ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

今日の会議で

今日、某所の会議にお伺いしました。

この会議は3回目ぐらいだったかと思いますが、今回は、事務局側に、見知ったお顔が。T理事官ですよね(今は理事官ではないけれども)。会議中、出席者一覧とかをまじまじと見てしまいました。最後帰り際に話しかけようと思ったのですが、何と言っていいのかよくわからず、つい「あのー、あれですよね」とかって話しかけてしまいました。「あのー、あれですよね」って何でしょうかね^^我ながら謎会話。「あのー、あれですよね。今はこちらに?ああそうですか。よろしくお願いします。」みたいな会話をしました^^ 結構、出向とかありますからね。そういうこともあるのか、と思いました。

今度、これとはまた別の会議体の委員になることになりましたが、委員一覧を見たら、別の会議体でご一緒している先生が。しかもその先生、5年以上前から、複数の人からその先生のお話はよく聞いていたのでした。初めてお会いした時、「ああ、あの先生だ!」と思いましたもん。世界は狭いですね。

国のIT・データ活用戦略と法律トレンド

国のIT・データ活用戦略と法律トレンドをまとめた資料を作りました→コチラ

内容的には、以下です。

  • さまざまなIT・データ活用政策・法律・トレンドワードの概観
  • 行政ビッグデータ(オープンデータ、非識別加工情報、官デ法)
  • 医療ビッグデータ
  • デジタルファースト / デジタル手続法 / デジタルガバメント
  • DPIA / PIA
  • 若干のマイナンバー

過去にUPした資料と重複する部分もありますが*1、現状の課題(私の意見)とか、官デ法とか、デジタルファーストとかは、新規スライドですので、ぜひすべてのスライドをざーっとみてみてくださいね!

 

蛇足。

デジタルファースト法(デジタル手続法)に対する私の意見部分で、国税庁の「申告書作成コーナー」に触れました。誤解を生じないよう念のため補足しておくと、デジタルファーストにするとしても、国で国民と直接触れ合う手続を持っているところが、国税ハローワーク特許庁とか限られているねっていう文脈で、国税は既にeTAXとかでデジタル対応してるよねっていう記載で、特に国税がどうのこうのっていう指摘を私がしているわけではありませんが(誰向けの説明かって感じですが)。

 

で、国税って既にeTAXとかでデジタル対応できてるねって資料で書こうと思ったんですけど、申告書作成コーナーにも触れようかなって思ったのです。正式名称は「確定申告書等作成コーナー」ですかね。

私的に、この件で、結構衝撃を受けたことがあって。

以前、給与所得者だったころは、確定申告を自分でやっていたのですが、私、計算とか数字とか苦手で難しくてよくわからなかったのですが、国税庁の申告書作成コーナーが本当に素晴らしいんです。無料でこんなにぱぱっとできるのか!と感動した覚えがあります。しかし私はそれでもうまくできず、「?」ってなっちゃったんで、そうすると相談電話に電話すると、すぐ相談できて教えてくれるんですよ。全然つながらず保留音で待たされるってこともないし、教えてくれるし、これ、すごいな、と。

私的にはそのシステムがeTAXだと思ったんで、内閣官房時代に国税の人と話しているときに「eTAXってめっちゃ便利ですよね。計算とか全然わかんなくても、入力すると自動で計算してくれたりしますよね。」って私がいったら、「それは違います。それはeTAXではなく、申告書作成コーナー!」と複数の国税の人から言われて、「そうか、eTAXと申告書作成コーナーは違うんだな」ってものすごく印象に残って、5年ぐらいたった今でもいまだに覚えているぐらいです^^

 

しかし申告書作成コーナーを使ってすら、やはり給与所得から個人事業主に代わってしまうと、確定申告が大変すぎて、今は税理士さんにお願いしています。本当に税理士さんにお願いしてよかったですよ。あのストレスから解放されるってすごく大きいですよ。難しくてよくわけわかんなくなるんですよね。

 

