プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: プライバシー

【続々報】破産者情報公開サイトに対し、個人情報保護委員会が刑事告発
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、サービス提供の即時停止に関する「勧告」「命令」を行ったものの、それが実行されていないとして、刑事告発を行ったと1月11日に発表しました。

PPCによる「勧告」「命令」とは、個人情報保護法第145条に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うことを指示する段階的な行為です。これに対して、居所不詳の運営者は一切対応せず、Webサイトの運営を続けたことから、個人情報保護法の罰則規定に基づいてPPCが刑事告発したということのようです。

このWebサイトを運営しているサイトには、「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があり、そのような言い訳は通用しないと考えるべきです。

https://www.ppc.go.jp/news/press/2023/230111/

「勧告」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52161055.html

「命令」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52164899.html

(私のコメント)
インターネットが登場して以来、
「海外のWebサーバーを利用しているから違法ではない」
「匿名ネットワークを介しているから発信者はばれない」
「ビットコインで決済するから匿名で換金できる」
というようなことがまかり通ってきたのは事実です。

今回のPPCの取り組みは、そういうインターネットの負の側面に光を当てる結果となるのかどうか、今後も注目してきたいです。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

新幹線の車窓から見えた富士山
(写真は東海道新幹線の車窓から見えた富士山です)

新年あけましておめでとうございます。
プライバシーザムライ中康二です。

新春恒例の個人情報保護・情報セキュリティ10大ニュースをやってみたいと思います。

(10)【ISMS】取得事業者数が7000社を突破
景気のよいニュースから行きましょう。ISMS認証の取得事業者数が9月に7000社を突破しました。ISMSは部署限定で取得できることのメリットが幅広く認知されてきたようで、認証取得事例が増加し続けています。
 


(9)ビッグサイトや幕張メッセでのリアルイベントが再開
新型コロナやオリンピックの影響により、情報セキュリティに関連したリアルイベントの開催が縮小していましたが、ようやく復活の兆しが見え始めています。
 


(8)しぶとく蔓延するエモテット
本拠地が摘発され、サーバーが停止したはずのエモテットが再始動。暗号化ZIP圧縮したファイルを添付するなど、日本企業を狙い撃ちにしたものも登場し、蔓延が続きました。
 


(7)【個情法改正】個人情報の海外移転の規制が強化
4月に個人情報保護法(個情法)が改正され、個人情報の海外移転の規制が強化されました。委託もこの対象に含まれることから、海外の企業へ個人情報の取扱いを委託することのハードルがかなり高くなりました。
 


(6)破産者情報公開サイトにPPCが停止命令
官報に記載された破産者の情報を地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護委員会(PPC)が11月に停止命令を出しました。改正法の第19条(不適正な利用)の初適用になるのではないかと思われます。
 


(5)マイナンバーカードの利用が広がる
マイナンバーカードの普及率が高まり、マイナポータルの使い勝手も改善されてきました。専用のカードリーダーを使うのではなく、スマホで読み取らせる方式が定着し、民間での利用事例も増えてきました。
 


(4)ランサムウェア被害が広がる
つるぎ町立半田病院に続き、大阪急性期・総合医療センターでもランサムウェアにより電子カルテが使えなくなり通常の運営ができない事態となりました。病院以外でもランサムウェアの被害が多発しました。
 


(3)【個情法改正】漏えい時のPPC報告と本人通知が義務化
個情法改正からもう一つランクイン。個人情報を漏えいした場合のPPC報告と本人通知が義務化されました。特にPPC報告は5日以内の「速報」と30日以内の「確報」と期限が指定されたこともあり、事業者としては事前に準備しておくことが求められています。
 


(2)【ISMS】審査基準であるISO27001が改訂される
2022年は法改正、規格改訂の年でした。ISMSの審査基準が改訂され、ISO27001:2022になりました。情報セキュリティ対策を規定する附属書Aが全面改訂されたため、少なくとも適用宣言書を作り直さないと審査に通過できません。ただし猶予期間が3年ありますので、その間に対応してください。
 


(1)【Pマーク】新審査基準2022による審査が始まる
そしてプライバシーマークの審査基準も全面改訂されました。今回は法改正の対応に加えて、JIS Q15001の規格本文も取り込むために「J」から始まる新しい文書体系を採用しました。基本規程の書き換えが必須です。こちらは移行期間はなく、次の審査までに対応が必須です。
 


