月別アーカイブ: 2022年11月

GDPR

2022/11/17★寺川貴也が注目する最新news topic★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

<NTTデータの子会社への制裁

前回のAIポリシーの話題で紹介しようと思って忘れていたことがあります。それは、CAIDPのトレーナーから伝えられた次の言葉です。

”Lawyers first think if it’s binding or not, but policy makers first think if it support the democratic value or not”
(法律家は「拘束力があるか」をまず考えるが、ポリシーメーカーは民主主義の価値を支持するかをまず考える)

立場によって「かぶる帽子」(マインドセット)を切り替えるということのとても分かりやすい例で、勉強になりました。私たちは、「立場」によって話し方が変わります。そして、「立場」によってふさわしい考え方があります。これをうまく使い分けたいものです。

今日の本題ですが、2022年11月10日にNTTデータのスペイン子会社がスペイン監督機関であるAEPDから64000ユーロの制裁を受けたと日経新聞が報じていました。この判決は10月9日に出たものでArt. 5 (1) f) GDPR(機密性、完全性), Art. 32 GDPR(処理のセキュリティ)への違反に対するものです。具体的には、2021年9月の調査で発覚したEVERIS社(2021年10月までの社名、現在はNTTデータスペイン)の個人データ保護に対する技術的措置への不備に対する制裁措置でした。EVERIS社は2019年にランサムウェアの被害にあっており、これに対する制裁かと思われます。データ侵害により「保険会社のユーザーの販売データに関する情報と、保険会社のスペインの顧客の個人データの記録を公開」することとなったが、それを予防するセキュリティ対策が不十分だったということです。

日本の個人データ保護対応では、日本企業が制裁を受けたら他の企業も真剣度がさらに上がるといわれてきました。実際、このニュースを機にSNSで「日本でいっしょにビジネスをしましょう」と呼びかける日本のプライバシー関連企業もあり、他人の不幸をメシの種にするコンプライアンス系のコンサルティング会社の定石を再確認した気がしました。

今回の件に関しては、ランサムウェアで流出したデータへの保護不足というのが性質のようなので、保管データの暗号化等、流出を前提としたセキュリティ対策への移行を促すものと考えていただければよいのでしょう。エンドポイントセキュリティも重要ですが、サードパーティサービスを利用する限りはセキュリティホールはふさぐことができないため、なかなか悩ましいところです。

GDPRの日本企業への制裁として今回のケースは初めてのケースでしたが、シンガポールではPDPA違反ですでに数多くの日本企業が罰金を科されています。新聞やメディアはニュースになるものを報じます。ただ、実際のオペレーションはニュース性が重要なわけではないので、実際に影響をうける法域について、満遍なく目配りをしておきたいところです。

https://www.pdpc.gov.sg/All-Commissions-Decisions

もう一点付け加えておきたいことは、データ侵害や制裁を経験することは好ましいことではないものの、その結果として得られる組織の進化にも価値を見出しておくとよいということです。データ侵害や制裁のコストは、次のステージに上がるための授業料という側面もあります。NTTデータは現在、私が知る限り、とても先進的なセキュリティ対策を導入されている企業です。スペインの事例だけではないのでしょうが、学習され前に進んだ結果なのでしょう。

▼関連資料
https://www.aepd.es/es/documento/ps-00401-2022.pdf

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

GDPR

2022/11/10★寺川貴也が注目する最新news topic★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

<AIポリシーの動向

ノーベル賞作家のカズオイシグロさんの最新作「クララとお日さま」はAIをテーマとした小説です。私もまだ読み始めたところですが、AF(Artificial Friend)とよばれる人工知能を搭載したロボットと人間の友情を描いた物語だといいます。カズオイシグロさんは、この小説を書くにあたって、Google等の先進企業のAI開発者にインタビューを繰り返したそうです。作家の方は、作品に命を込めるために取材を徹底しますね。

 

