職場では、雇用主が従業員の作業内容を監視するツールとして、家庭では、配偶者や子どもの見張りツールとして、商用の"スパイウェア"が数多く販売されています (スヌープウェア Snoop Ware, キーロガー keystroke logger, keylogger とも呼ばれます)。
商用キーロガー (2005/12/31現在, 合計 219):
» http://www.shareedge.com/spywareguide/category_show.php?id=3
スパイウェア対策ツールの信頼性は、最近飛躍的に改善しているようですが、2004年以前のコラム記事として「アンチウィルスベンダが販売するアンチスパイウェア製品の多くは商用キーロガーを検知せず、また、ウィルス対策ソフトウェアではインストールを検出したり除去したりできません。」というものがよく見られます。
米国においても、「スパイウェア対策法」の整備が遅れているようです。しかし、(万一)下記のような「セーフガード法」が可決され、PCユーザ(たとえば、学校側、保護者)が同意しインストールした商用スパイウェア(特に、キーロガー)が「合法」となっても、家庭内や学校内でスパイウェアに監視されながら、実際に共有PCを使用する子どものプライバシー問題は今後どのように解決するのでしょうか。
クリアスウィフト ホワイトペーパー 「Beware Spyware スパイウェアの脅威」
» http://www.clearswift.com/news/resources/whitepapers.aspx
日本語PDF文書 SpyWare_1203.pdf (2495 KB)
… 上略 … 2003年 7月、ユーザーへの告知および同意なくインターネットを通じて特定のスパイウェアプログラムを配布することを禁止した法案、「プライバシー侵害に対するセーフガード法」が米議会に提出されました(付録の第一項を参照)。この法案では、スパイウェアをインストールする前にその目的と意図を明瞭かつ目立つように告知しなければなりません。法律では自発的な保護対策は求めていませんが、結論的にはスパイウェアの不可視的なインストールに焦点を当てており、ウィルス対策ソフトベンダーが積極的にスパイウェア防止に取り組む道を切り開くものといえます。
… 中略 …
付録:「プライバシー侵害に対するセーフガード法」
SEC. 2. FTC 当局によるスパイウェアプログラム送信の規制について
(a) 同意のない送信の禁止 - FTC (連邦通商委員会)は、当該コンピュータのユーザーが、同意を求める明瞭かつ明確な告知、または送信する旨を明確に要求する告知に応じて、かかる送信に明確に同意しない限り、インターネットによる当該コンピュータへのスパイウェアプログラムの送信を規制によって禁止するものとする。 … 下略 …
米下院司法委員会、スパイウェア対策法案「I-SPY」を可決
» http://www.itmedia.co.jp/enterprise/articles/0505/23/news047.html
スパイウェアガイド :: スパイウェア ノート
» http://www.shareedge.com/spywareguide/txt_articles.php?article=txt_20050325.php
「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」(PDF形式)
文部科学省告示第百六十一号
http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html
個人情報の保護に関する法律(平成十五年法律第五十七号)第八条の規定に基づき、学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針を次のように定め、平成十七年四月一日から適用する。
他の省庁の策定ガイドラインに比べて、かなりショートな「学校における生徒等に関する個人情報」の取り扱いの中で、学校ホームページの利用規程やプライバシーポリシーに関連し重要と思われる部分を一部抜粋します (下線、太字フォントは当ブログ主催者による)。
ニ 法第十六条及び法第二十三条第一項に規定する本人の同意に関する事項
事業者は、本人の同意を得るに当たっては、当該本人に当該個人情報の利用目的を通知し、又は公表した上で、当該本人が口頭、書面等により当該個人情報の取扱いについて承諾する意思表示を行うことが望ましいこと。
義務教育では、当該本人とは教師・スタッフ以外は「未成年者」である。しかし、両親、保護者の意思表示は明確化されていない、当該本人の意思表示は絶対に必要でもない。「・・の場合、同意とみなす」という条文もない。
三 法第二十条に規定する安全管理措置及び法第二十一条に規定する従業者の監督に関する事項
事業者は、生徒等に関する個人データの安全管理のために次に掲げる措置を講ずるよう努めるとともに、当該措置の内容を公表するよう努めるものとすること。
