情報ネットワーク法学会(http://in-law.jp/) 個人情報保護法研究会の開催報告
日本のプライバシー・個人情報保護とマネージメントシステムの国際標準化シンポジウム

主催:情報ネットワーク法学会 個人情報保護法研究会
共催:堀部政男情報法研究会
後援:情報セキュリティ大学院大学

開催趣旨

 日本では、個人情報の保護に関して、個人情報保護法制があり、また個人情報保護のマネジメント
システムの日本工業規格としてJIS Q15000があり、その民間認証制度としてプライバシーマーク制度
があります。その他関連認証制度としてISMS制度があり、いずれも一般財団法人日本情報経済社会推
進協会(JIPDEC)によって運用されています。特にプライバシーマーク制度は、日本独自の民間認証
制度として広がり、官公庁や大手企業の調達の条件として機能するところもあって、現在、約12,000
の事業者がこの認証を受けるまでになっています。
 このような中で、IS0/IEC JTC1 SC27(情報セキュリティ)国際委員会に、韓国からPIMS (Personal
Information Management System)に関する国際規格作成の提案がなされ、現在、作成するべきかどう
かの検討を行っているところです。2011年11月のナイロビ国際会合においては、ヨーロッパ諸国もこ
の規格作成を容認する方向にあり、標準化が始まる可能性が高くなってきています。
 現在は、SC27の国内委員会で規格の構成をどのようにするかの議論が行われており、今後の議論の
方向と標準化の行方次第によっては、プライバシーマーク制度だけではなく、越境データ問題、日本
のプライバシー・個人情報保護の法制度及び企業対応にも少なからぬ影響が及んでくることが十分に
予想されるところです。
 このため、国内外の専門家にお集まりいただき、論点を整理し意見交換を行うためのシンポジウム
を2回にわたって開催することといたしました。


以下の第2回は、第1回の発表を踏まえてのパネルディスカッションを中心にいたします。
第1回の発表資料と録画映像は、以下のページに掲載しています。
 参考:第1回テーマ:日本をとりまく国際動向と日本の現状


第2回テーマ:日本は国際標準化にどう対応すべきか

開催日時:
 2012年4月7日(土)13:00~16:30(受付開始12:30~)
開催場所:
 学術総合センタ― 中会議室
 東京都千代田区一ツ橋2-1-2
 最寄り駅:「神保町」または「竹橋」
 地図:http://www.nanoworld.jp/synaf/ws/map.pdf#search
 会議室での飲食は、飲み物のみ持ち込み可能です
参加費:
 学会員・非学会員とも無料
 (懇親会は別途有料会費制)


プログラム

 総合司会 湯淺 墾道 情報セキュリティ大学院大学情報セキュリティ研究科 教授
      発表映像: http://youtu.be/_m3fpvRxPg4 (37分間のうち1分間)

13:00
 開会挨拶 堀部 政男 情報法研究会 会長
13:05~13:35(30分)
 基調講演「EU個人データ保護指令の改正と日本の対応(仮)」
      堀部 政男 一橋大学名誉教授
      発表資料: horibe.pdf
      発表映像: http://youtu.be/_m3fpvRxPg4#t=45s (37分間のうち35分間)

13:35~14:15(40分)
 報告  「情報セキュリティ対策と個人情報保護対策の違い」
     「PIMSの国際規格化に向けた各国の動向と日本の対応」
      佐藤 慶浩 SC27国際委員会 PIMS Study Period Rapporteur
                   (PIMS 調査期間報告とりまとめ役)
      発表資料: sato.pdf
      発表映像: http://youtu.be/_m3fpvRxPg4#t=36m40s (37分間のうち1分間)
      (つづき): http://youtu.be/Gz6kHWlCOk4 (37分間)
      (つづき): http://youtu.be/Kd5T2jAh-t8 (4分間)

14:15~14:30 休憩・質問票回収(15分)

14:30~16:30 パネル(2時間・質疑応答含む)

