プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

ワコム公式ストアからカード情報などが流出〜公表まで3カ月かかる〜
(画像は同社のWebサイト)

皆さんこんにちは。
プライバシーザムライ中康二です。

タブレット製品で有名な株式会社ワコムが、同社の運営する「ワコムストア」において、不正アクセスを受けて、カード情報ほかが漏えいしたと11月21日に発表した。

今回漏えいとされる情報は、下記の通り。

(1)2022年2月19日〜4月19日の間の「ワコムストア」での購入者
 クレジットカード情報最大1,938件
 (名義人名、カード番号、有効期限、セキュリティコード、Eメールアドレス)

(2)2021年2月22日〜2022年4月19日の間の「ワコムストア」の利用者
 個人情報最大147,545名分
 (氏名、郵便番号、住所、電話番号、メールアドレス、性別、会員IDなど)

同社のリリースでは詳細が明確に書かれていないため、原因は不明ですが、どうもWebサイトに改ざんが加えられて、情報を吸い取られたような印象を受けます。またこの事件とは関係なく、同社では4月19日にシステムの全面入れ替えを行ったため、その日で漏えいが止まったということのようです。

そして、8月にクレジットカード会社からの連絡を受け、今回の発表に至ったとのことです。発表に至るまでの流れは下記の通り。

8月19日 クレジットカード会社から連絡を受ける
8月22日 「ワコムストア」での販売・カード決済を停止
8月22日 個人情報保護委員会に報告(速報と思われます)
8月30日 第三者調査機関による調査を依頼
9月30日 調査機関による調査が完了
10月3日 埼玉県警に被害申告
10月17日 個人情報保護委員会に報告(確報と思われます)
11月21日 公表

https://estore.wacom.jp/ja-JP/info/202211

(私のコメント)
4月から改正された個人情報保護法では、カード情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から3カ月を要しています。これは残念ながら「速やかに」とは言えないと思います。

実際にカード情報が漏えいし、不正利用されているのですから、これが放置されていたとしたら由々しき事態です。もしかしたらカード情報が漏えいした1,938件については、本人には漏えいなどの詳細は伝えられないまま、カード会社側で停止/再発行が行われたのかもしれないなと思います。そうでないと、二次被害がどんどん拡大しますからね。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

住基ネットを不正に検索し、個人情報を知人に提供した杉並区職員が逮捕される
(画像は杉並区のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

報道によりますと、杉並区の職員が知人の依頼に基づき、住民基本台帳ネットワークの端末を不正に操作し、業務に必要のない人の個人情報を検索し、知人に漏らしていたとのことで、警視庁に逮捕されたとのことです。

報道の内容と杉並区の発表を総合すると、今回の事件は下記のようになります。
・逮捕理由は、住民基本台帳法違反の疑い。
・検索されたのは都外に住む男性と女性
・漏えいしたのは氏名、生年月日、住所など
・その職員は区民課の主事で住基ネットにアクセスできる権限があった
・漏えいした本人から杉並区への投書がきっかけで事実が判明した。
・検索履歴から、過去1年間に20人の情報が不正に閲覧されていたとのこと。
・知人経由で暴力団関係者に個人情報が提供されていた疑いもあるとのこと。

杉並区長は、「再発防止の徹底に全力で取り組むとともに、事実関係が明らかになった時点で、厳正な処分を行う」とのコメントを出しています。

https://www.city.suginami.tokyo.jp/news/r0411/1078406.html

(私のコメント)
住基ネットの端末では、転入・転出の手続きを行うため、全国の住民の情報を検索できるとのことで、今回はそこが悪用されたことになります。

同様の大規模な個人情報データベースとしては、住基ネットのほかにも「年金機構のデータベース」「自動車運転免許データベース」「携帯電話加入者のデータベース」「車検証データベース」「クレジットカード加入者データベース」など様々なものがあります。これらのデータベースに業務でアクセスできる権限のある人は、いつも外部の反社会的勢力から狙われており、誘惑、買収、脅迫などの様々な手段でその情報を漏らすように誘導されます。そして実際にその手の漏えい事件が過去に何度も繰り返されています。