三)生徒等に関する個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならないこと。その業務に係る職を退いた後も同様とすること。
個人データの安全管理のため事業者が行う措置は、すべて「努力目標」である。また、アンダーライン部分を含めて、「ホームページを含む」という明確化がない。
四 法第二十二条に規定する委託先の監督に関する事項
事業者は、生徒等に関する個人データの取扱いの委託に当たっては、次に掲げる事項に留意するものとすること。
一) 個人データの安全管理について十分な措置を講じている者を委託先として選定するための基準を設けること。
事業者が委託先選定に際して、初期契約料・メインテナンス料のコスト、地元企業などを最優先しない方針であれば、委託先選定基準を公開することも、ユーザーやベンダーにとって有用なものとなるはずである。
「個人情報の保護に係る関係省庁の検討状況」のページ
http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html
内にアップロード中の各省庁策定ガイドラインの"文書サイズ" (代表的な指針 PDFファイルの容量 昇順)
文部科学省
「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」 14KB
国土交通省
「国土交通省所管分野における個人情報保護に関するガイドライン」 29KB
警察庁
「国家公安委員会が所管する事業を行う者等が講ずべき個人情報の保護のための措置に関する指針」 29KB
財務省
「財務省所管分野における事業者が講ずべき個人情報の保護に関する指針」 33KB
法務省
「法務省が所管する分野における事業者等が取り扱う個人情報の保護に関するガイドライン」 38KB
総務省
「電気通信事業における個人情報保護に関するガイドライン」 40KB
農林水産省
「個人情報の適正な取扱いを確保するために農林水産分野における事業者が講ずべき措置に関するガイドライン」 112KB
金融庁
「金融分野における個人情報保護に関するガイドライン」 174KB
厚生労働省
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」 261KB
経済産業省
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」 728KB
学校ホームページ、学校ブログのコンテンツでは(当然ですが)、児童・生徒の「個人情報」が扱われることが多く、しかも個人情報の多くは「プライバシー」に関係するものです。ホームページ運営・管理者 (組織) が作成し、開示している利用規程やプライバシーポリシーの中で、「個人情報」保護や「プライバシー」保護の 免責条項 (事項) として、下記の条項 (事項) がしばしば使用されています。
個人情報の公表前の「本人、両親 (ないし、保護者) の同意」
国内では、かつ「教育上の効果が認められる」 「教育上の効果が期待できる」 とき
通常、免責条項とは、下記の KCC のホームページのように、
ホームページ上で提供している情報が正確で最新のものとなるように最大限努力しているが、もし、誤った情報が含まれていたとき、それらの情報を利用者が信頼したため発生した損失や迷惑に対して責任を負うことはできない。
といった内容のものです。
Terms and Conditions For This Website
Disclaimer
http://www.kent.gov.uk/your-council/public-information/terms-and-conditions.html
Kent County Council (KCC) makes every effort to ensure that the information on this website is accurate and up-to-date. However, we cannot accept responsibility for any loss or inconvenience caused by reliance on inaccurate material contained in this site.
つまり、「免責条項」の趣旨は、利用者が被った不利益に対して、ホームページ運営・管理者 (組織) は責任を負わないことです。
学校ホームページにおける「個人情報」 「プライバシー」保護の 免責条項 の問題点
(1) 多賀谷 一照 氏 「プライバシー概念の多様性」の ( 8. プライバシーと本人同意 ) の一部文章を引用します。
http://www.fine.bun.kyoto-u.ac.jp/tr1/02tagaya1.html