この情報が、皆様にとって何かの参考になればと思います。

今年もよろしくお願いいたします。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022-12-23_10h57_43
(画像は同社CEOのBlogをDeepL翻訳で日本語にしたものです)

皆さんこんにちは。
プライバシーザムライ中康二です。

今のクラウド時代においては、複数のサービスに同じパスワードを使いまわしすることは最も危険な行為となりますから、それを避けるためにはいわゆる「パスワード管理ツール」を使うことが必須となります。パスワード管理ツールを使うことで、私たちは記憶の限界を超えて、一つ一つのサービスごとに異なるパスワードを保存できるのです。

そのため、現在たくさんのパスワード管理ツールが存在していますが、そこには利用者のアカウントとパスワードが保存されていることから、常に不正アクセスの対象とされ、提供事業者は不正アクセスとの戦いを続けることになります。

その中の一つに「LastPass」というパスワード管理ツールがあります。

LastPassは、10年以上の歴史を持ち、ほとんどのブラウザで使用できて、スマホアプリもあるため、かなり利用者が多いパスワード管理ツールのひとつです。

このLastPassに対しても、過去から不正アクセスが何回も試みられ、その度にLastPass社は「利用者の登録したアカウントとパスワードは流出していない」との説明を行ってきました。

この流れが変わったのが、2022年8月にソースコードが流出したことです。ソースコードというのは、プログラムそのものの元となるテキストファイルのことで、これを解析すれば、どこに穴があるのか、どういう攻撃をすれば不正アクセスが可能になるかを知ることができるものです。

ソフトウェアの世界には二つの考え方があります。一般的にLastPassのような商業ソフトウェアはソースコードを非公開にすることで不正アクセスを防ぐという考え方を採用しています。一方で、オープンソースというソフトウェアはむしろソースコードを公開することで、みんなで問題をつぶしていって完成度を高めていくというものです。

LastPassの場合は、本来非公開のはずのソースコードが流出してしまったのですから、どこから攻撃を受けてもおかしくない状態になっていたと思います。

そしてそれが現実のものになりました。2022年12月、LastPass社は自社のバックアップサーバに不正アクセスがあり、利用者の登録したアカウントとパスワードなどを含むバックアップファイルが漏洩したと発表しました。

ただし、利用者が登録したアカウントとパスワードなどの情報は、利用者のマスターパスワードで暗号化されており、利用者のマスターパスワードはLastPass社としても保存していないことから、悪用される心配はないと説明しています。

とはいえ、LastPass社のセキュリティが大変危うくなっていることに変わりはありません。同社では2022年8月のソースコード流出以降、開発環境を再構築したり、様々な対策を取っているとしていますが、ソースコードが流出している以上、不正アクセスとの戦いにおいて劣勢は避けられないと思います。

結論として、私としては今後、Lastpassの利用は推奨しないものとします。現在利用されている方も早めに他のパスワード管理ツールに移行されることをお勧めします。

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

※なお、利用者の方にはアカウント削除をおススメしたいところですが、どうもアカウント削除をしようとするとうまく画面が出てこない場合があるようです。その場合にはアカウント「リセット」という機能を使うことで、登録したパスワード情報を一括消去してくれるようです。ご参考まで。

破産者情報公開サイトに対し、個人情報保護委員会が提供停止の命令〜刑事告発の段階へ〜
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、サービス提供の即時停止を「勧告」したところ、勧告が実施されていないため、次の段階である「命令」を行ったと、11月2日に発表しました。

個人情報保護委員会による「命令」とは、個人情報保護法第145条2項に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うように命令する行為です。個人情報取扱事業者が一つ前の段階の「勧告」に従わず、個人の重大な権利利益の侵害が切迫していると認識されたため「命令」が行われたようです。

このまま命令にも従われなかった場合には、第173条の罰則規定に基づき、1年以下の懲役または100万円以下の罰金の対象となり、個人情報保護委員会は、刑事告発の準備を進めているとしています。

