プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: プライバシー

個人情報保護委員会がChatGPTに関する注意喚起を公表

皆さんこんにちは。
プライバシーザムライ中康二です。

昨年末、人工知能チャットボット「ChatGPT」が、彗星のように現れ、
またたく間に1億人のユーザーを獲得しました。

その登場は大いなる衝撃をもたらし、
私たちの生活を一変させる可能性を秘めています。

しかし、ChatGPTは地球最大規模のデータベースであり、
あたかも巨大な一つの人格のように機能します。

ChatGPTに情報を学習させた場合に、それがどのように利用され、
保存され、公表されるかなど、多くの不明な点が存在します。

悪意を持った人が不正確な情報をChatGPTに学習させたり、
私的な情報を公開させると、あたかも大規模なゴシップのデータベースに
変わる危険性もあります。

このような背景を考慮し、日本の個人情報保護委員会(PPC)は、
ChatGPTを利用する日本の個人情報取扱事業者、行政機関、利用者、
そして、ChatGPTの開発元である米国のOpenAI社に対して、
個人情報保護法の趣旨に基づいた注意喚起を公表しました。

注意喚起の主要なポイントを以下に要約します。

(1)個人情報取扱事業者と行政機関への注意喚起

生成 AI サービスへの個人情報の入力は必要最小限に抑え、
その利用が特定目的の範囲内であることを確認すること。
本人の同意無しに個人情報を入力し、それが他の目的で利用される場合、
個人情報保護法違反に問われる可能性があること。
そのような場合には、その個人情報を生成 AI サービス事業者が
機械学習に使用しないことを十分に確認すること。

(2)一般の利用者への注意喚起

生成 AI サービスは、入力された個人情報が保存されて機械学習に
利用されることがあり、それが正確または不正確な形で出力される
リスクがあることを認識して利用すること。
一見正しいように見えて、不正確な個人情報を出力するリスク
があることを認識して利用すること
サービス提供者の利用規約やプライバシーポリシーを確認し、
情報入力とサービス利用の判断を行うべきであること。

(3)OpenAI社への注意喚起

本人の同意を得ずに、利用者または利用者以外の配慮個人情報を取得しないこと。
-機械学習に使用する場合には、要配慮個人情報を収集しないように、
または収集した場合でも学習用データセットにそれに含まれないように取り組むこと。
-機械学習に使用しない場合でも、要配慮個人情報は正当な理由なく取り扱わないこと。
個人情報の利用目的について、日本語で通知または公表すること

https://www.ppc.go.jp/news/press/2023/230602kouhou/

(私のコメント)
ChatGPTは世界各国のプライバシー当局が注目しており、
日本のPPCも迅速に対応しています。

皆さんもこれを参考に、ChatGPTをより安全に、
そして有意義に利用していただければと思います。

(なお、この記事も私が書き下ろした後、ChatGPTに推敲させました)

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

PPCが顔識別機能付き監視カメラの運用に関する文書を発表
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

先日、個人情報保護委員会(PPC)が
顔識別機能付き監視カメラの利用に関する文書を発表しました。

この文書は、近年の顔識別技術の進化に伴って普及している
防犯目的の顔識別機能付き監視カメラのシステムについて、
個人情報保護法の観点から対応すべきポイントを明らかにするものです。

この文書は民間の個人情報取扱事業者を対象としており、
行政機関や警察組織による同様のシステム、
また商用目的のマーケティングシステムは対象外となっています。

この文書には、「しなければならない(違法となる)」こと、
「努めなければならない(法律上の努力義務)」こと、
そして「望ましい(違法とまではならない)」ことが記されています。

ここでは、「しなければならない」ことをいくつか紹介します。

  1. 利用目的の特定(犯罪予防、行方不明者捜索、テロ防止、万引き防止など)

  2. 利用目的の通知・公表(Webサイトへの掲載など)

  3. カメラでの撮影が容易に認識可能とするための措置(隠し撮りは不正取得になる)

  4. 利用目的の達成に必要な範囲内での識別

  5. 人の生命、身体又は財産の保護などの目的のため、本人の同意を得ることなく第三者に提供する場合の判断基準

  6. 保有個人データの開示等の求めへの対応(原則は開示対応。開示しない場合には一定の基準に基づく判断が必要)

