- PR -

個人情報保護法と、BBSやメーリングリストのログについて

投稿者投稿内容
Jitta
ぬし
会議室デビュー日: 2002/07/05
投稿数: 6267
お住まい・勤務地: 兵庫県・海手
投稿日時: 2005-05-07 05:56
 こんにちは、Jittaです。

 本当はブログにコメントするか、自分のブログからトラックバックをするべきなのですが、コメントと呼ぶには長くなりすぎたのと、自分のブログを持っていないので、ここを利用させてもらいます。

 たくさんのメーリングリストを提供してくださっているUSERS GROUPで、個人情報保護法を盾に、過去ログ掲載取りやめを訴えた人がいるようで、リスクを避けるため、過去ログの掲載が中止されました(参照記事、参照)。このことについて、ご意見をちょうだいしたいと思います。


 法律について調べてみました。と、いいたいところですが、ここを参照しました。
http://www.atmarkit.co.jp/fsecurity/rensai/privacy01/privacy01.html
http://www.atmarkit.co.jp/fsecurity/rensai/privacy02/privacy01.html

 ここからダウンロードできる「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」で、【個人情報に該当する事例】として挙げられている事例のうち、2と4にかかりそうですね。
事例2)連絡先(メールアドレス)(略)と本人の氏名を組み合わせた情報
事例4)特定の個人を識別できるメールアドレス情報(keizai_ichiro@meti.go.jp等(略))

 本人の氏名がメールに明記されていなければ、事例2の対象から外れます。会社などのアドレスを使用していなければ、事例4からも外れます。つまり、どこかのプロバイダを利用したメールアドレスや、ハンドル名のみでは、実在する個人とのつながりがないため、個人情報保護法で定める個人情報にはならない、ということです。これは@ITさんの場合、「会議室の書き込みの削除やメンバー“除名”について」で書かれている内容に通じるでしょう。
# こちらの最後の方、微妙な言い回しも要注意


 ところで、この法律は、『個人情報を取り扱う事業者の遵守すべき義務等を定める』ものですから、個人が事業として行っているのではない活動は、規制の対象外と見なせるでしょう。と、いいたいところだが、こう書いてあった。
引用:

ここでいう「事業の用に供している」の「事業」とは、一定の目的を持って反復継続して遂行される同種の行為であって、かつ一般社会通念上事業と認められるものをいい、営利事業のみを対象とするものではない。
法人格のない、権利能力のない社団(任意団体)又は個人であっても個人情報取扱事業者に該当し得る。


 ログの掲載には目的があるわけですから、目的があって、反復継続して遂行される行為ですので、該当しそうです。ただ、この行為が“事業”と同種、または社会通念上事業と認められるかというと、少し疑問です。
 さらに、『ただし、次に掲げる者を除く。』として、こうあります。
引用:

法第2条第3項第5号の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等で個人情報として氏名又は住所若しくは居所(地図上又は電子計算機の映像面上において住所又は居所の所在の場所を示す表示を含む。)若しくは電話番号のみが含まれる場合であって、これを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。)の合計が過去6月以内のいずれの日においても5000を超えない者とする。


 メーリングリストに参加する人数が5000人を超えていなければ該当しないと考えることができそうです。もちろん、すべての人が1度以上メールを送信したことがあり、かつメールのどこかに本名を記入している必要があります。そうでなければ、個人情報ではありませんから。


 しかし、メーリングリストに参加するために提供する情報は、メールアドレスのみですよね?ということは、USERS GROUPでは個人情報を収集していない、とも考えられるのではないでしょうか。
 反対に、メーリングリストに流れたメールを収集し、まとめた時点で本人に無断で個人情報を収集した、とも考えられます。この場合、メールのどこかに本人の氏名が明記されていることが前提です。
 もっとも、『メーリングリスト利用条件』に『過去ログの公開/メーリングリストに関しては原則過去ログを公開するようにしています。このため、投稿をする際の情報に関しては、表記に関してあらかじめ問題がないか確認をして送信をしてください。』と書いているのですから、公開することを目的としているといっているとも言えます。この文はホームページから2クリックで表示できます。

_________________
kalze
ぬし
会議室デビュー日: 2003/10/23
投稿数: 406
お住まい・勤務地: 東京・東京
投稿日時: 2005-05-07 09:19
こんにちは、kalzeといいます。
個人情報保護法については個人的に現在勉強中の身であり、興味深いのでレスさせていただこうとおもいました。