昔、大学時代に経済学部に進学しようかと一時思ったときもありましたが、私のように数字が苦手な人間は、絶対に経済学部に進学しないで良かったと心から思います。でも、大学受験は私立、数学受験だったんですよね。数学は別に嫌いじゃなかったはずですが…。最近、メールで数式が書いてあるメールをいただきまして、「もうこれは読めない」と頭が拒否してしまいましたが、一生懸命頑張って読みました。

 

最後、本当にどうでもいい蛇足でした。

*1:特に、次世代医療基盤法は既に公表済の詳細資料からの抜粋だけです

GDPRに基づくData Protection Officer (DPO)まとめ

Guidelines on Data Protection Officers ('DPOs')の自分なりのまとめです。

英文→

https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

日本語訳→

https://www.ppc.go.jp/files/pdf/dpo_guideline.pdf

 ( 2016年12月13日に採択後、修正のうえ2017年4月5日に採択)

※以下()内は、Guidelines on Data Protection Officers ('DPOs')該当箇所。

GDPR日本語訳→

https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf

  

DPOを置くメリット

  • DPOがアカウンタビリティの礎
  • DPOの選任が法令遵守を促進し、ひいては企業にとって競争上の優位になりうる
  • DPOは、GDPR遵守違反があった場合、自ら責任を負うわけではない。管理者または処理者の責任である(Introduction、4.1)。

DPOの役割

  • データ保護遵守、助言、監視、監督当局との連絡、本人への対応
  • DPOは業務に優先順位をつけ、より高いリスクを生じさせ得る問題に注力するように(GDPR39Ⅱ、4.4)
  • DPOは記録作成を担当することも多い(GDPR30Ⅰ・Ⅱの義務、4.5)
  • アカウンタビリティツール(データ保護影響評価の促進及び監査の実行又は促進など)の実施を通じた法令遵守促進のほか、DPOは関連利害関係者(例えば、監督当局、データ主体及び組織内の事業部門)の仲介者の役割
  • 監督当局や本人が使う言語又は複数言語で連絡できる必要あり(2.3)
  • DPOへちゃんとアクセス可能でなければならない。EU域外事業者についてはDPOがEU内でもEU外でも良い(2.4)

DPOに関してやるべきこと

-DPOの詳細な連絡先の公開、監督当局への詳細な連絡先の連絡(GDPR37Ⅶ、2.6)

--本人(データ主体、Data Subject)や監督当局(Supervisory Authorities)が他の部門を通さず、直接容易にDPOに接触できるようにする

--郵便用住所、専用電話番号及び/又はメールアドレスが必要

--可能なら、専用ホットライン、専用フォーム

--DPOの氏名の一般公表義務はない(バイネームの公表まではいらない)が、監督当局へは氏名を連絡すること。また組織内ではDPO氏名を明らかにした方がよい

-秘密保持義務

--従業員がDPOに苦情を訴えられるように

--EU加盟国であれば、EU法又は加盟国法に基づきDPOは守秘義務を負う(GDPR38Ⅴ)。日本国の場合はそのような法令はないと考えられるので、契約上守秘義務を負わせた方が良い(水町私見)。守秘義務といっても、組織を守るための守秘義務ではなく、データ保護に関する問題や通報者の安全を守るための守秘義務と言えるだろう(水町私見)。

-組織内のデータ保護問題に対する早い段階からのDPOの関与(3.1)

--DPOをsenior and middle management会議に定期的に参加するようにする必要

--データ保護に影響する決定を下す際に、DPOを列席させる必要。DPOが適切な助言をできるよう、DPOにあらゆる関連情報を適時渡す必要。

--DPOの意見を常に十分考慮する必要有。見解の相違がある場合、DPOの助言に従わない理由を文書化すべき。

--データ漏えいその他の事案が発生したときに、DPOに速やかに相談する必要有

--DPOに相談しなければならない時期等を記載したガイドラインを組織内で作成しても有益

-組織によるDPOの支援義務(GDPR38Ⅱ、3.2)

