2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 1

プライバシー影響評価（ＰＩＡ）におけるバイオメトリクス　日本におけるＰＩＡ導入可能性

2008年９月１１日弁護士・首都大学東京産業技術大学院大学

講師

六川　浩明

【法律の基礎知識】

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 2

目　次

2．

3．

プライバシー影響評価とはなにか，その必要性

1．調査研究目的

4．

海外での実施動向

日本で実施する場合の課題と対策

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 3

 個人情報を扱うシステムの構築および国際的な運用において，ユーザ保護の立場からシステム構築の適正さを事前評価する手法の開発が各国で検討されている.海外における先進事例を調査すると同時に日本における課題と対策を明確にする．

 本プロジェクトは，議論の要点を絞るため，究極の個人情報といわれるバイオメトリクスを扱う情報システムのアセスメント手法の確立を図ることを目的とした.ただし，開発した手法はバイオメトリクスに関する個人情報に限定されるものでない.

 具体的には下記の調査研究を実施した. 　（１）PIA実施が進む海外における調査を行う．特に，政府機関、州政府におい　　　て，採用が進んでる米国，カナダ，および，専門のコンサルティング企業が

　　　存在するオーストラリアを重点的に調査する. 　（2）日本でPIAを実施する場合の課題分析とコンプライアンスフレームワーク　　　を検討し，ＰＩＡ実施のためのガイドラインを作成する. 　（3）PIAに関するワークショップを開催し，日本での啓蒙を図る.

調査研究プロジェクトの概要

PIA：　Privacy Impact Assessment 　プライバシー影響評価

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 4

WGミーティング参加者

（１）メンバー　・産業技術大学院大学　　　瀬戸洋一（主査）　清水将吾　和田あき子　・東京工科大学　　　　　　　 村上康二郎　・筑波大学大学院　　　 新保史生　・ＮＥＣ　　　 小川隆一　矢野尾一男　・東芝ソリューション　　　 山田朝彦　・日立製作所　　　 佐藤嘉則　三村昌弘 瀬野尾修二　・富士通（富士通研究所）　森原隆　・三菱電機　　　 鷲見和彦

（２）オブザーバ　・弁護士　六川浩明　・バイオメトリックセキュリティコンソーシアム事務局　　　中島晴久　柴田夏彦　・（株）情報通信総合研究所　　　小向太郎　左貝裕希子　・（株）セキュアデザイン研究所　　　栗田寛久　・セコム（株）　　　池野修一 ・日立オムロンソリューションズ　緒方日佐男

敬称略

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 5

オーストラリアPIA視察調査での面会者　①Australian Government Information Management Office （AGIMO:　Department of Finance and Administrationの一部門） 　　Mr. Paul Bambury, Ms. Jasmine Kaul (AGIMO) 　　Mr. Chris Connolly, Mr. Peter van Dijk (Galaxia)

　② Attorney-General Department（司法省） 　　Mr. Alex Lang, Ms. Emma Shadbolt

　③National Center for Biometrics Studies(University of Canberra) 　　Prof. Clive Summerfeld

　④Galaxia社　　　　Mr.Chris Connolly（弁護士） ほか　　　　Prof. Graham Greenleaf （New South Wales University）ほか

　⑤Australia Privacy FoundationBaker & McKenzie, Lawyers 　　　　Mr. Patrick Fair（弁護士）, 　Mr.　Adrian Lawrence（弁護士）

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 6

SSR報告書の目次

1．　プライバシー影響評価PIAの概要　　　1.1　プライバシー影響評価PIAとはなにか　　　1.2　プライバシー影響評価PIAのフレームワーク　　　1.3 プライバシー影響評価PIAプロセス

2．　各国の法制度とプライバシー影響評価　　　2.1　プライバシーと法律　　　2.2　PIA実施国の法整備状況　3． 海外のPIA実施状況　　　3.1　米国におけるプライバシー影響評価の実施状況　　3.2 オーストラリアにおけるプライバシー影響評価の実施状況　　3.3 カナダにおけるプライバシー影響評価の実施状況　　3.4 ニュージーランド、香港、韓国におけるプライバシー影響評価の実施状況 　　3.5 その他国際機関のPIAの状況4. オーストラリア政府、企業に対するプライバシー影響評価実施状況調査5. PIAワークショップ6. 日本における実施例　　　6.1 ガイドライン　　6.2 PIA報告書

報告書は、http://www.bsc-japan.com/にてSSRメンバーへ公開中

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 7

目　次

2．

3．

プライバシー影響評価とはなにか，その必要性

1．

4．

海外での実施動向

日本で実施する場合の課題と対策

SSRプロジェクトについて

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 8

プライバシー影響評価とは？

・「個人情報の収集を伴う新たな情報システムの導入にあたり，　　　　　プライバシーへの影響度を“事前”に評価し，その回避または　緩和のための法制度・運用・技術的な変更を促す」ための一　連のプロセス. ・1990年代後半に体系化が進められた. ・国際標準化されたプロセスは存在しない（ISO TC68で開発中）. ・各国の個人情報保護監督機関や行政機関が，各国事情に応　じたガイドラインを公表している. ・一部の国では法的要請となっている.その一方，プライバシー　懸念が予測されるシステム導入について政府や自治体、医療　　機関が自主的にPIAを行うケースもある.

