• 利用案内
  • サービス概要
  • 東京本館
  • 関西館
  • 国際子ども図書館
  • アクセス
  • 複写サービス
  • 登録利用者制度
  • オンラインサービス
  • オンラインサービス一覧
  • 国会関連情報
  • 蔵書検索
  • 電子図書館
  • 調べ方案内
  • 電子展示会

トップ > 刊行物 > びぶろす > 72号(平成28年4月)

びぶろす-Biblos

72号(平成28年4月)

びぶろす

  • 発行:国立国会図書館総務部
    (National Diet Library)
  • ISSN:1344-8412
6. 国の図書館における個人情報保護

中央大学総合政策学部准教授 宮下 紘

はじめに

平成27年10月5日、神戸新聞の夕刊は「村上春樹さん早熟な読書家 仏作家ケッセルの長編高1で愛読」という見出しで、小説家・村上春樹氏の高校時代の貸出記録を公表した。校史編集に携わる元教諭が、本の中に残された帯出者カードを発見し、神戸新聞社に情報提供したところ、神戸新聞が公益性のある情報と判断して報道した。

本件について、平成27年11月30日、日本図書館協会図書館の自由委員会は、「図書館利用者の読書記録を本人の同意なしに公表することは、利用者のプライバシーの侵害となる」とした神戸高校旧蔵書貸出記録流出についての調査報告を公表した。

本件に象徴されるとおり、図書館における個人情報保護の重要性を改めて認識する必要がある。また、主に民間の事業者等を対象とした個人情報の保護に関する法律(以下、「個人情報保護法」とする。)は、平成27年9月9日に改正・公布された。これにより、個人情報の定義の明確化による保護と個人を識別できないように加工された匿名加工情報による利用が定められ、今後、私立図書館1においても新たな対応が求められる。なお、行政機関の保有する個人情報の保護に関する法律(以下、「行政機関個人情報保護法」とする。)についても平成28年3月改正法律案が国会に提出された2

そこで、本稿では、国の図書館において留意するべき個人情報保護をめぐる諸課題についてまとめることとする。


【図】個人情報保護に関する法律一覧:図書館がどの部門に所属するかで、適用される法は異なる。

1.個人情報保護の基本

国の図書館には、国立国会図書館のほか、行政機関内にある官公庁図書館や最高裁判所図書館等がある。各行政機関の設置法に基づく図書館には、行政機関個人情報保護法が適用される。一方、国立国会図書館は立法府、最高裁判所図書館は司法府にそれぞれ属することから、同法の適用外となる。もっとも、国立国会図書館は「国立国会図書館の個人情報の取扱いについて」を定めている。

なお、公立図書館は、各地方公共団体が定める個人情報保護条例に従うこととなる3。また、私立図書館には個人情報保護法が適用される(上の図を参照)。

国の図書館においては、「行政の適正かつ円滑な運営を図りつつ、個人の権利利益を保護することを目的」(行政機関個人情報保護法第1条)として、利用者の「権利利益」を保護しなければならない。

また、「図書館の自由に関する宣言」に示されているとおり、その業務の特性に応じ、図書館利用者の秘密を守るなどの基本理念を遵守し、特に「読者が何を読むかはその人のプライバシーに属することであり、図書館は、利用者の読書事実を外部に漏らさない」よう留意が必要である。図書館における職員のみならず、アルバイトやボランティアのスタッフにも個人情報保護の徹底を共有する必要がある。

2.実務上の留意点

(1)利用者情報の保護と匿名化

図書館においては、貸出カードに含まれる情報のほか、ゲート等での個人認証による入退館の履歴、防犯カメラの画像、レファレンスなど、様々な場面において個人情報の収集、利用、提供などを行っており、その適切な保護が求められる。特に図書の貸出履歴については、個人の思想や趣味・嗜好を浮き彫りにするため、氏名・住所・電話番号等の単純な個人情報よりも高いプライバシー性を有していると考えられる。また、図書館に設置された利用者向けの端末には、アクセスログに個人情報が含まれる場合があり、利用者が席を離れるたびにログの消去と再起動を行うなどの対応をすることが望ましい。さらに、図書館の職員の人事情報や健康診断などの雇用に関する個人情報もまた保護の対象となる。