--senior management(例えば取締役会レベル)によるDPOに対する積極的なサポート

--DPOが任務を全うするための十分な時間を与える

--資金、インフラ(敷地、施設、設備)、人員(適宜)に関する適切な支援

--組織内でDPOの存在と職務を確実に周知

--組織内の他サービス(人事、法務、IT、セキュリティ等)から必要なサポートや情報等を得られるように

--DPO自身の継続的な研修

-DPOの独立性(GDPR38Ⅲ、3.3)

--DPO職務遂行に関し、DPOは指示を受けない。罰を受けない(昇進の否定、福利厚生の拒否、キャリア開発の妨害、実際に実施しなくてもよく警告でも罰である)。解雇されない。DPOは最高経営者レベルに対して直接報告しなければならない。もっともDPOが、GDPR39に基づく任務を超えて決定権を有するという意味ではないし、任務遂行以外の理由では合法的に解雇されうる。

-利益相反の禁止(GDPR38Ⅵ、3.5)

--DPOは組織内で個人データの取扱目的及び方法を決定することにつながる地位には就けない。幹部の地位(最高経営責任者最高執行責任者最高財務責任者、最高医務責任者、マーケティング部長、人事部長又はIT部長など)のほか、組織構造内でそれよりも低い地位でも、個人データの取扱目的及び方法を決定することにつながる地位には就けない。

--データ保護が絡む訴訟で、外部のDPOが事業者の代理を要請された場合にも、利益相反となる

--利益相反禁止のために以下のことを行うと良い

---DPOの役割と整合しない地位を特定する

---利益相反を避けるため、その趣旨の内規を作成する。

---to include a more general explanation about conflicts of interests利益相反に関するより一般的な説明を行う。

---DPOの職務に関して、DPOに利益相反はないと宣言する

---組織の内規に保護措置を取り入れ、利益相反を避けるためにDPOの地位の人材募集又は業務契約が十分厳密で、詳細なものであるように確実を期す

 

DPOの能力(GDPR37Ⅴ、前文97)

  • 専門知識の水準が、取り扱うデータの機密性・複雑性・量に見合うこと。また越境移転があるか否か、越境移転が常時か散発的かによっても、求められる水準は異なる(2.5)
  • 自国及び欧州データ保護法と実務の専門知識を有すること。GDPRに対する深い理解を持つことが必要(2.5)。監督当局がDPO向けの定期研修を促進すると有益
  • 事業分野や組織を知っていること。IT、データセキュリティ、データ保護の必要性を理解していること(2.5)
  • 誠実さや高い職業倫理感といった個人的資質も必要(2.5)
  • 社外の人や組織と業務契約を締結しDPOを依頼することも可だが、DPOチームにする場合は、DPOチーム内で任務の割り当てを明確に行い、主要窓口を明らかにすると良い(2.5)

DPO選任義務(GDPR37I)

-DPOを選任する義務がある場合はDPOを必ず置く。義務がない場合でも、置いた方が良いと推奨されている(Introduction)。DPO選任を義務づけられていないことが明白でない限り、関連要素が適切に考慮されたことを証明できるようにするため、DPOの選任の要否を決めるべく行われた内部分析を文書化する(2.1)。DPOを自主的に置いた場合でもGDPR37-39が適用(2.1)。DPOを設置しない場合、DPOと紛らわしい肩書は使わない(2.1)。

-各拠点から容易にアクセスできれば、企業グループが単一のDPOを設置してもよい(2.3)

-管理者・処理者のどちらに義務が生じるかによって、場合によっては管理者のみ又は処理者のみ、場合によっては管理者と処理者両方が、DPOを選任しなければならない(DPOは互いに協力すべき)(2.2)

--処理者から選任されたDPOは、処理者が管理者として取り扱うデータ(例えば、人事、IT等)についても監督すること

--処理者のみ設置義務がある例

---顧客数が少なく業務が比較的限定的である零細企業が、処理者のサービスを用いる場合で、処理者の中心的業務は、ウェブサイト分析サービスと、ターゲティング広告やマーケティングの支援の提供のとき。処理者はこの零細企業のような顧客を多数抱えており、合算すると、処理者の業務は、大規模な取扱いを実行。