プライバシー影響評価PIA: Privacy Impact Assessment 個人情報に関するリスクコミュニケーション手法

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 9

センシング技術と画像処理技術の統合

社会に浸透するバイオメトリクス技術2001 2004 2007 2010

△米国同時多発テロ△金融におけるスキミング詐欺△ICカード運転免許証、　　電子パスポート、入国管理システム

△？

国境での個人の特定 基幹系民間応用の認証強化 社会IDの実用化

金融において静脈認証技術の定着

民間応用の浸透

政府関係において顔、指紋技術の展開

国際標準化活動の立ち上げ（相互接続、測定方法の確保）

国際標準化活動の浸透（コンフォーマンス体制の整備）

コモディティ化？ナショナルセキュリティへの本格展開

モダリティ毎の画像処理技術個人情報および大規模運用における現実的な課題への対応

センシング・実装・暗号技術の連携

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 10

環境影響評価とプライバシー影響評価

環境影響評価EA　（日本） プライバシー影響評価PIA　（カナダ）

実施主体 ・ 環境影響評価法に定められた事業主 ・ 個人情報を取り扱うITシステムを導入・改修する行政 　組織

実施の目的 ・ アセスメント結果を許認可（建築確認、補助　　　　 　金の交付等）に反映させることにより、環境 　の保全に配慮した事業実施・ ステークホルダー間の意思疎通

・ アセスメント結果をシステム構築・運用に反映させるこ 　とにより、電子的サービス提供の向上とプライバシーの　 　保護の両立・ アセスメント結果を公表することにより、国民に対し 　説明責任

実施の契機 ・ 事業概要の届出を受けた許認可権者の 　実施判定

・ 政府Webサイトでは導入・改修前の実施を“must”と 　記載

関係法令等 ・ 環境影響評価法・ 各自治体の環境影響評価条例他

・ Privacy Act ・ Personal Information Protection and Electronic 　Documents Act 他

報告の提出先・ 許認可権者・ 補助金交付決定権者・ 国が行う事業の実施に関する事務を所掌 　する主任の大臣他

・ “Deputy Heads of Institutions”が報告書に署名し 　　承認 　また、Privacy Commissioner、Treasury Board　 　（国家財政委員会）が調査評価

ステーク ホルダ

・ 国・ 地方公共団体・ 事業者・ 国民（住民）

・ 実施主体である行政組織・ Privacy Commissioner ・ Treasury Board ・ 国民

EA: Environment Assessment

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 11

プライバシー影響評価PIAの目的（Ⅰ）

・個人情報を運用するシステムに対して，個人情報提供者（データ主体）の「プライバシー」に与える「脅威」（リスク）を測定・評価し，その結果から

　　‐「プライバシー」リスクの低減に有効な情報を見出す. 　　‐この情報にもとづき，事業・施策，システム設計・調達など　　　　　に必要な具体的提案（改善案）を選出する. 　　‐個人情報運用システムの透明性を確保し，システム運用　　　者とデータ主体の間の信頼関係形成を支援する.

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 12

・事前対策を促すという実質的な意図もある. ・PIAを取り入れることで，プロジェクト従事者にプライバシー保　　護に対する意識や理解を促進し，さらに，評価結果としてまと　　めたPIA報告書をもとに，意思決定者に対して，プライバシー　課題を把握した上で政策判断を促すことができる. ・個人情報のやりとりは，基本的に公共部門では，国/市民には　選択の余地がなく，任意取引先を選べる民間企業以上の配慮　が求められる. 　システムが動き出してから重要なプライバシー懸念が生じ，大　幅な変更や中止に追い込まれたときに大幅なコスト増に税金　がつぎ込まれることを回避する. ・利害関係者とのコンセンサスの重要である.

プライバシー影響評価PIAの目的（Ⅱ）

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 13

プライバシー影響評価PIAの目的（Ⅲ）

 事業実行前の調査実施で計画改善を図る   ITシステム運用のリスク回避  説明責任の実施

調査実施主体

(行政)

影響を受ける

個人世論、メディア

共通認識 議論・対話促進PIA報告書

議論の前提

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 14

個人情報とプライバシーの関係

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 15

PIAと「個人情報保護」の関係

・PIA（プライバシー影響評価）　‐個人（システムに個人情報を提供するデータ主体）の　　利益のために行われる活動

・個人情報保護　‐システム運用者が、データ主体にリスクが及ぶ個人情報の　　運用について、運用者の社会的正当性を確保するために　　行う活動

目的は別物利害対立もありうる

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 16

PIAは何を対象とするのか、誰が実施するのか

・個人情報を運用する「システム」の全体　‐システムに関わるネットワーク全体　‐システムに関わるコンピュータ，ソフトウエア，データ

・PIAが準拠する法制度などは原則として対象外　‐「プライバシー・フレームワーク」（個別作業のための判断基準：プライバシ要件）　　を明確にすることは，PIA作業の範囲

・PIAが実施されるタイミング　‐新システムの企画・設計/従来システムの改修・機能追加などの時点

・システム設計および業務担当セクション　‐上位の「プライバシー」政策セクションに報告（ＵＳＡ）　‐最終的にプライバシー監督局に報告（カナダ）　　　‐ＰＩＡが実施しなければ予算は執行されない

