プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: 個人情報保護法

【鉄則】ChatGPTなどの生成AIには個人情報を入力しないこと

皆さんこんにちは。
プライバシーザムライ中康二です。

ChatGPTをはじめとする生成AIの登場は、私たち人類社会にとって、
まさに彗星が落ちてきたようなインパクトを持ち、
社会の在り方を一変する可能性まで秘めているのではないかと考えられています。

その変革のさなかにいる私たちとして、
最も気を付けるべきことが一つあります。

------------------------------------------------------------
それは「生成AIには個人情報を入力しない」ということです。
------------------------------------------------------------

実は生成AIは、日々日々私たちが使うたびに、
そのやり取りでの成功と失敗を記録し、学習データとして
それ以降のやり取りに活かすようになっています。

ですから、「山田太郎さん(仮名)は、カレーライスが好きだ」
という情報を生成AIに入力すると、それを学習する可能性がありますし、
その情報を他の人とのチャットにおいて、出力する可能性があるのです。

現在のChatGPTは、個人情報を出力しないように
プログラミングされているようです。

しかし、学習してしまう可能性は否めないのです。

このことについては、
日本のPPC(個人情報保護委員会)をはじめとする
世界のプライバシー当局が注目しており、
ChatGPTを運営するOpenAI社に対して
「個人情報を学習しないように」と指導しているという実態もあります。

ですから、とにかく私たちとしては、生成AIを使う際には
個人情報を入力しないようにしましょう。

また、当然のことですが、機密情報も同じように
入力しないようにしましょう。

このことさえ徹底すれば、生成AIは私たちの仕事や生活を
大いに改善してくれる可能性がありますから、
どんどん活用してよいと思います。

(補足)大企業や自治体など、公式に生成AIを導入している場合の多くは、
有料の特別な契約を結んだり、自前のシステムを用意したりすることで、
上記のリスクを抑えている場合も多いようです。(それでも安心はできないです)

東京都の文章生成AI利活用ガイドライン
https://www.digitalservice.metro.tokyo.lg.jp/ict/pdf/ai_guideline.pdf

(過去の記事)
個人情報保護委員会がChatGPTに関する注意喚起を公表
https://www.pmarknews.info/privacy/52172923.html

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

トヨタ自動車の漏洩事案に関して、PPCが個人情報保護法に基づく指導を実施〜何が個人情報だったのか?〜

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、今年5月に発覚したトヨタ自動車株式会社(愛知県豊田市)での個人情報漏洩事案に関して、個人情報保護法第147条に基づく指導を行ったと7月12日付で発表しました。

今回の事件は、トヨタ自動車の利用者向けサービスである「T-Connect」「G-Link」に関するもので、約10年間にわたり、合計230万人分の下記の情報がインターネット上から閲覧できる状態にあったとのことです。

T-Connect 車載機ID、車台番号、車両の位置情報、時刻
G-Link   車載機ID、更新用地図データ、更新用地図データの作成年月日等に関する情報

また、この業務は関連会社のトヨタコネクティッド株式会社に委託されていたとのことです。

PPCが指摘したポイントは下記の3点です。
,海譴蕕両霾鵑個人情報であるとの認識がされていなかったこと
▲機璽弌爾寮瀋蠅防堡があり、意図せずインターネット上に公開されていたこと
0兮先の監督が不十分であったために、事態が放置されていたこと

PPCは、トヨタ自動車に対して再発防止策を立案し、実行することを指導しました。

https://www.ppc.go.jp/news/press/2023/230712_01/

(私のコメント)

今回の事案は「名前」が含まれていない個人情報の漏洩事案であり、少し珍しい事態です。どこが個人情報と認識され、PPCが指導したのでしょうか?

ここでもう一度、個人情報の定義に立ち返ってみたいと思います。個人情報の定義は、「生存する個人に関する情報であって、特定の個人を識別できるもの」です。これには「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」とされます。では今回、漏洩したとされる情報のどこが個人情報なのでしょうか?