  7. 個人データの漏えい等が生じた場合の個人情報保護委員会への報告


顔識別機能を使用することで、
カメラ映像が単なる個人情報から個人データに変わるため、
これまでよりも一段上の対応が必要になるということです。

犯罪予防や安全確保のための
顔識別機能付きカメラシステムの利用について
(個人情報保護委員会)
https://www.ppc.go.jp/files/pdf/kaoshikibetsu_camera_system.pdf

「カメラ画像利活用ガイドブックver3.0」を策定しました
(経済産業省・商用目的に適用)
https://www.meti.go.jp/press/2021/03/20220330001/20220330001.html

(私のコメント)
今や、コンビニエンスストアなどで、万引き前歴がある人を登録し、
同じ系列のどの店舗に入ってもすぐに識別できるようなシステムを
構築することが可能となっています(実際にやっているかどうかは未確認です)。

今回の文書が指針となり、顔認証カメラシステムの適切な利用が
進むことは望ましいことだと考えます。

皆さんにも、何かの参考になる情報があれば幸いです。

今後も新しい情報が入り次第、皆さんにお知らせいたします。
どうぞお楽しみに。

カネも思い出もすべてを奪われる…米国で被害が急増中の「Apple ID泥棒」の卑劣すぎる手口
(画面はPRESIDENT Onlineより)

皆さんこんにちは。
プライバシーザムライ中康二です。

日本人の多くが利用しているiPhone。
その利用シェアはさらに伸び続けています。

私もiPhoneが国内で発売されたその日から利用しており、
今や手の一部のようになっています。

何度かAndroidへの乗り換えを試み、実際に今もそれなりのものを持っていますが、
やはりメインのスマホはiPhoneです。

半導体不足や円安により、いくら値上がりしても、
手放すことのできない相棒のようになっています。

さて、そんなiPhoneに関する少し怖い内容の記事が、WebメディアのPRESIDENT Onlineにありましたので、私なりに咀嚼して皆様にも注意喚起したいと思います。

それは「iPhoneのロックを解除する6桁の数字がばれて、iPhone本体を奪い取られると、AppleIDを乗っ取られてしまい、そこに記憶させたパスワードもすべて流出してしまう」というものです。

記事の中では海外での事例として、カフェで見知らぬ人と友好的にお話をしていたら、急にiPhoneを奪われた事例が掲載されています。この人はすぐに「iPhoneを探す」で追いかけようとしたが、その段階でもうAppleIDのパスワードが変更されていて、何もできなくなり、すべて相手の思うがままにされたといいます。

どうしてこんなことになるのでしょうか?
iPhoneをお持ちの方はちょっと試してみてほしいと思います。

(1)iPhoneのロックを解除する。
(2)「設定」画面を開く
(3)一番上の「AppleID」(自分の名前が表示されているところ)を開く
(4)「パスワードとセキュリティ」を開く
(5)「パスワードの変更」を開く
(6)パスコード(通常は6桁の数字)を入力する
(7)AppleIDのパスワードを変更できる!
Image_20230331_103500_740

ということです。以前のパスワードを入力する必要がなく、
iPhoneのロックを解除するパスコードさえわかれば、
上位概念のAppleIDのパスワードを変更できてしまう。


これは怖いですね。

そして、この怖いところは、AppleIDのパスワードを変更されてしまうと、
「iPhoneを探す」も使えなくなるということです。

さらに、iPhoneに様々なWebサービスのパスワードを記憶させている場合には、
それも見られてしまいます。そして、記事の人のように銀行口座も乗っ取られて、
お金を引き出されてしまうことにもなります。

では、私たちはどのように対策すればいいのでしょうか?

(1)顔認証、指紋認証などを使用するようにする。

これにより、公衆の場所でパスコードを入力しなくてもよくなり、他人にバレる機会を減らすことができます。

(2)パスコードを6桁の数字ではなく、「カスタムの英数字コード」にする。
Image_20230331_103500_722

これにより、他人に見られたとしても少しはバレにくくなると思います。

(3)iPhoneの「キーチェーン」にはパスワードを記憶させない。

iPhoneの標準機能である「キーチェーン」を使用している人は多いと思います。様々なWebサービスのパスワードを覚えてくれる標準機能です。しかし、この機能はiPhoneのパスコードがあれば誰でも参照できてしまうため、かなり危険な機能です。キーチェーンではなく、別のパスワード管理ソフトを使用することを推奨します。

