プライバシーデータ活用における課題とは

Transcript

1. プライバシーデータ活⽤ における課題とは？ 2022/09/07 インハウスハブ東京法律事務所 弁護⼠ 世古修平 1

2. 講師紹介 世古修平（せこ しゅうへい） • インハウスハブ東京法律事務所 弁護⼠ • インターネットサービス企業 Privacy Counsel

   • IPA 独⽴⾏政法⼈ 情報処理推進機構 試験委員 • 経済産業省 電⼦商取引及び情報財取引等に関する準則 研究会委員 • 総合系のコンサルティングファーム2社を経て現職 • セキュリティ、プライバシー領域の案件を中⼼に活動中 • CISSP, CIPM, CIPP/E 2

3. Acompany社からいただいた本⽇のお題 3

4. Acompany社からいただいた本⽇のお題 4 “プライバシーデータ活⽤における課題とは AutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説！”

5. ”徹底解説！” 5 “プライバシーデータ活⽤における課題とは AutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説！”

6. とはいえ思いつく「課題」は多種多様 6 炎上対策？ ⼤規模なデータ収集？ 正しい法律知識？ ⾼度な分析技術？ 法務 事業 事業 技術

   “プライバシーデータ活⽤における課題とは AutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説！”

7. 【本⽇の結論】 課題は事業・技術・法務の相互理解である 7 法務 事業 技術

8. 【理由の説明1/5】 これらの課題は確かにどれも重要 8 炎上対策？ ⼤規模なデータ収集？ 正しい法律知識？ ⾼度な分析技術？ 法務 事業 事業

   技術

9. 【理由の説明2/5】 現実問題全てを兼ね備えた⼈は⽤意できない 9 事業 技術 法務 事業 技術 法務 n

   リーダーに多い印象のスキルセット

10. 【理由の説明3/5】 各担当者が協業して解決していくしかない 10 法務 事業 技術

11. 【理由の説明4/5】 他⼈の専⾨分野に⾶び込むのは正直怖い 11 投影のみ

12. 【理由の説明5/5】 越境の前提として相互理解が必要なのでは 12 【課題①】 q 法務を理解してもらう努⼒ Ø 法務を事業・技術⽂脈で議論できる環境構築 【課題②】 q

    事業・技術を理解してもらう努⼒ Ø 事業・技術を法務⽂脈で議論できる環境構築 法務 事業、技術

13. 【本⽇の結論】 課題は事業・技術・法務の相互理解である 13 法務 事業 技術

14. 14 1.結論 2.課題①（法務 → 事業、技術） (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題② (1)法律上の要求事項の実装（技術

    → 法務） (2)レピュテーションリスク（事業 → 法務）

15. 15 1.結論 2.課題①（法務 → 事業、技術） (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題② (1)法律上の要求事項の実装（技術

    → 法務） (2)レピュテーションリスク（事業 → 法務）

16. 16 1.結論 2.課題①（法務 → 事業、技術） (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題② (1)法律上の要求事項の実装（技術

    → 法務） (2)レピュテーションリスク（事業 → 法務）

17. 個⼈情報の定義はまだまだ誤解が多い ⽒名は削除したので 「匿名化」されています 公開情報なので 個⼈情報には 該当しないのでは toBの担当者情報なので 個⼈情報なんて ⼤袈裟なものではないかと よく聞く⾔葉

    17

18. ⼀⽅で法務も説明を徹底できていない 18 これって個⼈情報に該当します？ 法務⾃⾝が間違っているケース ⽒名が含まれていないので これは個⼈情報ではありません 事業 法務 法務が誤解を放置しているケース データの分析を委託しますが

    委託する情報には 個⼈情報は含まれていません …了解です 技術 法務

19. どこまでが個⼈情報？ q ⽇常⽤語では、⽒名・性別・住所・電話番号などが個⼈情報の具体例として思い浮かびます q 法律では、どこからどこまでが個⼈情報とされているのでしょうか？ ⽒名 性別 住所 電話番号 19

20. 法律に定義があります q 読みにくい条⽂ですが、今⽇は⼀緒に読んでみましょう q 「1号本⽂」「1号かっこがき」に分解して読んでみます 【個⼈情報保護法】 （定義） 第⼆条 この法律において「個⼈情報」とは、⽣存する個⼈に関する情報であって、 次の各号のいずれかに該当するものをいう。

    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（略）により 特定の個⼈を識別することができるもの （他の情報と容易に照合することができ、それにより特定の個⼈を識別することが できることとなるものを含む。） ⼆ （略） ⼀号かっこがき ⼀号本⽂ 20

21. 1号本⽂を読んでみよう ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（中略）により特定の個⼈を識別することができるもの ⼀号本⽂ ⼀号かっこがき 21 申込フォーム ⽒名 XXX ⽣年⽉⽇

    XXX メール XXX 会社名 XXX 部⾨ XXX

22. 1号本⽂を読んでみよう ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（中略）により特定の個⼈を識別することができるもの ⼀号本⽂ ⼀号かっこがき 22 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等 申込フォーム ⽒名

    XXX ⽣年⽉⽇ XXX メール XXX 会社名 XXX 部⾨ XXX

23. 1号本⽂を読んでみよう ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（中略）により特定の個⼈を識別することができるもの ⼀号本⽂ ⼀号かっこがき 23 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等 申込フォーム ⽒名

    XXX ⽣年⽉⽇ XXX メール XXX 会社名 XXX 部⾨ XXX

24. 1号本⽂を読んでみよう ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（中略）により特定の個⼈を識別することができるもの ⼀号本⽂ ⼀号かっこがき 24 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等により

    特定の個⼈を識別することができるもの 申込フォーム ⽒名 XXX ⽣年⽉⽇ XXX メール XXX 会社名 XXX 部⾨ XXX

25. 応⽤編① ⼀号本⽂ ⼀号かっこがき 申込フォーム ⽒名 XXX ⽣年⽉⽇ XXX メール XXX

    Q1 利⽤したことがある Q2 ウ 【基礎情報】 【アンケート】 会社名 XXX 部⾨ XXX 25 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（中略）により特定の個⼈を識別することができるもの

26. 応⽤編① ⼀号本⽂ ⼀号かっこがき 申込フォーム ⽒名 XXX ⽣年⽉⽇ XXX メール XXX

    Q1 利⽤したことがある Q2 ウ 【基礎情報】 【アンケート】 会社名 XXX 部⾨ XXX 26 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（中略）により特定の個⼈を識別することができるもの 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等により 特定の個⼈を識別することができるもの

27. 応⽤編② 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001

    00002 00003 テーブルA ⼀号本⽂ ⼀号かっこがき 27 申込フォーム ⽒名 XXX ⽣年⽉⽇ XXX メール XXX Q1 利⽤したことがある Q2 ウ 【基礎情報】 【アンケート】 会社名 XXX 部⾨ XXX ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（中略）により特定の個⼈を識別することができるもの

28. 応⽤編③ 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 ⼀号本⽂ ⼀号かっこがき

    テーブルB テーブルA 28 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001 00002 00003 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（中略）により特定の個⼈を識別することができるもの

29. 応⽤編③ 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 ⼀号本⽂ ⼀号かっこがき

    テーブルB テーブルA 29 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001 00002 00003 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（中略）により特定の個⼈を識別することができるもの

30. ⼀号かっこがきを読んでみよう （他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。） ⼀号本⽂ ⼀号かっこがき 30 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001

    00002 00003 テーブルB テーブルA 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001 00002 00003

31. ⼀号かっこがきを読んでみよう （他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。） ⼀号本⽂ ⼀号かっこがき 31 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001

    00002 00003 テーブルB テーブルA 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001 00002 00003

32. ⼀号かっこがきを読んでみよう （他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。） ⼀号本⽂ ⼀号かっこがき 他の情報と容易に照合 それにより特定の個⼈を識別 2 1 32 顧客ID

    アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB テーブルA 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001 00002 00003

