個人属性情報の利用範囲は明記していますか?2007年04月17日 00時23分42秒

 テストでは、国語と算数(数学)の試験のほか、テレビの視聴時間や家庭にパソコンがあるかどうか、といった調査も実施される。採点集計は民間企業が行い、国がデータを収集、保有する。

申請では、「特定の個人を識別できる情報が膨大に収集され、民間企業に流されることになる」と指摘し、違法な個人情報の取得にあたるとしている。

京都市は「個人情報の保護には万全を期している」、京田辺市は「コメントできない」としている。

文部科学省初等中等教育局の話「学力や学習状況を把握し、改善を図るのが調査の目的。個人情報保護は、委託先にも厳重な保管、管理をお願いしている」

「厳重な保管、管理をお願いしている」から、学力テストを利用してプライバシーに係わる情報を収集しても良いのか? 彼らは仮処分申請の法的根拠が「個人情報保護法」であることの意味を理解しているのかな?

ポイントは、学力テストの記名欄等において、あるいは学力テスト実施前の説明通達時において、収集する個人属性情報の取り扱いの範囲を明記しているかどうか。そこでは、最低限、以下のことを約束している必要があるのではないか?

  • 学力テストの解答用紙等に記入した、氏名等の個人属性情報は、採点結果の通達のためにのみ利用する。
  • 生活習慣に関する調査においては、氏名等の個人属性情報とは切り離した用紙のみを用いて集計する。したがって、これらの調査結果が、個人属性情報と結び付けられて集計されることはない。

これを約束しない状態であるならば、児童および生徒は個人情報保護法を理由に学力テストの実施を放棄する権利がある。あるいはその権利は保護者にも及ぶかもしれない。

ちなみに、上記を約束した状態でも、採点結果とアンケートの調査結果を関連付けることは可能である。テスト用紙とアンケート用紙を小冊子にまとめ、用紙自体は個別に切り離しできるようにする。そしてアンケート用紙には記名欄等は用意せず、その代わり採点結果の点数を記入する欄を設ける。

採点者は採点後、点数をアンケート用紙に書き込み、そのアンケート用紙のみを切り離して、アンケート集計者に渡す。アンケート集計者は、アンケート用紙に書かれた情報のみを用いて集計を行う、という寸法。これなら生活習慣に関する情報と個人属性情報が関連付けられた状態で収集されることはなくなるはずだ。

京都地裁の対応が注目されるところだが、果たして──。

Tue Apr 17 00:52:17 JST 2007 - 追記

朝日新聞の記事には肝心な部分がちゃんと書いてあるね。

両市の計画によると、調査用紙に氏名の記入は求めないが、学校名や組、出席番号、性別などを書かせ、採点は民間業者に委託するとしている。

申立書によると、無記名でも組や出席番号から個人が特定される可能性がある、と指摘。学習環境を尋ねる調査もあり、調査内容は明らかな個人情報に該当するとしている。そのうえで、こうした情報を民間業者に渡すことはプライバシー権の侵害や個人情報保護法に違反するなどとしている。

完っ全に NG です。。。つか、ここが一番大事な部分なんだからちゃんと書けよ>読売記者

※引用部分の太字はすべて T.MURACHI による。
Tue Apr 17 12:09:54 JST 2007 - さらに追記

なるほど。

「プライバシー権」とは、「見せたい自分を見せ、見せたくない自分は見せない権利」なのだそうです。個人情報保護法が、収集された個人属性情報の乱用を防ぐための法律であることと絡んでいるため、話がややこしくなっていますが、今回の訴訟の骨子のみを見るならば、その構図は以下のとおりとなります。

  • 原告にとっての見せたくない自分:

    テレビの視聴時間や家庭にパソコンがあるかどうか (読売)、学習環境 (朝日)、家にある本の冊数 (毎日) など。

  • 原告にとっての見せても良い自分:

