「Privacy Shield」タグアーカイブ

2022/12/6★寺川貴也が注目する最新news topic★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

<Meta社の事例が教えてくれること ~個人データ保護対応は中身を問われる時代に~

寒さがすっかり増してきました。気が付けば12月に入り、今年も残すところわずか一か月です。
2022年もいろいろな出来事があり、あっという間に過ぎていった気がします。例年通り大変なことも良かったこともありました。
こうして仕事を続けさせていただいているお客様、そしてメルマガの読者の皆様には心から感謝しています。

先日当社の会員サイトでMeta社に対するDPC(アイルランドの監督機関)の制裁事例を紹介しました。
過去の12件のデータ侵害に対する罰金として1700万ユーロという巨額の制裁金が科されたという事例です。
私たちが制裁事例に目を通すのは、制裁金の大きさで企業を驚かせるためではなく、事例を通じて当局の考え方や姿勢を知ることができるからです。

今回のMeta社の事例は個人データ保護対策の「実証」(demonstration)が着目された事例でした。
DPCは決定の中で、繰り返しMeta社の実装している仕組みやアプローチ、対策の水準の高さを認めつつも、
「技術的・組織的セキュリティ措置の実施状況について、効果的に実証するための十分な情報が提供されていない」と指摘しています。
結果的に12件のデータ侵害を起こしてしまう欠陥のある対応だったと暗に指摘しているわけです。
個人的には、Meta社のような先進的な取り組みを進めている会社の場合、未知の問題に遭遇することも多く、完全を期することはできないと考えています。
これを厳しく取り締まると、企業にとっては委縮効果となってしまわないか少し心配です。規制は時に技術の発展を過度に減速させます。
ブレーキを踏むのは重要ですが、踏み続けると組織にとっても社会にとってもリスクをもたらします。

ともあれ、Meta社のように社会的に大きな影響力のある企業が取り締まりの対象となるのは、
それをもって当局としての明確なメッセージを伝えるという意図もあるはずです。
GDPRが施行されたばかりの2018年は、まず「体制整備」を行っていればよいという空気がありましたが、
今回の決定はそこからさらに一歩進んだものと言ってよさそうです。
今後は「実証」できることがより要求されるようになるのではないかと感じています。

実は、当社が今関わっているいる案件でも同様に「実証」について取り組んでいる事例があります。
何をしていれば「実証」していることになるのか、というのはなかなか難しい課題です。
Meta社の決定を見る限りは、きめの細かいマネジメントを要求されていることがうかがえます。
これをきっかけにプライバシーマネジメントソフトの導入が進むかもしれません。
同時に、作業が膨大となる中、コンプライアンス対応の効率化も重要なテーマとなるような気がします。

これは来年の話になりますが、当社のかかわるプロジェクトで中国やWeb3の分野でのコンプライアンス対応についてのウェビナーが予定されています。
また、4月にはワシントンDCでグローバルコンプライアンスをテーマに話をする機会をいただいています。
こういった機会を通じ、今後のコンプライアンスの在り方を少しでも紹介していければと準備をしています。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2022/12/2★寺川貴也が注目する最新news topic★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

<DPOサービスについて

私たちの会社はコンサルティングサービスを行っているので「これ」と決まったサービスがあるわけではありません。
会社が専門とするトピック、私たちの場合はデータプライバシー、データセキュリティ、データガバナンスといった分野に関連してお客様の課題をお伺いし、
その解決のための取り組みをご一緒させていただくという仕事をしています。
お客様のお話を伺っているとその時々の関心が伝わってきます。
興味深いのは、お客様の関心事は同じ時期に同じ方面に向かっているケースが多いように感じることです。
最近多く相談を受けるのは、DPO(データ保護責任者)についてです。

DPOは欧州GDPRの施行と共に大きな関心を集めました。今では欧州以外でも数多くの地域でDPO任命が要求されています。
GDPRではDPOは次のような能力の持ち主であるべきだとしています。

・GDPRに対する深い理解と国内および欧州のデータ保護法と慣行に関する専門知識
・組織が個人データをどのように処理するかについての深い理解
・情報技術とデータセキュリティの理解
・組織と組織が運営する事業部門に関する十分な知識
・組織内でデータ保護文化を促進する能力