なお、このWebサイトを運営しているサイトには、「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があり、今回の個人情報保護委員会の対応はこの規定を適用したものと思われます。

https://www.ppc.go.jp/news/press/2022/221102-1/

「勧告」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52161055.html

(私のコメント)
社会的に許されないと考えられる行為が発生し、当初はそれに対応した法律がなく、放置されている。それに対応するべく法律が改正され、それに基づく規制が当局によって適用されていく。

もちろん、こういうことは社会の様々な局面で過去からずっと続いてきていると思いますが、個人情報保護法は新しい法律でもあり、そういう状況をリアルタイムでウォッチでき、興味深いなあと思っております。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Image_20221007_112209_709
(画像はくるまのニュースより)

皆さんこんにちは。
プライバシーザムライ中康二です。

自動車のナンバープレートから、個人を特定できることはできるのでしょうか?
企業が個人情報を適切に取り扱ううえで、ナンバープレートの情報はどのように扱うべきなのでしょうか?

参考になる記事を見つけましたので、共有したいと思います。

この記事では、下記のように記しています。
・(軽自動車・二輪を除く)登録車には、車検証と同じ内容が記された「登録事項等証明書」の発行サービスがある。これにはもちろん所有者の氏名、住所などの個人情報が記載されている。
・「登録事項等証明書」は誰でも請求できるが、請求する際、ナンバープレートの番号に加えて、「車体番号」も必要である(2007年法改正により施行)。
・車体番号は車の本体に刻印されている番号であり、所有者以外には容易に見ることができないものである。
・また請求時、取得理由の確認や、請求者の本人確認も行われる。
・軽自動車の「検査記録事項等証明書」は、そもそも所有者しか取得できない。
ということです。

上記の内容を総合すると、自動車のナンバープレートの情報があったとしても、「他の情報と容易に照合することにより特定の個人を識別できる」とは言えません。

すなわち、通常の企業の場合には、ナンバープレートの情報があったとしても「個人情報ではない」としてよいと言えると思います。

ただし、自動車保険会社のように、自動車のナンバープレートの情報を個人情報と関連付けて登録しているような場合には、もちろん個人情報になりますので、ご注意ください。

また余談ですが、警察当局は自動車登録情報のデータベースにアクセスする権限を持っていますから、犯罪捜査などの目的であれば、自動車のナンバープレートから所有者情報を容易に知ることができるようになっています。ご参考まで。

個人を特定できる!? ナンバープレートで個人情報は分かるのか SNSアップ問題ない?(くるまのニュース)
https://kuruma-news.jp/post/554194

【用語集】個人情報の定義は何ですか?どこまで含まれるのですか?
https://www.optima-solutions.co.jp/archives/5935

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報保護委員会
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、7月20日に、サービス提供の即時停止を勧告しました。

個人情報保護委員会による「勧告」とは、個人情報保護法第145条に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うように強く指示することです。個人情報取扱事業者が勧告に従わなかった場合には、次の段階の「命令」を行うことになります。命令にも従わなかった場合には、第173条の罰則規定に基づき、1年以下の懲役または100万円以下の罰金の対象となります(刑事罰となりますので、当局による取り調べ、逮捕拘留などののち、裁判にかけられることになると思われます)

今回、適法性が問われているのは
個人情報保護法第19条(不適正な利用の禁止)
個人情報保護法第21条1項(取得に際しての利用目的の通知等)
個人情報保護法第21条1項(第三者提供の制限)
とのことです。

特に、第19条の不適正な利用の禁止は、2022年4月施行の改正法で追加された内容で、今回が初の適用事例にあたるのではないかと思われます。

(不適正な利用の禁止)
第十九条 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

「違法又は不当な行為」とは、「個人情報保護法やその他の法令に違反する行為だけではなく、直ちに違法とはいえないものの、個人情報保護法やその他の法令の制度趣旨又は公序良俗に反するなど、社会通念上適正とは認められない行為をいう」とされ、今回の第19条は細かな規定によるのではなく、ざっくりと網をかけるように「不適正な利用」を禁止する内容となっています。

さらに、個人情報保護法ガイドライン通則編では、不適正な利用の例として、今回のような方法で個人情報を公開することを例示し、その違法性を直接的に説明しています。

【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】
事例2)裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合