著名な作家もAIをテーマにすることからも推測できるように、このところAIに関するニュースが増えています。

 

▼先週金曜日(11月4日)には欧州のAI法のテキストが欧州評議会で可決され、次の審議に進む予定だというニュースが流れてきました。

https://www.euractiv.com/section/digital/news/ai-act-czech-eu-presidency-makes-final-tweaks-ahead-of-ambassadors-approval/

 

▼翌土曜日(11月5日)には、前回のメルマガでも少し触れた顔認識技術についての勧告(Resolution on Principles and Expectations for the Appropriate Use of Personal Information in Facial Recognition Technology)のテキストが正式に公表されました。

https://globalprivacyassembly.org/wp-content/uploads/2022/11/15.1.c.Resolution-on-Principles-and-Expectations-for-the-Appropriate-Use-of-Personal-Information-in-Facial-Recognition-Technolog.pdf

 

▼10月31日にはシンガポール政府が当面AIを犯罪事件の裁判で量刑を決めることに使う予定がないというニュースが流れています。

https://www.straitstimes.com/singapore/courts-crime/s-pore-not-likely-to-use-ai-in-sentencing-in-foreseeable-future-chief-justice

 

▼10月28日には欧州委員会がAI版PL法となるAI責任指令を提案しています。

https://ec.europa.eu/commission/presscorner/detail/en/ip_22_5807

 

AIは今最もホットな話題の一つです。

 

実は、日本はAI倫理の分野では世界で最も早く取り組みを始めた国の一つです。世界標準となっているOECDのAI原則やG20のAI原則は日本のAI研究開発ガイドラインの影響を受けています。まだ原則の整備に取り組む国が多い中、日本はすでにAI戦略を2019年から毎年定め、AIポリシーの実装(implementation)段階に遷移しています。

この事実は世界的にAIの導入が遅れているという日本の現状とギャップを感じさせます。政府の意図と実態との乖離が生じている理由はどこにあるのでしょうか。

 

個人情報保護委員会は現在、「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」というものを定期的に開催し、カメラ画像の利活用についてのガイドラインを作ろうとしています。有識者たちがガイドラインについて非常に精度の高い議論をしているのですが、有識者検討会の議事録のある部分に先ほどの触れた「乖離」の理由を見た気がしました。

 

<引用>

「こういった掲示や通知公表の事項を実際に具体例として示すと、掲示の案などを忠実にコピーすることが適切な表示を実施していると考える事業者が多い。典型例はJISQ15001の個人情報保護指針。例えばいわゆる個人情報・プライバシー保護を専門と標榜する方が、例えば顔認識と書いたら、それは識別ではないかと、本当に細かく高度な用語の使い分けについても指摘をすることが頻繁にある。そうすると事業者側としては、具体

的に工夫をして何か文言を検討しようにも、工夫した途端、非難の対象になるという、非常に苦慮せざるを得ない対応が多々あった。今回の対応としては、忠実にコピーしていただくようなすばらしい掲示案を、今回の案として提示いただくというのが1つかと思う」

 

赤裸々な意見で思わず笑ってしまったのですが、日本のコンプライアンスの現状認識としてはわりと一般的なものかもしれません。形式的にコピーしたらよいものを政府が「与え」、遵守する側がコピーするという関係からは、創造的な関係はなかなか期待できそうにはありません。

 

ちなみに「いわゆる個人情報・プライバシー保護を専門と標榜する方」と言われている人がどういう方かはわかりませんが(私でないことを祈っています(苦笑))、こういわれないためにも「IAPPのトレーニングでグローバル標準のプライバシー保護を学びましょう」と便乗して宣伝すると、プライバシーの専門家の風上にもおけないとお叱りを受けるでしょうか。

 

当社が提供しているIAPPのトレーニングは11月から諸外国の価格に合わせて価格改定しましたが、その一方でCIPTトレーニングやFoundation Training(2023年1月よりご案内予定)、認証試験対策コース「Exam preparation」(今月内にご案内予定)も増えています。ぜひ受講をご検討ください。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