---中規模のタイル製造企業が、職場の保険サービスを外部の処理者に外注し、処理者は同様の顧客を多数抱えて、取扱いが大規模の場合。

-DPOを選任する義務があるのは以下のいずれかに該当する場合

--(a) 公的機関又は公的組織によって行われる場合。ただし、裁判所がその司法上の権限を行使する(acting in their judicial capacity)場合を除く取扱い

--(b)管理者又は処理者の中心的業務が、その取扱いの性質、範囲及び又は目的のゆえに、データ主体の定期的かつ系統的な監視を大規模に要する取扱業務によって構成される場合;又は、

--(c) 管理者又は処理者の中心的業務が、第9条による特別な種類のデータ及び第10条で定める有罪判決及び犯罪行為と関連する個人データの大規模な取扱いによって構成される場合。

 

-(a)の解説

--公的な機関及び又は団体は、国、地域、地方の機関を含むが、準拠する国内法に基づき、公法によって統轄される一定範囲の他の団体も含むのが通例。例えば、公的機関の情報の再利用に関する2003年11月17日の欧州議会及び理事会指令2003/98/ECの第2条(1)及び(2)における「公共団体」及び「公法により統轄される団体」の定義を参照(OJ L 345, 31.12.2003, p.90)。(2.1.1)

--たとえ義務がなくとも、WP29は、望ましい慣行として、公的任務を遂行する又は公的権限を行使する民間組織が、DPOを選任することを勧告する。かかるDPOの活動は、公的任務の実行や公務執行に無関係なもの(例えば従業員データベースの管理)も含め、実行されるすべての取扱作業を対象とする(2.1.1)。

-(b)の解説

--中心的業務GDPR第37条(1)(b)(c)及び前文第97項参照)は、管理者又は処理者の目標達成に必要な重要作業と考えることができる(2.1.2)。

--ただし、「中心的業務」は、データ取扱いが管理者又は処理者の業務の切り離せない部分を形成している業務を除外すると解すべきでない。例えば、病院の中心的業務は医療の提供である。しかし、病院が患者の健康記録などの健康データを取扱わずに、安全かつ効果的に医療を提供するのは不可能であろう。それゆえ、このようなデータの取扱いは病院の中心的業務の一つと見なすべきで、病院はDPOを選任しなければならない。別の例として、ある民間警備会社が多くの民間ショッピングセンターや公共の場の監視を行っている。監視はこの会社の中心的業務であり、個人データの取扱いと不可分に結びついている。それゆえ、この会社もDPOを選任しなければならない。

--一方、あらゆる組織が、従業員の給与支払いや標準的なITサポート業務などの一定の業務を行っている。これらは、組織の中心的業務又は主たる事業にとって、必要なサポート機能の例である。これらの業務は必要又は不可欠のものであっても、一般的には、中心的業務ではなく、副次的機能と見なされる。

--大規模GDPR第37条(1)(b)(c)及び前文第91項参照)か否かは、以下の要素を勘案する(2.1.3)

---関係するデータ主体の数――具体的な数字又は関連する人口の割合

---取扱われるデータの量及び/又は異なるデータ項目の範囲

---データ取扱業務の期間又は永続性

---取扱業務の地理的範囲

--大規模に当たる例

---病院の通常業務内の患者データの取扱い

---市の公共交通機関を利用する個人の移動データの取扱い(例:乗車カードによる追跡

---専門的な処理者が統計目的のため行う国際的なファーストフードチェーンにおける顧客のリアルタイムな地理位置情報の取扱い

---保険会社又は銀行の通常業務内の顧客データの取扱い

---検索エンジンによる行動ターゲティング広告のための個人データの取扱い

---電話又はインターネットのサービス事業者によるデータ(コンテンツ、通信量、位置)の取扱い

--大規模に当たらない例

---個々の医師による患者データの取扱い

---個々の弁護士による有罪判決及び犯罪に関連した個人データの取扱い

--定期的かつ体系的監視(「データ主体の行動の監視」は前文第24項参照)

