なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:パスワード

kojinjouhou_rouei_businessman
1.尼崎市で全市民46万人分の個人情報漏洩事故
報道などによると、兵庫県尼崎市は、すべての市民約46万人分の個人情報の入ったUSBメモリを紛失したことを発表したとのことです。

・全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表|NHKニュース
・住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリーの紛失について|尼崎市
・兵庫県尼崎市における「個人情報を含むUSBメモリーの紛失」についてのお詫び|BIPROGY株式会社

報道や尼崎市サイトのプレスリリースによると、USBメモリには、すべての市民約46万人分の住民基本台帳統一コード・氏名・住所・生年月日・性別などのほか、住民税の額、生活保護の受給に関するデータなど機微な個人データも含まれていたとのことです。USBメモリは、新型コロナのための生活困窮世帯への臨時特別給付金の支給を尼崎市が委託した業者(BIPROGY株式会社(旧日本ユニシス))が紛失したとのことです。このUSBメモリは、業者が市の許可を得ずに個人情報を入れて持ち出し、大阪のコールセンターで個人データの移管作業を行った後、作業の終了後も個人データの消去を行わず、担当者が当該USBメモリを持ったまま飲食店で酒を飲み、当該USBメモリの入ったかばんを紛失したとのことです。これはUSBメモリの紛失や酒を飲んでかばんを紛失など、典型的な個人情報漏洩事故ですが、その被害が全市民約46万人分ということで驚いてしまいます。

2.尼崎市個人情報保護条例から考える
尼崎市個人情報保護条例をみると、第6条は尼崎市の行政部局(実施機関)は「保有個人情報の漏えい、滅失又はき損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない」として、いわゆる安全確保措置を講じなければならないことを義務付けています。また第7条は、尼崎市の役職員に対しても、業務上知り得た個人情報をみだりに他人に知らせてはならないなどの守秘義務を課しています。

さらに、おそらく尼崎市は同条例8条2項5号の「本人以外の者に保有個人情報を提供することが明らかに本人の利益になることが認められるとき」などの条項をもとに、本件の臨時特別給付金の支給業務を外部の民間業者に業務委託したものと思われます。

しかしこの場合にも同条例9条は、市の実施機関は外部業者などに個人情報に関する業務を委託する場合には、「当該保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求め」るなどの安全管理措置を講じなければならないと義務付けています。

この点、本件の尼崎市の個人情報漏洩事件は、報道などによると、①業者が市の許可を得ずUSBメモリで個人情報を持ち運んだこと、②業者の担当者は作業の終了後も個人データを消去せず、当該USBメモリをかばんに入れて飲食店で酒を飲み当該かばんとUSBメモリを紛失したこと、③尼崎市も当該業者の給付金業務の委託にあたり、漫然と全46万人分の住民基本台帳ネットのすべての個人データにアクセス可能な状況におき、すべての個人データをUSBメモリに入れて持ち出しを許していることなど、外部業者の安全管理措置違反(個人情報保護法23条)だけでなく、尼崎市の安全確保措置違反の責任は非常に重大です(尼崎市個人情報保護条例6条、7条、9条)。

IPA(独立行政法人情報処理推進機構)の公表している「情報セキュリティ10大脅威 2022」においては、「情報セキュリティ10大脅威(組織)」のなかの5番目にUSBメモリなどによる個人データの不正な持ち出しなどは例示されているとおり(44頁)、USBメモリなどによる個人データの不正な持ち出しは個人情報漏洩事故の典型的な事例ですが、公的機関として多くの個人データを預かる尼崎市の責任は重大であると思われます。

・情報セキュリティ10大脅威2022|IPA

尼崎市個人情報保護条例

(安全確保の措置)
第6条
実施機関(実施機関が個人情報を取り扱う事務(以下「個人情報取扱事務」という。)を実施機関以外のものに行わせる場合にあっては、当該個人情報取扱事務を行うものを含む。)は、保有個人情報の漏えい、滅失又はき損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない。

(従事者の義務)
第7条
個人情報取扱事務に従事する実施機関の職員又は職員であった者(前条に規定する場合にあっては、その個人情報取扱事務に従事している者又は従事していた者(以下「個人情報取扱事務従事者」という。)を含む。)は、その事務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。

(保有個人情報の提供を受ける者に対する措置要求)
第9条
実施機関は、第8条第2項第3号から第6号までに掲げる事由のいずれかに該当することを理由に保有個人情報を提供する場合において、必要があると認めるときは、当該保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求めるものとする。

3.損害賠償責任など
個人情報保護法制による行政法上の責任とは別に、今回被害にあった住民の方々に対しては尼崎市と委託を受けた業者は民事上の損害賠償責任を負うことになります。住民基本台帳ネットワークの業務を自治体から再々受託を受けた業者の従業員が住民票データを漏洩させた事件について、裁判所は不法行為に基づく損害賠償責任(原告一人につき1万5千円)を自治体に認めています(宇治市住民票データ漏洩事件・大阪高裁平成13年12月25日判決、宍戸常寿『新・判例ハンドブック 情報法』199頁)。

4.住基ネット訴訟・マイナンバー訴訟との関係
また、本個人情報漏洩事件は、自治体の保有する住基ネットの個人データから全住民の個人データが漏洩してしまったという点で、現在各地で係争されているマイナンバー訴訟に影響を与える可能性があります。

マイナンバー訴訟に先立つ、いわゆる住基ネット訴訟においては、住基ネットによる住民・国民の個人情報の収集・管理・利用は憲法13条が保障する個人の私生活上の自由などプライバシー権の侵害にあたるか否かが争点となりましたが、最高裁は、①住基ネットに保管される個人情報は氏名・住所など秘匿性が高い情報とはいえないこと、②情報システムの構築など情報セキュリティ上も法律上も住基ネットは適切な安全管理が施されていると審査を行い(構造審査)、国民・個人の私生活上の自由を侵害しているとはいえない、として原告側の訴えを退けています(最高裁第一小法廷平成20年3月6日判決、宍戸・前掲200頁、山本龍彦・横大道聡『憲法学の現在地』139頁)。

