プライバシーマーク・ISMS最新情報

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2008年11月

改正特定電子メール法(通称:迷惑メール防止法)の施行日が12月1日と決まり、総務省が「特定電子メールの送信等に関するガイドライン」を公表するなど、施行の準備が進められています。

本法に関しては、今年5月に改正されましたが、施行時期が「年内」とされていて未定でしたが、その後、下記のように施行に向けてのプロセスが動いていたようです。

●10月22日付「特定電子メールの送信の適正化等に関する法律の一部を改正する法律の施行期日を定める政令(平成20年政令第322号)」により、施行日が12月1日に決まる。

●11月14日付で「特定電子メールの送信の適正化等に関する法律施行規則の一部を改正する省令(平成20年総務省令第121号)」が決定。この施行規則も12月1日から有効になる。

●11月14日付で「特定電子メールの送信等に関するガイドライン」が公表。

これで、施行時期、ならびに施行される内容の詳細が固まりました。

※自己または他者の営業の広告または宣伝を行うための電子メールを「特定電子メール」と呼んでいます。

気になるポイントとしては、

(1)「名刺交換した相手に特定電子メールを送ってよいのか」については、法第3条一項二号の例外規定「自己の電子メールを通知した者」にあたるとされて、特定電子メールを送ることはOKとなりました。

(2)一方、「Webや電子メールなど書面以外の電子的な手段でメールアドレスを通知してきた相手に特定電子メールを送ってよいのか」については、一部の例外を除き、同意を得て特定電子メールを送ることとなりました。

(3)特定電子メールへの表示が義務付けられるのは、下記の項目です。
a)送信者の氏名又は名称
b)配信停止受付用のメールアドレスまたはURL
c)配信停止を受け付ける旨の記載
d)送信者の住所
e)苦情や問い合わせ用の電話番号、メールアドレス又はURL
a)b)c)については、特定電子メール内の任意の場所に記載すること、d)e)については、特定電子メール内の任意の場所に記載するか、またはURLを記載してそのリンク先に記載すること。

となりました。

私が取材に協力したVFNの記事もご参照ください。

http://www.soumu.go.jp/joho_tsusin/d_syohi/m_mail.html
http://blog.optima-solutions.jp/archives/51138413.html

http://www.optima-solutions.jp/press/20081028.html

91a6f1d5.jpg11月17日の日本経済新聞朝刊16面の「リーガル3分間ゼミ」で、「前の会社の顧客名簿 転職先で使用したが」というQ&A記事が掲載されています。弁護士さんの意見などをいくつか紹介した上で、この記事の結論としては「営業秘密なら差し止めも」としています。すなわち、不正競争防止法で定める営業秘密の要件を満たさない限り、会社としては差し止めることはできないという内容です。

ちょっと待ってください。

この記事は「不正競争防止法」だけを取り上げて、内容を構成しています。

しかし、個人情報保護法では、個人情報の目的外利用は禁止されています。

企業の顧客名簿とは、その企業が事業を遂行すること、何らかの商品やサービスを顧客に提供することなどが利用目的の柱になっていると考えられます。

まして、社員が退職した後に違う会社で営業活動を行うことが利用目的に含まれているとは考えられず、目的外利用となる可能性が高いと思います。

個人情報保護法上では、このようなことを防ぐのは、個人情報取扱事業者の義務とされますので、このようなことがあった場合には、会社に責任がかかってくるわけです。

ですから、結論的には、退職時に顧客名簿を持ち出されないようにしなければならないということになると思います。

そのためには、企業としては
・入社時に社員との間で「個人情報の非開示契約」を締結する。
・日常的に個人情報保護教育などを実施する。
・社員が退職する際にも再度「個人情報の非開示契約」を締結する。
といった日常的な取り組みが必要であり、

万が一退職時に顧客名簿を持ち出すようなことがあった場合には、
・損害賠償請求訴訟などを起こす。
ことを決めておくべきだと思います。

しかし、いずれにせよ、どうしてこういう一面的な見方しかしていない内容が日経新聞の法務面に堂々と掲載されるのでしょうか?非常に不思議です。同様のことは実は一年前にも起こっていて、一年前にも本Blog上で指摘しています。

http://blog.optima-solutions.jp/archives/50759061.html

VISA Inc.は、11月13日付けで、JCB・AMEX・MasterCard・VISAなどの国際的なクレジットカード会社5社で策定した「PCIDSS(Payment Card Industry Data Security Standard)」というセキュリティ基準について、全世界の加盟店に適用される実施期限を発表した。

これによると、2009年9月30日までに、VISAカードの取引件数が100万件以上の大規模な加盟店に関して、磁気ストライプのデータなどのカード情報の保管禁止が実行されます。

また、2010年9月30日までに、VISAカードの取引件数が600万件以上の超大規模な加盟店に関して、PCI DSSを完全に遵守したとの証明書を提出することを求めています。

同社は、これらに関して加盟店が従われない場合には、罰金を科すことがあるとしています。

(私のコメント)
ついにPCI DSSが本格的に動き出しましたね。まだまだ適用は大規模な事業者に限られますが、今後、このPCI DSSを規範として、カード会社が主導して流通業やサービス産業にセキュリティ対策が広められていくものと考えられます。

http://www.visa-asia.com/ap/jp/mediacenter/pressrelease/NR_JP_131108.shtml

https://www.netsecurity.ne.jp/pcidss/

JCB・AMEX・MasterCard・VISAなどの国際的なクレジットカード会社5社は、「PCIDSS(Payment Card Industry Data Security Standard)」というセキュリティ基準を共同して提唱していますが、これが10月1日付けで改訂され、その中で、無線LANの暗号化方式として「WEP」を使用することを禁止する方向が示されているとのことです。

このPCIDSSとは、クレジットカード会社が提唱している情報セキュリティ基準ですが、言ってみれば「これに従っていない場合、あなたの会社で情報漏えい事故が発生したら、最悪の場合はあなたの会社の責任になりますよ」という、かなり強制力を持つものです。

今回のVer.1.2への改訂にあたり、無線LANの暗号化方式である「WEP」は、「2009年3月31日以降は新規利用を禁止」「2010年6月30日までに既存システムを別の方式に切り替えること」とされました。

背景としては、米国小売大手TJ Maxxにおける大規模なクレジットカード情報流出事件の主要な原因が、WEPのセキュリティが破られたことにあること、10月のCSS2008(コンピュータセキュリティシンポジウム2008、沖縄で開催)においてWEPを容易に瞬時に解読できる方式を森井昌克・神戸大学大学院教授らのグループが発表したことなどがあると考えられます。

(私のコメント)
これは、当たり前のことと言えましょう。はっきり言って、WEPを使っているお店や喫茶店に行って、無線LANを立ち上げて傍受しているだけで、クレジットカード情報が手に入ってしまう状態になるわけですから、このような対策が求められるのは当然のことです。

しかし、私の会社でも、無線LANの方式をWEPから、AESに切り替えたのですが、特定のパソコンで通信速度が極端に遅くなる事態が発生したりして、なかなかうまくいかないのも事実です。あくまで特定の事象だと思いますが、セキュリティ対策のために不便になると、鬱憤がたまったりするので、困ったものです(笑)。

http://www.itmedia.co.jp/enterprise/articles/0810/15/news031.html
http://blog.optima-solutions.jp/archives/51238625.html

↑このページのトップヘ