    上記のプライバシーが侵害されている件について、裁判所に仮処分申請を行うこと。

そもそも現時点では訴えを起こしている原告の氏名等が公表されているわけではない (最小行政単位である市の名前が出ているのみ) ので、この訴えを起こしたことによって氏名が晒される可能性についてここで議論しても仕方がないことのような気もするのですが。。。つか、どんなことであれ、裁判所を利用して訴えを起こす権利はどの人にもあるわけで、彼らの個人を突き止めてその行為について貶めるような言論を繰り出そうとする人間が多くいるのであれば、そいつらの民意は著しく低いと言わざるを得ないというか、そういう風潮がこの国においては多数派であるとするなら、それってちっとも民主主義国家じゃないよなぁというか。。。

ただ、連名で原告の氏名が保護者ではなく児童生徒自身のものであるという点については、すでに弁護士までつけている状態で進めている話であり、個人的にはこの弁護士の提案もあってのことだったんではないかと思う。家庭環境に関するプライバシーであれば、それは子ども自身に限ったものではなく、そういう環境を提供し、維持する保護者のプライバシーでもあるわけで、おいらとしては保護者が訴えを起こすという構図でも問題はなさそうに見えるけど、それを敢えて子供の名前で訴えを起こすというからには、直接の当事者が訴えを起こさねばならないような法的な欠陥が、個人情報保護法には存在すると考えるのが妥当なんじゃないか、という気がする。その辺、法に詳しい人の見解も伺いたいところだけど、どうなんだろう?

いずれにせよ、誰かが声を上げねばならない問題ではあるはずなので、最初にこうした形で声を上げるに至った彼らには、おいらとしては敬意を表したい。その経緯についてまではどうかは知らんけど、そゆとこにまで口を出すのは野暮ってもんでない?

by T.MURACHI [社会問題、政治等] [ニュースとか] [コメント(1)トラックバック(0)]

さくらの会員メニュー画面で cookie に書いてる情報について2007年04月17日 15時01分58秒

取り急ぎ。ログアウトした後で、もう一度ログインしなおしてみてください。同じ ID が cookie に書き込まれるはずです。で、パスワードを変更してから、再度ログインしてみてください。ID が変更されているはずです。

誰かに試してみてほしいこと: cookie の内容をフロッピーなどの持ち歩き可能なメディアにコピーし、それをまったく別の場所 (自宅→会社とか、自宅→ネットカフェとか) にある端末のブラウザのクッキーに書き写した上で、認証なしにアクセスが可能かどうか。要するに、さくらの会員メニュー画面で cookie に書いている ID の種に、IP アドレス等の端末を特定する情報が含まれているかどうか。これでアクセス不可能 (認証が必要) ならば、それほど問題は無いように思います。

Wed Apr 18 00:11:14 JST 2007 - 追記

出かける用事があったので本当にとり急ぎだったのですが、微妙に勘違いしていたっぽいです (汗。上記は https://secure.sakura.ad.jp/rscontrol/ にアクセスしようとしたときの話で、 Web 屋さんが指摘していたのは https://secure.sakura.ad.jp/menu/ にアクセスしようとしたときの話でした。こちらはログインしなおすたびに値が変わるようなので、確かにセッション ID の一種であるように見えます。再度検証しなおしてみました。

  1. ログインしなおしてからブラウザを閉じ、ログインしなおす前の SID を用いてアクセスしたところ、ログイン画面は表示されませんでした (Web屋にて既に指摘済み)。
  2. パスワードを変更し、変更したパスワードでログインしなおした後で、1 で用いたのと同じ SID (すなわち、パスワード変更前に発行されていた SID) を用いてアクセスしたところ、やっぱりログイン画面は表示されずに認証通過してしまいました

あとは、別のネットワークからこの SID を用いてアクセスした場合に、認証通過してしまうかどうかですが。。。どうだろうなぁ?

いずれにせよ、この SID ってのが更新されればされた回数だけ脆弱になるのは確か (理論的にはね)。しかも無限に保存されるってことはそれだけ DB のディスクスペースが圧迫されちゃうことにもなるんだろうから (^_^;、早いうちに修正されることが望まれますね。

Wed Apr 18 08:02:58 JST 2007 - 追記

サブジェクト変更しますた。

by T.MURACHI [イン夕一ネット] [コメント(0)トラックバック(2)]