You are browsing the archive for Personal Data.

イズリントン議会に7万ボンドの罰金、誤って精神疾患や家庭内暴力被害者のデータを公開

2013年8月29日 in News

イギリスの情報コミッショナー事務局(Information Commissioner’s Office, ICO)は、イズリントン・ロンドン特別区を管轄とするイズリントン議会に対して、個人情報を不適切に公開したとして7万ポンド(約1千万円)の罰金を命じました。イズリントン議会が情報公開請求に応えて公開したデータの中に、2千人を超えるイズリントンの住人に関する個人情報が含まれていたためです。

イズリントン議会が誤って公開したデータの中には、住人の精神疾患に関する情報や、家庭内暴力の被害者であるかどうかといった、極めて影響の大きい個人データも含まれていました。しかもオンラインで公開されたことによって、多くの住人が被害を受けました。

イズリントン議会によれば、「今回、不適切な個人情報を公開した担当者は、スプレッドシートから誤りを見つけて修正できる十分な能力を有していなかった。今は、情報公開に対応する業務に携わる全職員に対して追加のトレーニングを実施し、公開情報をどうやって準備したら良いのかを習得させている」とのことです。

情報公開請求が増え、対応業務の負荷が増す中、対応する自治体職員のミスはなかなか防げるものではありません。情報公開請求業務の負荷を下げるためには、カリフォルニア州の例にもあるように公開して差支えないデータは基本的に住民に公開し、住民の情報ニーズを満たすとともに情報公開請求件数を削減するという施策が有効です。公的機関が公開するデータに関して、不適切なデータが含まれていないかどうかチェックする方法についても、職員の目視チェックだけではバラつきが大きくなります。不適切ワードや過去の失敗例などのデータを利用したフィルタリング・システムも整備する必要があります。

 

参考: Islington fined £70,000 for publishing personal data on residents

 

個人データ売買を白日の下に、カリフォルニアの『知る権利法』

2013年4月4日 in Special

カリフォルニアで「知る権利法」(Right to Know Act)が提案されました。この新しい法案は、企業が蓄えた個人データに対して、顧客の自由なアクセスを保証するよう企業に義務付けています。さらにこの法案は、個人データを収集した企業が他のどの企業に個人データを渡しているのかを公開することも求めています

現在のカリフォルニアの法律では、顧客はダイレクトマーケティングに関するデータしか公開要求することができません。メールやスパム、電話をかけるために個人データを入手しているダイレクトマーケティング企業のリストと、そうした企業に渡しているデータの種類だけに限定されています。

新しく提出された法案では、顧客は企業を通じて個人データを売買しているすべての経路について知ることができるようになります。オンライン広告企業、データブローカー、サードパーティのアプリなど、これまで顧客が直接やリとりする企業の裏に隠れて個人データをこっそり買い、利用していた企業も明らかになります。さらに公開するデータの種類として位置データも含むように拡張されています。もちろん個人データへのアクセスは無料です。

さらにこの法案は小規模で資源に乏しいスタートアップでも、無理なく遵守できるよう、オプションを用意しています。

  1. 企業は不必要なデータを保存しないという選択もできる。あるいは、どうしても保存しなければならない場合には、個人を識別不能にする手段を適用することも可能である。
  2. 顧客からの個々の公開要求に応える代わりに、データを他の企業に渡す前か渡した後に、どのデータを誰に渡すのか逐一顧客に通知するという方法を取っても良い。
  3. 企業は顧客に対して、少なくとも12ヶ月に1回個人データ利用に関する報告をすれば良い。

この法案に対しては、電子フロンティア財団北カリフォルニアACLUをはじめとする、多数の団体が支持を表明しています。あなたがもしカリフォルニア住民で、「知る権利法」の成立を望むなら、電子フロンティア財団のサイトから支持を表明することもできます

 

出典: New California “Right to Know” Act Would Let Consumers Find Out Who Has Their Personal Data — And Get a Copy of It

参考: Right to Know Act (AB 1291)