データベースを管理する組織としては、検索履歴を残し、定期的に監査する体制の構築が必須です。さらなる厳格な管理体制が求められていると思います。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

破産者情報公開サイトに対し、個人情報保護委員会が提供停止の命令〜刑事告発の段階へ〜
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、サービス提供の即時停止を「勧告」したところ、勧告が実施されていないため、次の段階である「命令」を行ったと、11月2日に発表しました。

個人情報保護委員会による「命令」とは、個人情報保護法第145条2項に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うように命令する行為です。個人情報取扱事業者が一つ前の段階の「勧告」に従わず、個人の重大な権利利益の侵害が切迫していると認識されたため「命令」が行われたようです。

このまま命令にも従われなかった場合には、第173条の罰則規定に基づき、1年以下の懲役または100万円以下の罰金の対象となり、個人情報保護委員会は、刑事告発の準備を進めているとしています。

なお、このWebサイトを運営しているサイトには、「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があり、今回の個人情報保護委員会の対応はこの規定を適用したものと思われます。

https://www.ppc.go.jp/news/press/2022/221102-1/

「勧告」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52161055.html

(私のコメント)
社会的に許されないと考えられる行為が発生し、当初はそれに対応した法律がなく、放置されている。それに対応するべく法律が改正され、それに基づく規制が当局によって適用されていく。

もちろん、こういうことは社会の様々な局面で過去からずっと続いてきていると思いますが、個人情報保護法は新しい法律でもあり、そういう状況をリアルタイムでウォッチでき、興味深いなあと思っております。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

ISO27001:2022
(画像はISO27001:2022の表紙です)

皆さんこんにちは。
プライバシーザムライ中康二です。

ISMS認証の審査基準となっているISO27001が改訂され、「ISO27001:2022」として、10月25日に正式発表されました(まだ英語版だけです)。本記事では、これに関する最新情報をまとめて、皆様にお知らせします。

なお、正式名称は
------------------------------------------------------------
ISO/IEC 27001:2022
情報セキュリティ,サイバーセキュリティ,プライバシー保護−情報セキュリティマネジメントシステム−要求事項
Information security, cybersecurity and privacy protection - Information security management systems - Requirements
------------------------------------------------------------
となりました。今回から、「情報セキュリティ」「サイバーセキュリティ」「プライバシー保護」が目指すものの3本柱となるようです。

(1)今回の改訂は、附属書Aの全面書き換えです。

今回の改訂は、最近の動向を反映させて、附属書Aを全面的に書き換えることを目的として行われたようです。

管理策(セキュリティ対策の項目)が、「組織的」「人的」「物理的」「技術的」の4つに再構成されました。

また、それぞれの管理策も似たような内容のものが集約/統合され、「クラウドサービス」「データマスキング(匿名化/仮名化)」「ウェブフィルタリング」「セキュアコーディング」など、最新の情報セキュリティの動向や各国の個人情報保護法制などを反映したものが新たに追加されました。

結果として管理策の総数は114個から93個に減少しました。

(2)規格本文はほとんど変わりません。

まだよく精査できていませんが、ISO27001の規格本文はほとんど変更なしです。

というのも、現在のISO27001は、ISO9001(品質)やISO14001(環境)など、同様のマネジメントシステム規格と共通の構造をもつ「共通テキスト」が採用されているため、ISO27001単独で変更できなくなっているからです。

(3)猶予期間は3年間あります。急いで対応する必要はありません。
ISMS審査移行計画
(画像はISMS-ACの公式Webサイトより)

移行計画について、日本のISMS認証制度を運用しているISMS-ACから正式発表されました。

新しいISO27001:2022に基づく審査は、認証取得審査/移行審査の双方について、正式発表された10月25日から(制度上は)開始されているとのことです。

そして、古いISO27001:2013に基づく認証取得審査は10月25日の月末を起点として1年間続けられるとのことです(2023年10月31日が最後)。

認証取得済みの組織に対しては、3年間の移行期間が設けられ、10月25日の月末を起点として3年間のうちに移行審査を受ける必要があるとのことです(2025年10月31日が最後)。

日本語版(JIS Q 27001:2022?)が出てないじゃないかと思われると思いますが、ISMSの審査基準は正式には英語版のISO27001なので、そういうもののようです。

