2017年2月22日 (水)

匿名加工情報に「仮ID」という用語を使うことに違和感がある

国立情報学研究所が「匿名加工情報の適正な加工の方法に関する報告書」を公表した。

匿名加工情報の適正な加工の方法に関する報告書を公表/NII「匿名加工情報に関する技術検討ワーキンググループ」

 

この報告書を読んだところ、内容はよく整理されていており有益であるにもかかわらず、文章を読むときに違和感を覚えた。
この違和感は、なんだろうと考えたところ、それは、この報告書そのものではなく、改正個人情報保護法のために個人情報保護委員会が作成したガイドラインのひとつである「個人情報の保護に関する法律についてのガイドライン (匿名加工情報編)」によるものであることに気づいた。

個人情報保護委員会「改正法の施行準備について」

このガイドラインの内容について気にしていたものの、用語については、これまであまり気にしていなかった。
しかし、改めて用語を気にして読んでみると、「仮ID」という用語に違和感がある。むしろ、誤用ではないかと思えたので、その違和感について紹介してみる。

「個人情報の保護に関する法律についてのガイドライン (匿名加工情報編)」には、IDを含む用語が「ID」「会員ID」「管理用ID」「仮ID」の4つある。
これら4つを、どう使い分けているのかを整理してみる。

「ID」について特に説明はないが、

個人情報取扱事業者が個人情報を取り扱う上で、例えば、安全管理の観点から取得した個人情報を分散管理等しようとするために、当該個人情報を分割あるいは全部又は一部を複製等した上で、当該個人情報に措置を講じて得られる情報を個人情報と相互に連結するための符号としてID等を付していることがある。このようなIDは、個人情報と当該個人情報に措置を講じて得られる情報を連結するために用いられるものであり、特定の個人の識別又は元の個人情報の復元につながり得ることから、加工対象となる個人情報から削除又は他の符号への置き換えを行わなければならない。
個人情報と当該個人情報に措置を講じて得られる情報を連結する符号のうち、「現に個人情報取扱事業者において取り扱う情報(※1)を相互に連結する符号」がここでの加工対象となる。具体的には、ここで対象となる符号は、匿名加工情報を作成しようとする時点において、実際に取り扱う情報を相互に連結するように利用されているものが該当する。例えば、分散管理のためのIDとして実際に使われているものであれば、管理用に附番されたIDあるいは電話番号等もこれに該当する。

なお、他の符号に置き換える場合は、元の符号を復元できる規則性を有しない方法でなければならない。

【想定される加工の事例】
事例1)サービス会員の情報について、氏名等の基本的な情報と購買履歴を分散管理し、それらを管理用IDを付すことにより連結している場合、その管理用IDを削除する。
事例2)委託先へ個人情報の一部を提供する際に利用するために、管理用IDを付すことにより元の個人情報と提供用に作成した情報を連結している場合、当該管理用IDを仮ID(※2)に置き換える。

という文章の中に、「当該個人情報に措置を講じて得られる情報を個人情報と相互に連結するための符号としてID等を付していることがある」という表現があることから、「ID」は、「当該個人情報に措置を講じて得られる情報を個人情報と相互に連結するための符号」としているようである。

「会員ID」についても、特に説明はないが、

会員ID、氏名、住所、電話番号が含まれる個人情報を・・・

という文脈で登場することから、暗に「氏名、住所、電話番号と共に保存されているID」を指しているようである。

「管理用ID」についても、説明はない。

事例1)サービス会員の情報について、氏名等の基本的な情報と購買履歴を分散管理し、それらを管理用IDを付すことにより連結している場合

という文脈で登場することから、「氏名等の基本的な情報と購買履歴を分散管理し、それらを連結しているID」のことのようである。

で、本題の「仮ID」であるが、

仮IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。

という注記として、このガイドラインの中では最初に登場することになる。

このような書き方は、法令等の条文によく見られるのだが、実務現場で誤解を生じやすい。
この文体は、実は、2つのことを一つの文で兼ねさせているのである。
例えば、これが規格文書であれば、以下のような2文で記述することになる。

(1)IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。
(2)元の記述を復元することのできる規則性を有しない方法で付されたIDのことを、仮IDと言う。

(1)は、行為の要件を規定しており、(2)は用語を定義している。
実務現場で誤解を生じやすいと書いたが、ようは、法律を勉強したことのない一般の人からすると、後者の2つに分けた文章の方がわかりやすいということだ。

どういう誤解が生じるかというと、

仮IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。

という文章を読んだときに、一般の人は、語尾が「しなければならない」であることから、この文章は遵守事項の文だと考える。
このときに、文中に用語定義が内包されているというふうには読みにくい。
そのため、

IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。

というようなつもりで読む。
しかし実際の文章は、「仮IDを付す場合には、」で始まっているために、
「仮IDには、元の記述を復元することのできる規則性を有するものと、有しないものの2種類がある」という誤解を生じやすい。
よくよく読むと、一般の人でも、

仮IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。

には、

元の記述を復元することのできる規則性を有しない方法で付されたIDのことを、仮IDと言う。

という意味合いが含まれていることに気づけるが、そのように読むことに慣れてはいない。

その結果、現場では、「仮IDには、元の記述を復元することのできる規則性を有するものと、有しないものの2種類があり、有しないようにしなければならない」として、「仮ID」という用語が使われ始めてしまう。
これは、用語が不正確だが、「元の記述を復元することのできる規則性を有しない」ことが必要であることは伝わっているので、一見すると問題ないように思えるかもしれない。
しかし、問題なのは、「元の記述を復元することのできる規則性を有するもの」も「仮ID」と呼ばれてしまいかねないということである。

要件を満たしていることを期待している人が「これ、仮IDになってる?」と確認したときに、
要件を満たしていないことをしている人が「うん。それは仮IDだよ」という仮性対話が発生してしまいかねないということだ。

そのことを踏まえれば、法条文に読み慣れていない人が読むことも想定されるガイドラインで、わざわざ、わかりにくい文章にする必要はない。
わかりやすさを優先して、素直に、

IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。
元の記述を復元することのできる規則性を有しない方法で付されたIDのことを、仮IDと言う。

と2文で書けばよいだけのことだ。

この誤解と懸念は、文章構成によるもので、この「仮ID」に限ったことではないのだが、ここで「仮ID」には大きな罠がさらにある。

それは、以上を踏まえた上で、「仮ID」という用語に違和感はないだろうか?
繰り返すが、

元の記述を復元することのできる規則性を有しない方法で付されたIDのことを、仮IDと言う。

となるわけである。
普通に考えて、そのような要件を満たすものに「仮」という日本語を使うことに違和感はないだろうか?
日常生活で「仮」といったら、いずれ「本物」になるものとかの意味ではないだろうか。
今回の使い方は、むしろ、逆で、本物に相当するものがあった上で、後から付されるIDなのである。

本物IDがあって、それを加工するなら、「代替ID」などが自然だろう。
しかし、もともとのものにIDがなく、新たにIDを付す場合もあるので、そうなると「代替」というのも不自然である。
「一時的ID」か?というと、永続的に使うこともあり得るので、「一時的」でもない。

そこで、この用語の定義に戻ってみると、

元の記述を復元することのできる規則性を有しない方法で付されたIDのことを、XXと言う。

のXX部分の用語を決めようとしているのであるから、そこに端を発すれば、たとえば「規則的復元不可能ID」などにすれば、直感的にわかりやすい。
一方で、そもそも、「元の記述を復元することのできる規則性を有しない」ことの目的は、「特定の個人を識別できない」ようにすることなわけだから、「特定個人非識別ID」と言うこともできる。
その意味では、「特定の個人を識別しないが、ある個人を識別している」ことを、「個人識別非特定」と整理した時期もあった。
それに習うなら、「個人識別非特定ID」と呼べそうである。
その場合、IDとは、Identifierのことで識別符号であるから、「個人識別非特定」の内の識別の意味はIDという用語に元からあるため、「個人非特定ID」と呼んでも、表現としては足りそうである。

あるいは、匿名加工情報の中で使うのだから、「匿名加工ID」などでも、「仮ID」よりはましだろう。「匿名加工」を単独で使うと、それが非識別非特定なのか、識別非特定なのかの区別がつかないものの、「匿名加工ID」や「匿名用ID」、「匿名ID」であれば、先に説明したように、IDそのものに識別の意味があるので、それが識別非特定であることは自明とも言える。

いずれにしても、現場では、「これ、XXになってる?」という会話で、誤解なく伝わるようにすることに配慮することが重要であろう。
このとき、
「これ、仮IDになってる?」というのと、
「これ、個人非特定IDになってる?」というのと、どちらが誤解なく伝わるかということだ。

以上のようなことを気にしてみると、「仮ID」という用語を使うのは、日本語の使い方として乱暴すぎると思う。

同様の懸念は、「管理用ID」という用語にもあるが、長文になったので、説明を省いて結論だけ書くと、同様の理由で、ガイドラインにある「管理用ID」は「個人特定ID」などと呼ぶことにした方が、わかりやすい。
そのようになれば、ガイドラインにある

管理用IDを仮IDに置き換える

という文章は、

個人特定IDを個人非特定IDに置き換える

という文章にできるのである。

個人特定IDと、個人非特定IDというのは、あくまで、例示だ。
ガイドラインでは、「連結」という表現をたびたびしているので、連結IDと非連結IDなども考えられる。さらには、先に紹介したとおり、「仮ID」については、「匿名用ID」でもよいかもしれない。そもそも、なんとかIDという呼び方にこだわらなければ、現状のガイドラインの内容からすると「仮名」でよく、それなら、英語でも「pseudonym」に訳せるようになる。

いずれにせよ、管理用IDと仮IDよりは、余程わかりやすいと思う。

そのような、わかりやすさに配慮して、用語を慎重に決めることが重要だと思う。

このままだと、匿名加工情報における適切なIDが、「仮ID」という呼び名で世の中に広まることには語感としての違和感があるし、何より誤解されやすいと思う。

2月 22, 2017 | | コメント (0) | トラックバック (0)

2016年11月30日 (水)

個人情報保護法の個人情報保護委員会ガイドライン参考資料

個人情報保護委員会「改正法の施行準備について」
http://www.ppc.go.jp/personal/preparation
・公表版:「ガイドラインについて」に掲載されています
・意見募集案版:委員会における検討経過「個人情報保護法ガイドライン(案)について」に掲載されています

意見募集結果
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000025&Mode=2

上記参考サイトの資料を元に意見募集案版と意見募集後の公表版との修正箇所を示した資料を作成しました。
zipファイルを解凍するとMS Wordファイルになりますので、アンチウイルスソフトでご確認の上で自由にお使いください。 

 「pipa-ppc-guideline-20161130.zip」をダウンロード

上記からダウンロードできない場合は、こちらをお試しください。

 http://yosihiro.com/doc/pipa-ppc-guideline-20161130/index.html



11月 30, 2016 | | コメント (0) | トラックバック (0)

2016年9月15日 (木)

EUデータ保護対応で日本企業にとって十分性認定はSCCより有利か?

日本企業がEUの個人情報をEU域外に持ち出して取り扱う場合の制約について、日本企業にとって、十分性認定がSCC(標準契約条項)より無条件に優れているかについては、ちょっと立ち止まって考えてみたい。

日本企業がEUで消費者向け事業を直接するというB2Cの場合には、SCCを使うことができないが、それ以外のB2Bの場合、たとえば、日本のクラウドサービス事業者がEU企業にも自社の国内クラウドセンターを使ってもらうという場合を想定して考えてみる。

※十分性認定とBCR,SCCの違いについては、日経ITproの「[第2回]「十分性認定」のない日本企業」がわかりやすい。

十分制認定が取れていれば、企業が個別に手間がかからなくてよいという利点があるのは確かだが、そのためには、本来は内政である国内の個人情報保護基準をEUに合わせることになる。
たとえば、日本の個人情報保護法は現行法でも改正法でも、個人情報を取得する際に利用目的を通知するだけで、同意を得る必要はない。しかし、十分性認定を取るためには、同意を得る必要がある。
個人的には、同意を得るのがよいだろうと思っているが、それは日本がその是非を判断して決めることであって、その是非をEUに強制されるということには疑問がある。
国内基準は海外基準も視野に入れて決めないといけないのだから、最初から海外基準を採用すればいいではないかという考え方があるかもしれないが、それは海外基準を無条件に採用することとは異なる。当該海外基準の内容を見て、それが国内でも適当であるから海外基準を文書をそのまま使うと判断することと、内容の判断なく基準をそのまま受け入れるということとは異なる。

本来の最善策は、米国EUセーフハーバーのように、国内基準は自分で決め、EUと取引したい企業は自らの選択として、EU基準に合わせるというのが最善ではあろう。しかし、セーフハーバー締結はいろいろな駆け引きがあり、現状の日本政府がそれをできないのであれば、十分性認定を次善とするより、SCCが次善策なのではないだろうか。

また、SCCの欠点は手間がかかることであるが、その手間には以下の3点ある。
1.データ受理者(日本企業)がEUの求める管理体制の整備をしないといけないこと
2.データ送出者(EU企業)がEUの求める管理体制の整備をしないといけないこと
3.それらについてEUのDPAから認定を受けること

1については、本来しなければならないことが求められているのであって、いずれにしてもすることになる。すなわち、十分性認定を国が取るとしたら、全国内企業はそれを常に求められるている。したがって、これはSCCとしての欠点にはならない。
先に3については、国内規制であれば日本語だけでよいが、英語で書面などを準備しなければならないという手間が増える。しかし、そもそも、やりたいことは、EU企業相手の事業なのであれば、認定を受けるという手続きの手間は増えるが、英語での整備については、追加として増えることではないのではないか。
そして2についてであるが、十分性認定があれば、事業のお客様となるEU企業にこれを求め、それについて3を求めることが、事業で不利になるということが指摘されている。
手間の観点では確かにそうだが、リスク・マネジメントの観点も加味した方がよい。
たとえば、個人情報の流出が複数の関係者、すなわち複数の企業間で起きた場合だが、機密情報が流出した場合に比べると、流出源を外部状況から観察して特定するのは比較的困難になる。そのとき、企業間の関係が対等ではなく受発注関係であると、通常は、発注者が受注者からの流出を疑い、それがなかったことの説明を求められる。しかし、仮に、発注者からの流出だった場合に、受注者側からそれを言い出すことはやりにくいだろう。
ここで当然なのは、発注者も十分な管理をしていなければならないが、それを受発注間の契約で言及することは通常は行われない。しかし、この点は、実は受注者側の残存リスクである。受注者の無実を証明しない限り責任を取らされる可能性があり、それが受注者側だけの片務でかかっているというのが、通常の機密保持契約書だ。
SCCを締結するにあたっては、上記2により、これを求めることができ、さらに3によってDPAが認定するということによって、契約書外でリスク・マネジメントできる利点があると捉えることはできないだろうか。

EU企業のお客様に対して、SCC締結を求めなければならないということは、ビジネスの不利な条件ではあるが、その場合の競合相手の他国の企業とは、サービス内容や価格で、その手間を圧しても有益であるという差別化ができればよい。
もちろん、サービス内容や価格が同等の場合には、不利ではあるが、SCC認定を容易に取得できないEU企業と取引することのリスクもまた考えてもよいのではないだろうか。
特に、日本国内での委託先での個人情報流出事案では、流出源の調査には発注元も協力して解決に当たっているし、発注元は自身への被害を最小化することで委託先への損害賠償額も抑止される。しかし、EU企業の場合には、はたして、同様になされるだろうか?まずは、受注者が無実の証明を一方的に求められないか?さらに国内では実費相当の損害賠償が基本となるのに対して、EUでは高額な制裁金も課されるだろう。
SCCを締結すると、その原因調査や責任分担が明確になるとは、もちろん言えないが、SCC締結に難色を示すEU企業は、要注意だと考えることもできないだろうか。

そんなことも考えながら、日本は、十分性認定を取ることが次善なのかを決めることが大切だと思う。
ただ、いずれにせよ、最善なのは、日本EUセーフハーバーではないかと考えている。

9月 15, 2016 | | コメント (0) | トラックバック (0)

2016年7月12日 (火)

EUが発行したGDPRの英文に苦言を呈してみる(笑

基準書や規格書などを作成していると、文章の平仄(ひょうそく)に敏感になります。
で、前から気になっていますがEUが出す規制文書の平仄は実はあまりよくないという印象を持っています。
個人情報保護に関するGDPRも相変わらずのようです。
 European Commission - Protection of personal data
 http://ec.europa.eu/justice/data-protection/

GDPRでは、本人からの同意の取得方法について、明示的な方法での取得が明記されました。これをexplicit consentと呼んでいます。
この用語は今回の目玉のひとつと言ってよいと思います。
それなのに、それとは関係ない文章でもexplictという単語を使ってしまっています。