個人情報であるか否かが問題となるのが、図書館における統計や特定資料の貸出回数調査のために貸出記録を利用する場合である。「特定の個人を識別することができるもの」は個人情報と定義されており、単に氏名や利用者番号を削除しただけでは、「他の情報と照合することができ、それにより特定の個人を識別することができること」(行政機関個人情報保護法第2条2項)となり、依然として個人情報として扱うべきである。

この点、今回の改正個人情報保護法は、民間の事業者を対象としながらも、「匿名加工情報」を導入した。ここで匿名加工情報とは、①「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であること」、②「当該個人情報を復元することができないようにしたもの」と定義される(改正個人情報保護法2条9項)。

したがって私立図書館も、復元できないほどに情報を加工するという要件を満たす必要があり、また同時に本人を識別する目的をもって、匿名加工情報を他の情報と照合してはならない(改正個人情報保護法36条5項、39条。なお、国・独立行政法人等の図書館については、「非識別加工情報」が行政機関個人情報保護法の改正法律案に含まれている)。たとえば、図書館利用者の入退館の数と時間帯を統計で用いるのであれば、氏名、利用者情報等を消去して用いるべきである。また、母集団が少ない匿名化情報は、復元されてしまう可能性が高く、統計に用いるべきではない。

(2)情報セキュリティ対策

大規模な個人情報の漏えい事件などを受け、セキュリティ対策にも万全を期す必要がある。平成27年8月に改正された総務省の指針4では、各行政機関が、①初期対応に係る対策強化(外部からの不正アクセスが疑われる場合においては、LANケーブルを抜くなど、被害拡大防止のため直ちに行い得る措置については、直ちに行うことなど)、②現場における安全管理措置の徹底(課室長級職員である保護管理者は、情報システムの管理者と連携して、保有個人情報の適切な管理を確保することなど)の対策を講ずることとされた。

近年、政府機関等を対象に、差出人を詐称してメールが送られ、不正プログラムが添付される標的型メール攻撃と呼ばれるサイバー攻撃の事例が増加しており5、注意が必要である。

平成26年度には、行政機関では696件、独立行政法人等では1377件の個人情報漏えい等の事案が発生している6。これまでも図書館においても個人情報の漏えい事案が見られたが、その多くは、委託先で起きている。利用者データベースを含む図書館システムの保守について委託をする場合、委託先で漏えい等の事故が生じた場合にも、図書館の責任となる。そのため、個人情報の安全管理(特に再委託の有無の確認)に関する契約書を締結するなど監督責任を果たす必要がある。

近年、公立図書館で地方公共団体との協定書に基づき民間企業を指定管理者として運営されているものもある。そのような場合、運営の委託にあたっては、図書の貸出履歴等を含む個人情報の取扱いが適切な形で民間委託されているかどうか点検が必要であるように思われる。

また、万一国の図書館において個人情報の漏えい等の事案が発生した場合は、被害者が詐欺等の被害にあわないよう二次被害防止の観点からも速やかに総務省に通知するとともに、本人にも通知することが望ましい。情報セキュリティのチェックリスト7をもとに定期的に意識向上を図ることが必要である。

(3)いわゆる「忘れられる権利8

欧州連合(EU)司法裁判所は、平成26年5月13日、判決文の中で「忘れられる権利」という言葉を用いて、検索エンジンから個人情報の削除を命じる先決判決9を下した10。個人情報が不適切で、無関係で、もしくはもはや関連性が失われ、過度である場合、削除の対象となりうる。また、欧州連合では、平成7年に採択された個人データ保護指令を改正し、個人データ保護規則を平成28年中に採択する予定である。この規則の中には「忘れられる権利」を明文化する規定が盛り込まれる見込みである。日本では忘れられる権利に関する論議が始まったばかりであるが、改正個人情報保護法においても、「利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない」(改正個人情報保護法第19条)と規定されている。

