海外プライバシー・パーソナルデータ関連情報(2014/10/15号)
2014.10.15
Updated by WirelessWire News編集部 on October 15, 2014, 10:00 am JST
Follow us on
Image by Nicolas DECOOPMAN(CC BY)
今週は、EUと米国のセーフハーバー条項に関する状況、EUのIoTアプリケーション開発時のプライバシー保護に向けた指針などを取り上げる。また、プライバシーや個人情報の保護とビジネスの関係にフォーカスした記事がいくつか掲載された。各ニュースの詳細については、原文のリンクを参照されたい。
制度・法律
米国とEUとのセーフハーバー条項は現状維持も、先行きは不透明となっている。
EUは米国とのセーフハーバー条項を保持、新条項の交渉はスタートするも決着は見えず
New EU data chief won't scrap Safe Harbor with US sans Plan B
EUと米国間のデータプライバシーに関するセーフハーバー合意は、代案がないまま廃止されることはないと、EUの次期法務担当委員のヴェラ・ジュールヴァ氏が語った。欧州議会ではセーフハーバー条項に反対する意見も多く、スノーデンによる告発の後には同条項を停止する決議がなされている。欧州委員会では、アンブレラ・アグリーメントという欧州からのデータ移管全てに適用される米国との新条項の交渉が始まっている。しかし、EUのデータ保護に関する議論は参加者が多すぎるため、迷走しているとの批判もある。
New EU data chief won't scrap Safe Harbor with US sans Plan B
EUと米国間のデータプライバシーに関するセーフハーバー合意は、代案がないまま廃止されることはないと、EUの次期法務担当委員のヴェラ・ジュールヴァ氏が語った。欧州議会ではセーフハーバー条項に反対する意見も多く、スノーデンによる告発の後には同条項を停止する決議がなされている。欧州委員会では、アンブレラ・アグリーメントという欧州からのデータ移管全てに適用される米国との新条項の交渉が始まっている。しかし、EUのデータ保護に関する議論は参加者が多すぎるため、迷走しているとの批判もある。
EUがIoTにおける指針を明らかに。プライバシーやデータ保護の原則を改めて打ち出した形に。
EU保護指令第29条作業部会が、IoTアプリケーション開発におけるプライバシー保護について意見表明
EU Data Protection Body Publishes Opinion On Safeguarding Privacy in Internet of Things
保護指令第29条作業部会は9月23日、IoTアプリケーションを開発する組織は現行のEUコンプライアンス基準をこえて、個人のプライバシーが保護されるよう保証すべきとの見解を発表した。例えば、データ主体がデータ処理の合意を解消した時、迅速な連絡を行わなければならないなど、プライバシーバイデザインおよびセキュリティバイデザインの原則に従うべきだとしている。さらに同部会は、IoTの発展は法的・技術的コンプライアンスを超えて行われるが、実際に重要なのはIoTが社会に与える結果であり、EUデータ保護フレームワークの遵守はIoTがもたらす「社会的問題」に対応するために欠かせないとしている。
EU Data Protection Body Publishes Opinion On Safeguarding Privacy in Internet of Things
保護指令第29条作業部会は9月23日、IoTアプリケーションを開発する組織は現行のEUコンプライアンス基準をこえて、個人のプライバシーが保護されるよう保証すべきとの見解を発表した。例えば、データ主体がデータ処理の合意を解消した時、迅速な連絡を行わなければならないなど、プライバシーバイデザインおよびセキュリティバイデザインの原則に従うべきだとしている。さらに同部会は、IoTの発展は法的・技術的コンプライアンスを超えて行われるが、実際に重要なのはIoTが社会に与える結果であり、EUデータ保護フレームワークの遵守はIoTがもたらす「社会的問題」に対応するために欠かせないとしている。
EUのデータ保護指令の改正についてビジネス視点からの分析。現状で保護重視だとしつつも、採択までに緩和の可能性を指摘している。
ソフォス社、新たなEUデータ保護指令は「世界で最も厳しいものになるが、緩和される可能性も」と分析
New EU data protection laws 'could be most strict in the world' in current form, says Sophos
ITセキュリティのソフォス社は、現在、欧州委員会において議論されているデータ保護規則の改正案について、世界で最も厳しい法律になる可能性があるとの分析を発表。新しい法律では、違反した企業に1億ユーロまたは売り上げの最高5%のどちらか高いほうの罰金を課され、EU域内で操業する全企業に適用される。ただし、同社のアンソニー・メリー氏によれば「立法準備が始まって2年の間、4000件もの修正が入っており、これから施行までにさらに4000件の修正が入って緩和される可能性もありうる」という。
New EU data protection laws 'could be most strict in the world' in current form, says Sophos