それは「車台番号」に秘密があるように思います。車台番号というのはメーカーが自動車を製造した際に発行される通し番号だそうです。車台番号は車検証に記載されているほか、クルマの室内の見えにくいところに刻印されており、所有者でない限り容易には見れないようになっています。ただし、この車台番号をメーカーのWebサイトなどに入力すれば、どの車種のどのグレードなのかなどが容易に分かるようになっているとのことです。

では、今回漏洩したと言われる情報を使って、どのように本人を特定できるのか、シミュレーションをしてみたいと思います。

自分が探偵であり、ある特定のターゲットの動向を追いかけているとします。その人は高級なトヨタ車に乗っており、「T-Connect」サービスに加入しています。そうすると、今回漏洩していたデータからその地域にいるクルマをざっと検索し、車台番号から車種とグレードを調べることで、ターゲットは数台に絞り込まれます。しばらくそのクルマの移動を追いかけて、絞り込んだ数台の位置情報と照合すれば、いつかはそのクルマの車台番号を特定することができるでしょう。そして、いったん車台番号を特定してしまえば、そのあとはそのクルマが「いつ」「どこ」を走っていたのかをいくらでもインターネット上で知ることができるようになります。

これが「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に含まれるのかどうかは、個人的には少し疑問があります。しかし、今回のPPCの指導からひも解くとすれば、この解釈くらいしかないのではないかなと思いました。

今回のPPCの指導の裏側にある事情は私は知りません。海外ではダイレクトに個人情報が漏洩していた事案も発生していたようです。今やトヨタ自動車といえば、日本経済を支える最大の企業グループですから、しっかりしてほしいという考えもあるのかもしれません。同社が再発防止を行い、このような事案を起こさない体制を作られることを私も望みます。

(参考記事)
【用語集】個人情報の定義は何ですか?どこまで含まれるのですか?
https://www.optima-solutions.co.jp/dictionary/kojin_joho/

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

個人情報保護委員会がChatGPTに関する注意喚起を公表

皆さんこんにちは。
プライバシーザムライ中康二です。

昨年末、人工知能チャットボット「ChatGPT」が、彗星のように現れ、
またたく間に1億人のユーザーを獲得しました。

その登場は大いなる衝撃をもたらし、
私たちの生活を一変させる可能性を秘めています。

しかし、ChatGPTは地球最大規模のデータベースであり、
あたかも巨大な一つの人格のように機能します。

ChatGPTに情報を学習させた場合に、それがどのように利用され、
保存され、公表されるかなど、多くの不明な点が存在します。

悪意を持った人が不正確な情報をChatGPTに学習させたり、
私的な情報を公開させると、あたかも大規模なゴシップのデータベースに
変わる危険性もあります。

このような背景を考慮し、日本の個人情報保護委員会(PPC)は、
ChatGPTを利用する日本の個人情報取扱事業者、行政機関、利用者、
そして、ChatGPTの開発元である米国のOpenAI社に対して、
個人情報保護法の趣旨に基づいた注意喚起を公表しました。

注意喚起の主要なポイントを以下に要約します。

(1)個人情報取扱事業者と行政機関への注意喚起

生成 AI サービスへの個人情報の入力は必要最小限に抑え、
その利用が特定目的の範囲内であることを確認すること。

本人の同意無しに個人情報を入力し、それが他の目的で利用される場合、
個人情報保護法違反に問われる可能性があること。

そのような場合には、その個人情報を生成 AI サービス事業者が
機械学習に使用しないことを十分に確認すること。

(2)一般の利用者への注意喚起

生成 AI サービスは、入力された個人情報が保存されて機械学習に
利用されることがあり、それが正確または不正確な形で出力される
リスクがあることを認識して利用すること。

一見正しいように見えて、不正確な個人情報を出力するリスク
があることを認識して利用すること

サービス提供者の利用規約やプライバシーポリシーを確認し、
情報入力とサービス利用の判断を行うべきであること。

(3)OpenAI社への注意喚起

本人の同意を得ずに、利用者または利用者以外の配慮個人情報を取得しないこと。
-機械学習に使用する場合には、要配慮個人情報を収集しないように、
または収集した場合でも学習用データセットにそれに含まれないように取り組むこと。
-機械学習に使用しない場合でも、要配慮個人情報は正当な理由なく取り扱わないこと。

個人情報の利用目的について、日本語で通知または公表すること

https://www.ppc.go.jp/news/press/2023/230602kouhou/

(私のコメント)

ChatGPTは世界各国のプライバシー当局が注目しており、
日本のPPCも迅速に対応しています。

皆さんもこれを参考に、ChatGPTをより安全に、
そして有意義に利用していただければと思います。

(なお、この記事も私が書き下ろした後、ChatGPTに推敲させました)