ISO/IEC 27001:2022(日本での販売サイト)
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=ISO%2FIEC+27001%3A2022
(対訳版は11月中に出るそうです)

ISMS-ACによる移行計画の説明
https://isms.jp/topics/news/20221025.html

(私のコメント)
結論として、今回は、附属書Aが全面改訂されましたので、適用宣言書も全面改訂が必須になりますが、御社の情報セキュリティ規程を全面的に書き換えなければならないという性格の改訂ではありません。また、急いで新規格に対応しないと、自社が情報セキュリティに関してやるべきことをやっていないと指摘されるというような性格のものではありません。ご安心ください。

ですから、すでにISMS取得済みの組織の方は、次回審査で対応しなくても、一回見送ってその次の審査で対応しても問題なさそうです。

この情報が皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Image_20221007_112209_709
(画像はくるまのニュースより)

皆さんこんにちは。
プライバシーザムライ中康二です。

自動車のナンバープレートから、個人を特定できることはできるのでしょうか?
企業が個人情報を適切に取り扱ううえで、ナンバープレートの情報はどのように扱うべきなのでしょうか?

参考になる記事を見つけましたので、共有したいと思います。

この記事では、下記のように記しています。
・(軽自動車・二輪を除く)登録車には、車検証と同じ内容が記された「登録事項等証明書」の発行サービスがある。これにはもちろん所有者の氏名、住所などの個人情報が記載されている。
・「登録事項等証明書」は誰でも請求できるが、請求する際、ナンバープレートの番号に加えて、「車体番号」も必要である(2007年法改正により施行)。
・車体番号は車の本体に刻印されている番号であり、所有者以外には容易に見ることができないものである。
・また請求時、取得理由の確認や、請求者の本人確認も行われる。
・軽自動車の「検査記録事項等証明書」は、そもそも所有者しか取得できない。
ということです。

上記の内容を総合すると、自動車のナンバープレートの情報があったとしても、「他の情報と容易に照合することにより特定の個人を識別できる」とは言えません。

すなわち、通常の企業の場合には、ナンバープレートの情報があったとしても「個人情報ではない」としてよいと言えると思います。

ただし、自動車保険会社のように、自動車のナンバープレートの情報を個人情報と関連付けて登録しているような場合には、もちろん個人情報になりますので、ご注意ください。

また余談ですが、警察当局は自動車登録情報のデータベースにアクセスする権限を持っていますから、犯罪捜査などの目的であれば、自動車のナンバープレートから所有者情報を容易に知ることができるようになっています。ご参考まで。

個人を特定できる!? ナンバープレートで個人情報は分かるのか SNSアップ問題ない?(くるまのニュース)
https://kuruma-news.jp/post/554194

【用語集】個人情報の定義は何ですか?どこまで含まれるのですか?
https://www.optima-solutions.co.jp/archives/5935

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

JIPDECからの感謝状

皆さんこんにちは。
プライバシーザムライ中康二です。

先日、JIPDECから郵送物が届きました。

なんだろうと開けてみると。。。
素晴らしい感謝状が入っていました!

「貴社は多年にわたる個人情報保護マネジメントシステム構築運用の取り組みを通じ、プライバシーマーク制度の発展に多大な貢献をされました。ここにその功績を讃え感謝の意を表します」

なんと!!!

プライバシーザムライとしての日々の活動を、JIPDECの偉い方が見ていただいていたんですね。
私としても、これまでの努力が認められてうれしいです。ウルウル。。。

というのは、かなり誇張が入っておりまして、

実はこの感謝状というのは、プライバシーマークの付与認定を7回受けた、つまり取得審査1回、更新審査6回に通過した全ての事業者に送られているものです。

既に多くの事業者に対して発行されていて、この記事をお読みの方の中にも、自社でも受け取ったという方も多いのではないかと思います。

何はともあれ、せっかくの感謝状、ありがたくお受け取りいたします。

プライバシーマーク・公式Webサイト
プライバシーマーク制度貢献事業者一覧を公表しました(2022年6月〜2022年7月)
https://privacymark.jp/project/recognition/index.html

