2021年06月11日

個人情報保護委員長が朝日新聞の取材に答えて「忖度せず厳しい姿勢でのぞむ」と発言

（画像は朝日新聞Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

5月に国会で成立したデジタル改革関連法により、
監督範囲が行政機関や自治体のの個人情報の取り扱いにも拡大された
個人情報保護委員会の丹野委員長が、朝日新聞の取材に答えて
「忖度せず厳しい姿勢でのぞむ」と発言しました。

https://digital.asahi.com/articles/ASP6876MDP67ULFA01H.html

（私のコメント）
丹野委員長は、全国消費生活相談員協会理事長を経て、
2019年に個人情報保護委員会委員長に就任されました。

個人情報保護委員会は、その責任範囲がどんどん拡大しており、
社会的意義も大きくなってきています。
個人情報の取り扱いに関して「利活用の促進」と
「個人の権利利益の保護」をどのようにバランスを取るのか、
今後も注目していきたいです。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年06月04日

2022年春施行・個人情報保護法改正に向けたガイドライン案が出ています

（画像はe-govパブリックコメントWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

2022年4月1日に施行される個人情報保護法の改正に向けて、個人情報保護委員会は、ガイドラインの見直し案を取りまとめ、パブリックコメントを実施しています。

今回の改正には、
・保有個人データの「6ヶ月以上保有」の条件を廃止
・利用停止、消去、第三者提供の停止の請求が認められる条件を拡大
・オプトアウト規定で提供できる個人情報の制限を強化
・個人情報の不適正な利用の禁止
・漏えい等の個人情報保護委員会への報告と本人通知の義務化
・「仮名加工情報」の創設
・「個人関連情報」の第三者提供の制限
・外国事業者も報告徴収／命令／立入検査の対象に含める
・本人同意を根拠に外国の事業者に移転する場合の、移転先の国名などの情報提供
などの内容が盛り込まれており、これらについての詳細がガイドライン案で確認できます。

なお、来年4月に施行される際には、今年5月の国会で成立したばかりの2021年改正（官民の個人情報保護法の一元化）も同時に施行されると思われますが、これらについては後追いでガイドラインなどが出てくるものと思われます。

https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000069&Mode=0

（私のコメント）
このガイドラインの内容を含み、来年4月に施行される個人情報保護法の改正についてPマーク／ISMS担当者勉強会でご説明いたします。関心をお持ちの方は是非ご参加ください。
（7月14日にリモート開催いたします）

https://www.pmarknews.info/event/52142566.html

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年05月20日

2022年春施行・個人情報保護法改正セミナーのご案内(7月14日リモート開催)

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）

個人情報保護法が来年春に大幅改正されることになりました。

昨年の国会で民間事業者向けの規定が大幅改正されたと思っていたら、さらに今年の国会で行政機関向けの個人情報保護法との一元化が行われ、2回分の改正があわさって来年春に一気に施行されることになるようです。

この内容をいち早く取りまとめ、プライバシーマーク担当者、ISMS担当者の皆様と共有したいと思います。

講師は、私プライバシーザムライが担当いたします。

なお、私の話を聞いていただくだけでなく、セミナーの途中で皆さん同士で意見交換をしていただくブレイクアウトセッションも予定しております。

プライバシーマーク担当者、ISMS担当者の皆様、どうぞお気軽にご参加くださいませ！

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介

プライバシーザムライ中康二(なかこうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル：Pマーク／ISMS担当者勉強会「2022年春施行・個人情報保護法改正セミナー」

日時：2021年7月14日（水）16時から18時
場所：リモートで開催（Zoomを利用します）
講師：プライバシーザムライ中康二
参加費：無料（1社2名様まで）
参加対象者：
　プライバシーマーク取得事業者の役員、担当者の方
　ISMS認証取得事業者の役員、担当者の方
　または上記の認証取得を検討中の役員、担当者の方

主催：オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓

皆さんとオンラインにてお会いできるのを楽しみにしております！
プライバシーザムライ　中康二

2021年05月13日

デジタル改革関連法案の成立により、官民の個人情報保護法が一元化（2022年4月施行の見込み）

（画像は参議院Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

5月12日、参議院で「デジタル社会の形成を図るための関係法律の整備に関する法律案」が成立し、これにより、既存の3つの法律
個人情報保護法
行政機関個人情報保護法
独立行政法人等個人情報保護法
が一本の個人情報保護法に集約されることになりました（2022年4月施行予定）。