Jittaさんの書き込みを拝見しましたが、ちょっと論点がぼやけていてよくわかりませんでした。
読み手によっていかようにも取れすぎる感がしたもので。

USERS GROUPにおけるMLで過去ログの掲載が中止されたことを経緯を含めてどうおもうかということなのか、個人情報保護法についてなのか。
まぁ両方が絡み合っているのだとおもいますが、それゆえにちょっと論点がぼやけているというか広すぎるというか、そういう印象を抱いた次第であります。


とりあえず、MLのアーカイブについてのみレスさせていただくと。
本文中に個人を識別できるような記述があると話は変わってくるかもしれませんが、
アーカイブを公開する場合に、メールアドレス部分を削除した状態で表示すればよいのではないでしょうか?
もちろんメールアドレスを削除して公開するというシステムが必要になるというコストなどの問題はありますが、アーカイブを公開する趣旨からも必要性からもメールアドレスも公開する必要はないわけですし。

その上で、著作権の取り扱いについてML運用者にあるようにするか、アーカイブを含めたML上の利用方法にきちんと説明と同意があるようにすれば問題は起こらないようにおもいます。

UsersGroupで問題になっているメールに関しても、メールアドレスを公開するということに対して問題だと認識されている方が運営者に訴え出ているようなので。

現実的には署名がメールに含まれるとか問題は多々あるかとおもいますが、
メールアドレスまで公開する必要性があるのか?という点においては必要はないとおもう次第であります。


#個人情報、個人情報保護法に関連させても書こうとしたのですが、
#自分で書いたものが文章としてまとめきれてないとおもったので、
#まとまったときに議論が続いていたら書き込ませていただこうとおもいます

_________________
Beatle
ぬし
会議室デビュー日: 2003/06/09
投稿数: 394
投稿日時: 2005-05-07 10:36
ちょっと論点が見えないのですが...

とりあえず、この件と個人情報保護法とのかかわりというのは、
「メーリングリスト運営におけるメールアドレスの管理」
という面で、そのなかで特に
「メールアドレスで個人が特定できる場合」
というところではないかと思いますが。

稀に会社のドメインと個人の姓名をアドレスにしているところもあります。
このアドレスを使えば、どこの企業の○○××ということがすぐにわか
ってしまうわけで、意味合いとしては名刺と同じことになります。
これを、運営者が「許可無く」公開するというのは問題になるでしょう。

まぁ、新しい法律ですから穴もあるでしょうし、解釈によってどう転ぶか
わからない面もありますが、とりあえず、
・ML参加の約款として、個人や会社が特定できるようなアドレスでは投稿
 しないように促す。
・過去ログ等をアドレス付で公開することに同意をしてもらう。
とした上で、
・問題なアドレスで投稿されていれば、公開する際にそっと削除するとか
 XXXXのような伏字にする等の運営者側の心遣い。
のようなことがあれば、あとは管理方法だけを気をつければ大丈夫だと思い
ますけどね。

参照記事のクレームを挙げた人が言う、「迷惑メール」云々は個人情報の
問題ではなくSPAM対策やメールアドレスそのものの扱い方(投稿は捨て
メールで行うとか...)ではないでしょうか?
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-05-07 15:11
こんにちわ.

実際に過去ログの公開を止めたメーリングリストがいくつかありますね.
個人情報保護法についてはもっと「明確に規定を」と思っています.
その意味で,「メーリングリストの場合はこう」と
具体的に法制化しても良いのではないかと.
少なくともそのくらい利用が恒常化していると思いますので.
はゆる
ぬし
会議室デビュー日: 2004/02/16
投稿数: 1008
お住まい・勤務地: 首都圏をウロウロと
投稿日時: 2005-05-07 18:30
こんにちは。
USERS GROUP さんのメーリングリストの過去ログは、私も何度も参照させていただきました。
今回の決定(過去ログの掲載終了)、非常に残念です


「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
には、メールアドレスについて次のように書かれています。

引用:

法第2条第1項
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

【個人情報に該当する事例】
事例4)
特定の個人を識別できるメールアドレス情報(keizai_ichiro@meti.go.jp等のようにメールアドレスだけの情報の場合であっても、日本の政府機関である経済産業省に所属するケイザイイチローのメールアドレスであることがわかるような場合等)

