2015/05/13

PTAに渡すぐらいいいじゃない

学校から個人情報を「PTAに渡すぐらいいいじゃない」と、お考えの方も多いと思いますが、個人情報保護で注目する点は「漏洩」そのものだけでなく「名寄せ」というところが非常に重要です。

「名寄せ」とは、複数の情報をつきあわせることによって情報の精度や関連を高めるという手法です。
一つ一つの個人情報の範囲は狭くても、他の個人情報との名寄せを行えば、簡単にベネッセ事件で漏洩した程度の「売れる情報」を作ることができます。

いま行われている個人情報保護法の改正では主に「企業に対して」どこまでがグレーでどこからが黒なのかということについてや、どういった利用が可能か、ということをより明らかにしていこうという流れですが、これはあくまで、企業が保有する個人情報や、企業がグループ会社等に提供する個人情報、の範囲というところにフォーカスがあります。
またどこから情報を入手するのかについては、いわゆる「名簿屋」について話されますが、これは主に「不正競争防止法」がベースとなる観点からのものです。

一方学校からPTAに漏洩した個人情報については、この議論に登場することはありません。
PTAには個人情報保護の義務や法令はありませんから、PTA会員情報を内部の者が名簿屋に売ろうが何しようが法的な問題はありません。(倫理的な話ではありません。念のため)
名簿屋が個人情報を買い取る場合も、企業から漏れた場合とは異なり、PTA内部から「合法的に」個人情報を入手することが可能なのです。(ちなみに、これまででも卒業アルバムの売買は禁止されていません)
さらに、役員を免除してもらうために無理に話さなければならなかった理由、たとえば持病のことや家族に介護が必要な人がいること、その他プライベートな事情、があればあるほど非常に「価値の高い」個人情報となるわけです。

このことから、実際の名寄せでは、学校からPTAに漏洩した個人情報を名簿屋経由などで「合法的に」入手すれば、企業の持つ個人情報と学校から漏洩した個人情報の名寄せが「問題なく」可能です。

ベネッセ社からの漏洩は社会問題となりましたが、いま学校現場で無邪気に行われている個人情報漏洩は、実は現実社会的にはそのくらいインパクトのあることなのです。


「PTAから名簿を売る人が悪い」や「そんなひとはいない」と言うことは簡単ですが、ベネッセ事件においても1人を除いた従業員や契約先のひとたちは当然そのような行為はしていないわけですが、逆に1人でも実際にそれをする人がいるということの証でもあるわけです。

つまり、これを解決するためには、個人の資質や行為の問題にしてはいけなくて、まず仕組みの問題として取り組む必要があるのです。



※一般にセキュリティホールについての情報は、逆に攻撃手法を公開するのと同じ意味を持ちます。本エントリにおいても相当と言える記述がありますが、早くセキュリティーホールを塞ぐため必要な情報であるとご理解ください。


名寄せについての話は、次のWebページが参考になりますので紹介いたします。

漏洩が問題なのではない、名寄せが問題なのである―第3回プライバシーフリーク・カフェ(前編)

http://enterprisezine.jp/iti/detail/6239


少々背景の知識が必要ですが、これについては書籍も発行されています。




ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

0 件のコメント: