$30 off During Our Annual Pro Sale. View Details »

プライバシーデータ活用における課題とは

SEKO_Shuhei
September 08, 2022

 プライバシーデータ活用における課題とは

2022/09/07に株式会社Acompanyで実施した、セミナーの登壇資料です。

【セミナーページ】
https://acompany-autoprivacy1.peatix.com/
【Webサイト】
https://www.seko-law.info/

SEKO_Shuhei

September 08, 2022
Tweet

More Decks by SEKO_Shuhei

Other Decks in Business

Transcript

  1. プライバシーデータ活⽤
    における課題とは?
    2022/09/07
    インハウスハブ東京法律事務所
    弁護⼠ 世古修平
    1

    View Slide

  2. 講師紹介
    世古修平(せこ しゅうへい)
    • インハウスハブ東京法律事務所 弁護⼠
    • インターネットサービス企業 Privacy Counsel
    • IPA 独⽴⾏政法⼈ 情報処理推進機構 試験委員
    • 経済産業省 電⼦商取引及び情報財取引等に関する準則
    研究会委員
    • 総合系のコンサルティングファーム2社を経て現職
    • セキュリティ、プライバシー領域の案件を中⼼に活動中
    • CISSP, CIPM, CIPP/E
    2

    View Slide

  3. Acompany社からいただいた本⽇のお題
    3

    View Slide

  4. Acompany社からいただいた本⽇のお題
    4
    “プライバシーデータ活⽤における課題とは
    AutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説!”

    View Slide

  5. ”徹底解説!”
    5
    “プライバシーデータ活⽤における課題とは
    AutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説!”

    View Slide

  6. とはいえ思いつく「課題」は多種多様
    6
    炎上対策?
    ⼤規模なデータ収集?
    正しい法律知識?
    ⾼度な分析技術?
    法務
    事業
    事業 技術
    “プライバシーデータ活⽤における課題とは
    AutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説!”

    View Slide

  7. 【本⽇の結論】
    課題は事業・技術・法務の相互理解である
    7
    法務
    事業
    技術

    View Slide

  8. 【理由の説明1/5】
    これらの課題は確かにどれも重要
    8
    炎上対策?
    ⼤規模なデータ収集?
    正しい法律知識?
    ⾼度な分析技術?
    法務
    事業
    事業 技術

    View Slide

  9. 【理由の説明2/5】
    現実問題全てを兼ね備えた⼈は⽤意できない
    9
    事業
    技術
    法務
    事業
    技術
    法務
    n リーダーに多い印象のスキルセット

    View Slide

  10. 【理由の説明3/5】
    各担当者が協業して解決していくしかない
    10
    法務
    事業
    技術

    View Slide

  11. 【理由の説明4/5】
    他⼈の専⾨分野に⾶び込むのは正直怖い
    11
    投影のみ

    View Slide

  12. 【理由の説明5/5】
    越境の前提として相互理解が必要なのでは
    12
    【課題①】
    q 法務を理解してもらう努⼒
    Ø 法務を事業・技術⽂脈で議論できる環境構築
    【課題②】
    q 事業・技術を理解してもらう努⼒
    Ø 事業・技術を法務⽂脈で議論できる環境構築
    法務 事業、技術

    View Slide

  13. 【本⽇の結論】
    課題は事業・技術・法務の相互理解である
    13
    法務
    事業
    技術

    View Slide

  14. 14
    1.結論
    2.課題①(法務 → 事業、技術)
    (1)個⼈情報の定義
    (2)委託
    (3)提供元基準
    3.課題②
    (1)法律上の要求事項の実装(技術 → 法務)
    (2)レピュテーションリスク(事業 → 法務)

    View Slide

  15. 15
    1.結論
    2.課題①(法務 → 事業、技術)
    (1)個⼈情報の定義
    (2)委託
    (3)提供元基準
    3.課題②
    (1)法律上の要求事項の実装(技術 → 法務)
    (2)レピュテーションリスク(事業 → 法務)

    View Slide

  16. 16
    1.結論
    2.課題①(法務 → 事業、技術)
    (1)個⼈情報の定義
    (2)委託
    (3)提供元基準
    3.課題②
    (1)法律上の要求事項の実装(技術 → 法務)
    (2)レピュテーションリスク(事業 → 法務)

    View Slide

  17. 個⼈情報の定義はまだまだ誤解が多い
    ⽒名は削除したので
    「匿名化」されています
    公開情報なので
    個⼈情報には
    該当しないのでは
    toBの担当者情報なので
    個⼈情報なんて
    ⼤袈裟なものではないかと
    よく聞く⾔葉
    17

    View Slide

  18. ⼀⽅で法務も説明を徹底できていない
    18
    これって個⼈情報に該当します?
    法務⾃⾝が間違っているケース
    ⽒名が含まれていないので
    これは個⼈情報ではありません
    事業 法務
    法務が誤解を放置しているケース
    データの分析を委託しますが
    委託する情報には
    個⼈情報は含まれていません
    …了解です
    技術 法務

    View Slide

  19. どこまでが個⼈情報?
    q ⽇常⽤語では、⽒名・性別・住所・電話番号などが個⼈情報の具体例として思い浮かびます
    q 法律では、どこからどこまでが個⼈情報とされているのでしょうか?
    ⽒名 性別 住所 電話番号
    19

    View Slide

  20. 法律に定義があります
    q 読みにくい条⽂ですが、今⽇は⼀緒に読んでみましょう
    q 「1号本⽂」「1号かっこがき」に分解して読んでみます
    【個⼈情報保護法】
    (定義)
    第⼆条 この法律において「個⼈情報」とは、⽣存する個⼈に関する情報であって、
    次の各号のいずれかに該当するものをいう。
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(略)により
    特定の個⼈を識別することができるもの
    (他の情報と容易に照合することができ、それにより特定の個⼈を識別することが
    できることとなるものを含む。)
    ⼆ (略)
    ⼀号かっこがき
    ⼀号本⽂
    20

    View Slide

  21. 1号本⽂を読んでみよう
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
    ⼀号本⽂
    ⼀号かっこがき
    21
    申込フォーム
    ⽒名 XXX
    ⽣年⽉⽇ XXX
    メール XXX
    会社名 XXX
    部⾨ XXX

    View Slide

  22. 1号本⽂を読んでみよう
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
    ⼀号本⽂
    ⼀号かっこがき
    22
    当該情報に含まれる⽒名、
    ⽣年⽉⽇その他の記述等
    申込フォーム
    ⽒名 XXX
    ⽣年⽉⽇ XXX
    メール XXX
    会社名 XXX
    部⾨ XXX

    View Slide

  23. 1号本⽂を読んでみよう
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
    ⼀号本⽂
    ⼀号かっこがき
    23
    当該情報に含まれる⽒名、
    ⽣年⽉⽇その他の記述等
    申込フォーム
    ⽒名 XXX
    ⽣年⽉⽇ XXX
    メール XXX
    会社名 XXX
    部⾨ XXX

    View Slide

  24. 1号本⽂を読んでみよう
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
    ⼀号本⽂
    ⼀号かっこがき
    24
    当該情報に含まれる⽒名、
    ⽣年⽉⽇その他の記述等
    当該情報に含まれる⽒名、
    ⽣年⽉⽇その他の記述等により
    特定の個⼈を識別することができるもの
    申込フォーム
    ⽒名 XXX
    ⽣年⽉⽇ XXX
    メール XXX
    会社名 XXX
    部⾨ XXX

    View Slide

  25. 応⽤編① ⼀号本⽂
    ⼀号かっこがき
    申込フォーム
    ⽒名 XXX
    ⽣年⽉⽇ XXX
    メール XXX
    Q1 利⽤したことがある
    Q2 ウ
    【基礎情報】
    【アンケート】
    会社名 XXX
    部⾨ XXX
    25
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの

    View Slide

  26. 応⽤編① ⼀号本⽂
    ⼀号かっこがき
    申込フォーム
    ⽒名 XXX
    ⽣年⽉⽇ XXX
    メール XXX
    Q1 利⽤したことがある
    Q2 ウ
    【基礎情報】
    【アンケート】
    会社名 XXX
    部⾨ XXX
    26
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
    当該情報に含まれる⽒名、
    ⽣年⽉⽇その他の記述等
    当該情報に含まれる⽒名、
    ⽣年⽉⽇その他の記述等により
    特定の個⼈を識別することができるもの

    View Slide

  27. 応⽤編②
    顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2
    00001
    00002
    00003
    テーブルA
    ⼀号本⽂
    ⼀号かっこがき
    27
    申込フォーム
    ⽒名 XXX
    ⽣年⽉⽇ XXX
    メール XXX
    Q1 利⽤したことがある
    Q2 ウ
    【基礎情報】
    【アンケート】
    会社名 XXX
    部⾨ XXX
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの

    View Slide

  28. 応⽤編③
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    ⼀号本⽂
    ⼀号かっこがき
    テーブルB
    テーブルA
    28
    顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2
    00001
    00002
    00003
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの

    View Slide

  29. 応⽤編③
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    ⼀号本⽂
    ⼀号かっこがき
    テーブルB
    テーブルA
    29
    顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2
    00001
    00002
    00003
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの

    View Slide

  30. ⼀号かっこがきを読んでみよう
    (他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。)
    ⼀号本⽂
    ⼀号かっこがき
    30
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    テーブルA
    顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2
    00001
    00002
    00003

    View Slide

  31. ⼀号かっこがきを読んでみよう
    (他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。)
    ⼀号本⽂
    ⼀号かっこがき
    31
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    テーブルA
    顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2
    00001
    00002
    00003

    View Slide

  32. ⼀号かっこがきを読んでみよう
    (他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。)
    ⼀号本⽂
    ⼀号かっこがき
    他の情報と容易に照合
    それにより特定の個⼈を識別
    2
    1
    32
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    テーブルA
    顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2
    00001
    00002
    00003

    View Slide

  33. 33
    1.結論
    2.課題①(法務 → 事業, 技術)
    (1)個⼈情報の定義
    (2)委託
    (3)提供元基準
    3.課題②
    (1)法律上の要求事項の実装(技術 → 法務)
    (2)レピュテーションリスク(事業 → 法務)

    View Slide

  34. 分析に複数企業が関与することは⼀般的
    34
    データを豊富に
    持つ企業
    分析技術に
    ⻑けた企業
    個⼈データの提供
    分析結果の提供

    View Slide

  35. 個⼈データの提供には原則同意が必要
    35
    第⼆⼗七条
    個⼈情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本⼈の同意を得ないで、個⼈データを第三者に
    提供してはならない。
    データを豊富に
    持つ企業
    分析技術に
    ⻑けた企業
    個⼈データの提供
    分析結果の提供

    View Slide

  36. 委託として整理できる場合には同意不要
    36
    第⼆⼗七条
    個⼈情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本⼈の同意を得ないで、個⼈データを第三者に
    提供してはならない。
    5 次に掲げる場合において、当該個⼈データの提供を受ける者は、前各項の規定の適⽤については、第三者に
    該当しないものとする。
    ⼀ 個⼈情報取扱事業者が利⽤⽬的の達成に必要な範囲内において個⼈データの取扱いの全部⼜は⼀部を委託す
    ることに伴って当該個⼈データが提供される場合
    データを豊富に
    持つ企業
    分析技術に
    ⻑けた企業
    個⼈データの提供
    分析結果の提供

