プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: 個人情報保護法

2023-02-17_10h40_08
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

ソフトウェア大手のソースネクスト株式会社は、同社のWebサイトが不正アクセスを受け、カード情報を含む個人情報約12万件が漏えいした可能性があると2月14日に発表しました。

今回漏えいとされる情報は、下記の通り。

(1)2022年11月15日〜2023年1月17日の間に同社サイトで製品を購入した利用者
 個人情報120,982名分
 (氏名、メールアドレス、郵便番号、住所、電話番号 ※一部は任意入力)

(2)上記のうち、クレジットカード情報を登録した利用者
 カード情報112,132名分
 (カード名義人名、クレジットカード番号、有効期限、セキュリティコード)

今回の漏えいにより、実際にクレジットカードの不正利用が行われており、同社ではクレジットカード会社と連携してのモニタリング、カード再発行の手続き(費用は同社負担)などを進めているとのことです。

同社では、今回の原因について「サイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため」 としています。さらにQ&Aページの中で「当社ではお客様のクレジットカード情報は一切保有しておりません。 本件では悪意のある第三者によりweb サーバ上に不正なコードが追加され、お客様が注文フォームに入力した情報を外部に送信する動作をしておりました」と記載しています。つまり同社はカード情報不保持の方針は遵守していたものの、Webサイトに何らかの変更が加えられたことにより、利用者がカード情報や個人情報を入力するたびに情報を吸い取られていたということのようです。

発覚から公表までの経緯をまとめておきます。

1月4日 クレジットカード会社から連絡を受ける
1月5日 Webサイトでのカード決済を停止
1月5日 第三者調査機関による調査を開始
1月6日 個人情報保護委員会に報告(速報と思われます)
1月10日 所轄警察署に被害申告
1月13日 総務省関東総合通信局に報告(電気通信事業者のため?)
1月17日 不正プログラムの特定と削除が完了
1月23日 調査機関による調査が完了
2月14日15時 本人へ通知メール発信
2月14日 公表

https://www.sourcenext.com/support/i/2023/0214_info/?i=gtnews

(私のコメント)
4月から改正された個人情報保護法では、カード情報の漏えいや、1000人以上の個人情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から約1カ月でした。

同社のリリースには「公表までに時間を要した経緯について」という項目があり、「漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。」との丁寧な言葉があります。

ただし、今回のような緊急事態に対し、同社の動きは適切なものであり、特に不正アクセスの対応の場合には、発覚から公表までは早くても1か月程度はかかると考えるべきなのではないかと考えます。

(過去の記事)
ワコム公式ストアからカード情報などが流出〜発覚から公表まで3カ月かかる〜
https://www.pmarknews.info/accident/52165607.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

【続々報】破産者情報公開サイトに対し、個人情報保護委員会が刑事告発
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、サービス提供の即時停止に関する「勧告」「命令」を行ったものの、それが実行されていないとして、刑事告発を行ったと1月11日に発表しました。

PPCによる「勧告」「命令」とは、個人情報保護法第145条に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うことを指示する段階的な行為です。これに対して、居所不詳の運営者は一切対応せず、Webサイトの運営を続けたことから、個人情報保護法の罰則規定に基づいてPPCが刑事告発したということのようです。

このWebサイトを運営しているサイトには、「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があり、そのような言い訳は通用しないと考えるべきです。

https://www.ppc.go.jp/news/press/2023/230111/

「勧告」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52161055.html

「命令」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52164899.html

(私のコメント)
インターネットが登場して以来、
「海外のWebサーバーを利用しているから違法ではない」
「匿名ネットワークを介しているから発信者はばれない」
「ビットコインで決済するから匿名で換金できる」
というようなことがまかり通ってきたのは事実です。

今回のPPCの取り組みは、そういうインターネットの負の側面に光を当てる結果となるのかどうか、今後も注目してきたいです。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

ワコム公式ストアからカード情報などが流出〜公表まで3カ月かかる〜
(画像は同社のWebサイト)

皆さんこんにちは。
プライバシーザムライ中康二です。

タブレット製品で有名な株式会社ワコムが、同社の運営する「ワコムストア」において、不正アクセスを受けて、カード情報ほかが漏えいしたと11月21日に発表した。

今回漏えいとされる情報は、下記の通り。

(1)2022年2月19日〜4月19日の間の「ワコムストア」での購入者
 クレジットカード情報最大1,938件
 (名義人名、カード番号、有効期限、セキュリティコード、Eメールアドレス)