EUに、お前の英語は酷いと言っても直さないでしょうから(笑)、和訳でこの酷さを解消するのがよいだろう。ということで、以下のように意訳しました。

5条1項(b)
collected for specified, explicit and legitimate purposes
特定され明確でありかつ適法な目的のために収集されなければならず

9条2項(a)
has given explicit consent
明示的に同意を与えた

21条4項
shall be explicitly brought to
明確にデータ主体の注意がもたらされ

22条2項(c)
the data subject's explicit consent
データ主体の明示的な同意

49条1項(a)
the data subject has explicitly consented to the proposed transfer
データ主体が提案された移転に明示的に同意した

つまり、原文のexplicit/explicitlyについて、consentに係る場合には「明示的」と和訳し、それ以外については「明確」と訳してみました。
逆に言うと、明確にと和訳した箇所は、平仄からすると、そもそも英文でexplicitを使うのは好ましくないと言えます。
その意味であれば、clearly, expressly や clarifyなど同義の別の単語をこの文書では使うべきでしょう。
つまり、
5条1項(b)では、claered and clarified
21条4項では、expressly
などの単語を使うべきで、
さらに、49条1項(a)は、explicitly consentedとはせずに、explicit consentで作文すべきでしょう。
そのためには、9条2項(a)と平仄を揃えて、has given explicit consentとすればよいでしょう。

ちなみに、明示的同意については10年前くらいから紹介してきたものと同じです。

 アメリカ企業におけるCPO業務の実際:https://youtu.be/RviU18iIGOI

明示的同意取得についての説明は、6分くらいから3分間くらい

URLで再生開始時間を指定してありますがスマフォで開くと、最初から再生されるようです。
リンクをブラウザで開くと該当箇所から再生されます。

ということで、全文の和訳は某所からじきに公開されるとのことです。
公開されましたら、この場とtwitterでもご案内いたします。
 https://twitter.com/4416sato

お楽しみにv

7月 12, 2016 | | コメント (0) | トラックバック (0)

2016年3月18日 (金)

報道機関の失策から学ぶ,個人情報の保護と利活用のバランスから両立への転換

個人情報の保護と利活用について、バランスを取るという表現をかつてしていたが、最近は、バランスではなく両立という表現にすべきだろうと思っている。それについて、失策とも思える事例から学ぶことができた。

2016210日に新聞協会主催で「個人情報保護改正と報道の自由~国民の知る権利は脅かされるのか」という公開シンポジウムが開催されたので聴講してきた。

パネルディスカッション形式で、記者、大学教員、個人情報保護委員会事務局が発表と意見交換をした。

パネルディスカッションの内容は、順不同だが、記者の主張は、おおまかに言うと、現行法において個人情報の第三者提供同意取得について、報道機関は義務を除外されているのに、取材先がそのことを知らないので、情報提供を拒否され取材に支障がある。ということだ。

それについて、個人情報保護委員会は以下の法条文を示して、報道機関はちゃんと除外されているのだから、その誤解をなくすようにしていきたいと協力姿勢を示した。

(適用除外)

個人情報取扱事業者等のうち次の各号に掲げる者については、その個人情報等を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、第4章の規定は適用しない。

一 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。)報道の用に供する目的

二~五(略)

2 前項第1号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。

3 第1項各号に掲げる個人情報取扱事業者等は、個人データ又は匿名加工情報の安全管理のために必要かつ適切な措置、個人情報等の取扱いに関する苦情の処理その他の個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するように努めなければならない。

さらに、個人情報保護委員会の権限の行使の制限でも除外されていることを紹介した。

(個人情報保護委員会の権限の行使の制限)

43条 個人情報保護委員会は、前三条の規定により個人情報取扱事業者等に対し報告若しくは資料の提出の要求、立入検査、指導、助言、勧告又は命令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。

2 前項の規定の趣旨に照らし、個人情報保護委員会は、個人情報取扱事業者等が第76条第1項各号に掲げる者(それぞれ当該各号に定める目的で個人情報等を取り扱う場合に限る。)に対して個人情報等を提供する行為については、その権限を行使しないものとする。

記者からの発表では、個人情報に関係する情報の提供を受けても、それについてプライバシーを侵害するような報道内容にならないようにした事例が紹介された。それについて細心の注意を払っているのだから問題なく、このような情報が提供されないことで有益な報道に支障があることは問題だと主張した。

このやりとりには少し違和感を感じた。

それは、義務を除外されているから情報を提供するよう頼むのではなく、もらった情報の取り扱いに細心の注意を払うことを相手にちゃんと説明して、情報を提供してもらえばよいのではないか?と。

このパネルディスカッションに登壇するような記者は、報道する際に、個人情報の保護にも留意し、プライバシーの侵害がないような報道をこころがけているに違いない。しかし、すべての記者が全員そうだと言い切れるのだろうか。

パネルディスカッションの中では、もうひとつ興味深いやりとりがあった。

大学教員が、自分の講座の受講生に学外合宿の案内をメールで送りたいので、大学の教務課に学生のメールアドレスをもらいにいったら、個人情報保護の観点で渡せない。と言われ呆れたという話しを披露していた。

これに対して、個人情報保護委員会からのパネリストは、「それは法律を誤解している。教務課が教員に大学業務のために情報を渡すことに規制はない。教務課に一言物を申し上げたいくらいです。」と返して、場内の笑いを取っていた。

これには完全な違和感があった。この教員は、教務課からメールアドレスの入手を試みるのではなく、学外合宿の案内文を作成し、教務課にそれを学生に送信してもらうように依頼するべきだろう。それをまずしたのか?を問うのが、個人情報保護委員会が確認するべきことだろう。

ほとんどの場合、個人情報の入手は、何らかの目的を遂行するための手段でしかない。その目的遂行のために、個人情報の移転が極力生じない手段を考えることが重要だ。安易に、個人情報を入手しようとする人は、個人情報を軽率に扱おうとしている傾向にあると思う。

教務課は、そんな意識のこの教員にだからこそ、「個人情報保護の観点で渡せない。」と対応したのかもしれないとさえ思えた。実際には、上記のような別の手段を思いつかなかっただけで、意識が低いということはないだろうとは思うが。。。

これらの問題で共通することは、法律上、個人情報の第三者提供を本人同意なくできるとしても、情報の保有者が、嫌だと思えば、提供はされない。すなわち、本人同意なく第三者提供できるのであって、提供しなければならなくなるわけではない。

どういうときに、嫌だと思うかといえば、安心できない場合だろう。こいつに提供したら、後から本人からの苦情がくるようなことになりそうだと思えば、安心できない。そうなれば、提供できるが提供しないと判断することになる。

記者は、情報の提供を個人情報保護法の制約を理由に断られており、その制約から報道機関が除外されていることを国はちゃんと周知してくれないと困るという苦言を示したが、提供者に、「情報を提供したいのは、やまやまだけれども・・」と前置きされたのだろうか。そうでないとすれば、「あんたのことは信用できないから嫌だ」と言う代わりに、手っ取り早く、制約を理由にされているということはないだろうか。

安心してもらうには、ちゃんと保護することを信じてもらうことが必要だ。ちゃんと保護することで提供してもらうことができ、利活用することができるようになる。

つまり、保護するから利活用ができるのであって、保護されなくすることで利活用しようとする発想は根本的に間違っている。個人情報の保護と利活用は、バランスさせるのではなく両立させるように取り組まなければならないのである。

その観点において、個人情報保護法改正で報道機関は不幸なことになってしまったかもしれない。パネルディスカッションで記者が発表したような注意を払っているならば、それを怠っていないことについては、個人情報保護委員会に対して胸をはって報告をし、必要なら正々堂々と立ち入り検査も受け入れればよかったはずだ。報道機関がプライバシー侵害を抑えることについては、自己宣言だけではなく、第三者機関からも監視されており問題があれば指導もされると言えば、安心を得やすかっただろう。

しかし、委員会のそれらの権限行使から除外されるところに身を置いてしまうと、情報の提供者に安心感を与えることは、むしろ難しくなってしまったのではないだろうか。

もしも、このような除外を報道機関が、自ら求めたのであれば失策と言えるのではないだろうか。

報道機関ではない民間事業者は、このことから学ぶべきことはなんだろうか。

民間における個人情報利活用に必要なのは、保護の義務を低減してもらうことではない。そのような低減を求めるのではなく、個人情報を適切に保護し、その利用においてプライバシーを十分尊重していることをわかりやすく説明し、それらの実施について第三者機関から検査されても遜色ない状況にあることを理解してもらうことで、安心してもらうことができるようになってこそ、利活用ができるようになると考えて取り組むべきだろう。

だから、保護と利活用は、バランスではなく両立させると明確に宣言するのがよいと思う。

3月 18, 2016 | | コメント (0) | トラックバック (0)

2015年6月 2日 (火)

米国NISTの考えるプライバシーリスクマネジメントはよい方向

米国NISTが「Privacy Risk Management for Federal Information Systems」という文書のドラフト版の意見募集をしています。
意見募集の告知:http://csrc.nist.gov/publications/PubsDrafts.html#NIST-IR-8062

ドラフト版文書:http://csrc.nist.gov/publications/drafts/nistir-8062/nistir_8062_draft.pdf

これまでの同類の文書でありがちだったのは、「PIA(プライバシー影響評価)という名のエゴ」で紹介したようなことでしたが、上記の文書は、これまでに比べて、以下のとおり相当まともです。

内容としては、まずリスクマネジメントの説明をしていますが、これは従来からの一般的な内容と変わりはありません。

特徴的なのは、Privacy Engineering Objectivesとして以下の3つをあげていることです。

 ・Predictability(予見性)
 ・Manageability(管理性)
 ・Disassociability(非関連性)

従来の、プライバシーリスクマネジメントは、本来は直接の観点ではないデータ・セキュリティのことになってしまっているところ、この文書は、データ・セキュリティは基礎的な要素として踏まえることとして、この文書の観点から除外して上記3つについてを説明しています。

日本語に翻訳するのが難しい用語ばかりを使われてしまいました(笑)が、これら3つによる整理はよくできていると思います。
ただ、これら3つに網羅性や体系性が十分であるかが気になるところですが、基本3要素的には、申し分ない要素だと思います。

6月 2, 2015 | | コメント (0) | トラックバック (0)

2015年4月 1日 (水)

地方自治体によるマイナンバー保護評価における第三者点検に必要な5つのステップ

今年度からいよいよ国民に通知されて利用が始まるマイナンバー制度。

3月末には新聞全国各紙に折り込み広告として、広報紙も配布されました。
その中で「安心・安全な仕組みづくり」として以下の7項目が紹介されています。

  • 個人情報は分散管理
    一元管理しないことで、芋づる式の情報漏えいを防ぎます。

  • 成りすまし防止
    行政手続などで、マイナンバーのみの本人確認は行いません。

  • システムへの接続制限
    各機関で情報連携を行う際は、接続できる人を制限。通信の暗号化も行います。

  • マイナンバー保護評価
    各機関がマイナンバーのシステム開発や改修を行う前に、実施します。

  • アクセス記録の確認
    自宅のパソコンで、自分の個人情報にアクセスした行政機関を確認できます。

  • 第三者機関の新設
    制度の運用を厳しく監視する、特定個人情報保護委員会を設置しました。

  • 罰則の強化
    マイナンバーの漏えいや目的外の収集には刑事罰が科せられる場合があります。


この中で「マイナンバー保護評価」以外については、内容がだいたい推定できる見出しになっており、さらに、それら見出しの下に、内容の説明が書いてあって、細かなことはわからなくても、なんとなくわかるようになっています。
ところが「マイナンバー保護評価」については、見出しの語感からは何のことかわからない上に、その下の文は
 「各機関がマイナンバーのシステム開発や改修を行う前に、実施します」
と書いてあるだけで、説明になっていません(苦笑)。

そんなマイナンバー保護評価ですが、それを地方自治体で実施するときに注意した方がよいことを紹介します。

最初に紹介した広報は国から届いたものを紹介しましたが、マイナンバー保護評価は、マイナンバーを取り扱う機関、たとえば住んでいるところの市や区といった地方自治体でも実施されます。

広報誌では「マイナンバー保護評価」と書かれていますが、正式名称は「特定個人情報保護評価」で、それをキーワードにしてネット検索などをすると関連情報を見つけることができます。
自分の住んでる自治体が、すでにその評価をしているかは、自治体のホームページや、特定個人情報保護評価書検索サイトで検索できます。

特定個人情報保護評価書検索
http://www.ppc.go.jp/mynumber/evaluationSearch/

評価をすることは、マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)第26条及び第27条で以下のとおり定められています。

行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)

第五章 特定個人情報の保護

第一節 特定個人情報保護評価

(特定個人情報ファイルを保有しようとする者に対する指針)
第二十六条  特定個人情報保護委員会は、特定個人情報の適正な取扱いを確保するため、特定個人情報ファイルを保有しようとする者が、特定個人情報の漏えいその他の事態の発生の危険性及び影響に関する評価(以下「特定個人情報保護評価」という。)を自ら実施し、これらの事態の発生を抑止することその他特定個人情報を適切に管理するために講ずべき措置を定めた指針(次項及び次条第三項において単に「指針」という。)を作成し、公表するものとする。
2  特定個人情報保護委員会は、個人情報の保護に関する技術の進歩及び国際的動向を踏まえ、少なくとも三年ごとに指針について再検討を加え、必要があると認めるときは、これを変更するものとする。

(特定個人情報保護評価)
第二十七条  行政機関の長等は、特定個人情報ファイル(専ら当該行政機関の長等の職員又は職員であった者の人事、給与又は福利厚生に関する事項を記録するものその他の特定個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)を保有しようとするときは、当該特定個人情報ファイルを保有する前に、特定個人情報保護委員会規則で定めるところにより、次に掲げる事項を評価した結果を記載した書面(以下この条において「評価書」という。)を公示し、広く国民の意見を求めるものとする。当該特定個人情報ファイルについて、特定個人情報保護委員会規則で定める重要な変更を加えようとするときも、同様とする。
 一  特定個人情報ファイルを取り扱う事務に従事する者の数
 二  特定個人情報ファイルに記録されることとなる特定個人情報の量
 三  行政機関の長等における過去の個人情報ファイルの取扱いの状況
 四  特定個人情報ファイルを取り扱う事務の概要
 五  特定個人情報ファイルを取り扱うために使用する電子情報処理組織の仕組み及び電子計算機処理等(電子計算機処理(電子計算機を使用して行われる情報の入力、蓄積、編集、加工、修正、更新、検索、消去、出力又はこれらに類する処理をいう。)その他これに伴う政令で定める措置をいう。)の方式
 六  特定個人情報ファイルに記録された特定個人情報を保護するための措置
 七  前各号に掲げるもののほか、特定個人情報保護委員会規則で定める事項
2  前項前段の場合において、行政機関の長等は、特定個人情報保護委員会規則で定めるところにより、同項前段の規定により得られた意見を十分考慮した上で評価書に必要な見直しを行った後に、当該評価書に記載された特定個人情報ファイルの取扱いについて特定個人情報保護委員会の承認を受けるものとする。当該特定個人情報ファイルについて、特定個人情報保護委員会規則で定める重要な変更を加えようとするときも、同様とする。
3  特定個人情報保護委員会は、評価書の内容、第五十二条第一項の規定により得た情報その他の情報から判断して、当該評価書に記載された特定個人情報ファイルの取扱いが指針に適合していると認められる場合でなければ、前項の承認をしてはならない。
4  行政機関の長等は、第二項の規定により評価書について承認を受けたときは、速やかに当該評価書を公表するものとする。
5  前項の規定により評価書が公表されたときは、第二十九条第一項の規定により読み替えて適用する行政機関個人情報保護法第十条第一項の規定による通知があったものとみなす。
6  行政機関の長等は、評価書の公表を行っていない特定個人情報ファイルに記録された情報を第十九条第七号の規定により提供し、又は当該特定個人情報ファイルに記録されることとなる情報の提供を同号の規定により求めてはならない。

それが、なぜ、国の広報紙にある「安心・安全な仕組みづくり」になるのかというと、
(a) 評価項目について行政機関自らが評価した結果を公示し、(法第27条1項)
(b) 広く国民の意見を求め、(法第27条1項)
(c) 得られた意見を十分考慮して見直しを行った後、(法第27条2項)
(d) 特定個人情報保護委員会が評価書の内容等について指針に適合していることを承認し(法第27条2項及び第3項)
(e) 承認を受けた評価書を公表する(法第27条4項)
ということにより、マイナンバーの取り扱いを行う役所自身が作成する評価書について、国民からの意見を聞き、その意見の反映内容について第三者が承認することで、「安心・安全な仕組みづくり」を目指したということです。