また地方自治体における個人情報の取扱いについても、
今後は集約された個人情報保護法で取り扱うこととされます（2023年施行予定）。

この法律案は、50以上の法律を一気に改正する内容となっており、
内容は多岐にわたり、分量も膨大なものですから解読が困難ですが、
結論としては「個人情報保護法一元化」が行われるものです。

これに伴い、行政機関における個人情報の取扱については、
色々と変更があるようですが、
民間事業者向け義務規定にはほとんど変更はありませんので、
ご安心いただきたいと思います。

今回の改正法の施行時期はその多くが「公布から1年以内」となっており、
実際には2020年に成立した個人情報保護法の施行（2022年4月1日）と
同時に施行されることになるようです。

つまり、2020年改正個人情報保護法の施行に向けた準備が進められているところに
さらに上乗せで改正が加わることになります。

これにより、法律の構成や条番号も大幅に変更になりますので、
特に注意が必要です。

例えば、
2020年成立の改正個人情報保護法により
「第22条の2」として個人データ漏洩の際の報告義務が追加されていますが、
これは今回の改正により「第26条」となるようです。
ご注意ください。

参議院・デジタル社会の形成を図るための関係法律の整備に関する法律案
https://www.sangiin.go.jp/japanese/joho1/kousei/gian/204/meisai/m204080204028.htm
提出法律案
https://www.sangiin.go.jp/japanese/joho1/kousei/gian/204/pdf/t0802040282040.pdf

（既存の法律）
個人情報保護法→改正
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
行政機関個人情報保護法→廃止
https://elaws.e-gov.go.jp/document?lawid=415AC0000000058
独立行政法人等個人情報保護法→廃止
https://elaws.e-gov.go.jp/document?lawid=415AC0000000059

（参考記事）
次の改正個人情報保護法の施行日が2022年4月1日に決まりました。～法人向け1億円の罰金は施行済み～
https://www.pmarknews.info/kojin_joho_hogo_ho/52140607.html

個人情報保護法一元化法案が出てきました～今の国会で成立→えっ来春施行？～
https://www.pmarknews.info/kojin_joho_hogo_ho/52138278.html

個人情報保護法の民間／行政一元化法案が固まったようです～2021年通常国会に提出の見込み～
https://www.pmarknews.info/kojin_joho_hogo_ho/52136865.html

2020年改正個人情報保護法が成立、2022年までに施行の見込み
https://www.pmarknews.info/kojin_joho_hogo_ho/52124828.html

（私のコメント）
改正が二重に行われるとは思いませんでしたが、
まあ一気に色々なことがシンプルになっていくのかなと思います。
このあたりのことは、施行までの一年間の中で、
私からも情報発信していきたいと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年04月24日

2020年度末のプライバシーマーク取得事業者数は16,677社

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）

プライバシーマーク公式Webサイトの情報によりますと、2021年3月末現在のプライバシーマーク付与事業者数は16,677社とのことです。

この一年間、プライバシーマーク制度も新型コロナの影響で大きな影響を受けましたが、それでも前年より200社の増加となっています。

https://privacymark.jp/certification_info/data.html

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2021年04月19日

「世界標準のプライバシー認証・ISO27701勉強会」の動画を公開しました

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

当社では「世界標準のプライバシー認証・ISO27701勉強会」を3月に緊急開催いたしました。

ところでISO27701（PIMS）って何なんでしょうか？

・世界初？プライバシーのためのISO規格
・ISMS（ISO27001）に上乗せとして運用される認証制度
・プライバシーマークと違って部署限定で取得できるメリットがある
・国際標準の個人情報保護規格としてGDPRに完全対応？

プライバシーマークとISMSの間に存在する規格であることは間違いないのですが、
それは事業者にとってメリットがあるのか、ないのか、
小回りを効かせることができるのかどうか、
流行るのか流行らないのか、
まだまだ未知数です。

まず、規格そのものの内容や、現段階で決定している事項を中心に整理し、
皆様と情報を共有するために、勉強会を開催いたしました。

その時の動画を編集して公開いたします。
どうぞご覧ください！

--------------------------------------------------------
タイトル：「世界標準のプライバシー認証・ISO27701勉強会」
講師：プライバシーザムライ中康二（オプティマ・ソリューションズ・代表取締役）
視聴先：オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------