しかしこの住基ネット訴訟の最高裁判決では、最高裁は住基ネットは情報セキュリティ的にそして法的に堅牢であることを根拠の一つとして合憲判決を出しているわけですが、今回の尼崎市の個人情報漏洩事件では、条例や法律が杜撰に運用され、情報セキュリティや安全管理措置も適正に運用されず、全市民46万件もの個人データの漏洩を許してしまっています。

とくに今回の漏洩事件では、全住民46万人分の住民基本台帳統一コードもその他の個人データとセットで漏洩してしまっています。住民基本台帳統一コードはマイナンバー制度のマイナンバー(個人番号)に似て、国民一人に一つの番号を国が付番する性質のものであり、この番号があると国民の個人データの名寄せ・突合が簡単にできてしまい、不正なプロファイリングや信用スコアリングの危険があります。この尼崎市の個人情報漏洩事件は、マイナンバー訴訟などにも影響する可能性があるのではないでしょうか。

5.令和3年改正個人情報保護法
なお、令和3年改正個人情報保護法は、自治体や行政機関等に対しても、個人情報漏洩事故が発生した場合は、当該自己を自治体や行政機関等は、個人情報保護委員会に報告しなければならないと規定しています(法68条、冨安泰一郎・中田響『一問一答令和3年改正個人情報保護法』86頁)。おそらく尼崎市から警察とともに個人情報保護委員会に対しても、本件個人情報漏洩事故の報告が行われているものと思われます。

■追記
ITmediaニュースなどによると、記者会見中に尼崎市の担当者は、本事故で漏洩したUSBメモリにかかったパスワードの桁数をしゃべってしまったとのことです。これは情報セキュリティ的に二重三重に驚きです・・・。

・USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」|ITmediaニュース

■追記(6月24日)
尼崎市サイトによると、紛失していたUSBメモリが発見されたとのことです。
・紛失していたUSBメモリーの発見について(6月24日)|尼崎市

「現在、同メモリー内にある個人情報については、関係機関と協力しながら、調査を進めております。」とのことです。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・冨安泰一郎・中田響『一問一答令和3年改正個人情報保護法』86頁
・山本龍彦・横大道聡『憲法学の現在地』139頁
・宍戸常寿『新・判例ハンドブック 情報法』199頁、200頁

■関連する記事
・調布市の陥没事故の被害者住民の情報公開請求に係る個人情報の漏洩事件について考えた(追記あり)
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?













このエントリーをはてなブックマークに追加 mixiチェック

Googleワークスペース

1.茅ヶ崎市の小学校が生徒にGoogle Workspace For Educationのパスワードの提出を求めている?
Twitter上で、ある茅ヶ崎市の小学校の親の方(hiro_様 @papa_anniekey)が、「茅ヶ崎市の小学校が生徒のGoogle Workspace For Educationのアカウントのパスワードの年1回の変更を親に求めたうえで、新しいパスワードを学校に提出しろとプリントで要求しているのは情報セキュリティの観点からおかしい」とツイートし、ネット上で大きな注目が集まっています。確かにこれは突っ込みどころが満載すぎて驚いてしまいます。
『子供が小学校から持って帰ってきた文書、セキュリティ側の人間からすると違和感しかない。 1年経ったから情報セキュリティの観点からパスワード変更?意味わからん。理由になってない。 パスワードをこの紙に記載の上教師に提出?パスワードは個人に帰属でしょ。
@Chigasaki_city
#茅ヶ崎市』
ヒロ様のツイート1
(hiro_様(@papa_anniekey)のTwitterより)
https://twitter.com/papa_anniekey/status/1489026061937508357

この茅ヶ崎市の小学校におけるGoogle Workspace for Educationの生徒のパスワードに関する問題は、①茅ヶ崎市が生徒やその親にパスワードの年1回の定期変更を求めていること、②新しいパスワードを書面に書いて学校に提出することを求めていること、③そのような行為はGoogle Workspace for Educationの利用規約に違反しているおそれがあること、④そもそも自治体・教育委員会や学校がGoogle Workspace for Educationを未成年の小学生に全面一律に利用させることが妥当なのか、⑤茅ヶ崎市個人情報保護条例8条、11条違反のおそれおよび個人情報保護法17条、20条違反のおそれ、など様々な面で問題があると思われます。

2.パスワードの定期変更
そもそもパスワードの年1回などの定期変更は必要なのでしょうか?

この点、総務省サイトの「安全なパスワード管理」のページはつぎのように説明して、パスワードの定期変更は不要であるとしています。
・安全なパスワード管理|総務省

なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
総務省パスワード
(総務省「安全なパスワード管理」より)

この総務省の「安全なパスワード管理」をみても、パスワードの定期変更は不要であるとされています。

3.パスワードを他人や学校に教えてよいのか?
また、この総務省の「安全なパスワード管理」は、「パスワードの管理方法」として、「他人に知られないよう、かつ自分でも忘れてしまうことがないように管理をしましょう。」と明記しています。

総務省パスワード2
(総務省「安全なパスワード管理」より)

この点、児童とSNSの問題に関して、内閣府サイトの『保護者向け普及啓発リーフレット「ネットの危険からお子様を守るために 今、保護者ができること」』の2ページ目もつぎのように、「他人にIDやパスワードは絶対に教えません。」と記載しています。
内閣府パスワード
(内閣府『保護者向け普及啓発リーフレット「ネットの危険からお子様を守るために 今、保護者ができること」』2ページより)
・ ネットの危険から子供を守るために>保護者の皆様へ|内閣府

