Nobody's 法務

略称は「ノバ法」。知財、個人情報、プライバシー、セキュリティあたりを趣味程度に勉強している企業ホーマーのまとまりのない日記。あくまで個人的な見解であり、正確性等の保証はできませんので予めご了承くださいませ。なお、本ブログはGoogle Analysticsを利用しています。

【今年もこの時期がやってきた】法務系アドベントカレンダー #legalAC #裏legalAC

皆さん、お久しぶりです。kanekoです。

低浮上気味ですが、生きてます。

 

というわけで今年もこの季節がやってきました。(1年ホント早い)

 

皆様、是非ともエントリーお願いしますmm

(初めましても久しぶりも常連も大歓迎です!)

 

エントリーはこちらから↓

adventar.org

--------------------------------------------------------

11/1 更新

表が初日のお昼には埋まったようです!エントリーありがとうございますmm

というわけで、今年も裏を開設しました。

ご興味ある方は是非!

adventar.org

 

なお、Twitterハッシュタグ

です。
(※追ってトゥギャるときに必要になります。)

--------------------------------------------------------

 

エントリーしなかった方も是非とも上記ハッシュタグで感想を呟いてもらえると嬉しいです。

後ほどtogetterでまとめさせていただきます。 

 

 

エントリー者向けに打ち上げは...誰かいいアイデア下さい...

※去年開催できなくてすみません(土下座)

 

【以下だいたい去年のエントリーのコピペ】

 

そもそも「アドベントカレンダーとはなんぞや?」という方は以下をお読みくださいませ。

 

アドベントカレンダーとは

アドベントカレンダー(Advent calendar) は、本来は「クリスマスまでの日数を数えるために使用されるカレンダーのこと」です。

クリスマスまでのに窓を毎日ひとつずつ開けていくいってすべての窓を開け終わるとクリスマスを迎えるという楽しみで可愛らしいカレンダーが一般的なようです。

 

こんなの↓

f:id:kanegoonta:20191030145819j:plain

 

これが転じてIT系界隈では、「12/1から12/25までに、(持ち回りで)特定のテーマに沿って毎日ブログなどで記事を投稿していく企画」のことを意味します。

 

法務系アドベントカレンダーはこれを法務界隈でやってみたものです。

ちなみにテーマは法務系であれば基本的に自由です。(かすっていればいいレベル)

 

●過去アーカイブ

過去のアドベントカレンダーは下記をご参照ください。

 

2020年

法務系 Advent Calendar 2020 - Adventar

裏 法務系 Advent Calendar 2020 - Adventar

法務系Advent Calendar 2020 #legalAC #裏legalAC - Togetter

 

2019年

法務系 Advent Calendar 2019 - Adventar

裏 法務系 Advent Calendar 2019 - Adventar

法務系Advent Calendar 2019 #legalAC #裏legalAC - Togetter

 

2018年

法務系 Advent Calendar 2018 - Adventar

法務系Advent Calendar 2018 #legalAC - Togetter

 

2017年

法務系 Advent Calendar 2017 - Adventar

Advent Calendar 2017 #legalAC - Togetter

 

2016年

法務系 Advent Calendar 2016 - Adventar

法務系Advent Calendar 2016 #legalAC - Togetter

 

2015年

法務系 Advent Calendar 2015 - Adventar

法務系Advent Calendar 2015 - Togetter

 

2014年

法務系 Advent Calendar 2014 - Adventar

法務系 Advent Calendar 2014 - Togetter

 

2013年

法務系Tips Advent Calendar 2013 - Adventar

法務系Tips Advent Calendarのまとめ #legalAC - Togetter

 

令和2年改正個情法ガイドライン案等の個人的メモ

少し時間がたってしまいましたが、令和2年改正個人情報保護法ガイドライン案をざっと読んだので気になるところを少しだけメモしておきます。(パブコメは出し忘れた)

ガイドライン案は以下にて公表されています。

第174回 個人情報保護委員会 |個人情報保護委員会

 以下、主に

からピックアップしてメモを残しておきます。

 

【注意事項】

※本ブログにおけるkanekoのコメントはガイドライン案等ざっと読んだ感想です。深く考察して書いたものでもありませんので、間違った解釈をしている箇所があるかもしれません。ご留意いただいたうえでご覧くださいませ。

※一部、ガイドライン案に加えて、政令規則案のパブコメ結果(以下「政令規則案パブコメ結果」)と佐脇紀代志編著「一問一答 令和2年改正個人情報保護法」(以下「一問一答」)にも言及しています。 

 

 

 

利用目的の特定について

「利用目的は本人にとってわかりやすい表記にせぇよ」ということが書いてあるのですが、以下のとおり、より詳細な補足説明が追加されていました。

 「利用目的の特定」の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることである。
 本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したことにはならない。
 例えば、本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。
【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例】
事例1)「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」
事例2)「取得した行動履歴等の情報を分析し、結果をスコア化した上で、当該スコアを第三者へ提供いたします。」

通則編案 27、28ページ

 

情報漏洩時の報告等

委託時の漏えい報告主体

自分用に要点だけメモ。

  • 漏えい等の報告主体は、漏洩した(漏洩のおそれのある)個人データを取扱う個人情報取扱事業者
  • 取扱いを委託している場合には、原則委託元と委託先の双方が報告義務あり
  • ただし、委託先が委託元に通知した場合は委託先は報告義務が免除

 

EUの十分性認定の影響

「そういえば、今回の令和2年改正でEUの十分性認定時の条件になにか影響あるんやろか」と思ったら政令規則案パブコメ結果に以下の言及があることに気づきました。

Q:「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」では「EU又は英国域内から十分性認定に基づき提供を受けた個人データに、GDPR及び英国GDPRそれぞれにおいて特別な種類の個人データと定義されている性生活、性的指向又は労働組合に関する情報が含まれる場合には、個人情報取扱事業者は、当該情報について法第 2 条第 3 項における要配慮個人情報と同様に取り扱うこととする。」と定められている。ここで定められる「性生活、性的指向又は労働組合に関する情報」に関しても、規則案 6 条の 2 第 1 号の報告の対象になるのか。

 

A:御理解のとおりです。

 政令規則案パブコメ結果 No.69

忘れないようにせねば。 

 

個人関連情報について

令和2年改正では、「個人に関する情報だけど、個人情報でも仮名加工情報でも匿名加工情報でもない情報」として個人関連情報が新たに規定されました。

具体的には、氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie等が想定されています。

 

長期蓄積による個人関連情報の個人情報該当性

個人関連情報の説明箇所に大変興味深い記載がありました。(太字はkankoによる。以下同じ。)

【個人関連情報に該当する事例(※)】
事例 1)Cookie 等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴

事例 2)特定の個人を識別できないメールアドレス(abc_123@example.com 等のようにメールアドレス単体で、特定の個人のメールアドレスであることが分からないような場合等)に結び付いた、ある個人の年齢・性別・家族構成等
事例 3)ある個人の商品購買履歴・サービス利用履歴
事例 4)ある個人の位置情報
事例 5)ある個人の興味・関心を示す情報

(※)個人情報に該当する場合は、個人関連情報に該当しないことになる。例えば、一般的に、ある個人の位置情報それ自体のみでは個人情報には該当しないものではあるが、個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合には、個人情報に該当し、個人関連情報には該当しないことになる。

通則編案 89、90ページ

長期蓄積による特定個人識別性の問題については、いろんな弁護士の方が懸念事項として言及していたと理解していますが、ついにガイドライン案でも言及されるようになったようです。

「どの程度の蓄積で特定個人識別といえるのか」という問題があるようにも思われますが、セーフティにいくのであれば、「特定のIDで紐づいてデータが長期蓄積されている場合(または特定IDで長期蓄積を想定している場合)は、そのデータを格納しているDB単体で個人情報に該当する可能性がある」という前提で取り扱うのが無難ということになるかと思います。

アドテク領域でよくある、パブリックDMP内のデータの個人情報該当性の議論にも影響してきそうです。

 

個人関連情報提供規制について

提供先で個人データとして取得される前提で個人関連情報を第三者提供する場合には、本人同意が新たに必要になりました。

契約による表明保証の有効性

「提供先で個人データと紐づけない旨を(表明保証的に)契約に入れ込んだ場合についてはどうなんねん」という疑問に関しては以下のように説明されています。

 提供元の個人関連情報取扱事業者及び提供先の第三者間の契約等において、提供先の第三者において、提供を受けた個人関連情報を個人データとして利用しない旨が定められている場合には、通常、「個人データとして取得する」ことが想定されず、法第 26 条の 2 は適用されない。この場合、提供元の個人関連情報取扱事業者は、提供先の第三者における個人関連情報の取扱いの確認まで行わなくとも、通常、「個人データとして取得する」ことが想定されない。もっとも、提供先の第三者が実際には個人関連情報を個人データとして利用することが窺われる事情がある場合には、当該事情に応じ、別途、提供先の第三者における個人関連情報の取扱いも確認した上で「個人データとして取得する」ことが想定されるかどうか判断する必要がある。

通則編案 95ページ

今後、データ提供系の契約をまく際にはこういった条項が入ってくるようになるのでしょうか。。。

 

本人同意について

「個人関連情報提供時の本人同意について、包括同意(例:プラポリに入れ込んで同意取得)が可能なのか」という懸念については以下のように説明されています。

本人の同意は、必ずしも第三者提供のたびに取得しなければならないものではなく、本人が予測できる範囲において、包括的に同意を取得することも可能である。

通則編案 96ページ

仮に包括同意を取得する場合、「個人関連情報の項目」についてどの粒度で記載すべきなのか検討する必要がでてきそうです。(個人データとして取得する個人関連情報は都度データのカラムが変わってくることも多いので、包括同意でどこまでできるのか検討が必要な気がします。)

 

なお、この本人同意について、将来的な個人関連情報の取り扱いも含めて同意取得が可能かという点については、政令規則案パブコメ結果において「(必要な説明を行った上で)可能である」旨が記載されています。(政令規則案パブコメ結果 No.395)

 

同意を取得する主体については、「原則提供先だが、提供元でもOK」であることが明記されていますが、

個人関連情報の提供を受けて個人データとして取得する主体、対象となる個人関連情報の項目、個人関連情報の提供を受けて個人データとして取得した後の利用目的等について、本人が認識できるようにする必要がある。

通則編案 97ページ

ことに注意が必要です。特に、提供先の名称を本人が認識できるようにする必要がある点については留意が必要です。提供元で代理同意を取得する場合には、(継続提供が前提である場合を除き、)都度同意が必要になる気がします。

 

なお、個人関連情報は個人データの時と同じく越境移転規制が別途あるので注意です(通則編案101ページ以降)。検討するときに忘れそう。。。

 

本人同意の確認方法について

個人関連情報提供時の提供元における本人同意の有無の確認方法については以下のように記載されています。

 提供先の第三者において、複数の本人から同一の方式で同意を取得している場合、提供元はそれぞれの本人から同意が取得されていることを確認する必要があるが、同意取得の方法については、本人ごとに個別の申告を受ける必要はなく、複数の本人からどのように同意を取得したか申告を受け、それによって確認を行えば足りる。
 なお、提供先の第三者から提供元の個人関連情報取扱事業者に対する申告に際し、提供先の第三者が法第 26 条の2第1項第1号の同意を取得済みの ID 等を提供する行為は、個人データの第三者提供に該当する場合があるが、法第 26 条の2第1 項の確認行為において必要となる情報のみを提供する場合は、法令に基づく場合(法第 23 条第1 項第1 号)に該当する。

通則編案 100ページ

  前段はともかく、後段の部分は「なんや?」という感じですが、これは個人情報保護委員会が令和2年11月20日に出した「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」に記載された以下部分に起因するものと思われます。(赤枠箇所)

f:id:kanegoonta:20210710182148p:plain

実際の現場では、毎回事前に同意得たIDの提供&突合を行うことは少ないような気がするのでどうなんやろかと思うところです。

 

確認記録について

個人データ提供時やオプトアウト時と比較した分かりやすい表があったのでキャプチャ。

f:id:kanegoonta:20210626184114p:plain

※通則編案 119ページより

 

提供先での記録事項は下記

f:id:kanegoonta:20210626184401p:plain

※通則編案 133ページより

 

個人関連情報と委託

個人関連情報提供規制には個人データのような委託等の例外がありません。この点に関して、ガイドラインで何かしら説明されているのかと思ったのですが、現状ではないようです。(見つけられなかっただけかもしれない)

 

その代わり 政令規則案パブコメ結果には、これに関係する内容がいくつかあったので紹介しておきます。

 

一般的に委託(法第 23 条第5項第1号)に伴って委託元が提供した個人データが、委託先にとって個人データに該当せず、個人関連情報に該当する場合において、委託先が委託された業務の範囲内で委託元に当該データを返す行為については、改正後の法第 26 条の2の規律は適用されないと考えられます。なお、委託先で独自に取得した個人関連情報を付加した上で、委託元に返す場合には、改正後の法26条の2の規律が適用されると考えられます。

政令規則案パブコメ結果 No.9、425のPPC回答

個人的には、「委託先で独自に個人関連情報を付加する前提で、委託元が委託先に個人データを提供する行為自体が委託の範疇に含まれ得るのか」について回答してほしかったですね。 

 

Q:法制局説明資料によれば、一般的な状況下において、個人関連情報の委託、承継及び共同利用による提供は原則として自由であり、改正法 26条の 2 の規制がかからないと理解されるが、PPC もそのような理解だと考えてよろしいか。

 

A:「一般的な状況下」の内容が不明ですが、提供先において「個人データとして取得することが想定」されない場合には、改正後の法第 26 条の2第1項の適用はないと考えられます。

政令規則案パブコメ結果 No.389

 

Q:(意見)
提供元から個人関連情報を取り扱う業務の一部の委託を受けている場合における委託元から委託先への個人関連情報の提供は個人関連情報の第三者提供には該当しないことをガイドラインに明記いただきたい。

(理由)
個人関連情報においても委託や事業継承による提供が第三者提供にあたらないことは、個人情報と同様となるはずであるが、委託による提供の解釈は特に事業に与えるインパクトが大きいため、明確にしていただきたい。

 

A:個人関連情報の提供につき、法第 23 条第 5 項各号に相当する例外規定はないため、改正後の法第 26 条の2の適用の有無については、提供先において個人データとして取得することが想定されるかどうかによって判断することとなります。

政令規則案パブコメ結果 No.418

 

個人関連情報とアドテク

ガイドラインにはあまりアドテク領域に特化した内容はないのですが、政令規則案パブコメ結果にあったのをメモしておきます。

Q:媒体社がソーシャルプラグイン等第三者のタグを設置してクッキー等を当該第三者に送信する場合、第三者側での直接取得となり、個人関連情報の第三者提供にあたらないという理解でよいか。

 

A:個別の事案ごとに判断することとなりますが、三者のタグを設置した事業者が当該タグにより収集される情報を取り扱っていないのであれば、個人関連情報の第三者提供にあたらないと考えられます。

政令規則案パブコメ結果 No.405

 デスヨネー(*´・З・)

アプリ内SDKでのデータ送信とかにも当てはまる内容でしょうね。

 

仮名加工情報について

仮名加工情報の範囲について

仮名加工情報は、「個人情報に含まれる情報の一部を削除したり置き換えたりといった措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報」のことをいいます。

もっというと、「加工後の情報それ自体により特定の個人を識別することができないような個人に関する情報」のことです。

具体的な加工基準が気になるところ、規則では以下の3点が挙げられています。

  1. 特定の個人を識別することができる記述等の削除
  2. 個人識別符号の削除
  3. 不正に利用されることにより財産的被害が生じるおそれのある記述等の削除

仮名加工情報・匿名加工情報編案では(少ないですが)加工例も記載されており、その中で気になった例を以下引用しておきます。

 

「特定の個人を識別することができる記述等の削除」の加工例

f:id:kanegoonta:20210717152624p:plain

※仮名加工情報・匿名加工情報編案 19ページ

上記例で興味深いのは会員IDの削除 or 置き換えが想定されていない点でしょうか。

ちなみに、匿名加工情報と違い仮名加工情報は「特異な記述の削除等」が求められていないのですが、

 加工前の個人情報に含まれる「特異な記述」が、それ自体により、又は他の記述等との組み合わせにより、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物との同一性を認めるに至ることができるものである場合には、当該「特異な記述」は、本規則案第 18 条の7第1号により、加工の対象となります。
 他方、仮名加工情報は、その定義上、他の情報と組み合わせることにより、特定の個人を識別できること自体は許容されていることから、加工前の個人情報に含まれる「特異な記述」が、当該個人情報に含まれる記述等以外の情報と組み合わせない限り、特定の個人を識別できない場合には、当該「特異な記述」は、必ずしも加工が求められるものではないと考えます。

政令規則案パブコメ結果 No.315

という点は留意が必要かと思います。

 

「不正に利用されることにより財産的被害が生じるおそれのある記述等の削除」の加工例

f:id:kanegoonta:20210717152818p:plain

※仮名加工情報・匿名加工情報編案 22ページ

 

なお、上記加工例にはない、電話番号やメールアドレスは削除対象なのか?という疑問に対しては、政令規則案パブコメ結果と一問一答にそれぞれ以下のような記載があります。

 仮名加工情報は、その定義上、他の情報と組み合わせることにより、特定の個人を識別できること自体は許容されています。そのため、御指摘のメールアドレス、電話番号、広告ID、MACアドレス等については、それ自体により、又は他の記述等との組み合わせにより、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物との同一性を認めるに至ることができるものではない限り、必ずしも加工が求められるものではないと考えます。
 この場合でも、加工前の個人情報に係る本人を識別するために、仮名加工情報を他の情報と照合することは禁止されており...(中略)...、また、本人に連絡等をするために仮名加工情報に含まれる連絡先その他の情報を利用することが禁止されていること...(中略)...等に鑑み、仮名加工情報にメールアドレス、電話番号、広告ID、MACアドレス等が含まれることによるリスクは、一定程度低減されていると考えます。

政令規則案パブコメ結果 No.492のPPC回答

 

一般的に、本人到達性のある情報である電話番号やメールアドレスを仮名加工情報に含めて利用することは想定されませんが、「他の情報と照合しない限り特定の個人を識別することができない」との要件を満たす限り、電話番号、住所、メールアドレス等の連絡先が含まれていても、仮名加工情報に該当することとなります。

 一問一答 26ページ

 

また、一問一答(の26ページ)には「例えば仮名加工情報に位置情報が含まれる場合に」とあり、位置情報単体でも仮名加工情報にあたり得る前提で記載されています。

 

このあたりは、前述の「個人関連情報の長期蓄積による個人情報該当性」のところと合わせて考えると大変興味深い部分です。

 

仮名加工情報の利活用について

仮名加工情報は、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務が緩和されています。

特に内部分析に限定するための行為規制として

  1. 安全管理措置義務
  2. 三者提供禁止義務(委託を除く)
  3. 識別行為の禁止義務
  4. 連絡等禁止義務

が課されています。

4.については、CookieIDを利用した広告配信を含むのですが、以下のように仮名加工情報からアウトプットされた統計情報を利用して広告配信を行うこと自体はOKとなっています。

Q:仮名加工情報を利用して分析し、より有効なダイレクトマーケティングのための知見を得て、それを利用してダイレクトマーケティングを行うことは禁止されないということを明らかにされたい。

 

A:例えば、仮名加工情報を用いて分析を行い、統計を作成した上で、当該統計により得られた傾向等を踏まえて、加工元前の個人情報を利用して広告配信等を行うことは禁止されません。

政令規則案パブコメ結果 No.484

 

仮名加工情報に関するその他

直接的に仮名加工情報の話題ではないのですが、政令規則案パブコメ結果の仮名加工情報の枠で個人的に興味深いQAがあったので載せておきます。

Q:① 個人情報取扱事業者がその保有する個人データについて加工基準に従った加工を行っても、当該個人情報取扱事業者が当該情報を個人情報として扱い続ける限り、仮名加工情報に関する規制は適用されないと理解してよいか。
Q:② 仮名加工情報に関する規制は適用されないとした場合、当該加工後、原データである個人情報を削除した場合、当該加工情報は個人情報としても仮名加工情報としても取り扱わないとすることは可能なのか(法 2 条 9 項、35 条の 2、規則案 18 条の 7)。仮名加工情報自体が、個人の権利利益の侵害を引き起こす可能性が低い情報であるため、かかる整理も可能と思うため、明らかにされたい。

 

A:①御理解のとおりです。...(以下略)...。

A:②上記①により加工した情報について、元データである個人情報を削除した場合において、加工後の情報が、容易に照合できる他の情報と組み合わせることで特定の個人を識別できる状態にない場合には、当該加工後の情報は、個人情報でも仮名加工情報でもない情報になり得ると考えます。

政令規則案パブコメ結果 No.501

 

上記は

個人情報をほぼ仮名化→元の個人情報を削除→残った「ほぼ仮名化した情報」は非個人情報?

というお話だと思います。

PPCの回答は、(残った加工データは)「個人情報でも仮名加工情報でもない情報」となっていますが、実際は個人関連情報に該当する可能性が高いような気がします。仮に加工データを外に出す場合には、個人関連情報の第三者提供規制に留意が必要かと思います。 

 

保有個人データに関する安全管理措置の公表について

令和2年改正によって、個人情報取扱事業者は、保有個人データに関する安全管理措置の内容を本人の知り得る状態にする必要があります。

具体的に何を書いたらいいんや、という疑問に関しては以下のような具体例が記載されていますので参考になりそうです。(長文注意)

【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】(※7)
(基本方針の策定)

  • 事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定

(個人データの取扱いに係る規律の整備)

  • 事例)取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人データの取扱規程を策定

(組織的安全管理措置)

  • 事例1)個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者及び当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備
  • 事例2)個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施

(人的安全管理措置)

  • 事例1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施
  • 事例2)個人データについての秘密保持に関する事項を就業規則に記載

(物理的安全管理措置)

  • 事例1)個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施
  • 事例2)個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施

(技術的安全管理措置)

  • 事例1)アクセス制御を実施して、担当者及び取り扱う個人情報データベース等の範囲を限定
  • 事例2)個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入

(外的環境の把握)

  • 事例)個人データを保管しているA 国における個人情報の保護に関する制度を把握した上で安全管理措置を実施(※8)


【本人の知り得る状態に置くことにより支障を及ぼすおそれがあるものの事例】(※9)

  • 事例1)個人データが記録された機器等の廃棄方法、盗難防止のための管理方法
  • 事例2)個人データ管理区域の入退室管理方法
  • 事例3)アクセス制御の範囲、アクセス者の認証手法等
  • 事例4)不正アクセス防止措置の内容等

 

~(中略)~

 

(※7)法第 27 条第 1 項第 4 号及び政令第 8 条第 1 号の規定により本人の知り得る状態に置く必要があるのは保有個人データの安全管理のために講じた措置であるが、これに代えて、個人データの安全管理のために講じた措置について本人の知り得る状態に置くことは妨げられない。なお、本ガイドラインでは、個人データの安全管理のために講じた措置についての事例を記載している。
 安全管理措置の事例について、詳細は「7(別添)講ずべき安全管理措置の内容」を参照のこと。ただし、上記事例も含め、掲げられている事例の内容の全てを本人の知り得る状態に置かなければならないわけではなく、また、本人の知り得る状態に置かなければならないものは事例の内容に限られない。本人の適切な理解と関与を促す観点から、事業の規模及び性質、保有個人データの取扱状況等に応じて、上記事例以上に詳細な内容の掲載や回答とすることは、より望ましい対応である。
(※8)外国(本邦の域外にある国又は地域)の名称については、必ずしも正式名称を求めるものではないが、本人が合理的に認識できると考えられる形で情報提供を行う必要がある。また、本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましい。
(※9)例えば、【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】にあるような、「盗難又は紛失等を防止するための措置を講じる」、「外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入」といった内容のみでは、本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあるとはいえないが、その具体的な方法や内容については、本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあると考えられる。しかしながら、何をもって安全管理に支障を及ぼすおそれがあるかについては、取り扱われる個人情報の内容、個人情報の取扱いの態様等によって様々であり、事業の規模及び性質、保有個人データの取扱状況等に応じて判断され る。

通則編案 140~147ページ

 

保有個人データの開示について

本人から保有個人データの開示請求をうけて開示対応する際に、「そのままのデータの状態(一般人にとっては可読性が著しく低い状態)で開示して問題ないのか」という点について、通則編案では以下のように追記されています。

電磁的記録の提供による方法については、個人情報取扱事業者がファイル形式や記録媒体などの具体的な方法を定めることができるが、開示請求等で得た保有個人データの利用等における本人の利便性向上の観点から、可読性・検索性のある形式による提供や、技術的に可能な場合には、他の事業者へ移行可能な形式による提供を含め、できる限り本人の要望に沿った形で対応することが望ましい。

通則編案 151ページ

あくまで 「望ましい」ではありますが。。。

 

「個人データ第三者提供時の記録」の開示について

 第三者提供記録 VS 秘密保持契約

令和2年改正から「個人データ第三者提供時の記録」が開示対象になります。(提供記録、受領記録双方)

「個人データ第三者提供時の記録」には、提供元または提供先となる第三者の企業名が含まれますので、開示請求を受けた企業と当該第三者と間で秘密保持契約がある場合に当該第三者の企業名等を開示できるのか(改正法28条2項2号を使って開示を拒否できるのか)という問題がありました。