評価で何をするかというと、特定個人情報保護評価に関する規則にしたがって評価をしており、一連のことは、特定個人情報保護委員会のホームページに掲載されています。

特定個人情報保護評価
http://www.ppc.go.jp/enforcement/assessment/

上記ページに用意されている評価書の最後の部分は、
(1) 役所自身が記入する「基礎項目評価」という欄に続けて、
(2) 「国民・住民等からの意見の聴取」という欄に、意見聴取の結果とそれの反映を記入しなければならず、
(3) それを受けて「第三者点検」という欄に、第三者が点検結果を記入し、
(4) 「特定個人情報保護委員会の承認」として同委員会による審査結果が記入され承認される
という様式になっています。

評価書の作成に際しては、(1)と(2)については、マイナンバーの行政事務を実施する側が、上記ページ内の規則や指針などに従って、様式として用意されている計画管理書や評価書に必要事項を記入しながら作業します。
そこまでは、役所における従来の他の事務と同様のものとなります。
従来より厳格になっているのは、(3)と(4)ということになるので、重要なことは、第三者の立場として点検や承認する「第三者点検」と「特定個人情報保護委員会の承認」が何をするのか?ということになります。

この評価書様式の記入欄に「第三者点検」という名称が出てきます。

これについては、特定個人情報保護評価に関する規則(http://www.ppc.go.jp/files/pdf/kisoku.pdf)第7条及び第8条

特定個人情報保護評価に関する規則

(地方公共団体等による評価)
第七条
地方公共団体等は、特定個人情報ファイル(第四条第一号から第九号までのいずれかに該当するものを除く。)を保有しようとするときは、当該特定個人情報ファイルを保有する前に、法第二十七条第一項に規定する評価書を公示し、広く住民その他の者の意見を求めるものとする。当該特定個人情報ファイルについて、第十一条に規定する重要な変更を加えようとするときも、同様とする。

第十四条第三項の規定により準用する同条第二項の規定により地方公共団体等が公表した基礎項目評価書に係る特定個人情報ファイルが、第四条第八号イ若しくはロ又は前条第一項第一号若しくは第二号のいずれにも該当しないとき(当該特定個人情報ファイルが、第十四条第三項の規定により準用する同条第一項の規定による修正前においては、第四条第八号イ若しくはロ又は前条第一項第一号若しくは第二号に該当していた場合に限る。)は、地方公共団体等は、法第二十七条第一項に規定する評価書を公示し、広く住民その他の者の意見を求めるものとする。

前二項の規定による評価書の公示については、第十条第一項及び第二項の規定を準用する。

第一項前段及び第二項の場合において、地方公共団体等は、これらの規定により得られた意見を十分考慮した上で当該評価書に必要な見直しを行った後に、当該評価書に記載された特定個人情報ファイルの取扱いについて、個人情報の保護に関する学識経験のある者を含む者で構成される合議制の機関、当該地方公共団体等の職員以外の者で個人情報の保護に関する学識経験のある者その他指針に照らして適当と認められる者の意見を聴くものとする。当該特定個人情報ファイルについて、第十一条に規定する重要な変更を加えようとするときも、同様とする。

地方公共団体等は、前項の規定により意見を聴いた後に、当該評価書を特定個人情報保護委員会に提出するものとする。

地方公共団体等は、前項の規定により法第二十七条第一項に規定する評価書を提出したときは、速やかに当該評価書を公表するものとする。この場合においては、第十条第一項及び第二項の規定を準用する。

(行政機関等による評価)
第八条
第十四条第三項の規定により準用する同条第二項の規定により行政機関の長等(地方公共団体等を除く。以下この条において同じ。)が公表した基礎項目評価書に係る特定個人情報ファイル(当該特定個人情報ファイルが、第十四条第三項の規定により準用する同条第一項の規定による修正前においては、第四条第八号イ若しくはロ又は第六条第一項第一号若しくは第二号に該当していた場合に限る。)が、第四条第八号イ若しくはロ又は第六条第一項第一号若しくは第二号のいずれにも該当しないときは、行政機関の長等は、法第二十七条第一項前段、第二項前段及び第三項に規定する手続を経て、同条第四項に規定する公表を行うものとする。この場合においては、第十条第一項及び第二項の規定を準用する。

で、行政機関等を地方公共団体等とそれ以外に2分しており、地方自治体等による評価を規定した上記規則第7条の中の第4項を改めて抜粋すると、

特定個人情報保護評価に関する規則

(地方公共団体等による評価)
第七条

第一項前段及び第二項の場合において、地方公共団体等は、これらの規定により得られた意見を十分考慮した上で当該評価書に必要な見直しを行った後に、当該評価書に記載された特定個人情報ファイルの取扱いについて、個人情報の保護に関する学識経験のある者を含む者で構成される合議制の機関、当該地方公共団体等の職員以外の者で個人情報の保護に関する学識経験のある者その他指針に照らして適当と認められる者の意見を聴くものとする。当該特定個人情報ファイルについて、第十一条に規定する重要な変更を加えようとするときも、同様とする。

と規定されており、この文中の
「当該地方公共団体等の職員以外の者」が「第三者」に、
「意見を聴く」が「点検」に置き換えられて組み合わされて、
「第三者点検」になったものと考えられます。

第三者点検は地方公共団体等による評価に規定されており、行政機関等には規定されておらず、特定個人情報保護評価指針の解説(http://www.ppc.go.jp/files/pdf/explanation.pdf)の別添5にさらに別添があり、その187ページ注釈に「任意で第三者点検を受けた場合は、記載することができます。」と書いてあります。

つまり、第三者点検について、地方公共団体等は必須で、地方公共団体等以外の行政機関等は任意ということです。

「特定個人情報保護委員会の承認」における審査については、特定個人情報保護評価指針(http://www.ppc.go.jp/files/pdf/shishin.pdf)第10の1「特定個人情報保護委員会の承認」の(2)「審査の観点」があり説明されています。
さらに、特定個人情報保護評価指針の解説(http://www.ppc.go.jp/files/pdf/explanation.pdf
に別添5「特定個人情報保護評価指針第10の1(2)に定める「審査の観点における主な考慮事項」(PDFの189ページから)があって、審査作業の詳細が解説されています。

しかし、それらに相当するような詳細について、地方自治体等における第三者点検についての説明は国の資料としては見当たりません。
これは、「第三者点検」は地方自治体等が主として実施するものであり、地方自治体等が第三者に依頼して点検する内容を、国が一意に定めたり方向づけたりすると、地方自治の独立性を損なうと批判されかねないことへの配慮だったからかもしれません。
いずれにせよ、結果として、地方自治体がマイナンバー保護評価を実施する際に、その中の第三者点検の点検作業内容については、すぐに参照できるような解説書がありません。
そもそも、国は、第三者を誰にするかについてを、特定個人情報保護委員会として厳格に設置しているわけですが、地方自治体は、それを誰にするかから始めないとなりません。
ところが、それについてだけ、特定個人情報保護評価指針(http://www.ppc.go.jp/files/pdf/shishin.pdf)第5の3(3)(イ)(紙面の9ページ)の中盤から

特定個人情報保護評価指針第5の3(3)(イ)(紙面の9ページ)の中盤から

「第三者点検の方法は、原則として、条例等に基づき地方公共団体が設置する個人情報保護審議会又は個人情報保護審査会による点検を受けるものとするが、これらの組織に個人情報保護や情報システムに知見を有する専門家がいないなど、個人情報保護審議会又は個人情報保護審査会による点検が困難な場合には、その他の方法によることができる。ただし、その他の方法による場合であっても、専門性を有する外部の第三者によるものとする。

と書いています。
この内容は、点検の方法というよりも、点検の実施者のことになっています。
文章としては、実施者の条件として、文末のただし書きにある「専門性を有する外部の第三者によるものとする。」を主にして、その例として「個人情報保護審議会又は個人情報保護審査会」を示すべきところを、なぜか、そちらの方に「原則として」と書いたために、多くの自治体が、既設の個人情報保護審議会等に第三者点検を依頼してしまったようです。

依頼された側としては、詳細な説明や解説などなく、最終的に依頼された結果を記入する様式である評価書には「第三者点検」という言葉だけがある状態になってしまいました。
本来は、規則第7条第4項の表現は「意見を聴く」ですから、「第三者意見」でもよかったのでしょうが、依頼された側からすれば、「点検をしないといけない」と受け止めてしまいそうです。
そうなると、意見するのと、点検するのでは、語感としては結果に対する責任の認識が変わり、身構え方も変わってしまいます。
つまり、マイナンバーの取り扱いという作業実施に対して、意見を述べるのであれば、その作業実施の結果責任は実施者に主としてありそうですが、点検するとなると、作業の結果責任について点検者にも、ある程度の責任がありそうなので、「第三者点検」を重責だと受け止めてしまうかもしれません。
すると、従来の個人情報保護審議会による審議とは異質のものだという混乱が起こりかねません。

地方自治体によるマイナンバー保護評価における第三者点検は、
本来は、既設の個人情報保護審議会が第三者点検をすることは原則ではないはずですが、仮に同審議会が担うならば、
次のようなステップで審議を進行させるのがよいものと思います。

地方自治体によるマイナンバー保護評価における
第三者点検の準備に必要な5つのステップ

ステップ 1.

特定個人情報保護評価に関する規則(http://www.ppc.go.jp/files/pdf/kisoku.pdf)の第7条と第8条の差を紹介し、
特定個人情報保護評価書の「第三者点検」の記入欄を示しながら、
地方自治体では第三者点検を、国などは特定個人情報保護委員会の承認を記入するという流れであることを説明します。

ステップ 2.

この第三者点検が、個人情報保護審議会に托された理由について、特定個人情報保護評価指針(http://www.ppc.go.jp/files/pdf/shishin.pdf)第5の3(3)(イ)(9ページ)の中盤から
 「第三者点検の方法は、原則として、条例等に基づき地方公共団体が設置する個人情報保護審議会又は個人情報保護審査会による点検を受けるものとするが、これらの組織に個人情報保護や情報システムに知見を有する専門家がいないなど、個人情報保護審議会又は個人情報保護審査会による点検が困難な場合には、その他の方法によることができる。ただし、その他の方法による場合であっても、専門性を有する外部の第三者によるものとする。」
と書かれていることを紹介し、まずは審議会で審議するが、それ以外の方法を検討することもできることを説明します。

ステップ 3.

「第三者点検」ですべきことは、呼び方が「点検」と「審査」で異なっているが、
(1) 「特定個人情報保護委員会の承認」のうちの一部である「特定個人情報保護委員会による審査」に相当する作業であることを説明し、
(2) かつ「点検」という呼び方であるが、規則第7条は「意見を聴く」という表現なので、
「点検」という言葉の印象だけで作業内容を考えなくてもよいことを説明します。

ステップ 4.

本来は、第三者点検として作業内容をどうするかを審議会として考えないとならないが、その参考として、国が実施する特定個人情報保護委員会による審査について、
(1) 特定個人情報保護評価指針(http://www.ppc.go.jp/files/pdf/shishin.pdf)第10の1の(2)
(2) 及び特定個人情報保護評価指針の解説(http://www.ppc.go.jp/files/pdf/explanation.pdf)別添5「特定個人情報保護評価指針第10の1(2)に定める「審査の観点における主な考慮事項」
の内容に目を通すことを促します。(審議会の席上でするよりも、次回までに読んで来てもらうことを依頼するという方法が現実的かもしれません)

ステップ 5.

国が実施する審査内容をまずは知識として踏まえた上で、本審議会が実施する第三者点検内容を、国と異なる内容に変更する必要があるかどうかから審議を開始します。
仮に、国と異なる内容にすべきという意見があった場合には、仮にそうするとして、少なくとも国がやることを下回ってもよいかを審議します。
下回るという変え方でないならば、まずは、国と同等の作業をすることについてを決め、その範囲から作業を開始しつつ、追加事項の審議を継続するという進め方が考えられます。
逆に、下回ってもよい、すなわち、国がやることほどやらなくてもよいということであれば、白紙から考える覚悟を決めることになります。

以上の前振りをしないで、「第三者点検」をどうしましょうか?と切り出してしまうと、先に述べたような混乱が起きてしまうかもしれません。

上記のように進行させると、実際には、ステップ4で、リスク評価についての専門性がある程度求められていることを知ることになり、結局は、個人情報保護審議会による従来の審議とは異質のものであると感じることになるかもしれません。

この点は、規則第7条が「学識経験のある者」と書いてあるのに、指針では、それをさらっと、「専門性を有する(者)」に言い換えていることと関係しています。

しかし、上記のステップ1~5の流れを作っておけば、ステップ5のところで、審議会委員以外に誰かに協力をもらうべきなのではないか?という、ステップ2で紹介した指針に書いてある
 「これらの組織に個人情報保護や情報システムに知見を有する専門家がいないなど、個人情報保護審議会又は個人情報保護審査会による点検が困難な場合には、その他の方法によることができる。」
に、自然につなぐことができそうです。

4月 1, 2015 | | コメント (0) | トラックバック (0)

2015年3月 2日 (月)

米国消費者プライバシー権法検討素案におけるパーソナルデータの定義

これまで、米国の連邦プライバシー法については、2つの案を見てきました。
 1.「我輩は連邦プライバシー法である。まだ名は無い・・・
 2.「米国連邦プライバシー法-第2案

それから随分時間がかかりましたが、先週いよいよホワイトハウスから公式な素案が示されました。
 ・ADMINISTRATION DISCUSSION DRAFT: CONSUMER PRIVACY BILL OF RIGHTS ACT

パーソナルデータの定義について興味深い点があるので、関連箇所の和訳とともに見ていきます。


まずは、条文の和訳はこちら:
 ・ADMINISTRATION DISCUSSION DRAFT: CONSUMER PRIVACY BILL OF RIGHTS ACT(一部邦訳 Ver0.1)

翻訳については、まずは定義を見ていきたかったので、or/andの接続詞の関係についてを、日本語の又は/若しくは, 及び/並びにを丁寧に訳したつもりです。(作業時間の関係で正確かは定かではありませんが、丁寧にしました(笑))

パーソナルデータの定義は以下のとおり
英文:
“Personal data” means any data that are under the control of a covered entity, not otherwise generally available to the public through lawful means, and are linked, or as a practical matter linkable by the covered entity, to a specific individual, or linked to a device that is associated with or routinely used by an individual.

和文:
“パーソナルデータ”とは、対象エンティティの管理下(under the control)にあり、合法的手段(lawful means)において公に対して一般に存在(generally available to the public)しておらず、特定の個人に連結された(linked)若しくは対象エンティティによって実際上連結可能(as a practical matter linkable)である又はある個人に関連付けられているか恒常的に使用されている端末(device)に連結された(linked)データをいう。

「対象エンティティ(covered entity)」というのは、日本の「個人情報取扱事業者」に相当するもののことです。
パーソナルデータについては非公開情報に限定した上で、その後の接続詞が分かりにくいですが、以下のように2つのものをパーソナルデータとしています。

特定の個人に連結された(linked)若しくは対象エンティティによって実際上連結可能(as a practical matter linkable)であるデータ
又は
ある個人に関連付けられているか恒常的に使用されている端末(device)に連結された(linked)データ

上記の文章を主要なところだけに抜粋すると、以下のようになります。

特定の個人に連結された若しくは連結可能であるデータ
又は
ある個人の端末に連結されたデータ


一方の特定の個人については、既に連結されている状態に加えて、連結可能性があるものを対象としています。
他方の端末データについては、連結可能性を対象とせず、連結されているものにしています。ただし、こちらは特定の個人に限っていないので、特定をしていなくても識別をしていれば対象です。

このように特定性と連結性を組み合わせた素案から議論を始めるようです。

今後も、今後の議論と改訂内容を引き続き見ていくことにしたいと思います。

3月 2, 2015 | | コメント (0) | トラックバック (0)

2015年1月 2日 (金)

facebookが2015年に導入した「プライバシーベーシック」について

facebookが、2014年末に全利用者に対して、2015年1月1日から「弊社は利用規約とポリシーを改定し、Privacy Basics(プライバシーベーシック)を導入します。」と通知していました。
その中で、紹介されたプライバシーベーシックのトップページがこちらです。

https://www.facebook.com/about/basics
※この記事で紹介するfacebookの各ページのアドレスは、2015/1/2時点のものです。変更されている場合には、facebookページなどからたどってご確認ください。

今回の利用規約の変更について、facebookが利用者に事前に許可を得ずに、利用目的を拡大変更したとか、収集する情報の範囲を拡大したという指摘をする人がいますが、少なくとも、正確な表現ではないと思います。

上記ページから、すべてのことを参照できますが、個人的にポイントを3点まとめてみました。
(私個人の感想であり、ポイント選びには個人差がありますw)