当然、私は上記(1)(2)(3)はすべて実行しています。

皆様もご注意ください。

元記事
https://president.jp/articles/-/67770

(私のコメント)
しかしまあ、Appie社は。iPhoneを奪い取って初期化して転売される事件が頻発したために、iPhoneを初期化する際にAppieIDのパスワードを必須にしたのに、そこにまた抜け道を作ってしまっていたということになりますね。

iPhoneのパスコードが分かればAppleIDのパスワードを変更できるということであれば、奪い取った場合に初期化もできて転売もできてしまうということになります。同社には素早い対応を求めたいと思います。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

無料で使えるAIが生成した声で銀行口座への侵入に成功したとの報告
(画面はGigazineより)

皆さんこんにちは。
プライバシーザムライ中康二です。

AIの発達により、まさにその人が話しているかのような音声を生成できるようになってきています。ニュースサイトGigazineで、音声合成AIを使って金融機関の声紋認証を突破した事例が紹介されています。従来、音声合成で本人とそっくりの声を実現するには、長時間のラーニングが必要でしたが、最近のAI技術の発達により、30秒ほどの本人の音声データがあればかなりの精度で自動生成できるようになってきたため、リスクがより大きくなってきていると言います。

また、別の記事では同様に音声合成AIを使って、オレオレ詐欺を行った事例が紹介されています。従来のオレオレ詐欺はまさに「オレオレ、俺だよ」と数打てば当たる方式でやってきているわけですが、実在の人物の声のデータを使って、本人の実家に電話をかけてこれをやれば、成功確率が上がりそうです。

さらに、声だけではなく、その人の顔の動きを自動的に生成する技術も登場しており、日本のベンチャー企業HENNGEは、決算発表の動画で、社長からのプレゼンテーションにAIで作った音声と映像を採用しました。同社では、細かな文言の修正や英語版対応を容易にできる効果があったと言います。
HENNGE 2022年9月期 Q2 決算説明動画
(画面はHENNGE社Youtubeより)

これらの技術を活用すれば「政治家のフェイク演説」や「亡くなった俳優が登場する映画」などを作成することも可能になります。実際に一部そのような事象が発生していると聞いています。今後、情報セキュリティの面でも、もっと広く政治・文化の面でも、これらの音声合成・画像生成AIの技術に注目する必要があります。

無料で使えるAIが生成した声で銀行口座への侵入に成功したとの報告
https://gigazine.net/news/20230224-bank-account-ai-generated-voice/

「オレオレ詐欺」にAI製クローン音声を用いる事例が急増、被害額は年間15億円近くに
https://gigazine.net/news/20230306-phone-scam-ai-voice/

この社長、実は「そっくりアバター」。SaaS企業・HENNGEが「分身」で決算動画作った理由
https://www.businessinsider.jp/post-255836

(私のコメント)
声紋認証と言っても、それは声の周波数帯やイントネーションの特徴などを数値化して解析して活用するのだと思われます。音声合成AIも結局は同じことをして声を生成していると思われますから、声紋認証の方が人間よりも騙されやすいという傾向があるのかなと思います。今後、同じような問題が顔認証や指紋認証など、その他の様々な生体認証でも出てくる可能性が高いのではないかと思いました。AI技術の進展に要注意ですね。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

チューリッヒ保険は、個人情報が流出した顧客に500円の金券を送付したようです
(画像は実際に顧客に送付された手紙と金券)

皆さんこんにちは。
プライバシーザムライ中康二です。

国内で傷害・医療保険および自動車保険を展開するチューリッヒ保険会社は、委託先が不正アクセスを受けたことにより、自社の顧客の個人情報約76万件が流出したと、1月10日に発表しました。

今回流出した個人情報は、同社の「スーパー自動車保険」の加入者(契約終了者も含む)の
姓(漢字、カタカナ) 、性別、生年月日、メールアドレス、証券番号、顧客 ID、車名、等級など
最大で75万7463人
とのことです。

今回の同社の対応はとても素早く、事態が発覚した翌日に専用のフリーダイヤルを開設し、対外公表しています。これは素晴らしいことだと思います。

またもう一点特徴的なこととしては、同社がお詫びの手紙と一緒に500円分の金券(クオカード)を送付したことです。金券のことは同社のリリース文には記載されておらず、受け取った人だけが分かるようになっているようです。私はたまたまお知り合いの方が対象者だったので、教えていただきました。

