日本はOECD加盟国としてOECDプライバシー8原則を尊重する国です。OECDプライバシー8原則とは1980年にOECD(経済協力開発機構)で、個人情報保護の基本となる原則として定められました。
1980年頃には企業のオンライン化と顧客情報の集積が進むに伴い、個人のプライバシー情報を無制限に企業が利用することへの懸念が高まっていました。先進国間でプライバシーの概念が異なると困ります。先進国の間で同じ概念に基づくプライバシー保護を実現するためにプライバシー勧告が行われました。
日本の個人情報保護法、プライバシーマーク制度はOECEプライバシー勧告最新版ではなく1980年版の勧告を利用しています。以下のURLではプライバシーマーク制度策定の経緯が分かる図が掲載されています。
http://privacymark.co.jp/privacymark_system/index.html
OECDプライバシー8原則
- 「収集制限の原則」
- 「データ内容の原則」
- 「目的明確化の原則」
- 「利用制限の原則」
- 「安全保護の原則」
- 「公開の原則」
- 「個人参加の原則」
- 「責任の原則」
この8つがOECDの「プライバシー8原則」です。この原則に影響され成立したのが個人情報保護法と言われています。リンク先は解説付きなのでここで各項目の解説はしません。コンピュータシステムに関わる人はプライバシー問題と向きあう必要がある場合が多くあります。この原則は最低限押さえておくべき基礎知識であると言えます。
プライバシー保護を理由に犯罪行為や不正行為(不正行為は必ずしも違法行為とは限らない)が見逃されるような社会でも困ります。行き過ぎた表現の言論・表現の自由が脅かされるような事があってもなりません。どちらに偏重しても住み心地の良い社会は作れません。
プライバシー問題と言論・表現の自由はセキュリティ問題と似ている部分があります。コンピュータシステムも使い勝手(認証の仕様やパフォーマンス)は非常に重要です。使い勝手の良いシステムは認証が容易であったり(OpenID、シングルサインオン)、ユーザの操作に俊敏に反応すること(パフォーマンス)が重要です。
使い勝手やパフォーマンスも重要ですがセキュリティも重要です。一般に認証が容易であればあるほどセキュリティ上のリスクは増加します。使い易さも重要ですがセキュリティ維持に必須の原則である「多重のセキュリティ」も重要です。セキュリティと使い勝手はトレードオフの関係にあり、セキュリティを重視すればするほど使い勝手が悪いシステムになります。
セキュリティもプライバシーもバランスが非常に重要です。セキュリティ・プライバシーばかり重視していては使いやすいシステムは作れません。使い心地・自由ばかり重視しても気持よく、安心して使えるシステムにはなりません。相反する原則をいかに上手く満たすか、どちらの原則も良く理解していなければ適切な判断は困難です。
新しいOECDプライバシーと8原則
OECDプライバシー勧告には2013年度版があります。新しい物は勧告(guideline)ではなくフレームワークと表題が変わっています。新しい勧告も参考にすると良いでしょう。GDPRもOECDプライバシー勧告の影響を受けています。
新しい勧告でも8原則は同じです
ITセキュリティ向けOECD ITセキュリティ勧告がある
ISO 27000を読んだことがある方は多いと思います。OECDはITセキュリティ勧告も行っています。意外かも知れませんが、セキュリティ勧告の方が10年以上後の1992年に策定されています。インターネットにより世界中のコンピューターが接続するリスクがこのタイミングでの勧告の理由だと思われます。
※ 日本工業標準調査会のJIS検索からJIS化されているISO27000をオンライン参照可能です。「JIS規格名称からJISを検索」に「セキュリティ」を入れて検索します。
この勧告もセキュリティ標準の基本原則を定義しており、ISO 27000の基盤となるガイドラインです。1992年の策定以来、2度改訂されています。ISO 27000と合わせて読むとセキュリティ標準の内容の理解も深まると思います。
プライバシー勧告と同じく、OECD加盟国間で異なるセキュリティ概念では困ります。基本概念が同じになるようセキュリティ勧告も作られ、これに合わせてISOの国際セキュリティ標準(ISO 13335/17799/27000)も策定されています。
時折、自己流のITセキュリティ定義や概念を見かけます。しかし、ITのプロであるならITセキュリティの概念はOECD/ISOのセキュリティ概念と同じであるべきでしょう。