から、「個人情報と迷惑メールに関するTopics」を開始します。

Weblog形式で、当協会の活動や昨今起こったNewsなどをご紹介できればと思っています。
不定期更新になると思いますが、よろしくお願いします。

第1回目として、当協会について簡単に自己紹介させて頂きます。
当協会は2007年に設立された団体で、まもなく1年半を迎えようとしています。

主なテーマとして、「インターネット上で取り扱う個人情報の保護」や
「迷惑メール対策」などについて取り上げています。
特にインターネット上で取り扱うプライバシー情報や
個人情報の分野（主にはウェブサイトに関係することですが）は、
一般に日本であまり関心が払われていないように思われます。

例えば、プライバシーポリシーは公表されていも、ウェブ独自の懸念である
CookieやWeb bugなどについて記述がないケースや
（※そもそも運営者が使用を自覚していないこともある。）

「個人情報保護法」の18条2項に規定される「利用目的の明示」が、
ウェブサイトで個人情報を取得する際に行われていないケースも散見されます。

事業者全体の体制整備やポリシーの取り決めについては対応策が用意されていても、
取り分け、この分野にフォーカスしてみると、情報も、指標となるものも少ないのではと思います。
さらに、ウェブを含むIT技術の進歩により、今後、予想だにしないプライバシー関連の懸念が
新たに発生する可能性は十分に考えられます。

また、「特電法」が3年ぶりに改正され、
広告・宣伝メールを送信する事業者はこれを遵守しなければならず、
社会的にも非常に関心の高いトピックスだと思います。

当協会はこれまでに、上記を議題にセミナーや勉強会の開催、アンケートの実施、
レポート作成などを通して、多くの事業者様と意見を交換してまいりました。
今後は、これまでの調査結果をもとに具体的なソリューションや
成果の公表ができればと思っております。

よろしくお願いします。