(2)2021年2月22日〜2022年4月19日の間の「ワコムストア」の利用者
 個人情報最大147,545名分
 (氏名、郵便番号、住所、電話番号、メールアドレス、性別、会員IDなど)

同社のリリースでは詳細が明確に書かれていないため、原因は不明ですが、どうもWebサイトに改ざんが加えられて、情報を吸い取られたような印象を受けます。またこの事件とは関係なく、同社では4月19日にシステムの全面入れ替えを行ったため、その日で漏えいが止まったということのようです。

そして、8月にクレジットカード会社からの連絡を受け、今回の発表に至ったとのことです。発表に至るまでの流れは下記の通り。

8月19日 クレジットカード会社から連絡を受ける
8月22日 「ワコムストア」での販売・カード決済を停止
8月22日 個人情報保護委員会に報告(速報と思われます)
8月30日 第三者調査機関による調査を依頼
9月30日 調査機関による調査が完了
10月3日 埼玉県警に被害申告
10月17日 個人情報保護委員会に報告(確報と思われます)
11月21日 公表

https://estore.wacom.jp/ja-JP/info/202211

(私のコメント)
4月から改正された個人情報保護法では、カード情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から3カ月を要しています。これは残念ながら「速やかに」とは言えないと思います。

実際にカード情報が漏えいし、不正利用されているのですから、これが放置されていたとしたら由々しき事態です。もしかしたらカード情報が漏えいした1,938件については、本人には漏えいなどの詳細は伝えられないまま、カード会社側で停止/再発行が行われたのかもしれないなと思います。そうでないと、二次被害がどんどん拡大しますからね。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

破産者情報公開サイトに対し、個人情報保護委員会が提供停止の命令〜刑事告発の段階へ〜
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、サービス提供の即時停止を「勧告」したところ、勧告が実施されていないため、次の段階である「命令」を行ったと、11月2日に発表しました。

個人情報保護委員会による「命令」とは、個人情報保護法第145条2項に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うように命令する行為です。個人情報取扱事業者が一つ前の段階の「勧告」に従わず、個人の重大な権利利益の侵害が切迫していると認識されたため「命令」が行われたようです。

このまま命令にも従われなかった場合には、第173条の罰則規定に基づき、1年以下の懲役または100万円以下の罰金の対象となり、個人情報保護委員会は、刑事告発の準備を進めているとしています。

なお、このWebサイトを運営しているサイトには、「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があり、今回の個人情報保護委員会の対応はこの規定を適用したものと思われます。

https://www.ppc.go.jp/news/press/2022/221102-1/

「勧告」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52161055.html

(私のコメント)
社会的に許されないと考えられる行為が発生し、当初はそれに対応した法律がなく、放置されている。それに対応するべく法律が改正され、それに基づく規制が当局によって適用されていく。

もちろん、こういうことは社会の様々な局面で過去からずっと続いてきていると思いますが、個人情報保護法は新しい法律でもあり、そういう状況をリアルタイムでウォッチでき、興味深いなあと思っております。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Image_20221007_112209_709
(画像はくるまのニュースより)

皆さんこんにちは。
プライバシーザムライ中康二です。

自動車のナンバープレートから、個人を特定できることはできるのでしょうか?
企業が個人情報を適切に取り扱ううえで、ナンバープレートの情報はどのように扱うべきなのでしょうか?

参考になる記事を見つけましたので、共有したいと思います。

この記事では、下記のように記しています。
・(軽自動車・二輪を除く)登録車には、車検証と同じ内容が記された「登録事項等証明書」の発行サービスがある。これにはもちろん所有者の氏名、住所などの個人情報が記載されている。
・「登録事項等証明書」は誰でも請求できるが、請求する際、ナンバープレートの番号に加えて、「車体番号」も必要である(2007年法改正により施行)。
・車体番号は車の本体に刻印されている番号であり、所有者以外には容易に見ることができないものである。
・また請求時、取得理由の確認や、請求者の本人確認も行われる。
・軽自動車の「検査記録事項等証明書」は、そもそも所有者しか取得できない。
ということです。