そのため、職場だけでなく学校でも、個人が自らのパスワードを学校に教えることは情報セキュリティの観点から適切でないと思われます。

なお、2021年12月には、練馬区のある中学校がSNSのパスワードを学校に書面に書いて提出することを求めるプリントを配布したことが炎上し、練馬区は謝罪と撤回を行いました。

・練馬区が親子に家庭のSNSルールを作成させ学校に提出させるプリントにパスワードの記入欄があることを考えた(追記あり)-セキュリティ・プライバシー・不正アクセス

4.茅ヶ崎市個人情報条例や個人情報保護法に違反しているのではないか?
(1)学校と個人情報保護法制
茅ヶ崎市の教育委員会や公立学校は、茅ヶ崎市の個人情報保護条例の適用を受けます。また、私立学校は個人情報保護法の適用を受けます。また、文科省の指針通達「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講すべき措置に関する指針」(平成16年11月11日)は、公立学校に対しても個人情報保護法を遵守することを求めています。

(2)不正の手段による個人情報の収集の禁止
そこでまず、茅ヶ崎市個人情報保護条例8条3項は、「実施機関は、個人情報を収集するときは、適法かつ公正な手段により収集しなければならない。」と規定しているところ、上でみたように、パスワードの定期変更を求め、新しいパスワードを学校に提出することを求めることは、不適法であり、不公正な手段によるパスワードという個人情報の収集であり、茅ヶ崎市の教育委員会は同市の個人情報保護条例8条3項に違反していると思われます。

茅ヶ崎市条例2

同時に、個人情報保護法17条1項も「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。」と規定しており、茅ヶ崎市の教育委員会・小学校は「偽りその他不正の手段」によりパスワードという個人情報を収集しており、個人情報保護法17条1項違反であると思われます。

(3)安全管理措置
つぎに、茅ヶ崎市個人情報保護条例11条1項は、「実施機関は、個人情報の漏洩、滅失及び毀損の防止その他の個人情報の適切な管理のために必要な措置を講じなければならない。」と自治体の教育委員会や学校などの実施機関に対して個人情報の安全管理措置を講じるように定めています。

茅ヶ崎市条例

また、個人情報保護法20条も「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と、学校などの事業者に対して、個人データに対する安全管理措置を講じるように求めています。

そして、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」の「8-6 技術的安全管理措置」は、事業者に対して「アクセス制御」や「アクセス者の識別と認証」を適切に行うことを求めており、パスワードの定期変更を求めたり、パスワードの学校への提供を求めている茅ヶ崎市の学校や教育委員会の行為は、茅ヶ崎市個人情報保護条例11条1項と個人情報保護法20条および個人情報保護法ガイドライン(通則編)の8-6に抵触しているおそれがあります。

(なお、個人情報保護法17条違反があった場合、本人は個人情報取扱事業者に対して、個人データの利用の停止と消去を請求することができます(法30条1項)。また、本人はこの請求から2週間後に、裁判所に対して個人データの利用停止と消去を求める訴訟を提起することが可能です(法34条1項)。さらに茅ヶ崎市個人情報保護条例17条以下も開示請求の規定を置いています。)

5.Google Workspaceの利用規約などに違反するのではないか?
「Google Workspace for Education 利用規約」はネット上でも公開されています。そこでこの利用規約を読むと、「2.5 不正使用」は、自治体・教育委員会や学校に対してつぎのように、「本サービスの不正使用を防止し、不正使用をやめさせるための…合理的な努力を行う」ことを求め、「本サービスの不正使用または不正アクセスを発見した場合は直ちに Google へ通知」することを求めています。

Google不正使用の禁止
(Google Workspace for Education 利用規約より)
・Google Workspace for Education 利用規約|Google

上でみたように、日本の総務省や内閣府がパソコンやスマホなどの「パスワードは他人に教えてはいけない」ことを国民に周知し、またパスワードの定期変更も不要と周知しています。

また、不正アクセス禁止法「何人も、不正アクセス行為(略)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。」(4条)と規定しており、自治体や企業、学校などが他人のIDやパスワードなどをみだりに収集してはならないと定めていることなどを考えると、茅ヶ崎市の小学校が生徒のパスワードの定期変更と新しいパスワードを書面に書いて提供することを求めていることは、この利用規約の「不正使用」または「不正アクセス」に該当し、Googleから茅ヶ崎市が、契約解除や損害賠償などを請求されるリスクがあるのではないでしょうか(民法415条または709条)。

5.学校でGoogleのシステムを利用することは妥当なのか?
GoogleがPCやスマホなどのCookieやIPアドレスなどを利用して、ユーザーのネット閲覧履歴、購買履歴、移動履歴などの個人データを収集・分析し、ユーザーを監視やプロファイリングなどを行い、行動ターゲティング広告などを実施していることはよく知られています。

日本の個人情報保護法は直接、プロファイリングを規制する条文はありませんが、しかしEUGDPR(一般データ保護規則)22条1項「コンピュータの個人データの自動処理のみによる法的決定、重要な決定の拒否権」、つまりいわゆる「プロファイリング拒否権」を定めています。

そして、日本の2000年の労働省「労働者の個人情報の保護に関する行動指針」第2、6(6)も同様の内容の条文を置いており、AIやコンピュータによる個人のプロファイリングやスコアリングは個人の人格権などの人権侵害であるとの認識が西側世界で広まりつつあります。(2019年の厚労省「労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁、10頁も同様の問題点を指摘しています。)

また、EUは2021年4月に「AI規制法案」を公表しましたが、これはAIをその危険性から4段階に分類して法規制するところ、教育分野や雇用分野、出入国管理などの行政サービスなどへのAI利用は上から2番目の危険性の「高リスク」に分類され、法規制が実施される内容となっています。