GDPR

2022/11/2★寺川貴也が注目する最新news topic★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

中国のデータ越境移転に関する動向(続編)

11月になり、今年も残すところわずか2か月となりました。当社は11月が期の始まりなので、新たな年度に向けて気持ちを新たにしているところです。今期も新たなサービスと有用なサポートを届けられるようスタッフ一同努めてまいります。

 

前回中国の越境データ移転に関するセキュリティ評価への問い合わせが増えているという話を紹介しました。その後、すでにいくつかの会社が当局に申請したことや大手企業の中には当局から却下された企業もあることがわかりました。越境データ移転に関するセキュリティ評価では、PIAに加え、移転先のセキュリティ体制の状況等、移転に関する特有の評価も必要であり、この評価の仕方についてまだ十分方法が定まっていないというのが現状のようです。

 

中国語ですが、以下のページ(TMT法律论坛)が比較的よくまとめてくれているため、セキュリティ評価の考え方について整理したいときには参照してください。

https://mp.weixin.qq.com/s?__biz=MzU4MDY4NzE1Nw==&mid=2247490519&idx=1&sn=250c64f9249ba00fc0f552129385a27c&scene=21

 

越境移転に関連して話をすると、トルコのイスタンブールでは10月末、GPA (Global Privacy Assembly)が開催されていました。GPAは世界各国の当局が年に一度集まって、データプライバシーに関するポリシーについて協議する場であり、データプライバシーの重点的な取り組み領域を知るために重要な会議の一つです。今年はGPAがカリフォルニア州の当局であるCalifornia Privacy Protection Agency (CPPA) を投票権のあるメンバーとして加えたというニュースも流れていました。

 

このGPAで最近常に取り上げられる課題はデータの越境移転です。欧州と米国の間のデータ流通については米国の大統領令を受けてPrivacy Shield 2.0の発効が待たれているほか、DFFT(Data Free Flow with Trust)という各国間のデータの自由な流通についての議論も行われました。詳しい情報はありませんが、この議論の中心にいる専門家からはため息ばかりが聞こえてきます。2023年に開催されるG7ではDFFTについて日本政府が何らかの宣言を公表したいと考えているようです。データの越境移転はデジタル社会の要となるため、少しでも進展がみられることを願っています。

 

最後に、次回のこのコラムに関連する内容ですが、GPAでは顔認識技術についての適正な利用に向けた勧告(resolution)が採択されました。顔認識技術は犯罪捜査で有効性を示してきましたが、同時にバイアスの問題や監視社会化への懸念が指摘されてきた技術です。今回の勧告では6つの原則(法的根拠があること、合理的かつ必要であり行き過ぎていないこと、人権を保護すること、透明性を担保すること、データ保護の原則を考慮すること)を要求しています。

顔認識技術については、私がAIについてのポリシーを学んでいるCAIDPが積極的に禁止を働きかけていました。そのため、GPAの勧告は私個人にとっては感慨あるニュースでした。余談ですが、ポリシーについて学ぶ中で、私たちの先生がこう言っていました:「法律は「拘束力があるかどうか」を問題とするが、ポリシーは「民主的な社会にとって正しいかどうか」を問題にする」

データプライバシーの先には「将来世代にどのような社会を残したいか」という問いがありますが、まさしくポリシーとしての視点が重要なのだと思います。

 

 次回はAIについてのガイダンスが増えてきていますので、この話題を取り上げようと思います。

▼中国のセキュリティ評価申請状況、GPAでの議論

https://www.caidp.org/

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

GDPR

2022/10/27★寺川貴也が注目する最新news topic★

<中国のデータ越境移転に関する状況>

 10月14日から10月22日にかけてシンガポールに仕事で行っていました。シンガポールは今雨季だそうで、前回7月に行ったときと比べると幾分涼しくなっていました。

 

