プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2022年02月

2022-02-25_11h34_40
(画像は個人情報保護法ガイドラインQ12-3より)

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

先日、個人情報保護法改正&プライバシーマーク新審査基準対応のためのプライバシーマーク担当者勉強会を開催した際、いくつか気づいたことがありましたので、このWebサイト上でも何回かに分けて取り上げたいと思います。

今回取り上げるのは、「海外クラウド利用は外国にある第三者になるのか」ということです。

2022年4月に施行される改正個人情報保護法第24条では、外国にある第三者に個人データを提供する場合には、下記のいずれかの条件を満たすこととされます。

(1)提供先が、日本と同等の水準の個人情報保護法制が敷かれた国に存在する場合(具体的には十分性認定がなされたEUと英国)

(2)提供先が、個人データの取扱いについて日本の個人情報取扱事業者と同等の水準の措置を講じている場合(契約や提供先の内部規程などでそれが確認できること、またはAPECのCBPR認証を受けていること)

(3)本人に対して、外国にある第三者への提供に関する一定の情報提供を行い、本人からの同意が得られていること

しかも、この第24条は「委託」が例外とはされておらず、委託の場合も同様の条件を満たすこととされています。そうすると、海外クラウド利用の場合にはどうなるのかということが懸案になっていました。

例えば、こんなことが考えられました。

Google Workspaceを利用している場合で、安い契約では、サーバーの存在する地域(リージョン)を選べない場合があり、そうすると、知らない国に置かれることになるから、上記の(1)(2)を実施できず、本人同意が必要になる?いやしかし本人同意と言っても、メールを送ってくる人にいちいち同意なんか取れない!では高い契約に切り替えないといけないのか?

AWSを利用していて、今までは地域分散も考えて日本とシンガポールのデータセンターを利用していたが、全部日本に集約しなければならないのか?

日本では提供されていない専門的な内容の、米国の会社が提供する人事管理クラウドを利用しているが、この利用を継続するにあたり、社員全員から同意を取るのは煩雑だなあ。

これに関して、個人情報保護委員会がまとめている個人情報保護法ガイドラインのQ12-3に参考になる情報がありました。

個人情報取扱事業者自らが外国に設置し、自ら管理・運営するサーバに個人データを保存することは、外国にある第三者への提供(法第 24 条第1項)に該当しません。
→例えば、AWS上に自社でサーバーを構築している場合、そこに含まれる個人データをAmazonに提供するわけではないから、それがどこのリージョンであったとしても外国にある第三者への提供にはならない。

個人情報取扱事業者が、外国にある事業者が外国に設置し、管理・運営するサーバに個人データを保存する場合であっても、当該サーバを運営する当該外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法第 24 条第1項)に該当しません。ここでいう「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます(Q7−53 参照)。
これは「委託先」の定義に立ち返って理解する必要があります。委託先とは「個人データの取扱いの全部又は一部を委託する」相手のことであり、委託にはその個人データの内容を確認して、何らかの処理を行うことが含まれます。
クラウドサービスに個人情報を保存した場合に、その内容をクラウド事業者が内容を確認して、何らかの処理を行うのだとすれば、これは「委託」となり、その場合には上記の(1)(2)(3)のいずれかを満たす必要が出てきます。
しかし、クラウドサービスに個人データを保存したとしても、クラウド事業者がその内容を確認するのではなく、何らかの処理を行うのもなく、単にシステムの機能を用いて見やすく表示したり、集計したりするだけである場合には「委託」にはならないし、そもそも外国にある第三者への提供にもならない。クラウド事業者側が内容を見ないことが契約条項などにより明確にされていて、必要なアクセス制御も行われているのであれば、上記(1)(2)(3)に従う必要はない。


ということが分かりました!