なお、全編の視聴には申し込みが必要です。
資料PDFもダウンロード提供します！
下記からお申し込みください（無料）。
https://www.optima-solutions.co.jp/form_iso27701_seminar

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

今後も皆様の役に立つ動画を掲載していきます。
ご期待ください！

2021年04月14日

Facebook、5億人の個人情報流出は「スクレイピング」によるものだそうです

（画面は同社Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

Facebookの利用者の5億人分の個人情報が流出し、闇サイトで販売されているとの報道に対して、米国Facebook社は「スクレイピング」により抽出されたものだと発表しました。

スクレイピングとは、特定のプログラムを使用して公開されているWebサーバーにアクセスすることにより、データを自動的にダウンロードさせることであり、Googleなどの検索エンジンも使用している一般的な仕組みです。

Facebookには、スマートフォンの住所録をアップロードしてお友達を自動的に検索してレコメンドする機能があり、今回はこの機能が利用規約に反して悪用されたとのことです。

「スマートフォンの住所録をアップロードさせてお友達をレコメンドする」という機能は、Facebookだけではなく、LINEなどその他の多くのSNSでも利用されてるものですが、携帯電話番号やメールアドレスを入力するだけでその人のアカウント情報を知ることができるため、今回のようなことができることは理論上、誰にでも分かっていたと思います。

今回は、あたかも架空の電話番号（例えば00000000001から99999999999までの全ての数）を大量にスマートフォンに登録し、その住所録をFacebookにアップロードしたかのような挙動をするプログラムを作成して作動させ、Facebookのサーバーはまんまとそれを真面目に処理してしまったということのようです。

同社では、2019年9月にこの問題に気づき、現在は同様のことは起こらないようにしたとしていますが、それはあくまでも架空の電話番号を大量にアップロードした場合に拒否するように対応したということであり、この機能自体を廃止したわけではありません。

今回のような方法で自分のアカウント情報を公開されたくない場合には、Facebookのプライバシーの設定にある「メールアドレスであなたを検索できる人」「電話番号でああたを検索できる人」の設定を見直すことをオススメします。どちらも「自分だけ」にすれば、今回のルートを遮断できます。

https://www.facebook.com/settings?tab=privacy

Facebook社の公式発表
https://about.fb.com/ja/news/2021/04/facts-on-news-reports-about-facebook-data/

Wikipedia「ウェブスクレイピング」
https://ja.wikipedia.org/wiki/%E3%82%A6%E3%82%A7%E3%83%96%E3%82%B9%E3%82%AF%E3%83%AC%E3%82%A4%E3%83%94%E3%83%B3%E3%82%B0

Facebookで使用しない方がいいと思うひとつの機能(改訂版)（過去記事）
https://www.pmarknews.info/archives/51852736.html

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2021年04月08日

次の改正個人情報保護法の施行日が2022年4月1日に決まりました。～法人向け1億円の罰金は施行済み～

（画像は個人情報保護委員会・公式Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

2020年6月に成立した改正個人情報保護法の施行時期について、個人情報保護委員会は2022年4月1日に施行すると発表しました。

また、個人情報データベース等の不正提供等の場合の法人向け罰金（最大1億円）など、法定刑の引き上げについては、昨年12月12日に施行されていると合わせて発表しております。

https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#shikoubi

（私のコメント）
昨年12月の法定刑引き上げについては、私も追いかけ切れておらず、失礼いたしました。なお現在、国会で審議中の改正個人情報保護法（個人情報保護法の官民一元化法案）についても、今国会で成立した場合には交付から1年以内に施行するとなっており、おそらく来年4月の同じタイミングで施行されることになるのではないかと思います。

https://www.pmarknews.info/kojin_joho_hogo_ho/52138278.html

また、今回の個人情報保護法の改正点については、下記の動画で詳しく説明していますので、ご参照ください。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年04月01日

個人情報保護委員会がLINEに立ち入り検査を実施

（画像は個人情報保護委員会Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会は、LINE株式会社の個人情報の取り扱いについて、適法性が問われる事態になっていることに関して、現在の取組状況を公表しました。