    View Slide

  37. ⽤語の説明を端折りがち
    37
    それって
    同意( )取ってます?
    それとも委託( )です?
    第⼆⼗七条
    個⼈情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本⼈の同意を得ないで、個⼈データを第三者に
    提供してはならない。
    5 次に掲げる場合において、当該個⼈データの提供を受ける者は、前各項の規定の適⽤については、第三者に
    該当しないものとする。
    ⼀ 個⼈情報取扱事業者が利⽤⽬的の達成に必要な範囲内において個⼈データの取扱いの全部⼜は⼀部を委託す
    ることに伴って当該個⼈データが提供される場合
    ありがちな会話
    …えーっと
    (同意は取ってないし多分)
    委託です
    法務 事業
    1
    2
    1
    2

    View Slide

  38. 【契約】
    業務委託契約、SaaS利⽤契約、フランチャイズ契約
    「委託」は多義的に⽤いられている
    38
    【個⼈情報の保護に関する法律についてのガイドライン(通則編) 】
    「個⼈データの取扱いの委託」とは、契約の形態・種類を問わず、個⼈情報取扱事業者が他の者に個⼈データの
    取扱いを⾏わせることをいう。具体的には、個⼈データの⼊⼒(本⼈からの取得を含む。)、編集、分析、出⼒
    等の処理を⾏うことを委託すること等が想定される。
    【個⼈情報保護法上の評価】
    個⼈データの取り扱いの委託
    提供元 提供先
    *https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf

    View Slide

  39. 39
    1.結論
    2.課題①(法務 → 事業, 技術)
    (1)個⼈情報の定義
    (2)委託
    (3)提供元基準
    3.課題②
    (1)法律上の要求事項の実装(技術 → 法務)
    (2)レピュテーションリスク(事業 → 法務)

    View Slide

  40. テーブルBだけを委託するケースを想定
    委託
    X社(提供元) Y社(提供先)
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
    00001
    00002
    00003
    テーブルA
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    利⽤履歴データ(テーブルB)だけを委託先に渡して分析させたい。
    委託先に渡すデータには「お名前」が含まれていませんし、個⼈情報(個⼈データ)として扱わなくて良いです
    よね?
    40

    View Slide

  41. 提供先基準と提供元基準
    41
    提供先基準 提供元基準
    提供先のY社にとって、テーブルBは個⼈データでない

    X社からY社へのデータの提供⾏為は、個⼈データの委
    託ではない(=⾮個⼈データの提供である)
    委託
    X社(提供元)
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
    00001
    00002
    00003
    テーブルA
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    Y社(提供先)
    提供元のX社にとって、テーブルBは個⼈データである

    X社からY社へのデータの提供⾏為は、個⼈データの委
    託である
    委託
    X社(提供元)
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
    00001
    00002
    00003
    テーブルA
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    Y社(提供先)

    View Slide

  42. 実務では提供元基準が採⽤されている
    出所:「個⼈情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意⾒募集結果
    ( https://www.ppc.go.jp/files/pdf/2811_bessi2-1.pdf )
    委託
    提供先(委託先)
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
    00001
    00002
    00003
    テーブルA
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    ある情報を第三者に提供する場合、当該情報が「他 の情報と容易に照合することができ、それにより特 定の個⼈
    を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に
    照合することができ、それにより特定の個⼈を識別することができることとなる」かどうかで判断します。
    42
    提供元(委託元)

    View Slide

  43. 【まとめ】
    事業, 技術⾃ら法律を活⽤できる状態が理想
    43
    法務
    事業
    技術

    View Slide

  44. 44
    1.結論
    2.課題①(法務 → 事業, 技術)
    (1)個⼈情報の定義
    (2)委託
    (3)提供元基準
    3.課題②
    (1)法律上の要求事項の実装(技術 → 法務)
    (2)レピュテーションリスク(事業 → 法務)

    View Slide

  45. 45
    1.結論
    2.課題①(法務 → 事業, 技術)
    (1)個⼈情報の定義
    (2)委託
    (3)提供元基準
    3.課題②
    (1)法律上の要求事項の実装(技術 → 法務)
    (2)レピュテーションリスク(事業 → 法務)

