Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
プライバシーデータ活⽤ における課題とは? 2022/09/07 インハウスハブ東京法律事務所 弁護⼠ 世古修平 1
Slide 2
Slide 2 text
講師紹介 世古修平(せこ しゅうへい) • インハウスハブ東京法律事務所 弁護⼠ • インターネットサービス企業 Privacy Counsel • IPA 独⽴⾏政法⼈ 情報処理推進機構 試験委員 • 経済産業省 電⼦商取引及び情報財取引等に関する準則 研究会委員 • 総合系のコンサルティングファーム2社を経て現職 • セキュリティ、プライバシー領域の案件を中⼼に活動中 • CISSP, CIPM, CIPP/E 2
Slide 3
Slide 3 text
Acompany社からいただいた本⽇のお題 3
Slide 4
Slide 4 text
Acompany社からいただいた本⽇のお題 4 “プライバシーデータ活⽤における課題とは AutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説!”
Slide 5
Slide 5 text
”徹底解説!” 5 “プライバシーデータ活⽤における課題とは AutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説!”
Slide 6
Slide 6 text
とはいえ思いつく「課題」は多種多様 6 炎上対策? ⼤規模なデータ収集? 正しい法律知識? ⾼度な分析技術? 法務 事業 事業 技術 “プライバシーデータ活⽤における課題とは AutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説!”
Slide 7
Slide 7 text
【本⽇の結論】 課題は事業・技術・法務の相互理解である 7 法務 事業 技術
Slide 8
Slide 8 text
【理由の説明1/5】 これらの課題は確かにどれも重要 8 炎上対策? ⼤規模なデータ収集? 正しい法律知識? ⾼度な分析技術? 法務 事業 事業 技術
Slide 9
Slide 9 text
【理由の説明2/5】 現実問題全てを兼ね備えた⼈は⽤意できない 9 事業 技術 法務 事業 技術 法務 n リーダーに多い印象のスキルセット
Slide 10
Slide 10 text
【理由の説明3/5】 各担当者が協業して解決していくしかない 10 法務 事業 技術
Slide 11
Slide 11 text
【理由の説明4/5】 他⼈の専⾨分野に⾶び込むのは正直怖い 11 投影のみ
Slide 12
Slide 12 text
【理由の説明5/5】 越境の前提として相互理解が必要なのでは 12 【課題①】 q 法務を理解してもらう努⼒ Ø 法務を事業・技術⽂脈で議論できる環境構築 【課題②】 q 事業・技術を理解してもらう努⼒ Ø 事業・技術を法務⽂脈で議論できる環境構築 法務 事業、技術
Slide 13
Slide 13 text
【本⽇の結論】 課題は事業・技術・法務の相互理解である 13 法務 事業 技術
Slide 14
Slide 14 text
14 1.結論 2.課題①(法務 → 事業、技術) (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題② (1)法律上の要求事項の実装(技術 → 法務) (2)レピュテーションリスク(事業 → 法務)
Slide 15
Slide 15 text
15 1.結論 2.課題①(法務 → 事業、技術) (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題② (1)法律上の要求事項の実装(技術 → 法務) (2)レピュテーションリスク(事業 → 法務)
Slide 16
Slide 16 text
16 1.結論 2.課題①(法務 → 事業、技術) (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題② (1)法律上の要求事項の実装(技術 → 法務) (2)レピュテーションリスク(事業 → 法務)
Slide 17
Slide 17 text
個⼈情報の定義はまだまだ誤解が多い ⽒名は削除したので 「匿名化」されています 公開情報なので 個⼈情報には 該当しないのでは toBの担当者情報なので 個⼈情報なんて ⼤袈裟なものではないかと よく聞く⾔葉 17
Slide 18
Slide 18 text
⼀⽅で法務も説明を徹底できていない 18 これって個⼈情報に該当します? 法務⾃⾝が間違っているケース ⽒名が含まれていないので これは個⼈情報ではありません 事業 法務 法務が誤解を放置しているケース データの分析を委託しますが 委託する情報には 個⼈情報は含まれていません …了解です 技術 法務
Slide 19
Slide 19 text
どこまでが個⼈情報? q ⽇常⽤語では、⽒名・性別・住所・電話番号などが個⼈情報の具体例として思い浮かびます q 法律では、どこからどこまでが個⼈情報とされているのでしょうか? ⽒名 性別 住所 電話番号 19
Slide 20
Slide 20 text
法律に定義があります q 読みにくい条⽂ですが、今⽇は⼀緒に読んでみましょう q 「1号本⽂」「1号かっこがき」に分解して読んでみます 【個⼈情報保護法】 (定義) 第⼆条 この法律において「個⼈情報」とは、⽣存する個⼈に関する情報であって、 次の各号のいずれかに該当するものをいう。 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(略)により 特定の個⼈を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個⼈を識別することが できることとなるものを含む。) ⼆ (略) ⼀号かっこがき ⼀号本⽂ 20