公表された内容によると、3月19日に同社に対して報告の徴収を行い、同社から回答を得たとのことで、3月26日に上記の文書が発表されました。また、マスコミでの報道では、3月31日に同社に対する立ち入り検査も実施したとのことです。

今回、適法性が問われているのは
個人情報保護法第22条（委託先の監督）
個人情報保護法第24条（外国にある第三者への提供制限）
とのことです。

詳細は明らかにされてはいませんが、
（１）委託先である中国の開発会社からLINEの顧客データベースにアクセスできるようになっており、実際にアクセスされていたこと
（２）LINEのトークのやり取りのデータが韓国のデータセンターに収められていたこと
について、調査が行われていると思われます。

（私のコメント）
現在の個人情報保護法では、外国にある第三者へ個人情報の取り扱いを「委託」する場合には
①委託先がEUに所在すること
②委託先が日本の個人情報保護法の義務規定と同水準の体制を持っていること
③法令に基づく場合など例外の場合
④本人が同意していること
のいずれかを満たすことが求められます。

今回の場合は②または④が適用になります。同社が本当に委託先に日本と同水準の義務規定を満たさせていたのか、または本当に本人の同意を取っていたのか、そのあたりが焦点になるのではないかと思います。

個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）
https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年03月29日

今回のLINEの問題をきっかけに「長すぎるプライバシーポリシー」に警鐘を鳴らす！

（画像はLINEのプライバシーポリシーより）

皆さんこんにちは。
プライバシーザムライ中康二です。

LINEの個人情報の取り扱いが問題になっています。

主に今回取り上げられているのは
（１）委託先である中国の開発会社からLINEの顧客データベースにアクセスできるようになっており、実際にアクセスされていたこと
（２）LINEのトークのやり取りのデータが韓国のデータセンターに収められていたこと
です。

私もLINEのユーザーです。韓国NAVER社の日本法人であった同社が、東日本大震災のあと、人と人とつなげるインフラを作りたいとの考えからLINEを立ち上げたことや、分かりやすいUI／親しみやすいスタンプなどを武器に利用者を拡大し、世界中に利用が広がっていることなど、頼もしく感じています。今回の問題に関しても、極端に反応するべきではなく、経営統合されたヤフーのコンプライアンスの元でやるべきことをやっていけばいいと思っています。（よく考えるとこのページを更新しているlivedoor BlogもLINEの運営でした☺️）

ただし、私、個人情報保護と情報セキュリティを社会に啓発するプライバシーザムライとしては、ここで少し違う視点から問題を指摘したいと思います。

それは【長すぎるプライバシーポリシー】問題です。

同社のプライバシーポリシー（リンクを下に貼っておきます）はいかんせん長すぎて、何を書いているのか普通の人には理解しづらくなっています。私もすべてを理解したとは言えません。それが今回の問題の原因の一つになっているのではないかということです。

そもそも、日本の個人情報保護法では、下記の5項目をWebサイトなどで公表することとされています。

（１）個人情報の利用目的（第18条）
（２）個人情報を第三者に提供する場合はその旨（同意が必要）（第23条）
（３）個人情報を共同利用する場合はそれに関する項目（第23条5の3）
（４）外国にある第三者へ提供する場合はその旨（場合により同意が必要）（第24条）
（５）保有個人データに関する事項の公表（第27条）

これらの各点について、LINEのプライバシーポリシーではどのように記載しているのかを順番に見ていきたいと思います。

（１）個人情報の利用目的（第18条）

やはりいちばん重要なのは「個人情報の利用目的」です。（取り扱う個人情報の項目ではなく）取り扱う個人情報の利用目的を明確にして本人に分かるようにするのが、個人情報保護法の大原則です。

個人情報保護法第18条では「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない」とされており、さらに個人情報保護委員会のガイドラインでは「利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」「単に『事業活動』、『お客様のサービスの向上』等のように抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解される」とされています。

さて、LINEのプライバシーポリシーの中から、利用目的の部分を抜粋してみましょう。

（クリックすると拡大します）

どうですか？ひとことで言って長過ぎます。

冒頭の「当社サービスの提供・維持」は漠然としすぎています。「できる限り具体的に特定したことにはならない」の例にあたります。

次のレベルの「4.a. サービスの提供・維持」の中の「当社は、お客様から要請のあったサービスの提供や問い合わせ対応、キャンペーン応募のために必要な情報を利用します」は、ある程度できる限り具体的に特定している説明と言えましょう。

