2012年7月3日

【武雄市図書館】CCC に対して保有個人情報開示の問い合わせをしたら(その3)

@Vipper_THE_NEET 氏が CCC サイトの問い合わせフォームから(2012/07/02 お昼前に)質問を投げたそうですが、それに対してのレスポンスが全くないというところから流れた話になります。氏に対して何かしらのアクションがあれば追記を入れる予定です。 【2012/07/07 08:45】2回目の回答について追記しました。 【2012/07/04 23:16】さらに追記しました。 【2012/07/04 19:35】CCC からの返信があったそうなので追記しました。 続きを読む
31

keikuma 氏の考える個人情報を扱うビジネス

あろTAKE!(ときどき執事orメイド) @aro_take

#takeolibrary 物凄く大雑把な事を言うと、個人情報を守る境界線を強く固めるのではなく、その境界線自体を大きく広げて「漏れてもOK」な範囲を広げるってことも可能かも。すると段々と法整備以前の無法状態に近くなる。同意の名の下に。同意とワンクリック詐欺は紙一重かも。

2012-07-03 01:26:54
MAEDA Katsuyuki @keikuma

@aro_take それではいけないんですけどね。個人情報を活用したビジネスをやるためには、個人情報を尊重しなければいけないし、本人の意思も尊重されなければならないと思います。それを尊重しない事業者は、実は将来の市場を破壊していると思っています。 #takeolibrary

2012-07-03 01:36:18

Vipper_THE_NEET 氏による考察

たりき @Vipper_The_NEET

他力本願堂本舗の中の人。ペネトレーションテスト,情報セキュリティコンサル,情報セキュリティ事件事故対応,コンピュータフォレンジック,各種言語での設計開発,雑誌原稿執筆など。猫とおっぱいをこよなく愛するがどちらも手元にない。デヴ。沸点が低いのでたまに暴言を吐く。変態。2011-2014年MicrosoftMVP連続受賞。

http://t.co/1wVdUa6v3b

たりき @Vipper_The_NEET

CCCの場合,規約上Tポイントカードと紐付けて他の情報を取得しているので,どのような形で保有していても(法人として利益の有る形であれば)カード番号は個人情報の一部になります。 #takeolibrary

2012-07-03 19:54:28
たりき @Vipper_The_NEET

検索主体と復号主体が別の部署・部門・担当者であっても,検索主体が暗号化された個人情報を検索できていることから個人情報がインデックスされていることは明白なので,疑問の余地はありません。 #takeolibrary

2012-07-03 19:55:43
たりき @Vipper_The_NEET

ただしカード番号とインデックスのみが分離されていて,かつ,個人情報を保有している愚書・部門・担当者などがそれらにアクセスできず,インデックスのみを伝達して暗号文を受け取る場合,これは微妙かもしれません。 #takeolibrary

2012-07-03 19:57:00
たりき @Vipper_The_NEET

しかしながら手続きとして方法が確立しているのであれば,容易に紐付けができるので個人情報の一部であるといえるでしょう。 #takeolibrary

2012-07-03 19:58:20
たりき @Vipper_The_NEET

以上のことと企業利益から考えてクレジットカード番号等を個人情報から切り離して保有することは現実的ではなく,CCCにおいてもそのような運用をしているという前提を適用するのは妥当ではないと考えます。 #takeolibrary

2012-07-03 20:05:05
たりき @Vipper_The_NEET

よって,本来ならばCCCは開示請求に応じるべきであって,例外規定を適用するのであれば例外規定が適用できるのだという根拠を示すべきでしょう。 #takeolibrary

2012-07-03 20:05:47
たりき @Vipper_The_NEET

「業務に支障を来す」とだけ述べられてもその真偽ははかりかねますので,「あんたもう10回もやっとるやないケ」あるいは「いや,情報処理技術者試験の採点結果は制度の仕組み上非公開でないと」というレベルでなければならないでしょう。 #takeolibrary

2012-07-03 20:07:48
たりき @Vipper_The_NEET

暗号化は復号するのになんら困難を伴いませんし,CCCの業態では分析のソースになる個人情報を「本人に」開示することは業務上障害になるとはいえません。 #takeolibrary

2012-07-03 20:09:45
たりき @Vipper_The_NEET

以上の考察から,CCCが本人からの個人情報開示請求に対して「業務の妨げ」を理由に非開示としたことは,違法となる可能性がないとはいえず,また合法と言い切ることも困難なものではないかと考えます。 #takeolibrary

2012-07-03 20:11:04
たりき @Vipper_The_NEET

とまあ,ものすごく大雑把に言えばCCCは個人情報取扱事業者にしては対応がグレーなので諸手を挙げて機微情報扱わせるには信頼性が低いんじゃねーの?と。 #takeolibrary

2012-07-03 20:45:50

Vipper_THE_NEET 氏による CCC へ問い合わせ

たりき @Vipper_The_NEET

メールの遅延の可能性を考慮していたけどもういいだろ。昨日12時少し前にCCC問い合わせフォームから「書式に無い個人情報の開示請求方法」を問い合わせた。本日終業時刻を迎えていまだ応答なし。CCCの個人情報取扱事業者としての問題行動三例目。 #takeolibrary

2012-07-03 21:16:00
たりき @Vipper_The_NEET

「遅滞なく」というのは,合理的な理由か,正当な理由がなければすぐ対応することが求められるので,まあ,まる一日半だんまりってのはちょっと問題だろーね。 #takeolibrary

2012-07-03 21:19:45
たりき @Vipper_The_NEET

個人情報の保護に関する法律第二十四条の三ね。 #takeolibrary

2012-07-03 21:26:37
MAEDA Katsuyuki @keikuma

@Vipper_The_NEET ガイドラインの要請はもう少し強いですね。このパターンでは、「問い合わせ窓口を設け、問い合わせがあれば、口頭又は文章で回答できるよう体制を構築しておくこと。」を例示しています。 http://t.co/9uJvELrj #takeolibrary

2012-07-03 21:28:35
たりき @Vipper_The_NEET

@keikuma ってことは少なくとも経産省ガイドラインには抵触してると言ってよさそうですね。Pマーク的にはかなり危ないんじゃないかなあ。罰則は無いけど個人情報の保護に関する法律にも触れそうだし。 #takeolibrary

2012-07-03 21:30:39
たりき @Vipper_The_NEET

いよいよもってCCCは機微情報を扱うに足る組織かどうか怪しむべきだといえそうです。 #takeolibrary

2012-07-03 21:31:32
MAEDA Katsuyuki @keikuma

@Vipper_The_NEET この「遅滞なく回答」ですけれど、回答は予め整備されているのが前提で、それを「遅滞なく回答」せよという意味である点に注意です。訊かれたら考えますじゃダメ。 #takeolibrary

2012-07-03 21:36:55
たりき @Vipper_The_NEET

そもそもPマークとかJISとかそのあたりではこの手の問い合わせ対応はマニュアル化しておけってことになっているので,手続き教えれって言われたら普通は定型文コピペしたメールに書式添付して終了なのですよ。 #takeolibrary

2012-07-03 21:37:09
残りを読む(76)

コメント

バクロン @bakuron 2012年7月5日
認定個人情報保護団体に加入しているなら、そちらに問い合わせする手もあるかと
0
Matsuki *** @liliput 2012年7月10日
Pマークとかそういうみかじめ料徴収のヤクザ商売という認識しかないなぁ……
2