プライバシーに関する情報を収集される場合、それが本人同意であればよいという免責条項が定められていることが多い。・・(中略)・・ しかしながら、本人同意は、しばしば形式的になされ、あるいは本人が事の重大性を余り認識せずに取られていることがしばしばである。小学校の生徒の図工の作品が入選したとして、地元の美術館等で開かれる展覧会等に展示される場合、それを喜ばない親はまずいない(学校側も、敢えて同意は求めない)。しかしながら、同じような展示をインターネット上で行うことの危険性について、親に明確に説明せずに子供なり親なりの同意を簡単に取るべきではない。
(強調フォントは当ブログ主催者によるものです) インターネット犯罪や危険性に対してある程度の理解力がない場合、スタッフによる充分な説明が行われたとしても、同意とみなさない方がよいと思います。
(2) ホ-ムページを作成した学校の「学校長」に全責任があるとの追加条項があります。つまり、「同意」や「教育上の効果」の有無は、プライバシー保護に関する「免責条項」ではないと考えている学校があります。
児童・生徒の作品、意見・考え、写真、氏名などをホ-ムページ上で公開し、インターネット犯罪等のトラブルが発生したとき、学校長に責任があると解釈可能な規定を設けている学校ホームページは少なくありません。
悪意をもつ者に渡り、悪用された電子リソースは、その流出経路、関与者をすべて特定することは、かなり困難です。学校内でのケガや事故のように対応できないことが多いので、「個人情報」の公開に際しては「文書による同意」をもっとも重視すべきではないでしょうか。「学校長の責任」の法律的解釈はわかりませんが、「免責条項」でなければ両親や保護者の同意を得やすいので、"抜け道" になってはいけないと思います。
米国のウエブサイト (特に、商業サイト) では、「子どものプライバシーポリシー」 は、Children’s Online Privacy Protection Act (COPPA) of 1998 などの法律に準拠しなければなりません。もし、サイト管理者がこれら法律の範囲内でプライバシーポリシーを変更したとき、どのようにするのでしょうか。
Disney Online を参考としました。
Walt Disney Internet Group のページには、
http://disney.go.com/corporate/privacy/kids.html
Q5. How will we notify parents if our Kids’ Privacy Policy changes?
Q5. 子ども達のプライバシーポリシー ( キッズ プライバシーポリシー "Kids Privacy Policy" ) を変更したとき、どのように両親に通知しますか?
A5. 私たちはいつでも Kids’ Privacy Policy を改正する可能性があります。子どもの個人情報を収集し、使用し、共有する目的について内容変更があれば、電子メールにてご両親のための注意事項を提供いたします。ご両親は、ご自身の個人情報をいつでもアップデートし、最新のEメールアドレスを私たちにお知らせ下さい。親の同意を必要とする COPPA などを含む法律に従って、Kids’ Privacy Policy の内容変更を行います。
とページ上に記載されています (注: 逐語訳ではありません)。
規定やポリシーの変更・改正は、国内でもホームページに関する重要な更新情報の1つと思います。
インターネット、個人情報、プライバシーなど広範な問題点については、専門家が編集、校正したサイトも是非、ご覧下さい。
参考ページ: Yahoo! Japan のディレクトリ型検索エンジン
カテゴリー: コンピュータとインターネット > インターネット > 子ども向け > 子どもの安全
» 「財団法人 インターネット協会」
http://www.iajapan.org/rule/rule4child/a-index.html
特に、インターネットを利用するためのルールとマナー集 ( こどもばん ) [ 2004年8月10日作成 (全面改訂版) ] のご一読を推奨いたします。
http://www.iajapan.org/rule/rule4child/v2/
» 「子どもを有害サイトから守る会」
http://proxy.sainokuni.ne.jp/ (リンク申請3日後回答なし)
など、子どものためのサイトへのリンクがあります。
(なお、同カテゴリーに当ブログも登録いただきました [2005/2/21] )
学校インターネットポリシー: 英国 Kent 州 の学校では、学習・教育のためにインターネットを利用するとき、各学校が「Schools Internet Policy 2004/5」を参照し、ポリシーを独自に作成するようです。実際に、学校のホームページをみましたが、このポリシーをウエブページ上で掲載していないことも多いようです。一部の学校では、「Responsible Internet Use インターネット使用時の責任」などを明記したホームページもありました。
