“チャイナなう”編集室 当サイトへの広告掲載に関するご相談は編集室まで!

個人情報保護に産業基準を制定


2012年4月5日付け 新京報

2012.4.5個人情報保護ガイドライン

(写真の説明:スマートフォンで列車の乗車券データを読み込む乗客。スキャンアプリで乗車券のQRコードに入力されている身分証データが入手できる。)

中国工業情報化部直属の中国ソフトウエア査定センターによれば、同センターと30数社の企業が共同で起草した『情報セキュリティ技術、公共およびビジネス用サービス情報システムの個人情報保護に関するガイドライン』がこのほど正式に評価審査を通過した。現在、国家基準としての承認を申請中だ。

工業情報化部安全協調司副司長の欧陽武氏によると、『ガイドライン』は産業界が業務の自主規制を設定する際の参考値となり、企業が個人情報処理を行う場合の準則ともなる。中国の個人情報保護は楽観視できない情況にあり、個人情報を利用して不法に利益を得ようとする闇組織まで現れている。とりわけ、昨年末に明るみに出た中国インターネット最大の機密漏えい事件は、個人情報保護の熾烈な戦いを予感させるものとなった。

先進国の多くは、早くから個人情報保護の研究や立法に取り組んでいる。中国でも近年になって個人情報保護に関する法整備が開始された。

昨年、全国情報セキュリティ基準化技術委員会が個人情報保護のガイドラインの制定を提案した。当委員会は主に情報セキュリティ基準化業務を行っており、現在の最高責任者は工業情報化部副部長の楊学山氏が兼任している。

中国ソフトウエア査定センター常務副主任の黄子河氏によれば、本ガイドラインは現在、公文書としての番号付けの承認待ち段階にあるが、まもなく正式に公布される予定である。ただし、強制的基準ではない。

■ポイント

このガイドラインは、昨年、審査評価が正式に承認され、国家基準としての申請手続きに入った。中国電子情報産業発展研究院院長であり、中国ソフトウエア査定センターの主任でもある羅文氏は、今年こそ、この基準が国家基準として承認され、個人情報保護の体系確立が進むことを期待していると述べた。

『個人情報保護ガイドライン』は、個人情報の収集、加工、転送、削除の4つの重要項目の処理に対するものであり、個人情報保護の原則も規定されている。

この原則には、使用目的の明確化、必要最小限の使用、公開告知、本人の同意、正確性の確保、安全性の保障、厳格に情報管理、責任の明確化という8項目を規定している。

“必要最小限の使用”という原則は、個人の情報を取得する際に、使用目的が達成できる項目のみを取得するということである。例えば、一部のサイトでは、ごく簡単な手続きにもかかわらず、ユーザの住所や携帯電話番号など、多くの情報の入力を求めている。こうした行為は、“必要最小限の使用”の原則に反する。

“安全性の保障”とは、個人情報管理者が個人情報を取得した際、体系的な個人情報保護制度を確立し、責任者と情報管理手順及び情報漏洩リスクの対応を明確にしなければならないという原則である。

中国ソフトウエア査定センター副主任の高熾揚氏によれば、個人情報漏洩のうち、70%~80%は内部による犯行であり、“安全性の保障”という原則が確実に実施されていないことがその原因である。一部の企業は、大量の個人情報を所有していながら、管理制度の不備によって一部の職員が権限を得ずに顧客情報を得ることが可能な状態となっている。

個人情報保護ガイドラインでは、個人情報を収集する際に告知した“使用目的”が果たされた後は、直ちにその情報を削除することと定めている。

■情報保護指針は強制力を持つ基準ではない

経済的効果を考えれば、実施は早いほうが良い。現在、情報漏洩が発生していない産業分野はない。たとえば、妊婦が子供を出産して家に帰った途端に、粉ミルクの売り込み電話が掛かってきたり、病人が検査を終えて、まだその検査結果に関する説明を受ける前に、医薬品売り込みの電話が掛かって来たりする。

中国ソフトウエア査定センター研究員の劉陶氏は、個人情報を“大量の金銭を紙製の銀行に預けるようなもので、ハッカーに簡単に盗まれてしまう”と例えている。調査によれば、一般市民が最も関心があるのは、金融や電信分野における個人情報セキュリティである。

しかし、懸念すべきは、この指針基準は強制力を持つ基準ではなく、推薦されているわけですらない、ということ。本基準の承認が産業界にどれほどの規範的効果をもたらすかは、今後も観察していく必要がある。