   司会
    鈴木正朝  新潟大学大学院実務法学研究科・法学部教授
          ・発表は前回報告を参照してください
   パネリスト(発表順)
    原田要之助 情報セキュリティ大学院大学情報セキュリティ研究科 教授
          ・発表は前回報告を参照してください
    石井夏生利 筑波大学図書館情報メディア系 准教授
          ・発表は前回報告を参照してください
    佐藤 慶浩 日本ヒューレット・パッカード個人情報保護対策室 室長
          (SC27/WG5 国内小委員会 前主査)
          ・発表は今回の前半報告を参照してください
    新保 史生  慶應義塾大学総合政策学部 准教授
          (経済協力開発機構 OECD/WPISP 副議長)
          発表資料: shinpo.pdf
    崎村 夏彦 野村総合研究所 上席研究員, Open ID Foundation 理事長
          (SC27/WG5 国内小委員会 主査)
          発表資料: sakimura.pdf
    楠  正憲 マイクロソフト技術標準部 部長
          発表資料: kusunoki.pdf

   発表映像: http://youtu.be/VPIGoZe9yZg#t=5m13s (37分間)
           ※冒頭約5分間について機材不備により音声が録音されていません。申し訳ございません。
           05:13~ 新保氏発表
           32:52~ 崎村氏発表
   (つづき): http://youtu.be/2Qqik97_8nc (37分間)
           14:15~ 楠氏発表
   (つづき): http://youtu.be/3cK7huCXbL4 (37分間)
           31:31~ 意見交換
   (つづき): http://youtu.be/oXJRpw0-2_Y (32分間)
           20:05~ 閉会挨拶

16:35 閉会
    苗村 憲司 情報セキュリティ大学院大学 客員教授
          (SC27/WG5 国内小委員会 委員, SC27/WG2 国際小委員会 前Convenor 他多数を歴任)
    発表映像: http://youtu.be/oXJRpw0-2_Y#t=20m05s (32分間のうち12分間)

全編映像
 ※会場からUSTREAMで配信した映像です。
 ※全編を概ね連続して視聴することができますが、映像の断続や音声に聴き取りにくい箇所があります。
 ※断続のない映像で音声を明瞭に聴きたい場合は、上記 YouTube 映像を視聴してください。

 基調講演・報告
   http://www.ustream.tv/recorded/21650274 (77分58秒)
 パネルディスカッション・閉会の挨拶
   http://www.ustream.tv/recorded/21651868 (9分42秒)
      ※冒頭約2分間について機材不備により音声が雑音になっています。申し訳ございません。
   http://www.ustream.tv/recorded/21652041 (129分28秒)


アンケート集計結果:

参加者の皆様にアンケートにご協力いただきました。
アンケートの趣旨については、発表者による説明をご覧ください。
アンケートの結果は以下のとおりです。
ご協力いただいた皆様には、この場を借りてお礼申し上げます。ありがとうございました。