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

(追加:2022年3月5日)
本記事に関連し、「プライバシーマーク制度では倉庫・データセンター系は委託先として管理しなければならないこととの整合性」について質問を受けましたので、下記を追記いたします。
JIS Q15001:2017の附属書B(解説)には、下記のような記述があります。
2022-03-05_14h15_05
この解説の内容は、依然として有効なものであり、今後もプライバシーマーク認定事業者としては、倉庫データセンター系の相手を委託先としてリストアップし、必要な覚書などを交わさなければならないと考えます。ただし、外国にある第三者への提供にはならないということです。

(私のコメント)
個人情報保護委員会の出すQ&A情報により、このような形でいろいろなことが明確に整理されていくのはうれしく思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Yahoo!ジャパンのプライバシーポリシー
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

ヤフー株式会社は、4月からの個人情報保護法改正に対応するため、自社のプライバシーポリシーを改定すると発表しました。

今回の主な改訂点は以下の通りです。

(1)個人関連情報の取扱いに関する説明の追加
(2)安全管理措置の具体的な内容説明を追加
(3)口コミ等の公開情報の取扱いの明確化
(4)従来の規定の明確化
(5)お問い合わせ窓口に関する説明追加

特に今回の個人情報保護法改正の目玉でもある「個人関連情報の提供」に関する内容が気になりますよね。

同社では
・Yahoo!広告を表示したWebサイトのURLとクッキーを取得することにより、アクセス履歴を取得
・Yahoo!広告のクリック履歴を取得
という2段階の方法を中心として、一般のWeb利用者の興味関心などを取得しているものと思われます。

そしてその情報をYahoo!アカウント(個人情報)と紐づけており、これが個人関連情報の提供を受ける事例になるものと思われます。

このことについて、同社では今後、必要に応じて同意取得の仕組みを用意して、本人同意が得られた場合のみ紐づけを行うとして、プライバシーポリシー上には下記のように記載しています。

本条に定める利用には、当社が取り扱うお客様等のYahoo! JAPAN ID、パートナーのID、広告ID(Advertising Identifier(IDFA)およびGoogle Advertising Identifier(AAID)を含みますがこれに限りません)、クッキーその他の各種識別子を紐づけて管理し、利用する場合を含みます。また、それに限らず、当社は、パートナーより受領するウェブページの閲覧履歴・検索履歴、パートナーが運営する店舗やショッピングサービス等での購買履歴、位置情報等の行動履歴、暗号化されたメールアドレス、クッキー、広告ID等の個人関連情報を、当社の保有するパーソナルデータと紐づけたうえで利用します。ただし、当該紐づけにあたり、個人情報の保護に関する法律(以下「個人情報保護法」といいます)によりお客様等の同意が必要な場合には、個人情報保護法および関連するガイドラインに従った態様で本プライバシーポリシーに同意いただいた場合にのみ紐づけを行います


またもう一点気になる海外移転の件については、下記のように国名を列記することで、明確にしようとしているようです。

提供・委託先の国または地域の例
パーソナルデータの提供・委託先には、以下の国または地域が含まれます。
・イギリスおよびEEA加盟国(例:フランス、ドイツ、スウェーデン、フィンランド、アイルランド)
・欧州委員会から十分性認定を受けた国または地域(例:スイス、イスラエル)
・APEC CBPR参加国(例:アメリカ、韓国、台湾、シンガポール、オーストラリア)


(「例」という表現が少し気になります。具体的に記載するべきプライバシーポリシーに「例示」は不適当だと考えています)

プライバシーポリシー改定のお知らせ
https://privacy.yahoo.co.jp/notice/202202.html

新しいプライバシーポリシー(2022年2月28日施行予定)
https://privacy.yahoo.co.jp/notice/202202_policy.html

海外パートナー企業へのデータ連携
https://privacy.yahoo.co.jp/connection/crossborder.html

(私のコメント)
私は、プライバシーポリシーは、簡潔に明確に記載するべきと考えています。特に昨年LINE事件が話題になった時には、LINEのプライバシーポリシーが長すぎてその割に不明確であることを指摘しました。

