海外プライバシー・パーソナルデータ関連情報(2014/9/24号)
2014.09.24
Updated by WirelessWire News編集部 on September 24, 2014, 16:57 pm JST
Follow us on
Image by Elvert Barnes (CC-BY-SA)
今週は、Googleの「忘れられる権利」に関するGoogleの動きとそれに対する批判、PRISMプログラムに関する裁判記録の開示、SNSサービスの利用規約はどこまで有効かについての解説などをとりあげる。各ニュースの詳細については、原文のリンクを参照されたい。
制度・法律
EUの最高裁にあたる欧州司法裁判所が示した「忘れられる権利」に関連したGoogleの動き。
◆Googleが「忘れられる権利」の議論の場を計画中(BBC)
Google plans debates on 'right to be forgotten'
Googleは「忘れられる権利」の決定から生じた問題点を議論するための公開討論会を欧州7カ所で開催する。Googleは本決定に反対の姿勢をとっている。ミーティングを運営する顧問委員会にはWikimediaの創始者Jimmy Walesやプライバシー規制の元担当者、元判事などが選ばれている。欧州委員会はこのミーティングを歓迎しているが、専門家からは公開議論というより企業PRではないかという指摘がされていることを紹介している。
Google plans debates on 'right to be forgotten'
Googleは「忘れられる権利」の決定から生じた問題点を議論するための公開討論会を欧州7カ所で開催する。Googleは本決定に反対の姿勢をとっている。ミーティングを運営する顧問委員会にはWikimediaの創始者Jimmy Walesやプライバシー規制の元担当者、元判事などが選ばれている。欧州委員会はこのミーティングを歓迎しているが、専門家からは公開議論というより企業PRではないかという指摘がされていることを紹介している。
Googleを批判するCNIL委員長による見解。
◆Googleは「忘れられる権利」の評価を落とそうとしている(la Croix)
Google cherche a discrediter le droit a l'oubli
CNILの委員長、イザベル・ファルク・ピエロタン氏は、EUの「忘れられる権利」の決定で市民を守る手段が増えたことを歓迎している。この記事では、Q&Aにより主にフランスでの現状とCNILの見解を説明しており、Googleは「忘れられる権利」の欠点をわざわざ口コミで広めるような手法を使っていると批判している。
Google cherche a discrediter le droit a l'oubli
CNILの委員長、イザベル・ファルク・ピエロタン氏は、EUの「忘れられる権利」の決定で市民を守る手段が増えたことを歓迎している。この記事では、Q&Aにより主にフランスでの現状とCNILの見解を説明しており、Googleは「忘れられる権利」の欠点をわざわざ口コミで広めるような手法を使っていると批判している。
EUで、「国家による個人情報の保持」のあり方について、専門家による声明が出された。
◆データ保護指令第29条作業部会が声明を発表(HUNTON and WILLIAMS, Privacy and Information Securty Law Blog )
Article 29 Working Party Releases Statement on ECJ Ruling Invalidating the EU Data Retention Directive
データ保護指令第29条作業部会(以下第29条作業部会)は声明を発表し、EUデータ保持指令を無効化した2014年4月8日付欧州裁判所の決定にてらし、EUメンバー各国が取るべきアクションを示した。推奨事項として、保有データは「重大な犯罪」対策として厳密に必要とされるデータのみに限ること、アクセスの独立と手段の条件を定めることなどをあげている。また第29条作業部会では、今回の命令が直接既存の国家によるデータ保有手段の有効性に影響するわけではないと強調しており、今後欧州委員会に対し、本命令がどのようにEU加盟国レベルで解釈されるかガイダンスを求めている。
Article 29 Working Party Releases Statement on ECJ Ruling Invalidating the EU Data Retention Directive
データ保護指令第29条作業部会(以下第29条作業部会)は声明を発表し、EUデータ保持指令を無効化した2014年4月8日付欧州裁判所の決定にてらし、EUメンバー各国が取るべきアクションを示した。推奨事項として、保有データは「重大な犯罪」対策として厳密に必要とされるデータのみに限ること、アクセスの独立と手段の条件を定めることなどをあげている。また第29条作業部会では、今回の命令が直接既存の国家によるデータ保有手段の有効性に影響するわけではないと強調しており、今後欧州委員会に対し、本命令がどのようにEU加盟国レベルで解釈されるかガイダンスを求めている。
NSAによるPRISMプログラムに関する裁判記録が開示された。
◆米政府はヤフーにデータを渡すよう巨額の罰金で脅迫していた(Washington Post)
U.S. threatened massive fine to force Yahoo to release data
NSAのPRISMプログラム(データ監視プログラム)についてYahooが起こした裁判の詳細が、FISCR(外国情報活動監視再審裁判所)の命令により開示された裁判記録により明らかになったと報じられている。開示された文書によれば、米政府は2008年、米国保護法(Protect America Act of 2007)にもとづきヤフーに対しユーザーの通信データを渡すよう要求し、従わない場合1日あたり25万ドルの罰金を課すとしていた。Yahooはこれを憲法違反として裁判を起こしたが、FISCRによる合憲判決が下された。これがきっかけで、Google、Facebook、Apple、AOLといった米ハイテク企業が政府の要求に従わざるを得なくなったとされていたが、これまで判決については詳細が開示されておらず、どの企業が関与しているのか、何が争点なのかなど詳細が分からない状態だった。
U.S. threatened massive fine to force Yahoo to release data
NSAのPRISMプログラム(データ監視プログラム)についてYahooが起こした裁判の詳細が、FISCR(外国情報活動監視再審裁判所)の命令により開示された裁判記録により明らかになったと報じられている。開示された文書によれば、米政府は2008年、米国保護法(Protect America Act of 2007)にもとづきヤフーに対しユーザーの通信データを渡すよう要求し、従わない場合1日あたり25万ドルの罰金を課すとしていた。Yahooはこれを憲法違反として裁判を起こしたが、FISCRによる合憲判決が下された。これがきっかけで、Google、Facebook、Apple、AOLといった米ハイテク企業が政府の要求に従わざるを得なくなったとされていたが、これまで判決については詳細が開示されておらず、どの企業が関与しているのか、何が争点なのかなど詳細が分からない状態だった。
ビジネス
SNSサービスの利用規約はどこまで有効か。
◆Facebook、Twitter、Google、インスタグラム他は個人写真を企業に売ってもよいのか(Slate)
Facebook, Twitter, Google, Instagram et les autres peuvent-ils revendre nos photos a des marques?
「Facebookに投稿した写真が、大手スーパーマーケットで売られているTシャツにプリントされていた」フランスの事例について。SNSのサービス利用条項に同意することでSNSに投稿された画像を自由に利用できるような内容になっていたとしても、フランス法にもとづき知的所有権は保護されるという見解を紹介している。
Facebook, Twitter, Google, Instagram et les autres peuvent-ils revendre nos photos a des marques?