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 17

PIAのフレームワーク

評価対象システム

法律

ガイドライン

規制

契約上の義務

ポリシー

　etc.．プライバシー・

アセスメント

プライバシー・

フレームワーク

プライバシー・

アーキテクチャー

PIA

運用に関する

設計要素

技術に関する

設計要素

情報伝達

計画

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 18

PIAの構成要素

  プライバシー・フレームワーク・法的側面

・プライバシー要件とプライバシー測定条件の定義

  プライバシー・アセスメント・運用上の側面

・分析とチェックによる問題抽出

  プライバシー・アーキテクチャ・技術的な側面

・抽出された問題に対する技術的対応PET (Privacy Enhancing Technologies)

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 19

PIAの手順   しきい値評価

プロジェクトにおける個人情報の取得・利用・開示の実施の有無を評価してPIAが必要か判断する．

  プロジェクトの記述プロジェクトの目的と個人情報の取扱いの有無を含め，プロジェクトの概要を記述する．

  情報フローマッピングプロジェクトにおける個人情報の取扱いの流れを記述し，マッピングする．

  プライバシー影響分析プロジェクトがどのようにプライバシーに影響を与えるかを特定し，分析する．

  プライバシー管理特に、プロジェクトの目標を達成する一方で、プライバシーへの影響を改善する代替的な選択肢を検討する．

  勧告上記の情報と勧告を含む最終PIA レポートを作成する．

しきい値評価

プロジェクト記述

情報フローマッピング

プライバシー影響分析

プライバシー管理

勧告(PIA報告書作成)

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 20

目　次

2．

3．

プライバシー影響評価とはなにか，その必要性

1．

4．

海外での実施動向

日本で実施する場合の課題と対策

SSRプロジェクトについて

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 21

カナダ　・連邦予算局発行のポリシー（2002年）により，世界で始めて実施を義務化　・州レベルでは，これに先行して広く活用（医療分野など）

米国　・電子政府法（2002年）で、情報セキュリティ管理法の制定などに加え， ・プライバシー影響評価を義務化　・金融分野でもPIAが1999年に米国規格ANSI化オーストラリア　・政府や自治体の各部門が自主的に採用　・国勢調査のデータ分析方式の変更案などで採用

ニュージランド　・政府や自治体の各部門が自主的に採用　・全政府共通のオンライン認証システム構築などで採用

香港　・政府や自治体の各部門が自主的に採用　・香港IDカードのICカード化プロジェクトとなどで採用

PIAに関する各国の状況（Ⅰ）

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 22

PIAに関する各国の状況（Ⅱ）

国名 法律、ガイドライン、 ポリシー独立検証機関 実施主体 備　考

カナダ 法律で説明責任明示、ガイドライン、ポリシー（連邦レベルではTreasury Boardが作成）で手順等を説明

あり 新規導入・改修される個人情報を取り扱うシステムを使用・管理する行政機関

連邦レベルで予算執行前のPIA実施を義務化連邦各省庁、各州にPrivacy Officerが存在アドバイスと検証を省庁から独立したPrivacy　Commissionerが実施

米国 法律で義務付けOMB Guidance for Implementing the Privacy Provisions of the E-Government Act of 2002を制定

ない 新規導入・改修される個人情報を取り扱うシステムを使用・管理する行政機関

電子政府法で情報セキュリティ管理法の制定に加えPIAを義務化（電子政府法２０８条）実施組織内にPrivacy Officerが存在

オーストラリア

ガイドラインとポリシー、および、Privacy Actが存在する

あり 政府や自治体の各部門が自主的に採用

国勢調査のデータ分析方式の変更案などで採用

ニュージーランド

The Office of The Privacy Commissioner発行のハンドブックありPrivacy Actが存在する

あり 政府や自治体の各部門が自主的に採用

全政府共通のオンライン認証システム構築などで採用

OMB：　Office of Management and Budget：行政管理予算局

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 23

オーストラリアPIA調査

・調査期間：　2008年2月19日～21日　・訪問/インタビュー先：　①Australian Government Information Management Office （AGIMO:　Department of Finance and Administrationの 　一部門）　② 司法省　③National Center for Biometrics Studies、　④Greenleaf教授（New South Wales 大学）　⑤Australia Privacy Foundation 　⑥Galexia社（プライバシーコンサルティング会社）・訪問者：　緒方日佐男（日立オムロン）、新保史生（筑波大学）、　瀬戸洋一（産業技術大学院大学）、瀬野尾修二（日立）、　村上康二郎（東京工科大学）、六川浩明（弁護士）

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 24

プライバシーコミッショナー制度

英米法 （えいべいほう、英語:common law）とは、イングランド・アメリカに特徴的な法体系。日本のように私法の重要な部分が法律の条文によって規定される大陸法系に対して、判例の蓄積によって規定される。コモン・ローともよばれる。

Hiroaki Rokugawa 25

豪州におけるプライバシー法の現状（１） ・1987年、連邦政府がNational ID Card(国民IDカード)を　　導入しようとした際、国民のプライバシー保護に懸念が生じた　　ことから、1988年連邦プライバシー法が成立し、同法のなか　　でPrivacy Commissioner制度が明記されたことにより、1988年よりPrivacy Commissioner制度が導入された。・Privacy Commissionerは、連邦政府と各州政府の双方に　　存在している。・連邦プライバシー法は、当初、行政機関を対象とするもので　あったが、2000年改正によって、民間企業に対しても適用さ　れるものとなっている。・2つのPrivacy Principlesも存在している。Information 　Privacy Principlesは、行政機関に対して適用され、　National Privacy Principlesは、民間企業に対して適用さ　れる。