※例えば、秘密保持契約上の秘密情報の定義に2社間での取引の事実までが含まれている場合等

これに対して、通則編案では以下のように記載されています。

他の事業者と取引関係にあることが契約上秘密情報とされている場合であっても、記録事項そのものを開示することについては、直ちにこれに該当するものではなく、個別具体的に判断する必要がある。

通則編案 161ページ

 思ったよりふわっとした回答ですね。。。結局どう判断したらええねん。

「基本は該当しない(開示が必要)」くらいは言ってほしかったところです。。。

なお、政令規則案パブコメ結果を見ると以下の記載がありました。

他の事業者との契約上秘密情報であるとされていることのみをもって、直ちに第三者提供記録の開示の例外事由に該当するものではないと考えられます。

政令規則案パブコメ結果 No.50

 

令和2年改正法の施行以前の第三者提供記録も開示対象か

政令規則案パブコメ結果をみると、平成27年改正法の施行以降が開示開示対象のようですね。(「みんなすでに適法に記録確認しているはずだよね?それを開示すればいいだけだから」という趣旨なのでしょう。)

平成 27 年改正法の施行後に第 25 条第1項又は法第 26 条第3項に基づいて作成された記録については、開示の対象となります。

政令規則案パブコメ結果 No.43

  

「個人データ第三者提供時の記録」の開示対応をどこまで準備するのか 

ガイドライン案とは全く別で素朴な疑問なんですが、本人から開示請求をうけてスムーズに対応できる会社さんってどれくらいいるのでしょうね。

三者提供の記録を独立したデータベースとしてしっかり構築している企業なら問題ないのでしょうが、今まで「(結構分散しているけど)システムのログとかメールとかで残っていて、人力でかき集めれば必要項目が確認できるので記録としてはOK」って感じで対応してきた企業だといざ開示請求を受けると対応が大変な気がします。

まぁ、現行法での保有個人データの開示請求対応も大変なのですが。。。

最後に、 一問一答の該当箇所を引用します。

 

Q67:事業者に個人データの入手元と提供先を把握させ、本人への開示を義務付けるのは、過度な負担となりませんか。

 

A:

1 改正前の本法においても、個人データの流通に係るトレーサビリティを確保する観点から、既に第三者提供時の確認・記録が義務付けられており、個人情報取扱事業者は、個人情報保護委員会が提出を求めた場合に、これを提出できるようにしておく必要があります。

2 今回の改正は、本人から請求があった場合には、本人に対しても第三者提供記録を開示することを求めるものであり、個人情報取扱事業者が確認・記録すべき範囲は、改正前の本法と同様です。・・・(中略)・・・

3 したがって、今回の改正により義務付けられる第三者提供記録の開示は、改正前の本法においても作成している記録の開示を求めるものであり、事業者にとって過度な負担になるものではありません。

 一問一答 79ページ

 

 

( ¨)遠い目

kanekoのリモートワーク環境 ver.3

f:id:kanegoonta:20210619143315j:plain

 

こうなりました。

今までの変遷は以下をご覧ください。

 

ver.1はコチラ↓

 

 ver.2はコチラ↓

 

ver.2から変わった点

f:id:kanegoonta:20210619144821j:plain

 

モニタ3枚だぜ!

 

先に縦置き可能なモニタ(23.8インチ)を購入してデュアルモニタ体制(当時のPCのスペック的に2枚までしか対応していなかった)にしていたのですが、最近PCが変わってCPU的にモニタ4枚まで対応可になったので、思い切ってノートPC用アームを購入してモニタ3枚体制にしました。

 

 

モニタ3枚体制の個人的メリット

・モニタごとに役割分担を設定しやすくなる

各モニタについて、以下のように役割分担して使っています。

モニタ①:チャット、メール確認用

モニタ②:メイン作業用

モニタ③:縦長で作業したい時用

・物理的に分割される

 あくまで個人的な好みなのですが、物理的に画面が分かれているのが好きなんです。ここを気にしない人であれば、ドデカモニタ1枚で十分なのかもしれません。

ちなみに仕事柄ブラウザのタブをいっぱい開くのですが、分割されることにより以下のような「ブラウザのタブを開きすぎてどれがどのページなのかわからなくなる」というのも防ぎやすい気がします。(モニタ①~③のすべてでブラウザを開いているので、1ブラウザあたりのタブの数が少なくなりタブの表示名がちゃんと表示されやすい)

f:id:kanegoonta:20210626154103p:plain

※ノートPCの画面だけで仕事をしている人とWeb会議して画面共有してもらうときに上記のタブカオス状態をよくみます。(個人的観測範囲に基づく)

・出社する気がおきなくなる

 

縦置きモニタの個人的メリット

正直、机の領域的に仕方なく縦置きにしたのですが、意外なメリットがあって結果的には満足しています。

・可視領域が増える(ような気がする)

  • 縦長の文書(A4)を想定したワードやPDF(契約書や社内文書等)
  • 縦に埋まっているエクセル
  • slackやteamsチャットのスレッドがクソ伸びた時

については、縦長モニタの方が可視性がいい気がします。

一方で、(当たり前かもしれませんが)

  • パワポをいじったり閲覧する場合
  • 左右に画面を並べたい場合

には、縦長モニタは向かないので横長モニタの方がいいですね。

・ワードの分割機能をフル活用できる。

ワードの分割機能を使うと上下に分割される(金子が無知なだけで実は左右に分割できるのかもしれないですが)ので、通常の横長モニタだと使いにくいと感じていたのですが、縦長のモニタだとちょうどいい感じになります。上部に定義条項を見ながら下部で他の条項を見る、というものやりやすいです。

これ、先日たまたま社内規定を1からドラフトしていて特に感じました。

・出社する気がおきなくなる(2回目)

 

縦長モニタと横長モニタを併用したことによる個人的メリット

・用途別に使い分けができる (縦長と横長のそれぞれのメリットを享受できる)

(モニタ3枚のメリットと被りますが)縦長モニタと横長モニタ両方あるので、それぞれ用途に応じてモニタを使い分けることができるようになりました。

 

なお、②のモニタもモニタアームに設置すれば自由に縦横を変更できるモニタが2枚になるのですが、②はVESAマウントが付けられない仕様になっている(その代わり、薄型で軽量)ので現状横長オンリーになっています。

・出社する気がおきなくなる(3回目)

 

最後に

ソーダストリームとブリタの浄水ポッドも買いました。ますます在宅が捗る。

 

人生なにが起こるかわからない

というわけで、突然ですが5末で転職します。

 

この2カ月、仕事の引継ぎをスムーズに行うために「GW以外は半休を取り続けて仕事はする」という働き方を実施した結果、最終週まで(引継ぎではない)MTGをガッツリ入れられてしまうという知見を新たに得ることに成功しました。

 

今日もガッツリ働いたので、明日から新しい職場という実感がありません。

 

医療機器メーカーで営業職だった自分にとって「未経験だけど法務と知財やりたい」かつ「大学院に通いながら」というスーパーハイボールな要求を受け止めてくれたのが現職でした。

法務として成長させてもらった現職には感謝しかありません。

 

ただ、もう少し専門的にやっていきたいという思いがあって、今回の転職に繋がりました。

次の職場では(一応法律関係ではあるものの)「法務」という肩書ではなくなりますが、頑張ります。

 

 

P.S.

