近沢レースのキキララマスクに続いて、キティちゃんのリバティマスクを買ってきました。かわいかったです。
実際つけてみると、柄が派手なので、キティちゃんが目立たないはずです。おそらく。
WEBサイト担当・EC担当のための 個人情報・COOKIE の10のポイント
「WEBサイト担当・EC担当のための個人情報・COOKIE」の資料を作成中です。
特に何か講演をするわけではないのですが、10月は仕事に余裕があるので、作成してみました。ただ、まだ全然未完成で、これから追記していく感じですが、とりあえず最初の方はスライドが完成したので、UPしておきます。
これまでの資料では、個人情報保護法の解説で、法律の解説が結構細かかった資料でした。今度の資料は、法律の解説もしますが、それよりも、トピックごとに、ポイントを解説する資料にしてみました。例えば、Cookieというトピックでは、Cookieは個人情報なのか、Cookieに対してどのような規制がかかるのか、Cookieポップアップは必要か、Cookieウォールとは、みたいな内容をポンポンと、1個ずつは軽めに書く、っていう感じで作ってみました。
スミッコ&キティプチプラグッズ
しまむらとダイソーで、スミッコとキティちゃんのグッズを買ってきました。
- スミッコのシーツ
- キティちゃんのお皿(割れない軽いお皿なのに電子レンジ可!)
- キティちゃんのゴム
私は髪の毛を結んだり特にアレンジしないので、ゴムはいらないのですが、顔を洗う時と温泉に入るとき用にゴムが必要です。顔を洗うとき用のゴムをダイソーで買おうと思ったら、普通のゴムだけじゃなくてキティちゃんゴムが売っていたので、せっかくならキティちゃんがついている方がいいなと思って、こっちを買ってきました。
しまむらってキャラクターグッズが多いから、いくと楽しいです。今まではポケモンのグッズがあってもきっと目に入っていなかったのでしょうけれども、今年に入ってポケモンのかわいさに気づいてからは、ダイソーでポケモングッズも見ています。まだ知らないポケモンがいるので、勉強しなければなりません。
課題解決のための議論の習慣づけ
とても参考になる記事を読みました。
例えば、社内教育の一環で「今日、困ったこと、悩んだことをひとつ挙げなさい」と指示したとします。
誰かがその日に起きた嫌な出来事を発表し、それについて参加者全員で徹底的に分析します。対立はなぜ起こったのか、相手はどんな理屈をぶつけてきたのか、自分はどう考えたのか、相違点は何かなどについて徹底的に討論をします。
そこで上司や経営者が意見を述べ、具体的な方策を提示するという話し合いを粘り強く続けるという方法があります。結果だけを報告させるのではなく、結果に至るプロセスについて深く話し合うことで、人は大きく成長していくものです。
コーチングとしてもとても良いし、自分一人でやる分にもよさそうです。何か困った課題があったときに、それをどう解決する方法があるのかを徹底的に疑似討論するというのは、自分一人でもできそうです。特別な困った課題についてだけ討論をしても、討論のやり方が身につかないと思うので、些細な課題でも習慣としてこういうことをやっていけば、議論のやりかた、考え方が身につきそうです。
10月は余裕あり、そして外国法と顔認証
今年3月下旬ぐらいまでは、数年間、本当に毎日アップアップの仕事量でしたが、今年の3月末から8月ぐらいまでは、時期にもよりますが、結構余裕のある状況でした。9月に入ってまたドタバタしていましたが、10月はまた余裕があり、〆切に全然追われない日々になっています。余裕があってうれしいけど、仕事が少ないと不安な気にもなりますね。
10月は結構余裕があるので、顔認証のヨーロッパの議論を知るためにやっているFRAペーパーの訳・読解が結構進みました。全34ページ中22ページまで読み終わってブログにメモを取れたところです。やったー。
https://cyberlawissues.hatenablog.com/entry/2020/09/08/143132
あと、Cookie関連の資料を作ったり、書籍執筆をやろうと思っているところです。
途中まで顔認証のペーパーを読んだ感想>
顔認証といっても、照合目的と識別目的とで人権への影響度合いは違うようです。照合目的というのは1対1の比較でパスポート画像とその場にいる本人の照合など。識別目的というのは1対多の比較で、多の方がブラックリスト的なもの。つまり道を歩いている指名手配犯を検知したり、届け出られた迷子を検知したり、ブラックリスト搭載者が入店してきたかなんかを調べるような用途。誰がブラックリストwatchlistに掲載されているかが不透明なので良くないようです。
