ちゃんと守れる?「プライバシー」プライバシーマーク制度

おはようございます。情報セキュリティ相談センターです。

突然ですが皆さん、プライバシーと個人情報の違いって分かりますか?

どちらも似たような意味合いを持つ言葉として認識し、使っているのではないでしょうか?たしかに、このふたつの言葉は深くかかわっている言葉です。

情報が資産になるこの時代で、個人情報の取り扱いは最も重要なことのひとつです。これまでも様々なところで言ってきましたが、個人情報は個人にとっても、企業にとっても、大事な情報です。あなたにとってはどうでもいいような情報も、誰かにとってはずっと価値のあるものかもしれません。

ただでさえ口頭・紙媒体といった直接的な理由以外での情報漏洩も方法がたくさんある時代です。

さまざまなものが電波に乗りインターネットに放出されるということは、それはもう取り戻せないのです。誰が手にしたのかさえ特定は難しくなります。

言ってしまえば、高い塔の上から紙をばら撒くようなものです。その紙はあなたにとって無価値なものかもしれませんが、拾った人は簡単にお金に換えてしまいます。

インターネットと現実世界が融合しているというのは、そういうことなのです。

本日は、そんな大事な大事な個人情報を守るプライバシーについてです。


個人情報とプライバシーと法律

では、冒頭の問いに戻りますが、プライバシーと個人情報の違いとは何でしょう?

「個人情報」は、個人情報保護法で

『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)、または個人識別符号が含まれるもの。』

と定義されています。

簡単に言えば、生きている個人の情報であり、特定の個人を識別できるもののことを「個人情報」と言います。

わたしは本名ではないSNSのアカウントを持っていますが、そこで本名や住所、勤務先、あるいは生年月日といった、わたしにまつわる情報が記載された写真が投稿されれば、それは「本名ではない匿名のアカウント」であることに関わらず「わたし」の情報ですから、個人情報の流出になります。

少しややこしいですが、それを保有している人がわたしだろうとわたしじゃなかろうと、わたし個人の特定が可能な情報はわたしの個人情報であり、それを公表したのが誰であろうと個人情報の流出に変わりはありません。

また、個人情報保護法は日本の法律ですが、日本に居住する外国人の方の情報も個人情報に含まれます。

一方「プライバシー」は「個人や家庭内の私事・私生活。個人の秘密。また、それが他人から干渉・侵害を受けない権利」「自己の情報をコントロールできる権利」という意味があります。

どちらかといえば権利的な意味合いが強いですね。

どちらも法律の話ですから、なかなか簡単にすべて理解できる話ではありません。う~ん、難しいです。

たとえば、メールアドレス「123abc@~」といったメールアドレスはただの汎用的な文字の羅列であり、個人の特定には至りません。しかしそれが「yamada@~」といった、名前の予測が可能かつ、個人を特定できるものであった場合、個人情報に該当するそうです。@の後に企業ドメインがあれば、「その会社のヤマダさん」まで特定できてしまいます。

とはいえずいぶんと曖昧な境界であり、この境界はそのほとんどを各々の判断にゆだねるしかないのです。

個人情報保護というのは、企業や団体が個人情報を適切に取り扱う方法を規定したものであり、プライバシーの保護は含まれません。

とはいえ、個人情報保護法を守るということはプライバシーを守ることに繋がるので、全く別物というわけでもありませんね。

同様に、「企業や団体」が対象ですから、各個人には適用されません。つまり、わたしの友人がSNS等でわたしの個人情報を公開したり、メールアドレスを勝手に誰かに教えたとしても、「個人情報保護法」には抵触しません。(もちろん、それはそれで別の問題になりますよ!)

世の中は個人情報を利用して便利になる一方で、その扱いによるトラブルも増えていく一方です。

インターネット通販で何かを購入するために入力された個人情報、氏名、電話番号、住所、おまけにクレジットカードの番号など、悪用されたらどうでしょうか?

