2022/09/07に株式会社Acompanyで実施した、セミナーの登壇資料です。
【セミナーページ】 https://acompany-autoprivacy1.peatix.com/ 【Webサイト】 https://www.seko-law.info/
プライバシーデータ活⽤における課題とは?2022/09/07インハウスハブ東京法律事務所弁護⼠ 世古修平1
View Slide
講師紹介世古修平(せこ しゅうへい)• インハウスハブ東京法律事務所 弁護⼠• インターネットサービス企業 Privacy Counsel• IPA 独⽴⾏政法⼈ 情報処理推進機構 試験委員• 経済産業省 電⼦商取引及び情報財取引等に関する準則研究会委員• 総合系のコンサルティングファーム2社を経て現職• セキュリティ、プライバシー領域の案件を中⼼に活動中• CISSP, CIPM, CIPP/E2
Acompany社からいただいた本⽇のお題3
Acompany社からいただいた本⽇のお題4“プライバシーデータ活⽤における課題とはAutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説!”
”徹底解説!”5“プライバシーデータ活⽤における課題とはAutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説!”
とはいえ思いつく「課題」は多種多様6炎上対策?⼤規模なデータ収集?正しい法律知識?⾼度な分析技術?法務事業事業 技術“プライバシーデータ活⽤における課題とはAutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説!”
【本⽇の結論】課題は事業・技術・法務の相互理解である7法務事業技術
【理由の説明1/5】これらの課題は確かにどれも重要8炎上対策?⼤規模なデータ収集?正しい法律知識?⾼度な分析技術?法務事業事業 技術
【理由の説明2/5】現実問題全てを兼ね備えた⼈は⽤意できない9事業技術法務事業技術法務n リーダーに多い印象のスキルセット
【理由の説明3/5】各担当者が協業して解決していくしかない10法務事業技術
【理由の説明4/5】他⼈の専⾨分野に⾶び込むのは正直怖い11投影のみ
【理由の説明5/5】越境の前提として相互理解が必要なのでは12【課題①】q 法務を理解してもらう努⼒Ø 法務を事業・技術⽂脈で議論できる環境構築【課題②】q 事業・技術を理解してもらう努⼒Ø 事業・技術を法務⽂脈で議論できる環境構築法務 事業、技術
【本⽇の結論】課題は事業・技術・法務の相互理解である13法務事業技術
141.結論2.課題①(法務 → 事業、技術)(1)個⼈情報の定義(2)委託(3)提供元基準3.課題②(1)法律上の要求事項の実装(技術 → 法務)(2)レピュテーションリスク(事業 → 法務)
151.結論2.課題①(法務 → 事業、技術)(1)個⼈情報の定義(2)委託(3)提供元基準3.課題②(1)法律上の要求事項の実装(技術 → 法務)(2)レピュテーションリスク(事業 → 法務)
161.結論2.課題①(法務 → 事業、技術)(1)個⼈情報の定義(2)委託(3)提供元基準3.課題②(1)法律上の要求事項の実装(技術 → 法務)(2)レピュテーションリスク(事業 → 法務)
個⼈情報の定義はまだまだ誤解が多い⽒名は削除したので「匿名化」されています公開情報なので個⼈情報には該当しないのではtoBの担当者情報なので個⼈情報なんて⼤袈裟なものではないかとよく聞く⾔葉17
⼀⽅で法務も説明を徹底できていない18これって個⼈情報に該当します?法務⾃⾝が間違っているケース⽒名が含まれていないのでこれは個⼈情報ではありません事業 法務法務が誤解を放置しているケースデータの分析を委託しますが委託する情報には個⼈情報は含まれていません…了解です技術 法務
どこまでが個⼈情報?q ⽇常⽤語では、⽒名・性別・住所・電話番号などが個⼈情報の具体例として思い浮かびますq 法律では、どこからどこまでが個⼈情報とされているのでしょうか?⽒名 性別 住所 電話番号19
法律に定義がありますq 読みにくい条⽂ですが、今⽇は⼀緒に読んでみましょうq 「1号本⽂」「1号かっこがき」に分解して読んでみます【個⼈情報保護法】(定義)第⼆条 この法律において「個⼈情報」とは、⽣存する個⼈に関する情報であって、次の各号のいずれかに該当するものをいう。⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(略)により特定の個⼈を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。)⼆ (略)⼀号かっこがき⼀号本⽂20
1号本⽂を読んでみよう⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの⼀号本⽂⼀号かっこがき21申込フォーム⽒名 XXX⽣年⽉⽇ XXXメール XXX会社名 XXX部⾨ XXX
1号本⽂を読んでみよう⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの⼀号本⽂⼀号かっこがき22当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等申込フォーム⽒名 XXX⽣年⽉⽇ XXXメール XXX会社名 XXX部⾨ XXX
1号本⽂を読んでみよう⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの⼀号本⽂⼀号かっこがき23当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等申込フォーム⽒名 XXX⽣年⽉⽇ XXXメール XXX会社名 XXX部⾨ XXX
1号本⽂を読んでみよう⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの⼀号本⽂⼀号かっこがき24当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等により特定の個⼈を識別することができるもの申込フォーム⽒名 XXX⽣年⽉⽇ XXXメール XXX会社名 XXX部⾨ XXX
応⽤編① ⼀号本⽂⼀号かっこがき申込フォーム⽒名 XXX⽣年⽉⽇ XXXメール XXXQ1 利⽤したことがあるQ2 ウ【基礎情報】【アンケート】会社名 XXX部⾨ XXX25⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