Schools Internet Policy 2004/5
http://www.kented.org.uk/ngfl/policy.html
ポリシーを作成するときの手引き書と雛型 (パソコン教室用ポスター・サンプル付) などが自由にダウンロードできるようになっています。
生徒の Photographs 写真について述べられている部分の文章を引用します。
7 How should Web site content be managed ?
(ウエブサイド・コンテンツの制作について)
悲しいことに新聞では一般的であるが、生徒が写った大きな写真とともに、氏名やクラス名を公開するとは容認できない。
写真の公開前に、必ず、親 (ないし, 保護者) の許可が必要である。
生徒の氏名 (フルネーム) は、ウエブサイトの何処であっても使用すべきではない。
など、詳細な記述がありますのでご覧下さい( PDFファイル 465KB)。
このポリシー作成用マニュアルの提供は、
The Kent National Grid for Learning (NGfL)
http://www.kented.org.uk/ngfl/
教育・学習に際して、情報・コミュニケーション技術 (ICT) を使用するときの支援事業の1つのようです ( ICT: Information and communications technologies )。
これらの教育事業は、Kent Country Council (KCC 英国ケント州の自治体) が主体のようです。全体がしっかり体系化されていますので、行政トップ KCC のホームページを閲覧してみますと、個人情報等に関する記述は、
http://www.kent.gov.uk/cright.html
1ページにコンパクトにまとめられています。(項目のみ転記します)
==
Terms & Conditions
このサイトを読んで、使用し続けることによって、あなたは以下の使用条件に同意しています (「同意したとみなします」の意でしょう)。
免責事項 Disclaimer
外部リンクサイト Links to Other Sites
著作権 Copyright
プライバシー ポリシー Privacy Policy
personal information サイトを訪問している利用者の個人情報 ( 電子メールアドレス、クッキー、IP アドレス、アクセス解析などを含む) の取り扱いについて
アクセシビリティ Accessibility
用語の要約 Summary of Terms
ブラウザ Browser
クッキー Cookie
IP アドレス IP Address
ユーザ セッション User Session
ウエブ サーバ Web Server
===
以上。
学校ホームページやブログにおいても、ホームページを閲覧するときの規定やポリシーは簡潔に記載し、生徒・学生・教職員・両親・保護者は、学校内で作成し、同意したポリシーを遵守することが大切です。また、ポリシーを学校ブログやホームページに掲載したとき、それらのポリシーの対象が誰であるのか、ブログ・ページを作成している生徒にも充分な説明が必要と思います。特に、ブログでは、エントリーに対するコメントのときは、厳密には「ホームページに訪れて、閲覧しているインターネット利用者」となります。
k-12 教育において、技術・(電子) リソースの適切な使用のために、インターネットアカウント発行の際の文書同意、AUPs などのポリシー遵守の規定(罰則規定を含む) が設けられています。
(例) 米国 Monroe County Community School
http://www.mccsc.edu/policy.html
生徒・学生に Internet Account (インターネット利用許可証) を発行する際に、親や保護者が使用ポリシーやガイドラインを子供と一緒に精読して、署名し文書にて同意します。
教師(スタッフ) も同意書にサインします。
もし、ネットワーク利用による情報源のアクセスついて、同意がなかったり拒否したときは、スタッフは代りの活動を提供する と記載されています。
また、AUPs では、処罰の規定を設けることになっていますので、この部分のみ、要約します (直訳ではありません) 。
sanctions 処罰: 電子リソース (訳者注: ネットワークなどを利用して得られるデジタル化された情報源) にアクセスする生徒に対する訓育・懲戒については、不適切な言動に対する既存の慣例 (他のポリシーやガイドライン 5500 Student Conduct, 5517 Student Harassment で定めたような) に従って、クラスや学校(ビル)ごとに決められる可能性があります。
学校または MCCSC の AUPs に違反すると、電子リソースへのアクセス権を失うことがあります。
他の不適切な行動や情報交換に対する処罰として、生徒規律 Student Discipline を定めたポリシーおよびガイドライン 5600 を適用すべきです。
適切で必要とみとめたときは、警察などの法執行機関に連絡します。
Sanctions: Disciplinary action related to student access to electronic resources may be determined at the building and/or classroom level in accordance with existing practice regarding inappropriate language or behavior, as stated in policies and guidelines contained in the general category 5500 — Student Conduct, in particular, but not limited to Policy and Guidelines 5517 — Student Harassment.
· Violations of the school and/or MCCSC acceptable use policies may result in a loss of access to electronic resources.
· Additional sanctions for inappropriate behavior and communication shall be governed by Policy and Guidelines 5600 — Student Discipline.
· When appropriate, law enforcement agencies may be involved.