日本の個人情報保護法や情報法の学者の先生方の一部には、「個人情報保護法の立法目的は、プライバシー権の保護や自己情報コントロール権の保護ではなく、プロファイリング拒否権である」と主張する先生方も現れるに至っています。

このような状況下で、茅ヶ崎市が、小学校の生徒に対してGoogle Workspace for Educationを利用させることが果たして妥当な判断であるのかも、問題の一つであると思われます。(同様に、2022年1月6日にデジタル庁が公表した「教育データ利活用ロードマップ」も、西側世界の個人情報保護・個人データ保護の流れに逆行するものであると思われます。)

6.まとめ
このように、茅ヶ崎市の小学校におけるGoogle Workspace for Educationの生徒のパスワードに関する問題は、①茅ヶ崎市が生徒やその親にパスワードの年1回の定期変更を求めていること、②新しいパスワードを書面に書いて学校に提出することを求めていること、③そのような行為はGoogle Workspace for Educationの利用規約に違反しているおそれがあること、④そもそもGoogle Workspace for Educationを未成年の小学生に全面一律に利用させることが妥当なのか、⑤茅ヶ崎市個人情報保護条例8条、11条違反のおそれおよび個人情報保護法17条、20条違反のおそれ、など様々な面で問題があると思われます。

文部科学省や総務省、個人情報保護委員会などは事実確認を行い、茅ヶ崎市の教育委員会や小学校などに必要な対応を行うべきではないでしょうか。

■追記(2022年2月6日)
このブログ記事について、明治大学理工学部の情報セキュリティの齋藤孝道先生より、「生徒の保護に欠けるのではないか」「もし学校内でセキュリティ上の重大な事故が発生しても学校や教師は責任を負わないのだろうか」との趣旨のコメントを頂戴しました。

「Google Workspace for Education利用規約」の「3.2 法令遵守」は、「3.2 法令遵守。お客様は、(a)お客様およびお客様のエンドユーザーによる本サービスの使用が本契約に従って行われることを保証し、(b)商業上合理的な努力によって本サービスの不正使用と不正アクセスを防止し、不正使用があった場合は中止させ、(c)本サービス、アカウント、またはお客様のパスワードの不正使用または不正アクセスを認識した場合には速やかに Google に通知するものとします。」と規定しており、Googleは、茅ヶ崎市の教育員会や学校の管理者が生徒のパスワードを知っていなくても、システムを監視・モニタリングすることができる仕組みを用意しているようです。

このように学校がGoogle Workspace for Educationのようなシステムを導入した場合には、企業が電子メールやグループウェア、基幹システムなどを導入した場合と同様には、組織内での不正防止やセキュリティ対策、個人情報の安全管理措置(個人情報保護法20条、21条)などのために、システムの監視・モニタリングが必要となりますが、その一方で電子メールなどは従業員や生徒などのプライバシーにも関するものなので、その調整が問題となります。

この点、個人情報保護委員会個人情報保護法ガイドラインQA4-6は、企業などが社内の情報システムのモニタリングを行う場合には、①モニタリングの目的をあらかじめ特定し、社内規則に定め、従業員に明示すること、②モニタリングの実施に関する責任者とその権限を定めること、③あらかじめモニタリングの実施に関するルールを策定し、その内容を従業員に周知徹底すること、④モニタリングがあらかじめ定めたルールに従って適正に実施されているか確認を行うこと、の4点が必要であるとしています(岡村久道『個人情報保護法 第3版』225頁)。

個人情報保護法QA4-6
(個人情報保護法ガイドラインQA4-6より)

なお、このような企業などの組織内のシステムのモニタリングは、従業員などのプライバシー権との調整が問題となるところ、この点が争われた裁判例は、「監視・モニタリングの目的、手段およびその態様等を総合考慮し、監視される側に生じた不利益とを比較考量の上、社会通念上相当な範囲を逸脱した監視はプライバシー権の侵害となる」と判示しています(F社Z事業部電子メール事件・東京地裁平成13年12月3日判決、山本龍彦「職場における電子メールの監視と不法行為責任」『新・判例ハンドブック情報法』(宍戸常寿編)98頁)。

したがって、企業や学校が組織内のシステムを監視・モニタリングすること自体は不正防止などの観点から正当であるとしても、その手段・方法などが社会通念を逸脱するような場合には、当該監視・モニタリングは従業員や生徒などのプライバシー権侵害となり、違法と評価される可能性があります(民法709条、憲法13条)。

この点、企業や学校が不正防止やセキュリティ対策、個人情報の漏洩防止などの安全管理措置のために社内ルールなどを定めて明示した上で、情報システムの監視・モニタリングを行うこと自体は正当です。しかし、茅ヶ崎市の小学校のように、生徒のパスワードの提出を求めることは、仮にそれがGoogle Workspace for Educationの不正防止のための監視・モニタリングなどの目的であったとしても、手段・方法として社会通念を逸脱しているので違法と判断される可能性があるように思われます(民法709条、憲法13条)。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・岡村久道『個人情報保護法 第3版』218頁、225頁、516頁
・小向太郎・石井夏生利『概説GDPR』93頁
・西田典之・橋爪隆補訂『刑法各論 第7版』145頁
・山本龍彦「職場における電子メールの監視と不法行為責任」『新・判例ハンドブック情報法』(宍戸常寿編)98頁
・坂東司朗・羽成守『新版 学校生活の法律相談』346頁
・安全なパスワード管理|総務省
・ ネットの危険から子供を守るために>保護者の皆様へ|内閣府

■関連記事
・練馬区が親子に家庭のSNSルールを作成させ学校に提出させるプリントにパスワードの記入欄があることを考えた(追記あり)-セキュリティ・プライバシー・不正アクセス
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)



















