イベント / EVENT

平成25年度 第2回 Q&A

第2回 2013年7月22日(月)

クラウド時代のセキュリティ~ パーソナル情報を守る・活かす ~
岡村 久道 (国立情報学研究所 客員教授)

講演当日に頂いたご質問への回答(全17件)

※回答が可能な質問のみ掲載しています。

クラウドにお客様データを置く場合、第三者提供になるのでしょうか。

一口にクラウドと言っても多様ですが、原則として、第三者提供(個人情報保護法23条1項)ではなく、委託(同条4項1号)となり、本人の事前同意は不要であると考えられています(岡村久道編『クラウドコンピューティングの法律』(民事法研究会、2012)147頁以下〔鈴木正朝〕)。

SuicaやEdy等はモバイルであれば、端末に紐付いている(=個人に紐付いている)ものとして情報保護の対象になりますが、無記名Suica,Pasmoの情報は保護の対象外ですか。

少なくとも個人に紐付いているものは、個人情報保護法の保護対象になります。それ以外でも、プライバシー権の対象となりうるか、議論があります。

スイカの利用者履歴情報を提供したことによるプライバシーの侵害はいかなるものか?

ご質問2の回答を参照願います。

ビッグデータはどこまでが第三者に提供してよいのか許容範囲を知りたい。

膨大な検討が必要ですので一口で答えられません。さしあたり、拙著「ビッグデータの処理と法的フレームワーク」(KDDI総研 NextCom 12号)( http://www.kddi-ri.jp/nextcom/backnumber.html?vol=12 )、nikkeibpITproに連載中の「岡村弁護士に聞く」( http://itpro.nikkeibp.co.jp/article/COLUMN/20120207/380350/?ST=bigdata )をご覧下さい(どちらも無料、要登録)。また、総務省「パーソナルデータの利用・流通に関する研究会」報告書( http://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000071.html )も併せてご覧下さい。

JR東日本のSuicaデータの第三者提供は適法でしょうか。また、適法性を満たす条件について教えて頂けると幸いです。

ご質問4の回答を参照願います。

個人情報保護法により、ビックデータの中から自分のデータを削除してもらえるのか。

ご質問4の回答を参照願います。

パーソナル情報、プライバシーに関し、ヨーロッパ等では"忘れられる権利"が論じられているようです。これは法的に保障され得るでしょうか。(日本では / あるいは外国で)そのためには、どのような法的基盤が必要ですか。

EUは保護規則案で導入を提唱しましたが、まだコンセンサスは得られていない模様です。なお、ご質問4の回答を参照願います。

そもそも"情報を吸い上げられない権利"は、保障されないものなのでしょうか。

「忘れてもらう権利」に関するご質問と思いますので、ご質問7の回答を参照願います。

Suicaの中の移動情報は、犯罪捜査などに利用されたりしているのでしょうか。(JR側に法的な提出義務が生じることはあるのでしょうか)

裁判所の捜索差押令状があれば認められます。

個人情報はもう守れないものなのか。

守られるよう、関係諸機関が努力を続けています。

企業会計における公認会計士による監査のような制度が個人情報取扱事業者には必要と考えますが、いかがでしょうか。

省庁のガイドラインの多くでは、監査の導入が重要であるとしています。日本工業規格JIS Q 15001「個人情報保護マネジメントシステム-要求事項」では監査など「点検」が盛り込まれています。経済産業省の「情報セキュリティ監査制度」も存在しています。

クラウドコンピューティングについて、国境を越えた判例はあるか。(事例等)

正規に公表されているものは不明です。

端末やキャリアで規制できない場合、どこが中心に規制することが最も円滑に統制できるのか。

OECD等、国際機関での規制が考えられます。

クラウド登場から随分たつが、ボーダレス化の結果、クラウドが危険だとした場合、企業がクラウドを利用することが個人情報保護法が定める安全性を満たすと言えますか。満たす場合とそうではない場合に分かれるとした場合、その基準はどうなるか。

ご質問の点については、経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表~クラウドサービスの安全・安心な利用に向けて~」( http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html )が参考となります。国際規格化の動向については、ISO/IEC 27017 -- Information technology -- Security techniques -- Code of practice for information security controls for cloud computing services based on ISO/IEC 27002 (DRAFT) ( http://www.iso27001security.com/html/27017.html )、IPA「クラウド情報セキュリティの国際標準-フランス会合報告:ISO/IEC 27017の策定について-」をご覧下さい( http://www.jasa.jp/seminar/monthlyreport.html )。

インターネットによる脅迫事件の立証は可能ですか。

ケースバイケースです。

結局、ユーザーである私たちは、何を注意すれば良いのでしょう。世論の形成以外に書く人が対応するすべはあるのですか。

総務省「スマートフォン・クラウドセキュリティ研究会 最終報告」( http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000020.html )が「スマートフォン情報セキュリティ3か条」として指摘するとおり、「1.OS(基本ソフト)を更新、2.ウイルス対策ソフトの利用を確認、3.アプリケーションの入手に注意」が重要です。

クラウド型のセキュリティソフトで、スノーデン事件のような事がおきませんか。
最近のセキュリティソフトは、ウイルスパターンを配布する代わりに、セキュリティソフト会社のサーバーでチェックするのが主流のようです。しかも接続先Web画面をチェックするために私が見るWebサイトの記録もチェックしているようです。しかも、有力セキュリティソフト会社は、中国の会社、アメリカの会社、ロシアの会社とさまざまな国の会社です。(試しにセキュリティソフト会社との接続を切ったら、どのWeb画面も見られなくなりました。)アメリカのPRISM事件のように、もしこれらの国家がかかわっていたら、すべてのPCに出入りする全ての情報が筒抜けになってしまうのではないのですか? Windows 7のPCを購入した時、メールソフトが付いておらず、別にWindows Liveメールを名前や住所を登録した上で、ダウンロードしなければならなかったのも不安です。グーグルも各個人別に検索キーワードや検索先アドレスも記録している可能性もあるのではないのですか? 国境を越えるこれらのデータを規制することは出来るのですか? (通信の機密が国家によって監視されるのも人権侵害で困るのですが・・・」

クラウドについては、越境的性格(ボーダレス性)のほか、データの所在の不明確性、サービスの重層性等も問題となって複雑です。一口で説明することは困難ですので、一般論としては『クラウドコンピューティングの法律』11頁以下、43頁以下を参照してください。

shimin 2013-qa_2 page2524

注目コンテンツ / SPECIAL