米国では、小・中・高校 ( K-12 ) ,大学において、学内でインターネットを使用するときのポリシーを各学校、学区単位で制定します。
Acceptable Use Policies ( AUPs )
(AUP の適切な日本語表現は見つかりませんが、「利用規定」の意です。直訳すると「許容使用ポリシー」となります。)
一企業のホームページですが、とてもわかりやすかったので引用します。
http://www.adobe.com/education/webtech/unit_internet/au_print.htm
教育スタッフ、生徒、学生がその対象であり、下記のような包括的で幅広い問題について記載されています。
インターネット使用に関する哲学 Philosophy regarding Internet use
使用者の権利 User rights
使用者の責任 User responsibilities
使用者のプライバシー User privacy
許容できる使用 Acceptable use
許容できない使用 Unacceptable use
セキュリティ Security
ポリシー違反の結果 Consequences of violating the policy
ウェスト・バージニア州教育局 West Virginia Department of Education
http://wvde.state.wv.us/policies/p2460.html
が制定した AUPs の中の
Webパブリッシング・ガイドライン 「Web Publishing Guidelines」
3.4.5. ウエブサイトのコンテンツ Content of a web site:
c. 学生の写真と氏名は、学校/カウンティの裁量に基づき、学校/カウンティのウエブサイト上に公表することができます。親の許可が得られなければならない。インターネット・ガイドラインは学生の姓を公表しないことの重要性を強調します。ニックネームは氏名に代わって使用されるかもしれません。自宅住所、自宅の電話番号、クレジットカード情報、母親の旧姓、他の個人情報を公表するべきではありません。
Student pictures and names can be published on the school/county web site at the discretion of the school/county. Parental permission should be obtained. Internet guidelines stress the importance of not publishing the last names of students. Nicknames may be used in place of the given name. Personal information, such as home address, home telephone, credit card information, mother’s maiden name, and other personal information should not be published.
はとても参考になりそうです (county カウンティ: 日本では都道府県に相当する)。
Federal Trade Commission (米連邦取引委員会 FTC) のページを引用(一部を邦訳) します。
http://www.ftc.gov/bcp/conline/edcams/kidzprivacy/kidz.htm
米国では、ウエブサイトが13歳未満の子供についての情報を集めるとき、両親の許可を得なければなりません(April 21, 2000 から実施 注 1)。両親は、子供と一緒にサイトを見て、子供についての情報を与えてよいか判断しなければならないということです。
この規則や考え方を踏まえて、以下の邦訳をご一読下さい。
ネットサーフィン、プライバシー、個人情報に関する重要な点をいくつか列記します ( Just for Kids: 子供を対象としたページです)。
(1) チャットルーム、電子掲示板、オンライン・ペンパルを利用するとき、あなたの名前の姓、自宅の住所、電話番号を決して教えてはいけません。
(2) 他人にあなたのスクリーンネーム、ユーザーID、パスワードを教えてはいけません。
(3) あなたが伝えた情報をサイトがどのように利用するのか? ウエブサイトのプライバシーポリシーを読みましょう。
(4) 両親と一緒にインターネットをサーフィンしましょう。もしそれができないならば、あなたが訪れたサイトについて両親にお話して下さい。
(5) あなたと両親は、サイトがあなたについてどのような情報を集め、その情報で何をするのか? 知るために、サイトのプライバシーポリシーを見て両親と話し合いましょう。
(6) ウエブサイトはあなたからいろいろな情報を集める前に、両親の許可を得なければなりません。
(7) もし、ウエブサイトが、あなたと両親が取得してほしくないあなたの情報を集めたら、あなたの両親はその情報を開示するように頼むことができ、ウエブサイトにその情報を削除するように頼むこともできます。
(8) サイトは、あなたが参加するために必要な情報以上のものを集めてはいけませんし、あなたについてのどんな情報も不要な状態で、オンラインの多くの活動に参加できるようにするべきです。
(9) サイトがあなたを不愉快にしたり、あなたが共有したいと思っていることより多くの情報を要求するならば、そのサイトから去りましょう。
注 1:
Children’s Online Privacy Protection Act (COPPA) of 1998
「子供のオンライン上のプライバシー保護に関する法律 (直訳) 」は 1998年10月、米国の下上院本会議を通過し制定され、2000年4月21日から実施されています。本法律の邦訳サイトは、検索サイトで調べるといくつかヒットしますので、ご一読ください。また、ウエブサイト管理者(website operator) と両親の責任については、上記 URLページの中の PDFファイル (482KB 原文)をご覧下さい。