その次には「例えば、以下のような場合、当社はサービスの提供・維持のためにパーソナルデータを利用します」とあり、細かな利用目的が列記されていますが、これは無意味です。なぜなら法律では例示は求められていないからです。すべてを網羅する利用目的を最も簡潔に表現することが求められています。（「例えばA、B、Cです」といくら細かく説明しても、他にDの利用目的があるのならそれを本人が理解できなければ意味がない）

本来、この利用目的の部分は、下記のように簡潔に記載できると思います。

------------------------------------------------------------
当社の個人情報の利用目的は下記のとおりです。
１）お客様から要請のあったサービスの提供や問合せ対応、キャンペーン応募のため
２）当社サービスの開発と改善のため
３）セキュリティや不正利用対策を促進するため
４）お客様に広告を含むおすすめのコンテンツを提供するため
------------------------------------------------------------

これでいいのです。この5行のテキストによって利用者は利用目的を理解し、LINE社はその枠の中で自由に個人情報を利用できるのです。これが個人情報保護法の求めている「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」というあるべき姿なのです。長々と不要なことを書く必要はありません。

（２）個人情報を第三者に提供する場合はその旨（同意が必要）（第23条）
（３）個人情報を共同利用する場合はそれに関する項目（第23条5の3）
（４）外国にある第三者へ提供する場合はその旨（場合により同意が必要）（第24条）

次に提供の部分を抜粋してみましょう。ここは上記の３つの項目が関係します。

（クリックすると拡大します）

これまた長々と書きすぎています。

冒頭の部分で、第三国への移転のことを記載していますが、同じことを何回も書いています。単に「お客様のお住いの国または地域と同等の個人データ保護法制を持たない第三国に個人情報を移転する場合があります」と簡潔に書けば足りるはずです。

また、共同利用については、共同利用の範囲を「グループ会社」とだけしており、明確になっていません。個人情報保護委員会のガイドラインでは「共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある」「当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない」とされています。LINEのグループ会社がどの事業者までなのかはこのプライバシーポリシーには明記されておらず、LINEのWebサイトのどこにも明記されていません。これでは「本人がどの事業者まで利用されるのか判断できる」とは言えないと思います。これだけ長々と書いているのに、肝心の必要な情報が抜けているのです。

また、下記は安全管理の項目には「主要なパーソナルデータの保管を、当社の所在する日本の安全なサーバーで行っています」と記載されています。今回の問題で「主要ではない情報が韓国のサーバーに保管されていた」ことが判明したわけですが、こういう「主要な」という曖昧な言葉をプライバシーポリシーの中で記載することは極めて不適切であると言えます。

（５）保有個人データに関する事項の公表（第27条）

保有個人データの開示請求に答えることは個人情報取扱事業者の義務であり、それに関する手続きの方法などを「本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）に置く」こととされています。多くの場合では、プライバシーポリシーなどに明記することで本人に分かりやすく伝えるようにしています。こんなに長々と書くのであれば、その中にそれを記載するのは当然とも言えましょう。

さて、これに関する記載はここかな？

これまた長々と書いてありますが、よく読むとどこにも「保有個人データの開示の手続きの方法」は記載されておらず、「自分で更新できるようなシステムを用意しているから自分で権利を行使してください」ということを長々と書いてますね。

結論として、LINEは保有個人データに関する事項の公表は「本人の求めに応じて遅滞なく回答する」（＝問い合わせがあったら個別に対応する）こととしているようです。長々と書いている割には肝心のことは書いてないということが分かりました。

LINEプライバシーポリシー
https://line.me/ja/terms/policy/
個人情報保護法
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057_20201212_502AC0000000044
個人情報保護委員会ガイドライン
https://www.ppc.go.jp/personalinfo/legal/2009_guidelines_tsusoku/

（私のコメント）

以上、現在物議を醸しているLINEのプライバシーポリシーを解読し、長々と何が書いてあるのかを解読し、本来はどうするべきなのかも少し書きました。

同社のプライバシーポリシーは、長いのにも関わらす、法律が求めている事項を抜かしていたり、とにかく褒められるべき内容ではありませんでした。

長すぎるプライバシーポリシーは、単に長くて難しいというだけではありません。それは利用者と事業者の関係をあいまいにする結果を生み出しています。利用者に読む気をなくさせ、結果として誤解を招き、事業者側に言い訳の余地を残すと思います。