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

PPCが顔識別機能付き監視カメラの運用に関する文書を発表
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

先日、個人情報保護委員会(PPC)が
顔識別機能付き監視カメラの利用に関する文書を発表しました。

この文書は、近年の顔識別技術の進化に伴って普及している
防犯目的の顔識別機能付き監視カメラのシステムについて、
個人情報保護法の観点から対応すべきポイントを明らかにするものです。

この文書は民間の個人情報取扱事業者を対象としており、
行政機関や警察組織による同様のシステム、
また商用目的のマーケティングシステムは対象外となっています。

この文書には、「しなければならない(違法となる)」こと、
「努めなければならない(法律上の努力義務)」こと、
そして「望ましい(違法とまではならない)」ことが記されています。

ここでは、「しなければならない」ことをいくつか紹介します。

  1. 利用目的の特定(犯罪予防、行方不明者捜索、テロ防止、万引き防止など)

  2. 利用目的の通知・公表(Webサイトへの掲載など)

  3. カメラでの撮影が容易に認識可能とするための措置(隠し撮りは不正取得になる)

  4. 利用目的の達成に必要な範囲内での識別

  5. 人の生命、身体又は財産の保護などの目的のため、本人の同意を得ることなく第三者に提供する場合の判断基準

  6. 保有個人データの開示等の求めへの対応(原則は開示対応。開示しない場合には一定の基準に基づく判断が必要)

  7. 個人データの漏えい等が生じた場合の個人情報保護委員会への報告


顔識別機能を使用することで、
カメラ映像が単なる個人情報から個人データに変わるため、
これまでよりも一段上の対応が必要になるということです。

犯罪予防や安全確保のための
顔識別機能付きカメラシステムの利用について
(個人情報保護委員会)
https://www.ppc.go.jp/files/pdf/kaoshikibetsu_camera_system.pdf

「カメラ画像利活用ガイドブックver3.0」を策定しました
(経済産業省・商用目的に適用)
https://www.meti.go.jp/press/2021/03/20220330001/20220330001.html

(私のコメント)
今や、コンビニエンスストアなどで、万引き前歴がある人を登録し、
同じ系列のどの店舗に入ってもすぐに識別できるようなシステムを
構築することが可能となっています(実際にやっているかどうかは未確認です)。

今回の文書が指針となり、顔認証カメラシステムの適切な利用が
進むことは望ましいことだと考えます。

皆さんにも、何かの参考になる情報があれば幸いです。

今後も新しい情報が入り次第、皆さんにお知らせいたします。
どうぞお楽しみに。

2023-02-17_10h40_08
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

ソフトウェア大手のソースネクスト株式会社は、同社のWebサイトが不正アクセスを受け、カード情報を含む個人情報約12万件が漏えいした可能性があると2月14日に発表しました。

今回漏えいとされる情報は、下記の通り。

(1)2022年11月15日〜2023年1月17日の間に同社サイトで製品を購入した利用者
 個人情報120,982名分
 (氏名、メールアドレス、郵便番号、住所、電話番号 ※一部は任意入力)

(2)上記のうち、クレジットカード情報を登録した利用者
 カード情報112,132名分
 (カード名義人名、クレジットカード番号、有効期限、セキュリティコード)

今回の漏えいにより、実際にクレジットカードの不正利用が行われており、同社ではクレジットカード会社と連携してのモニタリング、カード再発行の手続き(費用は同社負担)などを進めているとのことです。

同社では、今回の原因について「サイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため」 としています。さらにQ&Aページの中で「当社ではお客様のクレジットカード情報は一切保有しておりません。 本件では悪意のある第三者によりweb サーバ上に不正なコードが追加され、お客様が注文フォームに入力した情報を外部に送信する動作をしておりました」と記載しています。つまり同社はカード情報不保持の方針は遵守していたものの、Webサイトに何らかの変更が加えられたことにより、利用者がカード情報や個人情報を入力するたびに情報を吸い取られていたということのようです。