買い物に行く手間を省くために、便利にするために利用した個人情報がもし1度でも悪用されれば、怖くてそのサイトでの買い物なんてこれからできないですよね。

悪用なんて言い方をしましたが、企業も企業で“悪”用するために手に入れたわけではないのに、どこかで漏れてしまい悪用されたらどうなるでしょうか?

先に行ったように、利用者は減りますし、社会的信用も失います。情報はなんでもアッという間にニュースになりインターネットの海を飛びまわる世界ですから、その被害は甚大になるのが目に見えています。

とはいえ、信頼できるサイト・会社かどうかなんてなかなか見わけがつかないですよね。大手有名会社でも個人情報漏洩でニュースになる時代ですから、自分の身は自分で守るしかないのです。

プライバシーマーク

引用:JIPDEC

プライバシーマークというものをご存じですか?

プライバシーマーク制度とは、「事業者が個人情報の取扱いを適切に行う体制等を整備していることを評価し、その証として“プライバシーマーク”の使用を認める制度」のことで、1998年に運用が開始された制度です。もう20年以上前からある制度なんですよ。知っていましたか?

その目的は「消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること」「適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること」の二点です。

インターネットセキュリティなどもそうですが、どうしても見えないものに意識を向けるのは難しいことです。

通販サイトなんだから、大手会社なんだから、そういうサービスを提供しているのだから、「個人情報は守られて当たり前でしょ?」と思ってしまいがちです。

だって流出するかどうかの不安レベルや信用度は目に見えませんから、漠然とした不安を抱えながら利用するか、利用を全くやめるかの二極化になってしまいます。

せっかく便利になっているのに、それを利用する土壌はまだきちんと出来上がっていないのが現状ですから、わたしたちは常にリスクと隣り合わせで利用するかしないかの判断をしています。

そういった判断の材料になるのが「プライバシーマーク」であり、プライバシーマーク制度の目的なのです。


本日のまとめ

たとえば、Webサイトで会員登録をするとき、様々な個人情報が必要になりますよね。いったい何に使うのかわからないようなことが聞かれることもあるかもしれません。そのサイトは、本当に信頼できるサイトでしょうか?

そんな時、そのサイトの企業にプライバシーマークがついていたらどうでしょうか?

プライバシーマーク付与事業者は、付与事業者の名称、個人情報管理者の連絡先、個人情報の利用目的、その他個人情報に関わる問い合わせ窓口などを明示し、同意を取ります。

本来の個人情報保護法では本人の同意は不要ですが、この段階を踏むだけでだいぶ不安は払しょくされるのではないでしょうか?

他にも、関係ない会社からDMが届くことがありませんか?どこかで入力した情報が漏出したのか不安になりますよね。

プライバシーマーク付与事業者は、本人以外から取得した個人情報を利用してDM、電話、FAX、メールなどで連絡する際、必ず個人情報の取得方法を通知し、その後の連絡の同意を得る必要があります。

以前にもお話ししました、オプトイン、オプトアウトと同様で、特にメールは迷惑メール防止法の規定がありますから、みなさんには拒否する権利がしっかりあるのです。

このように、普段の生活の中で曖昧な個人情報の取り扱いや、それに対する漠然とした不安を少しでも解消するための制度がプライバシーマークというのです。

現在このマークが付与されている事業者は17,000社弱です(2021年12月現在)。ごまんとある事業者の中でまだまだそんな数なのです。

これからも、インターネットを通した個人情報のトラブルは増えていくかと思います。それは世界が便利になった代償です。それでも、当たり前ですが、リスクはないほうが良いに決まっています。

そのための制度のひとつがこの「プライバシーマーク制度」なわけです。

先ほども言いましたが、自分の身は自分で守るしかありません。自分の判断が大きなトラブルを招きかねないのがインターネット社会です。そうならないように、判断するときに目を光らせてください。もしかしたらこのマークが安全なほうへ導いてくれるかもしれませんよ。

ノーリスクハイリターンがなによりですからね。

<参考サイト>

JIPDEC

個人情報保護委員会

よくわかるプライバシーマーク制度

CANON:サイバーセキュリティ情報局