DPOは法規制のみならず情報セキュリティや組織運営についての知識をもち、かつビジネスの内容を正しく理解して当該組織にとって最適なデータ保護体制を実現できることが求められます。
また、高い独立性を持ち、正当な業務の結果行った判断を理由に解雇することができないという、護られた存在でもあります。

企業や組織にとっての悩みは、このような人材をどのように確保するのか、そしてこのような特権的な従業員をどう扱うべきか、といった点に収斂します。
欧州や北米では法律の知識が重視され弁護士資格を持った人がDPOとなることが多いようです。
ただ、彼らは技術的な理解が足りないという批判の対象ともなっています。セキュリティ担当者がDPOの役割を兼務するというケースもしばしばあります。
この場合は技術的なソリューションに拠りすぎる傾向があり、データ保護の精神が抜けてしまっているという批判の対象になっていることがあります。
データ保護/プライバシーの専門家というのは、従来の専門家の枠組みだけでは網羅できない独立した新しい専門職といってよいでしょう。

国外では今DPOサービスというものが広まりつつあります。DPOをアウトソースするというサービスです。
当社でも、海外のお客様を中心に利用が広がりつつあります。
プライバシーの専門家を雇うことが難しいという現状に加え、「解雇できない」という制約を多少緩和できる点がDPOサービスのメリットです。

知識や経験をアウトソースすることで短期的に補充するという考えは合理的です。
かなうことなら、DPOをアウトソースするのと同時並行で組織内に将来の人員を組織の中で養成するとよいでしょう。
DPOは本来組織内の人間が担うのがベストだからです。
外部委託でのDPOサービスの場合、「組織と組織が運営する事業部門に関する十分な知識」という点についてはなかなか組織内部の方に追いつくことはできません。

DPOサービスのメリットは「知識」と「経験」を外部から短期的に持ち込むことです。
DPOサービスを選択する際は、サービスを提供するコンサルタントが有資格者であることも大切です。
プライバシー業界が立ち上がって5年以上が経過しています。
我流ではない、業界のgood practiceを身に着けたコンサルタントから支援を受けたいものです。

社内のプライバシー専門家の育成やDPOの養成にはIAPPの公式トレーニングが有効です。また、当社のDPOサービスではIAPPの有資格者がお客様の業務を代行します。
ご関心のある方はぜひお問い合わせください。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2022/11/22★寺川貴也が注目する最新news topic★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

<中国で個人情報処理についての認証活動が開始へ

プライバシーの仕事をしていてよいところは、常に新しいことが起き続けることです。ニューストピックも、始めた時はそんなに書くことがあるかと心配しましたが杞憂でした。毎回いくつかのトピックの中から書くべきことを選択するという状態です。

2022年11月18日に、国家市場管理局と国家インターネット情報局が、「個人情報保護認証実施についてのルール」を公布し、中国国内での個人情報認証に号砲をならしました。今回公布されたルールによると、越境移転を行わない場合にはGB/T 35273 「情報セキュリティ技術 個人情報セキュリティについての仕様」への遵守を、越境移転を行う場合には、GB/T 35273に加えてTC 260-PG-20222A「個人情報の越境処理活動セキュリティ認証についての仕様」に準拠することを求めています。

認証は3年間有効であり、認定を受けた第三者認証機関が「技術認証」、「現地監査」、「認証取得後の監督」の3つを行うことで運用されます。「技術認証」とはいわゆる(書類等による)「審査」です。「現地監査」とは審査機関がオンサイトでの「監査」を指します。「認証取得後の監督」はサーベイランスと呼ばれるもので、継続的に認証に関する水準を組織が維持していることを確認する作業を言います。

今回公布された認証制度は、ごく簡単にいうならば、中国版プライバシーマークと理解して問題ありません。もちろん、取得も任意です。

認証への注目が集まっていた理由の一つは、PIPL第38条第1項が越境移転を許容するための手段の一つとして「認証による適法化」を掲載していることにありました。中国国外の企業がこの「認証」を取得している場合、中国国内企業が中国国外企業への個人情報の移転を自由に行うことは可能となるでしょう。ただ、中国国外の組織が中国の認証を取得することは非常に困難です。(おそらく文書も中国語であることが求められることでしょう。) 実務面から言えば、「認証」をもとに中国個人情報の越境移転を行うことは無理がありそうです。