では、図書館は、忘れられる権利や個人情報の削除の問題にどのように向き合っていくべきだろうか。この点、欧州連合で検討されている忘れられる権利については、オリジナルの情報までも削除が認められていないことに注意するべきである。すなわち、忘れられる権利は、インターネット上における個人情報の拡散防止を趣旨としており、検索エンジンなどのサービス提供者に対して一定の要件の下、検索結果表示の削除を要請する権利である。忘れられる権利は、リンク先のウェブコンテンツやそのウェブ上の個人情報それ自体の削除を求めるものではない。

したがって、図書館は利用者の知る権利に奉仕し、「思想、意見等を公衆に伝達する公的な場」(最判平成17年7月14日民集59巻6号1569頁11)であって、もっぱら忘れられる権利を理由として、図書や資料等を閲覧中止としたり、廃棄するべきではない。図書館は、検索エンジン等とは異なる性格を持った、情報を伝達する「公的な場」としての役割を果たしていく必要がある。

なお、「図書館の自由に関する宣言」では、「人権またはプライバシーを侵害する資料」については利用制限が認められているが、法律で特に列挙されている少年の実名報道(少年法第61条)に関する資料や確定裁判で違法性が認められた図書等に限定し、研究目的等の一定の条件でのアクセスの可能性を残しておくべきであろう。また、国際図書館連盟(IFLA)は、平成28年2月25日、図書館における歴史・統計・研究目的の氏名検索による情報のアクセスを認める一方で、忘れられる権利に関する政策議論に参画することを呼びかける声明を公表している12

他方で、利用者の図書の貸出履歴については、「資料が返却されたらできるだけすみやかに消去しなければならない」(日本図書館協会「貸出業務へのコンピュータ導入に伴う個人情報の保護に関する基準」)。その意味において、冒頭で紹介した村上春樹氏の図書貸出履歴は利用目的上の必要がなくなった時点で「忘れられる」べきである。公立図書館が履歴を新聞社に提供した行為は、利用及び提供の制限を定める兵庫県個人情報保護条例第7条に違反し、不適切であったというべきである。

3.ビッグデータと図書館の使命

ビッグデータの時代においては、個人の図書の貸出履歴や思想や趣味・嗜好に基づき、図書のカスタマイズ・サービスも可能である。インターネットの閲覧履歴や購入履歴に基づき、個人にカスタマイズしたおすすめの書籍が表示される。同様に利用者の貸出履歴に基づき次のおすすめの一冊を提示するように、図書館が「Amazon化」して、選書の判断基準とすることも技術的には可能である。

むろん図書館のサービス向上のため、民間の知恵を積極的に取り入れることは歓迎すべきことである。しかし、蔵書構築に関わる図書の選書や利用者の秘密保持という図書館の本来の公共的使命に関わる部分までもこのように民間に委ねることには疑問が残る。

特に思想や趣味・嗜好が明らかになる貸出履歴について、公立の図書館が民間に機微な個人情報の利用を委ねる点には条例等に基づきその運用に問題があるか否か明らかにするべきである。

また、民間に委託した図書館業務について、本人の同意に基づき貸出履歴にポイントを付与するといった事例が見られる。しかし、マーケティングデータとして利用されるポイントシステムの複雑な仕組みにおいて、自らの個人情報がどの範囲で提供されているのか必ずしも本人が了知しているとは限らない。

ビッグデータの時代には、自らの個人情報が本人の予期しないところで取り扱われる可能性もあり、真正な同意と評価できない場合もある。図書館業務を民間に委託する国、地方公共団体は、これらの個人情報保護に関連する諸問題13について調査し、その結果を利用者に広く公表するべきであろう。

図書館問題研究会が指摘するように、「国立国会図書館の壁には『真理はわれらを自由にする』と書かれている。しかし、『真理』とは、誰かが一方的に押し付けるものではない。さまざまな立場から書かれた多様な資料(判断材料)を比較検討することによって、だんだんと明らかにされるものである」14。真理の探究の場を提供する図書館の公共的使命を思い起こす必要がある。