LINE社員ですら、内容を理解できないんじゃないでしょうか。顧客の個人情報をどこまで扱ってよくて、どこからはダメなのか、社員も理解できていないから、今回のような問題が起こったのではないでしょうか？

同社が現在の長いプライバシーポリシーを見直し、必要なことだけを簡潔に記載した内容に変更することを強く求めたいと思います。

また、同様に長々としたプライバシーポリシーをWebサイトに掲載している事例は他社にもたくさんあると思います。日本のビジネス界ではプライバシーポリシーを定める際に他社事例を複数参照して、適当に合体させて自社のものにするということが以前からまかり通ってきました。ですから、このLINEのプライバシーポリシーも、それが放置されていると他社にも伝染していくことを私は面白くないと思っています。

このような長々したプライバシーポリシーを掲載することで、利用者を煙に巻くような姿勢は褒められることではありません。ましてや見本にするべきでもないですし、そんなことを個人情報保護法が求めているものでもないことをはっきりここに明記しておきます。

今回の問題の解決のために設立された専門家委員会の中には個人情報保護法の専門の方も複数いらっしゃると思います。今回を機会に、日本の「長すぎるプライバシーポリシー」問題が少しは見直されるように動いていただけることを期待いたします。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ　中康二
（オプティマ・ソリューションズ株式会社　代表取締役）

2021年03月27日

システム開発会社の社員が、証券会社の顧客情報を盗み出して2億円を着服した事件が発生

（画像は両社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

オンライン証券大手の松井証券株式会社から、システム開発業務を受託していたSCSK株式会社の社員(当時)が、業務上知りえた松井証券の顧客情報を利用して、松井証券のサービスに不正ログインし、2億円以上を着服していた事件が発生しました。

同社員は、松井証券の顧客データベースから本物の「ログインID」「パスワード」「取引暗証番号」などを盗み出して悪用し、顧客と同姓同名の銀行口座を不正に作成して現金の引き出しに利用していたとのことです。

この社員は電子計算機使用詐欺罪等の容疑で警視庁に逮捕され、また懲戒解雇されているとのことです。この事件は、実際に行われたのが2017年～2019年であり、発覚したのが2020年とのことですが、捜査に協力する必要性からこれまで公表が控えられていたとのことです。

松井証券のリリース
https://www.matsui.co.jp/parts/pdf-view/web/viewer.html?file=/company/ir/press/pdf/pr210324.pdf
SCSKのリリース
https://www.scsk.jp/news/2021/pdf/20210324.pdf

（私のコメント）
まあ恐ろしい事件ですね。ベネッセ事件でもそうでしたが、システム開発や運用を実際に行う人が悪意を持って動くとこういうことは起こりえると言えるのかもしれません。ただし、パスワードや取引暗証番号はハッシュ化（復号できないように変換すること）して、顧客本人以外には分からないようにするなど、出来心を許さないシステムにすることが重要なのだと思います。

また詳細は公表されておらず真相は不明ですが、同姓同名の銀行口座をどのように不正に作成したんでしょうね。特殊詐欺対策もあり、銀行口座を作る際のチェックは厳しくなっています。もしかして顧客が登録した本人確認書類を一部利用した可能性もあるのかなと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2021年03月23日

「Pマーク／ISMSのためのE-Learning活用セミナー」の動画を公開しました

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

当社では「Pマーク／ISMSのためのE-Learning活用セミナー」を昨年12月にリモート形式で開催いたしました。

現在の新型コロナ下でプライバシーマーク／ISMSの定期教育にお困りの担当者様にも参考に参考にしていただけると思いますので、配信動画を元に編集したものを無料配信いたします。

--------------------------------------------------------
タイトル：「Pマーク／ISMSのためのE-Learning活用セミナー」
講師：プライバシーザムライ中康二（オプティマ・ソリューションズ・代表取締役）
視聴先：オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------

なお、全編の視聴には申し込みが必要です。
資料PDFもダウンロード提供します！
下記からお申し込みください（無料）。
https://www.optima-solutions.co.jp/form_elearning_seminar

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

今後も皆様の役に立つ動画を掲載していきます。
ご期待ください！

↑このページのトップヘ