このエントリーをはてなブックマークに追加 mixiチェック

スマホ
このブログ記事の概要
練馬区が親と学校の生徒の子どもに、家庭のSNSルールを作成させ、学校に提出させるプリントに、子どものSNSのパスワードの記入欄があることは、情報セキュリティの観点から問題なだけでなく、子どもや親の自己決定権やプライバシー権、不正アクセス禁止法などの観点からも問題である。

1.練馬区が、親子が家庭のSNSルールを話し合い学校に提出させるプリントにSNSのパスワードの記入欄があることが炎上
11月30日に、Twitter上である練馬区の中学生の子どもの親の方がつぎのような怒りのツイートをなさり、Twitter上で注目されています。
ちょっと、アホすぎて人権侵害すぎて言葉がないんだけど。
練馬区の中学校からのプリントで、「我が家のSNSルールを保護者と話し合ってかけ」「終わったら学校に提出しろ」ってやつに、「SNSパスワードを書け」って欄があるのだけど。
なに考えてんだ!?
私的領域への越権行為も甚だしい!

snsルール1

そしてこの方の前後のツイートによると、問題となっている練馬区の家庭のSNSルールのプリントとはつぎのようなものとのことです。

SNS練馬区ルール2
SNS練馬区ルール1
・令和元年度第2回練馬区いじめ等対応支援チーム【教育指導課】(令和2年1月15日)|練馬区
・【資料7】「SNS練馬区ルール~自分も相手も守る10の決意~」リーフレット(案)(PDF)|練馬区

この練馬区教育委員会「SNS練馬区ルール」の資料によると、たしかに練馬区教育委員会が区内の学校に対して、親子に家庭のSNSルールを話し合わせ、作成させて提出を求める「SNS練馬区ルール~自分と相手を守る10の決意~」とのプリントの、「我が家のSNSルール 簡易作成シート」の上から4番目には、たしかに「SNSのパスワードは__です。このパスワードは(  (例)家族で)共有します。」との記入欄があります。

これは冒頭の親の方のお怒りもごもっともとしかいいようがありません。

2.情報セキュリティの観点から
たしかに近年、SNSを子どもが利用して、いわゆる「出会い系」などの犯罪にあってしまったり、いじめ被害を受けることなどが大きな社会問題となっています。

そのため、内閣府サイトをみると、内閣府の「子供・若者育成支援」部門の「青少年有害環境対策」担当は、「ネットの危険から子どもを守るために」との施策のサイトのなかで、「子供たちが安全に安心してインターネットを利用できるように家庭でのルール作りの例、フィルタリングの概要、改正青少年インターネット環境整備法等について紹介します」との「保護者向け普及啓発リーフレット「ネットの危険からお子様を守るために 今、保護者ができること」」との資料のPDFファイルを公開しています。

この内閣府「保護者向け普及啓発リーフレット「ネットの危険からお子様を守るために 今、保護者ができること」」のリーフレットの2ページ目はつぎのようになっています。

内閣府リーフレット
(内閣府サイトより)
・ネットの危険から子供を守るために > 保護者の皆さまへ|内閣府

そのため、小学校・中学校などで、子どもをSNSやネットの犯罪やいじめ被害などから守るために、親子でそれぞれの家庭内のSNS利用のルールを話し合い、そのルールを作成するという政策はたしかに内閣府などが実施しているようです。

しかし、この内閣府のリーフレットにも、親子で話し合った家庭のSNSルールをプリントに書いて学校や教育員会に提出せよとは一言もかかれていません。また、この内閣府のリーフレットの2ページ目の一番下の「STEP4 レベルアップ期」の右側のチェック項目には、「他人にIDやパスワードは絶対に教えません。」と明記されています。

内閣府リーフレット2

むしろ内閣府のこのリーフレットは、3ページ目で、携帯電話各社が用意している、フィルタリングの活用を奨励しています。
内閣府フィルタリング


この点、経産省の傘下組織で、民間企業などに対する情報セキュリティのガイドラインの作成や、情報セキュリティに関する国家資格の運営などを行っている、IPA(独立行政法人 情報処理推進機構)のウェブサイトの「情報セキュリティ」に関するページの「個人の方」の中の「3つのセキュリティポイント」は、「ポイント2:パスワードは絶対に他人に教えない」としています。また、IPAサイトの「今パスワードが危ない!ちょこっとプラス パスワード あなたは大丈夫?」との解説ページも、「他人に一度でもパスワードを教えたことがある」パスワードは危険であるとしています。

IPAパスワード
(IPAサイトより)
・3つのセキュリティポイント|IPA
・チョコっとプラスパスワード|IPA

このように内閣府やIPAのサイトなどをみてみると、練馬区の教育委員会が、親子に家庭でSNSの利用のルールを話し合わせることは内閣府などの政策に合致していると思われますが、しかし親子で話し合った家庭のSNSルールをプリントに書いて学校や教育委員会に提出させることは、内閣府のサイトにも記述がなく、むしろ親の子どもに対する教育やしつけに関する自己決定権(憲法13条)や親や子どものプライバシー権(憲法13条)を侵害する、練馬区という公権力による個人や家庭への不当な介入のおそれがあるのではないでしょうか。

また、練馬区は「SNS練馬区ルール」において、親と子どもが家庭のSNSルールを話し合った結果をプリントに書いて提出させる際に、SNSのパスワードを記載して学校に提出すること、そしてSNSのパスワードは家族で共有することを要求していますが、これは上でみた内閣府やIPAのサイトやガイドラインなどに明らかに違反しています。

情報セキュリティ保護の観点からは、子どもであっても「IDやパスワードは絶対に他人に教えない」べきであり、また家族であってもSNSのパスワードを安易に共有すべきではないのではないでしょうか。