【個人情報に該当しない事例】
事例2)
記号や数字等の文字列だけから特定個人の情報であるか否かの区別がつかないメールアドレス情報(例えば、abc012345@ispisp.jp。ただし、他の情報と容易に照合することによって特定の個人を識別できる場合は、個人情報となる。)


つまり、メールアドレス単体には 「個人情報となるもの」 と 「個人情報にならないもの」 があるのが分かります。
メーリングリストでは、(おそらく)その両方が混在するため、「個人情報となるもの」 として扱わざるをえないと思います。

また、ガイドラインには次の記述もあります。

引用:

法第15条第1項
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

法第23条第1項
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。


上記から、
「『過去ログの公開』 が、個人情報の利用目的を特定していると言えるか」
「メーリングリストに参加したことで、個人情報の利用に同意したものとみなすことができるか」
が争点になるのではないかと思います。

メーリングリストという文化を考えれば、メールアドレスが公開されても問題ないと思いますし、以前は過去ログが公開されていたので、どのように扱われるのかを確認することもできたはずです。
しかしながら、法律上では 「同意」 を得ることが必要となっています。


迷惑メールがくることについては、個人情報保護法とは関係がないと考えます。
業者(仮)は、公開されたメールアドレスを取得しているのであるのなら、そのこと自体に法的な問題はありません。


メーリングリストという場を提供してくださっている皆さまには、是非とも前向きに考えて対応していただきたいです。
_________________
はゆる
Smile, Smiles make me happy.
Jitta
ぬし
会議室デビュー日: 2002/07/05
投稿数: 6267
お住まい・勤務地: 兵庫県・海手
投稿日時: 2005-05-07 21:40
引用:

USERS GROUPにおけるMLで過去ログの掲載が中止されたことを経緯を含めてどうおもうかということなのか、個人情報保護法についてなのか。
まぁ両方が絡み合っているのだとおもいますが、それゆえにちょっと論点がぼやけているというか広すぎるというか、そういう印象を抱いた次第であります。


むむ!痛いところをつかれた。


 過去ログの掲載が中止されたことは、運営者の決定なので、決まった後からとやかく言うことはできません。ですので、中止されたことをどう思うか、ということは、外したいと思います。


 掲載中止を申し出た人は、スパムメールが大量に来るようになったことで、個人情報が漏洩し、被害を受けたと判断されたようです。

この"漏洩"の根拠として、
1.メーリングリストは、参加者だけの閉じた世界である
2.メーリングリストに出したメールが、Webページ掲載され、誰でも参照できるようになった
3.誰でも参照できるようになった情報の中に、メールアドレスがある
4.1の閉じた世界から、解放された世界に情報が置かれることで、情報が漏れた
という流れがあると思います。

 この辺の、とくに1,4について、「メーリングリストは閉じた世界か、開かれた世界か」ということについて、どのようにお思いでしょうか。
 「閉じた世界」であれば、投稿された内容は、管理者だけでなく、配信を受けている人すべてが個人情報を取り扱っていることになると思います。
 「開かれた世界」であれば、投稿者が、自分の情報を適切に管理する(何を書いて、何を書かないか)必要があると思います。


 私は、メーリングリストは閉じた世界とはいえ、誰でも自由に参加できるので、完全に閉じた世界であるとは思いません。
 例えば、ユーザー一覧を取り出すためにのみ、参加することも可能です。また、一覧取り出しのコマンドが禁止されていても、数週間メールを配信され続けていれば、アクティブなメールアドレスリストが得られます。
 このリストは、ホームページに書いてあるアドレスとは違い、必ず生きています。スパムメールを送信するために、メールアドレスだけが欲しいなら、ウェブを回るよりもこちらの方が確実に生きていて、しかも頻繁に参照されているアドレスを収集できるでしょう。

 このように、オープンなメーリングリストに、不用意に個人を特定できる情報を流すことは、管理者が漏らしているのではなく、自分で漏らしていると考えます。ここで「オープンなメーリングリスト」とは、不特定の人向けに参加の方法が公開されており、参加することについてなんの制限もないことメーリングリストを意味します。