1.利用規約の変更内容
https://www.facebook.com/about/privacy/update/

内容としては、facebookが収集する情報について詳細が書いてあり、一見すると、そんな詳細まで今後は取られちゃうの?とショックを受けるかもしれません。
しかし、これは従来は「facebookに送信するすべてのデータ」という大雑把な表現だったものを、具体的に列記したもので、従来と比べてより多く収集することになったわけではなく、これまで同様に継続して収集する内容を明記したということです。

2.全データのダウンロード機能
https://www.facebook.com/settings

上記の1を知って、収集されるのが嫌だからfacebookをやめたい。でも、これまでアップしたデータを簡単に移行できず削除されてしまうと困るので仕方ないから利用し続けるしかない。ということだと、利用者に事実上の選択肢がありません。しかし、これまでfacebookにアップロードしたデータを一括してダウンロードする機能に、今回わかりやすくアクセスできるようになりました。
ウェブブラウザ版facebook(ウェブブラウザでhttps://www.facebook.com/にアクセスすること)の画面右上の▼アイコンをクリックして、設定/一般を開くと画面最下部に「Facebookデータをダウンロード」があって、これを使って全データのダウンロードができます。
利用者は、これまでアップロードしたデータを人質に取られて、利用を事実上解約できないということについて配慮されています。

3.特定の広告が表示される理由の確認機能
https://www.facebook.com/about/basics/what-you-see/ads/

上記の1の利用規約の中で、facebookは情報収集の目的のうち利用者の便益として、利用者個人ごとに最適で有益な広告を表示するためだとしています。
各広告について、それをfacebookがなぜ選んだのかという理由を利用者本人が確認できるようになりました。また、その種の広告表示を本人が望まなければ今後表示されないようにすることができます。それでもマス広告として表示される広告のうち特定企業の広告表示を止めたい場合は、個別に非表示にすることもできます。

以上の1から3は、今回の変更に関係して個人的に気になったことだけ抜粋しましたが、プライバシーベーシックについては、一通り全部見てもそんなに時間はかからないので、一度見るとよいと思います。
これら1から3については、以下の観点で、よい改善だと思います。
1は、個人情報という抽象的な示し方ではなく、個人情報のどういう項目のデータを取得し利用しているかを具体的に示すことで、利用者が何について同意するかの判断材料を提供しています。
2は、保存しているデータを利用者が簡易にダウンロードできることで、利用解約時の不利益を軽減して、利用者が不同意を選択する機会を提供しています。
3は、データの利用がどのように反映されたかについて確認できるようにすることで、利用者が趣向を選択できるようにしてます。

利用規約の内容は、従来と比べて何かが変更されたというよりも、内容が具体的になったのが主です。
これまでも気にしてない人は読み返さなくても、従来との違いという点での不利益はないものと思います。
規約内容について興味ある人にとっては、これまでページが分散されていて全体像を知るのが面倒でしたが、1つのページに集約されて確認しやすくなったと思います。ただし、その結果として1ページ内で長文になっています。わかりやすくなったかというと、難易度はこれまでと変わらず、一般の人にとっては難解なままですが、1ページだけ参照すればよくなったという点で確認しやすくなりました。

ここでは、今回の変更点についてだけポイントを示しました。
しかし、facebookを利用していて投稿やアップロードしたデータの公開範囲について、設定内容を今までにちゃんと確認したことがない人は、以下の手順で一度ちゃんと確認するとよいと思います。
ウェブブラウザ版facebookで画面右上の鍵アイコンをクリックして「共有範囲を確認」から「1.投稿、2.アプリ、3.プロフィール」を画面指示に従って、順番に確認する。
特にアプリのところでは、表示されるアプリを一つずつ全部みるために、ちゃんとスクロールして、各アプリの提供会社にどういう情報の提供を自分が許可しているかを確認しましょう。これはfacebook利用中にアプリをクリックしたときに画面表示されて自分で事前に許可した内容です。アプリにアクセスするときには、内容をよく見ないでクリックしているかもしれませんが、改めて確認するとよいと思います。
なお、スマフォなどのアプリ版facebookでも設定のプライバシーとアプリの設定から同様のことができますが、操作がわかりにくいので、ウェブブラウザ版facebookから設定する方が、ミスがなくてよいと思います。

1月 2, 2015 | | コメント (0) | トラックバック (0)

2014年3月27日 (木)

なぜ、法第23条第1項適用除外情報と名付けたのか

IT総合戦略本部パーソナルデータに関する検討会は、第6回会合(平成26年3月27日開催)で、「(仮称)匿名化データ」という新しいデータ類型の名称を提案した。

 検討会の開催日程と議事資料

これは、同検討会の下に設置された技術検討ワーキンググループが、パーソナルデータの利活用のために、個人に関する情報のうち本人の同意なく第三者に提供できる情報という類型を作ることを提案したことを受けたものである。しかし、それを「(仮称)法第23条第1項適用除外情報」としたが、なぜ、そのように名付けたのかについて経緯を理解しておく必要がある。

それを理解せずに、それを「匿名化データ」などに差し替えてはならないことに注意しなければならない。

情報の呼称についての話しになるため、提案された類型の情報をここでは「新カテゴリー情報」と呼ぶことにする。

その理由を端的に言えば、新カテゴリー情報が「匿名化情報」と呼ばれることで誤解を生じることを防ぐためだ。
つまり、たとえば、「政府は匿名化情報について、本人の同意なく第三者に提供できることにする方針」などという表現を避けるためだ。
なぜ、これを避けようとしたかというと、ワーキンググループは、個人情報の匿名化について「本人の同意なく第三者に提供しても安全になるような匿名化の加工方法や匿名性の水準の判定方法を汎用的に決めることはできない」とした。
つまり、匿名化の条件を一意に定められないとしたことに依っている。情報が匿名化されているかを一意に判断できないにもかかわらず、「匿名化情報」と称してしまえば、それが匿名化情報であるか否かは、事業者が自分で考えた匿名化加工方法と加工結果の匿名性の検証方法で判断してしまい、いわば、オレ様基準になってしまうのである。

そのため、新カテゴリー情報を「匿名化情報」と呼んだり、「匿名性を高めた情報」と呼んだり、それを逆の見方で「個人が特定される可能性を低減した情報」や「個人特定性低減情報」と呼んだりすることは、ワーキンググループが示唆した「匿名性を高めることや特定性を低減することについては、安全な水準を満たす加工方法も判定方法も汎用的には定められない」ということからすると、誤解を生じるだけの名称となるため、使うべきではない。

ワーキンググループは、従来使われていた「匿名化情報」という名称を否定したので、それに代わる名称を検討することにした。
そこでのポイントは、「匿名化情報」を否定したことからも、新カテゴリー情報の性質や状態を表す表現ではない名づけ方を探さないといけないということだ。

一方で、ワーキンググループは、新カテゴリー情報に対する要件としての検討材料として、以下の3つを参考として報告した。
(1)提供者が個人を特定できる可能性を低減した加工をしてから提供すること。
(2)提供者は受領者に個人を特定することを禁止して提供すること。
(3)受領者は個人を特定しないことを公に約束すること。
そして、加工条件である(1)の要件よりもむしろ、管理条件である(2)や(3)が新たに必要であることを示した。

これを使って、新カテゴリー情報を「個人再特定化禁止情報」などのように管理条件で表すことが考えられたが、どのような要件にするのかが決まっていない、すなわち、上記の(1)~(3)の要件で十分なのかが決まっていない時点で、それを名称にすることは時制として無理があるということになった。
(なお、この議論において禁止されるのは、再特定化だけではなく、特定化もあるのではないかという観点もあったが、いずれの名称も採用しなかったので、その観点の紹介は別の機会にすることにして、ここでは割愛する。)

最後に落ち着いたのは、新カテゴリー情報がどのように取り扱うことができるかということを表す名称である。
それであれば、そもそも、それが新カテゴリー情報を類型化する目的であるため、時制としての問題は生じない。

そこで、「(仮称)法第23条第1項適用除外情報」としたのである。
(個人情報保護法第23条第1項が、個人データを第三者に提供する場合に事前に本人からの同意を得ることを義務付けている)
なぜ、このように長くて法条文を見ないとわからない名称にしたかというと、そもそも「匿名化情報」という言葉が独り歩きして、事業者に誤解を与えたという反省に立って、この検討が始まったわけであり、このわかりにくい名称であれば、マスコミなどが、言葉だけを独り歩きさせにくい効果もあるだろうということで決めたものである。
また、普通は名称の先頭に「(仮称)」を付けるのは、最終的にそれを単にはずして、引き続く名称にすることを想定するものだが、この場合は、要件が定まるまでは名称が決まらないはずであるという意味での「(仮称)」なのである。

そのため、法改正での検討であれば、条文番号は未定であることから、より直接的な表現として、「(仮称)第三者提供時本人同意取得義務適用除外情報」などとすることが考えられ、検討が終了して、この新カテゴリー情報に対する要件が定まれば、たとえば「個人再特定化禁止情報」などのように、要件を表す名称にすることも考えられる。

まちがっても、検討段階で、たとえ仮称であっても「匿名化情報」などのように、加工条件だけを連想させてしまう名称を使ってはならない。
それでは「匿名化情報」が用語として独り歩きをして、勝手な又は安易な解釈をされて誤解を生じたことの反省を水泡に帰することになるからである。

なお、政府提案は「匿名化データ」で、ここでの説明は「匿名化情報」としたが、政府が「データ」としたのは、ここで問題となっている法第23条の第三者提供事前同意取得義務の対象が法律上は「個人情報」ではなく「個人データ」であるため、それに合わせたものと思う。
ここでの論点の意味合いとしては、それらに違いはない。

3月 27, 2014 | | コメント (0) | トラックバック (0)

2010年7月22日 (木)

米国連邦プライバシー法-第2案

我輩は連邦プライバシー法である。まだ名は無い・・・」でご紹介した、米国の連邦プライバシー法の立法ですが、今週進展がありますね。

先の検討ドラフトに対抗する第2案、その名も「BEST PRACTICES Act」が公開され、これらについての、民間ヒアリングが今週開催されます。

前回に続き相変わらず、米国での立法過程の透明性にまずは感心するわけですが・・・

このヒアリングについては、以下のサイトで紹介されています。

Subcommittee on Commerce, Trade, and Consumer Protection Legislative Hearing

ヒアリングは、現地時間で7月22日午後2時(日本時間で23日午前3時)に開催されます。
委員会の様子は普段はライブ配信されていますが、委員ではなく民間からのヒアリングのため、そのまま配信されるかはわからないようです。
ライブ配信は、ほぼリアルタイムにキャプション(英語字幕)が付くので、わかりやすいです。(笑)

ドキュメントは3つ公開されており、

Briefing Memo : 今回のヒアリングの趣旨
Text of H.R. 5777, the BEST PRACTICES Act : 今回新たに示された第2案
Text of H.R. ___, a bill to require notice to and consent of an individual prior to the collection and disclosure of certain personal information relating to that individual. : 前回の検討ドラフト

上記2つ目が、今回名前付きで出された、連邦プライバシー法案の第2案である BEST PRACTICES Act です。

例によって、読みづらいので、成形しておきました。

とりあえず、逐条のコメントは後日ということで・・・

ライブ配信されるかわかりませんが、もしも、その時間にアクセスしてみようという方がいれば、お互いに寝落ちしないためにツイッターでもできればと思いますので、以下までお知らせください。。(笑)


7月 22, 2010 | | コメント (0) | トラックバック (1)

2010年6月 3日 (木)

技術者以外にもわかる「DPI技術のマーケティング利用議論」入門

総務省が『「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」第二次提言』の中で、DPI に触れたため、DPI の議論がちょっとホットになってきた。

でも、「DPIって何?」「小文字の dpi なら、dots per inch でプリンタの印刷精度だよね」というのは、文系に限らず、IT系の人にとっても、あっても不思議ではない。
文脈を踏まえないと、唐突な3文字略語だからだ。(3文字程度では、他のものと同じ略語になってもしかたない。)

DPI (Deep Packet Inspector) 技術のマーケティング利用を議論するときに、そもそも、DPI ってどこから登場したのか?を知っておくと、議論に参加しやすいかもしれない。

クラウドコンピューティングというバズワード(Buz Word: Business word)のもとに、
一部の ASP(アプリケーション・サービス・プロバイダー) が自らを SaaS ベンダーと名乗ってみたり、
一部のサーバホスティング会社が、自らを HaaS ベンダーと名乗ってみたり、
と同様に、DPI という用語は技術的には範囲があいまいで、「自称」でしかないということを踏まえないと、最後に大切なことを取りこぼしてしまうかもしれない。

もともと、DPI は、IDS (Intrusion Detection System:侵入検出装置) メーカーがパケットのヘッダ部分(送信元IP&ポート、送信先IP&ポート)だけではなく、パケット本体の中味も検査するようになったときに、ヘッダ部分しか検査しない IDS との機能差別化を狙って作った、バズワードだ。

それを差別化しようとした背景には、その頃、登場した後発の IDS メーカーが、IPS (Intrusion Prevention System) という機能を設けて、「侵入(intrusion)を検出(detection)するだけでは意味がなく、阻止(prevention)しないと対策として役立たない」というもっともらしいことを主張したからだ。

これを「もっともらしい」と表現するのは、老舗IDSはヘッダ部分だけの頃からやっていて、その時代にはファイヤーウォールとIDSは一組で使うもので、ファイヤウォールが侵入を阻止して、その取りこぼしを IDS が監視するという役割分担があったため、検出に特化していればよかった。
なので、「意味がなく」というのは、誹謗であって、「意味もあり、役割も果たしていた」のが正しいはずだ。
ところが、パケット本体を IDS が検査するようになると、処理性能の問題から、それをリアルタイムでファイヤーウォールが通過制御するというのは困難なため、パケット本体の検査を備えた IDS が、ファイヤウォールと連動して、IPS を実現するということが期待されるようになった。
つまり、ファイヤーウォールは、従来どおりパケットヘッダ検査による通過制御を行い、それと同時に IDS がパケット本体検査をして、不適切なパケットを検出したら、それをファイヤウォールなどに通知して、そのパケットを中断させることで、不適切なパケットが通信を完遂できないようにして、結果として、IPS として「阻止」をするというわけだ。
近年は処理性能が向上したため、このような「ちょっと遅れた阻止」ではなく、リアルタイムに阻止できるようになっているが、当初はそのような、IDS の機能差別化によって始まった。

技術の経緯はまどろっこしいが、ビジネスの背景としては単純だ。
IDS の技術は成熟していたが、ファイヤウォールなどと連動するなどして IPS を実現するという部分は、後発メーカーとしては、先行メーカーと競合するときの売りになるということで、IPS に着目させるため、「侵入を検出するだけでは意味がなく、阻止しないと対策として役立たない」として IDS の土俵を仕切りなおすという、売り文句ができた。

この経緯において、パケットのヘッダだけ処理するファイヤーウォールや IDS と、パケット本体を検査するものを区別するために、後者について、DPI (Deep Packet Inspection) という用語を用いた。

そして、当初の DPI は単純な(静的な)パターンマッチングだったが、DPI を掻い潜ろうとする不正パケット側が動的に変化するパターンを用いたため、DPI 側もそれを検出するべく、動的パターンにもマッチングできるように進化していった。

したがって、DPI は侵入検出又は阻止を目的として進化を遂げた技術が出発点だ。

ところが、パケット本体内部の動的パターンのマッチングができるようになると、それは、利用者のアクセス嗜好解析など侵入阻止以外の目的にも使えることになるというパンドラの箱になったことを意味する。

DPI のマーケット利用の是非の議論は、このパンドラの箱のフタを開けることの是非の議論だ。

そして、いったんフタが開いてしまうと、リアルタイム検出していただけだったのが、ゲートウェイサーバ(中継サーバ)のように配置して、もとのパケットにない「印」をパケットに挿入してから中継することなどの機能も出始めた。その印としては、たとえば、cookie などを挿入することが考えられる。
そのように、他にない機能を盛り込みつつ、その機能があるのが、真の DPI だという製品差別化が行われた。


街中の別の物に置き換えて考えてみるとわかりやすい。


駅や商店街などに、防犯のために、監視カメラが設置されている。
この監視カメラを使って、利用客の行動分析や嗜好分析をできないか。
たとえば、食堂から出てきた人が、次にコンビニエンスストアに入ったなら、その人には、おにぎりを勧めるよりも、雑誌などを勧める方がよいということに使うということである。
このとき、そのようなサービスを有難いと思うか、監視カメラの先でそんなことを分析されるのは気持ち悪いと思うかは、その人次第なので、本人の希望次第でよいのではないかという考え方もある。
あるいは、監視カメラは、その名のとおり、監視が目的なのだから、それ以外のことに使うのは絶対禁止という考え方もある。