この情報が、皆様の参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

ISMS認証取得事業者数推移

皆さんこんにちは。
プライバシーザムライ中康二です。

ISO27001を基準とする認証制度「ISMS認証」を国内で運用している一般社団法人情報マネジメントシステム認定センター(ISMS-AC)は、国内での認証登録組織数が7000件を超えたと発表しました。

ISMS-ACによると、直近の2年9か月で約1,000件増加したとのことです。

https://isms.jp/topics/news/20220901.html

(私のコメント)
国内におけるISMS認証の登録件数は、情報セキュリティに対する社会的な関心の高まりを反映し、順調に増加し続けています。当社にも連日、数多くのお問い合わせをいただいており、誠にありがとうございます。

当社では、「ISMS認証とは何なのか」「スムーズに取得するにはどうすればいいのか」などをわかりやすく解説するWebセミナーを毎月定例で開催しております。詳しくは下記をご参照ください。

ISMS認証取得セミナーに参加する

また、ISMS認証取得済みの方を対象に、ISO27001:2022年版対応を開設するセミナーを開催いたします。どうぞご参加ください。

10月18日セミナー


この情報が、皆様の参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

10月18日セミナー
ISMS担当者勉強会に参加する
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

先日も本Blogでご案内いたしましたが、ISMS認証の審査基準となっているISO27001の改訂作業が進んでおり、まもなくISO27001:2022年版として(10月にも)正式に発表される予定となっております。

今回の改訂ポイントは下記の3点です。
(1)改訂されるのは、ほぼ附属書Aのみ
(2)附属書Aの管理策が「組織的」「人的」「物理的」「技術的」に再構成
(3)猶予期間は3年間

そこで、これに関するISMS担当者勉強会を、
10月18日(火)に新橋で開催したいと思います。

久しぶりのリアル開催です。
もちろん感染対策には十分に配慮して開催いたします。
(恐縮ですが有償セミナーとさせていただきます。
 当社サービスをご契約いただいているお客様は無償ご招待)

講師は、私プライバシーザムライと、当社コンサルタントの小田が担当します。

セミナー終了後には皆さんとフリーにやり取りできる「質疑応答+ネットワーキングタイム」を設定しております。講師にご質問いただくこともできますし、皆さん同士でも意見交換していただければと思います。

この機会に横でつながっていただき、孤独を解消!
自信を持って個人情報を取り扱っていただきたいと思います。

また、セミナーご説明資料だけではなく、新旧対応表/新しい適用宣言書など、他では入手できない資料も配布します。

ISMS担当者の皆様、どうぞご参加くださいませ!

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介
プライバシーザムライ 中康二
プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル:「ISO27001:2022年版対応セミナー」(ISMS担当者勉強会)

日時:2022年10月18日(火)
  14:20〜16:30 第一部 セミナー
  16:30〜17:30 第二部 質疑応答&ネットワーキングタイム
場所:TKP新橋カンファレンスセンター
  東京都千代田区内幸町1丁目3-1 幸ビルディング
内容:ISMSの審査基準であるISO27001:2022年版対応を解説します。
講師:プライバシーザムライ 中 康二・コンサルタント小田一茂
参加対象者:
 ISMS取得事業者の役員、担当者の方
 または上記の認証取得を検討中の役員、担当者の方
参加費:一社10,000円(1社2名様まで)
※当社サービスをご契約いただいているお客様は無償でご招待させていただきます。

※お申込みいただいた方にお振込み先をお知らせいたします。

主催:オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
ISMS担当者勉強会に参加する

皆さんと会場でお会いできるのを楽しみにしております!
プライバシーザムライ 中康二

セキュリティネクスト
(画像はセキュリティネクストより)

皆さんこんにちは。
プライバシーザムライ中康二です。

現在進行しているウクライナ戦争に関し、日本政府がロシアに対する経済制裁に参加し、ロシアに敵対しているとの見方から、ロシアのハッカー集団が日本のWebサイトに対する攻撃を実施し、実際にアクセスできなくなるなどの被害が出ているようです。

今回自ら攻撃していると公言しているハッカー集団は「Killnet」と名乗っており、ロシア系のSNSサービスTelegram上で情報発信しています。その中では「日本政府に対する宣戦布告」という言葉を使っていますが、実際には、e-GOV/eLTAXなどの政府関係サイトだけではなく、JCB/mixi/東京メトロ/大阪メトロなど政府関係ではないWebサイトにも攻撃を仕掛けているため、民間企業としても要注意です。

ただし、手法として用いられているのは、不必要な通信をサーバーに大量に送信することによりサーバーの正常動作を阻む「DDos攻撃」に留まっており、一定時間で攻撃が終了すると、サーバーは正常動作を取り戻しているようです。また、ネットワークへの侵入やサービス停止、情報流出などは確認されていないようです。

セキュリティネクストの関連記事
https://www.security-next.com/139562

piyologの解説記事
https://piyolog.hatenadiary.jp/entry/2022/09/07/025039

(私のコメント)
現代の戦争においては、正規軍によるサイバー攻撃だけではなく、今回発生しているような得体の知れないハッカー集団によるサイバー便乗攻撃が何度も発生しています。日本政府/日本企業としては、今後も警戒態勢を取っていただきたいと思います。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

(追記)2022年10月25日にISO27001:2022が正式発表されました。
最新情報は下記をご参照ください。
https://www.pmarknews.info/isms/52164620.html

ISO27001:2022附属書A予想版
(画像はISO27001:附属書A予想版より)

皆さんこんにちは。
プライバシーザムライ中康二です。

ISMS認証の審査基準となっているISO27001の改訂作業が進んでおり、まもなくISO27001:2022年版として(10月にも)正式に発表される予定となっております。このことについて、皆様に情報をまとめてお知らせしたいと思います。

(1)改訂されるのは、ほぼ附属書Aのみです。

今回の改訂は、附属書AのもとになっているISO27002の改訂に基づくもので、ISO27002:2022は既に2月に正式発表されたものです。この改訂に合わせて、ISO27001の附属書Aが改訂されるということです。ですから、改訂されるのはほぼ附属書Aのみであり、既にほとんど内容は確定しています。

なお、規格本文は、ISO9001などと同じフォーマットになっており、勝手に変更することもできないようで、わずかな修正となるようです。

(2)附属書Aの管理策が「組織的」「人的」「物理的」「技術的」の区分に再構成されます。

詳細は、ISO27001:附属書A(予想版)を見ていただきたいのですが、今回の改訂では、附属書Aの管理策(セキュリティ対策の項目)が、おなじみの「組織的」「人的」「物理的」「技術的」の区分に再構成され、大変分かりやすく整理されました。

内容的には、前回の改訂時には盛り込まれていなかった「クラウドサービス」という言葉が盛り込まれたり、各国の個人情報保護法制に対応するべく「データマスキング(匿名化/仮名化)」という概念を含めたり、また「テレワーク」が「リモートワーク」になるなど、現在の情報セキュリティを取り巻く変化に対応するものとなっています。

また、以前からある管理策も、似たような内容のものは統合/集約されており、最終的に管理策の総数は114個から93個に減少しました。

(3)猶予期間は3年間あります。急いで対応する必要はありません。

ISO27001:2022の正式発表は、10月になる見込みで、(ISMSの前例に基づくと)理論上はその日から対応した審査が開始されることになると思われます。

いや、日本語版(JIS Q 27001:2022?)が出てないじゃないかと思われると思いますが、ISMSの審査基準は正式には英語版のISO27001なので、そういうもののようです。

ただし、猶予期間が3年間設定されることになりそうです。つまり、2022年10月に新規格が出たとして、2025年10月の審査までに対応できればいいということになります。

また、今回は、附属書Aが改訂されるということですから、適用宣言書の全面改訂が必須になりますが、御社の情報セキュリティ規程を全面的に書き換えなければならないという性格の改訂ではありません。また、急いで新規格に対応しないと、自社が情報セキュリティに関してやるべきことをやっていないと指摘されるというような性格のものではありません。ご安心ください。

ISO/IEC 27002:2022
https://www.iso.org/standard/75652.html

ISO/IEC 27002:2022(日本での販売サイト)
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=ISO%2FIEC+27002%3A2022