発覚から公表までの経緯をまとめておきます。

1月4日 クレジットカード会社から連絡を受ける
1月5日 Webサイトでのカード決済を停止
1月5日 第三者調査機関による調査を開始
1月6日 個人情報保護委員会に報告(速報と思われます)
1月10日 所轄警察署に被害申告
1月13日 総務省関東総合通信局に報告(電気通信事業者のため?)
1月17日 不正プログラムの特定と削除が完了
1月23日 調査機関による調査が完了
2月14日15時 本人へ通知メール発信
2月14日 公表

https://www.sourcenext.com/support/i/2023/0214_info/?i=gtnews

(私のコメント)
4月から改正された個人情報保護法では、カード情報の漏えいや、1000人以上の個人情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から約1カ月でした。

同社のリリースには「公表までに時間を要した経緯について」という項目があり、「漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。」との丁寧な言葉があります。

ただし、今回のような緊急事態に対し、同社の動きは適切なものであり、特に不正アクセスの対応の場合には、発覚から公表までは早くても1か月程度はかかると考えるべきなのではないかと考えます。

(過去の記事)
ワコム公式ストアからカード情報などが流出〜発覚から公表まで3カ月かかる〜
https://www.pmarknews.info/accident/52165607.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

【続々報】破産者情報公開サイトに対し、個人情報保護委員会が刑事告発
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、サービス提供の即時停止に関する「勧告」「命令」を行ったものの、それが実行されていないとして、刑事告発を行ったと1月11日に発表しました。

PPCによる「勧告」「命令」とは、個人情報保護法第145条に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うことを指示する段階的な行為です。これに対して、居所不詳の運営者は一切対応せず、Webサイトの運営を続けたことから、個人情報保護法の罰則規定に基づいてPPCが刑事告発したということのようです。

このWebサイトを運営しているサイトには、「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があり、そのような言い訳は通用しないと考えるべきです。

https://www.ppc.go.jp/news/press/2023/230111/

「勧告」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52161055.html

「命令」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52164899.html

(私のコメント)
インターネットが登場して以来、
「海外のWebサーバーを利用しているから違法ではない」
「匿名ネットワークを介しているから発信者はばれない」
「ビットコインで決済するから匿名で換金できる」
というようなことがまかり通ってきたのは事実です。

今回のPPCの取り組みは、そういうインターネットの負の側面に光を当てる結果となるのかどうか、今後も注目してきたいです。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

ワコム公式ストアからカード情報などが流出〜公表まで3カ月かかる〜
(画像は同社のWebサイト)

皆さんこんにちは。
プライバシーザムライ中康二です。

タブレット製品で有名な株式会社ワコムが、同社の運営する「ワコムストア」において、不正アクセスを受けて、カード情報ほかが漏えいしたと11月21日に発表した。

今回漏えいとされる情報は、下記の通り。

(1)2022年2月19日〜4月19日の間の「ワコムストア」での購入者
 クレジットカード情報最大1,938件
 (名義人名、カード番号、有効期限、セキュリティコード、Eメールアドレス)

(2)2021年2月22日〜2022年4月19日の間の「ワコムストア」の利用者
 個人情報最大147,545名分
 (氏名、郵便番号、住所、電話番号、メールアドレス、性別、会員IDなど)

同社のリリースでは詳細が明確に書かれていないため、原因は不明ですが、どうもWebサイトに改ざんが加えられて、情報を吸い取られたような印象を受けます。またこの事件とは関係なく、同社では4月19日にシステムの全面入れ替えを行ったため、その日で漏えいが止まったということのようです。

そして、8月にクレジットカード会社からの連絡を受け、今回の発表に至ったとのことです。発表に至るまでの流れは下記の通り。

8月19日 クレジットカード会社から連絡を受ける
8月22日 「ワコムストア」での販売・カード決済を停止
8月22日 個人情報保護委員会に報告(速報と思われます)
8月30日 第三者調査機関による調査を依頼
9月30日 調査機関による調査が完了
10月3日 埼玉県警に被害申告
10月17日 個人情報保護委員会に報告(確報と思われます)
11月21日 公表

https://estore.wacom.jp/ja-JP/info/202211

(私のコメント)
4月から改正された個人情報保護法では、カード情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から3カ月を要しています。これは残念ながら「速やかに」とは言えないと思います。

実際にカード情報が漏えいし、不正利用されているのですから、これが放置されていたとしたら由々しき事態です。もしかしたらカード情報が漏えいした1,938件については、本人には漏えいなどの詳細は伝えられないまま、カード会社側で停止/再発行が行われたのかもしれないなと思います。そうでないと、二次被害がどんどん拡大しますからね。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