このように、学校の子どもの親と子どもに家庭のSNS利用のルールを話し合わせ、その結果をプリントに書いて学校・教育委員会に提出すること、そしてそのSNSルールのプリントにSNSのパスワードの記載をすることを要求している練馬区は、内閣府などの子ども・若者政策部門の実施していない施策を実施しており、親の子どもの家庭内の教育やしつけに関する自己決定権や、親や子どものプライバシー権(憲法13条)を侵害しているおそれがあり、また、SNSのパスワードをプリントに書いて学校・教育委員会に提出を求めていることと、家族でSNSパスワードを共有することを求めていることは、情報セキュリティの保護の観点から間違っていると思われます。

3.不正アクセス禁止法違反のおそれ?
ところで、この練馬区の問題は、どうして同区の教育委員会が、SNSルールのプリントに、家庭のSNSルール(これも問題がありますが)だけでなく、SNSのパスワードを記入して学校・教育委員会に提出することを求めているのかが気になります。

この点、1999年に制定された不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)は、大まかにいうと、ネットワークを通じて、他人のIDやパスワードなどの識別符号を不正に入力して他人になりすましてコンピュータを利用できる状態にする行為や、コンピュータの弱点(セキュリティホール)を突いて不正にアクセスし、他人のコンピュータを利用できる状態にする行為(不正アクセス行為)を禁止しています(法2条4項1号~3号)。(西田典之・橋爪隆補訂『刑法各論 第7版』145頁)

そして、2012年(平成24年)の法改正で、IDやパスワードなどの識別符号を不正に取得する行為や、いわゆるフィッシング行為が処罰の対象になりました。つまり、不正アクセス行為の用に供する目的で、他人の識別符号を取得する行為(同法4条、12条1号)と、不正に取得された他人の識別符号を保管する行為(同法6条、12条3項)が処罰対象となりました。(西田・橋爪・前掲146頁)

したがって、ここから先は仮定の話となりますが、「SNS練馬区ルール」に関して、もし練馬区の教育委員会が、生徒・子どものSNSのパスワードを、生徒・子どものSNSなどにおける書き込みや人間関係などを確認や把握する等のために、教育委員会の職員などが、生徒・子どもに「なりすまし」て、生徒・子どもにかわってSNSにアクセスするためにSNSのパスワードをプリントに記入して提出することを求めているとしたら、それは「不正アクセス行為」のために「他人の識別符号を取得する行為」や「不正に取得された他人の識別符号を保管する行為」に該当するため、不正アクセス禁止法違反であり、処罰の対象となります。

そのため、一体何のために練馬区教育委員会が、生徒等のSNSのパスワードの提供を求めていたのかが問題となります。

警察庁は本年5月に、SNSをAI捜査するシステムの導入を公表するなど、警察庁・警視庁はサイバー犯罪への対応を強化していますが、警視庁などは練馬区教育員会などに事情を聞くなど、取り調べる必要はないのでしょうか。

(関連記事)
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査

4.親や子どもの自己決定権やプライバシー権など憲法の基本的人権の観点から
この練馬区の問題で連想されるのは、2020年3月に成立し、同年4月から施行された香川県ゲーム条例です(香川県ネット・ゲーム依存症対策条例(令和2年香川県条例第24号))。

同条例18条2項は、「子どものネット・ゲーム依存症につながるようなコンピュータゲームの利用に当たっては、1日当たりの利用時間が60分まで(学校等の休業日にあっては、90分まで)の時間を上限とすること」や、「スマートフォン等の使用(略)に当たっては、義務教育終了前の子どもについては午後9時までに、それ以外の子どもについては午後10時までに使用をやめること」などを保護者に努力義務として課しています。

このような努力義務とはいえ厳しい基準の規定が、戦前のような国家主義・全体主義ではなく、自由な民主主義を定める現行憲法下の日本において、公権力による家庭への不当な介入ではないのか、そもそも「ネット・ゲーム依存症」というものが医学的・科学的に正しいものなのか、などが大きな社会的注目を集めました。

そしてこの香川県ゲーム条例に対しては、①親の子どものしつけや教育などの自己決定権(憲法13条)やプライバシー権の侵害(憲法13条)であること、②子ども自身が1日どのくらいゲームをするか自己決定するという自己決定権の侵害や、子どものゲームをする権利(憲法13条の定める幸福追求権から導き出される新しい人権)や子どものプライバシー権の侵害、③そして政府が「ネット・ゲーム依存症」を公式に認めておらず、国会がゲーム規制法を制定していない現状で、香川県が「ネット・ゲーム依存症」の防止と称して、子どものゲームやスマホの利用を規制する条例を制定することが、自治体は「法律の範囲内で条例を制定することができる」と規定している憲法94条違反であるとして、現在、高松地裁で訴訟が行われているところです。
・「ゲーム条例は憲法違反で人権侵害」高校生と母親が香川県を提訴へ|KSB瀬戸内海放送ニュース

(関連記事)
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・香川県ネット・ゲーム依存症対策条例素案を法的に考えた-自己決定権・条例の限界・憲法94条・ゲーム規制条例

この香川県ゲーム条例訴訟の行方も大いに気になりますが、練馬区のこの「SNS練馬区ルール」の取組も、子どもをネットやSNSの弊害から守るためと称して、練馬区という自治体が、情報セキュリティの知識もあいまいなままネットやSNSを「悪者」として、憲法や法令、子どもや親の自己決定権やプライバシー権(憲法13条)などを軽視して暴走し、違法・不当に公権力たる練馬区が家庭に介入しているといえるのではないでしょうか。

5.まとめ
練馬区は情報セキュリティの知識や、憲法、不正アクセス禁止法などの条文などを再確認し、自治体・教育委員会や学校が子どもや家庭に対して行うことができることと、できないことの再確認を実施する必要があるのではないでしょうか。公権力の個人や家庭への違法・不当な介入は、個人の尊重と基本的人権の確立を国家の目的(憲法11条、97条)とする民主主義・近代立憲主義の現行憲法が固く戒めるところです。