 もちろん、オープンなメーリングリストがこのような性格であると知らない人もいると思います。そのような人に対して説明をしていないことは、運営者側の落ち度であると言えると思います。
 USERS GROUPのホームページから2〜3回のクリックでは、メーリングリストのそうした性格について説明するページには行き着きませんでした。しかし、ログをWebで公開するよ、という呼びかけは、2回のクリックで行き着きました。
↑↑↑↑
ガイドラインの中に「1回程度のクリックで」と書かれていたので回数を気にして書いていますが、回数よりもその文書にたどり着くために適切な誘導がなされているか、という方が大切だと思う。

[ メッセージ編集済み 編集者: Jitta 編集日時 2005-05-07 21:43 ]
kalze
ぬし
会議室デビュー日: 2003/10/23
投稿数: 406
お住まい・勤務地: 東京・東京
投稿日時: 2005-05-07 22:31
引用:

過去ログの掲載が中止されたことは、運営者の決定なので、決まった後からとやかく言うことはできません。ですので、中止されたことをどう思うか、ということは、外したいと思います。



ということはテーマは「MLと個人情報(または個人情報保護法)」って感じかな

MLがJittaさんが提示されている条件であっても、閉じた世界か開いた世界かという点については非常に難しい問題でしょうね。
視点でえらく変わりますし。

クリック数についても適切な誘導をしてあるかが問題でクリック数はその目安に過ぎないのだとおもいます。
参加申請ページ(または申請コマンドの手順にかかれたページ)に解りやすく利用規約などにについて書かれたページへのリンクがあるかどうか、それに同意したとみなせるかどうか。

つまり参加が意図して読まなかったとしかいいようがないだろって状況であれば参加者の落ち度になるでしょう。

ただアーカイブの公開というのはWEBでの拡張というふうにもとれるので、必要条件ではないのでその辺も論点になるのではないでしょうか。

法的に有効かどうかはわかりませんが、
・投稿はWEB上で公開する
・公開時には(送受信者といった)メールアドレスやメールのヘッダは表示しない
・本文中においては署名を含め個人を識別できる情報を記述した場合は、自ら公開したものとみなす
という旨を記述して同意をとるのがよいのかなとおもいます。

MLに参加すれば投稿した人のメールアドレスは取得できますが、
WEBで(HTMLとして)公開されるのとは収集の手順・煩雑さは変わってくるのではないかとおもいます。

また、MLのシステムの性質上、MLに参加している人にはメールアドレスがわかるというのは当然であるとみなせるのではないかとおもった次第。
まぁそのへんも説明したほうがリスクは回避できるかとおもいますが。

個人的にはシステム上必須であるか、当然であるかというところが目安なのかなぁと。

利用者については、投稿され配信されたメールを読むだけではなく、そのメールアドレスを含めた個人情報を分類・整理して管理していない限り、あくまで利用者であり個人情報保護法における事業者とはならないのではないでしょうか。
(@ITにおけるカーナビのデータみたいに)

実際には判例がでないとはっきりとしたことがいえない問題であるといえるでしょうけど。

趣旨から言えば、保護されるべき個人情報には、事業の運営において明示的に収集したものでなく自然と知りえた情報も含まれるのではないか。
MLに書かれた情報(自然と知りえた情報)と収集したメールアドレスなどの情報から個人が特定できてしまうのであれば個人情報になってしまう可能性がある。
さらにややこしいのは、容易に検索など関連付けることはできないが、それを保存している(さらに公開している)という点ではないかと。

こういう場合はどうなのかは、ガイドラインや法の検討会の議事録をあさってみないといけないなぁとおもいながら、膨大なので、できていない次第でありますが。
法律はがっちり決めてしまうとザルになるので運用・解釈で時代や事情に合わせてある程度柔軟に運用できるように制定されているので、解釈レベルとか運用レベルになると非常に難しい問題ですよね

ということで、資料あさってなんか新しいことがわかったらまた記述します。
#こういうときこそIPAの出番じゃないのかとおもってしまうのですけど。
#フォーラムが記事選定の参考になっているようだし@ITさんに期待っていうのはおこがましいか
_________________
未記入
ぬし
会議室デビュー日: 2004/09/17
投稿数: 667
投稿日時: 2005-05-08 23:20
Java House は Web で読んでたけど、書き込めなくて歯痒かった。メーリングリストは参加したことないんで、まったく興味ないけど スラッシュドットでも話題になっていたんで、とりあえず。

個人情報保護を理由としたMLの過去ログ公開停止 (スラッシュドット)

スキルアップ/キャリアアップ(JOB@IT)