LegalACは、まだ企画してもいいのだろうか。。。

(結局打ち上げできてなくてごめんなさい)

新人法務におすすめした本

f:id:kanegoonta:20210507213259p:plain

 

@itootanuさんの以下のエントリーを読みました。

 

 

自分もここ数年、新卒法務パーソンの教育に少しだけ携わる機会があり、その際におすすめした本をメモしておこうと思います。

 

なお、本エントリーは、以下のいずれかに該当する新人法務を想定しています。

  • 非法学部卒だけど法務に配属された
  • 法学部卒だけどそんなに勉強してなかった

 

 

1.日本語力を鍛えなおす

新装版 日本語の作文技術

新装版 日本語の作文技術

  • 作者:本多 勝一
  • 発売日: 2005/09/10
  • メディア: 単行本
 

法務は、他の職種より文章をよく書くお仕事だと思っています。

議事録や報告書の作成、契約書のドラフト、法務相談対応...etc

新人法務の教育に少しだけ携わって感じたことは、「(法的知識以前の問題として、)日本語の作文能力をアップさせることが大事だ」ということです。

そのために、まずこの本をおすすめしました。

この本は、「読む側にとってわかりやすい文章を書くために必要なこと」が記載されています。1976年に書かれたものがベースなこともあり、人によって評価が分かれる本ではありますが、個人的には勉強になった本です。

例えば、以下のようなことが学べます。

【修飾語の使い方】

  1. 節(1個以上の述語を含む複文)を先にし、句(述語を含まない文節)を後にする
  2. 長い修飾語は前に、短い修飾語が後にする
  3. 大状況から小状況へ、重大なものから重大ではないものへ
  4. 親和度の強弱による配置転換を考慮する(単語が直列的にかかってゆくときは親和度の強さに従い、並列的にかかるときには親和度が強いほど引き離す)

※1.と2.が特に重要

 

【テンの使い方】

  1. 長い修飾語が2つ以上あるとき、その境界にテンをうつ
  2. 語順が逆順の場合にテンをうつ(短い修飾語を前にもっていきたい場合には、テンをうつ)

 

【助詞の使い方】

  1. ひとつの文(または節)の中では3つ以上の「は」はなるべく使わない(2つまでとする)
  2. 「まで」は継続的な意味し、「までに」は期限を意味する
  3. 「間」は期間を意味し、「間に」は時点を意味する
  4. 逆説条件ではない「が」は使わない方がよい(例、少し脱線するが~)※文章をいったん切った方が読みやすい。

 

ちなみに、kanekoが法務としてのキャリアをスタートするときに知り合いの先生からおすすめされたのがこの本でした。

 

2.法務のお仕事を知る

 

物語風のテイストで法務の業務(ただし、メーカー前提)が理解できる本。

読み進めるうちに、主任がごくせんのあの人、課長が蔵之介で脳内再生されるようになります。

この本以外ですと、(恥ずかしながら未読なのですが)「今日から法務パーソン」を推す法クラも最近は多いですね。 

また、法務業務のフレームワーク的な部分だと「スキルアップのための企業法務のセオリー」もいいですよね。

 

3.契約関連 

「まずは新書レベルで読みやすい書籍」ということで安定の福井健策先生のこの本を。

これを読んだら、次は会話形式で契約書作成&修正のプロセルが学べる下記を。

契約書作成のプロセスを学ぶ(第2版)

契約書作成のプロセスを学ぶ(第2版)

 

 

ちなみに、バナナおやつ本(先生! バナナはおやつに含まれますか?―法や契約書の読み方がわかるようになる本―)も個人的にはおすすめなのですが、なぜか部内では不評...(シュン

 

4.民法の学びなおし

法務担当者のためのもう一度学ぶ民法(契約編)〔第2版〕
 

非法学部卒の場合も想定するとまずはこのあたりかなと思ってます。

他のオススメあれば是非ともご教示いただきたいです。(この分野はまじで沼)

 

5.法令用語の使い分け

新法令用語の常識」や「条文の読み方」あたりが候補なのですが、新人法務にとって読むのは苦行のようです。

結局以下のようなサイトをざっと見ておいてもらう感じになりました。

法律用語のキソ

 

6.知財

弊社のような中堅IT企業だと知財(特に著作権)は必須なので。

新書レベルだととりあえず下記2冊を。

楽しく学べる「知財」入門 (講談社現代新書)
 

 

18歳の著作権入門 (ちくまプリマー新書)

18歳の著作権入門 (ちくまプリマー新書)

 

 

上記2冊をサクッと読めたら、次は下記かな。

知財実務のツボとコツがゼッタイにわかる本

知財実務のツボとコツがゼッタイにわかる本

 

 

7.個人情報、プライバシー

いきなりPPCガイドラインに突っ込んだ自分にとって、選定が非常に難しい。。。

でも個人情報の知識は必須の業界なので、「新書レベルでザックリ全体感を理解させる」ということにフォーカスをあてると

プライバシーという権利―個人情報はなぜ守られるべきか

おそろしいビッグデータ 超類型化AI社会のリスク

からの「個人情報保護法の知識」でしょうか。

 

 8.その他

1~7を一通り読んだら、これをざっとでいいから読んどいて欲しい。(個人的希望 

現場からの法務相談がきたときの対応スキル(「こういった相談にはこういった法的論点がある」というあたりをつけること)が格段に上がるはずだから。たぶん。

 

最後に

以上、新人法務に個人的におすすめした本を紹介してきました。

書き出してみて改めて感じたのですが、法務として必要な分野をあまり網羅できてなかったなぁと感じています。(例えば、非法学部卒も視野に入れているならば、もうちょっと法学入門的な本をおすすめしておけばよかったなぁとか)

法クラの皆様のオススメ本もお聞きしたいところです。

 

 

 

 

 

 

ところで、配属1年後に「ぶっちゃけ、おすすめした本のうちどれ読んだ?」と聞いたところ、なんt...コンコン、ガチャ...おや、誰か来たようだ。

 

音楽教室事件知財高裁判決をざっと読んだ簡易メモ

音楽教室事件知財高裁判決をざっと読んでみました。

 

判決文へのリンク:

知財判決

地裁判決

 

詳細な考察は今後でてくる判例評釈に委ねる(楽しみにしております!)として、個人的に興味深い点をいくつかメモ。

 

1.カラオケ法理の限界?