(私のコメント)
最後にも書きましたが、すでにISMS取得済みの事業者の方は、次回審査で対応しなくても、一回見送ってその次の審査で対応しても問題なさそうです。

この情報が皆様にとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

台湾の駅のモニタにハッキング
(画像はフォーカス台湾より)

皆さんこんにちは。
プライバシーザムライ中康二です。

米国のペロシ下院議長の台湾訪問を受けて、中国政府は猛反発を見せていますが、その中で、サイバー攻撃を受けて、台湾の駅の大型モニタに反ペロシの内容のメッセージが表示されていたとのことです。

これを受けて、台湾政府としては、中国製通信機器の使用禁止の範囲を拡大する方針とのことです。

https://japan.focustaiwan.tw/politics/202208070003

(私のコメント)
中国政府のみならず、世界の各国がサイバー軍を創設し、様々なサイバー攻撃を行っていることは私もよく知っていたつもりです。そして、このような状況を背景に、米国政府は、ファーウェイなど中国企業の通信機器を国全体から排除し、同盟国にも同様の措置を呼びかけているということも知っていました。しかし、このような「目に見える形での被害」を知ったのは初めてのことなので、興味深く感じました。

私は個人的には中国とは仲良くするべきだと考えていますし、ことさら対立をあおるようなことはするべきではないと考えています。その一方で、中国という国が専制的な政治体制であり、ネット利用に対する規制も厳しく、今回のようなサイバー攻撃についても政府の関与がうかがわれることから、やはり中国製の機器の利用には一定の制限をかけざるを得ないと思いました。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報保護委員会
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、7月20日に、サービス提供の即時停止を勧告しました。

個人情報保護委員会による「勧告」とは、個人情報保護法第145条に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うように強く指示することです。個人情報取扱事業者が勧告に従わなかった場合には、次の段階の「命令」を行うことになります。命令にも従わなかった場合には、第173条の罰則規定に基づき、1年以下の懲役または100万円以下の罰金の対象となります(刑事罰となりますので、当局による取り調べ、逮捕拘留などののち、裁判にかけられることになると思われます)

今回、適法性が問われているのは
個人情報保護法第19条(不適正な利用の禁止)
個人情報保護法第21条1項(取得に際しての利用目的の通知等)
個人情報保護法第21条1項(第三者提供の制限)
とのことです。

特に、第19条の不適正な利用の禁止は、2022年4月施行の改正法で追加された内容で、今回が初の適用事例にあたるのではないかと思われます。

(不適正な利用の禁止)
第十九条 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

「違法又は不当な行為」とは、「個人情報保護法やその他の法令に違反する行為だけではなく、直ちに違法とはいえないものの、個人情報保護法やその他の法令の制度趣旨又は公序良俗に反するなど、社会通念上適正とは認められない行為をいう」とされ、今回の第19条は細かな規定によるのではなく、ざっくりと網をかけるように「不適正な利用」を禁止する内容となっています。

さらに、個人情報保護法ガイドライン通則編では、不適正な利用の例として、今回のような方法で個人情報を公開することを例示し、その違法性を直接的に説明しています。

【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】
事例2)裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合

それにも関わらず、今回また同じような方法により破産者の情報を公開するWebサイトが現れたことに対して、個人情報保護委員会としては、厳しく対応する方針のようです。

なお、今回のWebサイトには海外のサーバーを利用していると記載されており、運営者も海外にいる、または運営者の居住地が分からないのではないかと思われます。そのため、個人情報保護法第160条に新設された「公示送達」の規定を利用したとのことです。

https://www.ppc.go.jp/news/press/2022/220720/

(私のコメント)
2019年ごろから、官報に掲載された破産者情報を地図上にマッピングして一覧できるようにするWebサイトが作成され、そのたびにネットユーザーの非難にあって炎上したり、個人情報保護委員会が指導したりして停止に追い込まれるということを繰り返してきています。

今回問題となっているサイトは、過去10年以上の自己破産者(数百万人程度と思われます)の情報を掲載し、削除希望する場合には、6万円分のビットコインを送金するようにと記載しています。一種の「恐喝」に近い方法で運営されており、社会的に見ても全く許されない行為だと思います。

サイトには「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があります。今のようなことは許される行為ではなく、このままいくと運営者は処罰を免れないと考えられます。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