そしてヨーロッパでは照合目的での出入国管理については、根拠法があるようです。識別目的での警察利用なんかについては根拠法がないようです。きっとこれから作られるのでしょうね。
顔認証技術 対 人権の問題を考えるに当たって、人権制約は法律の根拠が必要で、あとは目的の必要性・手段の相当性(比例性)等を検討すべきとのことです。ヨーロッパでも日本と同じような考え方なんですね。芦部憲法で勉強した違憲審査基準に似てますね。GDPRを見ていても思いますが、外国法といっても、そんなに日本と考え方が全くテンでバラバラに違うっていうことはないんですね。日本法は大陸法を基礎にしているはずですが、違憲審査基準はアメリカ法の考え方なんでしたっけね。大日本帝国憲法は大陸法系でしたっけ??ドイツ??日本国憲法はGHQですからね。しかしEUはイギリス(EU脱退するという話はちょっとここでは置いておいて)と大陸法系のところと入っているのですもんね。こういうことを考えると、ローマ法をきちんと勉強したり、あとは憲法の大先生がいつも授業でアンシャンレジームのお話をされていらっしゃいましたが、アンシャンレジームがあったからこその近代法であり、そういうところをもっと勉強すればよかったなと思ったり。生涯学習といいますが、日々の仕事で必要となる勉強でアップアップですが、こういった基礎の部分というか土台になる部分も本当は生涯学習したほうが良いのでしょうね。
あと顔認証に戻すとポイントとしてはエラー率の話。偽陰性と偽陽性はトレードオフ関係にあるので、検出漏れを少なくしようとすると、無実の人が警察に足止めされることになってしまう。逆に無実の人が警察に足止めされにくくすると検出漏れが多い。この偽陰性と偽陽性って、PCR検査の時によく聞きましたよね。まさか顔認証ペーパーでまたお目にかかるとは、びっくりしました。
個人情報保護制度の見直しに関するタスクフォース第8回
第8回資料を見てみたところの雑感です。ものすごーく軽い感想で、特に内容はありません。今、あまりヘビーなブログを書く気分ではなく、個別論点について掘り下げたいというわけではないので。
1.パブコメ
https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/kentoukai/dai8/siryou2.pdf
パブコメ、26者(個人・団体)から89件の意見を受け付けたそうです。意外と少ない。私も出したので、お返事を待って、ブログでコメントしたいと思います!
2.自治体の個人情報保護条例
- 総務省自治行政局クレジットで「地方公共団体の個人情報保護制度の検討」という資料が出ています。
現状で資料を出すならこういう感じかなという内容になっていると思いました。国で一律化したルールを設けるなら、そりゃ行個法ベースになりますよね。
https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/kentoukai/dai8/siryou1.pdf - ただ、個別論点を検討していくと、かなり大変なことになるのではないかと。
- オンライン結合規制は一律化したほうが良いようにも思いますが、
- 目的外利用/提供規制、これ行個法と結構違いますよ、条例。具体的な規定ぶりしかり、例外条項しかり、審議会をどうするのかという問題もあり。行個法8条同等で行けるのかどうか。具体的な条例と実務に落とし込んで精査してみていかないと、仮に行個法通りの法律が成立したとして、施行後に結構悩ましい問題が発生する可能性があるように思います。
- 死者の個人情報問題。これ、行個法も独個法も死者を含むよう拡大したほうが良いと思うのですよね。結局、死者/生存者の切り分けた管理が行われている場合というのが多いのかどうか疑問ですし、死者情報だって同時に生存者情報に当たる場合もあるわけですし、人権享受主体じゃないかもしれないですが、死者情報だって保護すべきことは変わらないと思いますし、あとは開示等の請求権対応ですよね。でも、たぶん行個法の拡大にはならずに、死者は対象外にするっていう規定になるのか、そして場合によっては上乗せ条例で死者も含むっていう形にするのか。それだと、問題解決になるのかどうか。
- 行個法とは離れた独自条項がある条例があって、電算処理(オンライン結合ではない)のための審議会諮問とか手続とか、委託の際の審議会諮問とか、この辺りの整理も必要です。