上記の内容を総合すると、自動車のナンバープレートの情報があったとしても、「他の情報と容易に照合することにより特定の個人を識別できる」とは言えません。

すなわち、通常の企業の場合には、ナンバープレートの情報があったとしても「個人情報ではない」としてよいと言えると思います。

ただし、自動車保険会社のように、自動車のナンバープレートの情報を個人情報と関連付けて登録しているような場合には、もちろん個人情報になりますので、ご注意ください。

また余談ですが、警察当局は自動車登録情報のデータベースにアクセスする権限を持っていますから、犯罪捜査などの目的であれば、自動車のナンバープレートから所有者情報を容易に知ることができるようになっています。ご参考まで。

個人を特定できる!? ナンバープレートで個人情報は分かるのか SNSアップ問題ない?(くるまのニュース)
https://kuruma-news.jp/post/554194

【用語集】個人情報の定義は何ですか?どこまで含まれるのですか?
https://www.optima-solutions.co.jp/archives/5935

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報保護委員会
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、7月20日に、サービス提供の即時停止を勧告しました。

個人情報保護委員会による「勧告」とは、個人情報保護法第145条に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うように強く指示することです。個人情報取扱事業者が勧告に従わなかった場合には、次の段階の「命令」を行うことになります。命令にも従わなかった場合には、第173条の罰則規定に基づき、1年以下の懲役または100万円以下の罰金の対象となります(刑事罰となりますので、当局による取り調べ、逮捕拘留などののち、裁判にかけられることになると思われます)

今回、適法性が問われているのは
個人情報保護法第19条(不適正な利用の禁止)
個人情報保護法第21条1項(取得に際しての利用目的の通知等)
個人情報保護法第21条1項(第三者提供の制限)
とのことです。

特に、第19条の不適正な利用の禁止は、2022年4月施行の改正法で追加された内容で、今回が初の適用事例にあたるのではないかと思われます。

(不適正な利用の禁止)
第十九条 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

「違法又は不当な行為」とは、「個人情報保護法やその他の法令に違反する行為だけではなく、直ちに違法とはいえないものの、個人情報保護法やその他の法令の制度趣旨又は公序良俗に反するなど、社会通念上適正とは認められない行為をいう」とされ、今回の第19条は細かな規定によるのではなく、ざっくりと網をかけるように「不適正な利用」を禁止する内容となっています。

さらに、個人情報保護法ガイドライン通則編では、不適正な利用の例として、今回のような方法で個人情報を公開することを例示し、その違法性を直接的に説明しています。

【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】
事例2)裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合

それにも関わらず、今回また同じような方法により破産者の情報を公開するWebサイトが現れたことに対して、個人情報保護委員会としては、厳しく対応する方針のようです。

なお、今回のWebサイトには海外のサーバーを利用していると記載されており、運営者も海外にいる、または運営者の居住地が分からないのではないかと思われます。そのため、個人情報保護法第160条に新設された「公示送達」の規定を利用したとのことです。

https://www.ppc.go.jp/news/press/2022/220720/

(私のコメント)
2019年ごろから、官報に掲載された破産者情報を地図上にマッピングして一覧できるようにするWebサイトが作成され、そのたびにネットユーザーの非難にあって炎上したり、個人情報保護委員会が指導したりして停止に追い込まれるということを繰り返してきています。

今回問題となっているサイトは、過去10年以上の自己破産者(数百万人程度と思われます)の情報を掲載し、削除希望する場合には、6万円分のビットコインを送金するようにと記載しています。一種の「恐喝」に近い方法で運営されており、社会的に見ても全く許されない行為だと思います。

サイトには「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があります。今のようなことは許される行為ではなく、このままいくと運営者は処罰を免れないと考えられます。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

影島弁護士
(画像はYoutubeより)

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

改正個人情報保護法に関して、影島弁護士による詳細解説動画が公開されています。

これは、7月1日に開催されたWebセミナーの記録動画であり、
8月1日までの期間限定公開とのことです。

タイトル:「抜け漏れ再チェック!全面施行直後、改正個人情報保護法の実務対応ポイント」
講師:牛島総合法律事務所 弁護士 影島広泰氏
主催:一般財団法人日本情報経済社会推進協会(JIPDEC)

https://www.youtube.com/watch?v=-IWyxzEAEdc

(私のコメント)
とてもクオリティの高い内容になっておりますので、本サイトでもご紹介させていただきました。なお、内容に関しては、あくまでも影島氏の見解・意見ですから、そのようなものとして取り扱ってください。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022-06-24_11h48_51
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