応⽤編① ⼀号本⽂⼀号かっこがき申込フォーム⽒名 XXX⽣年⽉⽇ XXXメール XXXQ1 利⽤したことがあるQ2 ウ【基礎情報】【アンケート】会社名 XXX部⾨ XXX26⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等により特定の個⼈を識別することができるもの
応⽤編②顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2000010000200003テーブルA⼀号本⽂⼀号かっこがき27申込フォーム⽒名 XXX⽣年⽉⽇ XXXメール XXXQ1 利⽤したことがあるQ2 ウ【基礎情報】【アンケート】会社名 XXX部⾨ XXX⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
応⽤編③顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003⼀号本⽂⼀号かっこがきテーブルBテーブルA28顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2000010000200003⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
応⽤編③顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003⼀号本⽂⼀号かっこがきテーブルBテーブルA29顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2000010000200003⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
⼀号かっこがきを読んでみよう(他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。)⼀号本⽂⼀号かっこがき30顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルBテーブルA顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2000010000200003
⼀号かっこがきを読んでみよう(他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。)⼀号本⽂⼀号かっこがき31顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルBテーブルA顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2000010000200003
⼀号かっこがきを読んでみよう(他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。)⼀号本⽂⼀号かっこがき他の情報と容易に照合それにより特定の個⼈を識別2132顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルBテーブルA顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2000010000200003
331.結論2.課題①(法務 → 事業, 技術)(1)個⼈情報の定義(2)委託(3)提供元基準3.課題②(1)法律上の要求事項の実装(技術 → 法務)(2)レピュテーションリスク(事業 → 法務)
分析に複数企業が関与することは⼀般的34データを豊富に持つ企業分析技術に⻑けた企業個⼈データの提供分析結果の提供
個⼈データの提供には原則同意が必要35第⼆⼗七条個⼈情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本⼈の同意を得ないで、個⼈データを第三者に提供してはならない。データを豊富に持つ企業分析技術に⻑けた企業個⼈データの提供分析結果の提供
委託として整理できる場合には同意不要36第⼆⼗七条個⼈情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本⼈の同意を得ないで、個⼈データを第三者に提供してはならない。5 次に掲げる場合において、当該個⼈データの提供を受ける者は、前各項の規定の適⽤については、第三者に該当しないものとする。⼀ 個⼈情報取扱事業者が利⽤⽬的の達成に必要な範囲内において個⼈データの取扱いの全部⼜は⼀部を委託することに伴って当該個⼈データが提供される場合データを豊富に持つ企業分析技術に⻑けた企業個⼈データの提供分析結果の提供
⽤語の説明を端折りがち37それって同意( )取ってます?それとも委託( )です?第⼆⼗七条個⼈情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本⼈の同意を得ないで、個⼈データを第三者に提供してはならない。5 次に掲げる場合において、当該個⼈データの提供を受ける者は、前各項の規定の適⽤については、第三者に該当しないものとする。⼀ 個⼈情報取扱事業者が利⽤⽬的の達成に必要な範囲内において個⼈データの取扱いの全部⼜は⼀部を委託することに伴って当該個⼈データが提供される場合ありがちな会話…えーっと(同意は取ってないし多分)委託です法務 事業1212
【契約】業務委託契約、SaaS利⽤契約、フランチャイズ契約「委託」は多義的に⽤いられている38【個⼈情報の保護に関する法律についてのガイドライン(通則編) 】「個⼈データの取扱いの委託」とは、契約の形態・種類を問わず、個⼈情報取扱事業者が他の者に個⼈データの取扱いを⾏わせることをいう。具体的には、個⼈データの⼊⼒(本⼈からの取得を含む。)、編集、分析、出⼒等の処理を⾏うことを委託すること等が想定される。【個⼈情報保護法上の評価】個⼈データの取り扱いの委託提供元 提供先*https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf
391.結論2.課題①(法務 → 事業, 技術)(1)個⼈情報の定義(2)委託(3)提供元基準3.課題②(1)法律上の要求事項の実装(技術 → 法務)(2)レピュテーションリスク(事業 → 法務)
テーブルBだけを委託するケースを想定委託X社(提供元) Y社(提供先)顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルB顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2000010000200003テーブルA顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルB利⽤履歴データ(テーブルB)だけを委託先に渡して分析させたい。委託先に渡すデータには「お名前」が含まれていませんし、個⼈情報(個⼈データ)として扱わなくて良いですよね?40