ITセキュリティのソフォス社は、現在、欧州委員会において議論されているデータ保護規則の改正案について、世界で最も厳しい法律になる可能性があるとの分析を発表。新しい法律では、違反した企業に1億ユーロまたは売り上げの最高5%のどちらか高いほうの罰金を課され、EU域内で操業する全企業に適用される。ただし、同社のアンソニー・メリー氏によれば「立法準備が始まって2年の間、4000件もの修正が入っており、これから施行までにさらに4000件の修正が入って緩和される可能性もありうる」という。
欧米に比べて情報が少ない、アジア各国の個人情報に関する法律の比較。ただし、欧州やOECDでの議論を受けて、今後は変わっていく可能性も。
アジア各国の個人情報保護法の比較、定義や罰則は似通っているが国際移転で対応に差が
Protecting your customer's personal data: a comparison across countries in Asia
アジア各国で個人情報保護に関する法律が整備されており、国境を越えたサービス展開を図る企業は、それらに対応する必要がある。個人情報の定義はほとんどの国で似通っており、違反者には相応のペナルティが科される。EUに比べると国境を越えたデータ移転に寛容だが、シンガポールやマレーシアなど一部の国では、移転先が自国と同水準の保護対策であることを求めている。企業が実施すべきデータ保護対策は、アクセスできる人とタイミングの限定と暗号化が必須となる。また、マーケティング施策が差別的と捉えられないように、問題になりやすいデータへのマーケティング部門のアクセスを制限すべきだ。
Protecting your customer's personal data: a comparison across countries in Asia
アジア各国で個人情報保護に関する法律が整備されており、国境を越えたサービス展開を図る企業は、それらに対応する必要がある。個人情報の定義はほとんどの国で似通っており、違反者には相応のペナルティが科される。EUに比べると国境を越えたデータ移転に寛容だが、シンガポールやマレーシアなど一部の国では、移転先が自国と同水準の保護対策であることを求めている。企業が実施すべきデータ保護対策は、アクセスできる人とタイミングの限定と暗号化が必須となる。また、マーケティング施策が差別的と捉えられないように、問題になりやすいデータへのマーケティング部門のアクセスを制限すべきだ。
ビッグデータの名の下に、データを集めるプロセスと、データの処理プロセスで実際に行われていることが隠されがちだ。
OECDグローバルフォーラムにおいて、EPIC代表が「アルゴリズムの透明性」を求める
At OECD Global Forum, EPIC Urges "Algorithmic Transparency"
東京で開催されたOECDグローバルフォーラムに登壇したEPIC(Erectric Privacy Information Center)のマーク・ローテンブルグ代表は、OECD加盟国に対し「アルゴリズムの透明性」を支持するよう求めた。同士は、個人にインパクトを与えるデータプロセスは公開されるべきという原則に基づき、企業は個人情報収集のプロセスを隠しすぎていると批判。また、最近の大規模なデータ漏洩を例に挙げ、危険性の高まりに対処するため加盟国にプライバシー関連法のアップデートを求めた。
At OECD Global Forum, EPIC Urges "Algorithmic Transparency"
東京で開催されたOECDグローバルフォーラムに登壇したEPIC(Erectric Privacy Information Center)のマーク・ローテンブルグ代表は、OECD加盟国に対し「アルゴリズムの透明性」を支持するよう求めた。同士は、個人にインパクトを与えるデータプロセスは公開されるべきという原則に基づき、企業は個人情報収集のプロセスを隠しすぎていると批判。また、最近の大規模なデータ漏洩を例に挙げ、危険性の高まりに対処するため加盟国にプライバシー関連法のアップデートを求めた。
ビジネス
IT企業も職種間の格差にセンシティブになってきているが、この動きがどこまで広がるものなのかは注視が必要。
Googleが200人以上の警備員を正社員として採用、エンジニアとの給与格差の拡大を懸念
Google to Make Security Guards Employees, Rather Than Contractors
グーグルは、200人以上の警備員について、外部企業との契約をやめ正社員として雇用する計画。これにより警備員は、他の社員と同様の福利厚生を受けられる。この動きはサンフランシスコのベイエリアで所得格差が広がることへの懸念によるもの。あるシンクタンクの調査では、グーグルなど有名テクノロジー企業のあるサンタクララカウンティでは、警備スタッフの時給中央値は14ドルで、ソフトウェア技術者の時給中央値は63ドルだった。
Google to Make Security Guards Employees, Rather Than Contractors
グーグルは、200人以上の警備員について、外部企業との契約をやめ正社員として雇用する計画。これにより警備員は、他の社員と同様の福利厚生を受けられる。この動きはサンフランシスコのベイエリアで所得格差が広がることへの懸念によるもの。あるシンクタンクの調査では、グーグルなど有名テクノロジー企業のあるサンタクララカウンティでは、警備スタッフの時給中央値は14ドルで、ソフトウェア技術者の時給中央値は63ドルだった。
JPモルガンの流出事件の概要が見えてきた。流出規模の大きさだけでなく、攻撃側の巧妙さがうかがい知れる。
JPモルガンがサイバー攻撃による被害の概要を発表、マルウェアにより7600万世帯のデータが流出
J.P. Morgan Says About 76 Million Households Affected By Cyber Breach
