日本図書館協会図書館の自由委員会国際的な宣言NISOプライバシー原則

「米国情報標準化機構(NISO)、図書館、出版社、ソフトウェア提供システムにおける利用者のデジタルプライバシーについての合意原則 (NISOプライバシー原則) 

原文:NISO Consensus Principles on Users’ Digital Privacy in Library, Publisher, and SoftwareProvider Systems (NISO Privacy Principles)
http://www.niso.org/apps/group_public/download.php/15863/NISO%20Consensus%20Principles%20on%20Users%C2%92%20Digital%20Privacy.pdf

2015年12月1日公表


序文

知的自由の擁護、利用者のプライバシーと秘密性の保護は長らく図書館及び関連機関の任務に不可欠な要素であった。情報資源の管理は次第にデジタルネットワークを伴うようになり、デジタルネットワークは、提供されるコンテンツやサービスが物理的であろうと電子的であろうと、利用者の行動追跡とモニタリング可能性を必然的にはらんでいる。図書館で提供する資源を管理する電子的図書館システム系が成長して図書館の内部運営を超えて拡大するにつれ、これらが利用者プライバシーにもつ意味合いを図書館、出版社、ソフトウェア提供者が理解する必要性が増大している。図書館、出版社、ソフトウェア提供者は、図書館利用者がその資源やサービスを検索して利用するとき、利用者のプライバシーを尊重するデジタル環境を整備する義務を共有している。 

デジタルシステムが情報を配信するとき、とりわけ申し込まれた内容を配信するときには、特定の個人データが要求されることがよくある。さらに、利用者の行動データは蔵書やサービスを向上させるために有用な洞察を提供する。しかし、これらのデータの収集、保管と使用にあたっては、利用者が図書館やそのパートナーに置く信頼を尊重しなければならない。利用者のプライバシーについての権利と期待を尊重しつつ、これら運用上のニーズに対処するいくつもの方法がある。

情報管理の実践、セキュリティプロトコル、法的枠組みは時間とともに進展し、それは利用者のプライバシーと密接な関係がある。したがって、その活動や方針の持続的改良に向けて努力すること、そして、利用者の個人データ保護の最適なレベルを確保することは、情報システム系にかかわるすべての人びとにとっての義務である。

この文書に述べる原則は、一つの出発点である。図書館サービスを支えているプロバイダーの方向性によって実現するだろう原則のうちある程度は、地域社会の合意作業を加えていくことで形成される必要があるだろう。われわれは、図書館利用者へのサービスの提供にかかわるすべての人びとが、後述テーマについての将来の研究活動に貢献するよう奨励する.。われわれは、以下の原則を通して、図書館利用者のデジタルプライバシー保護の実践と手順をめぐる合意を後押しするよう努めたい。

1.プライバシー責任の共有

ALA倫理綱領、IFLA倫理綱領などの原則が表明するように、図書館と図書館員は利用者のプライバシー保護と、図書館利用者データの不正な収集と使用、開示の阻止についての倫理的義務、場合によっては法的義務を負っている。図書館とその利用者のために活動する出版社とソフトウェア提供者も、この倫理的責任を共有している。図書館のデータや活動履歴にアクセスするすべての者は、利用者のプライバシーやデータの安全性を保護する責任を負い、到達すべき標準と最適な実践の訓練を受けなければならない。

2.透明性とプライバシー意識の促進

図書館利用者は、図書館資源を利用するときに提供されるプライバシー保護の程度とその範囲を決定できなければならない。図書館、出版社、ソフトウェア提供者は、各関係者の方針と個人識別情報管理の実務について、専門用語を使わない具体的な説明を利用者が容易に利用できるようにしなければならない。これらの方針は、図書館利用者に自身のデータのプライバシー保護の方法を知らせ、以下のことを確認するものでなければならない。どのようなデータが収集されるのか、なぜ収集されるのか、だれがデータにアクセスできるのか、データはどのように保有され安全に管理されるのか、データはいつ、だれに開示されうるのか、そして、その組織のデータ保有あるいは削除の方針はどのようなものなのか。

