Scalar IST のご紹介

Transcript

1. © 2020 Scalar, inc. Scalar IST のご紹介 Scalar Information banking

   Solution Template 2020年7月23日 株式会社 Scalar 1

2. © 2020 Scalar, inc. パーソナルデータの利用・流通にはらむリスク パーソナルデータ 活用戦略 生活者と事業者の パーソナルデータ利用に対 する期待の不一致

   生活者の開示要求に 応えられないシステム 人的、組織的、 技術的、物理的 安全管理措置の不備 行政指導　車内カメラで客の性別推定 ジャパンタクシー 辞退率販売、職安法に違反 リクナビ アクセス履歴の広告利用で退会続出 Qiita 改正個人情報保護法 • 個人が望まないデータの利用停止を企業に求める権利の拡大 • 違法や不当な行為を誘発する恐れのあるデータ利用を禁止 • 「個人の権利に害を与える恐れが大きい」漏洩の報告を義務化 • 法人への罰金を上限 1億円に引き上げ

3. © 2020 Scalar, inc. パーソナルデータの活用には、データ活用戦略の基盤が必要 デジタル化が進む社会において、パーソ ナルデータを活用した企業戦略の重要度 はますます高まっている。 一方、パーソナルデータの活用には、大 きな事業リスクをはらんでいる。このた

   め、パーソナルデータを利用するための 基礎をしっかり構築しておく必要がある 。 パーソナルデータ 活用戦略 パーソナルデータの 利用に対する 生活者の期待値との一致 生活者に対する 透明性の担保と 選択肢の提供 人的、組織的、 技術的、物理的 安全管理措置の整備 データ活用による 便益の提供 パーソナルデータの 利用に対する 対話的な同意の取得 同意の変更を許可 利用履歴の開示 提供履歴の開示 パーソナルデータの 同意、履歴の記録 安全な基盤の構築 パーソナルデータ 提供の動機 サービスの利用と データの提供の タイミングの一致 パーソナルデータ 取扱いに対する 信頼性の構築 漏洩事故などが あったときの安心感 個人情報取扱事業者 生活者

4. © 2020 Scalar, inc. パーソナルデータの取得・利用・流通の流れ • 同意文書のマスター登録 ◦ 利用目的 ◦

   データセット ◦ 利用期限 ◦ 第三者提供先 ◦ 便益 • 同意文書の作成 • 同意文書の修正・改訂 • 同意文書の提示 ◦ 利用規約 ◦ プライバシーポリシー ◦ Cookie ポリシー • 同意文書修正時の通知 • 同意文書改訂時の再同意要求 データ活用戦略 同意の取得 データの利用・流通 監査 • 同意内容に基づくデータの利用 ◦ 利用目的 ◦ データセット ◦ 利用期限 • データ利用の記録 • 同意内容に基づく第三者提供 ◦ 第三者提供先 • データ提供の記録 • 個人情報管理台帳 • 同意状態の検証 • データ利用記録の検証 • データ提供記録の検証 個 人 情 報 取 扱 事 業 者 • 同意文書の確認 • 同意文書修正・改訂履歴確認 • 同意文書の確認 • 同意文書に対して同意・拒否 ◦ すべて同意 ◦ すべて拒否 ◦ 一部同意 • 同意の撤回 • 再同意 • データの更新の要求 • データの利用停止要求 • データの削除要求 • データの第三者停止要求 • 同意履歴の確認 • データ利用記録の確認 • データ提供記録の確認 生 活 者 ※ 太字は、Scalar ISTが現在対応している業務 ※ 細字は、Scalar ISTが今後対応していく業務

5. © 2020 Scalar, inc. Scalar ISTとは 生活者との対話的な同意の取得 選択可能な同意条件 同意履歴の確認と再同意・撤回 パーソナルデータ

   管理システム Scalar IST 同意文書・同意記録 生活者のための パーソナルデータ管 理のUI/UX Cookie 同意 モジュール Web UI Components Java Client SDK Scalar DLT 記録システム 個人情報を取り扱う事業者のパーソナルデータ管理システ ムにアドオンし、同意状態を管理する仕組みを追加する Scalar IST は、Scalar DLT の持つ改ざん検知可能な分散型台帳 に、コントラクトと呼ばれるプログラムで、 「誰が」「どのような同意文書 に」「どのような形で同意」したのかを記録 し、個人情報を取り扱う事業 者がパーソナルデータの取得と利用に関わる 個人情報管理台帳を構 築することを支援します。

6. © 2020 Scalar, inc. アセット Scalar IST の動作の仕組み - 同意文書と同意記録

   同意文書 マスター 同意文書 同意記録 生活者 （データ主体） 個人情報 取扱事業者 利用目的別 同意済みリスト コントラクト コントラクト コントラクト アセット 同意文書マスター、同意文書、同意記録 は、Scalar DLTのアセットとして定義されて います。アセットは、コントラクトによって更新 することができ、更新されると履歴化されま す。 アセットは改ざん検知可能な台帳です。 コントラクト コントラクトは、引数を秘密鍵によって署名 することによって実行者が検証されるプログ ラムです。これによって、誰が実行したのか を記録します。 また、コントラクト自身の改ざんも検知可能 です。 ファンクション ファンクション ファンクション ファンクション ファンクションは、コントラクト実行時に指定 すると、アセットの更新時に、データベース のテーブルのデータを更新します。テーブル は、改ざん検知性を持ちません。 同意・拒否 同意文書の 登録・修正・改訂 同意文書マスター の登録 ※コントラクト実行時に希望する形式で、テーブルのデータを追加・更新・削除することができます。