上記の例は、DPI のマーケット利用に否定的と取れる例を出してしまったかもしれないが、この記事では、その是非の結論を出すつもりはない。

ここで明確にしておきたかったことは、DPI のマーケティング利用の是非という議論が始まっているが、「DPI」という用語に限定するとおかしなことになる。
なぜなら、DPI という用語は、IDS や IPS という製品を売っていた人が、自らのビジネスや技術の差別化のために用意したバズワードであって、はっきりとした技術領域ではない。
つまり、「DPI の D はどういう意味で deep なの?」とか「DPI の I は検出や阻止、あるいは解析と inspection は何が異なるの?」というのは不毛で、「Deep Packed Inspection」という表現がビジネスインパクトのある語感だったというだけのことだろうからだ。
議論の過程を単純化するために、「DPI」という用語を使っておいてもよいが、それで結論が出たら、最後に、その用語の部分を「パケット本体の分析」に置き換えないと、本質的な問題を取りこぼしてしまうことになる。
すなわち、仮に「DPI のマーケット利用禁止」という結論が出たら、その表現のままでは、製品カテゴリーを DPI 以外に変更されたら逃れられてしまう。
それを正しく表現するには、「パケット本体分析のマーケット利用禁止」として、逃げ道を塞ぐ必要がある。
そうしないと、そもそも、自分達の都合で自ら名乗ったカテゴリーなのだから、それが不利な名称なら自分達で勝手に変えられてしまう。

また、議論が DPI を ISP に設置する文脈でなされているのか否かで、逆に技術制約の範囲を不必要に拡大してしまうことになる点にも併せて注意が必要だ。
たとえば、オンラインショッピングサイト自身が、自社の利用者の行動分析に、自社サイト内に DPI 技術を用いた装置を設置することは、ISP に設置してその分析結果を ISP 以外が利用することとは意味が異なることに注意が必要だ。
なぜなら、DPI を「パケット本体分析」とするなら、ショッピングサイトが自サイトの利用者行動分析をすることは、通常の cookie や web beacon などでも行っていることで、それを DPI 装置に高速に処理させるということは、ISP が第三者に利用させたり、第三者が ISP に設置することとは意味合いが異なる。

このように、DPI の議論は、その文脈で暗黙の範囲や条件が設定されていることを踏まえて、それを確認した上で議論に参加しなければ意見がかみ合わなくなる。
そして確認して議論したならば、議論の最後で、それら暗黙のことを明示的に示してから、議論に参加していなかった人達に示さないと、議論の意図が伝わらないことが考えられる。

DPI という用語だけを使って、逃げ道を作られないようにしつつ、
逃げ道をふさぐ用語(たとえば、「パケット本体分析」など)に適切な条件を付けずに否定して、無用の反発を受けないように議論する必要がある。

6月 3, 2010 | | コメント (0) | トラックバック (0)

2010年5月20日 (木)

我輩は連邦プライバシー法である。まだ名は無い・・・

日本が天気に恵まれたゴールデンウィークを楽しんでいる最中、
米国で検討が始まった連邦プライバシー法(Omnibus Federal Privacy Law)の検討ドラフトがリリースされましたね。

僕は法律家ではないので最初に驚いたのは、内容以前にこの立法過程の透明性。
検討ペーパーの段階から資料公開するのはすごいですね。

Rick Boucher 下院議員のウェブに資料があります。

BOUCHER, STEARNS RELEASE DISCUSSION DRAFT OF PRIVACY LEGISLATION

そして、ここまで公開するのに、なんでこんなに見難い体裁なのだろうと思ってみると・・・
XMLで書いてるのですね。
確かに検討段階だと用語とかが二転三転することはよくあることで、
審議が進むに連れて文書を更新してると古い用語とかがごちゃ混ぜになりやすいですが、
XMLを使うとそういう不整合を防ぎやすそうです。

本題の検討状況ですが、Staff Discussion Draft の全文はページ下のリンクで見ることができます。

とはいえ、XML の直出力があまりにも見難いので、インデントを付けて成形しました。


さて、本題。
気になるところを行間に書き込んでみました。

全体を通してだと、既に法律を持っている国の法律なども調べて準備している様子。
日本にいたっては、国内個人情報保護法の改正ネタにしてよいようなことまで見受けられます。




以下の文中の書式:

青色文字:見出し

斜体文字:定義用語

赤色文字:佐藤のコメント(主として、国内法との差異)

黄色マーカ:佐藤のコメント(本法に対する意見)

 

[STAFF DISCUSSION DRAFT]

 

MAY 3, 2010

 

To require notice to and consent of an individual prior to the  collection and disclosure of certain personal information relating to that individual.

 

A BILL

 

 

To require notice to and consent of an individual prior to the collection and disclosure of certain personal information relating to that individual.

 

Be it enacted by the Senate and House of Representatives of the United States of America in Congress assembled,

 

SECTION 1. SHORT TITLE.

 

This Act may be cited as [To be provided].

→まだ、名は無い。(笑)

 

SEC. 2. DEFINITIONS.

 

In this Act the following definitions apply:

(1) ADVERTISEMENT NETWORK. - The term ‘”advertisement network” means an entity that provides advertisements to participating websites on the basis of individuals’ activity across some or all of those websites.

SEC.3.(e)(3)で使われる

(2) AGGREGATE INFORMATION. - The term “aggregate information” means data that relates to a group or category of services or individuals, from which all information identifying an individual has been removed.

SEC.5.の除外範囲の特定に使われる

(3) COMMISSION. - The term “Commission” means the Federal Trade Commission.

(4) COVERED ENTITY. - The term “covered entity” -

(A) means a person engaged in interstate commerce that collects data containing covered information; and

(B) does not include -

(i) a government agency; or

(ii) any person that collects covered information from fewer than 5,000 individuals in any 12-month period and does not collect sensitive information.

→5000人分未満の取得なら除外・・・どこかで見たことある数字ですね(笑)

ただし、過去12ヶ月という期間を明記している点は改善です

あと、センシティブ情報を、この人数下限から除いています

確かに国内法はセンシティブ情報でも少数取得なら対象から漏れるのはおかしいですね・・・

一方で国内法は「保有数」なのにこちらは、「collect」という書き方

これ以外の箇所では「collect」を状態ではなく行為としての文脈で使っているので、「保有」に相当する用語の方が適当では?

(5) COVERED INFORMATION. - The term “covered information” means, with respect to an individual, any of the following:

→「covered information(対象情報)」として定義するのはよいですね

国内法のように「個人情報」のような一般名詞を法条文で定義をすると、社内教育をする際に定義語としての個人情報と、いわゆる個人情報が混同されて誤解を生じやすいです

(A) The first name or initial and last name.

→ファーストネームをイニシャルにしてもラストネームがあると対象ですね

日本で言えば、姓名のうち姓だけでも対象ということになるのかな

(B) A postal address.

(C) A telephone or fax number.

(D) An email address.

→メールアドレスが無条件に対象ですね

国内は氏名がわかるような表記なら該当するという解釈がありますが、無条件とはすごい

(E) Unique biometric data, including a fingerprint or retina scan.

(F) A Social Security number, tax identification number, passport number, driver’s license number, or any other government-issued identification number.

(G) A Financial account number, or credit or debit card number, and any required security code, access code, or password that is necessary to permit access to an individual’s financial account.

financial accountへのアクセスに用いるものに限るとはいえ、パスワードも一緒に対象に含めていますね

個人情報云々という視点だとおかしいですが、実務の安全対策では当然に保護すべきなので現実的ですね

言われてみると、国内法だと、たとえば、金融機関に登録した個人情報に該当しないメールアドレスとパスワードのペアは保護対象ではないですね・・・

こちらは、「個人情報」ではなくて「covered information」として定めるため、いわゆる個人情報の範囲にとらわれずに定義できるのでよいのですね

ただし、これを含める趣旨からすると、後半の「any required security code, access code, or password」をfinancial accountに限るよりも、それらを独立した項目にした上でsensitive informationに係るものにした方がよいかもしれませんね

(H) Any unique persistent identifier, such as a customer number, unique pseudonym or user alias, Internet Protocol address, or other unique identifier, where such identifier is used to collect, store, or identify information about a specific individual or a computer, device, or

software application owned or used by a particular user or that is otherwise associated with a particular user.

IPアドレスその他の固有番号を含めていますね

直接的な人の特定以外に、人が使用している機器やソフトウェアなら対象ですね

 (I) A preference profile.

→「preference profile」を対象に含めた上で、それを(8)で定義しています

(J) Any other information that is collected, stored, used, or disclosed in connection with any covered information described in subparagraphs  (A) through (I).

→これまでlinkableとか言われてきたものでしょうか

だとすると"in connection with"という表現なので、linkableではなく、より範囲の狭いlinkedに限定しているのでしょうかね

(6) FIRST PARTY TRANSACTION. - The term “first party transaction” means an interaction be tween an entity that collects covered information when an individual visits that entity’s website or place of business and the individual from whom covered information is collected.

→一次とそれ以降を分けて定義してくれるのはいいですね

弊社内でも国内法人では一次取得と二次取得という社内用語を定義して社内トレーニングしてます

いま気づいたけど、二次取得という表現は正確じゃなかったかな・・・三次以降も含むから

社内資料を修正しないといけないな(苦笑)

(7) OPERATIONAL PURPOSE. -

→国内法だと第18条4項の「適用除外」に相当するかんじですね

こちらの方が国内法より具体的になっているのと、利用目的の文脈だけではなく利用の形態として定義してくれるのは実務的に大変助かります

この用語はSEC.3 (a)(5)の対象範囲に使われることになります

以下のように(A)で対象を(B)で対象外を明記してくれているのは、とても扱いやすいです

(A) IN GENERAL - The term “operational purpose” means a purpose reasonably necessary for the operation of the covered entity, including –

→国内法第18条4項4号の「取得の状況からみて利用目的が明らかであると認められる場合」に相当する表現で総じた上で、以下のように列記しています

(i) providing, operating, or improving a product or service used, requested, or authorized by an individual;

(ii) detecting, preventing, or acting against actual or reasonably suspected threats to the covered entity’s product or service, including security attacks, unauthorized transactions, and fraud;

(iii) analyzing data related to use of the product or service for purposes of optimizing or improving the covered entity’s products, services, or operations;

(iv) carrying out an employment relationship with an individual;

(v) disclosing covered information based on a good faith belief that such disclosure is necessary to comply with a Federal, State, or local law, rule, or other applicable legal requirement, including disclosures pursuant to a court order, subpoena, summons, or other properly executed compulsory process; and

(vi) disclosing covered information to a parent company of, controlled subsidiary of, or affiliate of the covered entity, or other covered entity under common control with the covered entity where the parent, subsidiary, affiliate, or other covered entity operates under a common or substantially similar set of internal policies and procedures as the covered entity, and the policies and procedures include adherence to the covered entity’s privacy policies as set forth in its privacy notice.

→この(vi)もよいですね

国内法では委託先を考慮していますが、こちらは親子関係会社(parentcontrolled subsidiary)と関連会社(affiliate)を含めています

国内法も共同利用で運用できますが、このように Operational Purpose の文脈に入れてくれると実務しやすそうな気がします

その上で共通の管理下(under common control / under a common or substantially similar set of internal policies and procedures)にあるところを含めています。

国内法では委託先ならよいことにして委託管理をするというものですが、このように「管理が共通」であることが要件として必要だと思います

国内はこれを明記しないので、委託先が実施するリスクマネージメントシステムの管理下に入ってしまうISMSPマーク取得を、委託元が盲目的に要求するということが起きますね

ただ、これらの総称を用語定義していないのが残念です

残念な理由は、この後の「(13) UNAFFILIATED PARTY」の定義で後述します

(B) EXCLUSION - Such term shall not include the use of covered information for marketing, advertising, or sales purposes, or any use of or disclosure of covered information to an unaffiliated party for such purposes.

(8) PREFERENCE PROFILE. - The term “preference profile” means a list of information, categories of information, or preferences associated with a specific individual or a computer or device owned or used by a particular user that is maintained by or relied upon by a covered entity.

→直接的なopt-in/out状況だけではなく、Cookie やウェブビーコンも該当することになりそうですね

(9) RENDER ANONYMOUS. - The term “render anonymous” means to remove or obscure covered information such that the remaining information does not identify, and there is no reasonable basis to believe that the information can be used to identify -

→以下で(A)(B)をちゃんと区別するのは(5)(H)と同じモデルでの定義ですね

このように解釈論に任せずに明記してくれると、正しく解釈してる事業者が馬鹿を見て、解釈を正しくしないで無視する事業者が得をすることが防げてよいと思います

(A) the specific individual to whom such covered information relates; or

(B) a computer or device owned or used by a particular user.

(10) SENSITIVE INFORMATION. - The term “sensitive information” means any information that is associated with covered information of an individual and relates to that individual’s -

(A) medical records, including medical history, mental or physical condition, or medical treatment or diagnosis by a health care professional;

(B) race or ethnicity;

(C) religious beliefs;

(D) sexual orientation;

(E) financial records and other financial information associated with a financial account, including balances and other financial information; or

(F) precise geolocation information.

→この(F)が新しいでしょうか?・・・

(11) SERVICE PROVIDER. - The term “service provider” means an entity that collects, maintains, processes, stores, or otherwise handles covered information on behalf of a covered entity, including, for the purposes of serving as a data processing center, providing customer support, serving advertisements to the website of the covered entity, maintaining the covered entity’s records, or performing other administrative support functions for the covered entity.

→欧州の定義への配慮をちゃんとしてますね・・・米国にとっては重要なことですね

(12) TRANSACTIONAL PURPOSE. - The term “transactional purpose” means a purpose necessary for effecting, administering, or enforcing a transaction between a covered entity and an individual.

→これも弊社内の定義用語として、第18条4項4号に関連して「業務連絡」と社内独自定義してトレーニング説明を簡潔にしていましたが、用語が法律上も明確になり助かります

この用語はSEC.3 (a)(5)の対象範囲に使われることになります

(13) UNAFFILIATED PARTY. - The term “unaffiliated party” means any entity that is not related by common ownership or affiliated by corporate control with a covered entity.

(7)(A)(vi)以外のことを指すことになるのでしょうね

その場合、(7)(A)(vi)は、parent company + controlled subsidiary + affiliate + other covered entity under common controlという集合なので、ここで、集合の1要素である affiliated の補集合であるunaffiliatedを使うと誤解を生じやすそうです

したがって、(7)(A)(vi)の集合を、たとえば「controlled entity」などの用語定義をして、これについては、その補集合となる「uncontrolled entity又はparty」などとするのが、用語がより直感的になってよいかもしれませんね

 

SEC. 3. NOTICE AND CONSENT REQUIREMENTS FOR THE COLLECTION, USE, AND DISCLOSURE OF COVERED INFORMATION.

 

(a) NOTICE AND CONSENT PRIOR TO COLLECTION AND USE OF COVERED INFORMATION. -

(1) IN GENERAL. - A covered entity shall not collect, use, or disclose covered information from or about an individual for any purpose unless such covered entity -

shall not いいですねぇ(笑)

国内法が「個人情報を取得した場合は、~~しなければならない」というのに対して、こちらは「~~をしなければ如何なる目的であっても対象情報を取得・利用・開示してはならない」となっており、趣旨は同じですが、後者の方が社内教育などでそのまま引用できそうですね

(A) makes available to such individual the privacy notice described in paragraph (2) prior to the collection of any covered information; and

prior to ですから、国内法の「速やかに」ではなく 「事前」に限定していますね

(B) obtains the consent of the individual to such collection as set forth in paragraph (3).

→オプトイン方式ですね

(2) NOTICE REQUIREMENTS. -

(A) NATURE OF NOTICE. -

(i) COLLECTION OF INFORMATION THROUGH THE INTERNET - If the covered

entity collects covered information through the Internet, the privacy notice required by this section shall be.

(I) posted clearly and conspicuously on the website of such covered entity through which the covered information is collected; and

→国内法で言う通知(posted clearly)と公表(conspicuously on the website)が「又は」ではなく「及び」で両方義務付けられています

(II) accessible through a direct link from the Internet homepage of the covered entity.

→ホームページからワンクリックということで要件が明確です

(ii) MANUAL COLLECTION OF INFORMATION BY MEANS OTHER THAN THROUGH THE INTERNET. - If the covered entity collects covered information by any means that does not utilize the Internet, the privacy notice required by this section shall be made available to an individual in writing before the covered entity collects any covered information from that individual.

→こちらも before で、「事前」に限定していますね

(B) REQUIRED INFORMATION. - The privacy notice required under paragraph (1) shall include the following information:

→以下のとおり、具体的に決めています

(i) The identity of the covered entity collecting the covered information.

(ii) A description of any covered information collected by the covered entity.

(iii) How the covered entity collects covered information.

(iv) The specific purposes for which the covered entity collects and uses covered information.

(v) How the covered entity stores covered information.

