高木浩光＠自宅の日記

■ 個人情報保護委員会ゥァア゛ーッ ドガシャア

本務先の降って湧いた業務が火の車で、原稿は落とすわ、Facebookの誕生日を非公開にしたらお祝いのメッセージもらえないわで、日記を書いている元気など当面微塵もないのだが、堪忍袋の緒が切れたので、これは寝る時間を削ってでも今書いておかねばなるまい。

図1: 認定個人情報保護団体シンポジウムの開催について, 個人情報保護委員会, 2018年3月7日

個人情報保護委員会が今年もシンポジウムをやるというのだが……

図2: 認定個人情報保護団体シンポジウムの開催について, 個人情報保護委員会, 2018年3月7日

「nintei-symposium.jp」……。頭悪そう……。

そしてそのサイトを見に行くと……

図3: https://nintei-symposium.jp/, 謎の運営者の謎サイト

図4: 最高に頭悪そう。

底辺レベルだろこれ。

誰がこのサイトを運営しているのか不明。シンポジウムの主催者すら書いてない。「主催者挨拶」が個人情報保護委員会委員だというのだから、個人情報保護委員会が主催なんだろうけども。

そして、「申し込みフォームへ」のボタンを押すと……

図5: 個人情報保護委員会による直接書面取得時の利用目的明示

図6: スクロールで見えてくるナンセンスギャグ*1

みなさーん、これが個人情報保護委員会が公認する「直接書面取得時の利用目的明示義務」（個人情報保護法18条2項、行政機関個人情報保護法4条）の実施例ですよー！

• スクロールバーで行数少なめに抑えたテキストエリアでかっこよく告知事項を表示。
• 「本展関係のご案内」という“消費者”*2にすごく意味のわかる利用目的の特定及び明示。
• まったくどこにも書いてないのにどこだかわかって当然よね「当社」との記載。

利用目的明示はこれでオッケーでーす。日本の個人情報保護法制はこーんなにも簡単だよー。誰でもできちゃうねー。クルクルパーでも遵守できる法律だよー。EUから十分性認定もらえそうでよかったねー。

アホか。

いったい何度同じことを言ったらわかるんだ？ 2014年12月の「情報経済課は恥を知って解散せよ（パーソナルデータ保護法制の行方 その12）でも言っただろ。誰が当該個人情報の取扱い主体なの？ 個人情報保護委員会なの？ 委託先の無記名業者（＝「当社」）なの？

もうバラしちゃうけども、これは今回が初じゃない。2度目だよ。一昨年2月の「個人情報の保護と利活用を考えるシンポジウム」とやらでも、同じことをやらかしていた。

図7: 「個人情報の保護と利活用を考えるシンポジウム」を開催します 〜個人情報を守って活かす、安心で豊かな社会〜,
個人情報保護委員会, 2016年2月1日

「unei-jimukyoku.jp」だってさ。すごく頭悪そう。

このときも取得する個人情報の取扱い主体が誰かを明かしていなかった。このときは、登壇者の先生方の黒歴史になってはいけないと、私は表で騒がず、裏からこっそりと指摘して差し上げて、後に以下のように修正された経緯がある。

図8: 2年前の同様事案で追記がなされた様子（参加申し込みが終わってからの対応だった）

しかも、取得主体が個人情報保護委員会であるなら、.go.jp（政府ドメイン名）に置かないと、「政府機関の情報セキュリティ対策のための統一基準」の遵守事項（6.3.2(1)）違反だよ。何回言ったらわかるの？

たかがドメイン名（笑）とバカにしてるんだろうが、政府ドメイン名の使用については、どういう風の吹き回しか知らない*3が、国会でも質問主意書が出る（「政府ドメインの統一に関する質問主意書」2018年1月25日提出, 衆議院質問答弁経過情報）くらい国会議員に注目されてる*4んだぞ。「閲覧者が偽サイトを政府の真正サイトと誤信し個人情報をだまし取られる「フィッシング詐欺」などの被害について早急な対応が必要と考えるが」とか言われてるんだぞ。 国会で吊し上げられることになってももう知らんぞ。

大事な原稿も落としたことだしもうぶっちゃけて言っちゃえば、事務局長に嫌われると「あいつらの話を聞くな」とか言われかねないので、大人しくして裏から親切にご指摘差し上げてきたが、もうええわ。無視してくれてけっこう。こんなポンコツ法律、似非専門家で囲って後生大事に温存していけばいいんじゃない？

まさか、取得主体が誰かを明らかにする義務などないとか言い出さないよね？ 確かに、個人情報保護法18条2項、行政機関個人情報保護法4条が直接書面取得時に要求しているのは、利用目的の明示であって、取得主体については何も言っていない。だけども、これは条文で明記されずとも当然に必須のこととして解されるべきものなんじゃないの？

その点、認定個人情報保護団体の親玉的存在であるところのJIPDECの「個人情報保護指針」（認定個人情報保護団体としての指針）は、ちゃんと「直接本人から個人情報を取得する場合には、あらかじめ、本人に対し、当該個人情報を取得する主体について明示することが望ましい。」（p.11）と規定している。いい子だ。いっそ認定個人情報保護団体から個人情報保護委員会を指導・監督して差し上げたらよろしいのでは？

取得主体を明らかにするというのは、「誰がdata controllerか」ってこと。EU法ではいの一番にはっきりさせなくてはならないことだよ。「委託先のやることなので」では済まんのだぞ。素人はすっこんでろ。

今、この業界では、EUからの十分性認定がもらえそうだと期待感が高まっていて、このタイミングで日本法のポンコツぶりをEUにバラす輩は国賊者だと言われているから、みんな大人しくしてるけど、data controllerが自分だと特定することすらしない個人情報保護委員会なんて、世界のコミッショナー会議のお笑い種でしょ？ もうさっさとEUの怖い先生方にバレて、十分性認定なんぞ破談になればいいんじゃない？

反省する気があるなら今すぐこのサイトを閉じろ。同じ過ちを繰り返さないための組織的対策を講じろ。