    View Slide

  46. 要求事項を実装するには技術知識が不可⽋
    46
    出所:https://www.ppc.go.jp/files/pdf/report_office_zirei2205.pdf
    https://www.ppc.go.jp/files/pdf/211029_guidelines04.pdf
    技術的安全管理措置
    仮名加⼯情報
    匿名加⼯情報

    View Slide

  47. ⼀⽅で技術部⾨との会話に悩む法務は多い
    47
    (わからなきゃ質問してくるだろ)
    それってXXXをYYYすれば
    良いってことですか?
    ありがちな会話1
    (単語の意味分からないけど
    プロが提案してるんだし良いだろ)
    はい、それで⼤丈夫です
    技術 法務
    ありがちな会話2
    (どうせ詳細話してもわからんだろ)
    わかりました、
    要件踏まえて対応しておきます。
    (ほっ)
    ありがとうございます
    技術 法務

    View Slide

  48. 理解度に応じたコミュニケーションを
    48
    法務の理解度が低い場合
    法務の理解度が⾼い場合
    XXXという要件を満たすためには
    YYYが必要だと考えられるのですが
    YYYってご存知です?
    技術
    YYYで対応しておきます
    技術

    View Slide

  49. 勿論法務が最低限の知識を得ることも重要
    49
    出所: https://bookplus.nikkei.com/atcl/catalog/07/P83110/
    https://www.shoeisha.co.jp/book/detail/9784798144450,
    ネットワーク データベース

    View Slide

  50. 【まとめ】
    実装まで⾒届けるためには両⽅の知識が必要
    50
    法務
    事業
    技術

    View Slide

  51. 51
    1.結論
    2.課題①(法務 → 事業, 技術)
    (1)個⼈情報の定義
    (2)委託
    (3)提供元基準
    3.課題②
    (1)法律上の要求事項の実装(技術 → 法務)
    (2)レピュテーションリスク(事業 → 法務)

    View Slide

  52. 炎上は適法だが不適切な取組みでも起こる
    52
    ⼝頭説明のみ

    View Slide

  53. アンチパターンとしてのダークパターン
    53
    出所:https://www.shoeisha.co.jp/book/detail/9784798177892
    n “ダークパターンとは、ユーザーを騙して何かを購⼊させたり、登録
    させたりするなど、意図しないことを実⾏させる、Webサイトやア
    プリで使われているトリックのこと”
    n ダークパターンを使うことによって⽣じ得る損失やリスク
    Ø カスタマーサポートへの負担増
    Ø 返品率の増加
    Ø SNSでの悪評の拡散・ネガティブレビュー
    (レピュテーションリスク)
    Ø 客のライフタイムバリューの低下
    Ø 新規顧客獲得コストの増加
    Ø 従業員の離職率・⼈材の採⽤コストの増加
    Ø 消費者トラブルへの発展(紛争・訴訟のリスク)
    Ø 法律違反・罰則リスク
    Ø 業界全体の信頼が損なわれる

    View Slide

  54. 議論の成熟につれ法的義務に変化することも
    54
    出所:https://edpb.europa.eu/system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf

    View Slide

  55. 実際これを単独部⾨で解決するのは無理では
    55
    出所:https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf

    View Slide

  56. 【まとめ】
    リスクは事業, 法務単独では拾えない
    56
    法務
    事業
    技術

    View Slide

  57. 【本⽇の結論】
    課題は事業・技術・法務の相互理解である
    57
    “プライバシーデータ活⽤における課題とは
    AutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説!”
    事業・技術・法務の相互理解

    View Slide

  58. ご清聴
    ありがとうございました
    インハウスハブ東京法律事務所
    世古修平(せこしゅうへい)
    Website :https://www.seko-law.info/
    Twitter :@seko_law
    Mail :[email protected]
    58

    View Slide