チューリッヒ保険会社からのリリース文
https://www.zurich.co.jp/-/media/jpz/zrh/pdf/pr/2023/NewsRelease_20230110_ZurichInsuranceCompanyLtd.pdf

(私のコメント)
500円の金券を送付することは、2004年に発生したYahoo!BB事件以来、ある程度実績がある対応となりますが、近年ではあまり聞かないなあと思っていたところ、同社がそれを行ったと知り、少し驚きました。

詳細は未公表のため、あくまでも推定となりますが、76万人に500円の金券を送付すると単純計算で3億8千万円となります。同社の年間利益は76億円(2021年度)とのことですから、決して少ない金額とも言えないと思いました。

お詫びの金券送付については、「たった500円でお詫びしているつもりか」という顧客からの反発を招く可能性があります。一方で、総額の大きさを勘案した場合に、経営に与えるインパクトが大なり小なり出るため、当該企業が再発防止に向けた決意を(金額という形で)表明できる意味があると私は考えています。痛みを伴う決意表明と言ってもいいと思います。もちろんそれができるのは財務体質のきっちりとした大企業だけで、一般的な中小企業にこれを課すのは酷なことであると思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

【続々報】破産者情報公開サイトに対し、個人情報保護委員会が刑事告発
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、サービス提供の即時停止に関する「勧告」「命令」を行ったものの、それが実行されていないとして、刑事告発を行ったと1月11日に発表しました。

PPCによる「勧告」「命令」とは、個人情報保護法第145条に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うことを指示する段階的な行為です。これに対して、居所不詳の運営者は一切対応せず、Webサイトの運営を続けたことから、個人情報保護法の罰則規定に基づいてPPCが刑事告発したということのようです。

このWebサイトを運営しているサイトには、「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があり、そのような言い訳は通用しないと考えるべきです。

https://www.ppc.go.jp/news/press/2023/230111/

「勧告」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52161055.html

「命令」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52164899.html

(私のコメント)
インターネットが登場して以来、
「海外のWebサーバーを利用しているから違法ではない」
「匿名ネットワークを介しているから発信者はばれない」
「ビットコインで決済するから匿名で換金できる」
というようなことがまかり通ってきたのは事実です。

今回のPPCの取り組みは、そういうインターネットの負の側面に光を当てる結果となるのかどうか、今後も注目してきたいです。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

新幹線の車窓から見えた富士山
(写真は東海道新幹線の車窓から見えた富士山です)

新年あけましておめでとうございます。
プライバシーザムライ中康二です。

新春恒例の個人情報保護・情報セキュリティ10大ニュースをやってみたいと思います。

(10)【ISMS】取得事業者数が7000社を突破
景気のよいニュースから行きましょう。ISMS認証の取得事業者数が9月に7000社を突破しました。ISMSは部署限定で取得できることのメリットが幅広く認知されてきたようで、認証取得事例が増加し続けています。
 


(9)ビッグサイトや幕張メッセでのリアルイベントが再開
新型コロナやオリンピックの影響により、情報セキュリティに関連したリアルイベントの開催が縮小していましたが、ようやく復活の兆しが見え始めています。
 


(8)しぶとく蔓延するエモテット
本拠地が摘発され、サーバーが停止したはずのエモテットが再始動。暗号化ZIP圧縮したファイルを添付するなど、日本企業を狙い撃ちにしたものも登場し、蔓延が続きました。
 


(7)【個情法改正】個人情報の海外移転の規制が強化
4月に個人情報保護法(個情法)が改正され、個人情報の海外移転の規制が強化されました。委託もこの対象に含まれることから、海外の企業へ個人情報の取扱いを委託することのハードルがかなり高くなりました。
 


(6)破産者情報公開サイトにPPCが停止命令
官報に記載された破産者の情報を地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護委員会(PPC)が11月に停止命令を出しました。改正法の第19条(不適正な利用)の初適用になるのではないかと思われます。
 


(5)マイナンバーカードの利用が広がる
マイナンバーカードの普及率が高まり、マイナポータルの使い勝手も改善されてきました。専用のカードリーダーを使うのではなく、スマホで読み取らせる方式が定着し、民間での利用事例も増えてきました。
 