判決をザックリ2行にまとめると

  • 教師による演奏⇒演奏権侵害(演奏主体が音楽教室で生徒が公衆に該当)
  • 生徒による演奏⇒非侵害(演奏主体が生徒なので自分自身への演奏は非公衆)

と理解しました。

地裁がいわゆるカラオケ法理(規範的主体論)で音楽教室側をザックリ演奏の主体と判断して侵害を肯定したのに対し、ケース分けして演奏主体を検討して一部非侵害と判断する、というのは近年のカラオケ法理の適用例では珍しい気がします(自分が無知なだけかもしれません)。

「基本は侵害やけど、細かくケース分けして検討したら非侵害とすべきときもあるよなぁ」といったところなのでしょうか。

では、これを「カラオケ法理の限界点をみた」とまで言ってしまっていいのでしょうか。

たしかに、「利用行為の詳細等を細かく検討分析してあてはめ方を考えれば、カラオケ法理であっても非侵害に持っていける部分がある」というのが明確になった判決といえるかもしれません。

ただ、(これは法クラの皆様のご意見をお聞きしたいところですが、)そう言うのは時期尚早な気がしています。まだ最高裁という最終ラウンドも残ってますし。(当事者双方とも上告済み)

 

と書いたところで、ロクラクⅡ事件とまねきTV事件が知財高裁で判断が分かれて、最高裁でどちらも侵害と判断となったことをふとを思い出しました。

いや、特に意味はないですよ。なんとなく。

 

2.30条の4について

そのほか、個人的に興味深かったのは判決内において30条の4(非享受利用)に関して触れられている点です。これは「自称:30条の4(旧47条の7)大好きっ子」の一人として見逃せません。

音楽教室側が、演奏権(22条)における「聞かせることを目的」の解釈において、

➀30条の4を参酌せい

音楽教室での教師の演奏は非享受目的や(享受目的ちゃうねん)

という趣旨(kanekoのザックリ解釈に基づく)の主張をしています。

※抗弁として30条の4を主張しているわけではないようです

平成30年改正時に「音楽教室事件はひょっとしてひょっとしたら30条の4でいけるんじゃね?」という意見が少数ながらあったと個人的に記憶しているのですが、結果としては地裁、高裁はともに以下のように非享受目的を否定(=間接的に30条の4の適用を否定)しています。

 (下線はkanekoによる。)

 

(1)地裁判決

著作権法22条と30条の4第1号とは,その目的,趣旨,規律内容を異にする条項であり,同法30条の4第1号の規定の趣旨又はその文言を参酌して,同法22条の「聞かせることを目的」とするとの文言の意義を解釈すべき合理的な理由はない。
また,著作権法30条の4の立法担当者の解説(乙44)においては,漫画の作画技術を身に付けさせることを目的として,民間のカルチャーセンター教室で購入した漫画を手本として受講者が模写する行為につき,その主たる目的が作画技術を身に付ける点にあるとしても,一般的に同時に「享受」の目的もあるとされていることは,被告の指摘するとおりであって,音楽教室における演奏の目的が演奏技術の習得にあるとしても,同時に音楽の価値を享受する目的も併存し得る

 

(2)知財高裁判決

「聞かせることを目的」とするとの文言の趣旨は,・・・(中略)・・・演奏が行われる外形的・客観的な状況に照らし,演奏者に「公衆」に演奏を聞かせる目的意思があったと認められる場合をいい,かつ,それを超える要件を求めるものではないと解するのが相当であるし,また,「著作物に表現された思想又は感情を自ら享受し又は他人に享受させることを目的」としない場合に著作権の制限を認める著作権法30条の4に留意したとしても,音楽教室における演奏の目的は,演奏技術等の習得にあり,演奏技術等の習得は,音楽著作物に込められた思想又は感情の表現を再現することなしにはあり得ず,教師の演奏も,当該音楽著作物における思想又は感情の表現を生徒に理解させるために行われるものというべきであるから,著作物に表現された思想又は感情を他人に享受させる目的があることは明らかである。したがって,上記①の主張を採用することはできない。
そして,音楽教室における教師の演奏が当該教師の本来の演奏とは異なるなどの事情があるとしても,上記のとおり,著作物に表現された思想又は感情を生徒に享受させる目的があることには変わりなく,このようなことが不可能なように繰り返しレッスンすることなどあり得るはずもないから,上記②の主張は,失当というほかない。

 

 文化庁の柔軟な権利制限規定のガイドラインデジタル化・ネットワーク化の進展に対応した柔軟な権利制限規定に関する基本的な考え方)も踏まえるとまぁそうなるよなぁと思うところではありますが、しっかり判決で言及してくれているのは興味深いです。

 

 

 

 

kanekoが今週読んだ記事まとめ(2021/2/28~2021/3/7)

諸事情により一時休止していましたが、今週から復活。

 

※表がスマホの縦画面だと見にくかったり、表示されないケースがあるので、PC閲覧かスマホ横画面表示推奨です。

※各記事にはリンクつけていますが、リンク切れになってたらすみません。

 

 

 

著作権 

日時 タイトル/リンク サイト名 kanekoコメント
03/01 ブランディングの鍵を握る著作権契約 その3つのポイント 日経クロストレンド 水野先生による記事。
03/01 ゾンビ映画の流行は「著作権管理のミス」インターネットアーカイブが指摘 - ライブドアニュース はてぶ著作権 タイトル修正のときに©マークを誤って削除