日本の個人情報保護の総元締めである個人情報保護委員会(PPC)が、6月10日に昨年度の年次報告を公開しました。

その内容によると、昨年度の一年間で国内の民間事業者が起こした個人情報の漏えい事件の報告件数が5,846件となり、一年前の4,141件から増加したとのことです。

このうち、委員会に直接報告されたのが1,042件、監督官庁を経由しての報告が2,386件、認定個人情報保護団体を経由しての報告が2,418件とのこと。

これに対して、報告の徴収を実施したのが329件、立ち入り検査を行ったのが4件。

その結果として、指導及び助言を行ったのが217件、法的に強制力を持つ勧告を行ったのが3件、さらに厳しい命令を行ったのが1件となっています。この命令の1件は官報に掲載された破産者のデータを集約してインターネット上で公開していたWebサイトに対するもので、勧告を行ったのに従われなかったために実施したものとのことです。

年次報告
https://www.ppc.go.jp/aboutus/report/

実施した命令の詳細
https://www.ppc.go.jp/files/pdf/220323_houdou.pdf

個人情報の漏えい等の報告フォーム
https://www.ppc.go.jp/personalinfo/legal/leakAction/

(私のコメント)
個人情報の漏えいに関する報告は、4月1日の改正法の施行により、全ての民間事業者の義務となりました。ですから、今後はさらに数字が増えていくものと思われます。また、認定個人情報保護団体を経由しての報告は廃止されますので、皆様ご注意ください。

しかし、年間予算39億円で、よくここまでの活動が継続されているものだと思います。本当に政策の運営というのはお金の問題ではないのだと思います。今後も個人情報保護委員会のリーダーシップの下、私も日本の個人情報保護の取り組みに協力していきたいと考えています。

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報を考える週間
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

日本の個人情報保護の総元締めである個人情報保護委員会(PPC)。

今回もアジア太平洋プライバシー機関(APPA)に参加する各国の個人情報保護当局と歩調を合わせ、5月30日から6月5日まで国内でも「個人情報を考える週間」と銘打って集中的に情報発信しています。

今回、PPCでは、事業者向けに下記の3点を注意喚起しています。

(1)電子メールを一斉に送信する際、ToやCcで送信しないこと
(2)クラウドサービスを利用する際、設定をよく確認してから個人情報を格納すること
(3)個人情報を取得する際に、分かりやすく具体的に利用目的を表示すること

また、個人向けには下記の3点を注意喚起しています。

(1)集合写真を撮影して安易にSNSなどにアップすること
(2)知り合いの連絡先を無断で教えること
(3)利用規約の内容をよく読まずに同意すること

いずれも重要な指摘です。

私たちは、事業者としても、個人としても、もっともっと意識を向上させていかなければならないと思います。


個人情報保護委員会「個人情報を考える週間」
https://www.ppc.go.jp/news/privacy_awareness_week/

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

漏えい時の個人情報保護委員会報告と本人通知の義務化
(画像は個人情報保護委員会Webサイトより)

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

4月から施行された改正個人情報保護法では、個人情報が漏えいなどした際に「個人情報保護委員会への報告と本人通知」を行うことが義務付けられました。今回はこのことについてまとめておきたいと思います。

あれ?これまでも個人情報保護委員会への報告義務あったよね?と思われる方がおられるかもしれませんが、従来は「努力義務」なのでした。今回の法改正から正式に義務化されました。

(1)個人情報保護委員会への報告と本人通知の対象となるのはどんな時?

まず、個人情報保護委員会への報告と本人通知の対象となるのは、下記の4つの場合になり、これらを報告対象事態といいます。(個人情報保護法第26条(第1項)→個人情報保護委員会規則第7条)

●要配慮個人情報が含まれる個人データの漏えい等の場合
●不正利用されることにより財産的被害が生じるおそれがある個人データの漏えい等の場合
(決済可能なサービスのアカウント情報や、クレジットカード番号など)
●不正の目的をもって行われたおそれがある個人データの漏えい等の場合
(不正アクセスの被害を受けた場合)
●個人データにかかる本人の数が1000人を超える漏えい等の場合

(2)個人情報保護委員会への報告はどのように行う?