「Facebookに投稿した写真が、大手スーパーマーケットで売られているTシャツにプリントされていた」フランスの事例について。SNSのサービス利用条項に同意することでSNSに投稿された画像を自由に利用できるような内容になっていたとしても、フランス法にもとづき知的所有権は保護されるという見解を紹介している。
「個人が自分の個人データを販売する」ビジネスモデルを紹介。
◆DatacoupはあなたのクレジットカードとFacebookの情報を買いたがっている(MIT Technology Review)
Datacoup Wants to Buy Your Credit Card and Facebook Data
個人情報買取ビジネスの先駆けであるDatacoup社は、自社サービスのクローズドトライアルを終え、現在その結果を公開していることが紹介されている。同社はSNSのアカウント、クレジットカードの取引記録やその他の個人情報に対し月額10ドルを上限に支払い、その情報から得られた分析を消費行動に関心を持つ企業に販売する(ローデータは渡さない)。このビジネスモデルで、消費者が個人情報をいくらで評価しているか測定することが可能になるかもしれないとしている。
Datacoup Wants to Buy Your Credit Card and Facebook Data
個人情報買取ビジネスの先駆けであるDatacoup社は、自社サービスのクローズドトライアルを終え、現在その結果を公開していることが紹介されている。同社はSNSのアカウント、クレジットカードの取引記録やその他の個人情報に対し月額10ドルを上限に支払い、その情報から得られた分析を消費行動に関心を持つ企業に販売する(ローデータは渡さない)。このビジネスモデルで、消費者が個人情報をいくらで評価しているか測定することが可能になるかもしれないとしている。
調査・ケーススタディ
モバイルアプリのプライバシーに関する状況はまだまだお粗末なことが判明した。
◆モバイルアプリの大多数はプライバシー情報を明示せず - 調査で判明(Gigaom)
The vast majority of apps don't give clear privacy information, regulators find
1200のモバイルアプリを対象とした個人情報取扱に関する調査。85%が個人情報利用の理由や共有範囲を説明しておらず、ほぼ3分の1のアプリは必要以上の個人情報の取得を求めていたなどの結果が紹介されている。
The vast majority of apps don't give clear privacy information, regulators find
1200のモバイルアプリを対象とした個人情報取扱に関する調査。85%が個人情報利用の理由や共有範囲を説明しておらず、ほぼ3分の1のアプリは必要以上の個人情報の取得を求めていたなどの結果が紹介されている。
家庭内で使用するストレージに注意。初期設定のままではインターネットからも容易にアクセスできるケースがある。
◆個人情報保存デバイス、オンラインで情報流出の可能性(BBC)
Personal data stores found leaking online
英国で、家庭で使用されているNAS(Network Attached Storage)に関するセキュリティが問題となっている。BBCや専門調査機関の調査により、英国では数万世帯のNASが外部から簡単に参照可能なことが判明した。NASには重要な個人情報が保存されていることが多いが、NAS製品の多くは初期設定のままではデータを広く共有するようになっており、情報を守るためには自宅内でのみ参照できるように設定を変更する必要がある。犯罪者たちはこうしたホームネットワーキングデバイスに興味を持ち始めており、今後は大規模な攻撃が増加することが予想されるとしている。
Personal data stores found leaking online
英国で、家庭で使用されているNAS(Network Attached Storage)に関するセキュリティが問題となっている。BBCや専門調査機関の調査により、英国では数万世帯のNASが外部から簡単に参照可能なことが判明した。NASには重要な個人情報が保存されていることが多いが、NAS製品の多くは初期設定のままではデータを広く共有するようになっており、情報を守るためには自宅内でのみ参照できるように設定を変更する必要がある。犯罪者たちはこうしたホームネットワーキングデバイスに興味を持ち始めており、今後は大規模な攻撃が増加することが予想されるとしている。
医療の現場で発生したインシデントの事例と対応を紹介。
◆病院のCIOたちはデータやセキュリティ侵害からいかに学ぶか(FireceHealthIT)
How hospital CIOs learn from data, security breaches
Beth Israel Deaconess Medical Center (BIDMC)とBoston Children HospitalのCIOたちがHealthcareInfoSecurity.comに情報セキュリティについての記事を寄稿した。数千人の患者データを記録したラップトップコンピューターの盗難事件、大規模テロ発生時の患者のプライバシー保護、ボストンマラソン爆破事件の経験、DDoS攻撃で電子メールや電子カルテシステムが使えなくなった経験や、その後の情報システム投資について述べられている。
How hospital CIOs learn from data, security breaches
Beth Israel Deaconess Medical Center (BIDMC)とBoston Children HospitalのCIOたちがHealthcareInfoSecurity.comに情報セキュリティについての記事を寄稿した。数千人の患者データを記録したラップトップコンピューターの盗難事件、大規模テロ発生時の患者のプライバシー保護、ボストンマラソン爆破事件の経験、DDoS攻撃で電子メールや電子カルテシステムが使えなくなった経験や、その後の情報システム投資について述べられている。