→保管方法

(vi) How the covered entity may merge, link, or combine covered information collected about the individual with other information about the individual that the covered entity may acquire from unaffiliated parties.

unaffiliated partiesから獲得する情報とどのように併合(merge)、関連付け(link)、連結(combine)するのか・・・確かに重要ですが企業にとってはこれを予め明記するのは大変そうです

でも、大変ですがやらないといけないことですね

(vii) How long the covered entity retains covered information in identifiable form.

→保管期間

(viii) How the covered entity disposes of or renders anonymous covered information after the expiration of the retention period.

→廃棄又は匿名化方法

(ix) The purposes for which covered information may be disclosed, and the categories of unaffiliated parties who may receive such information for each such purpose.

→開示する場合の目的と、目的ごとにどのようなunaffiliated partiesに出すのかですね

unaffiliated partiesを業種にとどめているのは現実的でよいです

会社名を予め特定するのは非現実的ですからね

(x) The choice and means the covered entity offers individuals to limit or prohibit the collection and disclosure of covered information, in accordance with this section.

→国内法でいうところの第三者提供の禁止ですね

制限として、他段階に指定できるようにしているのは現実的ですね

(xi) The means by and the extent to which individuals may obtain access to covered information that has been collected by the covered entity in accordance with this section.

→国内法の開示の手続きに相当しますかね

(xii) A means by which an individual may contact the covered entity with any inquiries or complaints regarding the covered entity’s handling of covered information.

→国内法の苦情処理に相当しますね

(xiii) The process by which the covered entity notifies individuals of material changes to its privacy notice in accordance with paragraph (4).

→変更の通知方法ですが、実際には(4)でオプトインを求めているので、オプトインの方法ということになりますね

(xiv) A hyperlink to or a listing of the Commission’s online consumer complaint form or the toll-free telephone number for the Commission’s Consumer Response Center.

→問い合わせ先の記載ですが、無償で連絡できる方法に限定していますね

そうしないと、無関係のフリーダイヤルや電子メールの受付に連絡がくるので、意外と実務上重要なポイントだと思います

(xv) The effective date of the privacy notice.

(3) OPT-OUT CONSENT REQUIREMENTS. -

(A) OPT-OUT NATURE OF CONSENT. - A covered entity shall be considered to have the consent of an individual for the collection and use of covered information relating to that individual if -

(i) the covered entity has provided to the individual a clear statement containing the information required under paragraph  (2)(B) and informing the individual that he or she has the right to decline consent to such collection and use; and

(ii) the individual either affirmatively grants consent for such collection and use or does not decline consent at the time such statement is presented to the individual. If an individual declines consent at any time subsequent to the initial collection of covered information, the covered entity may not collect covered information from the individual or use covered information previously collected.

(B) ADDITIONAL OPTIONS AVAILABLE. - A covered entity may comply with this subsection by enabling an individual to decline consent for the collection and use only of particular covered information, provided the individual has been given the opportunity to decline consent for the collection and use of all covered information.

→ん?ここはちょっと意味がよくわからないな・・・

(4) NOTICE AND CONSENT TO MATERIAL CHANGE IN PRIVACY POLICIES. - A covered entity shall provide the privacy notice required by paragraph (2) and obtain the express affirmative consent of the individual prior to –

→変更時は「事前の」オプトインですね

ただ、変更の程度に応じた同意取得でないと、なんでもを事前に同意を取るのは結構大変な気がします

(A) making a material change in privacy practices governing previously collected covered information from that individual; or

(B) disclosing covered information for a purpose not previously disclosed to the individual and which the individual, acting reasonably under the circumstances, would not expect based on the covered entity’s prior privacy notice.

(5) EXEMPTION FOR A TRANSACTIONAL PURPOSE OR AN OPERATIONAL PURPOSE. -

(A) EXEMPTION FROM NOTICE REQUIREMENTS. - The notice requirements in this sub-section shall not apply to covered information that –

→利用目的通知の適用除外について定めています

(i) is collected by any means that does not utilize the Internet, as described in paragraph (2)(A)(ii); and

(ii)

(I) is collected for a transactional purpose or an operational purpose; or

(II) consists solely of information described in subparagraphs (A) through (D) of section 2(5) and is part of a first party transaction.

(B) EXEMPTION FROM CONSENT REQUIREMENTS. - The consent requirements of this subsection shall not apply to the collection, use, or disclosure of covered information for a transactional purpose or an operational purpose, but shall apply to the collection by a covered entity of covered information for marketing, advertising, or selling, or any use of or disclosure of covered information to an unaffiliated party for such purposes.

→オプトインの適用除外について定めています

当然のことながら、marketing, advertising, or selling, or disclosure of covered information to an unaffiliated party for such purposesはオプトインの適用対象です

(b) EXPRESS CONSENT REQUIRED FOR DISCLOSURE OF COVERED INFORMATION TO UNAFFILIATED PARTIES. –

→国内法の第三者提供時のオプトインに相当しますね

(1) IN GENERAL. - A covered entity may not sell, share, or otherwise disclose covered information to an unaffiliated party without first obtaining the express affirmative consent of the individual to whom the covered information relates.

→ぱっと見ると、当然のことが書いてありますが、最後の「relates」の範囲があいまいですね

SEC.2.(8)で定義された preference profile も入るとすると、cookieweb beaconも対象となり、unaffiliated partyのことまで管理するのは結構大変そうです

あと、文中の「first obtaining」については、定義した「first party transaction」をうまく使えるといいですね

(2) WITHDRAWAL OF CONSENT. - A covered entity that has obtained express affirmative consent from an individual must provide the individual with the opportunity, without charge, to withdraw such consent at any time thereafter.

→「without charge」で無償を明記していますね

文中に、「express affirmative consent」という表現が出てきますが、このようにconsentの前にexpressが付く場合と付かない場合、同様にaffirmativeの有無の違いは定義されるべきですね

(3) EXEMPTION FOR CERTAIN INFORMATION SHARING WITH SERVICE PROVIDERS. - The consent requirements of this subsection shall not apply to the disclosure of covered information by a covered entity to a service provider for purposes of executing a first party transaction if –

→「controlled entity」を定義すると、こういうところで使えるようになります

(A) the covered entity has obtained consent for the collection of covered information pursuant to subsection (a); and

(B) the service provider agrees to use such covered information solely for the purpose of providing an agreed-upon service to a covered entity and not to disclose the covered information to any other person.

(c) EXPRESS CONSENT FOR COLLECTION OR DISCLOSURE OF SENSITIVE INFORMATION. - A covered entity shall not collect or disclose sensitive information from or about an individual for any purpose unless such covered entity

→センシティブ情報については、他と区別したオプトインを明記しています

この区別がされて、続く(d)online activityのオプトインも要求することから、オンラインでセンシティブ情報を扱う場合には、ダブル・オプトインが必要になりますね

内容を見ると、欧州の要求に配慮しているのですね

(1) makes available to such individual the privacy notice described in subsection (a)(2) prior to the collection of any sensitive information; and

(2) obtains the express affirmative consent of the individual to whom the sensitive information relates prior to collecting or disclosing such sensitive information.

(d) EXPRESS CONSENT FOR COLLECTION OR DISCLOSURE OF ALL OR SUBSTANTIALLY ALL OF AN INDIVIDUAL’S ONLINE ACTIVITY. - A covered entity shall not collect or disclose covered information about all or substantially all of an individual’s online activity, including across websites, for any purpose unless such covered entity -

(1) makes available to such individual the privacy notice described in subsection (a)(2) prior to the collection of the covered information about all or substantially all of the individual’s online activity; and

(2) obtains the express affirmative consent of the individual to whom the covered information relates prior to collecting or disclosing such covered information.

(e) EXCEPTION FOR INDIVIDUAL MANAGED PREFERENCE PROFILES. - Notwithstanding subsection (b), a covered entity may collect, use, and disclose covered information if –

→「notwithstanding」って法律系ではよく使うのだろうか・・・、初めて見た、発音は区切っていいのだろうか()

(1) the covered entity provides individuals with the ability to opt out of the collection, use, and disclosure of covered information by the covered entity using a readily accessible opt-out mechanism whereby, the opt-out choice of the individual is preserved and protected from incidental or accidental deletion, including by -

(A) website interactions on the covered entity’s website or a website where the preference profile is being used;

(B) a toll-free phone number; or

(C) letter to an address provided by the covered entity;

(2) the covered entity deletes or renders anonymous any covered information not later than 18 months after the date the covered information is first collected;

→18ヶ月以内となっており、国内法と文脈は異なりますが保有個人データの6ヶ月未満より長期間ですね

ただし、(1)から(4)まではAND条件なので、それなりに限定されています

(3) the covered entity includes the placement of a symbol or seal in a prominent location on the website of the covered entity and on or near any advertisements delivered by the covered entity based on the preference profile of an individual that enables an individual to connect to additional information that –

→「symbol又はseal」とあるのは、第三者機関による認証取得のことでしょうかね・・・

そうであれば、それが明確にわかるような表現か定義が必要ですね

(A) describes the practices used by the covered entity or by an advertisement network in which the covered entity participates to create a preference profile and that led to the delivery of the advertisement using an individual’s preference profile, including the information, categories of information, or list of preferences associated with the individual that may have led to the delivery of the advertisement to that individual; and

preference profileを使って管理し、かつ

(B) allows individuals to review and modify, or completely opt out of having, a preference profile created and maintained by a covered entity or by an advertisement network in which the covered entity participates; and

preference profileを本人が参照・更新などできることが求められますね

(4) an advertisement network to which a covered entity discloses covered information under this subsection does not disclose such covered information to any other entity without the express affirmative consent of the individual to whom the covered information relates.

 

SEC. 4. ACCURACY AND SECURITY OF COVERED INFORMATION AND CONSUMER EDUCATION CAMPAIGN.

 

→このセクションは、これから肉付けするのかな?

たとえば、データ流出など事故発生時の本人通知などについて触れてない

少なくともセクションタイトルは、CONSUMER EDUCATION CAMPAINとは分けてもよさそう

以下の本文も、securityintegrityconfidentialityを並べたり、securityintegrityだけを並べたり、protecting informationと表現してみたり、ここは、これから仕上げていくのでしょうね

(a) ACCURACY. - Each covered entity shall establish reasonable procedures to assure the accuracy of the covered information it collects.

(b) SECURITY OF COVERED INFORMATION. -

(1) IN GENERAL. - A covered entity or service provider that collects covered information about an individual for any purpose must establish, implement, and maintain appropriate administrative, technical, and physical safeguards that the Commission determines are necessary to –

(A) ensure the security, integrity, and confidentiality of such information;

(B) protect against anticipated threats or hazards to the security or integrity of such information;

(C) protect against unauthorized access to and loss, misuse, alteration, or destruction of, such information; and

(D) in the event of a security breach, determine the scope of the breach, make every reasonable attempt to prevent further unauthorized access to the affected covered information, and restore reasonable integrity to the affected covered information.

(2) FACTORS FOR APPROPRIATE SAFEGUARDS. - In developing standards to carry out this section, the Commission shall consider the size and complexity of a covered entity, the nature and scope of the activities of a covered entity, the sensitivity of the covered information, the current state of the art in administrative, technical, and physical safeguards for protecting information, and the cost of implementing such safeguards.

(c) CONSUMER EDUCATION. - The Commission shall conduct a consumer education campaign to educate the public regarding opt-out and opt-in consent rights afforded by this Act.

 

SEC. 5. USE OF AGGREGATE OR ANONYMOUS INFORMATION.

 

Nothing in this Act shall prohibit a covered entity from collecting or disclosing aggregate information or covered information that has been rendered anonymous.

→統計情報と匿名化情報を除外することを明記しています

 

SEC. 6. USE OF LOCATION-BASED INFORMATION.

 

→国内だと、どれに相当することになるのでしょうかね

(a) IN GENERAL. - Except as provided in section 222(d) of the Communications Act of 1934 (47 U.S.C. 222(d)), any provider of a product or service that uses location-based information shall not disclose such location-based information concerning the user of such product or service without that user’s express opt-in consent. A user’s express opt-in consent to an application provider that relies on a platform offered by a commercial mobile service provider shall satisfy the requirements of this subsection.

(b) AMENDMENT. - Section 222(h) of the Communications Act of 1934 (47 U.S.C. 222(h)) is amended by adding at the end the following: “(8) CALL LOCATION INFORMATION - The term ‘call location information’ means any location-based information.”

 

SEC. 7. FEDERAL COMMUNICATIONS COMMISSION REPORT.

 

Not later than 1 year after the date of enactment of this Act, the Federal Communications Commission shall transmit a report to the Committee on Energy and Commerce of the House of Representatives and the Committee on Commerce, Science, and Transportation of the Senate describing -

(1) all provisions of United States communications law, including provisions in the Communications Act of 1934, that address subscriber privacy; and

(2) how those provisions may be harmonized with the provisions of this Act to create a consistent regulatory regime for covered entities and individuals.

 

SEC. 8. ENFORCEMENT.

 

(a) ENFORCEMENT BY THE FEDERAL TRADE COMMISSION. -

(1) UNFAIR OR DECEPTIVE ACTS OR PRACTICES. - A violation of this Act shall be treated as an unfair and deceptive act or practice in violation of a regulation under section 18(a)(1)(B) of the Federal Trade Commission Act (15 U.S.C. 57a(a)(1)(B)) regarding unfair or deceptive acts or practices.

FTCのこれまでの監督体制を使いつつ・・・(以下につづく)

(2) POWERS OF COMMISSION. - The Commission shall enforce this Act in the same manner, by the same means, and with the same jurisdiction, powers, and duties as though all applicable terms and provisions of the Federal Trade Commission Act  (15 U.S.C. 41 et seq.) were incorporated into and made a part of this Act. Any person who violates such regulations shall be subject to the penalties and entitled to the privileges and immunities provided in that Act. Notwithstanding any provision of the Federal Trade Commission Act or any other provision of law and solely for purposes of this Act, common carriers subject to the Communications Act of 1934 (47 U.S.C. 151 et seq.) and any amendment thereto shall be subject to the jurisdiction of the Commission.

(3) RULEMAKING AUTHORITY AND LIMITATION. - The Commission may, in accordance with section 553 of title 5, United States Code, issue such regulations it determines to be necessary to carry out this Act. In promulgating rules under this Act, the Commission shall not require the deployment or use of any specific products or technologies, including any specific computer software or hardware.

FTCが本法のために、新たなルールを設ける可能性を示唆していますね

(b) ENFORCEMENT BY STATE ATTORNEYS GENERAL. -

(1) CIVIL ACTION. - In any case in which the attorney general of a State, or agency of a State having consumer protection responsibilities, has reason to believe that an interest of the residents of that State has been or is threatened or adversely affected by any person who violates this Act, the attorney general or such agency of the State, as parens patriae, may bring a civil action on behalf of the residents of the State in a district court of the United States of appropriate jurisdiction to –

→被害者に代わって州政府が事業者に民事措置をしたり、FTCが調停をしたりできます

日本からすると厳しい内容ですが、これは米国で消費者保護を目的とする法律でよく見られるものなので、米国内では特段に厳しいということはないのでしょうね

(A) enjoin further violation of such section by the defendant;

(B) compel compliance with such section;

(C) obtain damage, restitution, or other compensation on behalf of residents of the State; or

(D) obtain such other relief as the court may consider appropriate.

(2) INTERVENTION BY THE FTC. -

(A) NOTICE AND INTERVENTION. - The State shall provide prior written notice of any action under paragraph (1) to the Commission and provide the Commission with a copy of its complaint, except in any case in which such prior notice is not feasible, in which case the State shall serve such notice immediately upon instituting such action. The Commission shall have the right -

(i) to intervene in the action;

(ii) upon so intervening, to be heard on all matters arising therein; and

(iii) to file petitions for appeal.

(B) LIMITATION ON STATE ACTION WHILE FEDERAL ACTION IS PENDING. - If the Commission has instituted a civil action for violation of this Act, no State attorney general or agency of a State may bring an action under this subsection during the pendency of that action against any defendant named in the complaint of the Commission for any violation of this Act alleged in the complaint.

(3) CONSTRUCTION. - For purposes of bringing any civil action under paragraph (1), nothing in this Act shall be construed to prevent an attorney general of a State from exercising the powers conferred on the attorney general by the laws of that State to -

(A) conduct investigations;

(B) administer oaths or affirmations; or

(C) compel the attendance of witnesses or the production of documentary and other evidence.

 

SEC. 9. NO PRIVATE RIGHT OF ACTION.

 

This Act may not be considered or construed to provide any private right of action. No private civil action relating to any act or practice governed under this Act may be commenced or maintained in any State court or under State law (including a pendent State claim to an action under Federal law).

private rightに係るものではないと明記

 

SEC. 10. PREEMPTION.