図書館利用者は、プライバシー保護の度合いを把握することによって、図書館による最高のプライバシー保護を得ることができる。プライバシーの選択権を利用者に知らせる手段には、館外での情報のやりとり、システム設計の際に図書館と利用者間のコミュニケーション手段を埋め込むことや利用者教育も含まれる。サービス提供に関わるすべての関係者は、これらの選択権を利用者に効果的に伝えなければならない。システム設計では、選択権の管理を単純化してこれらの方針の理解を容易にしなければならない。

3.セキュリティ(安全性の確保)

データ保護の基本として、セキュリティに関する最新で最善の措置をしなければならない。それには以下のものがある。個人データの暗号化(静止、稼働を問わず)、脆弱性に対処するためのシステムやソフトウェアの迅速な更新、機微情報へのアクセス制御にかかわる仕組みや手順と方針、データにアクセスする者へのセキュリティ訓練の手順書、違反報告と事故対応およびシステム、ソフトウェア、ネットワークのセキュリティ設定と監査のための明文化された手順書。

利用者データへの不正なアクセスは、データ流出を最小限にするためにすみやかに是正し、適用法を遵守してできるだけ早く関係者に通知しなければならない。図書館、出版社、ソフトウェア提供者は、適用法と規制要件を遵守し、利用者データのプライバシーとセキュリティ保護のために公表されたセキュリティ標準を遵守しなければならない。

4.データの収集と使用

利用者と図書館、出版社、ソフトウェア提供者が利用者の個人データの収集と使用から得られうる利益は、その収集と使用が利用者とそのプライバシーの権利に与える影響とバランスをとらなくてはならない。利用者の個人データの収集と使用は、利用者サービスの支援とサービスの向上を目的とする研究のため、またはデータを収集した図書館、出版社、ソフトウェア提供者の内部運用のためでなくてはならない。図書館サービスの効果的な管理と提供のため、図書館利用者が図書館資源にアクセスし、または図書館サービスを受け取るときに個人データの提供が求められることがある。利用者の個人データは、本人に開示され、本人が同意した目的のためにのみ使用されなければならない。

ある種の個人データ、例えば、人種、性別、社会的経済的階層や能力などは、よりセンシティブ(機微情報)であるとみなされており、それらを図書館、出版社、ソフトウェア提供者が保有して使用するときには、より高いレベルの精査と正当化が必要である。さらに、そのようなデータを集積するときには、特別な保護をしなければならない。

5.匿名化

図書館利用者データのうち個人を特定できる識別情報を含むものは、運用目的のために不可欠な期間に限ってその形のままで保持される。運用上の必要性が失効した後もデータを研究または管理目的で保持するときには、利用者がその保持に同意しないかぎり、個人識別情報は匿名化プロセスによって覆い隠さなければならない。匿名化は広範な情報プライバシー制御の一部分として利用しなければならない。情報プライバシー制御とは以下のものである。データの最小化、統計数値の公開を限定的な方法にしておくこと、データ利用への同意、そして監査。匿名化したとしても再同定の危険性を完全には排除できないため、匿名化されたデータであっても再同定の潜在的危険性を常に意識し、「セキュリティ(安全性の確保)」の原則(上記3)で詳述した予防措置をもって処理すべきである。

6.オプション(選択権)とインフォームド・コンセント

図書館利用者のプライバシーに対するニーズと期待はそれぞれ異なっていて、状況に左右されることがある。「4.データの収集と使用」で述べたように、個人データがサービスの提供に必要でない場合、図書館、出版社、ソフトウェア提供者は、個人に関するデータがどれだけ収集され、どのように使用されるかの選択権を図書館利用者に提供しなければならない。初期設定としては、利用者が図書館サービスに加わるとはっきり決めるまで、そのサービスから除外されていなければならない。利用者が特定のサービスに加入した場合、後日になって、とりわけプライバシー方針が変更されたときにも、サービスからの脱退を選択できなければならない。その場合、「自分自身の利用者データへのアクセス」(後述10)に概説するように、その時点でのデータを削除する選択権がなくてはならない。

