本の森から山ある日々へ_人、市民、弁護士として残された日々を生きる
IT・AI関係の法律書のうち、法律相談形式のもの、及び関係する事項について体系的に触れているもののうち、私の手許にあるものについて、その詳細目次を掲載しておきます。皆さんが直面している問題が、どういう位置づけになるのかを理解する参考にしていただければと思います。当該書を入手して更に理解を深めるか、理解、解決が難しそうなら私に相談していただくこともお勧めします。
「インターネット新時代の法律実務Q&A<第3版>」、「IoT・AIの法律と戦略」、「法律家・法務担当者のためのIT技術用語辞典」(作成中)、「裁判例から考えるシステム開発紛争の法律実務」(作成中)を紹介します。
WordPressには、サーバーにインストールして使用する無料のプログラム版(WordPress.org)と、基本的には無料のブログサービス(WordPress.com)がある。後者には、有料のパーソナル、プレミアム、ビジネスの各プランがあり、それぞれのプランによって高校が外れる等の機能が追加される。
ブログサービス(WordPress.com)は、レンタルサーバーを用意する必要がなく、利用法も簡単なので、今私は、そのプレミアムプランを利用している(月1000円弱)。これだと一応、CSSも適用できる。ただブログサービスではできることに制限があることや、今のレイアウト(テーマ)が大分時間が経ったので変えてみたいこと等から、かねがね慣れてきたらプログラム版に移行したらどうかなと思っていた。事務所移転を契機に、レンタルサーバーで前のメールアドレスが使えるのではないかということと、MSオフィスが5セット使えることから、3ヶ月くらい前にレンタルサーバーの契約をした。ただ、まだMSオフィスを使っているだけで、移行の決断はできていない。
プログラム版に移行するために、WordPressの基本的な操作方法や現在のテーマの仕組みを理解・復習した上で(投稿するだけだと、仕組みのことはどんどん忘れていく。)、これを別のテーマに変更し、その上で移行することになるが、やはり億劫だ。特にブログサービスからプログラム版への移行に伴う、ドメイン名とURLの変更は、理屈から勉強しなければならない。
移行するかしないか、移行にどんなメリットがあるのか、問題点を検討していこう。
現在のテーマは、ページが変わる度にヘッダー画像が入れ替わることがとても気に入っている(自分でとった10枚ぐらいの山の写真を当てている)。この仕様のヘッダーを他のテーマで使用できるかどうかは分からないが、できないなら使用停止にすればいいだけのようだ。
あと現在のテーマは「ショーケース」(固定ページテンプレート)が利用できるが、これが何なのか、変更、移行の支障になるのかどうなるのか、よくわかっていない。
最近気がついたのだが、「テーマ」ページの該当テーマ上にポインターを置くと出てくる「テーマの詳細」をクリックすると、その「テーマ」の説明が出てくる。これでその「テーマ」の概要が理解できて、便利だ。
「テーマ」以前に、WordPressの基本的な操作方法を思い出す(習熟する)必要がある。操作の管理画面(ダッシュボード)は、 プラン、投稿、メディア、リンク、固定ページ、コメント、フィードバック、外観(テーマ,カスタマイズ,ウィジット,メニュー,ヘッダー,背景,AMP,テーマオプション),プラグイン,ユーザー, ツール, 設定から構成されているが、これだけで複雑すぎる。いつもいじるのは、投稿、固定ページ、外観であり、特に外観が重要だ。これについては、WordPress.ORG日本語に丁寧な説明がある(昔はなかったような気がする。)。
「テーマ」の変更と移行の関係だが、考えてみれば、「テーマ」の変更は今でもワンクリックかツークリックで可能であること、移行は同じ「テーマ」ですればよいことを考えると、まず基本的な操作方法に習熟して現在の「テーマ」をしかるべきものに変更し、その後、移行した方がよいかどうかを検討すればよいだろう。