Slide 21
Slide 21 text
1号本⽂を読んでみよう ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの ⼀号本⽂ ⼀号かっこがき 21 申込フォーム ⽒名 XXX ⽣年⽉⽇ XXX メール XXX 会社名 XXX 部⾨ XXX
Slide 22
Slide 22 text
1号本⽂を読んでみよう ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの ⼀号本⽂ ⼀号かっこがき 22 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等 申込フォーム ⽒名 XXX ⽣年⽉⽇ XXX メール XXX 会社名 XXX 部⾨ XXX
Slide 23
Slide 23 text
1号本⽂を読んでみよう ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの ⼀号本⽂ ⼀号かっこがき 23 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等 申込フォーム ⽒名 XXX ⽣年⽉⽇ XXX メール XXX 会社名 XXX 部⾨ XXX
Slide 24
Slide 24 text
1号本⽂を読んでみよう ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの ⼀号本⽂ ⼀号かっこがき 24 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等により 特定の個⼈を識別することができるもの 申込フォーム ⽒名 XXX ⽣年⽉⽇ XXX メール XXX 会社名 XXX 部⾨ XXX
Slide 25
Slide 25 text
応⽤編① ⼀号本⽂ ⼀号かっこがき 申込フォーム ⽒名 XXX ⽣年⽉⽇ XXX メール XXX Q1 利⽤したことがある Q2 ウ 【基礎情報】 【アンケート】 会社名 XXX 部⾨ XXX 25 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
Slide 26
Slide 26 text
応⽤編① ⼀号本⽂ ⼀号かっこがき 申込フォーム ⽒名 XXX ⽣年⽉⽇ XXX メール XXX Q1 利⽤したことがある Q2 ウ 【基礎情報】 【アンケート】 会社名 XXX 部⾨ XXX 26 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等により 特定の個⼈を識別することができるもの
Slide 27
Slide 27 text
応⽤編② 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA ⼀号本⽂ ⼀号かっこがき 27 申込フォーム ⽒名 XXX ⽣年⽉⽇ XXX メール XXX Q1 利⽤したことがある Q2 ウ 【基礎情報】 【アンケート】 会社名 XXX 部⾨ XXX ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
Slide 28
Slide 28 text
応⽤編③ 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 ⼀号本⽂ ⼀号かっこがき テーブルB テーブルA 28 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001 00002 00003 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
Slide 29
Slide 29 text
応⽤編③ 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 ⼀号本⽂ ⼀号かっこがき テーブルB テーブルA 29 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001 00002 00003 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
Slide 30
Slide 30 text
⼀号かっこがきを読んでみよう (他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。) ⼀号本⽂ ⼀号かっこがき 30 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB テーブルA 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001 00002 00003
Slide 31
Slide 31 text
⼀号かっこがきを読んでみよう (他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。) ⼀号本⽂ ⼀号かっこがき 31 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB テーブルA 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001 00002 00003
Slide 32
Slide 32 text