少し脱線しますが、よく聞かれる越境移転について簡単に触れておきます。中国の個人情報越境移転の規制はすべてのデータ移転を規制しようとしているわけではなく、「規制が必要な」越境移転についてのみ考えることを覚えておいてください。2022年7月7日に国家インターネット情報局が公表したQ&Aによると、「データ輸出に関する評価についてのガイダンス」が対象としているのは次の2つのケースです。

1)データ処理を行う者(いわゆる「管理者」)が中国国内業務で取得、生成したデータを国外に送信・保存するデータ
2)データ処理を行う者(いわゆる「管理者」)が取得、生成したデータが中国国内に保存され、中国国外の組織等がアクセス、あるいは呼び出すことができるデータ

越境移転が規制される理由は、データが外国の団体や人にアクセスされ、コントロール不能となるリスクが生じる可能性があるためです。データが国外に出なければリスクがないわけでもありませんし、国外に出るからと言ってかならずリスクがあるわけでもありません。事実、TCP通信のハンドシェイク等は越境移転規制の対象外です。越境移転規制について考える際は、データが国外に出ることによって生じる特定のリスクに焦点を当てるようにしてください。

認証の話に戻ると、現在中国では、「アプリの個人情報保護認証」、「データセキュリティマネジメント認証」、「個人情報保護認証」の3種類の認証制度があります。「アプリの個人情報保護認証」は本来「個人情報保護認証」に含まれているべきなのですが、アプリの規制が喫緊の課題となっていたため先に作られています。「データセキュリティマネジメント認証」はISO27000シリーズ等をベースとしたマネジメントシステムについての認証です。

認証は客観的に個人情報保護やデータセキュリティ対策を保証してくれる仕組みでもあるので、必要に応じて賢く取得しておくとよいでしょう。

▼関連サイト
https://mp.weixin.qq.com/s/aEbmbWUf4mEqyIiUPe0lIg

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2022/11/17★寺川貴也が注目する最新news topic★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

<NTTデータの子会社への制裁

前回のAIポリシーの話題で紹介しようと思って忘れていたことがあります。それは、CAIDPのトレーナーから伝えられた次の言葉です。

”Lawyers first think if it’s binding or not, but policy makers first think if it support the democratic value or not”
(法律家は「拘束力があるか」をまず考えるが、ポリシーメーカーは民主主義の価値を支持するかをまず考える)

立場によって「かぶる帽子」(マインドセット)を切り替えるということのとても分かりやすい例で、勉強になりました。私たちは、「立場」によって話し方が変わります。そして、「立場」によってふさわしい考え方があります。これをうまく使い分けたいものです。

今日の本題ですが、2022年11月10日にNTTデータのスペイン子会社がスペイン監督機関であるAEPDから64000ユーロの制裁を受けたと日経新聞が報じていました。この判決は10月9日に出たものでArt. 5 (1) f) GDPR(機密性、完全性), Art. 32 GDPR(処理のセキュリティ)への違反に対するものです。具体的には、2021年9月の調査で発覚したEVERIS社(2021年10月までの社名、現在はNTTデータスペイン)の個人データ保護に対する技術的措置への不備に対する制裁措置でした。EVERIS社は2019年にランサムウェアの被害にあっており、これに対する制裁かと思われます。データ侵害により「保険会社のユーザーの販売データに関する情報と、保険会社のスペインの顧客の個人データの記録を公開」することとなったが、それを予防するセキュリティ対策が不十分だったということです。

日本の個人データ保護対応では、日本企業が制裁を受けたら他の企業も真剣度がさらに上がるといわれてきました。実際、このニュースを機にSNSで「日本でいっしょにビジネスをしましょう」と呼びかける日本のプライバシー関連企業もあり、他人の不幸をメシの種にするコンプライアンス系のコンサルティング会社の定石を再確認した気がしました。

今回の件に関しては、ランサムウェアで流出したデータへの保護不足というのが性質のようなので、保管データの暗号化等、流出を前提としたセキュリティ対策への移行を促すものと考えていただければよいのでしょう。エンドポイントセキュリティも重要ですが、サードパーティサービスを利用する限りはセキュリティホールはふさぐことができないため、なかなか悩ましいところです。