私にとってWordPressの最大の問題は、ビジュアルエディタとテキストエディタ(HTMLモード)を切り替えると、HTMLタグが自動で除去されてしまうということである。普通は、簡単なビジュアルをエディタ使うが、時に少し変わったことをするためには、キストエディタを使わざるを得ない、その切り替えが、思いもよらない結果を生んでしまい、困ってしまう。これを止めさせるには、PS Disable Auto Formatting というプラグインを使えばよいことは知っていたが、プラグインは基本的には、プログラム版でしか使用できない。ビジネスプランでプラグインが使用できるようになったようだが、このプラグインは含まれていない。だからやはり…プログラム版と思っていたのだが、このプラグインを次項の「Instant WordPress」(その説明)で試してみると、テキストエディタからビジュアルエディタに切り替わらない。あれ!と思っていたのだが、どうもあるバージョンアップ以降、そうなってしまうようだ。それなら現時点で苦労してプログラム版に移行する必要はなさそうだ。でも油断していると、いつ何が起きるかわからないから、十分な目配りが必要だ。
結果、エディタ問題は何一つ解決せず、先送りだ。と思っていたが、TinyMCE Advancedというよく使われるプラグインである設定をするとこの問題に対応できるという記事を見つけた。しかもビジネス版で使用できるプラグインにも含まれている。でもこれだけのために。使用量が毎月1000円(割引がないと2000円)増額になるのは嫌だ。「Instant WordPress」でうまくいかないか。
このようなことをしばらく試行錯誤するしかないが、そのためのツールとしてパソコンにプログラム版をインストールしてあれこれ試して見ることができる「Instant WordPress」というソフトを見つけた。以前も似たようなサービスもあったが、これはとても簡単だ。とりあえず、これでこれで検討しよう。TinyMCE Advancedとについては、確認出来次第報告しよう。
私は、WordPressのエディタの問題について、いつまでもWordPress側が動かないのが、不思議でたまらない。もう少しプログラムをいじると対応できるとの記事もあるので、そうしている人も多いのかもしれないが、素人がいつも使うエディタなのにそういう問題かなあ。
HTMLのバグに次いで不思議な問題だ。
最近、個人情報の保護に関する法律(以下「保護法」)に関して検討した事案があり、2017年5月30日から改正保護法が全面施行されたこともあるので、改めて保護法について基本から考えてみることにした。IT、AIに関する法務のかなりの部分は、「情報」、「データ」が関連するので、「AIと法」の法部門の嚆矢にふさわしいだろう。
さて多くの事業主や企業は「御社のした個人情報の取得(提供)は、違法である」といわれると、それだけで震え上がってしまう。これにプライバシー、コンプライアンス、説明責任と畳みかけられると、頭の中が真っ白になってしまうことになる。でもそのような指摘が正しいことは稀である。
今は、「個人情報」に限らず、本来正しい出自を持つ(であろう)言葉が、本来的な定義や意味内容とは関係なく「語感」を恣意的に膨らませたイメージを基にして、「ゴシップ」(ロビン・ダンバーがいう言語の起源を想定している。)の「武器」として使用され、あたかもそれが真実であるかの如くネットを通じて勢いよく拡散、流通してしまう。
何が正しいのかとは別に、このような事態になりそうな、あるいはなってしまったときの最低限の対応(あるいは心構え)だけは考えておく必要がある。私はIT、AI大好き人間であるが、この「ゴシップ」の拡散、流通を楽しいとは思わない。
前振りが長くなってしまったが、「ゴシップ」の拡散問題は追々考えていくとして、ここではまず「個人情報」として降りかかってきた火の粉を、正当に振り払うために、保護法を基本から考えてみよう。
まず本項(その1)では、保護法に違反するとどうなるのか、事業者が取り組むべき課題は「個人情報データベース」の適切な運用であること、そもそも「個人情報」とは何かという、保護法の「尾根」を辿ってみよう。
保護法は、「個人情報取扱事業者」が「個人情報」(及び「個人データ」、「保有個人データ」)を取り扱う(取得、利用、提供等する)場合のルールを定めている。取り扱う「情報」が何種類にも分かれ(改正法によって「個人識別符号」、「要配慮個人情報」、「匿名加工情報」が付加された。)、それに応じてなすべき行為も複雑に絡みあっているので、お世辞にも分かりやすいとはいえない。取り扱う「個人情報」が膨大で違反した場合の影響が大きい大手事業者以外は、内心びくびくしながら、表面をなぞって済ませるのが精一杯であろう。
ところで精一杯なぞった結果、残念ながら保護法に違反していた場合、どうなるのであろうか。
それは、保護法の「第3節 監督」に書かれている。
「個人情報取扱事業者」に何か問題があったら(ありそうだったら)、
①必要な報告若しくは資料の提出を求められたり、立入検査を受けることがあります(40条1項)、