33. 33 1.結論 2.課題①（法務 → 事業, 技術） (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題②

    (1)法律上の要求事項の実装（技術 → 法務） (2)レピュテーションリスク（事業 → 法務）

34. 分析に複数企業が関与することは⼀般的 34 データを豊富に 持つ企業 分析技術に ⻑けた企業 個⼈データの提供 分析結果の提供

35. 個⼈データの提供には原則同意が必要 35 第⼆⼗七条 個⼈情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本⼈の同意を得ないで、個⼈データを第三者に 提供してはならない。 データを豊富に 持つ企業 分析技術に ⻑けた企業 個⼈データの提供

    分析結果の提供

36. 委託として整理できる場合には同意不要 36 第⼆⼗七条 個⼈情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本⼈の同意を得ないで、個⼈データを第三者に 提供してはならない。 ５ 次に掲げる場合において、当該個⼈データの提供を受ける者は、前各項の規定の適⽤については、第三者に 該当しないものとする。 ⼀ 個⼈情報取扱事業者が利⽤⽬的の達成に必要な範囲内において個⼈データの取扱いの全部⼜は⼀部を委託す

    ることに伴って当該個⼈データが提供される場合 データを豊富に 持つ企業 分析技術に ⻑けた企業 個⼈データの提供 分析結果の提供

37. ⽤語の説明を端折りがち 37 それって 同意（ ）取ってます？ それとも委託（ ）です？ 第⼆⼗七条 個⼈情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本⼈の同意を得ないで、個⼈データを第三者に 提供してはならない。

    ５ 次に掲げる場合において、当該個⼈データの提供を受ける者は、前各項の規定の適⽤については、第三者に 該当しないものとする。 ⼀ 個⼈情報取扱事業者が利⽤⽬的の達成に必要な範囲内において個⼈データの取扱いの全部⼜は⼀部を委託す ることに伴って当該個⼈データが提供される場合 ありがちな会話 …えーっと （同意は取ってないし多分） 委託です 法務 事業 1 2 1 2

38. 【契約】 業務委託契約、SaaS利⽤契約、フランチャイズ契約 「委託」は多義的に⽤いられている 38 【個⼈情報の保護に関する法律についてのガイドライン（通則編） 】 「個⼈データの取扱いの委託」とは、契約の形態・種類を問わず、個⼈情報取扱事業者が他の者に個⼈データの 取扱いを⾏わせることをいう。具体的には、個⼈データの⼊⼒（本⼈からの取得を含む。）、編集、分析、出⼒ 等の処理を⾏うことを委託すること等が想定される。 【個⼈情報保護法上の評価】

    個⼈データの取り扱いの委託 提供元 提供先 *https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf

39. 39 1.結論 2.課題①（法務 → 事業, 技術） (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題②

    (1)法律上の要求事項の実装（技術 → 法務） (2)レピュテーションリスク（事業 → 法務）

40. テーブルBだけを委託するケースを想定 委託 X社（提供元） Y社（提供先） 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002

    00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 利⽤履歴データ（テーブルB）だけを委託先に渡して分析させたい。 委託先に渡すデータには「お名前」が含まれていませんし、個⼈情報（個⼈データ）として扱わなくて良いです よね？ 40

41. 提供先基準と提供元基準 41 提供先基準 提供元基準 提供先のY社にとって、テーブルBは個⼈データでない ↓ X社からY社へのデータの提供⾏為は、個⼈データの委 託ではない（＝⾮個⼈データの提供である） 委託 X社（提供元）

    顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB Y社（提供先） 提供元のX社にとって、テーブルBは個⼈データである ↓ X社からY社へのデータの提供⾏為は、個⼈データの委 託である 委託 X社（提供元） 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB Y社（提供先）

42. 実務では提供元基準が採⽤されている 出所：「個⼈情報の保護に関する法律についてのガイドライン（通則編）（案）」に関する意⾒募集結果 （ https://www.ppc.go.jp/files/pdf/2811_bessi2-1.pdf ） 委託 提供先（委託先） 顧客ID アクセス履歴 利用履歴A

