2013年9月12日

図書館とプライバシーとTカード #武雄市図書館 #takeolibrary #たけお問題

#武雄市図書館 での個人情報保護、プライバシー保護を、その特異な貸し出しカードであるTカードを切り口に解説されたツィートをまとめました。
9

貸し出しカードとしてCCCのTカードを採用すると発表されて以来、常に、#武雄市図書館 の個人情報保護、プライバシー保護については懸念が表されてきました。

一体、何が問題なのか?それを

・技術
・法律
・道義、倫理

の3つの面から検討したツィートをまとめました。

この3つは、互いに連携した場合に最も保護が適切に行われると考えられます。逆に、どれか1つに穴があると、他の要素が大丈夫でも、保護のレベルに懸念が出てきます。

武雄市図書館 はどこに課題があるのか、さくっと分りやすく説明してくださるのは某氏.@hatunknown さんです。

某氏@2回目のワクチンを接種しても5Gに繋がらない人 @hatunknown

武雄市図書館において、個人情報やプライバシーに係わる情報が適切に扱われ保護されているかを考えるとき、 ・技術的な保護(運用、管理体制も含む) ・法的な保護 ・道義的・倫理的な保護 の3つの保護が、それぞれ適切に機能しているかを考える必要があります。(続)

2013-09-12 13:18:44
某氏@2回目のワクチンを接種しても5Gに繋がらない人 @hatunknown

(承前)前提として、武雄市図書館のカードIDはTカードIDに紐付けられています。そして、規約を読むと、TカードのIDが主で図書館IDが従になっています。従って図書館カードにTカードを選択した場合は、個人情報などの保護はTカード側の保護体制にも依存する点がポイントになります。(続)

2013-09-12 13:27:51
某氏@2回目のワクチンを接種しても5Gに繋がらない人 @hatunknown

(承前)まずは、技術的保護という視点から。 これはTカード側に問題があります。例えば、Tカード番号を誤ってWebに掲載した場合、条件次第では不正ログインされるという問題があり、技術的に適切に保護されているとは言い難い状況です。(続)

2013-09-12 13:32:55
某氏@2回目のワクチンを接種しても5Gに繋がらない人 @hatunknown

(承前)このように、Tカード番号を誤って掲載した場合に、個人情報などにアクセスされるリスクが存在するという事は、ユーザの誤操作に対してセキュリティ強度が担保されていない事を意味します。(フールプルーフ上の問題)従って、技術的な保護が十分に機能しているとは言い難いです。(続)

2013-09-12 13:41:45
某氏@2回目のワクチンを接種しても5Gに繋がらない人 @hatunknown

(承前)次に法的な保護。武雄市図書館の個人情報を保護する法は、武雄市個人情報保護条例ですが、根本的な問題として、この条例ではプライバシー係わる情報は保護されません。(但し、これは武雄市に限られた問題でもありません。)(続)

2013-09-12 13:48:14
某氏@2回目のワクチンを接種しても5Gに繋がらない人 @hatunknown

(承前)この部分については、高木浩光氏の解説が詳細です。 http://t.co/pCVQTb7Efq http://t.co/csuM5jkeza 乱暴に言うと「条例上の個人情報の定義により法による保護範囲が狭い」ところに問題があるという事になります。 (続)

2013-09-12 13:55:06
某氏@2回目のワクチンを接種しても5Gに繋がらない人 @hatunknown

(承前)これに加えて、図書カードにTカードを選択した場合、Tカード側の規約に「規約が武雄市条例に優越する」という文言が含まれているため、規約上はTカードに関しては武雄市条例による保護が受けられません。従って法的な保護も有効に機能しているとは言い難い状況です。(続)

2013-09-12 14:06:46

… えっと、ちょっと一休みということで。

日本の個人情報保護法  は第二条で「個人情報」を以下のように定義しています。
「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」
逆に言えば、この定義に含まれない、誰のものであるかが分らない、関連付けする手段の無い人事評価簿や身長、体重の推移表なんかは個人情報保護法の対象外ということになります。
…でも、それが自分の物だって分ったら、顔から血の気が引きますよね。

そろそろ、気を取り直してくれたかな?

某氏@2回目のワクチンを接種しても5Gに繋がらない人 @hatunknown

承前)最後に、道義的・倫理的な保護。これは判断が難しいです。道義的倫理的価値観は人それぞれに異なり、一律な判断基準の適用が難しいからです。ただ言える事は、この道義的・倫理的な保護が問われるのは、技術的、法的な保護が機能している事が前提となります。(続)

2013-09-12 14:24:46
某氏@2回目のワクチンを接種しても5Gに繋がらない人 @hatunknown

(承前)道義的・倫理的保護は、例えば法的な保護、個人情報保護法などでは保護されないプライバシ情報を扱う時に、法の保護対象ではないからテケトーに扱っても良いのか?という場合に問われる性質のものです。その意味では、(続)

2013-09-12 14:31:33
某氏@2回目のワクチンを接種しても5Gに繋がらない人 @hatunknown

(承前)その意味では、武雄市図書館の個人情報やプライバシ情報などの取扱については、基本となる技術的な保護と法的な保護に問題点が見受けられるため、より高度な道義的・倫理的な保護を問える段階には無いと言わざるを得ません。(続)