Hiroaki Rokugawa 26

豪州におけるプライバシー法の現状（2） ・現在、ALRC(Australian Law Reform Commission：　豪州法制度改革委員会)において、プライバシー法の見直　しに入っている。・ALRCのHPに、「Review of Australian Privacy Law: 　Discussion Paper」が掲載されているが、それは約1997頁　に及んでいる。同Discussion Paperは、2008年5月30日　にファイナルとなる。・同Discussion Paperのなかで、現在存在している２つの　Privacy Principlesは、Uniform Privacy Principlesに統　合されていくことが提言されている。・新しい連邦プライバシー法及びUniform Privacy 　　Principlesは、2010年ころ、成立する見込みである。

Hiroaki Rokugawa 27

豪州におけるPIAの歴史と現状（1）・1990年、豪州政府が、data matching programmes を　導入しようとする際、Data Matching Program法別紙１に　記載されているProgram Protocolが、その端緒である。・1995年、情報通信産業のオンブズマンが、PIAの実施を提唱し　た。・2001年、Privacy Commissionerが、Guidelines for 　Agencies using PKI to communicate o r transact 　with individualsを公表し、そのなかで、Agencies 　should undertake a Privacy Impact Assessment 　before implementing a new PKI system or 　significantly revising or extending an existing PKI 　systemと主張した。・2004年、PIA Guideの草案(Managing Privacy Risk:　An 　Introductory Guide to Privacy Impact Assessment)が　　公表される。

Hiroaki Rokugawa 28

豪州におけるPIAの歴史と現状（2）

・2005年、AGIMO(Australian Government Information Management Office)が、本人認証を含む事業については、 PIAが実施されるべきであると主張。・2006年8月、Office of the Federal Privacy Commissioner 　が、Privacy Impact Assessment Guide for Australian 　Government and Australian Capital Territory 　Government agencies in 2006を制定。　（邦語訳が、日本自動認識システム協会（JAISA）のHPに掲載　　されている）・行政機関も民間企業も、PIAを実施することは、義務づけられていな　い。推奨されているのみ。・2006年、Privacy Commissionerが、民間団体が作成した　Biometrics Codeを承認。生体認証を含む事業については、PIA　　の実施を強く推奨。

Hiroaki Rokugawa 29

豪州におけるPIAの歴史と現状（3）

・PIAは、事業の着手前または実施中に行い、事業のプライバシー　　　リスクを検討するもの。プライバシーリスクが存在する場合、事業計　画の改良が行われることがある。・ALRC(Australian Law Reform Commission：豪州法制度改　革委員会)に提出されている多くの意見（パブコメ）のなかには、行　政機関が実施する事業で個人情報の収集及び利用を含むものにつ　いてはPIAの実施を義務づけるべきであるという意見がある。・PIAの実施は、PIA報告書の作成を含めて約４～６週間ほど。・民間事業者におけるPIA実施のメリットは、システム構築後に反対　意見が出てシステムの大幅な変更発生等を事前に回避すること・PIA策定に当たり、ISO15408やISMS(ISO27002)等の国際的　標準フレームワークは、参考にしたりする場合もあるが、殆ど使わ　ない。

Hiroaki Rokugawa 30

行政機関が実施したPIA

以下のとおり、多くの事例がある。

• National E-Health Transition Authority (NEHTA), re a unique health identifier (2006-07) • Access Card Privacy and Consumer Task Force, re a proposed national identification scheme (2006-07) • Attorney-General's Department, re Document Verification Service (DVS, 2007) • Attorney-General's Department, re AusCheck – employee background checking services for the maritime and aviation 　industries (2007) • Centrelink (the government benefits administrator), re a voice authentication scheme to be implemented within the IVR 　application on the (very) high-volume call centre (2005, 2006, 2007) • Australian Communications and Media Authority (ACMA), re ENUM (a scheme to enable mapping between telephone 　numbers and Internet IP-addresses (2006) • Attorney-General's Department, re provisions within the Anti-Money Laundering and Counter-Terrorism Financing Bill 　and Rules (AML-CTF, 2006) • Department of Health, in relation to Electronic Health Records (2006) • Australian Government Information Management Office (AGIMO), re the Australian Government Authentication 　Framework (AGAF, 2004, 2005, 2006) • Australian Government Information Management Office (AGIMO), re the Gatekeeper PKI Framework (2006) • Department of Human Services, re a common login-point for multiple client-facing agencies (2006) • Attorney-General's Department, re provisions within a money-laundering / counter-terrorism Bill (2006) • Department of Human Services, re a proposed ID card for clients of a variety of agencies (2005) • Department of Employment & Workplace Relations, re Workplace Reform (2005?) • Department of Education, Science & Training, re a Learner Identity Management Framework, a Commonwealth-State 　collaboration featuring a unique student identifier (2005) • Australian Bureau of Statistics (ABS), re enhancements to the 2006 Census (2005) • Department of Health, re electronic consent (2004) • National Office of the Information Economy (NOIE), re the Australian Government Authentication Framework (AGAF, 　2003) • Centrelink, re a proposed ID card for Centrelink clients (1998) • Department of Workplace Relations and Small Business, re a business register (1998) • Australian Commission for the Future, re smartcard payment schemes (1996)