JPモルガンがサイバー攻撃を受け、顧客情報が流出した事件の続報。流出件数は約7600万世帯と、金融機関に対する攻撃ではこれまでに公表された事件の中で最大級。同社は、ハッカーは詳細な口座情報(口座番号、パスワード、ソーシャルセキュリティ番号、生年月日等)は取得できおらず、顧客の資産は安全であるという。攻撃はユーザーのコンタクト情報が格納されたサーバーに集中し、過去数年分のオンラインでアクセスした顧客の情報が保存されていた。攻撃はマルウェアによるもので、6月中旬から8月中旬の約2ヵ月間誰にも気付かれず進行したという。
J.P. Morgan Says About 76 Million Households Affected By Cyber Breach
JPモルガンがサイバー攻撃を受け、顧客情報が流出した事件の続報。流出件数は約7600万世帯と、金融機関に対する攻撃ではこれまでに公表された事件の中で最大級。同社は、ハッカーは詳細な口座情報(口座番号、パスワード、ソーシャルセキュリティ番号、生年月日等)は取得できおらず、顧客の資産は安全であるという。攻撃はユーザーのコンタクト情報が格納されたサーバーに集中し、過去数年分のオンラインでアクセスした顧客の情報が保存されていた。攻撃はマルウェアによるもので、6月中旬から8月中旬の約2ヵ月間誰にも気付かれず進行したという。
調査・ケーススタディ
ビッグデータによる個人の新たな形の信用情報が実現可能となったが、新たな問題への懸念が示された。
米NPOがビッグデータによる信用スコアについてレポート、消費者保護や差別の観点で懸念
Big Data, a Big Disappointment for Scoring Consumer Creditworthiness
National Consumer Law Center(NCLC)はビッグデータに関するレポートを公表。ビッグデータによって、銀行口座を持たない人々にも手が届く金融商品が実現したが、分析の結果、消費者についてのデータが増えるにつれ、悪いデータも増えているという。ビッグデータによる、ネット検索などのデータを利用した信用スコアが実現するが、この消費者スコアは連邦政府の消費者保護法および人種差別法に触れる可能性があるという。
Big Data, a Big Disappointment for Scoring Consumer Creditworthiness
National Consumer Law Center(NCLC)はビッグデータに関するレポートを公表。ビッグデータによって、銀行口座を持たない人々にも手が届く金融商品が実現したが、分析の結果、消費者についてのデータが増えるにつれ、悪いデータも増えているという。ビッグデータによる、ネット検索などのデータを利用した信用スコアが実現するが、この消費者スコアは連邦政府の消費者保護法および人種差別法に触れる可能性があるという。
個人のデジタルデータが、どれほどの価値を持つのか、現状と将来について啓蒙する記事。
個人情報が新たな価値を生み出していることに、多くの消費者自身はまだ気づいていない
What's the value of your personal data?
ソーシャルメディアの利用やクレジットカードの支払いなどあらゆる所で人々のデジタルデータが蓄積される。このデータを分析することが、広告や医療分野で大きなビジネスとなっているが、多くの消費者はそれに気づいていない。データを取引するマーケットはまだそれほどの規模ではないが、消費者が自分でデータをコントロールし、それを自分の判断で販売することで、企業だけでなく消費者にも金銭的なメリットを受けられるだろう。
What's the value of your personal data?
ソーシャルメディアの利用やクレジットカードの支払いなどあらゆる所で人々のデジタルデータが蓄積される。このデータを分析することが、広告や医療分野で大きなビジネスとなっているが、多くの消費者はそれに気づいていない。データを取引するマーケットはまだそれほどの規模ではないが、消費者が自分でデータをコントロールし、それを自分の判断で販売することで、企業だけでなく消費者にも金銭的なメリットを受けられるだろう。
こちらはさらに踏み込んで、プライバシーがなぜ人々にとって重要なのか、心理的側面から解説する試み。
プライバシーは人間にとって必要なものだが、その重要性の認識が不十分だ
We Want Privacy, but Can't Stop Sharing
インターネットにおけるプライバシーの問題に人々が気づき始めたが、なぜプライバシーが重要なのかはあまり議論されていない。人々は監視を嫌がる一方、ソーシャルメディアでは積極的にシェアをするなど矛盾するような行動をとる。専門家は、カリフォルニア州の未成年者がソーシャルメディアの投稿を削除できる法律は全く不十分だし、EUの「忘れられる権利」がどう達成されるのかは疑問だという。しかし、人々はオンライン上の行動を以前より少し控え目にし、データ収集業者に対抗する手段を取るようになりつつある。
We Want Privacy, but Can't Stop Sharing
インターネットにおけるプライバシーの問題に人々が気づき始めたが、なぜプライバシーが重要なのかはあまり議論されていない。人々は監視を嫌がる一方、ソーシャルメディアでは積極的にシェアをするなど矛盾するような行動をとる。専門家は、カリフォルニア州の未成年者がソーシャルメディアの投稿を削除できる法律は全く不十分だし、EUの「忘れられる権利」がどう達成されるのかは疑問だという。しかし、人々はオンライン上の行動を以前より少し控え目にし、データ収集業者に対抗する手段を取るようになりつつある。