それにも関わらず、今回また同じような方法により破産者の情報を公開するWebサイトが現れたことに対して、個人情報保護委員会としては、厳しく対応する方針のようです。

なお、今回のWebサイトには海外のサーバーを利用していると記載されており、運営者も海外にいる、または運営者の居住地が分からないのではないかと思われます。そのため、個人情報保護法第160条に新設された「公示送達」の規定を利用したとのことです。

https://www.ppc.go.jp/news/press/2022/220720/

(私のコメント)
2019年ごろから、官報に掲載された破産者情報を地図上にマッピングして一覧できるようにするWebサイトが作成され、そのたびにネットユーザーの非難にあって炎上したり、個人情報保護委員会が指導したりして停止に追い込まれるということを繰り返してきています。

今回問題となっているサイトは、過去10年以上の自己破産者(数百万人程度と思われます)の情報を掲載し、削除希望する場合には、6万円分のビットコインを送金するようにと記載しています。一種の「恐喝」に近い方法で運営されており、社会的に見ても全く許されない行為だと思います。

サイトには「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があります。今のようなことは許される行為ではなく、このままいくと運営者は処罰を免れないと考えられます。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022-06-24_11h48_51
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

日本の個人情報保護の総元締めである個人情報保護委員会(PPC)が、6月10日に昨年度の年次報告を公開しました。

その内容によると、昨年度の一年間で国内の民間事業者が起こした個人情報の漏えい事件の報告件数が5,846件となり、一年前の4,141件から増加したとのことです。

このうち、委員会に直接報告されたのが1,042件、監督官庁を経由しての報告が2,386件、認定個人情報保護団体を経由しての報告が2,418件とのこと。

これに対して、報告の徴収を実施したのが329件、立ち入り検査を行ったのが4件。

その結果として、指導及び助言を行ったのが217件、法的に強制力を持つ勧告を行ったのが3件、さらに厳しい命令を行ったのが1件となっています。この命令の1件は官報に掲載された破産者のデータを集約してインターネット上で公開していたWebサイトに対するもので、勧告を行ったのに従われなかったために実施したものとのことです。

年次報告
https://www.ppc.go.jp/aboutus/report/

実施した命令の詳細
https://www.ppc.go.jp/files/pdf/220323_houdou.pdf

個人情報の漏えい等の報告フォーム
https://www.ppc.go.jp/personalinfo/legal/leakAction/

(私のコメント)
個人情報の漏えいに関する報告は、4月1日の改正法の施行により、全ての民間事業者の義務となりました。ですから、今後はさらに数字が増えていくものと思われます。また、認定個人情報保護団体を経由しての報告は廃止されますので、皆様ご注意ください。

しかし、年間予算39億円で、よくここまでの活動が継続されているものだと思います。本当に政策の運営というのはお金の問題ではないのだと思います。今後も個人情報保護委員会のリーダーシップの下、私も日本の個人情報保護の取り組みに協力していきたいと考えています。

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報を考える週間
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

日本の個人情報保護の総元締めである個人情報保護委員会(PPC)。

今回もアジア太平洋プライバシー機関(APPA)に参加する各国の個人情報保護当局と歩調を合わせ、5月30日から6月5日まで国内でも「個人情報を考える週間」と銘打って集中的に情報発信しています。

今回、PPCでは、事業者向けに下記の3点を注意喚起しています。

(1)電子メールを一斉に送信する際、ToやCcで送信しないこと
(2)クラウドサービスを利用する際、設定をよく確認してから個人情報を格納すること
(3)個人情報を取得する際に、分かりやすく具体的に利用目的を表示すること

また、個人向けには下記の3点を注意喚起しています。

(1)集合写真を撮影して安易にSNSなどにアップすること
(2)知り合いの連絡先を無断で教えること
(3)利用規約の内容をよく読まずに同意すること

いずれも重要な指摘です。

私たちは、事業者としても、個人としても、もっともっと意識を向上させていかなければならないと思います。


個人情報保護委員会「個人情報を考える週間」
https://www.ppc.go.jp/news/privacy_awareness_week/

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Yahoo!Japanが欧州からのサービス利用を停止すると発表
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

ヤフー株式会社は、同社が提供しているYahoo!ジャパンのWebサイトとしてのサービスを、2022年4月6日 (水)より欧州及び英国から利用できなくなると発表しました。