---行動ターゲティング広告の目的を含め、インターネット上のあらゆる形の追跡及びプロファイリングは明確に含まれる。ただし、監視の概念はオンライン環境に限定されない。

---定期的とは次の1つ以上の意味を有する

----現在継続している又は一定期間内において一定の間隔で発生する

----決まった時期に繰り返し発生又は繰り返される

----常時又は周期的(periodically)に発生する

---体系的とは次の1つ以上の意味を有する

----システムに従って発生する

----予め決められている、組織立っている又は方法論に従っている

----データ収集の全体計画の一環として行われる

----戦略の一環として行われる

---例

----電気通信ネットワークの運営;電気通信サービスの提供;リターゲティングメール;データドリブンマーケティング活動;リスク評価目的のプロファイリングとスコアリング(例えば、クレジットスコアリング、保険料の確定、不正防止、マネーロンダリングの検知のため);位置追跡(例えばモバイルアプリによる);ロイヤルティプログラム;行動ターゲティング広告ウェアラブルバイスを通じた健康データの監視;閉回路テレビ(CCTV);例えばスマートメーター、スマートカー、ホームオートメーションなどの接続機器

-(c)の解説

--「管理者又は処理者の中心的業務が、第9条による特別な種類のデータ及び第10条で定める有罪判決及び犯罪行為と関連する個人データの大規模な取扱いによって構成される場合」とあるが、「及び」ではなく「又は」と読むべき(2.1.5)。つまり、こうなる→「管理者又は処理者の中心的業務が、第9条による特別な種類のデータ又は第10条で定める有罪判決及び犯罪行為と関連する個人データの大規模な取扱いによって構成される場合」

--条文のミスか

 

GDPRのDPO関連条文

Section 4 Data protection officer 第4節 データ保護オフィサー

Article 37 Designation of the data protection officer 第37条 データ保護オフィサーの指名

1. The controller and the processor shall designate a data protection officer in any case where:

1. 管理者及び処理者は、以下の場合において、データ保護オフィサーを指名しなければならない:

(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;

(a) 公的機関又は公的組織によって行われる場合。ただし、裁判所がその司法上の権限を行使する(acting in their judicial capacity)場合を除く取扱い;

(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or

(b)管理者又は処理者の中心的業務が、その取扱いの性質、範囲及び又は目的のゆえに、データ主体の定期的かつ系統的な監視を大規模に要する取扱業務によって構成される場合;又は、

(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of datapursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10.

(c) 管理者又は処理者の中心的業務が、第9条による特別な種類のデータ及び第10条で定める有罪判決及び犯罪行為と関連する個人データの大規模な取扱いによって構成される場合

2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment.

2. 企業グループは、データ保護オフィサーが各拠点から容易にアクセス可能な場合に限り、1名のデータ保護オフィサーを指名できる。

3. Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organisational structure and size.

3. 管理者又は処理者が公的機関又は公的組織である場合、その組織上の構造及び規模を考慮に入れた上で、複数の公的機関又は公的組織に対して単一のデータ保護オフィサーを指名できる。

4. In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors.

4. 第1項で定める場合以外においては、管理者若しくは処理者、又は、様々な種類の管理者若しくは処理者を代表する団体その他の組織は、データ保護オフィサーを指名することができ、又は、EU法又は加盟国の国内法によって要求される場合、データ保護オフィサーを指名しなければならない。そのデータ保護オフィサーは、そのような団体その他の組織を代表する管理者又は処理者のために行動できる。

5. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39.

5. データ保護オフィサーは、専門家としての資質、及び、特に、データ保護の法令及び実務に関する専門知識並びに第39条で定める職務を充足するための能力に基づいて指定される。

6. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.

6. データ保護オフィサーは、管理者又は処理者の職員とすることができ、又は、業務契約に基づいてその職務を果たすことができる。

7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to thesupervisory authority.

7. 管理者又は処理者は、データ保護オフィサーの連絡先の詳細を公表し、かつ、監督機関に対し、それを連絡しなければならない。

 

Article 38 Position of the data protection officer

第38条 データ保護オフィサーの地位

1. The controller and the processor shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data.

1. 管理者及び処理者は、個人データの保護に関連する全ての問題に、適正かつ適時に、データ保護オフィサーが関与することを確保しなければならない。

2. The controller and processor shall support the data protection officer in performing the tasks referred to in Article 39 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge.

2. 管理者及び処理者は、第39条で定める職務の遂行において、その職務を遂行し、個人データ及び取扱業務にアクセスするため、並びに、データ保護オフィサーの専門的な知識を維持するために必要となるリソースを提供することによって、データ保護オフィサーを支援しなければならない。

3. The controller and processor shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. He or she shall not be dismissed or penalised by the controller or the processor for performing his tasks. The data protection officer shall directly report to the highest management level of the controller or the processor.

3. 管理者及び処理者は、データ保護オフィサーが、その職務の遂行に関し、いかなる指示も受けないことを確保しなければならない。当該データ保護オフィサーは、当該データ保護オフィサーの職務の遂行に関して、管理者又は処理者から解任され、又は罰則を受けることがない。データ保護オフィサーは、管理者又は処理者の最高経営者レベルに対して直接報告しなければならない。

4. Data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation.

4. データ主体は、その個人データの取扱い及び本規則に基づくその権利の行使に関連する全ての問題に関し、データ保護オフィサーと連絡をとることができる。

5. The data protection officer shall be bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law. 

5. データ保護オフィサーは、EU法又は加盟国の国内法に従い、データ保護オフィサーの職務の遂行と関係する秘密又は機密を厳守しなければならない。

6. The data protection officer may fulfil other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests.

6. データ保護オフィサーは、他の職務を遂行し、義務を履行することができる。管理者又は処理者は、そのような職務及び義務が利益相反とならないことを確保しなければならない。

 

Article 39 Tasks of the data protection officer

第39条 データ保護オフィサーの職務

1. The data protection officer shall have at least the following tasks:

1. データ保護オフィサーは、少なくとも、以下の職務を行わなければならない:

(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;

(a) 管理者又は処理者及び取扱いを行う従業者に対し、本規則及びそれ以外のEU若しくは加盟国のデータ保護条項による義務を通知し、かつ、助言すること;

(b) to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;

(b) 取扱業務に関与する職員の責任の割当て、意識向上及び訓練、並びに、関連する監査を含め、本規則の遵守、それ以外のEU又は加盟国の個人データ保護条項遵守、並びに、個人データ保護と関連する管理者又は処理者の保護方針の遵守を監視すること;

(c) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35;

(c) 要請があった場合、第35条によるデータ保護影響評価に関して助言を提供し、その遂行を監視すること;

(d) to cooperate with the supervisory authority;

(d) 監督機関と協力すること;

(e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.

(e) 取扱いと関連する問題に関し、監督機関の連絡先として行動すること。第36条に規定する事前協議、適切な場合、それ以外の関連事項について協議することを含む。

2. The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.

2. データ保護オフィサーは、その職務を遂行する際、取扱いの性質、範囲、過程及び目的を考慮に入れた上で、取扱業務と関係するリスクに関し、適正に注意を払う

 

 

 

困難な問題を抱える女性への支援のあり方に関する検討会

www.mhlw.go.jp

知人の方から本件に関するメールが来て、厚労省サイトに上がっている資料をざっと読みました。全部見れているわけではありませんが、検討会でも「若年女性」への支援のところでかなり意見が出ていましたが、私の意見をブログに書きたいと思います。特に、この件に関して専門というわけでもありませんので、弁護士としてというより一個人として、自分が今までいろいろと思ったことを書くだけですが。

 

困難な問題を抱える女性として、10代女性の問題があると思います。

さまざまな家庭環境の困難(DV、児童虐待育児放棄、性虐待、親とそりが壊滅的に合わない、家庭にメンタル的な困難を抱える等)から、家にいられない子どもがいます。繁華街や道、商業施設などで、何となく時間をつぶしているうちに、同じような環境の子どもと一緒に時間をつぶすことが増えたりもします。

で、夜は外で時間をつぶして日中家に帰ったり、または家に帰れなくて泊まる場所がないという子どもがいます。行政に支援を求める子はおそらくすごく少なくて、友達の家を渡り歩いたり、子どもを複数人泊めてくれる場所(必ずしも善人の家とは限らないが善人の場合もある。飯島愛さんの自伝本でもそのような場所が確か出てきたはず。)に泊まったり、女子の場合は、援助交際することで泊まる場所を手に入れたり、または子ども複数人を泊めてくれる場所で性被害にあったりするなどの事態もあります。

 

自分の責任でこういう事態に陥っているというのではなく、生まれた家の環境で、家で過ごすことができず、で、泊まる場所を得るために援助交際をしたり性被害にあったりというのは、あってはならないことです。

こういう10代を乗り越えて、安定的な職業・生活を得るというのも非常に困難です。望まずして流れでなんとなく性風俗産業に身を置いたり、望まない妊娠を経てシングルマザーになったりする方もいると思います。

家に帰れない、または帰りたくない10代女子が、安心して過ごすことのできる場所が必要なのではないでしょうか。今の福祉施設等では、そういう場所になっていないという考え方もできるのではないでしょうか。もっと簡単に、とりあえず「ここに泊まっておくか」ぐらいのノリで泊まれる施設が必要なのではないかと思います。

 

女子だけの問題ではなくて男子でも同様です。夜を道で過ごすうちに、グループを形成していって、望まないままになんとなく犯罪グループに参加してしまったり、ということもあると思います。このとき、夜を道で過ごすうちに、生涯つきあえる仲の良い友達ができたりしたらいいのですが、「あいつらは友達でもなんでもない、ただ時間をつぶすだけの関係」というような供述も、少年記録を読んでいると見られたりもします。私はあまり半グレ系のマンガとかは読みませんけど、イメージ的にはそういうのは友情に熱い的なイメージもあったりしますが、そうではなく、積極的に望んでいるわけではないけれども仕方なく一緒にいる関係というのも意外と多いようにも思います。しかも犯罪グループといっても、振り込め詐欺出し子的な、変な言い方ですが、リスクが高いわりに割の合わない犯罪をやらされたり、ということも多々あるようにも思います。粗暴犯も多いとは思いますが。

 

自分が弁護士の仕事をリタイアしたら、家に帰れない子供が安心して過ごせる場所を提供する仕事をしようかと思ったこともありますが、一個人で取り組むのはかなり困難そうだなと思いました。夜中、いつでも入れるように開けていないといけないという問題もあります。それなりの人数が要る仕事です。行政がこういう支援をするといいなあと思います。

 

少年事件の記録を読んでいると、かなりいろいろと考えさせられます。厚労省法務省で所管は違いますが、10代少年少女への支援を考える際に、家庭裁判所の調査官や少年事件に詳しい弁護士・ルポライターなどにヒアリングしてもよいのではないでしょうか。あとはいわゆる放置子も、このような問題と関連するのかもしれません。

 

ちょっと雑駁になってしまい、またいつもと経路が違うブログでしたが、前からこういうことを思っていて、で、厚労の検討会の資料を見たら、ブログに書きたくなったので書いてみました。以上です。

過去にハッキングされた個人情報をつなぎ合わせた22億件ものIDとパスワード

今日、読んだ記事。備忘のために貼り付けておきます。

wired.jp

22億件のID/PWDがリストになってるってすごいですね。しかも無料で流通しているという…。

こういうことを考えると、ID/PWD以外のセキュアな認証基盤ってニーズがある気がしますが、いまいちセキュアな認証方法が普及していない現実を踏まえると、結局、ID/PWDが漏えいしていても、実害があまり生じていないっていうことなのかなと思ったりも。

"平成32年"と記載の契約書は有効なのか

以前お知らせした、プレジデントに元号の件でコメントした記事が、ネット公開されているようですので、リンクを貼っておきます

president.jp