GDPRの日本企業への制裁として今回のケースは初めてのケースでしたが、シンガポールではPDPA違反ですでに数多くの日本企業が罰金を科されています。新聞やメディアはニュースになるものを報じます。ただ、実際のオペレーションはニュース性が重要なわけではないので、実際に影響をうける法域について、満遍なく目配りをしておきたいところです。

https://www.pdpc.gov.sg/All-Commissions-Decisions

もう一点付け加えておきたいことは、データ侵害や制裁を経験することは好ましいことではないものの、その結果として得られる組織の進化にも価値を見出しておくとよいということです。データ侵害や制裁のコストは、次のステージに上がるための授業料という側面もあります。NTTデータは現在、私が知る限り、とても先進的なセキュリティ対策を導入されている企業です。スペインの事例だけではないのでしょうが、学習され前に進んだ結果なのでしょう。

▼関連資料
https://www.aepd.es/es/documento/ps-00401-2022.pdf

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2022/11/10★寺川貴也が注目する最新news topic★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

<AIポリシーの動向

ノーベル賞作家のカズオイシグロさんの最新作「クララとお日さま」はAIをテーマとした小説です。私もまだ読み始めたところですが、AF(Artificial Friend)とよばれる人工知能を搭載したロボットと人間の友情を描いた物語だといいます。カズオイシグロさんは、この小説を書くにあたって、Google等の先進企業のAI開発者にインタビューを繰り返したそうです。作家の方は、作品に命を込めるために取材を徹底しますね。

 

著名な作家もAIをテーマにすることからも推測できるように、このところAIに関するニュースが増えています。

 

▼先週金曜日(11月4日)には欧州のAI法のテキストが欧州評議会で可決され、次の審議に進む予定だというニュースが流れてきました。

https://www.euractiv.com/section/digital/news/ai-act-czech-eu-presidency-makes-final-tweaks-ahead-of-ambassadors-approval/

 

▼翌土曜日(11月5日)には、前回のメルマガでも少し触れた顔認識技術についての勧告(Resolution on Principles and Expectations for the Appropriate Use of Personal Information in Facial Recognition Technology)のテキストが正式に公表されました。

https://globalprivacyassembly.org/wp-content/uploads/2022/11/15.1.c.Resolution-on-Principles-and-Expectations-for-the-Appropriate-Use-of-Personal-Information-in-Facial-Recognition-Technolog.pdf

 

▼10月31日にはシンガポール政府が当面AIを犯罪事件の裁判で量刑を決めることに使う予定がないというニュースが流れています。

https://www.straitstimes.com/singapore/courts-crime/s-pore-not-likely-to-use-ai-in-sentencing-in-foreseeable-future-chief-justice

 

▼10月28日には欧州委員会がAI版PL法となるAI責任指令を提案しています。

https://ec.europa.eu/commission/presscorner/detail/en/ip_22_5807

 

AIは今最もホットな話題の一つです。

 

実は、日本はAI倫理の分野では世界で最も早く取り組みを始めた国の一つです。世界標準となっているOECDのAI原則やG20のAI原則は日本のAI研究開発ガイドラインの影響を受けています。まだ原則の整備に取り組む国が多い中、日本はすでにAI戦略を2019年から毎年定め、AIポリシーの実装(implementation)段階に遷移しています。

この事実は世界的にAIの導入が遅れているという日本の現状とギャップを感じさせます。政府の意図と実態との乖離が生じている理由はどこにあるのでしょうか。

 

個人情報保護委員会は現在、「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」というものを定期的に開催し、カメラ画像の利活用についてのガイドラインを作ろうとしています。有識者たちがガイドラインについて非常に精度の高い議論をしているのですが、有識者検討会の議事録のある部分に先ほどの触れた「乖離」の理由を見た気がしました。

 

<引用>

「こういった掲示や通知公表の事項を実際に具体例として示すと、掲示の案などを忠実にコピーすることが適切な表示を実施していると考える事業者が多い。典型例はJISQ15001の個人情報保護指針。例えばいわゆる個人情報・プライバシー保護を専門と標榜する方が、例えば顔認識と書いたら、それは識別ではないかと、本当に細かく高度な用語の使い分けについても指摘をすることが頻繁にある。そうすると事業者側としては、具体

的に工夫をして何か文言を検討しようにも、工夫した途端、非難の対象になるという、非常に苦慮せざるを得ない対応が多々あった。今回の対応としては、忠実にコピーしていただくようなすばらしい掲示案を、今回の案として提示いただくというのが1つかと思う」