個人情報保護委員会への報告は、まず「速やかに」行うこととされています。個人情報保護法ガイドラインでは「おおむね3〜5日以内」としています。この段階で、分かる範囲の情報を「速報」として報告することとされます。

さらに、30日以内(不正アクセスを受けた場合は60日以内)に確定した情報を「確報」としてもう一度報告することとされました。

これらの報告は、個人情報保護委員会のWebサイトに専用のフォームがあり、そこから入力する形で行います。このフォームはある程度しっかりしたもので、入力した結果をCSVでインポート/エクスポートしたり、PDFファイルとしてダウンロードすることもできるものとなっています。

なお、金融機関(金融庁)、不動産事業者(国土交通省)、クレジット業界(経済産業省)など、特定の業種の場合は、それぞれの官庁(権限委任官庁)に報告することとされています。

また、従来は認められていた認定個人情報保護団体を介しての報告は廃止になりました。ご注意ください。

(3)本人通知はどのように行う?

本人通知は、通常は郵便や電子メールなどの方法を用いて、本人に直接知らせることとされます。

こちらは「当該事態の状況に応じて速やかに」行うこととされます。特に何日というような指定はありませんが、(2)の「速やかに」が3〜5日であることを考えると、何か月も経過してからでは遅すぎるということになると思われます。ただし、通知を行うことによりさらに被害が拡大することが想定されるような場合には通知を遅らせることが認められます。

詳細は、下記のガイドラインをご参照ください。

個人情報保護法ガイドライン(通則編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/

個人情報保護委員会・報告用フォーム
https://www.ppc.go.jp/personalinfo/legal/leakAction/

(私のコメント)
今回の義務化により、今まで以上に個人情報保護委員会が日本全体の個人情報の取り扱いに関してコミットする立場が明確になり、事業者から見ても、分かりやすくなったと思います。現代の日本において、積極的にビジネスを展開すればするほど、個人情報の漏えいなどはあり得ることです。万が一の際に備えて、上記の内容を理解しておいてください。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

外国における個人情報の保護に関する制度等の調査
(画像は個人情報保護委員会Webサイトより)

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

4月から施行された改正個人情報保護法では、個人情報を海外移転する際に「外的要因の把握」を行うことが義務付けられました。今回はこのことについてまとめておきたいと思います。

まず、個人情報の海外移転の注意点については、別の記事で取り上げましたので、ご参照ください。

改正個人情報保護法>個人情報の海外移転に関する注意点をまとめます
https://www.pmarknews.info/kojin_joho_hogo_ho/52157329.html
海外クラウド利用は「外国にある第三者」にならないと考えてよさそうです。
https://www.pmarknews.info/kojin_joho_hogo_ho/52155459.html

さて、上記の二つの記事では、個人情報を海外に移転してよいのはどういうケースなのかについて説明しました。しかし、まだそれだけでは足らないのです。

個人情報を海外に移転する際には、移転先の国の個人情報保護法制などを把握し、必要かつ適切と考えられる個人データの安全管理措置を講ずる必要があるのです。これを「外的環境の把握」の義務といいます。

個人情報保護法第23条(安全管理措置)
 →個人情報保護法ガイドライン通則編
  10(別添)講ずべき安全管理措置の内容

10-7 外的環境の把握
個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。

また、今回の法改正から、保有個人データに関する事項の公表の中に、その「保有個人データに対して実施している安全管理措置」が含まれましたので、外的環境の把握を行っていることもそこに記載することが必要となります。ただし、これは「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置く」というものですから、必ずしもWebサイトなどで公表する必要はなく、本人から求めがあった場合だけ回答することでも認められます。

個人情報保護法第32条(保有個人データに関する事項の公表等)
 →個人情報保護法ガイドライン通則編
  3-8-1 保有個人データに関する事項の公表等(法第32条関係)
 →【安全管理のために講じた措置として本人の知り得る状態
  に置く内容の事例】

(外的環境の把握)
事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施(※8)