Hiroaki Rokugawa 31

行政機関が実施したPIAに関する


PIA報告書（公開されているもの） • NEHTA Unique Health Identifier (Privacy 'Blueprint' rather 　than PIA) • Attorney-General's Department, re Document Verification 　Service (DVS, 2007) • Attorney-General's Department, re AusCheck – employee 　background checking services for the maritime and 　　aviation industries (2007) • Attorney-General's Department, re provisions within the 　Anti-Money Laundering and Counter-Terrorism Financing 　Bill and Rules (AML-CTF, 2006) • Australian Government Information Management Office 　(AGIMO), the Gatekeeper PKI Framework (2006) • Australian Bureau of Statistics (ABS), re enhancements to 　the 2006 　Census (2005)

Hiroaki Rokugawa 32

民間企業が実施したPIA • Coles-Myer, re a customer data warehouse (2006) • Telecommunications, specifically ENUM, undertaken by a 　　Working Group coordinated by the regulator (ACMA), but 　also involving industry associations and some technology 　providers (2006) • An identity management service (Fasfind, 2004) • Transport ticketing (Melbourne myki, 2004) • Forensic applications of an email archive analysis product 　(Nuix, 2002) • A PKI certificate authority for the health sector 　(Healthexchange, 2000) • Toll-roads (Melbourne CityLink, 1998)

　いずれも、PIA報告書は、非公開である。（以上のPIA実施例は、Linden Consulting, Inc. “Privacy Impact Assessments: International Study of their Application and Effects” October 2007から引用）

Hiroaki Rokugawa 33

プライバシー（１）

・プライバシー法第6条には、個人情報の定義はあるが（意見を　含むと定義されている）、プライバシーの定義はない。・　連邦プライバシー法において、「プライバシー」という用語が定　義されていない理由には複数の理由がある。立法技術の観点　からみた場合、オーストラリアの立法において「データ　(Personal Data)」という用語は法令用語として一般的に用い　られている用語ではないため、「Personal Information」とい　う用語を用いたといえる。この点については、Greenleaf教授　(New South Wales大学)が関わった１９８４年の法律制定に　あたっての検討委員会において検討がなされた。・近時、中国が「個人情報(Personal Information)」という用　語を法律で用いたことにみられるように、日本も含めてアジアで　は「個人情報」という用語を法令の規定において用いる傾向が　ある。「プライバシー」という用語を法令において用いているの　は香港ぐらいであろう。

Hiroaki Rokugawa 34

プライバシー（2）・プライバシー権は、豪州では、憲法上の人権ではない。また、豪州民事法においては、プライバシーは、コモンロー（慣習法。衡平法に対する概念）上の権利として裁判上認められていないことから、プライバシーという法概念が確立したものとなっていない。

参考：　2001年11月15日連邦最高裁判決。Australian Broadcasting Corporation v. Lenah Game Meats Pty Ltd. 同判決は、a cause of action for breach of privacy does not exist in the common law of Australiaとし、a general tort of privacy did not develop in Australia, as it did in the United States of America and elsewhere.としている。また、Indeed the Australian Law Reform Commission concluded that a general statutory right to privacy, as had been enacted in some places overseas, should not be recommended in Australiaと述べている。）（しかし、2003年6月16日Queensland 州District Court 判決（Alison Robyn Grosse v. Robert James Purvis）では、当該最高裁判決に反対している。）

Hiroaki Rokugawa 35

プライバシー（３）

・イギリスにおいても同様にプライバシーはコモン・ロー上の権利　としては認められていないが、衡平法(equity law)上の権利　として認められるものであり、プライバシー侵害については、コ　モン・ロー上の救済（legal remedy）ではなく、エクイティ上の　救済（equitable remedy）がなされるものと考えられる。・企業の企業秘密（trade secret）の対概念という意味では、個　人のプライバシーではなく、個人のRight to protect 　confidential informationが、コモンローの権利として認めら　れてきた（1890年の英国の判決）。そこで、個人のプライバ　シーを暴露することは、秘密保持義務違反（Breach of 　Confidence）にも問われることになる。しかしながら、プライバ　シー侵害に関する法的救済に関し、豪州では、そのような方式　であっても損害賠償が認められた事例が極めて少なく、十分な　　判例が存在しない。

Hiroaki Rokugawa 36

豪州のプライバシー保護の程度と、
EUからの指摘

・ＥＵの個人データ保護指令第２９条委員会が、豪州の連邦プライ バシー法がＥＵ指令が定める十分性の基準に適合していないと の見解を示したことについては、欧州委員会の判断は多分に政 治的な判断であって、必ずしも法的な判断ではないといわざるを 得ない部分がある。・現に、欧州域内においても十分なレベルの保護に達していない　国が存在し、欧州委員会は、欧州域内における個人情報保護　のレベルを一定のレベルにするために、対応が十分に行われて　いない保護水準が低い国のレベルアップをはかっている。・さらに、データ保全指令(Data retention Directive)の制定により、　ＥＵ個人データ保護指令に基づいて行ってきた個人データ保護　の対応に加えて、法執行のために必要な個人データの利用に　ついても新たな取り組みが行われており、この点からしてもＥＵ　における個人データ保護については政治的な側面が見受けら　れるといえる。