7.他者とのデータ共有

図書館、出版社、ソフトウェア提供者は、コンテンツや図書館サービスの提供や管理のため、いくつかのデータを共有する必要性にかられることがある。しかし、これら関係者は、利用者の活動についてのデータや情報を第三者と共有する前に、利用者のプライバシーへの影響を慎重に考慮しなければならない。考慮すべき事項として以下がある。図書館利用者の同意、利用者プライバシーへの利益、法律上の禁止事項や規制要件、当該第三者の方針とその原則の遵守、そして利用者と組織にもたらされるリスクと利点。

利用者がサービスに加入しないかぎりは、共有された利用者の活動データを匿名化し、個々の利用者のプライバシーリスクを最小限のレベルまで抑えなければならない。とりわけ、個々の利用者が資源を利用する習慣は漏洩しやすく、「匿名化」の原則(上記5)に準拠して保護しなければならない。

8.プライバシー方針の通知と実行

「透明性」(上記2)で概説した方針を実行するため、プライバシー方針は、利用者が容易に理解して利用できるものでなければならない。これらの方針は時間とともに変わる可能性があるため、図書館サービスの提供者は、プライバシー方針の重要な変更はどんなものでも公表し、図書館や供給元のプライバシー方針変更の影響を受ける利用者に直接通知するよう努めなければならない。方針の変更は、法の求めによる場合を除き、利用者の同意なしに保有する利用者データに遡及して適用してはならない。

9.匿名利用の支援

図書館、出版社、ソフトウェア提供者は、利用者が匿名で利用する権利を認め、匿名であっても適切なサービスを提供しなければならない。利用者が匿名のときにはすべてのサービスが受けられるわけではないが、基本的なサービスを提供するための合理的配慮がなされなければならない。図書館資源へのアクセスや図書館サービス提供のために利用者の個人情報の収集と保有が必要なときは、図書館利用者に匿名によるサービスはできないことを知らせなければならない。

10.自分自身の利用者データへのアクセス

利用者は、自分自身の個人データあるいは活動データにアクセスする権利を持っている。利用者が自身のデータをチェックして訂正または削除を求められるよう、これらのデータを保有する組織は、データへのアクセスを提供するために最善の努力を尽くさねばならない。「データの収集と使用」(上記4)で述べたように、図書館、出版社、ソフトウェア提供者が内部運用またはビジネス目的に必要なとき、データによっては削除できない場合がある。オプションサービスとして、提供者はこれらのデータを安全に一般的なファイル形式に変換できる。

11.継続的な改善

図書館、出版社、ソフトウェア提供者は、利用者のプライバシーに関する脅威、技術、法的枠組み、ビジネス慣行、そして進展についての利用者の期待に応え、利用者のプライバシーを継続的に見直し、改善するよう努めなくてはならない。

12.説明責任

図書館、出版者、ソフトウェア提供者は、データの収集、安全性の確保、使用、共有と処分に関する方針について説明責任を負い、その方針は定期的に見直し報告しなければならない。説明責任の実践は時間をかけて進展していくが、コンピュータシステム、セキュリティ対策、活動方針とその手順について、できれば独立した第三者機関による定期的な見直しと監査を受けなければならない。見直しや監査の結果は必要に応じて図書館が利用できるようにしなければならない。