 

赤裸々な意見で思わず笑ってしまったのですが、日本のコンプライアンスの現状認識としてはわりと一般的なものかもしれません。形式的にコピーしたらよいものを政府が「与え」、遵守する側がコピーするという関係からは、創造的な関係はなかなか期待できそうにはありません。

 

ちなみに「いわゆる個人情報・プライバシー保護を専門と標榜する方」と言われている人がどういう方かはわかりませんが(私でないことを祈っています(苦笑))、こういわれないためにも「IAPPのトレーニングでグローバル標準のプライバシー保護を学びましょう」と便乗して宣伝すると、プライバシーの専門家の風上にもおけないとお叱りを受けるでしょうか。

 

当社が提供しているIAPPのトレーニングは11月から諸外国の価格に合わせて価格改定しましたが、その一方でCIPTトレーニングやFoundation Training(2023年1月よりご案内予定)、認証試験対策コース「Exam preparation」(今月内にご案内予定)も増えています。ぜひ受講をご検討ください。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2022/11/2★寺川貴也が注目する最新news topic★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

中国のデータ越境移転に関する動向(続編)

11月になり、今年も残すところわずか2か月となりました。当社は11月が期の始まりなので、新たな年度に向けて気持ちを新たにしているところです。今期も新たなサービスと有用なサポートを届けられるようスタッフ一同努めてまいります。

 

前回中国の越境データ移転に関するセキュリティ評価への問い合わせが増えているという話を紹介しました。その後、すでにいくつかの会社が当局に申請したことや大手企業の中には当局から却下された企業もあることがわかりました。越境データ移転に関するセキュリティ評価では、PIAに加え、移転先のセキュリティ体制の状況等、移転に関する特有の評価も必要であり、この評価の仕方についてまだ十分方法が定まっていないというのが現状のようです。

 

中国語ですが、以下のページ(TMT法律论坛)が比較的よくまとめてくれているため、セキュリティ評価の考え方について整理したいときには参照してください。

https://mp.weixin.qq.com/s?__biz=MzU4MDY4NzE1Nw==&mid=2247490519&idx=1&sn=250c64f9249ba00fc0f552129385a27c&scene=21

 

越境移転に関連して話をすると、トルコのイスタンブールでは10月末、GPA (Global Privacy Assembly)が開催されていました。GPAは世界各国の当局が年に一度集まって、データプライバシーに関するポリシーについて協議する場であり、データプライバシーの重点的な取り組み領域を知るために重要な会議の一つです。今年はGPAがカリフォルニア州の当局であるCalifornia Privacy Protection Agency (CPPA) を投票権のあるメンバーとして加えたというニュースも流れていました。

 

このGPAで最近常に取り上げられる課題はデータの越境移転です。欧州と米国の間のデータ流通については米国の大統領令を受けてPrivacy Shield 2.0の発効が待たれているほか、DFFT(Data Free Flow with Trust)という各国間のデータの自由な流通についての議論も行われました。詳しい情報はありませんが、この議論の中心にいる専門家からはため息ばかりが聞こえてきます。2023年に開催されるG7ではDFFTについて日本政府が何らかの宣言を公表したいと考えているようです。データの越境移転はデジタル社会の要となるため、少しでも進展がみられることを願っています。

 

最後に、次回のこのコラムに関連する内容ですが、GPAでは顔認識技術についての適正な利用に向けた勧告(resolution)が採択されました。顔認識技術は犯罪捜査で有効性を示してきましたが、同時にバイアスの問題や監視社会化への懸念が指摘されてきた技術です。今回の勧告では6つの原則(法的根拠があること、合理的かつ必要であり行き過ぎていないこと、人権を保護すること、透明性を担保すること、データ保護の原則を考慮すること)を要求しています。

顔認識技術については、私がAIについてのポリシーを学んでいるCAIDPが積極的に禁止を働きかけていました。そのため、GPAの勧告は私個人にとっては感慨あるニュースでした。余談ですが、ポリシーについて学ぶ中で、私たちの先生がこう言っていました:「法律は「拘束力があるかどうか」を問題とするが、ポリシーは「民主的な社会にとって正しいかどうか」を問題にする」

データプライバシーの先には「将来世代にどのような社会を残したいか」という問いがありますが、まさしくポリシーとしての視点が重要なのだと思います。

 

 次回はAIについてのガイダンスが増えてきていますので、この話題を取り上げようと思います。

▼中国のセキュリティ評価申請状況、GPAでの議論

https://www.caidp.org/

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2022/10/27★寺川貴也が注目する最新news topic★

<中国のデータ越境移転に関する状況>

 10月14日から10月22日にかけてシンガポールに仕事で行っていました。シンガポールは今雨季だそうで、前回7月に行ったときと比べると幾分涼しくなっていました。

 

今回の出張の目的はシンガポールのデータプライバシー認証であるDPTM (Data Protection Trust Mark)の認証と現地パートナーとの打ち合わせでした。認証の仕事は現地認証機関との情報交換の場ともあるため貴重です。また、現地パートナーとの打ち合わせではグローバル事業責任者との打ち合わせもでき、実り多い時間となりました。余談になりますが、私が打ち合わせをした責任者の方はまだ30代の若い方です。すでに多くの経験を積んでおり、家もアメリカに3件持っているそうで、いつでもリタイアできるけれども、もうひと仕事をしてからにしたいと言っていました。

 

日本から足を踏み出すとこういう方と出会う機会がたくさんあります。彼らと仕事をするのは大変なこともありますが、そういったトップレベルの人たちと仕事ができる会社であり続けるために、日々こちらも研鑽を積んでおく必要があると改めて感じた時間でした。

 

今日の話題は中国の越境データ移転についてです。すでに9月1日に「数据出境安全评估申报指南」が出たことは当社の会員サイトやメールマガジンでもお知らせしてきましたが、2か月ほどしてこの件に関する相談や質問が増えてきた印象があります。もっとも、米国の企業からは出た直後から活発に質問があったので、個人的には少し時間がかかったな、という印象も持っています。

 

少しおさらいですが、中国法についてはデータの越境移転を適法化する方法として大きく3つの方法があります。一つ目は当局が規定する「セキュリティ評価」に合格すること、二つ目は「越境移転についての認証」を取得すること、三つめは「標準契約」を締結することです。いずれについても個人からの「単独同意」の取得する必要があります。今年の9月1日に出たのはこのうちの「セキュリティ評価」に該当し、管理者は2023年3月1日までに対応することが要求されています。

 

対象者は以下です。

  1. 重要データを国外(境外)に提供するデータ処理を行う場合
  2. 重要情報インフラ事業者及び100万人以上の個人情報についてデータ処理を行う者が国外(境外)に個人情報を提供する場合
  3. データ処理を行う者が、前年の1月1日から累計で10万人分の個人情報または1万人分のセンシティブな個人情報を国外(境外)に提供する場合
  4. その他、国家インターネット情報局が規定する、データ越境セキュリティ評価の申告を必要とする場合

 

比較的現実的な適用範囲が設定されているため、B2Bでビジネスをされている場合は該当しないケースが多いと考えられます。対消費者でサービスを提供しているeコマースについては適用の可能性があるため対応を進めてください。

 

ちなみに、データの越境移転とは次の行為を指しています。GDPRでは越境移転とみなされていない2つ目のケースについてもセキュリティ評価の対象となるため、この点も注意が必要です。

  1. データ処理を行う者が国内(境内)業務を通じて収集、及び生成したデータを国外(境外)に転送、保管する場合
  2. データ処理を行う者が収集、及び生成したデータを国内(境内)に保存し、国外(境外)の機関、組織または個人が照会、検索、ダウンロードもしくはエクスポートできる場合
  3. その他、国家インターネット情報局がデータ越境移転と定める行為

 

セキュリティ評価自体は特に難しいものではないといってよいでしょう。ただ、この評価はセルフアセスメントにとどまらず現地当局の承認を得る必要があるため、慣れていない企業の場合現地コンサルタントとの連携が必要となります。また、中国はMLPS(等級保護)を通じて日本の一般的な(暗黙の)水準よりも高い水準でのセキュリティ対策を要求しているため、本当に対応を行うつもりであればセキュリティソリューションを備えたコンサルティング会社やパートナーと連携する必要もあるでしょう。

 

データプライバシー対策は、今では法律の原文を解釈するだけでは十分といえない時代になっています。プライバシーとセキュリティをセットで対応するようにしていただければと存じます。

 

▼「数据出境安全评估申报指南」への対応

http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm

★最新NWes Topic★『バイデン大統領、欧州連合と米国のデータプライバシーフレームワークを実施するための大統領令に署名』について

2022年10月7日 大統領令全文訳

本日、バイデン大統領は、2022年3月にバイデン大統領とフォン・デル・ライエン欧州委員会委員長が発表した欧州連合・米国データプライバシー枠組み(EU-U.S. DPF)に基づく米国の約束を実行するために米国が取るべき措置を指示する「米国のシグナル情報活動のためのセーフガードを強化する大統領令(E.O.)」に署名を行った。

大西洋を横断するデータフローは、7兆1千億ドルのEUと米国の経済関係を可能にするために不可欠である。 EU-U.S. DPFは、欧州連合司法裁判所が、EU法の下で有効なデータ移転メカニズムであるEU-U.S. Privacy Shieldの先行フレームワークを打ち消した際に提起した懸念に対処し、大西洋横断のデータフローにとって重要な法的根拠を回復するものだ」と述べている。

米国のシグナルインテリジェンス活動に対するプライバシーと市民的自由の保護措置をすでに厳格に適用しているが、この大統領令は、これを強化するものである。また、E.O.に基づいて指定された、適格国家および地域経済統合機関に属する個人が、米国のシグナルインテリジェンスを通じて、米国の適用法に違反する形で個人データが収集されたと考える場合に、救済を求めることができる独立した拘束力のあるメカニズムも創設されている。

米国およびEUの企業は、経済のあらゆる部門において、デジタル経済への参加と経済機会の拡大のために、国境を越えたデータの流れに依存している。EU-U.S. DPFは、大西洋を越えるデータの流れに信頼と安定を取り戻すための米国と欧州委員会の共同努力の集大成であり、共通の価値観に基づく永続的なEU-米国関係の強さを反映するものである。

特に、この大統領令は

  • 米国のシグナルインテリジェンス活動に対する安全保護措置をさらに強化する。このような活動は、定義された国家安全保障上の目的を追求する場合にのみ実施し、国籍や居住国にかかわらず、すべての人のプライバシーと市民的自由を考慮し、有効な情報優先事項を進めるために必要な場合にのみ、その優先事項に見合った程度と方法で実施することを義務付けるなどである。

 

  • シグナルインテリジェンス活動を通じて取得された個人情報の取り扱いに関する要件を定め、法律、監督、コンプライアンス担当者の責任を拡大し、コンプライアンス違反の事例を是正するために適切な措置が取られることを確保する。

 

  • 米国のインテリジェンスコミュニティの一部に対し、O.に含まれる新しいプライバシーおよび市民的自由の保護措置を反映させるために、そのポリシーおよび手続きを更新することを要求している。

 

  • O.に従って指定された、適格国家および地域経済統合機構の個人が、米国のシグナルインテリジェンスを通じて取得された個人情報が、E.O.の強化された保護措置を含む米国の適用法に違反して米国によって収集または取り扱われたという主張について、独立した拘束力のある審査と救済を受けるための多層のメカニズムを構築する。

 

  • 第一階層では、国家情報長官室(CLPO)の自由権保護官が、受け取った適格な苦情について最初の調査を行い、O.の強化された保護措置または他の適用可能な米国法に違反したかどうかを判断し、違反した場合は適切な是正措置を決定する。E.O. は、CLPO の決定が、第二段階の審査を経て、インテリジェンスコミュニティに対して拘束力を持つこと、および CLPO の調査および決定の独立性を確保するための保護を提供することによって、既存の法定 CLPO 機能を構築している。

 

  • 第二段階の審査として、O.は司法長官にデータ保護審査裁判所(”DPRC”)を設立し、個人またはインテリジェンスコミュニティの一部からの申請により、CLPOの決定に対して独立し拘束力のある審査を行うことを許可し指示する。DPRCの裁判官は米国政府外から任命され、データプライバシーと国家安全保障の分野で関連した経験を持ち、独立して事件を審査し、罷免に対する保護を受けることになる。適用される米国の法律に違反があったかどうか、違反があった場合はどのような是正措置を取るべきかに関するDPRCの判断は拘束力を持つ。DPRCの審査をさらに強化するため、E.O.はDPRCが案件ごとに特別弁護人を選出することを定めている。この弁護人は、申立人の関心事について弁護し、DPRCが案件に関する問題点や法律を十分に理解していることを確認する役割を担う。司法長官は本日、DPRCの設置に関する付随規則を発表した。

 

  • プライバシーおよび自由権監視委員会(Privacy and Civil Liberties Oversight Board)に対し、インテリジェンスコミュニティの方針および手続きを見直し、それらが大統領令に合致していることを確認するとともに、インテリジェンスコミュニティがCLPOおよびDPRCによる決定を完全に遵守しているかどうかを含め、救済処理の年次審査を行うよう要請する。

これらの措置は、欧州委員会に新たな十分性認定の判断を採用する根拠を与え、EU法の下で重要かつアクセス可能で安価なデータ移転の仕組みを回復させることになる。また、標準契約条項(Standard Contractual Clauses)と拘束力のある企業ルール(Binding Corporate Rules)を用いてEUの個人データを米国に移転する企業にとって、より大きな法的確実性を提供することになるであろう。

★当社CEO寺川貴也が注目する最新news topic★

今週の寺川が注目するニュースはこちら・・・

▼オーストリアのデータ保護当局(DSB)がCookieの利用についてベストプラクティスを公表
https://www.dsb.gv.at/download-links/FAQ-zum-Thema-Cookies-und-Datenschutz.html

≪寺川貴也のコメント≫

日本では改正個人情報保護法施行に伴いCookieバナーを設置する企業や組織が増えています。当社もサービスとしてCookiebotやOneTrustのCookie Compliance Toolの提供を行っており、多くのお客様からお問い合わせをいただいています。欧州では各国の監督機関がCookieの利用について詳細なガイダンスを提供していることがしばしばあります。Cookieについてのガイダンスは幾度か改訂されてきており、最近のガイダンスは成熟度が高まっていますので一読するとよいと思います。

今回紹介するのはオーストリアのデータ保護当局によるものです。ここでは必須クッキーとはどのようなものか、クッキーウォールの利用、同意に代わる方法としてユーザーに支払いを求める方法、クッキーの同意ツールの使用についての注意事項、同意の撤回方法等が説明されてます。また、Cookieの利用に対してオプトイン形式で同意を得ていないウェブサイトや、プライバシーノーティスを提供せずにトラッキングクッキーを使ってパーソナライズ広告を行うウェブサイトはオーストラリア国内法及びGDPRに違反することも明言されています。さらに、広告用のcookieに同意しない場合にウェブサイトにアクセスできない設定とすることは違反とされています。

Cookieバナーは当社でも提供していますが、当社としてはあくまでもお客様の選択として設置することを推奨しています。たとえば日本国内のみでビジネスを行っている場合はCookieバナーの設置は法的には求められていません。中国個人情報保護法でも、Cookieバナーの設置は必ずしも必須要件とはなっていません。Cookieバナー自体も、データ越境移転の観点から違法の疑いがあると裁判になっていることやある判例では広く普及しているCookieバナーについて「見せかけのコンプライアンス活動」として厳しく非難が行われているケースもあります。

データ保護が本業ではない事業者にとってはデータ保護対応に過度のリソースを割くことは難しいですが、その一方で、ツールを使えば問題が解決するということがないことも覚えておく必要があります。プライバシーやセキュリティについては特に、社内に自然にコンプライアンスが達成される文化を育むことが長期的には最も有効な対策となります。ツールはあくまでもその「助け」となるものだということを理解した上でうまく活用していただければと存じます。

▼上記サイトは英語のため、こちらの翻訳サイトご活用ください
https://www.deepl.com/ja/translator

【News】『IAPP Asia Privacy Forum 2022』に当社CEOの寺川貴也が登壇します!

 
新着情報

このセミナーでは、データ技術の最新動向や、説明責任を果たすことでビジネスの成長を促進する方法についての見識を深めることができます。

英語での視聴になりますが、興味のある方は下記URLよりご登録ください。

※現在満席でキャンセル待ちとなります

 

▼開催日時(SGT:シンガポール時間)

2022年7月18日(月) 9:30-17:30

2022年7月19日(火)  9:00-16:00 ※19日に寺川登壇予定

 

▼詳しくはこちら

https://iapp.org/conference/iapp-asia-privacy-forum/