破産者情報公開サイトに対し、個人情報保護委員会が提供停止の命令〜刑事告発の段階へ〜
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、サービス提供の即時停止を「勧告」したところ、勧告が実施されていないため、次の段階である「命令」を行ったと、11月2日に発表しました。

個人情報保護委員会による「命令」とは、個人情報保護法第145条2項に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うように命令する行為です。個人情報取扱事業者が一つ前の段階の「勧告」に従わず、個人の重大な権利利益の侵害が切迫していると認識されたため「命令」が行われたようです。

このまま命令にも従われなかった場合には、第173条の罰則規定に基づき、1年以下の懲役または100万円以下の罰金の対象となり、個人情報保護委員会は、刑事告発の準備を進めているとしています。

なお、このWebサイトを運営しているサイトには、「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があり、今回の個人情報保護委員会の対応はこの規定を適用したものと思われます。

https://www.ppc.go.jp/news/press/2022/221102-1/

「勧告」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52161055.html

(私のコメント)
社会的に許されないと考えられる行為が発生し、当初はそれに対応した法律がなく、放置されている。それに対応するべく法律が改正され、それに基づく規制が当局によって適用されていく。

もちろん、こういうことは社会の様々な局面で過去からずっと続いてきていると思いますが、個人情報保護法は新しい法律でもあり、そういう状況をリアルタイムでウォッチでき、興味深いなあと思っております。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Image_20221007_112209_709
(画像はくるまのニュースより)

皆さんこんにちは。
プライバシーザムライ中康二です。

自動車のナンバープレートから、個人を特定できることはできるのでしょうか?
企業が個人情報を適切に取り扱ううえで、ナンバープレートの情報はどのように扱うべきなのでしょうか?

参考になる記事を見つけましたので、共有したいと思います。

この記事では、下記のように記しています。
・(軽自動車・二輪を除く)登録車には、車検証と同じ内容が記された「登録事項等証明書」の発行サービスがある。これにはもちろん所有者の氏名、住所などの個人情報が記載されている。
・「登録事項等証明書」は誰でも請求できるが、請求する際、ナンバープレートの番号に加えて、「車体番号」も必要である(2007年法改正により施行)。
・車体番号は車の本体に刻印されている番号であり、所有者以外には容易に見ることができないものである。
・また請求時、取得理由の確認や、請求者の本人確認も行われる。
・軽自動車の「検査記録事項等証明書」は、そもそも所有者しか取得できない。
ということです。

上記の内容を総合すると、自動車のナンバープレートの情報があったとしても、「他の情報と容易に照合することにより特定の個人を識別できる」とは言えません。

すなわち、通常の企業の場合には、ナンバープレートの情報があったとしても「個人情報ではない」としてよいと言えると思います。

ただし、自動車保険会社のように、自動車のナンバープレートの情報を個人情報と関連付けて登録しているような場合には、もちろん個人情報になりますので、ご注意ください。

また余談ですが、警察当局は自動車登録情報のデータベースにアクセスする権限を持っていますから、犯罪捜査などの目的であれば、自動車のナンバープレートから所有者情報を容易に知ることができるようになっています。ご参考まで。

個人を特定できる!? ナンバープレートで個人情報は分かるのか SNSアップ問題ない?(くるまのニュース)
https://kuruma-news.jp/post/554194

【用語集】個人情報の定義は何ですか?どこまで含まれるのですか?
https://www.optima-solutions.co.jp/archives/5935

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報保護委員会
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、7月20日に、サービス提供の即時停止を勧告しました。

個人情報保護委員会による「勧告」とは、個人情報保護法第145条に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うように強く指示することです。個人情報取扱事業者が勧告に従わなかった場合には、次の段階の「命令」を行うことになります。命令にも従わなかった場合には、第173条の罰則規定に基づき、1年以下の懲役または100万円以下の罰金の対象となります(刑事罰となりますので、当局による取り調べ、逮捕拘留などののち、裁判にかけられることになると思われます)

今回、適法性が問われているのは
個人情報保護法第19条(不適正な利用の禁止)
個人情報保護法第21条1項(取得に際しての利用目的の通知等)
個人情報保護法第21条1項(第三者提供の制限)
とのことです。