意図せずパブリックドメイン

カルチャー化
02/24 「ウマ娘 プリティーダービー」をプレイする際の配信ガイドライン |Cygames はてぶ著作権  
03/05 違法音楽アプリ利用者が約64万人に減少。著作権法改正が影響 - AV Watch はてぶ著作権  
03/06 Spanish Supreme Court applies Cofemel and rules that bullfighting cannot be protected by copyright The IPKat 「闘牛が著作権法で保護されるか」っておもしろいですね。(なお、裁判所は否定)
03/01 先生教えて!学校で迷わないための著作権の話① 有斐閣 法律編集局 書籍編集部 有斐閣×上野先生×noteってなんか斬新
03/05 開運推命おみくじ事件-著作権 著作権侵害差止等請求事件判決(知的財産裁判例集)- 駒沢公園行政書士事務所日記 おみくじの文章内容について、複製権侵害が成立すると判断されていますね。
対比表が別紙にあるので、これを見るとデッドコピーに近いのがよくわかります。
03/05 著作権法の一部を改正する法律案 文部科学省 主な改正内容としては、①図書館関係の権利制限規定の見直し、②放送番組のネット同時配信に関係する権利処理の円滑化
※施行日に注意。

 

 

知財著作権以外)

日時 タイトル/リンク サイト名 kanekoコメント
02/28 これでも「侵害」になってしまうのだとしたら、それをリスクと言わずして何と言おう・・・。 企業法務戦士の雑感 厳しい判決ですね、、、
03/03 Intelが2300億円超の特許侵害による損害賠償支払い命令を受ける GIGAZINE すごい額。。。
03/06 話題スイープの『ウマ娘』、名馬の擬人化は大丈夫? 過去には「ダビスタ裁判」も 弁護士ドットコムニュース パブリシティ権まわりは結着ついているので、残るは不法行為による損害賠償リスクとのこと。



 

個人情報保護法・データ保護法・プライバシー関連

日時 タイトル/リンク サイト名 kanekoコメント
03/02 米国の州におけるプライバシー関連法の状況マップ(米国州プライバシー法トラッカー) まるちゃんの情報セキュリティ気まぐれ日記 わかりやすい!
03/01 なぜGoogleのデータ収集について裁判官は「混乱している」とコメントしたのか? GIGAZINE 「シークレットモードって全然シークレットちゃうやん」というお話。
03/03 ブラジルANPD、個人データ侵害報告ガイダンスを公表 IIJ  
03/02 米国 生体情報収集の州法違反でFacebookが6億5000万ドルの和解金を支払い IIJ 和解決定書へのリンク有
02/25 「電気通信事業における個人情報保護に関するガイドラインの解説」の改正案等に対する意見募集の結果 総務省 あとでよむ。ぜったい。
03/03 2021年2月のトピック~官民を通じた個人情報保護制度の見直しと「デジタル広告」に伴う独占禁止法上の留意点(2021年3月3日号) 西村あさひ法律事務所 概要を理解するのにいい内容です。


 

 

契約関連・法律・訴訟・法務ネタ

日時 タイトル/リンク サイト名 kanekoコメント
03/05 紙の契約書と電子契約を一元管理できる「マネーフォワード クラウド契約」が5月開始 TechCrunch Japan マネフォも参戦。
03/07 優越的地位の濫用をリスクマップ的に検討できないか考えてみた 法務マンの雑記 表がわかりやすいです。
02/28 法律関係で参考となる情報のまとめ(主に官公庁) 若手弁護士の情報法ブログ ためになるまとめ。今後のアップデートにも期待です。
03/02 脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) IT・システム判例メモ 本論とはあまり関係ありませんが、「EC-CUBEを利用していたものの、アップデートしてなくて脆弱性を付かれてクレカ情報漏洩」というパターン、最近多いですよね。


 

 

デジタルマーケティング・アドテク関連

日時 タイトル/リンク サイト名 kanekoコメント
02/28 デジタル広告分野における「独占」の意味。 企業法務戦士の雑感 あとでもう一回読む。
03/01 Firefoxはどのようにして「Googleアナリティクス」による追跡を無効化しているのか? GIGAZINE あとでもう一回読む。
03/01 「たとえ無料で便利でもGoogleアナリティクスを使うべきではない」という主張 GIGAZINE タダより高いものはないってやつですね。
03/04 Google Japan Blog: よりプライバシーに配慮したウェブの実現にむけて はてなブックマーク - 人気エントリー - テクノロジー アドテク業界の人は必読。
03/02 電通、Twitterで今つぶやいた人だけをターゲティングする商品を提供開始 RTB SQUARE 個情法的にはどう整理しているのか。
03/05 ブラウザの追跡ブロック機能を回避する「CNAMEクローキング」を行うサービス・企業のリストが公開中 GIGAZINE 企業名がバイネームで挙げられているのが興味深いです。
03/05 Googleが導入予定の「FLoC」は最悪なものだと電子フロンティア財団が指摘 GIGAZINE フィンガープリントでの回避手段が逆に横行するのではないかという指摘です。


 

 

セキュリティ

日時 タイトル/リンク サイト名 kanekoコメント
02/25 IIJ、クラウド上で脆弱性情報の管理を一元化する「IIJ脆弱性管理ソリューション with Tenable.io」を提供 - クラウド Watch はてぶセキュリティ 「サービスの料金(税別)は、初期費用が150万。Tenable.ioのライセンス費用は個別見積もり。」とのこと。
03/03 データ侵害の盲点はシャドーIT Fox on Security シャドーIT対策の徹底って難しいですよね。。。
03/03 Trade secrets in the wild (Part 1): some economics of cybersecurity investment The IPKat  


 

 

情報漏洩・インシデント関連

日時 タイトル/リンク サイト名 kanekoコメント
03/02 オランダ 個人情報保護局 データ漏洩報告書2020を公表 - 漏洩報告総数は減っているが、マルウェアによる漏洩は30%増加したようです... まるちゃんの情報セキュリティ気まぐれ日記 エグイっすね、、、
03/05 1万8000個以上のスマートフォンアプリに個人情報漏えいなどの脆弱性が発覚、クラウドサービスの設定が不完全なため GIGAZINE ソースはこちら

https://blog.zimperium.com/unsecured-cloud-configurations-exposing-information-in-thousands-of-mobile-apps/
03/06 JAL/ANAからの情報漏えい Fox on Security 網羅的に解説されてい分かりやすいです。


 

 

セキュリティ体制

なし


IT技術

日時 タイトル/リンク サイト名 kanekoコメント
03/02 [初心者向け]AWSの勉強を始めるためのリンク集 | DevelopersIO はてなブックマーク - 人気エントリー - テクノロジー あとでざっと読む



 

業界動向

日時 タイトル/リンク サイト名 kanekoコメント
03/03 欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表 まるちゃんの情報セキュリティ気まぐれ日記 あとでよむ。


 

 

その他

なし