 

This Act supersedes any provision of a statute, regulation, or rule of a State or political subdivision of a State, that includes requirements for the collection, use, or disclosure of covered information.

 

SEC. 11. EFFECT ON OTHER LAWS.

 

(a) APPLICATION OF OTHER FEDERAL PRIVACY LAWS. - Except as provided expressly in this Act, this Act shall have no effect on activities covered by the following:

(1) Title V of the Gramm-Leach-Bliley Act (15 U.S.C. 6801 et seq.).

(2) The Fair Credit Reporting Act (15 U.S.C. 1681 et seq.).

(3) The Health Insurance Portability and Accountability Act of 1996 (Public Law 104-191).

(4) Part C of title XI of the Social Security Act  (42 U.S.C. 1320d et seq.).

(5) The Communications Act of 1934 (47 U.S.C. 151 et seq.).

(6) The Children’s Online Privacy Protection Act of 1998 (15 U.S.C. 6501 et seq.).

(7) The CAN-SPAM Act of 2003 (15 U.S.C. 7701 et seq.).

(b) COMMISSION AUTHORITY. - Nothing contained in this Act shall be construed to limit authority provided to the Commission under any other law.

 

SEC. 12. EFFECTIVE DATE.

 

Unless otherwise specified, this Act shall apply to the collection, use, or disclosure of, and other actions with respect to, covered information that occurs on or after the date that is one year after the date of enactment of this Act.

→施行までの猶予は1年間ですね

 

5月 20, 2010 | | コメント (1) | トラックバック (1)

2010年5月14日 (金)

米国の連邦プライバシー法の立法検討 - Omnibus Federal Privacy Law

日本が天気に恵まれたゴールデンウィークを楽しんでいる最中、
米国で検討が始まった連邦プライバシー法(Omnibus Federal Privacy Law)の検討ドラフトがリリースされましたね。

記事をこちらに差し替えました。


5月 14, 2010 | | コメント (2) | トラックバック (0)

2008年11月21日 (金)

電子メールのオプトイン規制開始

特定電子メール法の平成20年改正により、日本も、いよいよ電子メールについては、オプトイン方式導入ですね。
改正の概要は、以下のとおりです。
http://www.soumu.go.jp/joho_tsusin/d_syohi/h20kaisei.html
~~~~~以下、転載~~~~~
1 オプトイン方式による規制の導入

  (1) 広告宣伝メールの規制に関し、取引関係にある者への送信など一定の場合を除き、あらかじめ送信に同意した者に対してのみ送信を認める方式(いわゆる「オプトイン方式」)を導入する。
  (2) あらかじめ送信に同意した者等から広告宣伝メールの受信拒否の通知を受けたときは以後の送信をしてはならないこととする。
  (3) 広告宣伝メールを送信するに当たり、送信者の氏名・名称や受信拒否の連絡先となる電子メールアドレス・URL等を表示することとする。
  (4) 同意を証する記録の保存に関する規定を設ける。

2 法の実効性の強化

  (1) 送信者情報を偽った電子メールの送信に対し電気通信事業者が電子メール通信の役務の提供を拒否できることとする。
  (2) 電子メールアドレス等の契約者情報を保有する者(プロバイダ等)に対し情報提供を求めることができることとする。
  (3) 報告徴収及び立入検査の対象に送信委託者を含め、不適正な送信に責任がある送信委託者に対し、必要な措置を命ずることができることとする。
  (4) 法人に対する罰金額を100万円以下から3000万円以下に引き上げるなど罰則を強化する。

3 その他

  (1) 迷惑メール対策を行う外国執行当局に対し、その職務に必要な情報の提供を行うことをできることとする。
  (2) 海外発国内着の電子メールが法の規律の対象となることを明確化する。
~~~~~転載ここまで~~~~~

これに伴い、「特定電子メールの送信等に関するガイドライン」が総務省から公表され、オプトイン規制の内容が具体的に定められました。

http://www.soumu.go.jp/joho_tsusin/d_syohi/m_mail.html

これに準じるように、2008年12月1日からオプトイン規制が施行されますので、ガイドラインの内容をまとめてみました。

当初、気になっていたのは、以下のようなことです。

> 1.(2) あらかじめ送信に同意した者等から広告宣伝メールの受信拒否の通知を受けたときは以後の送信をしてはならないこととする。

については、海外の CAN-SPAM 法などのように、送信停止までの日数に期限が定められるかを確認する必要があります。

> 1.(4) 同意を証する記録の保存に関する規定を設ける。

については、具体的な要件を確認しないといけませんね。

あと、これらを実施するには、個人情報削除とは相反する場合があるため、それについてガイドラインで明確にしてもらえるといいなぁと思っていました。

ということで、公表されたガイドラインをまとめてみると以下のような内容でした。

~~~~~~~~~~ ここから ~~~~~~~~~~
オプトイン規制の対象は特定電子メール。
特定電子メールの定義は、ガイドラインの記載を参照。

●オプトインの同意取得方法

オプトイン取得時について以下の事項を特定する必要あり。
1) 送信者の氏名・名称
2) 広告・宣伝メールの送信をすること

2)について、オプトインは送信の可否のみ同意取得するだけで可。コンテンツについての特定は必須ではない。(逆にオプトアウト時にコンテンツ個別や一定期間のオプトアウトを受信者が希望した場合には送信を停止しなければならないが、条件以外のコンテンツなどの送信の義務は負わない。=一括オプトアウト処理しても可)

同意取得方式としてデフォルト・オフを推奨はするが、デフォルト・オンでも可。
ただし、デフォルト・オンの場合は、チェックのはずし方と、はずさないときに同意とみなす旨の記載を推奨。

同意取得・確認のために送信する電子メールも特定電子メールに該当する点に注意。
すなわち、電子メールアドレスの取得時に、オプトインを同意取得しておかないと、後から電子メールによるオプトインはできない。

なりすまし登録やアドレス記入ミスによる誤登録を防ぐため、ダブル・オプトインを推奨するが必須ではない。しかし同様に、ダブル・オプトイン用の最初のメールに広告があると、それ自身が特定電子メールとなるので注意が必要。

1つのメールアドレスを複数の者が使用している場合には、いずれかひとりが同意すればオプトインとみなすことが可能。(オプトアウト時についてガイドラインに記載はないが、逆にオプトアウトも同様と考えられる。)

第3者を通じての同意取得の際には、実際の送信者が特定されるようにする必要あり。
(たとえば共催イベントなどで主催者がまとめて同意取得するなどの)複数の送信者分をまとめて同意取得する場合には、各送信者が特定されるように表示する必要あり。
なお、複数の送信者分を一括してオプトイン同意取得した場合のオプトアウトは、一括取得した者が一括オプトアウト処理できることを推奨しているが、必須としてはいない。

●同意取得を証する記録の保存

同意を証明する記録は1ヶ月間の保存を義務付け。
(ただし、措置命令を受けた者は、命令日から1年間)
保存内容は以下のいずれか。
・同意取得の時期・方法等の状況の記録
・送信先アドレスを特定した上であれば、書面、電子メール、ウェブによる同意取得の定型的内容
受信者との同意取得有無のトラブルに備えて、上記以外の記録も説明のために保持しておくことを推奨。

●規制の例外

名刺交換や取引関係などは「電子メールアドレスの通知」として扱い、それで知ったアドレスへの送信はオプトイン規制の例外(=オプトイン不要)となる。
詳細はガイドラインを参照する必要あり。
たとえば、契約申込書に記入したアドレスやフリーメールを申し込んだ場合に、広告が付随的に行われることもオプトイン規制の例外となるなど←「付随的に」がポイントなのでガイドラインを参照するとよい。
また、ウェブでメールアドレスを公表している場合も例外が適用される。ただし、アドレスの公表箇所に「受信拒否」の意思表示をしている場合は、例外に該当しない(=オプトイン必要)。そのため、ロボットでアドレスだけ単純に集めて使うのはNG。

なお、オプトイン規制の例外による場合も、受信者はオプトアウトはできる。
オプトアウトされた以後は、オプトアウトした者には広告を付随してはならないことになるが、「社会的に相当なものとして認容される場合」は、オプトアウトの例外として、本来目的に支障がないように送信をできる。「~場合」については、具体的な場合を施行規則及びガイドラインに明記されているので参照のこと。

●送信メールの表示義務

実際の送信メールでは以下の事項を表示する必要あり。
a) 送信責任者の氏名・名称
b) オプトアウト手順(連絡先メールアドレスやウェブページのURLなど)
c) オプトアウトができることの説明
d) 送信責任者の住所
e) 問い合わせ先(電話番号、メールアドレスなど何らか)

a~cについては、メール本文内。dとeについては、リンク先を示すのでも可。
リンク先はすぐに内容がわかる程度のURLである必要あり。(トップページだけ示して、該当ページを探すのが困難ではダメ)

※注意:ここでとりまとめた上記以外にも、社名変更や合併時の事項などもガイドラインにあるので、具体的にはガイドラインを参照する必要があります。
~~~~~~~~~~ ここまで ~~~~~~~~~~

当初、確認しようとしていた点については:

・オプトアウト時の送信停止までの期間についてはふれられていませんでした。
・オプトインの証拠保存は、内容がいまいち具体的に示されてはいませんが、1ヶ月間保存とのこと。
・個人情報削除との関係もふれられていませんでした。

という結果でしたが、自然な処理をしていればよさそうなかんじのガイドラインになっています。
・・・ただ、その結果、無料サービスに対しては結構甘いかんじになってます。

あと、電子メールに「住所の記載」も徹底しないといけませんね。
これは、今年の法改正以前からそのようになっていたようです・・・ね。

唯一、欧米のオプトインと比べると厳しいかもしれないのは、オプトイン取得のためだけの最初の電子メールコンタクトをNGにしている点ですね。
電子メール取得時に、オプトインを得ないと、電子メールが使えない点には注意が必要そうです。

11月 21, 2008 | | コメント (0) | トラックバック (0)

2007年1月25日 (木)

個人情報保護の解説音源

Y's Station(わいズすてぇしょん)に、個人情報保護の解説音源をアップしました。

鳥取県人権施策セミナー で講演した内容をアップしました。

すぐに始められる個人情報保護

1月 25, 2007 | | コメント (0) | トラックバック (1)

2006年9月 1日 (金)

個人情報の利用目的通知とデータ管理方法

1週間前に掲載されていたのに、こちらでの紹介は今頃になってしまいました・・・

ThinkIT の連載の最終回は、利用目的の通知とデータ管理としてまとめました。

記事は以下に掲載しています。

第6回:利用目的の通知とデータ管理

個人情報保護法の肝とも言えるのは、取得時における利用目的の通知です。
その方法について紹介しました。
また、通知した利用目的の範囲で利用するためには、個人情報のデータ管理と組み合わせておかなければなりません。
そのため、利用目的の通知とデータ管理は両方を見据えながら検討する必要があります。
オプトインを取るよりも取らない方が、取得時の工数も減り、その後の利用範囲が広いように思われ、オプトインは取らないに越したことことはない。と考えがちです。
しかし、必ずしもそうとは限らないことについて紹介しましたので、参考にしてください。

連載記事のバックナンバーは以下のとおりです。

第1回:データが語る個人情報保護法の実態
第2回:企業における対応方針と成功の秘訣
第3回:個人情報の分別
第4回:社内ガイドラインの作成
第5回:コストをかけずにできるセキュリティ対策

9月 1, 2006 | | コメント (0) | トラックバック (0)

2006年8月 4日 (金)

法律から始めない個人情報保護対策

企業における個人情報保護対策は、個人情報保護法の施行がきっかけになったところが多いと思います。
きっかけは、法律だったとしても、対策の検討を、法律から考えるのはナンセンスです。

というようなことを、とりあえず、いつも話しているわけですが、このたび「企業における個人情報保護対策の実際」ということで文章にしてみました。

普段ぼくと接していただいている方にとって、真新しい内容ではありませんが参考にしてください。

「企業における個人情報保護対策の実際」というテーマで、科学技術振興機構が発行及びWeb掲載している「情報管理」という媒体の2006年8月号 (VOL.49 NO.5) に寄稿しました。

8月 4, 2006 | | コメント (0) | トラックバック (0)

2006年7月28日 (金)

コストをかけないモバイルPCセキュリティ対策

ThinkIT の連載の第5回は、コストをかけないモバイルPCセキュリティ対策としてまとめました。

記事は以下に掲載しています。

第5回:コストをかけずにできるセキュリティ対策

PCのセキュリティ対策は、お金をかけなくてもできることが結構あります。
セキュリティ屋からセキュリティ対策を教わると、そういうことが逆におろそかになり、金のかかることばかりを勧められたりするので注意しましょう。

上記の記事では、TPMについては、簡単にしか触れていませんが、TPMもコストをかけずにできる強力なセキュリティ機能です。
そちらについては、以下のブログで紹介しているので、ご興味ある方は参照してください。


連載記事のバックナンバーは以下のとおりです。

第1回:データが語る個人情報保護法の実態
第2回:企業における対応方針と成功の秘訣
第3回:個人情報の分別
第4回:社内ガイドラインの作成

7月 28, 2006 | | コメント (0) | トラックバック (0)

2006年6月30日 (金)

常識として知っておきたい個人情報保護法(3)

ThinkIT の連載の第3回です。

第3回:個人情報の分別


バックナンバー

第1回:データが語る個人情報保護法の実態

第2回:企業における対応方針と成功の秘訣

6月 30, 2006 | | コメント (0) | トラックバック (0)

2006年6月19日 (月)

常識として知っておきたい個人情報保護法(2)

ThinkIT の連載の第2回です。

第2回:企業における対応方針と成功の秘訣


バックナンバー

第1回:データが語る個人情報保護法の実態

6月 19, 2006 | | コメント (0) | トラックバック (1)

2006年6月14日 (水)

常識として知っておきたい個人情報保護法(1)

ThinkIT で連載を始めました。

今さら、また個人情報保護法ですか・・・と思われるかもしれませんね。
さらに・・・
「常識として知っておきたい個人情報保護法」という高飛車なタイトルですが、
これは編集の方が付けてくれたもので、ぼくは、こういう高飛車なもの言いはしません。

もっと性質は悪くて、高所からものを言うというよりも、一刀両断させていただこうと思います。

そんなことで、第1回目が掲載されました。

第1回目は「データが語る個人情報保護法の実態」です。

ちゃんと登録していただくと、「個人情報保護バブルの功罪」として
「餌食になったコンプライアンス」「無責任の連鎖」
といったシュールなところを読んでいただけます。

これから毎週月曜掲載でがんばります。。。ハァ


6月 14, 2006 | | コメント (0) | トラックバック (1)

2006年5月 7日 (日)

RSA Conference での採点集計

この記事は、RSA Conference 2006 での講演にて、採点表を提出していただいた皆様への連絡のためのものです。

RSA Conference にて採点表を提出していただいた皆様へ、

集計が完了いたしましたので、集計ファイルについては、講演にてご紹介した手順でダウンロードしていただければと存じます。

ご意見、ご質問があれば、この記事へのコメントにて記入してください。
お名前や連絡先は、匿名で構いません。(差し支えがなければ、採点表に記入していただいた UserID をご記入ください)

以下は、集計ファイルからの抜粋です。

●従業員数別平均

従業員数の多い企業の方が概ね高得点になっている様子。
サンプル数が少ないものの、100人未満の企業が高得点を示しているが、今回の採点項目は遵守する人数が少ない方が徹底しやすいこと及びRSAコンファレンス受講等により意識の高い企業であることによって、高得点になっているという仮説を考えることができる。
1000人~9999人に得点の低下のように見える部分がある。これもサンプル数が少ないため、はっきりしないが、1000人未満では全社員への徹底がある程度容易なのに対し、1000人を超えると困難となるためかもしれない。それが10000人以上になると、大規模企業であるために、対策に相当の手間をかけられるため得点があがるという仮説を考えることができる。
どちらも、より多いサンプル数で検証してみたい仮説ではある。

●役割別平均

個人情報保護の担当者と、そうではない社員の認識度の違いを見ようとしたが、特段の傾向を見ることはでいなかった。
機会があれば、こちらについても、より多いサンプル数で検証してみたい。

●総評

今回は、サンプル数が少なかったため、あえて業種を調査しなかったが、業態について調査しておいても興味深い集計ができたかもしれない。

5月 7, 2006 | | コメント (0) | トラックバック (0)

2006年3月15日 (水)

ビジネスの“攻め”に活かす「個人情報保護法対策」

鈴木正朝先生と対談をしました。

当社の e-mail マガジンである HP Technology at Work の特集で対談内容を紹介しています。

対談では鈴木節(rompalぶし)を、久しぶりに聞くことができて楽しかったです。

ビジネスの“攻め”に活かす「個人情報保護法対策」

でご堪能ください。

3月 15, 2006 | | コメント (0) | トラックバック (0)

2006年2月 1日 (水)