⼀号かっこがきを読んでみよう (他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。) ⼀号本⽂ ⼀号かっこがき 他の情報と容易に照合 それにより特定の個⼈を識別 2 1 32 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB テーブルA 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001 00002 00003
Slide 33
Slide 33 text
33 1.結論 2.課題①(法務 → 事業, 技術) (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題② (1)法律上の要求事項の実装(技術 → 法務) (2)レピュテーションリスク(事業 → 法務)
Slide 34
Slide 34 text
分析に複数企業が関与することは⼀般的 34 データを豊富に 持つ企業 分析技術に ⻑けた企業 個⼈データの提供 分析結果の提供
Slide 35
Slide 35 text
個⼈データの提供には原則同意が必要 35 第⼆⼗七条 個⼈情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本⼈の同意を得ないで、個⼈データを第三者に 提供してはならない。 データを豊富に 持つ企業 分析技術に ⻑けた企業 個⼈データの提供 分析結果の提供
Slide 36
Slide 36 text
委託として整理できる場合には同意不要 36 第⼆⼗七条 個⼈情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本⼈の同意を得ないで、個⼈データを第三者に 提供してはならない。 5 次に掲げる場合において、当該個⼈データの提供を受ける者は、前各項の規定の適⽤については、第三者に 該当しないものとする。 ⼀ 個⼈情報取扱事業者が利⽤⽬的の達成に必要な範囲内において個⼈データの取扱いの全部⼜は⼀部を委託す ることに伴って当該個⼈データが提供される場合 データを豊富に 持つ企業 分析技術に ⻑けた企業 個⼈データの提供 分析結果の提供
Slide 37
Slide 37 text
⽤語の説明を端折りがち 37 それって 同意( )取ってます? それとも委託( )です? 第⼆⼗七条 個⼈情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本⼈の同意を得ないで、個⼈データを第三者に 提供してはならない。 5 次に掲げる場合において、当該個⼈データの提供を受ける者は、前各項の規定の適⽤については、第三者に 該当しないものとする。 ⼀ 個⼈情報取扱事業者が利⽤⽬的の達成に必要な範囲内において個⼈データの取扱いの全部⼜は⼀部を委託す ることに伴って当該個⼈データが提供される場合 ありがちな会話 …えーっと (同意は取ってないし多分) 委託です 法務 事業 1 2 1 2
Slide 38
Slide 38 text
【契約】 業務委託契約、SaaS利⽤契約、フランチャイズ契約 「委託」は多義的に⽤いられている 38 【個⼈情報の保護に関する法律についてのガイドライン(通則編) 】 「個⼈データの取扱いの委託」とは、契約の形態・種類を問わず、個⼈情報取扱事業者が他の者に個⼈データの 取扱いを⾏わせることをいう。具体的には、個⼈データの⼊⼒(本⼈からの取得を含む。)、編集、分析、出⼒ 等の処理を⾏うことを委託すること等が想定される。 【個⼈情報保護法上の評価】 個⼈データの取り扱いの委託 提供元 提供先 *https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf
Slide 39
Slide 39 text
39 1.結論 2.課題①(法務 → 事業, 技術) (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題② (1)法律上の要求事項の実装(技術 → 法務) (2)レピュテーションリスク(事業 → 法務)
Slide 40
Slide 40 text
テーブルBだけを委託するケースを想定 委託 X社(提供元) Y社(提供先) 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 利⽤履歴データ(テーブルB)だけを委託先に渡して分析させたい。 委託先に渡すデータには「お名前」が含まれていませんし、個⼈情報(個⼈データ)として扱わなくて良いです よね? 40
Slide 41
Slide 41 text
提供先基準と提供元基準 41 提供先基準 提供元基準 提供先のY社にとって、テーブルBは個⼈データでない ↓ X社からY社へのデータの提供⾏為は、個⼈データの委 託ではない(=⾮個⼈データの提供である) 委託 X社(提供元) 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB Y社(提供先) 提供元のX社にとって、テーブルBは個⼈データである ↓ X社からY社へのデータの提供⾏為は、個⼈データの委 託である 委託 X社(提供元) 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB Y社(提供先)
Slide 42
Slide 42 text
実務では提供元基準が採⽤されている 出所:「個⼈情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意⾒募集結果 ( https://www.ppc.go.jp/files/pdf/2811_bessi2-1.pdf ) 委託 提供先(委託先) 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB ある情報を第三者に提供する場合、当該情報が「他 の情報と容易に照合することができ、それにより特 定の個⼈ を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に 照合することができ、それにより特定の個⼈を識別することができることとなる」かどうかで判断します。 42 提供元(委託元)