(4)ランサムウェア被害が広がる
つるぎ町立半田病院に続き、大阪急性期・総合医療センターでもランサムウェアにより電子カルテが使えなくなり通常の運営ができない事態となりました。病院以外でもランサムウェアの被害が多発しました。
 


(3)【個情法改正】漏えい時のPPC報告と本人通知が義務化
個情法改正からもう一つランクイン。個人情報を漏えいした場合のPPC報告と本人通知が義務化されました。特にPPC報告は5日以内の「速報」と30日以内の「確報」と期限が指定されたこともあり、事業者としては事前に準備しておくことが求められています。
 


(2)【ISMS】審査基準であるISO27001が改訂される
2022年は法改正、規格改訂の年でした。ISMSの審査基準が改訂され、ISO27001:2022になりました。情報セキュリティ対策を規定する附属書Aが全面改訂されたため、少なくとも適用宣言書を作り直さないと審査に通過できません。ただし猶予期間が3年ありますので、その間に対応してください。
 


(1)【Pマーク】新審査基準2022による審査が始まる
そしてプライバシーマークの審査基準も全面改訂されました。今回は法改正の対応に加えて、JIS Q15001の規格本文も取り込むために「J」から始まる新しい文書体系を採用しました。基本規程の書き換えが必須です。こちらは移行期間はなく、次の審査までに対応が必須です。
 


この情報が、皆様にとって何かの参考になればと思います。

今年もよろしくお願いいたします。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022-12-23_10h57_43
(画像は同社CEOのBlogをDeepL翻訳で日本語にしたものです)

皆さんこんにちは。
プライバシーザムライ中康二です。

今のクラウド時代においては、複数のサービスに同じパスワードを使いまわしすることは最も危険な行為となりますから、それを避けるためにはいわゆる「パスワード管理ツール」を使うことが必須となります。パスワード管理ツールを使うことで、私たちは記憶の限界を超えて、一つ一つのサービスごとに異なるパスワードを保存できるのです。

そのため、現在たくさんのパスワード管理ツールが存在していますが、そこには利用者のアカウントとパスワードが保存されていることから、常に不正アクセスの対象とされ、提供事業者は不正アクセスとの戦いを続けることになります。

その中の一つに「LastPass」というパスワード管理ツールがあります。

LastPassは、10年以上の歴史を持ち、ほとんどのブラウザで使用できて、スマホアプリもあるため、かなり利用者が多いパスワード管理ツールのひとつです。

このLastPassに対しても、過去から不正アクセスが何回も試みられ、その度にLastPass社は「利用者の登録したアカウントとパスワードは流出していない」との説明を行ってきました。

この流れが変わったのが、2022年8月にソースコードが流出したことです。ソースコードというのは、プログラムそのものの元となるテキストファイルのことで、これを解析すれば、どこに穴があるのか、どういう攻撃をすれば不正アクセスが可能になるかを知ることができるものです。

ソフトウェアの世界には二つの考え方があります。一般的にLastPassのような商業ソフトウェアはソースコードを非公開にすることで不正アクセスを防ぐという考え方を採用しています。一方で、オープンソースというソフトウェアはむしろソースコードを公開することで、みんなで問題をつぶしていって完成度を高めていくというものです。

LastPassの場合は、本来非公開のはずのソースコードが流出してしまったのですから、どこから攻撃を受けてもおかしくない状態になっていたと思います。

そしてそれが現実のものになりました。2022年12月、LastPass社は自社のバックアップサーバに不正アクセスがあり、利用者の登録したアカウントとパスワードなどを含むバックアップファイルが漏洩したと発表しました。

ただし、利用者が登録したアカウントとパスワードなどの情報は、利用者のマスターパスワードで暗号化されており、利用者のマスターパスワードはLastPass社としても保存していないことから、悪用される心配はないと説明しています。

とはいえ、LastPass社のセキュリティが大変危うくなっていることに変わりはありません。同社では2022年8月のソースコード流出以降、開発環境を再構築したり、様々な対策を取っているとしていますが、ソースコードが流出している以上、不正アクセスとの戦いにおいて劣勢は避けられないと思います。

結論として、私としては今後、Lastpassの利用は推奨しないものとします。現在利用されている方も早めに他のパスワード管理ツールに移行されることをお勧めします。

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

※なお、利用者の方にはアカウント削除をおススメしたいところですが、どうもアカウント削除をしようとするとうまく画面が出てこない場合があるようです。その場合にはアカウント「リセット」という機能を使うことで、登録したパスワード情報を一括消去してくれるようです。ご参考まで。