②個人情報等の取扱いに関し必要な指導及び助言を受けることがあります(41条)、
③「保護法の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告されることがあります(42条1項)、
④「勧告を受けても正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、その勧告に係る措置をとるべきことを命じられることがあります(42条2項)、
⑤「緊急の場合はいきなり命じられることもあります」(42条3項)という流れになる。
そして、 ④⑤に違反した場合は、「6月以下の懲役又は30万円以下の罰金に処する」、①に従わなかった場合は、「30万円以下の罰金に処する」ことになる。
おや!「個人情報」の取扱いに不備があった場合は、お役所にいろいろと調べてもらって、保護法に沿うように指導、助言、勧告をしてもらい、それを聞き入れず、命令にも従わなかった場合にはじめて「6月以下の懲役又は30万円以下の罰金」?これは決して重い罰則ではないし、お役所がそこまでやってくれたのなら普通は聞き入れるだろう。
その外に苦情処理制度に付き合わされることもある。多少煩わしい場合があるかも知れないが、それも問題がある場合に任意の解決をしようとする制度だ。
それに、今回の法改正で「個人情報取扱事業者」には、事実上、すべての事業者が含まれることになったこともあり、大量あるいはセンシティブな「個人情報」を取り扱っている事業者以外の行為が問題になることは稀であろう。
要は、保護法は、これからの「高度情報通信社会の進展」の中で大量に流通する「個人情報」の取扱いは極めて大切なことだから、漏洩等が生じないようにみんなで保護法のルールを守りましょうという、ソフトな「仕組み」になっている(「交通違反」の対応とは大違いだ。)。そう考えると、随分気楽になるし、保護法のルールも冷静に取り入れようという気になるのではないか。
ただそれにも拘わらず、どうして「個人情報」の取扱いがこれほど問題なることがあるのだろうか。
ひとつは、「個人情報」の他に、「プライバシー」という法律上保護される利益があり、「個人情報」と「プライバシー」が重なる部分があって、保護法に違反することが、プライバシーの侵害と同視され、非難、クレームの対象とされてしまうことがあることにあろう。実態は単なる「ゴシップ」の類で言いがかりに等しい場合もあるが、そうでない場合もある。事業者としては「炎上」を意識し、内容に応じた適切な対応をすることを余儀なくされるのはやむを得ない。
もうひとつは、「個人情報」が業法に組み入れられている業種があり、その場合は、免許の問題にもなってしまうことがある。
さらに保護法の条文の構成、内容の出来がよくないことからもたらされる混乱もある。以下、これについて2点指摘しよう。
事業者が保護法によって取り組むべき一番大事な課題(ルール)は「個人情報データベース」の適切な運用である。そもそも保護法が適用される「個人情報取扱事業者」とは「個人情報データベース等を事業の用に供している者」(保護法2条5項)であり、個人情報データベース等を事業に使っていない者は、保護法の適用を受けないから、「個人情報」(「個人データ」、「保有個人データ」)についてのルールは一切適用されない。
事業者が、「個人情報データベース」を利用するからこそ、その構成「要素」である「個人情報」の「取得や利用目的」についてのルール、及び「個人情報データベース」のうち事業者に管理権限のあるもの(「保有個人データ」)について一定の事項の公表や本人の開示等の請求に対応する義務が定められているのである(保護法27条~34条)。
ここで用語を整理しておくと、「個人情報データベース等」とは、「個人情報を含む情報の集合物であって、ⅰ特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの及び、ⅱ特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるものから、利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除いたもの」である(保護法2条4項)。ざっくりとPCで利用する「個人情報データベース」(整理された紙情報も含むが)を念頭に置けば足りるだろう。