「国際標準化にどう対応すべきか」
回答者数:63名

    回答結果:questionnaire.xls
  • クロス集計をしたい場合などにご利用ください
  • Microsoft Office Excel形式のファイルです
■設問1:
どの立場で参加されましたか?(1つのみ選択)(複数の立場がある場合には、以下の設問にどの立場で解答するかを、お選びください。)
1.対策当事者
23
2.支援事業者(コンサル等) 14
3.研究者 15
4.その他 4
■設問2:ご所属の組織で取得している認証はありますか?(複数選択)
1.ない 17
2.ISMS 29
3.プライバシーマーク 34
4.その他 3
■設問3:内容をご存知のマネジメントシステム規格はありますか?(複数選択)
1.ない 4
2.ISMS(ISO/IEC 27001,27002) 53
3.プライバシーマーク(JIS Q 15001 ) 52
3.品質管理(ISO 9001) 34
4.環境保護(ISO 14000) 32
5.その他 7
■設問4:情報セキュリティ対策と個人情報保護対策の違いについてご存知でしたか?
1.理解していた 25
2.ある程度理解していた 25
3.あまり理解していなかった 9
4.初めて理解した 2
■設問5:個人情報保護マネジメントシステムの国際規格は必要だと思いますか?
1.はい 33
2.いいえ 11
3.どちらともいえない 19
◎設問5で「2」又は「3」を選んだ方は、設問9に進んでください。
■設問6:ISMS(ISO/IEC 27001)規格とどのような関係で国際規格ができるとよいと思いますか?
1.ISO/IEC 27001に必須項目として取り入れる(ISMS認証取得では必須になります) 10
2.ISO/IEC 27001に任意選択項目として取り入れる(ISMS認証取得に種類ができることになります) 17
3.ISO/IEC 27001とは異なる規格として新規作成する 13
■設問7:情報セキュリティ対策をどのように位置付ける構成の国際規格がよいと思いますか?
1.情報セキュリティ対策を直接的に含める国際規格 11
2.情報セキュリティ対策を他の規格の参照を求めるなど間接的に含める国際規格 22
3.情報セキュリティ対策を含めない国際規格(情報セキュリティ対策は、この規格とは別途実施すべきことであるという使い方) 9
■設問8:国内法との関係をどのようにする内容の国際規格がよいと思いますか?
1.必須の要求事項を定めずに、それを必須とするかは国内法令等の要求に従うことを定める国際規格(結果的に、国内法令等と同じ要求事項のレベルになる) 18
2.必須の要求事項を定める国際規格。国際規格が必須としない事項のうち国内法令等が要求している事項は、法令等遵守として実施することを想定する。(結果的に、国内法令等より高い要求事項のレベルになる)
ご意見:
  • ・EUの域外移転で「十分性を認めてもらえる規格でないと意味がないと思う」
  • 22
    3.その他:
  • ・JISO15001存続し、かつ、改善を図る。ISOかJISを選択可能とする。
  • ・法規制というより「配慮」のレベルを向上するための規格
  • ・プライバシー法や第三者機関の有無によって一部条件を変える等、法と関わる且体系はあまり関係しないのでは?
  • 3
    ■設問9:仮に、個人情報保護マネジメントシステムの国際規格が発行された場合に、国内の JIS Q 15001規格はどうなるのがよいと思いますか?
    1.国際規格に合わせて改訂するのがよい 44
    2.このままにして、国際規格対応の国内規格については別途作成するのがよい 7
    3.その他:
  • ・廃止すべき
  • ・内容次第
  • ・内容次第だが、基本は1
  • ・廃止
  • 7
    ■設問10:仮に、個人情報保護マネジメントシステムの国際規格が発行された場合に、国内の プライバシーマーク制度はどうなるのがよいと思いますか?
    1.国際規格に合わせた制度として見直すのがよい
    ご意見:
  • ・国内中小企業者向けの簡易な規格は考慮されてよい
  • 41
    2.このままにして、国際規格対応の制度については別途作成するのがよい 10
    3.その他:
  • ・廃止すべき
  • ・廃止,ダブルスタンダードを回避するため
  • ・制度は維持し、サブセットに運用するべき
  • ・廃止あるいは新規格として併存
  • 6
    ◎設問6で「3」を選び、設問7で「1」を選んだ方は、以下の設問11にお答えください。
    ■設問11:仮に、個人情報保護マネジメントシステムの国際規格が設問6の「3」及び設問7の「1」のような内容で発行された場合に、現状のISO/IEC 27001の中にある個人情報保護の項目はどのようにするのがよいと思いますか?
    1.現状のままでよい 2
    2.新しくできる国際規格を参照することを求めるように変えるのがよい 11
    3.削除する(新しくできる国際規格で対策すればよい) 2
    
    参考:
     当日のツイッターでの発言(主としてハッシュタグ #inlawjp)のまとめ
     togetter: http://togetter.com/li/284693
    
    
    
    問合せ先:  下記の事務局まで、メールでお問い合わせをお願いします。  メールの件名は、「2012年4月7日研究会の問い合わせ」でお願いします。  情報ネットワーク法学会事務局  sec_office(アットマーク)in-law.jp  ※(アットマーク)の部分を、半角の@記号に置き換えたものがメールアドレスとなります。