- 個人情報取扱事務登録簿は、自治体側で更新するのは大変だし、この辺りで自治体側の手間削減ができると良いですよね。そもそも個人情報ファイル簿も、理論上の意義はありますが、実務上の意義はどうなのかというと何ともいえないところがありますし、ただ開示請求の端緒になるというのと、あとは情報管理の良いツールになるはずなのですよね、理論上は。PIAの管理簿と統合する形というか、自治体システム・業務標準化と合わせて、個人情報ファイル簿問題も効率化できると良いのですが。利用目的の粒度もそれぞれですし、その他の記載ぶりもそれぞれです。
- 開示・訂正・利用停止請求も結構違いますよね。条例でね。そのあたりの整理もどうするのか。国より簡単にできるところもありますよね。審査会は存置ですかね。
- 要配慮個人情報と機微情報のところ、これはあくまで理念上の問題であって、意義っていうのが結局、原則保有禁止でも、業務上必要があれば保有せざるをえないわけであって、これはいろいろ意見自体は出るでしょうけど、決めの問題であり、実務調整とか目的との整合とかそういう問題はあまり起こらないようなイメージがありますが。
- 審議会/審査会をどうするかも、理念上の話のほかに、本来どうあるべきなのか、実務はどうなっているのか、保護の徹底・市民による監視・開かれた行政が大前提でありつつも実務効率化のためにできることがあればやっていくべきであり。
- 結構検討すべき点が山盛りなのですが、どう進めていくのでしょうか、と気になるところ。全国自治体に影響がかなり出る話なので、国として自治体とどう一緒に検討していくかという国と自治体の関わり方というか検討作業の進め方・回し方はかなりナーバスな話になりますが、そういうことよりも私が気になっているのは、せっかく法改正ないし新法という一大作業の検討をするのであれば、実務課題を解決するようにすべきであるのに、今の意見状況を見ていると、「自治体は今のままで困っていません」対「行個法ベースで」みたいになっていて、それでは課題解決にならないというか、もっと課題解決するために、各論ベースで検討していって、個人情報を保護することが大前提でありますが、実務効率化と、必要なデータ利活用を実現するためには、個別論点ごとに検討していくべきであるというか、っていうか、でもそれだと小難しくなりがちだから、やっぱり、As IsとTo Beで示して、何を解決するために何をどうするのかを簡単なポンチ絵で示す、これによって目的を明確化する、課題を明確化する、やることの大枠を明確化する。そして自治体が一番気になっているであろう、自治体実務への影響というか自治体がこれによってやるべきことが何でそれが過負荷ではないということを示すと、良いのかなと思うのですが。個別論点を深く掘り下げないと課題解決にはならないけど、今の段階でそれを示しても小難しくなって議論が発散しそうではあるので、As IsとTo Beで大枠を示したうえで、実務担当者レベルでは個別論点の掘り下げを検討するとか、そういう上流レベルと下流レベルじゃないですけど、大きいレベルの話と実務の細かい話とを同時並行で進めていった方が良いように思います。今の資料だと、中間部分をやっているような印象です。大きい話をきちんと共有して、何が課題で、何が目的で、何を解決すべきか、理想の世の中は何かというのをきちんと共有する。これは上の方のレベル、そして表の大きい会議でやる。そして細かい条例の条項については、わからない人が口を出すとめちゃくちゃになるので、実務担当レベルで整理を粛々と進める、で、ある程度まとまった段階で上の方に示す、これがいいのではないでしょうか。As IsとTo Be、私の方で作ってブログにUPしてもいいのですが、なんか、最近資料作成のやる気が起きず。気が向いたらやってみようかと。個別論点の条項の整理とかもやってもいいですが、これ、おととしかその前に一部やりましたしね。でもなんか本当にやる気が起きず。次世代医療基盤法の書き物書こうかなとか、改正個人情報保護法の書き物書こうかなとか、Cookieの書き物書こうかなとか、この自治体の話やろうかなとか、あとそうだ、本の原稿執筆しないといけなかったんだった、でもどうもこういうのをやる気が起きないのが今月ですね。
- ヘビーなブログ書く気が起きないと冒頭に書いた割には長くなりましたが、まあそれもいつものことですかね。一応、各論点を掘り下げてはいないので、内容的にはヘビーではないかなと。