Hiroaki Rokugawa 37

Privacy Commissioner制度（１）

・コミッショナー制度について、プライバシーコミッショナーを日本　に設置することはよいことだと思う。アジアでは、韓国のＫＩＳＡ　がコミッショナー制度に関心を示している。・コミッショナー制度は、英米法系のコモン・ローの諸国にとどま　らず、大陸法系(Civil Law)の諸国においても設置されるよ　うになっていることから、日本のように大陸法系の国がプライバ　シーコミッショナーを置くことに何ら違和感はない。・日本の個人情報保護制度のように、コミッショナーによらずに主　務大臣が法律の実効性を担保する仕組みをとっている場合に　は幾つかの問題点がある。　一つは、「独立性」(independence)の問題である。主務大臣による　権限の行使は、個々に独立して権限が定められていることや所　掌範囲が分離していることから総合的な対応が十分に実施でき　ないおそれがある。いわゆる縦割り行政の弊害が現れやすい。

Hiroaki Rokugawa 38

Privacy Commissioner制度（2）

・次に、専門的知識の醸成が十分に行われないことである。プライ　バシー保護への対応は一定の期間を経て対応が行われる問題　も多いことや、一般的に適切であると考えられる基準を見いだす　ことが困難な場合もある。そのような場合、コミッショナー制度の　場合には一つの組織に情報が集約され、経験を生かして総合　的な対応を行うことが可能であり、また、一般的な基準を確立し　て対応することも可能である。

Hiroaki Rokugawa 39

The Australian Privacy Foundation ・The Australian Privacy Foundationは、１９８７年６月２８日に　オーストラリアの国民ＩＤカードシステム（Australia Card 　national identity system）に反対することを目的に設置されたＮ　ＧＯ。団体の活動は、個人の健康記録、電子メールやインター　ネットの利用とプライバシーの問題など、プライバシーに関する　諸問題を幅広く扱い検討を行っている。・オーストラリア人のプライバシー権の保護に最も貢献している　団体と評価されており、オーストラリア人の自由やプライバシー　への脅威になると考えられる問題を一般に提起することを主た　る活動内容としており、自らに関する個人情報の管理や不当な　侵害からの自由を確保するために様々な活動を行っている。・消費者団体、市民団体、専門家団体、及びプライバシー問題を　扱う特定の団体とも共同で活動を行っている。また、必要に応じ　て政府機関との協調や支援も行っているが、あくまで独立した　立場において政府機関における取り組みがプライバシー保護に　与える影響を批判的立場から監視している。

Hiroaki Rokugawa 40

The Australian Privacy Foundation

・プライバシー・インターナショナルにも加盟しており、世界規模で　のプライバシー保護に関するネットワークを築いている。・団体が現在行っているプライバシー関連の課題として、喫緊の　課題となっているものは、　　①オーストラリア人のプライバシー保護を実効性あるものにするために、　　　　プライバシー法の民間部門を対象とする規定の改正を実現すること　　②業界団体におけるプライバシー保護に関するガイドラインの制定を進め　　　　ること　　③バイオメトリクスを含む新たな技術開発に伴うプライバシーに対するリス　　　クの検討を実施すること、④インターネット上における個人のプライバシー　　　保護に必要な取り組みを行うために国際的な取り組みに協調した対応を　　　行うこと

等である。

Hiroaki Rokugawa 41

バイオメトリクス

・オーストラリアでは、バイオメトリクスの利用は積極的に行われ　ていない。　　①バイオメトリクスを用いた認証にはリスク(Dangerous) 　　　が伴う　　　　生体情報の取扱いは他の情報の取扱いと比較して高度なリスクを伴う　　　　おそれがあること、当該情報を取得して保存することについても大きな　　　　　　　リスクを伴うおそれがあること

　　②必要最低限の情報の取扱い　　　　プライバシー法が定めるプライバシー原則のうち必要最低限度の取扱　　　　いを求める原則との関係において、バイオメトリクスの利用が当該原則　　　　を満たすことができるか疑問があること

（３）指紋認証に対する歴史的抵抗。　　　　豪州では、指紋は、犯罪者、刑事被告人、受刑者の管理のために用い　　　　　　　られてきたため。

（４）音声認証は、利用されているようである。

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 42

PIA実施に対する助言・監督機関

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 43

独立監督機関（プライバシー・コミッショナー）

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 44

独立監督機関（プライバシー・コミッショナー）

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 45

US-VISITシステムの構成・2004年1月4日に出入国時にバイオメト　　リクスを用いた個人認証を行う　US-VISITプログラムが開始された。・2007年3月の時点で、バイオメトリクス　を用いた入国手続きは、116の空港、　15の海港で実施中である。

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 46

米国におけるPIAの法的な根拠

  2002年電子政府法第208条・各行政機関が個人情報を直接的または間接的に推定可能な方法で収集する場合,または配信するための情報技術を開発または調達する場合,事前にプライバシー影響評価を実施することを義務付けている. ・各行政機関は予算を要求するシステムに対するPIA報告書の写しを行政管理予算局OMB（Office of Management and Budget）長官に提出しなければならない.

  国土安全保障法第222条・DHS（Department of Homeland Security）省内でチーフプライバシーオフィサーCPO（Chief Privacy Officer）を任命することを義務付けている。CPOはDHSによって使用される技術がプライバシー保護を確立することを保証しなければならない. ・CPOはDHSによって実施されたPIAを承認する権限をもつ.