同社のプライバシーポリシーは、サービス内容が多岐にわたる巨大IT企業の割には従来からわかりやすい記載を実現しており、他社の皆さんにも参考にしていただけると思いますので、皆様も参考にしていただければと思います。

今回のLINEの問題をきっかけに「長すぎるプライバシーポリシー」に警鐘を鳴らす!
https://www.pmarknews.info/kojin_joho_hogo_ho/52140119.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2022-02-04_13h52_38

(画面は当社に実際に送られたemotetメールです)

皆さんこんにちは。
プライバシーザムライ中康二です。

2020年に大流行したエモテット(emotet)。
典型的なウイルスなのですが、拡散力が大きいために、
全世界で話題になりました。

2021年に欧州に散在していたエモテット発信の拠点が摘発され、
サーバーが停止されたことにより、一時的に被害は収まっていました。

しかし、また今年に入り、日本で流行が見られています。

特に今回は日本ならではの「パスワード付きZIP圧縮ファイル添付方式」
(いわゆるPPAP方式)の形状をしており、日本企業を狙い撃ちしている
内容となっています。

emotetに感染してしまうと、実在のメールアドレスや、
実際にやり取りされたメール本文が盗み取られ、
その内容やメールアドレスが次の攻撃に使用されます。

また、パソコンを乗っ取って、本人に成りすましてメールを発信することにより、
迷惑メールフィルターを通過する場合もあるようです。


いったん感染して、メールアドレスなどが持ち出されると、
理論上、そのアドレスを消去することはできず、
パソコンを初期化したとしても、
永遠にウイルスメールの送信に使用されることとなります。

取引先のアドレスを流出させてしまったりすると、
その取引先に迷惑をかけることになります。

対策として
(1)怪しい暗号化ZIP圧縮ファイルは絶対に開かないことを徹底する
(2)MS Officeファイルの「コンテンツの有効化」は絶対に行わないことを徹底する(*)
(3)ウイルス対策ソフトを最新版にしておくこと
をお勧めします。

エモテットは標的型攻撃とは違って、ばらまき型ですので、
ウイルス対策ソフトで対応できる場合が多いようです。


* エモテットは、MS Officeファイルのマクロ機能を使用する場合が多いようです。
添付ファイルを開くと、下記のような画面が出てきて、
「コンテンツの有効化」をクリックするように促されます。
これをクリックするとゲームオーバー。お使いのパソコンがエモテットに感染します。
emotet3
(画面はJPCERT/CCより)

参考URL
被害を受けたライオン株式会社からの案内
https://www.lion.co.jp/ja/pdf/20220203.pdf
過去のエモテットの記事
https://www.pmarknews.info/Information_security/52133013.html
https://xtech.nikkei.com/atcl/nxt/column/18/00676/030500073/

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

Yahoo!Japanが欧州からのサービス利用を停止すると発表
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

ヤフー株式会社は、同社が提供しているYahoo!ジャパンのWebサイトとしてのサービスを、2022年4月6日 (水)より欧州及び英国から利用できなくなると発表しました。

具体的な地域としては、
(1)欧州経済領域(EEA)=EU加盟28カ国+アイスランド/リヒテンシュタイン/ノルウェー
(2)イギリス
とのことで、まさにGDPRの適用対象地域(または同等の法規制を敷いている国)となります。

対象となるサービスは、Yahoo!ジャパンとしての全てのサービスのようで、Yahoo!メール/Yahoo!カード/ebookjapanだけは継続利用できるとしていますが、メールアドレスの新規作成はできないなど、縮小の方向のようです。

同社では、「利用いただける環境を継続的に提供することが困難になったため」としか説明していませんが、GDPRへの対応が負担になったことは間違いないと思います。

GDPRがスタートして4年。日本の大手ITの先頭を走る同社が、ここで欧州向けサービスをあっさりと割り切ったことは非常に興味深いです。インターネットに国境はなかったはずなのですが、どんどん国境が高くなっていっていますね。

https://privacy.yahoo.co.jp/notice/globalaccess.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

↑このページのトップヘ