具体的な地域としては、
(1)欧州経済領域(EEA)=EU加盟28カ国+アイスランド/リヒテンシュタイン/ノルウェー
(2)イギリス
とのことで、まさにGDPRの適用対象地域(または同等の法規制を敷いている国)となります。

対象となるサービスは、Yahoo!ジャパンとしての全てのサービスのようで、Yahoo!メール/Yahoo!カード/ebookjapanだけは継続利用できるとしていますが、メールアドレスの新規作成はできないなど、縮小の方向のようです。

同社では、「利用いただける環境を継続的に提供することが困難になったため」としか説明していませんが、GDPRへの対応が負担になったことは間違いないと思います。

GDPRがスタートして4年。日本の大手ITの先頭を走る同社が、ここで欧州向けサービスをあっさりと割り切ったことは非常に興味深いです。インターネットに国境はなかったはずなのですが、どんどん国境が高くなっていっていますね。

https://privacy.yahoo.co.jp/notice/globalaccess.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

optimasolutions (2)
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

早くも年末の足音が聞こえてまいりました。
コロナコロナで明け暮れた2021年という印象がありますが、
皆様はいかがでしょうか?

さて、この一年も、プライバシー/セキュリティの領域では
様々な出来事が起こりました。

・世界標準のプライバシー認証ISO27701(PIMS)がスタート
・個人情報保護法の官民一元化改正が成立
・JIPDECがプライバシーマークの新審査基準を発表
・LINEに対して個人情報保護委員会が立ち入り検査と指導を実施
・Omiaiから大量の本人確認書類が流出

などなど、目まぐるしかったですね。

さて、今回、初めての試みとして、
私プライバシーザムライと、セキュリティ博士(当社コンサルタント・大塚)
の二人によるクリスマス特別対談を開催いたします。

プライバシーマーク、ISMS担当者の皆様、どうぞご参加くださいませ!

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
登壇者紹介
プライバシーザムライ 中康二
プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家

DSC_3045
セキュリティ博士 大塚晃司(おおつか こうじ)
オプティマ・ソリューションズ株式会社・コンサルタント
会計事務所出身
ISMS/情報セキュリティで数多くのお客様を支援してきた、腕利きコンサルタント

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル:「2021年を振り返る」プライバシーザムライ/セキュリティ博士 クリスマス特別対談
日時:2021年12月23日(木)10時から11時半
場所:リモートで開催(Zoomを利用します)
登壇者:プライバシーザムライ 中 康二×セキュリティ博士 大塚晃司
参加費:無料(1社2名様まで)
参加対象者:
 プライバシーマーク、ISMS取得事業者の役員、担当者の方
 または上記の認証取得を検討中の役員、担当者の方

主催:オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
botan



皆さんとオンラインにてお会いできるのを楽しみにしております!
プライバシーザムライ 中康二

中国個人情報保護法
(画像は中国政府のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

報道によりますと、11月1日から、中国で個人情報保護法が正式に施行されたとのことです。

今回の法律の施行により、すでに施行済みの「サイバーセキュリティ法」「データ安全法」と合わせて、中国政府としての情報セキュリティ・個人情報保護に関する法整備がひとまず完成したものとされているそうです。

さて、肝心の内容ですが、私がGoogle翻訳で読み下した範囲においては、日本の個人情報保護法とよく似ていて「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」という方向性のように思えました。中国には人権がないかのような言説が多いですが、今回の法律に関してはそういうことでもなく、世界の風潮に合わせた近代的な法整備と考えてよさそうです。

また後発の利点というべきでしょうか、個人情報の海外移転の制限や、域外適用、中国国内における責任者または代理人の指名、最大5000万元(約9億円)もしくは前年の売上高の5%という多額の罰金など、欧州のGDPRと同様の規制を含んでいます。中国でビジネスを展開する日本企業は、これらに対する対応が必要となります。

さらに中国ならではの規制として、中国在住者の個人情報を大量に扱う場合には、中国国内のデータセンターでの保管が義務付けられるとのことで、巨大IT企業として中国でもビジネスを展開しているAppleやマイクロソフトなどはこれに既に対応しているようです。