用語集

匿名化Anonymization:データの記述する人が匿名のままであるために、データセットから個人識別情報を変換または除去する工程。
アメリカ図書館協会:ALA
コンテンツ提供者:Content provider:図書館との合意のもとで図書館利用者にコンテンツを提供する任意の者。それは同時にコンテンツとソフトウェアの両方の提供者であってもよい。
静止データ、使用中データ、移動中データ:Data at-rest, data in-use, and data in-motion:図書館、コンテンツ提供者、ソフトウェア提供者が保有する個人識別情報または個人の活動のデータの状態を記述する用語。
静止データとは、それがシステムの中に格納されているデータを示す。
使用中データとは、サービスを提供するために処理または使用されているデータを意味する。
移動中データとは、貯蔵または処理のために転送されているデータである。
インフォームド・コンセント(告知に基づく同意):Informed Consent:個人の情報を収集した者がその情報をどのように使用または開示するかについて、プライバシー方針情報へのアクセスに基づいて個人が決定できること。
国際図書館連盟:IFLA
内部操作Internal operations:組織の中心的な目的を実施、維持、改善または支援するために行われた事務、管理行程や活動。
図書館サービスLibrary services:図書館が直接あるいは外部組織との契約により提供、許可、貸与する活動で、それにより図書館の使命を支援し利用者あるいは図書館資源の使用者を補助する。
図書館利用者Library user:図書館サービス、資源、システムを利用する人。利用者、図書館スタッフ、ボランティア、図書館資源とサービスにアクセスする他の地域社会のメンバーも含む。
ソフトウェア提供者Software provider:図書館が所有またはライセンスをもつ資源の管理、検索、配信、利用または保存を容易にするデジタルシステムやサービスを提供する者。それは同時に図書館でもありコンテンツとソフトウェア(またはシステム)の提供者でもありうる。
個人の活動データPersonal activity data:その個人にさかのぼることのできる図書館の文脈の中での図書館利用者の活動によって生じるデータ。例としては以下のものがある。貸出記録、検索、閲覧、ダウンロード履歴、ソーシャルメディアのやりとり、オンライン通信履歴(例えば、電子メールやSMS(ソーシャルメディアサービス)など)、図書館での活動のログ、読書行動データ、認証ログ、コンピュータ利用データなど。
個人識別情報Personally identifiable information(PII):それのみで、あるいは他の情報と組み合わせて、ある人物を特定、連絡、追跡する、あるいは前後関係(文脈)の中でその個人を特定するために使われるデータ。個人情報ともいう。
プライバシー:Privacy:米国研究評議会と米国社会科学研究会議(社会科学評議会)による定義:
「情報のプライバシーは、情報探究のための過度の侵入からの個人の自由、個人が彼または彼女の信念、行動、意見、態度を共有したりまたは他と共有しなかったりする程度や状況を選択できることを含む。」(全米科学アカデミー報告書1993 パネル報告私生活と公共政策 p.22) 情報環境におけるプライバシーについてはほかにも多様な定義があり、プライバシーに含まれるすべての要素についての合意は得られていない。
プライバシー方針Privacy policies:組織が個人識別情報と個人の活動データをどのように収集、利用、開示、運用するか手続きと実施の概要を公表した説明書
第三者Third-parties:図書館でもコンテンツ提供者でもシステム提供者でもなく、図書館利用者へのサービス提供の運用規程に直接拘束されない者

関連して読むべきもの

ALA倫理綱領
ALA Code of Ethics 
http://www.ala.org/advocacy/proethics/codeofethics/codeethics

IFLA倫理綱領
IFLA Code of Ethics 
http://www.ifla.org/news/ifla-code-of-ethics-for-librarians-and-other-information-workers-full-version
日本語訳; http://www.ifla.org/files/assets/faife/codesofethics/japanesecodeofethicsfull.pdf


この原則はアンドリュー・W.メロン財団の惜しみない助成金によって作成された。

(日本語訳:日本図書館協会図書館の自由委員会 2016年7月)

この文書はNISOが作成公開し、日本図書館協会図書館の自由委員会が翻訳公開したものです。
なお、この訳文の責任は日本図書館協会図書館の自由委員会にあり、NISOによる訳文の確認等は行われておりません。
利用にあたっては、クリエイティブ・コモンズ・ライセンス「CC-BY-NC-SA」(表示-非営利-継承)の条件で利用することができます。
条件の詳細は以下のサイトをご確認ください。
クリエイティブ・コモンズ・ライセンスとは:クリエイティブ・コモンズ・ジャパン
 https://creativecommons.jp/licenses/

このページの先頭に戻る