(※8)外国(本邦の域外にある国又は地域)の名称については、必ずしも正式名称を求めるものではないが、本人が合理的に認識できると考えられる形で情報提供を行う必要がある。また、本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましい。

結論として、このようになります。

(1)自社の管理している個人データが、地球上のどこに存在しているのか把握する。

この場合、海外のクラウドに保存している場合も含めて把握する必要があります。

(2)自社の管理している個人データに対して、アクセス権を設定している人や法人が、地球上のどこにいるのか把握する。

これは、下記の通り、アクセス権を設定しているだけでも個人データの提供にあたるからです。
個人情報保護法ガイドライン通則編
2-17「提供」
「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。

(3)上記で把握された国・地域における個人情報保護法制を把握し、必要と思われる安全管理措置を講じる。

この際、個人情報保護委員会のWebサイトに掲載されている「外国における個人情報の保護に関する制度等の調査」を参考にすることができます。

ここで、中国のように、政府の権限が大きな国に個人データが存在している/アクセス権が設定されている場合には、少し危機感を持って再検討していただく必要があります。

LINE事件では中国の委託先に対してアクセス権を設定していたことが問題視されました。それが本当に必要なのかどうか、それで自社の個人データはしっかり守られるのか、じっくり検討して、必要な措置を取ることが求められます。

(4)保有個人データに関する事項の公表等の中に、少なくとも「個人データを保管している●●国における個人情報の保護に関する制度を把握した上で安全管理措置を実施」と国名を列記して記載する。

もう少し親切にする場合には、各国の個人情報保護法制などの調査結果も記載する。

ということです。ここまでやれば、個人情報取扱事業者としての対応としては100点満点です👧

個人情報保護委員会「外国における個人情報の保護に関する制度等の調査」
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku

その他の参考URL
改正個人情報保護法(2022年4月施行)
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
個人情報保護法ガイドライン(通則編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
個人情報保護委員会資料
https://www.meti.go.jp/policy/it_policy/privacy/ppc_privacy_governance_seminar3.pdf

(私のコメント)
前回の「個人データの海外移転」に続き、今回は「外的要因の把握」に関する情報をまとめてみました。この内容も、法律/ガイドラインなど散在する情報を総合的に勘案しないとなかなか理解できない状態になっていて、理解しずらくなっていると思いました。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

外国にある第三者への提供が認められる場合

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

4月から施行された改正個人情報保護法について、最も混乱していると思われるのが「個人情報の海外移転」に関する事項です。

いろんな情報が交錯していて、なかなかうまくまとまった情報がありませんので、この記事でまとめておきたいと思います。

まず、改正個人情報保護法の下で、外国にある第三者への提供が認められるのは、上記の図の4つの場合のみとなります。これを順番に説明していきます。

なお、国内法人に対する場合と異なり、「委託」がこの例外とはならないことによく注意してください。委託の場合も下記の条件を満たす必要があります。

また、提供とは、個人データを自己以外の者が利用可能な状態に置くことを指し、個人データが物理的に提供されていない場合であっても、ネットワーク等を利用することにより個人データを利用できる状態にあれば(利用する権限が与えられていれば)、提供にあたるとされています。つまり、実際に海外に移転していなくても、海外の第三者からアクセス権が設定されている場合には、外国にある第三者への提供となります(2021年のLINE問題では中国の委託先から日本のデータベースにアクセス権を設定していたことが問題になりました)。こちらもご注意ください。
個人情報保護法ガイドライン 2-17「提供」
(個人情報保護法ガイドライン 2-17「提供」)

(1)日本と同水準の個人情報保護制度のある外国の場合

日本と同水準の個人情報保護制度のある外国にある事業者に対する提供(委託)は、認められます。具体的にはEU加盟国と英国となります。(第28条第1項)
日本と同水準の個人情報保護制度のある外国
(個人情報保護委員会資料より)

(2)基準に適合する体制を整備した事業者の場合

次に提供先(委託先)が、個人情報保護委員会が定める基準に適合する体制を整備している場合には、認められます。

ただし、下記の3つの条件を満たす必要があります。

国内の個人情報取扱事業者が講ずべき措置に相当する措置(相当措置)を継続的に講ずるため、下記のA)B)のいずれかを整備すること。(第28条第1項)