破産者情報公開サイトに対し、個人情報保護委員会が提供停止の命令〜刑事告発の段階へ〜
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、サービス提供の即時停止を「勧告」したところ、勧告が実施されていないため、次の段階である「命令」を行ったと、11月2日に発表しました。

個人情報保護委員会による「命令」とは、個人情報保護法第145条2項に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うように命令する行為です。個人情報取扱事業者が一つ前の段階の「勧告」に従わず、個人の重大な権利利益の侵害が切迫していると認識されたため「命令」が行われたようです。

このまま命令にも従われなかった場合には、第173条の罰則規定に基づき、1年以下の懲役または100万円以下の罰金の対象となり、個人情報保護委員会は、刑事告発の準備を進めているとしています。

なお、このWebサイトを運営しているサイトには、「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があり、今回の個人情報保護委員会の対応はこの規定を適用したものと思われます。

https://www.ppc.go.jp/news/press/2022/221102-1/

「勧告」時の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52161055.html

(私のコメント)
社会的に許されないと考えられる行為が発生し、当初はそれに対応した法律がなく、放置されている。それに対応するべく法律が改正され、それに基づく規制が当局によって適用されていく。

もちろん、こういうことは社会の様々な局面で過去からずっと続いてきていると思いますが、個人情報保護法は新しい法律でもあり、そういう状況をリアルタイムでウォッチでき、興味深いなあと思っております。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Image_20221007_112209_709
(画像はくるまのニュースより)

皆さんこんにちは。
プライバシーザムライ中康二です。

自動車のナンバープレートから、個人を特定できることはできるのでしょうか?
企業が個人情報を適切に取り扱ううえで、ナンバープレートの情報はどのように扱うべきなのでしょうか?

参考になる記事を見つけましたので、共有したいと思います。

この記事では、下記のように記しています。
・(軽自動車・二輪を除く)登録車には、車検証と同じ内容が記された「登録事項等証明書」の発行サービスがある。これにはもちろん所有者の氏名、住所などの個人情報が記載されている。
・「登録事項等証明書」は誰でも請求できるが、請求する際、ナンバープレートの番号に加えて、「車体番号」も必要である(2007年法改正により施行)。
・車体番号は車の本体に刻印されている番号であり、所有者以外には容易に見ることができないものである。
・また請求時、取得理由の確認や、請求者の本人確認も行われる。
・軽自動車の「検査記録事項等証明書」は、そもそも所有者しか取得できない。
ということです。

上記の内容を総合すると、自動車のナンバープレートの情報があったとしても、「他の情報と容易に照合することにより特定の個人を識別できる」とは言えません。

すなわち、通常の企業の場合には、ナンバープレートの情報があったとしても「個人情報ではない」としてよいと言えると思います。

ただし、自動車保険会社のように、自動車のナンバープレートの情報を個人情報と関連付けて登録しているような場合には、もちろん個人情報になりますので、ご注意ください。

また余談ですが、警察当局は自動車登録情報のデータベースにアクセスする権限を持っていますから、犯罪捜査などの目的であれば、自動車のナンバープレートから所有者情報を容易に知ることができるようになっています。ご参考まで。

個人を特定できる!? ナンバープレートで個人情報は分かるのか SNSアップ問題ない?(くるまのニュース)
https://kuruma-news.jp/post/554194

【用語集】個人情報の定義は何ですか?どこまで含まれるのですか?
https://www.optima-solutions.co.jp/archives/5935

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報保護委員会
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会(PPC)は、官報などに掲載された破産者の個人情報を、地図上にマッピングして一覧できるようにしているWebサイトに対して、個人情報保護法違反が認められるとして、7月20日に、サービス提供の即時停止を勧告しました。

個人情報保護委員会による「勧告」とは、個人情報保護法第145条に基づく行為であり、個人情報取扱事業者に対して、特定の内容を行うように強く指示することです。個人情報取扱事業者が勧告に従わなかった場合には、次の段階の「命令」を行うことになります。命令にも従わなかった場合には、第173条の罰則規定に基づき、1年以下の懲役または100万円以下の罰金の対象となります(刑事罰となりますので、当局による取り調べ、逮捕拘留などののち、裁判にかけられることになると思われます)