■追記(2021年12月4日)
12月3日付の弁護士ドットコムニュースが、この練馬区のSNSルールの件を取り上げました。
・生徒に「SNSのパスワード」を提出させる…練馬区の中学校でミス、教育委員会が謝罪|弁護士ドットコムニュース

この記事によると、練馬区教育委員会内でも生徒のパスワードを記入させたプリントを学校に提出させることは問題があるとの意見があったため、パスワードの欄は記入しないでプリントを提出するよう学校に指示したところ、ある中学校がそれを失念し、パスワードを記入したプリントを受け取ってしまったとのことです。そして、誤って収集してしまったパスワードは276人分のものだったとのことです。

この点、練馬区個人情報保護条例7条(適正取得の原則)は、練馬区の行政機関に対して『実施機関は、個人情報を収集するときは、(略)利用する業務の目的を明確にし、その業務の目的の達成に必要な最小限の範囲内で、適法かつ公正な手段によって本人から直接収集しなければならない。』と規定しています。

練馬区個人情報保護条例7条
(練馬区個人情報保護条例7条。練馬区サイトより)

つまり、同条例7条は、練馬区の行政機関が個人情報を収集する場合は、その利用目的を明確に定め、その利用目的の達成に必要な最小限の範囲内で個人情報の収集をすることを定めているため、今回の事件では、練馬区教育委員会はそもそもその業務のために必要でない生徒のパスワードという個人情報を収集してしまっているので、同条例7条違反であると思われます。

なお、弁護士ドットコムニュースの記事によると、練馬区教育委員会は、「提出された生徒のリーフレットは、学校の「鍵のかかる場所」で保管し、各家庭に直接返却をおこなっているため、パスワードの漏洩は発生していないとしている。」と説明しているとのことですが、SNSのパスワードを学校に提出してしまった276人の生徒とその親に対しては、練馬区教育委員会と中学校は、情報セキュリティの観点から、SNSのパスワードの変更を実施するよう要請すべきであると思われます。

■追記(2021年12月10日)
12月10日付の朝日新聞の記事がこの事件を取り上げていました。
・(フカボリ)子のSNSパスワード、知るべきか 東京・練馬「家族で共有」記入させ提出…謝罪|朝日新聞

しかしこの朝日新聞の記事は、つぎの兵庫県立大学准教授竹内和雄氏(教職)のコメントにあるように、「子どもが中学生までは親がSNSのパスワードなども含めて管理すべきだ」という、かなり保守的というか、まるで昭和時代の「PTAの教育ママ」ようなトーンのようです。

■中学生までは、ルール設け関与を
兵庫県立大学准教授の竹内和雄氏(教職)のコメント
 子どものスマホ利用の問題に詳しい竹内和雄・兵庫県立大准教授は「子どものSNS利用をパスワードを含め保護者が管理するように学校が促すことは必要」とし、区教委に理解を示す。

 犯罪に巻き込まれる恐れのほか、子ども自身が不適切な内容を投稿して将来の就職活動などで不利益を被るケースも理由に挙げる。「中学生の頃までは、パスワードも含めてSNS利用は保護者が積極的に関与する必要がある。ただ、親子でよく話し合いルールを定め、子どもの納得感も得られるのが望ましい」と話す。

 たとえば、普段はLINEの投稿内容をチェックしないが、帰宅時間が遅いなど保護者が危険を感じた際はチェックすることもある、といったルールを決めておくことを提案する。
(「(フカボリ)子のSNSパスワード、知るべきか 東京・練馬「家族で共有」記入させ提出…謝罪」2021年12月10日付朝日新聞より)

たしかに家族法上、親には子どもに対して、子どもの福祉のために、監護権、教育権、財産管理権などの親権(民法820条)を持っています。この親権は、かつては親(父)が子を権力的に支配する権利で、子はそれに服従するべきだと考えられてきたところ、20世紀以降、子どもを権利の主体と正面から認めて、親権は子どもの利益、子どもの福祉を守る面が重視され、親権は子の利益を守る親の義務と考えられるようになってきたとされています(二宮周平『家族法 第4版』207頁)。

さらに1989年に国連で採択され日本も批准している「子どもの権利条約」は、子どもの利益を守るといっても、それは子どもが未熟、未発達だから保護するのではなく、子ども自身に発達し成長する権利があり、親や国はそれを援助する義務があるとする考え方を採っています(二宮・前掲207頁)。

そして、子どもも国民の一人である以上、プライバシー権や自己決定権(憲法13条)や、SNSやスマホなどで情報を発信したり受信したりする表現の自由(同21条1項)、通信の秘密(同21条2項)などの基本的人権を有しています。

子どもの権利条約も、第16条1項は「いかなる児童も、その私生活、家族、住居若しくは通信に対して恣意的に若しくは不法に干渉され又は名誉及び信用を不法に攻撃されない。」と子どものプライバシー権や通信の秘密などを規定し、それらの人権が恣意的または不法に干渉される等してはならないと規定しています。

また同13条1項は「児童は、表現の自由についての権利を有する。この権利には、口頭、手書き若しくは印刷、芸術の形態又は自ら選択する他の方法により、国境とのかかわりなく、あらゆる種類の情報及び考えを求め、受け及び伝える自由を含む。」と、子どもの表現の自由や、「情報および考えを求め、受けおよび伝える自由」などの人権を有していると規定しており、同2項は、これらの子どもの人権は、「(a)他の者の権利又は信用の尊重」「(b)国の安全、公の秩序又は公衆の健康若しくは道徳の保護」の目的のためのみに「法律」を根拠として規制が許されると規定しいます。