そして、個人情報データベースを構成する個人情報を、「個人データ」と呼称し、保護法は個人情報データベースを構成する「個人データ」について、正確性の確保等、安全管理措置(従業員、委託先の監督を含む。「情報セキュリティ管理」)、第三者提供の制限を規定している(保護法19条ないし26条)。
ここが事業者の「本丸」である。データベースの情報が漏洩したり、丸ごと第3者に提供されたりすることについて、守るべきルールがあり、そこに義務が課されているというのは当然であるし、それは分かりやすいであろう。
更に一定の管理権限を有する「保有個人データ」についての「個人情報データベース」について、付加的な義務が課されているのは前述のとおりである。
この部分の各論は、「その2」に譲ろう。
保護法は、「個人情報」について15条から18条に規定している。
保護法を読む場合、まず2条の定義を読み、15条から18条を読むのが普通であるが、これを読んで、ここに何が書かれ、具体的にこれがどういうルールなのか、理解できる人はいないだろう。それほど不安定で曖昧模糊として書きぶりになっている。
しかし、事業者が取り組むべき課題は「個人情報データベース」の適切な運用であることを理解し、「個人情報」は取得後、「個人情報データベース」の「個人データ」として加工、収納されるが、その間の、どこに落ち着くか分からないぼやっとした過程を、「取得」、「利用目的」で制御したのが「個人情報」の規定であると捉えれば、随分分かりやすくなる。
「個人情報」の「取得」は出発点であるが、「偽りその他不正の手段」によらない限り自由に取得すべきものである(ただし、改正法で導入された「要配慮個人情報」の取得には本人の「同意」が必要である。)。
問題は入り組んだルールになっている「利用目的」であるが、目的であるから「……のため」に利用するという形で、できる限り特定することになろうが、ここでも、個人情報は「個人情報データベース」に加工、収納されるべき要素であるから、「利用目的」は、「個人情報データベースを構築しこれを……のために利用する」という形で問題になると考えるのが分かりやすい。
したがって個人情報取扱事業者(個人情報データベース等を事業の用に供している者)が、個人情報データベースと無関係に取得した「個人情報」は、保護法の埒外にあると解すべきであろう。中小の事業主や企業ではこの種の一過性の「個人情報」が問題とされることが多い。仮に、個人情報取扱事業者である限りすべての「個人情報」について保護法の適用があると解するのであれば(お役所は、目的的な「解釈」ができないことから、無反省にそのようなことを言う)、保護法18条の解釈に工夫を凝らすことになろう。さらにそのような「個人情報」は個人情報データベースに組み入れられることはないから、有形情報は廃棄すれば足りる。
ここで、通常一番最初に取り上げられるそもそも「個人情報」とは何かについて検討する。
「個人情報」の定義の基本は、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」である(法2条1項)。
すなわち、「生存する個人に関する情報」のうち、その中に記述された「氏名、生年月日等」(「識別の手段となる情報」といえよう、)があることで、特定の個人を識別することができるものである。
「生存する個人に関する情報」の中に記述された「氏名、生年月日等」の「識別の手段となる情報」だけでも「個人情報」ではあろうが、そんなカスカスの情報に特段の意味があるわけではなく、それによって特定の個人のものであることが分かる「生存する個人に関する様々な情報」が、保護法の「保護」に値する「個人情報」である。
そうであるからこそ「識別の手段となる情報」はなくても、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」は、「個人情報」となることが理解できる。
これまでの世上流通していた「解説」は「個人情報」として主として「識別の手段となる情報」だけを取り上げていたから、わかりにくさが倍増していた。それが保護法から人を遠ざけていた面があったと思うが、今回の法改正によってこの点の理解は深まったように思う。
以上、保護法に違反すると事業者はどうなるのか、事業者が取り組むべき課題は「個人情報データベース」の適切な運用であること、そもそも「個人情報」とは何かという、保護法の「尾根」を辿ってみた。「その2」では、事業者が取り組むべき課題について詳述することにする。
こういう俯瞰図の元に保護法にアクセスすると、随分、分かりやすいと思うのだが、ここまででかなりの分量になってしまった。以下、参照条文を載せておく。