今回、適法性が問われているのは
個人情報保護法第19条(不適正な利用の禁止)
個人情報保護法第21条1項(取得に際しての利用目的の通知等)
個人情報保護法第21条1項(第三者提供の制限)
とのことです。

特に、第19条の不適正な利用の禁止は、2022年4月施行の改正法で追加された内容で、今回が初の適用事例にあたるのではないかと思われます。

(不適正な利用の禁止)
第十九条 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

「違法又は不当な行為」とは、「個人情報保護法やその他の法令に違反する行為だけではなく、直ちに違法とはいえないものの、個人情報保護法やその他の法令の制度趣旨又は公序良俗に反するなど、社会通念上適正とは認められない行為をいう」とされ、今回の第19条は細かな規定によるのではなく、ざっくりと網をかけるように「不適正な利用」を禁止する内容となっています。

さらに、個人情報保護法ガイドライン通則編では、不適正な利用の例として、今回のような方法で個人情報を公開することを例示し、その違法性を直接的に説明しています。

【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】
事例2)裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合

それにも関わらず、今回また同じような方法により破産者の情報を公開するWebサイトが現れたことに対して、個人情報保護委員会としては、厳しく対応する方針のようです。

なお、今回のWebサイトには海外のサーバーを利用していると記載されており、運営者も海外にいる、または運営者の居住地が分からないのではないかと思われます。そのため、個人情報保護法第160条に新設された「公示送達」の規定を利用したとのことです。

https://www.ppc.go.jp/news/press/2022/220720/

(私のコメント)
2019年ごろから、官報に掲載された破産者情報を地図上にマッピングして一覧できるようにするWebサイトが作成され、そのたびにネットユーザーの非難にあって炎上したり、個人情報保護委員会が指導したりして停止に追い込まれるということを繰り返してきています。

今回問題となっているサイトは、過去10年以上の自己破産者(数百万人程度と思われます)の情報を掲載し、削除希望する場合には、6万円分のビットコインを送金するようにと記載しています。一種の「恐喝」に近い方法で運営されており、社会的に見ても全く許されない行為だと思います。

サイトには「このウェブサイトの運営は海外で行われており、現地の法律が適用されます」などと記載されていますが、改正個人情報保護法第166条では、日本に住んでいる人の情報を取り扱う場合には、外国において取り扱ったとしても日本の個人情報保護法を適用するとの域外適用の規定があります。今のようなことは許される行為ではなく、このままいくと運営者は処罰を免れないと考えられます。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022-06-24_11h48_51
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

日本の個人情報保護の総元締めである個人情報保護委員会(PPC)が、6月10日に昨年度の年次報告を公開しました。

その内容によると、昨年度の一年間で国内の民間事業者が起こした個人情報の漏えい事件の報告件数が5,846件となり、一年前の4,141件から増加したとのことです。

このうち、委員会に直接報告されたのが1,042件、監督官庁を経由しての報告が2,386件、認定個人情報保護団体を経由しての報告が2,418件とのこと。

これに対して、報告の徴収を実施したのが329件、立ち入り検査を行ったのが4件。

その結果として、指導及び助言を行ったのが217件、法的に強制力を持つ勧告を行ったのが3件、さらに厳しい命令を行ったのが1件となっています。この命令の1件は官報に掲載された破産者のデータを集約してインターネット上で公開していたWebサイトに対するもので、勧告を行ったのに従われなかったために実施したものとのことです。

年次報告
https://www.ppc.go.jp/aboutus/report/

実施した命令の詳細
https://www.ppc.go.jp/files/pdf/220323_houdou.pdf

個人情報の漏えい等の報告フォーム
https://www.ppc.go.jp/personalinfo/legal/leakAction/

(私のコメント)
個人情報の漏えいに関する報告は、4月1日の改正法の施行により、全ての民間事業者の義務となりました。ですから、今後はさらに数字が増えていくものと思われます。また、認定個人情報保護団体を経由しての報告は廃止されますので、皆様ご注意ください。

しかし、年間予算39億円で、よくここまでの活動が継続されているものだと思います。本当に政策の運営というのはお金の問題ではないのだと思います。今後も個人情報保護委員会のリーダーシップの下、私も日本の個人情報保護の取り組みに協力していきたいと考えています。

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