企業のサービスとしてユーザー情報を利用する場合、個人情報の取り扱いを認識しておく必要があります。プライバシーとは、個人情報の機密性を保護する総称です。社会保険証番号といった個人識別番号(PII)や給料といった財産情報、教育情報、身体情報(PHI)も保護される対象になります。
プライバシー情報の法的な保護の基本は、利用範囲の明確化と同意の取得です。どのような目的でその個人情報を利用するのか、自分の組織のみで保管されるものであるのか、持ち出される場合にそれは海外になるのか、またユーザー自身が個人情報の管理方法を持っているのかを提示し、同意を取得する必要があります。個人情報を受け取った組織では、同意を得ている範囲でのみ個人情報を取り扱います。
プライバシーの範囲は、あなたの思っているよりも広いかもしれません。守るべきプライバシー情報ごとに法律があるため、「同意を得ておくだけで十分」と判断せずにちゃんと法務部や弁護士に相談するべきです。その一例として、病気を含む身体情報もプライバシーとして扱われます。ヘルスケアのサービス展開に関わるセキュリティ専門家は注意が必要です。医療保険の携行性と責任に関する法律(HIPAA)では、電子化した医療情報に関するプライバシー保護・セキュリティ確保について定められています。個人の健康状況や支払い状況などの個人を特定できる保護対象の保健情報を保護します。そして、経済的及び臨床的健全性のための医療情報技術に関する法律(HITECH)は、電子的に保持・移動される健康情報のセキュリティに関する基準を設定しました。
HIPAA(ヒッパ)とHITECH(ハイテック)については定義を聞いても似すぎていてよくわからないでしょう。「どちらも医療情報を適切に管理することを義務付けている」 、「HIPPAはプライバシー、HITECHはセキュリティに関する国際基準である」ということを覚えておけば、おおよそ試験対策としては十分かと思いますが、念のため違いについて説明しておきます。一言でいうと、患者の権利が異なります。HITECH以前は、患者は自分の個人情報が誰に開示されたかを知ることができませんでした。2011年、米国保健社会福祉省はHITECHの要求する規則を発表し、患者が開示内容の報告を要求できるようになりました。これらの報告書は、誰がどのような権限で自分の個人情報にアクセスし、閲覧したかを患者さんに説明するものになっています。
プライバシーが保護される権利を持っているのは大人だけではありません。児童のプライバシーを守る法律として、児童オンラインプライバシー保護法があります。児童オンラインプライバシー保護法とは、13歳未満の子どもをオンラインサービスから守る法律です。米国外の子どもを含む13歳未満に関する個人情報のオンライン収集を行っている個人や団体に適用されます。例えば、YouTubeは児童も扱うサービスなので適用対象になります。13歳未満の子どもの個人情報を取り扱うサービスを利用する際には親の許可が必要であることと、子どもだけでお金を払う作業をすることを禁止しています。誰でも使えるサービスを目指して構築した結果、途中からその利用者やコンテンツに子どもが入ってくることもあるでしょう。そうすると、人気が波紋のように広がっていき、一気に莫大な罰金を科せられることもあるようです。サービスを展開する時点で、対象年齢の問題は考えておく必要がありますね。
YouTubeもCOPPAの対応に追われた。
#プライバシー情報 #OECDプライバシーガイドライン #プライバシー法(US Privacy Act) #電気通信プライバシー法(ECPA) #児童オンラインプライバシー保護法(COPPA) #家庭教育の権利とプライバシーに関する法律(FERPA) #医療保険の携行性と責任に関する法律(HIPAA) #経済的及び臨床的健全性のための医療情報技術に関する法律(HITECH)