中国個人情報保護法
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

中国サイバーセキュリティ法
http://www.cac.gov.cn/2016-11/07/c_1119867116.htm

中国データセキュリティ法
http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
(いずれもGoogle翻訳にかけると、かなりきれいな日本語になります)

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。


2021-10-22_11h40_46
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

今年3月に大きな話題となったLINEの個人情報問題。

直前に買収したZホールディングス(Yahoo!ジャパンの親会社)により組織された外部第三者委員会が最終報告書を公開しました。下記、私なりの理解により要約します。

今回問題とされたことは下記の2点です。
------------------------------------------------------------
(1)LINE上でのやり取りに関して、内容に問題があるとのユーザーからの通報に対処するにあたり、その処理を中国の子会社に委託していたことについて、中国の政府組織などが中国法に基づいて開示を要求するなどのリスクがあることをLINE社が認識しておらず、ユーザーにも適切に説明していなかったこと。
(2)LINE上でやり取りされる画像/動画/添付ファイルが、実際には韓国のデータセンターに保存されていたにも関わらず、LINE社は全てのデータが国内のデータセンターにあるかのように説明していたこと。
------------------------------------------------------------

そして、それ以上の情報漏洩事件や、違法行為はなかったとしました。

また、上記2点の問題が発生した理由として、下記の2点を挙げました。

------------------------------------------------------------
(1)LINE社のコンプライアンス体制が不十分であり、中国の子会社にデータへのアクセス権を許可することの経済安全保障上のリスクを認識できていなかった
(2)LINE社は、韓国のデータセンターを利用していると説明した場合に予想された、日本ユーザーの拒否反応を嫌って、2013年に「LINEを構成する主要なサーバーはすべて日本国内にある」という誤解を与える説明を行い、その後も同様の説明をし続けた
------------------------------------------------------------

最終的に、報告書はZホールディングスの指導の下、LINE社が今後の体制の立て直しを行い、社会的な信頼を回復していくことを求めています。

「グローバルなデータガバナンスに関する特別委員会」最終報告
https://www.z-holdings.co.jp/notice/20211018

(私のコメント)
LINE社が急成長をする中で、しっかりとしたコンプライアンス体制を確立できていなかったことは事実として認めざるを得ないと思います。特に中国への委託の件については、それが捜査機関からの問い合わせを受けて対応する業務であり、そのような業務をどうしてわざわざ中国子会社に担当させたのかということを考えると、そういうことに関する危機意識が全くなかったことが伺えます。またこの件については、外国に情報を移転することに関して個人情報保護法で求められている本人同意が、しっかり取れていなかったのではないかという疑問は依然として残っています。

また、LINEのサービスが拡大するにつれて「LINEでのやり取りは韓国の秘密警察に筒抜けである」というような風評がずっと続いてきたのも事実だと思います。LINE社がそういう言説を嫌い、自分たちが日本社会から信頼される日本企業であるとアピールしたいあまりに、不正確な情報発信を行い、それが独り歩きする形で、社内でさえも「LINEの個人情報は日本のサーバーに置いている」と思っていた人がいたのではないかと思います。

ほんのわずかな「嘘」が、その後どんどん大きな問題となっていく。
そんな悲しいドラマを見ているような気もしてきました
😢

FACTAの記事(韓国国情院がLINE傍受)
https://facta.co.jp/article/201407039.html

森川社長(当時)による反論記事
https://lineblog.me/morikawa/archives/1023072161.html

わたくしは、LINE社がZホールディングス(=Yahoo!ジャパン)の監督の下で、社会の期待に応えられる存在に復帰していただくことを期待しています。長すぎるプライバシーポリシーもYahoo!ジャパンを見習って改善してほしいなと思っています!

LINEのプライバシーポリシー(長すぎます)
https://line.me/ja/terms/policy/

Yahoo!ジャパンのプライバシーポリシー(適切だと思います)
https://about.yahoo.co.jp/common/terms/chapter1/#cf2nd

(過去の関連記事)
個人情報保護委員会がLINEに立ち入り検査を実施
https://www.pmarknews.info/kojin_joho_hogo_ho/52140256.html
今回のLINEの問題をきっかけに「長すぎるプライバシーポリシー」に警鐘を鳴らす!
https://www.pmarknews.info/kojin_joho_hogo_ho/52140119.html

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