アメリカのDNC(Do Not Call)

以前、「オーストラリアのDNC(Do Not Call)」という法規制を紹介した。
アメリカでも、もちろんそれと同様のことが自主規制として行なわれている。

意外にも、そのことを知らない人が多いようなので簡単に紹介しておこうと思う。

アメリカでは、もともと、Direct Marketing Association (ダイレクト・マーケティング協会)による

 State Do-Not-Call Lists

が運用されていたが、2003年から FTC(Federal Trade Commission) による

 National Do Not Call List

の運用が始まり、より充実している。

企業からすると、州ごとに運用されると、データのチェックが大変なので、国全体で集約してくれることが、効率的に対策を実施できることになる。

日本では、個人情報保護の矛先が、漏洩防止にばかりいってしまったので、こういう対策が調べられることすら少ないのは残念なことだと思う。
これらのことについては、RSA Conference 2006 にて、個人情報保護対策第二幕として紹介していこうと思う。

2月 1, 2006 | | コメント (0) | トラックバック (1)

個人情報保護対策が裏目

たまたま見かけたブログで紹介されていましたが、商品のリコールが発生したときに、個人情報保護対策が裏目に出てしまうことがあるのですね。

零細企業のなんでも屋OLのつぶやき」というブログにて
個人情報の保有期間ってむずかし~」という記事がありました。

その中で、「顧客名簿処分が裏目に出た松下電器温風機リコール事件」を紹介しています。

個人情報の漏洩防止を偏重してしまい、そもそも、その情報をなぜ保有しているのかを確認することの重要性を再認識させられる内容です。
個人情報を必要以上に破棄したり、最初に通知する利用目的を必要以上に狭くするのはよくないだろうという認識はしていましたが、リコール時の連絡にまで気を配ることができていたかといえば確かではありません。
この場合において、リコールが起きることまでを予期することは困難だったかもしれませんが、これを知ってしまった以上は、これを教訓にして、商品のお客様登録情報についての利用目的を果たせるようにする必要があります。
知ったからには、「予期できなかった」はもう許されないと思って、取り組まなければなりませんね。

あ!ぼくだけではないですよ。これを読んでしまった、”あなた”もそうなります。
北斗の拳が実写版映画になるようですが、、、「おまえはもう知ってしまった・・・」というところでしょうか。(笑)

あ・た・た・たた~

自分と関係なさそうな事件や事故の教訓から、自分も学ばないといけません。ということで、「バカな行政、バカな報道、バカな国民では再発は防げない」の教訓として、この件も付け加えておこうと思います。

ひ・で・ぶ・・・

2月 1, 2006 | | コメント (0) | トラックバック (0)

2005年12月14日 (水)

JIS Q 15001 改定のパブコメ募集

プライバシーマークとして知られている JIS Q 15001 の改定のパブコメが募集されていますね。
今回の改定の主題は、もちろん、個人情報保護法対応ということになります。

JIS Q 15001 の改定に関する意見募集要領
より抜粋して転載。

日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項」(JIS Q 15001)の改定に関する意見募集要領

日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項」(JIS Q 15001)につきまして、個人情報保護法施行等に伴う改定を検討しております。現在の試案について御意見の募集をいたしますので、以下の要領に従いご提出ください。

1.意見募集対象

日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項」(JIS Q 15001)の改定試案(PDF形式:76KB)
*現行の規定(JIS Q 15001:1999)については、日本工業標準調査会のページ
http://www.jisc.go.jp/)にてご参照ください。
 
2.意見募集期間

平成17年12月13日(火)から平成18年1月10日(火)まで


今年のお正月は、こたつでみかんを食べながら、パブコメを書きましょう。ということですね・・・

12月 14, 2005 | | コメント (0) | トラックバック (0)

2005年12月13日 (火)

社内個人情報保護ガイドラインを無償公開

日本HPの社内で使用している個人情報保護ガイドラインを無償配布させていただくことにしました。

以前、以下のような調査をさせていただきました。

【IT media】
中堅・中小企業で対策の苦慮目立つ――日本HPの個人情報保護法対策進展調査

その結果、中堅・中小企業では、個人情報保護の社内ガイドラインの具体例があると役立つのかなぁ・・・とおもっていたところ、、

政府が、政府の内部基準を公開してくれたのだから・・・
それに感謝して、企業は、企業の社内ガイドラインを公開して世の中の役に立てられたらいいよね。

ということで無償配布させていただくことにしました。

無償配布については、以下を参照ください。

  • 日本HPのプレスリリース

    関連記事:

    【日本経済新聞】 2005年12月13日(火)朝刊
    個人情報保護ガイドライン - 日本HP、無償で公開

    【IT media】 2005年12月13日(火)
    「たたき台」としての活用を――日本HPが個人情報保護ガイドラインを無償提供

    【Enterprise Watch】 2005年12月13日(火)
    日本HP、自社の個人情報保護ガイドラインを無償提供、「策定のたたき台に」

    【電波新聞】 2005年12月14日(水)
    日本HP 個人情報保護ガイドラインを無償で提供開始 - 具体的な対策事例示す

    【Web BCN】 2005年12月14日(水)
    日本HP、社内で実際に使用している「個人情報保護ガイドライン」を無償配布

  • 12月 13, 2005 | | コメント (1) | トラックバック (1)

    2005年11月17日 (木)

    個人情報保護法対策の進展調査

    個人情報保護法対策の進展調査というのを実施させていただき、調査結果について公表させていただきました。

    大企業での状況と、中小・中堅企業との差を意識して調査をしてみました。

    調査報告については、以下のWebを参照してください。

    日本HPのプレスリリース:
    日本HP「個人情報保護法対策の進展調査」を実施

    調査内容としては、今まで気づかなかったようなことを発見するようなものではなく、これまでなんとなくはわかっていても、実際のところはどうなんだろうかという素朴な疑問を投げかけたような調査です。
    調査結果をまとめてありますが、所見などというものも書かせていただきましたので、上記のリンクからご参照ください。

    うちでできる調査は、さすがに民間のことでしたが、行政機関については、総務省が実施するようですね。

    まるちゃんの情報セキュリティ気まぐれ日記

    そちらの調査が終わったら結果を見比べてみたりできるとおもしろいかもしれません。

    11月 17, 2005 | | コメント (0) | トラックバック (0)

    2005年10月31日 (月)

    オーストラリアのDNC(Do Not Call)

    オーストラリアでは、日本でいうところの個人情報保護施策のひとつとして、DNC register というのが始まりますね。

    夜中のワン切り電話とかが野放しの日本からすると、とても現実的な制度です。

    オーストラリア政府の
    DCITA (Department of Communications, Information Technology and the Arts)
    の発表によると、DNC register という規制の検討を開始しています。

    Australian Do Not Call register

    内容としては、テレマーケティング(電話によるセールス活動)に関しての規制になります。
    オーストラリアは、もともと、テレマーケティングには神経質な国です。

    特徴としては、
    ・電話が欲しくない(=DNC:Do Not Call)という申し出を受理してテレマーケティングをしないこと。
    ・平日の午後8時以後、休日の午後5時以後の電話禁止
    ・国内はもとより、海外からの電話にも適用
    ・違反の罰金は最高でAUD$220,000-

    検討中の事項としては、
    ・本人以外のDNC登録を認めた場合の課題
    ・登録から30日以内に、DNC を徹底することの課題
    ・登録期間を永久にした場合の課題(転居した場合の前居住者の登録残など)
    ・市場調査や満足度調査などもDNCの対象にした場合の課題
    ・直接面識のある担当者からの電話連絡が対象となる場合の課題
    などがあるようです。

    こういうのは、どこぞの国の個人情報保護法での議論よりも、何やら建設的な議論のようにも思いますね。


    10月 31, 2005 | | コメント (0) | トラックバック (1)

    2005年10月 6日 (木)

    個人情報保護法の英訳

    個人情報保護法とその政令の英語の仮訳が、内閣府の以下のページに出ました。

    http://www5.cao.go.jp/seikatsu/kojin/index.html

    10月 6, 2005 | | コメント (0) | トラックバック (0)

    2005年9月28日 (水)

    2005 Most Trusted Companies for Privacy Study

    TRUST-e が 2005 年の
    Most Trusted Companies for Privacy Study
    を発表しました。

    結果はともあれ、その評価方法は大いに参考にすることができそうです。

    詳細については、
    TRUSTe/ Ponemon Institute Most Trusted Company for Privacy Survey & Award
    として公表されていますので、そちらを参照してください。

    日本にも同様の活動があると、個人情報保護対策の励みになるのかもしれませんね。


    9月 28, 2005 | | コメント (0) | トラックバック (0)

    2005年8月 3日 (水)

    経済産業省個人情報保護ガイドラインQ&A

    経済産業省の個人情報保護のページが見やすくなってました。
    いつからだろ。気づかなかった。

    経済産業省の個人情報保護のページ

    いくつかおもしろいものが載ってるので紹介しときます。

    たとえば、

    ●個人情報保護における効果的・効率的な取組事例の募集(平成17年9月30日まで)

    とか

    ●啓発ビデオのストリーミング放送

    など。
    それに、

    個人情報保護ガイドライン等に関するQ&A (平成17年 7月28日現在 )

    ということでQ&Aが改訂されてました。

    まるちゃんは気づいてたのかな・・・と思ったら、昨日のうちに、ちゃんと気づいてました。さすがw

    一応、ぼくもこの検討委員会の委員ですので、ひとつくらいポイントを書いておきます。

    22番(1.(10)「本人の同意」(ガイドライン11頁~))
    Q:
    当初はダイレクトメールを送付する目的で個人情報を利用することになっていなかったため、本人に郵便を送付し、一定期間回答がなければ、ダイレクトメールを送付する目的で利用することに同意したものとみなすようにしたいのですが、このような方法は本人同意を得たことになりますか。
    A:
    本人が同意にかかる判断を行うために必要と考えられる合理的かつ適切な方法によらなければなりませんので、単に一定期間回答がなかっただけでは、一般的には本人の同意を得たとすることはできません。

    この部分はさりげないですが、本人同意について、いわゆる「みなし同意」を認めないといっています。
    Qの文章は、法第16条第1項のことをさしていますが、Q&Aにおいて、ガイドラインの11頁を示したということは、法第23条第1項の本人同意についても同様と解釈することになります。

    みなし同意方式を採用している事業者は、見直しが必要となるので注意しなければなりません。

    その他にも今回のQ&A改訂では、注意しなければならないことが多くあります。
    そのうちまた紹介することにします。

    8月 3, 2005 | | コメント (0) | トラックバック (0)

    2005年5月20日 (金)

    機密保持の誓約書強要

    これは奥の深いテーマなので、後で考察しようということで、とりあえずメモ。

    東京新聞5月19日夕刊
    機密保持の誓約書強要

    というか、この件で、日弁連の個人情報保護法研修会のパネリストをすることになっているので、後でちゃんと整理しないといけませんよ>自分。


    5月 20, 2005 | | コメント (0) | トラックバック (1)

    2005年5月10日 (火)

    情報セキュリティと情報活用のバランスをふまえた企業情報管理戦略

    ヒューレット・パッカードの自社事例として、「情報セキュリティと情報活用のバランスをふまえた企業情報管理戦略」と題して当社のプライベートイベントである HP World 2005 にて講演をすることになっています。


    情報管理戦略の中でも、個人情報のILMについてを中心に紹介します。
    今週号の AERA にて少しふれられていますが、ある条件下では、社内の誰も顧客の個人情報にアクセスしなくてもビジネスを遂行することができます。アクセスしなければ漏えいすることはありません。

    ただ、ここで紹介する内容は、HPにとっては、1996年に計画し2001年に完成する予定だったIT戦略です。
    その後、Agilent Technologies との分社や Compaq との合併などにより、当初計画から2年遅れて2003年に一部運用を開始したものです。
    1996年当時は、この計画のセキュリティアーキテクトとして参加し、その後分社や合併で進捗がなかったため半ば忘れていたものでしたが、いまとなっては、その運用の責任者になるとは思っていませんでした。
    今回の講演のために、96年当時に自分で作成した資料などを復習したりしています。
    これらのことは国内社外でも講演しているものですので、不思議なかんじです。
    約9年前に設計したアーキテクチャを、最新の対策として紹介するわけですから・・・

    実際に90年代後半には、国内日本企業にコンサルティングも実施しており、当社の当初線表どおりに2001年に実現した日本企業もあります。
    しかし、IT戦略というものは、外見からは実は見えにくいものです。
    この講演内容を聞いて、どれだけの人が、このIT戦略に基づいたITを実装している日本企業を言い当てることができるのかが実は楽しみです。
    そして、そのことがITアーキテクトの重要性に気づき、関心を持ってもらえるようになればいいなと思っています。

    日本のIT構築の多くは、欧米企業の「外見」だけをまねているように思えて、嘆かわしいからです。
    ITはビジネスを向上するための方策であって、目的ではないということが当たり前のことですが、とても重要なことなのです。

    5月 10, 2005 | | コメント (2) | トラックバック (0)

    2005年4月29日 (金)

    経済産業省 個人情報保護法ガイドラインQ&A検討会

    経済産業省 個人情報保護法ガイドラインのQ&A
    http://www.meti.go.jp/policy/it_policy/privacy/privacy_qa.pdf
    がありますが、このQ&Aを強化するための検討会が発足しました。

    委員としてお声がけをいただいたので、会合に参加しました。

    詳細はこちら:
    http://yoshihiro.cocolog-nifty.com/security/2005/04/post_de29.html

    4月 29, 2005 | | コメント (0) | トラックバック (1)

    2005年4月 5日 (火)

    公益通報者保護法

    公益通報者保護法の施行が決まりましたね。

    ・・・トラックバックという機能を使ってみたかったので、あえて、まるちゃん日記を引用してみました。法条文などはそちらからアクセスしてください。
    http://maruyama-mitsuhiko.cocolog-nifty.com/security/2005/04/post_4.html

    公益通報者保護法とは、いわゆる内部告発者を保護する法律です。

    公益通報者保護が議論された頃に、とても気になったものですが、国会が別の議題であふれたりして、ずっと先送りになってしまい、個人的には残念でした。
    なんで興味を示したかを書いておきます。

    個人情報保護であれば、個人情報保護法に照らせば、軽微な事故は多くの企業で発生していることが推定されます。
    たとえば、「名刺がみあたらない」=「個人情報の紛失」ということなわけです。
    これらのことについて、会社としては、「軽微なので相手に知らせないし公表もしない」と決めても、関係者の誰かが、「会社はそう決めたけれど、公表すべきではないか」と思えば、そのアクションを起こしやすくなります。
    これは正社員に限らず、委託先や派遣、アルバイトなど広範に、その事実を知っているすべての関係者に言えることです。

    企業としては、公益通報者保護法が施行された場合には、企業内の事故を隠蔽することは非常に高いリスクを負うことになるのでしょう。
    いくら社員に退社後の機密保持契約を締結しても、条件を満たせば、公益通報者保護法が優先することになるわけですから、いままでのように、「会社の決定」を強いることはできなくなります。

    事故発生の事後対応についての企業での整備は、この法律の施行日までに完了しなければならなくなると予想しています。

    4月 5, 2005 | | コメント (0) | トラックバック (0)

    新憲法での個人情報保護

    自民党の新憲法起草委員会がまとめた要綱では、以下の新しい権利を盛り込むとのこと。

    ・知る権利
    ・個人情報を守る権利
    ・犯罪被害者の権利
    ・環境権
    ・知的財産権
    ・司法への国民参加

    「個人情報を守る権利」では、「個人情報」の定義をどうするのであろうか。
    「個人情報保護法」と同じ定義では、失策を繰り返すように思う。

    「プライバシーを守る」と「個人情報を守る」との違いがちゃんと整理されることを祈ります・・・

    4月 5, 2005 | | コメント (0) | トラックバック (0)

    2005年4月 1日 (金)

    JEITA 個人情報保護対策アセスメント

    JEITA(電子情報技術産業協会)の
    企業向け 個人情報保護対策・実践アセスメントガイド

    http://it.jeita.or.jp/infosys/committee/SOL/050323assessment_guide/

    企業タイプを
     (1) タイプA:個人情報取得保有企業向け
     (2) タイプB:個人情報預託請負企業向け
     (3) タイプC:個人情報一時取り扱い企業向け
    に分けて、タイプCのセルフアセスメントガイドだけを公開し、AとBでビジネスをするという手法はなかなかおもしろい。

    4月 1, 2005 | | コメント (0) | トラックバック (0)

    2005年3月30日 (水)

    施行まであと3日、個人情報保護法の直前対策

    ご紹介いただいた記事です。

    http://enterprise.watch.impress.co.jp/cda/topic/2005/03/29/4936.html

    3月 30, 2005 | | コメント (0) | トラックバック (0)