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 47

DHS CPO （承認）

OMB長官

GAO （認可）

DHS US-VISIT構築（PIA実施）

公開PIA報告書

報告書写し

PIA報告書

予算認可

電子政府法208条により実施が義務づけられている

DHS 閾値分析（PTA実施）

PIAの実施の必要性の判断

US-VISITにおけるPIA承認フロー

OMB　Office of Management and Budget：行政管理予算局 GAO　General Accounting Office：米国会計検査院

DHS 　U.S.Department of Homeland Security：アメリカ国土安全保障省

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 48

US-VISITの問題点

  機微な個人情報を扱うシステムの構築に対しては、国際的なセキュリティ評価基準であるISO/IEC 15408認証を取得していることが望ましいが,調査した範囲ではUS-VISITのISO /IEC 15408認証取得についての情報は見当たらなかった.

  システム運用に対しても個人情報が安全に管理されているか等のセキュリティ評価を実施していることが望ましいが,US-VISITに対して運用時の評価を行っているかどうかについては不明であった.

・国際的な観点でのコンフォーマンスができない・運用において、適正な対応がとられているか評価できない

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 49

ISO TC68とPIA 　

  TC68は金融業務を扱う   幹事は米国（editor：J. Martin Ferris）、事務局はANSI   PIAはSC7金融サービス‐コア銀行業務のWG5で取り上げられている（SC7の幹事は仏）

  SC7の日本国内検討委員会は日本銀行   ANSIにはPIA規格(特に金融分野)がある

http://webstore.ansi.org/RecordDetail.aspx?sku=ANSI%20X9.99:2004

  現在、PIAの標準案はTC68で，米国よる Draft International Standard （22307 Financial Service Industry -- Privacy Impact Assessment ）が提案され，2007.9投票→賛成多数で成立　　日本は反対投票

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 50

APECとPIA（Ⅰ）   APECの中でプライバシーに関する問題を扱っているのは

TELWG(電気通信作業部会)とCTI（貿易･投資委員会）内のECSG(電子商取引運営グループ)である．

  TELWGが2002年に発行した電子認証に関するレポートはPIAに言及している．

  2004年にAPEC Privacy Frameworkを策定した．2006年2月に開催されたECSGの会合ではオーストラリアがPIAの共同実施について言及している．

  APEC Privacy Framework ：　APEC 加盟エコノミーにおける整合性のある個人情報保護への取組を促進し，情報流通に対する不要な障害を取り除くことを目的とする.

  APEC Privacy Frameworkは以下の9原則から構成される．　　Ⅰ. 損害の回避（14 項）　Ⅱ. 通知（15～17 項）　Ⅲ. 収集の制限（18 項）　　　Ⅳ. 個人情報の利用（19 項）　Ⅴ. 選択の機会提供（20 項）　　Ⅵ. 個人情報の正確性確保（21 項）　Ⅶ. 安全管理措置（22 項）　Ⅷ. 開示・訂正（23～25 項）

APEC: Asia-Pacific Econmic Cooperation Conference アジア太平洋経済協力閣僚会議

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 51

APECとPIA（Ⅱ）   APEC Data Privacy Pathfinder：　第19回APEC閣僚会議共同声明で，APEC Data Privacy Pathfinderを発表．

　　5つの主要部からなる．　　　1. Conceptual Framework Principles 　　　 2. Consultative Process 　　　 3. Practical Documents 　　　 4. Implementation 　　 　　5. Education and Outreach

  APEC Data Privacy Pathfinderに合意したAPECメンバーはCBPRｓ（Cross-Border Privacy Rules）を実現するための枠組み作りのために9つのプロジェクトのどれかに参加して活動することが求められている．

　　　1.self-assessment guidelines　　　　 2.trustmark guidelines　　 　 3.compliance review of CBPRs　　 4.directories of compliant organizations 　　 5.contact directories for data protection authorities and privacy contact officers 　　　　　　　　　　　　6.templates for enforcement cooperation arrangements 　　 7.templates for cross-border complaint handling forms 　　 8.guidelines and procedures for responsive regulation in CBPR　systems　　　

9.and　an implementation pilot program

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 52

目　次

2．

3．

プライバシー影響評価とはなにか、その必要性

1．

4．

海外での実施動向

日本で実施する場合の課題と対策

SSRプロジェクトについて

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 53

PIA実施における日本の課題

•  課題1：　PIA実施法なし•  課題2：　ガイドラインが未整備•  課題3：　承認・監視・助言体制がはっきりしない（米国のChief 　　　　　　　　　　　　Privacy Officer，カナダ，オーストラリア，ニュージー　　　　　　　　ランドのようなPrivacy Commissionerが存在しない）．

解決案

（１）国際標準などのコンフォーマンスの利用が適切．

（２）米国以外の諸国では，法律による要求はない.ガイドラインを策定し，実施を推奨している.日本でも横断的な組織体制でガイドラインの策定が必要．

（３）プライバシーコミッショナーなどの職を新設することが適切であるが，CIO（CISO）補佐官などにその能力をもたせることも可能ではないか.