中国ソフトウエア査定センター主任補佐の朱璇氏は、今回の個人情報セキュリティ国家基準は「技術指導文書」だとしている。国家基準には3種類ある。1つは強制的基準、もう1つは推奨基準、そしてもう1つは指導性技術文書であり、その基準は参考値として公表される。国家強制基準は、多くが食品安全の分野に適用されている。

しかし、本基準は、政府機関などの公共管理を実施する職場を除き、各種の組織や機関での使用に適しており、特に電信や医療などの個人情報に敏感な業界での使用に適している。

■現状40項の法律でも個人情報漏洩の防止は困難

工業情報化部電子科学技術情報研究所副所長の劉九如氏の統計によれば、現在、個人情報保護に関する40項目の法律と30以上の法令、200近い規約が存在し、これにはインターネット情報規定や医療情報規定、個人信用管理規定なども含まれている。

個人情報に関する法律法規は数多くあるものの、その内容は散漫でレベルも高くない。刑法修正案(七)は、個人情報立法の代表的事件のひとつと見なされている。2009年、刑法修正案(七)において、“公民個人情報の販売、不法提供罪”と“公民個人情報不法入手罪”の罪名が確定し、はじめて、公民の個人情報が刑法の保護範疇に入れられた。公民個人情報の漏洩や窃盗、販売行為は刑事事件として対処されることとなった。

しかし、この犯罪の主な対象は、“国家機関、金融、電信、交通、教育、医療などの職場の職員”としている。実際、インターネット会社、不動産会社、不動産管理会社、自動車メーカー、ホテル、会計事務所など、個人情報を大量に取り扱う業界は、ほかにも存在する。

法律関係者の多くは、刑法では当該罪の具体的境界基準が明確でなく、この法律はまだ改善すべき余地が多く残っていると指摘する。

また、専門家は、法律での情報漏洩者に対する処罰の規制が不十分だと指摘する。先だって、警察が摘発したCSDN(中国ソフトウエア開発連盟)の600万件に上るユーザ名と暗証番号が漏洩した事件について、北京科学技術大学経営管理学院の梅紹祖教授は、現時点では、サイトに対する処罰は行政警告しかなく、軽すぎる。この処罰では、ほぼ何の威力もないという。

仮に海外で、このような大規模なユーザ情報の漏洩事件が起きた場合、少なくとも経済的処分が下される。2009年、『権利侵害責任法』が公布され、“人肉検索*1”を使用して被害者の権利を侵害する行為に対し、その責任問題を追及する法律の統一規制が設けられた。サイトが、被害者の求める遮蔽や削除の要求を無視した場合、同様に責任を追求される。

社会科学院法学研究所研究員の周漢華氏は、『刑法』も『権利侵害責任法』も事後救済であり、ネット時代において、ネットワークセキュリティと個人情報の全プロセスに対する監督管理がより効果的だ、と指摘する。

■個人情報安全法は、まだ立法段階に入っていない

2003年4月、国務院情報化弁公室は、個人情報の立法化を専門課題として研究を開始し、2005年に『個人情報保護法』の専門家の意見書が完成し、提出された。しかし、この意見は、未だに正式な立法化手続きに入っていない。

当時、意見書は国務院情報化弁公室から国務院法制弁公室に報告された。未だに正式な立法手続きに入っていない原因は非常に複雑だが、“緊迫性の面からみて、まだ強く注目すべき問題ではない”というのが、その主たる理由である。

確かに全てのことに軽重・緩急は存在し、関係部門はそれらを総合的に判断する。しかし、中国で現在発生している個人情報の漏洩、盗難、プライバシーの侵害、個人情報の取引といった事件が日々深刻化する現状にあって、この問題がこれ以上深刻化すれば、社会全体の経済活動に影響を及ぼしかねない。その緊迫性はすでに十分にあると考えるが、社会各層の感覚は異なり、まだ緊迫性を感じない人々もいるようだ。

工業情報化部副部長の楊学山氏は、早急の立法化を主張する。

個人情報保護は実施する範囲が広く、法律の角度から規範化することが必須で、法律面での根拠が必要となる。ここ数年、関係者はみな、個人情報の立法化が正式なスケジュールに組み込まれるよう、努力を続けている。関係者の努力により、とりわけ、個人情報保護が社会の切迫した問題となっている今日においては、立法化の進展も加速されるだろうと述べている。

*1:「人肉検索(じんにくけんさく)」中国のインターネット上で発生した個人情報漏洩行為。不特定多数の匿名人物間で情報を交換しながら、検索エンジンによる検索と、人手による公開情報の検索との両者を駆使し、ある人物の名前や所属を特定したり、事件の真相を解明する活動。

 

ソース:http://it.sohu.com/20120405/n339740103.shtml

チャイナなう編集室