特に、第19条の不適正な利用の禁止は、2022年4月施行の改正法で追加された内容で、今回が初の適用事例にあたるのではないかと思われます。

(不適正な利用の禁止)
第十九条 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

「違法又は不当な行為」とは、「個人情報保護法やその他の法令に違反する行為だけではなく、直ちに違法とはいえないものの、個人情報保護法やその他の法令の制度趣旨又は公序良俗に反するなど、社会通念上適正とは認められない行為をいう」とされ、今回の第19条は細かな規定によるのではなく、ざっくりと網をかけるように「不適正な利用」を禁止する内容となっています。

さらに、個人情報保護法ガイドライン通則編では、不適正な利用の例として、今回のような方法で個人情報を公開することを例示し、その違法性を直接的に説明しています。

【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】
事例2)裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合

それにも関わらず、今回また同じような方法により破産者の情報を公開するWebサイトが現れたことに対して、個人情報保護委員会としては、厳しく対応する方針のようです。

なお、今回のWebサイトには海外のサーバーを利用していると記載されており、運営者も海外にいる、または運営者の居住地が分からないのではないかと思われます。そのため、個人情報保護法第160条に新設された「公示送達」の規定を利用したとのことです。

https://www.ppc.go.jp/news/press/2022/220720/

(私のコメント)
2019年ごろから、官報に掲載された破産者情報を地図上にマッピングして一覧できるようにするWebサイトが作成され、そのたびにネットユーザーの非難にあって炎上したり、個人情報保護委員会が指導したりして停止に追い込まれるということを繰り返してきています。

今回問題となっているサイトは、過去10年以上の自己破産者(数百万人程度と思われます)の情報を掲載し、削除希望する場合には、6万円分のビットコインを送金するようにと記載しています。一種の「恐喝」に近い方法で運営されており、社会的に見ても全く許されない行為だと思います。

サイトには「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があります。今のようなことは許される行為ではなく、このままいくと運営者は処罰を免れないと考えられます。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

影島弁護士
(画像はYoutubeより)

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

改正個人情報保護法に関して、影島弁護士による詳細解説動画が公開されています。

これは、7月1日に開催されたWebセミナーの記録動画であり、
8月1日までの期間限定公開とのことです。

タイトル:「抜け漏れ再チェック!全面施行直後、改正個人情報保護法の実務対応ポイント」
講師:牛島総合法律事務所 弁護士 影島広泰氏
主催:一般財団法人日本情報経済社会推進協会(JIPDEC)

https://www.youtube.com/watch?v=-IWyxzEAEdc

(私のコメント)
とてもクオリティの高い内容になっておりますので、本サイトでもご紹介させていただきました。なお、内容に関しては、あくまでも影島氏の見解・意見ですから、そのようなものとして取り扱ってください。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022-06-24_11h48_51
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

日本の個人情報保護の総元締めである個人情報保護委員会(PPC)が、6月10日に昨年度の年次報告を公開しました。

その内容によると、昨年度の一年間で国内の民間事業者が起こした個人情報の漏えい事件の報告件数が5,846件となり、一年前の4,141件から増加したとのことです。

このうち、委員会に直接報告されたのが1,042件、監督官庁を経由しての報告が2,386件、認定個人情報保護団体を経由しての報告が2,418件とのこと。

これに対して、報告の徴収を実施したのが329件、立ち入り検査を行ったのが4件。

その結果として、指導及び助言を行ったのが217件、法的に強制力を持つ勧告を行ったのが3件、さらに厳しい命令を行ったのが1件となっています。この命令の1件は官報に掲載された破産者のデータを集約してインターネット上で公開していたWebサイトに対するもので、勧告を行ったのに従われなかったために実施したものとのことです。

年次報告
https://www.ppc.go.jp/aboutus/report/

実施した命令の詳細
https://www.ppc.go.jp/files/pdf/220323_houdou.pdf

個人情報の漏えい等の報告フォーム
https://www.ppc.go.jp/personalinfo/legal/leakAction/

(私のコメント)
個人情報の漏えいに関する報告は、4月1日の改正法の施行により、全ての民間事業者の義務となりました。ですから、今後はさらに数字が増えていくものと思われます。また、認定個人情報保護団体を経由しての報告は廃止されますので、皆様ご注意ください。

しかし、年間予算39億円で、よくここまでの活動が継続されているものだと思います。本当に政策の運営というのはお金の問題ではないのだと思います。今後も個人情報保護委員会のリーダーシップの下、私も日本の個人情報保護の取り組みに協力していきたいと考えています。

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