Slide 43
Slide 43 text
【まとめ】 事業, 技術⾃ら法律を活⽤できる状態が理想 43 法務 事業 技術
Slide 44
Slide 44 text
44 1.結論 2.課題①(法務 → 事業, 技術) (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題② (1)法律上の要求事項の実装(技術 → 法務) (2)レピュテーションリスク(事業 → 法務)
Slide 45
Slide 45 text
45 1.結論 2.課題①(法務 → 事業, 技術) (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題② (1)法律上の要求事項の実装(技術 → 法務) (2)レピュテーションリスク(事業 → 法務)
Slide 46
Slide 46 text
要求事項を実装するには技術知識が不可⽋ 46 出所:https://www.ppc.go.jp/files/pdf/report_office_zirei2205.pdf https://www.ppc.go.jp/files/pdf/211029_guidelines04.pdf 技術的安全管理措置 仮名加⼯情報 匿名加⼯情報
Slide 47
Slide 47 text
⼀⽅で技術部⾨との会話に悩む法務は多い 47 (わからなきゃ質問してくるだろ) それってXXXをYYYすれば 良いってことですか? ありがちな会話1 (単語の意味分からないけど プロが提案してるんだし良いだろ) はい、それで⼤丈夫です 技術 法務 ありがちな会話2 (どうせ詳細話してもわからんだろ) わかりました、 要件踏まえて対応しておきます。 (ほっ) ありがとうございます 技術 法務
Slide 48
Slide 48 text
理解度に応じたコミュニケーションを 48 法務の理解度が低い場合 法務の理解度が⾼い場合 XXXという要件を満たすためには YYYが必要だと考えられるのですが YYYってご存知です? 技術 YYYで対応しておきます 技術
Slide 49
Slide 49 text
勿論法務が最低限の知識を得ることも重要 49 出所: https://bookplus.nikkei.com/atcl/catalog/07/P83110/ https://www.shoeisha.co.jp/book/detail/9784798144450, ネットワーク データベース
Slide 50
Slide 50 text
【まとめ】 実装まで⾒届けるためには両⽅の知識が必要 50 法務 事業 技術
Slide 51
Slide 51 text
51 1.結論 2.課題①(法務 → 事業, 技術) (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題② (1)法律上の要求事項の実装(技術 → 法務) (2)レピュテーションリスク(事業 → 法務)
Slide 52
Slide 52 text
炎上は適法だが不適切な取組みでも起こる 52 ⼝頭説明のみ
Slide 53
Slide 53 text
アンチパターンとしてのダークパターン 53 出所:https://www.shoeisha.co.jp/book/detail/9784798177892 n “ダークパターンとは、ユーザーを騙して何かを購⼊させたり、登録 させたりするなど、意図しないことを実⾏させる、Webサイトやア プリで使われているトリックのこと” n ダークパターンを使うことによって⽣じ得る損失やリスク Ø カスタマーサポートへの負担増 Ø 返品率の増加 Ø SNSでの悪評の拡散・ネガティブレビュー (レピュテーションリスク) Ø 客のライフタイムバリューの低下 Ø 新規顧客獲得コストの増加 Ø 従業員の離職率・⼈材の採⽤コストの増加 Ø 消費者トラブルへの発展(紛争・訴訟のリスク) Ø 法律違反・罰則リスク Ø 業界全体の信頼が損なわれる
Slide 54
Slide 54 text
議論の成熟につれ法的義務に変化することも 54 出所:https://edpb.europa.eu/system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf
Slide 55
Slide 55 text
実際これを単独部⾨で解決するのは無理では 55 出所:https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf
Slide 56
Slide 56 text
【まとめ】 リスクは事業, 法務単独では拾えない 56 法務 事業 技術
Slide 57
Slide 57 text
【本⽇の結論】 課題は事業・技術・法務の相互理解である 57 “プライバシーデータ活⽤における課題とは AutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説!” 事業・技術・法務の相互理解
Slide 58
Slide 58 text
ご清聴 ありがとうございました インハウスハブ東京法律事務所 世古修平(せこしゅうへい) Website :https://www.seko-law.info/ Twitter :@seko_law Mail :shuhei.seko@inhousehub.tokyo 58