4.専門職としての個人情報保護

図書館に所蔵されている図書や資料を守ることができても、利用者の個人情報を守ることができない図書館は「国民の教育と文化の発展に寄与すること」(図書館法第1条)ができない。医師が患者の病気に関する情報を守るのと同様に、図書館は利用者から思想や趣味・嗜好の情報を預けられている以上、その秘密を守る義務を有している。図書館の司書等は、専門職としての職責を果たす義務を有する。その職責の一つに図書館における個人情報保護が含まれている。

他方で、図書館における個人情報の取扱いについては、法令では求められていない過剰な保護という誤解を解く必要もある。事件が起きると図書館にある名簿などの閲覧を制限するなどの「過剰反応」もみられた。忘れられる権利の文脈において、正当な理由もなく図書館の図書や資料を閲覧させないといった行き過ぎた情報保護の対応は克服しなければならない。

その意味において、個人情報の取扱いについては、保護と利活用のバランスが重要となる。図書館においては、国民の知る権利とプライバシー権という、ときに相対立する二つの人権を適切に衡量しなければならないのである。

(みやした ひろし)

(参考文献)
松井茂記『図書館と表現の自由』岩波書店,2013(国立国会図書館請求記号[UL11-L11]以下同じ)
新保史生『情報管理と法』勉誠出版, 2010[UL511-J14]
藤倉恵一著・日本図書館協会図書館の自由委員会監修『図書館のための個人情報保護ガイドブック』日本図書館協会,2006[UL511-H13]
  1. 企業図書館、私立中高・大学図書館等。
  2. 行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案(第190回国会(常会)提出法案・平成28年3月8日提出)
  3. 例えば前述の神戸高校は県立のため、同校の図書館は個人情報に関わる法律的なくくりでは公立図書館となる。これは、図書館の館種としては学校図書館のくくりになるものの、個人情報に関わる法律上は、設置者(国、地方公共団体、企業等)により振り分けられることになるためである。
  4. 総務省「行政機関の保有する個人情報の適切な管理のための措置に関する指針」及び「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針」の改正
  5. 内閣官房内閣サイバーセキュリティセンター「標的型攻撃等の脅威について」
  6. 総務省「平成 26 年度における行政機関及び独立行政法人等の個人情報保護法の施行の状況について(概要)」
  7. 総務省「行政機関等における個人情報保護対策のチェックリスト」
  8. 「忘れられる権利」及びその動向については、今岡直子「『忘れられる権利』をめぐる動向」『調査と情報-ISSUE BRIEF-』第854号 2015.3.10参照。(編集部追記)
  9. 先決付託手続(EU機能条約第267条):加盟国の国内裁判所が欧州連合司法裁判所(Court of Justice)に対してEU法が国内裁判所により統一的に適用されることを目的として、欧州連合司法裁判所がEU法との適合性について意見を下すこと。なお、欧州連合司法裁判所によって、ある事項に対して同判決がなされた場合は、照会を行った当該国裁判所がその判決に従うだけでなく、他の加盟国においても同様の事項については拘束されることとなる。
  10. 検索エンジンの検索結果で表示される自己の社会保障費滞納による不動産の競売情報に関する16年前の新聞記事へのリンク表示の削除と新聞社に対する記事削除を当該個人が申し立てた事案。欧州連合司法裁判所の先決判決は、検索エンジン運営者については、検索結果から問題とされた個人データとのリンクを削除するべき義務を負うとした。オリジナルの情報である新聞社の記事については、その限りでないとされている。
  11. リンク先のPDF版では5頁
  12. 国際図書館連盟(IFLA)、「忘れられる権利」に関する声明を発表」カレントアウェアネス・ポータル2016.2.26
  13. 例えば、図書館問題研究会常任委員会「CCCの運営する図書館(通称「TSUTAYA 図書館」)に関する問題についての声明」
  14. 図書館問題研究会常任委員会「船橋市西図書館の蔵書廃棄問題について(見解)」。なお、「真理がわれらを自由にする」が正しい。(編集部追記)

このページの先頭へ