    利用履歴B 00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB ある情報を第三者に提供する場合、当該情報が「他 の情報と容易に照合することができ、それにより特 定の個⼈ を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に 照合することができ、それにより特定の個⼈を識別することができることとなる」かどうかで判断します。 42 提供元（委託元）

43. 【まとめ】 事業, 技術⾃ら法律を活⽤できる状態が理想 43 法務 事業 技術

44. 44 1.結論 2.課題①（法務 → 事業, 技術） (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題②

    (1)法律上の要求事項の実装（技術 → 法務） (2)レピュテーションリスク（事業 → 法務）

45. 45 1.結論 2.課題①（法務 → 事業, 技術） (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題②

    (1)法律上の要求事項の実装（技術 → 法務） (2)レピュテーションリスク（事業 → 法務）

46. 要求事項を実装するには技術知識が不可⽋ 46 出所：https://www.ppc.go.jp/files/pdf/report_office_zirei2205.pdf https://www.ppc.go.jp/files/pdf/211029_guidelines04.pdf 技術的安全管理措置 仮名加⼯情報 匿名加⼯情報

47. ⼀⽅で技術部⾨との会話に悩む法務は多い 47 （わからなきゃ質問してくるだろ） それってXXXをYYYすれば 良いってことですか？ ありがちな会話1 （単語の意味分からないけど プロが提案してるんだし良いだろ） はい、それで⼤丈夫です 技術

    法務 ありがちな会話2 （どうせ詳細話してもわからんだろ） わかりました、 要件踏まえて対応しておきます。 （ほっ） ありがとうございます 技術 法務

48. 理解度に応じたコミュニケーションを 48 法務の理解度が低い場合 法務の理解度が⾼い場合 XXXという要件を満たすためには YYYが必要だと考えられるのですが YYYってご存知です？ 技術 YYYで対応しておきます 技術

49. 勿論法務が最低限の知識を得ることも重要 49 出所： https://bookplus.nikkei.com/atcl/catalog/07/P83110/ https://www.shoeisha.co.jp/book/detail/9784798144450, ネットワーク データベース

50. 【まとめ】 実装まで⾒届けるためには両⽅の知識が必要 50 法務 事業 技術

51. 51 1.結論 2.課題①（法務 → 事業, 技術） (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題②

    (1)法律上の要求事項の実装（技術 → 法務） (2)レピュテーションリスク（事業 → 法務）

52. 炎上は適法だが不適切な取組みでも起こる 52 ⼝頭説明のみ

53. アンチパターンとしてのダークパターン 53 出所：https://www.shoeisha.co.jp/book/detail/9784798177892 n “ダークパターンとは、ユーザーを騙して何かを購⼊させたり、登録 させたりするなど、意図しないことを実⾏させる、Webサイトやア プリで使われているトリックのこと” n ダークパターンを使うことによって⽣じ得る損失やリスク Ø

    カスタマーサポートへの負担増 Ø 返品率の増加 Ø SNSでの悪評の拡散・ネガティブレビュー （レピュテーションリスク） Ø 客のライフタイムバリューの低下 Ø 新規顧客獲得コストの増加 Ø 従業員の離職率・⼈材の採⽤コストの増加 Ø 消費者トラブルへの発展（紛争・訴訟のリスク） Ø 法律違反・罰則リスク Ø 業界全体の信頼が損なわれる

54. 議論の成熟につれ法的義務に変化することも 54 出所：https://edpb.europa.eu/system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf

55. 実際これを単独部⾨で解決するのは無理では 55 出所：https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf

56. 【まとめ】 リスクは事業, 法務単独では拾えない 56 法務 事業 技術

57. 【本⽇の結論】 課題は事業・技術・法務の相互理解である 57 “プライバシーデータ活⽤における課題とは AutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説！” 事業・技術・法務の相互理解

58. ご清聴 ありがとうございました インハウスハブ東京法律事務所 世古修平（せこしゅうへい） Website ：https://www.seko-law.info/ Twitter ：@seko_law Mail ：[email protected]

    58