 A) 契約を交わすなどの方法により、相当措置の実施を確保すること。相当措置には、下記の20の項目が含まれます。
2022-04-14_21h34_19
(個人情報保護法ガイドライン・外国にある第三者への提供編より)

 B) 提供先が、個人情報の取扱いに係る国際的な枠組みに基づく認定を取得していること(APEC CBPRシステムの認証など)

提供先(委託先)における相当措置の継続的な実施を確保するために必要な措置として、下記のA)B)C)全てを実施すること。(第28条第3項)

 A) 相当措置の実施状況、相当措置の実施に影響を及ぼすおそれのある外国の制度の有無及び内容を定期的に確認すること
 B) 相当措置の実施に支障が生じたときは、必要かつ適切な措置等を実施すること
 C) 相当措置の継続的な実施の確保が困難となったときは提供(委託)を停止すること

K椰佑らの求めを受けた場合には、本人に対して下記の情報を遅滞なく提供すること。(第28条第3項)

 A) 提供先(委託先)が相当措置を実施するための体制の整備の方法
 B) 提供先(委託先)が実施する相当措置の概要
 C) 提供先(委託先)による相当措置の実施に影響を及ぼすおそれのある外国の制度の有無と内容に関する確認の頻度と方法
 D) 当該外国の名称
 E) 提供先(委託先)による相当措置の実施に影響を及ぼすおそれのある外国の制度の有無とその概要
 F) 提供先(委託先)による相当措置の実施に関する支障の有無とその概要
 G) 前号の支障に関して当該個人情報取扱事業者が講ずる措置の概要

(3)一定の事項を開示した上で、本人同意を取る場合

本人同意があれば、外国にある第三者への提供は認められますが、今回の法改正で、同意の前に以下の情報を提供することが義務付けられました。(第28条第2項)

当該外国の名称
当該外国における個人情報の保護の制度に関する情報
提供先(委託先)が講ずる個人情報の保護のための措置

(4)クラウドサービスで個人データを取り扱わないこととなっている場合

クラウドサービスの場合、海外の事業者であったり、海外のデータセンターを利用している場合がありますが、この場合であっても、そのクラウド事業者が自社の個人データを取り扱わないこととなっている場合には、そもそも提供にも委託にもならないとされます。(個人情報保護委員会Q&A Q12-3)

このことについては、別に記事を書いていますので、参考にしてください。
https://www.pmarknews.info/kojin_joho_hogo_ho/52155459.html

(追加)外的環境の把握の義務があります

上記(1)から(4)の条件に加えて、外国において個人データを取り扱う場合には、安全管理措置の一環として「外的環境の把握」が求められます。これは、どの国で個人データを取り扱っているのかを明確にし、その国における個人情報の保護に関する法制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じることを指しています。(第23条)
個人情報保護法ガイドライン通則編 10(別添)講ずべき安全管理措置の内容
(個人情報保護法ガイドライン通則編 10(別添)講ずべき安全管理措置の内容より)

さらに、保有個人データに関する公表事項に安全管理措置が含まれたことから、上記で把握した「外的環境の把握」の内容についても、公表に含めることとされました。(第32条第4項)
個人情報保護法ガイドライン 3-8-1 保有個人データに関する事項の公表等
(個人情報保護法ガイドライン 3-8-1 保有個人データに関する事項の公表等)

とはいっても、各社が独自に諸外国の個人情報保護法制を調査することには困難もあることから、個人情報保護委員会が一定の国について調査を行い、その結果をWebサイト上で公表しています。

https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku

特に中国における個人情報保護法制については、厳しい内容が報告されています。
中華人民共和国に関する調査結果
(中華人民共和国に関する調査結果)

参考URL
改正個人情報保護法(2022年4月施行)
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
個人情報保護法ガイドライン(通則編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
個人情報保護法ガイドライン(外国にある第三者への提供編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/
個人情報保護委員会資料
https://www.meti.go.jp/policy/it_policy/privacy/ppc_privacy_governance_seminar3.pdf

(私のコメント)
以上、個人データの海外移転に関する情報をまとめてみました。正直申し上げて、この内容は法律とガイドラインだけ見ていては、とても理解しづらいと感じました。今回の記事で骨組みは表現できたと思いますが、いかがでしょうか?また、最後の「外的環境の把握」については、もう少し詳細を調査して別の記事でご紹介したいと思います。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