昨日は、情報ネットワーク法学会の特別講演会「個人情報保護、自己情報コントロール権の現状と課題」を聴講してきた。堀部政男先生の基調講演では、OECDの情報セキュリティ・プライバシー作業部会の副議長を12年間務めてこられた中でのご経験のお話、佐藤幸治先生の特別講演では、憲法学の立場からプライバシーをどうとらえるかの哲学的なお話を伺うことができた。
堀部先生のお話の中で、OECDの作業部会に副議長として参加した際に、他の国からは、「Privacy Commissioner」「Data Protection Commissioner」「Data Protection Authority」といった、国の機関からの代表者が派遣されているのに、日本だけが国の代表者ではなく一人の研究者としての参加であったため、時には一部の情報について教えてもらえないこともあったというエピソードが紹介された。つまり、日本にもそうした組織がないと他の国と対等に渡り合えないという意味だと私は理解した。
パネル討論でも、堀部先生から次の話が紹介された。今年4月23日に開かれたブリュッセル・データ保護会議の席で、欧州委員会司法自由安全総局法務政策部ユニットD5・データ保護事務官のHana Pechackova氏から、「十分性認定手続きを開始するためには、第三国の代表による公式な要請が欧州委員会に提出されなければならない」との発言があったそうだ。堀部先生の認識では、「日本は、個人の私生活にかかわる個人データ及び基本権に関して十分なレベルの保護を提供している国であるとは、EUによってまだ考えられていない」のだそうで、つまりこの話は、日本は「国の代表による公式な要請」を提出できる体制を整えないと、十分性認定の手続きすら開始してもらえないぞ、という指摘なのだと理解した。
加えて、東京都情報公開・個人情報保護審議会でグーグル社の出席者が、ストリートビューについて「日本にはプライバシーコミッショナーが無いので事前調整しなかった」という旨の発言をした件(2月4日の日記参照)にも軽く触れられ、これも、そうした組織が必要との提言と理解した。
また、どなたの発言だったか記憶が不確かだが、専門家が集まって国の委員会で議論しても、官庁の担当者はすぐに変わってしまうことから、「足となり得ない」という話があった。これも、諸外国の「Privacy Commissioner」などの組織との違いなのだろう。
講演会終了後の懇親会でも、たくさんの方々と重要なお話をすることができ、とても有意義だった。特に、昨年のNTTドコモがiモードで契約者固有IDを送信するようになった件について、誰のせいでそうなったのかの話で盛り上がり、けっこう多くの方がこれを問題だと認識されているらしいこと、また、何人もの方が問題解決に向けて尽力なさっているらしいことがわかり、少し安堵した。
昨年10月のネットワークセキュリティワークショップin越後湯沢2008で、「インターネットにおけるセキュリティとプライバシーの両立について」という講演(スライドPDF)をさせていただいたのだが、その後、ワークショップ事務局から、そのときの様子を撮影したビデオのDVDを頂いた。事務局の承諾が得られたので、このビデオを以下に公開する。
この講演の内容は、昨年6月の白浜シンポジウムのナイトセッションの続きで、白浜から帰った直後に書いた「日本のインターネットが終了する日」と、その続編の内容をまとめたものになっている。
「歴史的経緯」のところで話しているように、2001年の総務省研究会では、ID送信はプライバシ上問題があり「原則違法」とまで報告書に書かれていたにもかかわらず、2007年の総務省研究会では、ID統一の構想が浮上した際にプライバシーの検討がなされないという、ちぐはぐな事態になったわけだが、この件も、担当者が変わることで一貫性が損なわれた事例ではないだろうか。
諸外国のように、プライバシーコミッショナーのような専門組織が継続的にこの種の問題を扱っていたなら、こうした事態は避けられたのではないか。
最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引