2013-09-12 14:34:45
某氏@2回目のワクチンを接種しても5Gに繋がらない人 @hatunknown

(承前)そろそろ書いている事がグダグダになってきましたが、武雄市図書館で扱われる個人情報及びプライバシ情報の保護については、技術的な保護(運用、管理体制も含む)、 法的な保護、 道義的倫理的な保護のそれぞれが適切に機能しているとは言い難いというのが自分の考えです。

2013-09-12 14:37:51

Tカードの利用については、カードの利用規約が #武雄市 の条例に優越するという妙な状態になっています。普通は、齟齬をきたさないように検討するものなんですけどね…

これについても、懸念を示す方がいます。

ふむ (主に山とオートバイ) @fmht7

@hatunknown 「武雄市の図書館に関する条例/規約と定めが異なる場合に優先的に適用」、つまり現時点では図書館利用規約に従う=「武雄市個人情報保護条例」及び関係法令を遵守となっていますが、「1日以上の予告期間をおいて変更可能」がある限りTカード付きは安心して使えないですね。

2013-09-12 15:05:18
某氏@2回目のワクチンを接種しても5Gに繋がらない人 @hatunknown

@fmht7 はい。また、仮に武雄市側の条例がより厳しい方向へ改正された場合も同様の問題が発生しえます。規約上「武雄市条例による法的な保護が担保されない」と明記されている所は、結構厄介だと自分は考えています。

2013-09-12 15:30:07
ふむ (主に山とオートバイ) @fmht7

@hatunknown なるほどです。細かくてすみませんが『「武雄市条例による法的な保護が担保されない」と明記されている所』とは具体的に「Tカードでの武雄市図書館利用に関する規約」または他の規約のどの部分のことをおっしゃっていますでしょうか?(アクセスできなければ後で結構です)

2013-09-12 15:41:15

ここでお2人が俎上に載せているのは「Tカードでの武雄市図書館利用に関する規約」という文書です。

Tカードでの武雄市図書館利用に関する規約
http://tsite.jp/pc/r/kiyaku/pdf/kiyaku_takeo.pdf

「第7条(その他の事項)
本規約の定めと、CCC が定める「T会員規約」、TPJ が定める「ポイントサービス利用規約」並びに武雄市が定める「武雄市図書館利用に関する規約」、「武雄市図書館・歴史館設置条例」(平成18 年 3 月 1 日条例第 100 号)及び「武雄市図書館・歴史館設置条例施行規則」(平成 18 年 3 月
1日教育委員会規則第28号)(以下総称して「諸規約及び諸規則」といいます)の定めが異なる場合は、本規約が優先的に適用されるものとし、本規約に定めのない事項については、諸規約及び諸規則の規定が適用されるものとします。」

ふむ (主に山とオートバイ) @fmht7

@hatunknown 「定めが異なる場合は、本規約が優先的に適用されるものとし」の部分が「「武雄市条例による法的な保護が担保されない」と明記されている所」というご認識ということですね。了解です。

2013-09-12 15:52:32
某氏@2回目のワクチンを接種しても5Gに繋がらない人 @hatunknown

@fmht7 はい。「それに利用者が同意を与えている」ところです。

2013-09-12 15:56:04

「同意」については #武雄市図書館 に限らず、広く個人情報やパーソナルデータを利用する仕組みで問題になっています。その同意は相手方が本当に理解したうえでのものか、必要な情報は開示されているのか等々。

「同意」を巡る諸課題については、少し長いですが、こちらの資料などが参考になるでしょう。

総務省
スマートフォンを経由した利用者情報の取扱いに関するWG 最終取りまとめ
スマートフォン プライバシー イニシアティブ
-利用者情報の適正な取扱いとリテラシー向上による新時代イノベーション-
http://www.soumu.go.jp/main_content/000171225.pdf

また、法律である個人情報保護法の他、各自治体が定める個人情報保護条例もあり、俗に2000条例問題などといわれています。#武雄市図書館 の場合、更に企業のツールであるTカードの規約まで絡んできますので、そりゃ、ゴルディアスの結び目にもなろうというものです。

コメント

アイヴァーン @Ivarn 2013年9月13日
そも個人情報保護法はその目的を“個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。”ものであって,定義された“個人情報”にしろ取扱い事業者の“義務”にしろ,“個人の権利利益を保護すること”を実現するための最低限の取り決めでしかありません。
0
アイヴァーン @Ivarn 2013年9月13日
つまり,個人情報保護法を守ることが“プライバシーを守る”ということではなく,あくまで単に“法を守る”に過ぎないと考えます。
0
アイヴァーン @Ivarn 2013年9月13日
しかるに,Tポイントプログラム上ですら“個人情報として取得する”として取り扱われるポイント付与情報に相当する,個人を特定しない四情報を“個人情報”ではないとする武雄市は,個人情報保護法の目的を見失ったおよそ順法精神のない自治体とも思えます。
0
アイヴァーン @Ivarn 2013年9月13日
少なくとも,「道義的・倫理的」に個人のプライバシーまで配慮した姿勢は全くない,と言わざるを得ないのではないでしょうか。
0
barubaru @barubaru14 2013年9月13日
「例えば、Tカード番号を誤ってWebに掲載した場合、条件次第では不正ログインされる」どういう誤りでどういう条件なんだ・・・。
0