提供先基準と提供元基準41提供先基準 提供元基準提供先のY社にとって、テーブルBは個⼈データでない↓X社からY社へのデータの提供⾏為は、個⼈データの委託ではない(=⾮個⼈データの提供である)委託X社(提供元)顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルB顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2000010000200003テーブルA顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルBY社(提供先)提供元のX社にとって、テーブルBは個⼈データである↓X社からY社へのデータの提供⾏為は、個⼈データの委託である委託X社(提供元)顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルB顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2000010000200003テーブルA顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルBY社(提供先)
実務では提供元基準が採⽤されている出所:「個⼈情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意⾒募集結果( https://www.ppc.go.jp/files/pdf/2811_bessi2-1.pdf )委託提供先(委託先)顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルB顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2000010000200003テーブルA顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルBある情報を第三者に提供する場合、当該情報が「他 の情報と容易に照合することができ、それにより特 定の個⼈を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなる」かどうかで判断します。42提供元(委託元)
【まとめ】事業, 技術⾃ら法律を活⽤できる状態が理想43法務事業技術
441.結論2.課題①(法務 → 事業, 技術)(1)個⼈情報の定義(2)委託(3)提供元基準3.課題②(1)法律上の要求事項の実装(技術 → 法務)(2)レピュテーションリスク(事業 → 法務)
451.結論2.課題①(法務 → 事業, 技術)(1)個⼈情報の定義(2)委託(3)提供元基準3.課題②(1)法律上の要求事項の実装(技術 → 法務)(2)レピュテーションリスク(事業 → 法務)
要求事項を実装するには技術知識が不可⽋46出所:https://www.ppc.go.jp/files/pdf/report_office_zirei2205.pdfhttps://www.ppc.go.jp/files/pdf/211029_guidelines04.pdf技術的安全管理措置仮名加⼯情報匿名加⼯情報
⼀⽅で技術部⾨との会話に悩む法務は多い47(わからなきゃ質問してくるだろ)それってXXXをYYYすれば良いってことですか?ありがちな会話1(単語の意味分からないけどプロが提案してるんだし良いだろ)はい、それで⼤丈夫です技術 法務ありがちな会話2(どうせ詳細話してもわからんだろ)わかりました、要件踏まえて対応しておきます。(ほっ)ありがとうございます技術 法務
理解度に応じたコミュニケーションを48法務の理解度が低い場合法務の理解度が⾼い場合XXXという要件を満たすためにはYYYが必要だと考えられるのですがYYYってご存知です?技術YYYで対応しておきます技術
勿論法務が最低限の知識を得ることも重要49出所: https://bookplus.nikkei.com/atcl/catalog/07/P83110/https://www.shoeisha.co.jp/book/detail/9784798144450,ネットワーク データベース
【まとめ】実装まで⾒届けるためには両⽅の知識が必要50法務事業技術
511.結論2.課題①(法務 → 事業, 技術)(1)個⼈情報の定義(2)委託(3)提供元基準3.課題②(1)法律上の要求事項の実装(技術 → 法務)(2)レピュテーションリスク(事業 → 法務)
炎上は適法だが不適切な取組みでも起こる52⼝頭説明のみ
アンチパターンとしてのダークパターン53出所:https://www.shoeisha.co.jp/book/detail/9784798177892n “ダークパターンとは、ユーザーを騙して何かを購⼊させたり、登録させたりするなど、意図しないことを実⾏させる、Webサイトやアプリで使われているトリックのこと”n ダークパターンを使うことによって⽣じ得る損失やリスクØ カスタマーサポートへの負担増Ø 返品率の増加Ø SNSでの悪評の拡散・ネガティブレビュー(レピュテーションリスク)Ø 客のライフタイムバリューの低下Ø 新規顧客獲得コストの増加Ø 従業員の離職率・⼈材の採⽤コストの増加Ø 消費者トラブルへの発展(紛争・訴訟のリスク)Ø 法律違反・罰則リスクØ 業界全体の信頼が損なわれる
議論の成熟につれ法的義務に変化することも54出所:https://edpb.europa.eu/system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf
実際これを単独部⾨で解決するのは無理では55出所:https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf
【まとめ】リスクは事業, 法務単独では拾えない56法務事業技術
【本⽇の結論】課題は事業・技術・法務の相互理解である57“プライバシーデータ活⽤における課題とはAutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説!”事業・技術・法務の相互理解
ご清聴ありがとうございましたインハウスハブ東京法律事務所世古修平(せこしゅうへい)Website :https://www.seko-law.info/Twitter :@seko_lawMail :[email protected]58