そのため、子どもの安全や健康などを守るために、親が子どものSNSなどに関与することが許容されるとしても、それは子どものプライバシー権、表現の自由、通信の秘密などの基本的人権への制約である以上、パターナリスティックな制約であり、子どもの個別の発達段階に応じてできるだけ抑制的な必要最低限の関与や制約が求められると思われます。

民事上、ある個人が何か物を買ったりするための前提となる意思能力(自己の行為の結果を弁識するに足りるだけの精神能力)はおおむね14歳、15歳から認められるが個別具体的な判断が必要とされます。また、刑事上、犯罪の刑事責任を問われる刑事責任能力については、刑法が14歳未満は処罰しないと規定しています(刑法41条)。さらに、家族法関係では、家事事件手続法169条1項1号などが、親の親権停止や親権喪失の審判などにおいて、15歳以上の子どもの意見を聴取しなければならないと規定しています。

このように、それぞれの法律ごとに趣旨・目的が異なるため、ばらつきはあるものの、おおむね14歳、15歳であれば子どもであってもその意思や意見を成人と同様に扱うと民法、刑法、家族法などは規定しており、裁判例はとくに意思能力について、子どもごとの個別具体的な判断が必要であるとしています。

したがって、上の朝日新聞の記事の竹内和雄・兵庫県立大学准教授のコメントの、「中学生まではパスワードを含めた親の関与が必要」としている点は、小学生くらいまでならともかく、14歳、15歳の中学生の子どもに対して一律にパスワードなどを親が知っているべきとすることは、子どものプライバシー権や通信の秘密などへの介入・規制として、やや強すぎるのではないかと思われます。

また、竹内准教授のコメントは、「普段はLINEの投稿内容をチェックしないが、帰宅時間が遅いなど保護者が危険を感じた際はチェックすることもある、といったルールを決めておく」としていることは、LINEは通常は、「5ちゃんねる」やFacebookやTwitterなどの比較的多数の人間とのやり取りをするSNSではなく、1対1などの関係のやり取りをするSNSであることを考えると、その秘匿性・私事性はより高いと思われ、これは1対1の電子メールや、鍵のかかった家具に保存している日記などを、本人以外の者がそのPCのパスワードで起動したり家具の鍵を開けて、閲覧するようなものであり、プライバシー権や通信の秘密との関係でやや「やりすぎ」、「親の過剰な介入」なのではないでしょうか。

中学生の子どもに対して、パスワードを親と共有したり、場合によっては中学生の子どものLINEを親が閲覧すること等の強硬手段に出る前に、まずは内閣府の保護者向け資料が奨励するように、携帯キャリア各社が用意しているスマホのフィルタリングなどを活用すべきなのではないでしょうか。


上でもみた内閣府の「保護者向け普及啓発リーフレット「ネットの危険から子供を守るために」」 2頁目「家庭のルールを考えましょう」も、子どもの年齢や発達段階に応じて4段階に分けて、「家族のルール」の例を示していますが、おそらく小学生が対象であろう一番最初の「初めてのインターネット期」から一番最後の「SNSレベルアップ期」すべての例示をみても、「親が子どもとパスワードを共有する」であるとか、「親が危険と感じたら、本人の同意なしに、子のパスワードを使用して子どものLINEなどのSNSのなかのメッセージなどを閲覧してよい」とは記載されていません。むしろ「SNSレベルアップ期」には、「他人にIDやパスワードは絶対に教えません。」との例が明示されています。そしてこの内閣府の保護者向け資料は3ページ目で、携帯キャリア各社が用意しているスマホのフィルタリングなどを活用することを奨励しています。
内閣府リーフレット
(内閣府サイトより)
・ネットの危険から子供を守るために > 保護者の皆さまへ|内閣府

竹内准教授のご本人のウェブサイトを拝見すると、竹内氏は中学校で約20年間教師を勤めたあとに2012年から学者となったと記されておりご年齢から、ITや情報セキュリティ、憲法の基本的人権や、教育法、家族法や子どもの権利条約などに関する最近の状況にあまりお詳しくない可能性があるのではないでしょうか。

上でもみたとおり、親の親権は、19世紀ごろまでは親の子どもの支配権であったものが、現在では、子どもを権利の主体として、子どもの発達や成長を親や国・自治体などが援助することと考えられています。そのため、子どものSNSなどの利用に対して親や学校などが関与・介入することがパターナリズムとして許容されるとしても、それが、親や学校が子どものSNSやパスワードなどの子どもの表現の自由、通信の秘密やプライバシーなどを支配・管理するものであっては本末転倒なのではないでしょうか。

少なくとも練馬区の事件のように、教育委員会や中学校が親と子どもにSNSのパスワードの提出を求めるであるとか、親と子どもでSNSのパスワードを共有すること要求すること等は、情報セキュリティや個人情報保護法、憲法や家族法などの観点から、完全に違法・不当な行為であると思われます。

なお、朝日新聞をはじめ最近のマスメディアの多くは、時事問題の報道において、社会学者やフェミニスト、人文系の学者の先生方にコメントを求めることが非常に多くなっている一方で、法律学者などに対して取材して報道する記事が非常に少なくなっていると、読者として個人的に感じています。社会学や人文学も重要ですが、法律学も社会の問題を考える上で重要な学問分野です。

朝日新聞などのマスメディアは、この練馬区の事件のように、教育学だけでなく、情報セキュリティや個人情報保護法、情報法、憲法や家族法などが関係する問題に関しては、教育学の専門家にコメントを求めるだけでなく、法律学などの専門家にもコメントを求めるべきではないでしょうか。

■参考文献
・西田典之・橋爪隆補訂『刑法各論 第7版』145頁
・二宮周平『家族法 第4版』207頁
・荒牧重人・西原博史など『新基本法コンメンタール 教育関係法』408頁、410頁

この記事が面白かったら、ブックマークやいいね等をお願いします!



























このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