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 54

日本のPIA構築の提言

（１）システム構築　・個人情報保護の観点に立脚したISO/IEC15408　情報技術セキュリティ評価　基準での設計構築を行う．PIAのプライバシー・アーキテクチャに相当する．

（２）システム運用　・システム運用において，PIA のプライバシーポリシーおよびガイドラインを考　　　慮し，ISO/IEC 27001（2）ベースの情報セキュリティマネジメントシステム　　　ISMS適合性評価を実施する。ISO/IEC 27001（2）の管理策において、適合　性項目における，①適用法令の識別，②データの保護，③個人情報の保護に　関し，PIAのフレーム　ワークに取り込む．

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 55

ガイドライン記載項目案

米国 カナダ オーストラリア 日本案

序論 序論 （序論）

PIAの定義、要求事項、保護対象、注意事項、実施時期(条件)、機密及び機微情報

ガイドラインの目的 ガイドの使用方法

PIAの概要PIAの目的要求事項

実施時期（条件）

実施体制

しきい値分析

記述について

PIAの実施（事前PIAの実施）

しきい値評価 しきい値評価

PIA報告書記述について

プロセス概要 PIAの手順と計画 PIAプロセス概要

詳細プロセスの記述 PIA実施手順詳細 PIAプロセス詳細手順

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 56

実施体制案

プロジェクト実施組織省庁　副責任者

独立認証機関プロジェクト担当

（PIA実施）

PIA報告書

・15408/27001(2)認証

担当職員閾値分析（PTA実施）

PIAの実施の必要性の判断

公開ＣＩＳＯ

助言

報告内閣官房

国民生活審議会個人情報保護部会

助言

報告

実施指示

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 57

PIAのフレームワーク案

評価対象システム

プライバシー・

アセスメント

プライバシー・

フレームワーク

プライバシー・

アーキテクチャー

PIA

運用に関する

設計要素

技術に関する

設計要素

ISO/IEC 27001（2）

ISO/IEC 15408

コンプライアンス法律

ガイドライン

規制

契約上の義務

ポリシー

　ｅｔｃ．

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 58

PIAガイドライン案

システムの運用開始後（９）

PIA 報告書の更新

（６）

プライバシー管理策の運用

（８）

プライバシー管理の維持･改善

（７）

プライバシー管理の監視･レビュー

システムの構築前（４）

プライバシーリスク分析（チエックリスト）

（１）

プロジェクト立ち上げ

（５）

PIA報告書の作成

（３）

データフロー分析

（２）

PIA フレームワークの特定

システムの構築

ISO15408

ISO2700X

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 59

入国審査システムに関する模擬PIAの前提

  プライバシー影響評価は仮想であり，実在するシステム，組織に対する評価ではない.また，関係するシステムの評価に影響も与えない．

  日本で構築運用されているBICSのシステム情報は公開されていないため，システム構成は公開されているUSVISITモデルを用いた．

  コンプライアンス等の想定  PIAフレームワーク：Tindallレポート，USVISIT，日本におけるPIAガイドライン案  根拠法，関連法：個人情報保護法，行政機関個人情報保護法，出入国管理法，出入国

管理法の一部を改正する法律，法務省保有個人情報保護管理規定　ほか

  実施体制の想定  システム構築主体：　法務省  PIA実施指示：　法務大臣  しきい値評価：　法務省所管部署、産業技術大学院大学  PIA実施：　産業技術大学院大学、法務省所管部署  PIA報告書提出ルート：　実施チーム→法務省CIO→法務副大臣  報告書回付及びコメント：　内閣官房国民生活審議会個人情報保護部会、行政手続法

に基づく意見公募手続(パブリックコメント)   PIA及びコメント結果に基づく構築開始判断：　法務大臣

BICS：Biometrics Immigration Identification & Clearance System

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 60

実施体制の想定

プロジェクト実施組織法務省

独立認証機関プロジェクト担当

（PIA実施）

PIA報告書

・15408認証

担当職員閾値分析（PTA実施）

PIAの実施の必要性の判断

公開ＣＩＳＯ

助言

報告内閣官房

国民生活審議会個人情報保護部会

PIA実施指示（法務大臣）システム構築許可（法務副大臣）

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 61

まとめ（１）PIAはAPEC，ISOなどで開発が進む．日本の対応は不明確であり，今後のアセアンにおけるビジネスに影響を与える恐れもある．

（２）日本におけるPIA実施の課題として，　　・責任行政組織で，情報の収集と分析および対応策の検討が不十分　　・PIA実施法なし（必ずしも本質的な課題ではない）　　・ガイドラインが未整備　　・承認・監視・助言体制がはっきりしない（米国のChief　Privacy Officer，　　　カナダ，オーストラリア，ニュージーランドのようなPrivacy Commissioner 　　　が存在しない）

（３）以上の課題に対し、以下の対応が有効と考える．

　　・国際標準などのコンフォーマンスの利用

　　・米国以外の諸国では，法律による要求はない.ガイドラインを策定し，実施　　　　　　　　を推奨している.日本でも横断的な組織体制でガイドラインの策定が必要　　・プライバシーコミッショナーなどの職を新設することが適切であるが，CIO　　　　（CISO）補佐官などにその能力をもたせることも可能　（４）今後の調査課題として、カナダおよびAPEC、ISOの内容を詳細に調査分析する必要がある．

2008/９/１１ copyright（Ｃ）2008，Hiro Rokugawa ALL RIGHTS RESERVED 62

ご清聴ありがとうございました。

本OHPのオーストラリア調査、個人情報保護法、プライバシーコミッショナー制度などは、共同研究者である瀬戸教授，新保准教授、村上講師の資料を使わせていただいた．環境評価に関しては、伊瀬氏の資料を使用させていただいた．

付記　今回のWG活動に関して，書籍を出版する予定です．