今回の出張の目的はシンガポールのデータプライバシー認証であるDPTM (Data Protection Trust Mark)の認証と現地パートナーとの打ち合わせでした。認証の仕事は現地認証機関との情報交換の場ともあるため貴重です。また、現地パートナーとの打ち合わせではグローバル事業責任者との打ち合わせもでき、実り多い時間となりました。余談になりますが、私が打ち合わせをした責任者の方はまだ30代の若い方です。すでに多くの経験を積んでおり、家もアメリカに3件持っているそうで、いつでもリタイアできるけれども、もうひと仕事をしてからにしたいと言っていました。

 

日本から足を踏み出すとこういう方と出会う機会がたくさんあります。彼らと仕事をするのは大変なこともありますが、そういったトップレベルの人たちと仕事ができる会社であり続けるために、日々こちらも研鑽を積んでおく必要があると改めて感じた時間でした。

 

今日の話題は中国の越境データ移転についてです。すでに9月1日に「数据出境安全评估申报指南」が出たことは当社の会員サイトやメールマガジンでもお知らせしてきましたが、2か月ほどしてこの件に関する相談や質問が増えてきた印象があります。もっとも、米国の企業からは出た直後から活発に質問があったので、個人的には少し時間がかかったな、という印象も持っています。

 

少しおさらいですが、中国法についてはデータの越境移転を適法化する方法として大きく3つの方法があります。一つ目は当局が規定する「セキュリティ評価」に合格すること、二つ目は「越境移転についての認証」を取得すること、三つめは「標準契約」を締結することです。いずれについても個人からの「単独同意」の取得する必要があります。今年の9月1日に出たのはこのうちの「セキュリティ評価」に該当し、管理者は2023年3月1日までに対応することが要求されています。

 

対象者は以下です。

  1. 重要データを国外(境外)に提供するデータ処理を行う場合
  2. 重要情報インフラ事業者及び100万人以上の個人情報についてデータ処理を行う者が国外(境外)に個人情報を提供する場合
  3. データ処理を行う者が、前年の1月1日から累計で10万人分の個人情報または1万人分のセンシティブな個人情報を国外(境外)に提供する場合
  4. その他、国家インターネット情報局が規定する、データ越境セキュリティ評価の申告を必要とする場合

 

比較的現実的な適用範囲が設定されているため、B2Bでビジネスをされている場合は該当しないケースが多いと考えられます。対消費者でサービスを提供しているeコマースについては適用の可能性があるため対応を進めてください。

 

ちなみに、データの越境移転とは次の行為を指しています。GDPRでは越境移転とみなされていない2つ目のケースについてもセキュリティ評価の対象となるため、この点も注意が必要です。

  1. データ処理を行う者が国内(境内)業務を通じて収集、及び生成したデータを国外(境外)に転送、保管する場合
  2. データ処理を行う者が収集、及び生成したデータを国内(境内)に保存し、国外(境外)の機関、組織または個人が照会、検索、ダウンロードもしくはエクスポートできる場合
  3. その他、国家インターネット情報局がデータ越境移転と定める行為

 

セキュリティ評価自体は特に難しいものではないといってよいでしょう。ただ、この評価はセルフアセスメントにとどまらず現地当局の承認を得る必要があるため、慣れていない企業の場合現地コンサルタントとの連携が必要となります。また、中国はMLPS(等級保護)を通じて日本の一般的な(暗黙の)水準よりも高い水準でのセキュリティ対策を要求しているため、本当に対応を行うつもりであればセキュリティソリューションを備えたコンサルティング会社やパートナーと連携する必要もあるでしょう。

 

データプライバシー対策は、今では法律の原文を解釈するだけでは十分といえない時代になっています。プライバシーとセキュリティをセットで対応するようにしていただければと存じます。

 

▼「数据出境安全评估申报指南」への対応

http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm