記事 個人情報保護・マイナンバー 政府が個人情報「同意なし」で利用範囲拡大か、利便性と規制はどう両立すべき? 政府が個人情報「同意なし」で利用範囲拡大か、利便性と規制はどう両立すべき? 2024/06/25 個人の消費行動や嗜好(しこう)に関するデータの利活用が広がる中、個人情報を守る国のルールが大きく変わる可能性が浮上している。デジタル庁が主催する検討会で、本人の「同意なし」でデータを利用できる範囲を拡大する案が取り上げられたのだ。今より多くの個人情報が本人の同意なしに共有されるようになった場合、私たちのプライバシーは大丈夫なのか。議論の背景、課題と展望について解説する。
記事 国際法・国際標準化 ADPPA(米国プライバシー保護法)とは何か?米国版GDPRをわかりやすく解説 ADPPA(米国プライバシー保護法)とは何か?米国版GDPRをわかりやすく解説 2023/04/03 欧州連合(EU)は、2016年にデジタル化社会に適合した個人データ保護規定であるGDPR(General Data Protection Regulation:EU一般データ保護規則)を発効し、2020年頃からEU圏の企業がデータを共有できる制度を構築して産業データ活用を進める施策を推進しています。一方、米国では、州レベルでのプライバシー法は存在するものの、米国全体を網羅するプライバシー保護法はありませんでした。こういった中、米国版GDPRと言われる、ADPPA(American Data Privacy and Protection Act:米国データプライバシー法)が施行されようとしています。今回はこのADPPAとは何かを解説します。
記事 AI・生成AI アップルも宣言、AI活用で問われる「データ倫理」に日本企業はどう対応すべきか? アップルも宣言、AI活用で問われる「データ倫理」に日本企業はどう対応すべきか? 2022/10/05 アップルがプライバシーの権利を保証を宣言するCMを流しているが、いま、プライバシーデータを法規制する動きが世界中で進んでいる。背景には、誰しも、気づかずにAIが活用されたサービスを使っている現状において、データの管理やそのリスクに関する説明が不十分のままデータ活用がなされていることが挙げられるだろう。その結果、炎上するというケースもあとを絶たない。いま、AIとデータ倫理をどう考えるべきなのか。この6月に『AI・データ倫理の教科書(弘文堂出版)』を上梓した福岡真之介弁護士(西村あさひ法律事務所)に国内外でデータセキュリティのコンサルティングを手がける寺川貴也氏が聞いた。
記事 個人情報保護・マイナンバー 個人情報保護法「改正ポイント6点」、国際比較でわかりやすく罰則強化などを解説する 個人情報保護法「改正ポイント6点」、国際比較でわかりやすく罰則強化などを解説する 2022/06/23 2022年4月に個人情報保護法が改正された。個人情報の取り扱いが厳しくなり、企業に課される責任や義務、罰則が強化された。個人情報の取り扱いを誤れば法的な制裁だけでなく、社会的な信頼を失い、ビジネス継続すら危ぶまれることも考えられる。さらに日本の法律への対応だけでなく、海外に事業を展開する場合はその国の法律にも対応する必要がある。本稿では、2018年に施行されたEU一般データ保護規則(GDPR)や、直近では2022年6月に改正となったタイ個人情報保護法(PDPA)など、海外における個人情報保護法の内容と比較しつつ、日本における改正法のポイントを解説する。
記事 個人情報保護・マイナンバー Privacy Shield 2.0とは何か? EU・米国間の新プライバシー保護の枠組みを解説する Privacy Shield 2.0とは何か? EU・米国間の新プライバシー保護の枠組みを解説する 2022/05/17 米国とEUは3月末、プライバシー保護・データ転送に関する新たな枠組みの「原則」において合意したことを共同で発表した。2020年7月に失効した旧枠組み「EU-US Privacy Shield(以下、Privacy Shield)」に取って代わる「Privacy Shield 2.0」とも呼ばれる新しい枠組みに関する進展であり、海外メディアはGAFAMなどテック企業にとっての安心材料になるだろうと報じている。この新しい枠組みとはいかなるものか。
記事 個人情報保護・マイナンバー アップルの「児童ポルノ検出技術」計画が延期、なぜ全米から批判されたのか アップルの「児童ポルノ検出技術」計画が延期、なぜ全米から批判されたのか 2021/09/07 米テック大手のアップルは、自社のデバイスやエコシステムにおいてプライバシーを「基本的人権」と位置付け、「顧客が自分の情報を自分でコントロールできること」をウリにするマーケティングを展開してきた。同社にとってプライバシーは、ライバル企業との競争において優位を示す重要な役割を果たしてきた。そのアップルが8月に、自社デバイスにおける児童への性的虐待画像(児童ポルノ)検出技術を2021年後半にiOSおよびmacOSデバイスで展開すると発表し、批判を浴びて実装延期に追い込まれた。何が問題になったのか。
記事 個人情報保護・マイナンバー CMP(同意管理プラットフォーム)を解説、あの「Cookie利用同意画面」はなぜ必要? CMP(同意管理プラットフォーム)を解説、あの「Cookie利用同意画面」はなぜ必要? 2021/07/05 あなたは「CMP」(Consent Management Platform/同意管理プラットフォーム)をご存じだろうか?企業と生活者の間で個人データの利用に関する同意形成を行うツールで、GDPR成立に伴い注目が高まっている。2021年6月現在、EU圏内で活動する企業以外では、実装は義務ではない。しかし今後は、個人データ利用に対する規制の動きを受けて、さらに重要視されることとなるだろう。この「CMP」が求められる背景、生活者との適切な関係性などについて、『マーケティングのデジタル化5つの本質』(共著)の著者であり、インティメート・マージャー 代表取締役社長も務める簗島亮次氏の取材協力のもと、解説する。
記事 個人情報保護・マイナンバー 自動運転に必須のカメラ、写り込んだ人は「個人情報」? クラウドに送信OK? 自動運転に必須のカメラ、写り込んだ人は「個人情報」? クラウドに送信OK? 2021/04/22 ADAS(先進運転支援システム)機能や自動運転機能で用いられるカメラは、周辺の環境を把握する役目と、制御機能の改善のため画像を記録・保存して機械学習に利用する役目がある。学習用データは、これまでシミュレーターやテスト走行で集められたものを使っていたが、近年ではユーザーの走行中画像を収集・保存して機能改善を行う車両が出始めている。画像には周辺の歩行者も映ることになるが、個人情報保護法ではどのような扱いになるのだろうか。
記事 情報漏えい対策 サイバーネゴシエイター(交渉人)は必要か? 対ランサムウェアの切り札になるか サイバーネゴシエイター(交渉人)は必要か? 対ランサムウェアの切り札になるか 2020/09/16 誘拐事件や犯罪者の立てこもりに対して「交渉人(ネゴシエイター)」が活躍する場合がある。映画の世界では比較的おなじみだが、現実の世界でも交渉人が犯人の説得、身代金や人質解放を調整することがある。犯罪者の要求を認めることとなり、治安秩序・コンプライアンス上の問題はあるものの、早期解決、人命優先を考えると頭ごなしに否定することはできない。同じことはサイバーセキュリティでも言えるだろうか。
記事 情報漏えい対策 note漏えい問題の本質は「IPアドレスは個人情報か?」ではない note漏えい問題の本質は「IPアドレスは個人情報か?」ではない 2020/08/31 コンテンツ配信サービス「note」で、投稿者のIPアドレスが閲覧できる状態にあったというセキュリティインシデントが生じた。匿名掲示板「5ch」に同じIPアドレスで書き込みがあるかを突き合わせ、書き込み主を特定しようといった騒動も巻き起こっている。IPアドレスが問題になると、必ず起きるのは「IPアドレスで個人が特定できるのか」「IPアドレスは個人情報ではないのでは」といった議論だ。回答はイエス/ノーで済むほど簡単ではないが、誤解を生みやすいIPアドレスについて、あらためて正しい情報を整理してみよう。
記事 個人情報保護・マイナンバー 個人データ保護規制が各国で次々成立、“コンプラ疲れ”は「国際規格」対応で防げ 個人データ保護規制が各国で次々成立、“コンプラ疲れ”は「国際規格」対応で防げ 2020/03/23 世界各国で新たな個人データ保護規制が生まれている。EUでは2018年5月にGDPRが施行され、米国カリフォルニア州では2020年1月にCCPAが施行された。中国では2019年12月にMLPS(情報セキュリティ等級管理弁法)の新標準がリリースされ、タイでは2020年5月に個人データ保護法が施行予定、日本でも2020年内に改正個人情報保護法の見直しがなされる見込みだ。そのほか韓国、カナダ、オーストラリアでも改正の動きがある。これら各国の個人データ保護規制にどのように対応していくか。そのポイントについて、KPMGコンサルティング パートナー 大洞 健治郎 氏が解説した。
記事 コンプライアンス総論 PDPB(インド個人情報保護法案)成立間近、日本企業はどう対処すべきか PDPB(インド個人情報保護法案)成立間近、日本企業はどう対処すべきか 2020/03/18 2018年5月、欧州連合(EU)でEU一般データ保護規則(以下「GDPR」)が制定されたが、2020年現在、インドでもインド個人情報保護法案(Personal Data Protection Bill、以下「PDPB」)が提出され、近日可決される見込みだ。同法はインド域内の情報を扱うすべての企業に影響を及ぼすことが予想される。KPMGインドで日系企業のコンプライアンスやガバナンス整備のサポートをしているアソシエイトディレクターの井上ゆかり氏が、いまだその詳細までは明らかにされていない同法にどのように対処すれば良いか解説した。
記事 コンプライアンス総論 GAFAのESG戦略に学べ、前のめりなアマゾンが開けた「パンドラの箱」 GAFAのESG戦略に学べ、前のめりなアマゾンが開けた「パンドラの箱」 2019/10/17 米国の有力経済団体「ビジネス・ラウンドテーブル」が2019年8月18日、過去半世紀にわたって米財界が推進してきた株主第一主義を廃止すると発表した。米テック大手アマゾンも名を連ねたこの文書は、「株主利益のみの追求をやめ、今後は利益追求とともに、社会的責任を果たすことにも注力すべきだ」としている。同社では、Environment(環境)・Social(社会)・Governance(ガバナンス・企業統治)のバランスを総合的に実現していくESG戦略を推進しているが、それがいかに利益とリスクの両方をもたらしているかを明らかにする。
記事 個人情報保護・マイナンバー リクナビ問題でスルーされがちな「提供を受けていた企業側の問題」 リクナビ問題でスルーされがちな「提供を受けていた企業側の問題」 2019/08/16 リクルートキャリアは8月1日、『リクナビDMPフォロー』のサービスの中で、サイトの行動履歴などを基に計算した内定者個人の内定辞退率を、学生の同意が不十分なまま採用企業側に提供していたと発表、8月5日には当該サービスを廃止した。問題の概要は以上だが、抜けている視点がある。「情報提供を受けていた企業」についてだ。リクルートはどうやって個人の内定情報を得ていたのか?
記事 コンプライアンス総論 GAFA規制「12の論点」 ついに姿を表した新しい枠組みとは GAFA規制「12の論点」 ついに姿を表した新しい枠組みとは 2019/07/30 米テック大手のGAFAはプライバシー、セキュリティ、独占などの面で非難を浴びながらも、規制撤廃を座右の銘とするトランプ大統領の下で新たな規制から逃れてきた。しかし、来年の大統領選挙に向けて政策論争が盛り上がる中、何かと目立つGAFAは政治家の格好の攻撃材料になりつつある。また、政権の司法省や連邦取引委員会(FTC)も従来の立場を翻し、業界慣行の調査に乗り出した。こうして潮目が変わる中、従来見られなかった新しい規制の枠組みが姿を現し始めた。最新の議論を紹介する。
記事 個人情報保護・マイナンバー 公取委の狙いはGAFA…ではなく国内企業? データ独占企業へ介入可能に 公取委の狙いはGAFA…ではなく国内企業? データ独占企業へ介入可能に 2019/07/29 公正取引委員会が企業の個人情報収集に対して新しいガイドラインを策定した。独占禁止法の「優越的地位の乱用」の適用範囲を個人情報取得にも広げ、違反した企業にペナルティが課される。この方針は、GAFAによるデータ独占を是正し、国内IT企業にも公正なビジネスチャンスを与える狙いがあるといわれているが、実態はそう単純な話ではない。
記事 AI・生成AI ANAとJALも採用予定の「顔認証技術」、一方米国では規制が進むワケ ANAとJALも採用予定の「顔認証技術」、一方米国では規制が進むワケ 2019/06/20 本連載では、ITトレンドから毎回ホットなキーワードを取り上げ、その最新動向とともに筆者なりのインサイト(洞察)や見解を述べたい。第17回に取り上げるキーワードは「顔認証技術」。特にこの技術の利用の広がりについて、NECの先行事例を挙げながら考察してみたい。
記事 コンプライアンス総論 GDPRの本質はGAFAへの宣戦布告? 「プライバシーの死」は避けられるか GDPRの本質はGAFAへの宣戦布告? 「プライバシーの死」は避けられるか 2019/03/06 あらゆるデータが価値を生む現代、特に「プライバシー」は“21世紀の最重要資源”とも言える。いまデータビジネスの現場で生起しているさまざまな事柄を見ると、これは過去に人類と天然資源との間で繰り広げられた悲喜劇の忠実な再現であるとも言える。「プライバシーの死」があり得る次世代インターネットをどのように理解すればいいのだろうか。
記事 個人情報保護・マイナンバー GDPR対応に3つの誤解、ガートナーが「個人情報だけの問題ではない」と語る理由 GDPR対応に3つの誤解、ガートナーが「個人情報だけの問題ではない」と語る理由 2018/08/23 個人情報保護を目的としたEU一般データ保護規則(GDPR)。5月に同規則が施行されたことを受け、国内でも大企業を中心に対応が本格化している。だが、なじみが薄いゆえの誤解も少なくない。ガートナーで主席アナリストを務めるアヤル・ティロシュ氏は「GDPRで痛い目に合わないためにはありがちな誤解を解消し、正しく対応する必要がある」と説く。
記事 金融業界 「情報銀行」とは? 三菱UFJ信託銀行が参入、個人情報は“自分で売る”時代へ 「情報銀行」とは? 三菱UFJ信託銀行が参入、個人情報は“自分で売る”時代へ 2018/08/14 三菱UFJ信託銀行が、個人情報データを預かって民間企業に提供する「情報銀行」に乗り出すことになった。ネット企業による個人情報の管理のあり方が社会問題となっているが、情報銀行はこれを解決するひとつの手段になる。情報銀行とは具体的にどのようなビジネス・モデルなのだろうか。
記事 個人情報保護・マイナンバー エクイファックスで1.5億人の個人情報漏えい、ちらつく中国の影 エクイファックスで1.5億人の個人情報漏えい、ちらつく中国の影 2017/10/11 米三大信用調査企業の一角であるエクイファックスが、1億4450万人分の個人情報漏えい事件を起こした。2017年3月から7月の間に、既知のApache Strutsの脆弱性に対するハッカー攻撃を受け、社会保障番号や運転免許証番号・生年月日・住所・クレジットカード情報などを流出させたのである。この問題は、リチャード・スミス最高経営責任者(CEO)の辞任に発展した。7月末の攻撃発覚後、1か月以上も事実を公表しなかっただけでなく、影響を受けた人々への対応がずさんであったことが強く批判され、株価は25%以上も下げている。日本企業のIT関係者は、エクイファックスの失敗から何が学べるのだろうか。
記事 個人情報保護・マイナンバー 実在しない人間を作る「合成ID詐欺」の脅威、金融機関の被害総額は「不明」 実在しない人間を作る「合成ID詐欺」の脅威、金融機関の被害総額は「不明」 2017/08/15 クレジットカード、個人認証(ID)のセキュリティ強化が図られる一方で、ID詐欺を働く犯罪集団もその手口を変え、時代に対応しつつある。現在、米国で静かに問題となりつつあるのが「合成ID」という問題だ。現存する社会保障番号に他人あるいは架空の情報を組み合わせ、なんと「実在しない人間」を作り上げる。マイナンバー制度を導入した日本にも、同様の詐欺が波及する危険性がある。
記事 ソーシャルメディア マストドンのセキュリティを考える、利用する前に要注意な「3つの問題」 マストドンのセキュリティを考える、利用する前に要注意な「3つの問題」 2017/05/15 SNSサービスの「Mastodon(マストドン)」をご存じだろうか。Twitter(ツイッター)とよく似たサービスとして注目を集めるマストドンだが、サービスの仕組みはツイッターとは大きく異なる。オープンソースソフトウェアであるマストドンは、個別でサーバーを用意すれば誰でもインスタンスを立ち上げることが可能だ。つまり、誰もがSNSサービスの管理者になれてしまうのである。今回は、マストドンのユーザーと管理者が注意すべきセキュリティを考えてみたい。
記事 IT資産管理 監視エージェント「SKYSEA Client View」の脆弱性、Skyの対応に問題はあったのか 監視エージェント「SKYSEA Client View」の脆弱性、Skyの対応に問題はあったのか 2017/05/09 数年前から検知されていた政府機関やインフラ事業者へのサイバー攻撃の手段の一つとして、大手ITベンダーのセキュリティ関連ソフトの脆弱性が利用されていたことが、4月11日付けの朝日新聞によって報道された。利用されたのは、セキュリティソフトベンダー、Skyの「SKYSEA Client View」という監視エージェントソフトだ。すでにパッチは配布されているが、この問題によってセキュリティ対策ソフトの脆弱性についての議論が再燃した。
記事 ID・アクセス管理・認証 グーグルがシマンテックのSSL証明書失効を提案した理由、村八分か自浄作用か グーグルがシマンテックのSSL証明書失効を提案した理由、村八分か自浄作用か 2017/04/11 3月24日、グーグルのChromeチームがシマンテックが発行するSSL証明書を段階的に無効にしていく提案を行った。実施されればモバイルでもデスクトップでも50%を越えるシェアを持つChrome上で、シマンテック傘下の認証局が発行する証明書(EV SSLも含む)ではエラーや警告が表示されることになる。シマンテックの証明書は全世界で30%以上を占めるともいわれており、大きな問題とされた。グーグルのシマンテックに対するけん制にはどのような背景があるのだろうか。
記事 セキュリティ総論 改正個人情報保護法からEU一般データ保護規則まで、日本企業のセキュリティ対策状況は 改正個人情報保護法からEU一般データ保護規則まで、日本企業のセキュリティ対策状況は 2017/03/27 日本情報経済社会推進協会(以下、JIPDEC)とアイ・ティ・アール(以下、ITR)は27日、国内企業653社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2017」の結果を発表した。日本企業におけるインシデントの認知状況や情報セキュリティ対策の取り組み状況、2017年5月に全面施行となる改正個人情報保護法やEU域内居住者の個人情報の域外への移転を制限する「EU一般データ保護規則(GDPR)」への対応状況、働き方改革とセキュリティ対策の関係性などを紹介しよう。
記事 個人情報保護・マイナンバー 高木浩光氏、山本一郎氏、板倉弁護士ら激論、「本質理解しないから過ち繰り返す」 高木浩光氏、山本一郎氏、板倉弁護士ら激論、「本質理解しないから過ち繰り返す」 2016/11/14 国産クラウドがグローバル展開できないたった一つの理由──これは2016年9月、サイボウズの青野慶久社長がWebに書き込んだ記事のタイトルだ。同社のクラウドサービスをEUで展開できない理由、それが「EU一般データ保護規則(GDPR)」だった。GDPRはEUで個人データを保護するための法律で、個人データを扱う企業がEU域外へデータを持ち出すことを厳しく規制している。この青野氏の書き込みを機に、一気に「越境データ問題」への関心が高まった。グローバルでビジネス展開をしていきたいと考える日本企業にとって、いったい何が問題でどう解決するべきなのか。当事者の青野社長に加えて、ブロガーの山本一郎氏、産業技術総合研究所の高木浩光氏、ひかり総合法律事務所の板倉陽一郎弁護士、新潟大学の鈴木正朝教授ら識者が一同に介して話し合った。
記事 人材管理・育成・HRM 庄司昌彦 氏に聞く、ダイバーシティ時代に個人をとらえる「分人」「複属」とは何か 庄司昌彦 氏に聞く、ダイバーシティ時代に個人をとらえる「分人」「複属」とは何か 2016/05/09 現在の「個人」は会社という単一社会への従属者ではなく、共通の趣味や嗜好でつながった複数の集団に帰属意識を持つ「複属」の色合いを濃くしている。そこでの個人は、相手や場面に応じて現れる複数の人格に分けられた「分人」の総体だと指摘するのが、国際大学グローバル・コミュニケーションセンター(GLOCOM) 主任研究員で准教授の庄司昌彦氏だ。庄司准教授に「分人」「複属」という考え方はいったいどういうものか、そしてそれがどう社会に役立つのかを聞いた。
記事 個人情報保護・マイナンバー 電子政府先進国のエストニア首相が語る 「日本のマイナンバーは潜在能力を秘めている」 電子政府先進国のエストニア首相が語る 「日本のマイナンバーは潜在能力を秘めている」 2016/04/14 エストニアは、人口は約130万人で東京都の約10分の1、国土面積は約4.5万平方キロメートルで、九州と同程度の小国だ。同国はすべての行政サービスを電子化し、いつでも、どこでもインターネットを通じて国民が利用できる仕組みを構築した。マイナンバーの運用を開始した日本にとって、エストニアから学ぶべきことは多い。15歳以上の国民全員に付与される「Digital IDカード」や外国人向け電子居住サービス「e-Residency」など、エストニアの電子政府化の取り組みをターヴィ・ロイヴァス首相が紹介した。
記事 個人情報保護・マイナンバー マイナンバー制度対応「完了」は3割台…多くの企業が未対応という現実が浮き彫りに マイナンバー制度対応「完了」は3割台…多くの企業が未対応という現実が浮き彫りに 2016/03/17 一般財団法人日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)は17日、国内企業672社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2016」の一部結果を速報として発表した。