7. © 2020 Scalar, inc. 個人情報取扱事業者 組織 個人情報取扱事業者の組織モデル 情報管理者 Controller 情報処理者

   Processor 管理者 Admin システム運用者 SysOperator システム管理者 SysAdmin アカウント作成+権限付与 権限付与 組織モデル Scalar IST では、システム管理者が複数の 「個人情報取扱事業者」を作成することがで きます。「個人情報取扱事業者」の「管理者」 は、「情報管理者」「情報処理車」を作成する ことができます。 同意文書を登録・ 修正・改訂できる 同意文書、同意記 録を参照できる

8. © 2020 Scalar, inc. 生活者と対話可能な同意文書の構造 同意文書 利用目的 データ項目 利用期限 便益

   利用目的a データ項目 第三者提供先 A Cookie 同意 利用目的 a,b,c データ項目 利用期限 便益 第三者提供先 A,B,C 従来の同意文書 Scalar ISTによる同意文書 利用規約、プライバシーポリシー、Cookie 同意などの同意文書に対して、これ を利用したい生活者は、 • 「同意して利用するか」 • 「拒否して利用しないか」 のどちらかしか選択することができない。また、一度同意すると、それを取り消 す手段が存在しない。 仮に、サービスを利用するために、必須ではない項目が、この同意文書に含ま れていて、これが生活者にとって不利益な条項であった場合、新しい民法では 同意としてみなさないケースもあり得る。 Scalar IST では、同意文書に次の構 造を持つことができる。 • サービスを利用するために 必ず必要になる同意条項 • サービスを利用するために は必ずしも必要ではない が、同意してほしい同意条 項 これによって、生活者は、不必要な項 目に必ずしも同意する必要はなくな り、これまで一方的なコミュニケーショ ンであったパーソナルデータの利用 の同意が、生活者との合意に変わ る。 また、生活者はいつでもこの同意の 状態を変更することが可能になる。 プライバシーポリシー 利用目的 a,b データ項目 利用期限 便益 第三者提供先 A,C 便益α 利用目的b データ項目 第三者提供先 B 便益β

9. © 2020 Scalar, inc. 同意文書 マスター情報 同意文書の構造と同意状態 利用目的 データ項目 利用期限

   便益 第三者提供先 タイトル 説明文書 利用目的 データ項目 第三者提供先 利用期限 便益 必 須 項 目 任 意 項 目 必須 項目 利用目的 データ項目 任意項目 第三者提供先 第三者提供先 利用期限 便益 任意項目 第三者提供先 同意 拒否 同意の状態のカスタマイズ 同意文書の個別の任意項目に対 して、同意するかどうかを選択する ことができます。 利用目的と各データ項目に対し て、誰が、どのような状態で、同意 しているかを記録します。 また、この同意状態は生活者に よって更新することができます。

10. © 2020 Scalar, inc. 「変更内容の相当性」のある修正 「変更内容の相当性」 がない改訂 同意文書の「変更内容の相当性」のある修正と改訂 同意 変更内容の相当性のある修正

    修正前の同意文書に生活者が同 意している場合、その同意状態は 維持されます。 変更内容の相当性がない改訂 改訂前の同意文書に生活者が同 意している場合、その同意状態は 解除されます。 再同意 同意

11. © 2020 Scalar, inc. 同意文書と同意記録を操作するコントラクト 同意文書の - 登録 - 修正

    - 改訂 同意の記録 （同意・拒否） 同意状態の 開示 ユーザーの管理（※ SaaS化する場合は、事業者とユーザーの管理） • 事業者の登録・更新 • 組織の登録・更新 • ユーザーの登録・更新・凍結 同意文書の登録・修正・改訂（改訂時は再同意を要求） • 利用目的の登録 • データ項目の登録 • 利用期限の登録 • 第三者提供先の登録 • 便益の登録 • 同意文書の登録・修正・改訂（改訂の場合は、再同意を要求） 生活者（データ主体）による同意・拒否・撤回・修正 • 生活者（データ主体）による同意 • 生活者（データ主体）による拒否 • 生活者（データ主体）による同意の撤回、修正 生活者（データ主体）への同意状態の開示、事業者によるデータ主体の同意状態の確認 • 同意文書マスター項目（利用目的、データ項目、利用期限、第三者提供先）別に同意状態を抽出 事業者の 管理 生 活 者 個 人 情 報 取 扱 事 業 者

12. © 2020 Scalar, inc. Custom App Scalar DLT 記録システム Scalar

    IST の基盤構成 Scalar IST 同意文書・同意記録 ファンクション コントラクト 参照API Java Client SDK Spring Boot Web Application Service Nuxt.js / Vue.js Web UI Components 認証・認可 秘密鍵管理 AWS Cognito Azure AD B2C HashiCorp Vault Azure Key Vault Web UI Components ユーザー登録・コントラクト登録 Cloud Infrastructure 顧客システム 参照 API 顧客サービス アプリケーション Webアプリケーション クラウドサービス Scalar DLT および周辺モジュール Scalar IST Cookie 同意 モジュール 以下の図は、Scalar IST を利用したシステム構成の例である。

13. © 2020 Scalar, inc. 今後の開発予定 パーソナルデータ 管理システム Scalar IST 同意文書・同意記録

    生活者のための パーソナルデータ管 理のUI/UX Cookie 同意 モジュール Web UI Components Java Client SDK Scalar IST は、今後、同意の取得だけでなく、取得したデータを利用するためのシステムとの連携、第三者提供を行うための APIなど との連携をしていく。 分析用 システム 利用履歴記録 データ公開 API 提供履歴記録 Scalar DLT 記録システム

14. © 2020 Scalar, inc. Scalar IST に関するお問合せ https://github.com/scalar-labs/scalar-ist/ Github リポジトリ

    担当：金子 [email protected] 問合せ先

15. © 2020 Scalar, inc.