WirelessWire News The Technology and Ecosystem of the IoT.

by Category

海外プライバシー・パーソナルデータ関連情報(2014/11/04号)

2014.11.05

Updated by WirelessWire News編集部 on November 5, 2014, 11:30 am UTC

201411051130-1.jpg

Image by KimCC BY

10月にモーリシャスで開催されたプライバシーコミッショナー会議(International Conference of Data Protection and Privacy Commissioners)の採択に関するニュースが出てきた。また、米国ではデータ保護と利用推進のバランスについて、参考となる事例が出てきている。各ニュースの詳細については、原文のリンクを参照されたい。

制度・法律

プライバシーコミッショナー会議での、IoTに関する宣言について解説する記事。

プライバシーコミッショナー会議で、IoTとビッグデータによる個人のプライバシー侵害に警鐘
World's Data Protection Leaders Highlight Internet of Things, Big Data Privacy Risks
モーリシャスで開かれた第36回プライバシーコミッショナー会議において「モノのインターネット(IoT)」に関する宣言とビッグデータの分析に関する決議が採択され、これらの技術が個人の自由意思を脅かす可能性について警告がなされた。同宣言では、インターネット接続された機器から発生したデータは個人情報とみなされるべきで、データの転送にともなうリスクについて警鐘を鳴らしている。また、ビッグデータによるプライバシー侵害を防ぐため、事業者はデータ保護原則を守り、消費者が基になったデータと分析アルゴリズムにアクセス出来る権利を担保すべきとも述べられている。

こちらもプライバシーコミッショナー会議に関する記事だが、IoTに関する宣言以外の採択についても概要が載っている。

IoTのデータはモノだけでなく個人情報も生み出す、プライバシーコミッショナー会議でIoTが持つリスクについて宣言
Centre Reports on 36th International Conference of Data Protection and Privacy Commissioners
モーリシャスで開催された第36回プライバシーコミッショナー会議において、IoTが生成するデータが個人情報に該当しビッグデータと組み合わさることでリスクが拡大するという認識、IoTにおいてもプライバシー・バイ・デザインが最重要であること、IoTのネットワークでは暗号化などのセキュリティが必須であること、といったIoTに関する宣言が採択された。この他に、ビッグデータにおけるプライバシー保護の原則、データ保護に必要な国際間協調、政府によるデジタルデータの監視という問題に対して本会議のコミットメントなど、4つの決議が採択された。

先週に続いてEU側から米国への不信感の表明と、サーフハーバーの停止にまで踏み込んだ発言が出ている。

欧州委員会のキーマンがデータ保護の重視を表明、米国とのセーフハーバー停止も辞さず
Ansip threatens to suspend Safe Harbour data agreement with US
次期欧州委員会の副委員長兼域内デジタル市場担当委員のアンドルス・アンシプ氏は、欧州においてデータ保護を最大限に優先しつつ多数の新規雇用を創出することを目指し、データ保護指令の早期採択を推し進めている。その中で、米国が安全保障に係わる場合のデータ保護の制限について、具体的な条件を定めない限り、米国とのセーフハーバーの一時停止もあり得ると発言している。同時にネットの中立性も重視しており、ネット上での国境に基づくさまざまな制限も不要だとしている。

キャリアの個人情報漏えい事故では米国として過去最高額の罰金(約10億円超)が科された模様。

FCCが消費者のプライバシーを漏えいした通信キャリア2社に1000万ドルの罰金を科す
FCC Levies $10 Million Fine Against Carriers for Breach of Consumer Privacy
連邦通信委員会(FCC)は10月24日、TerraComeおよびYourTel Americanに対して、それぞれ史上最高額となる1000万ドルの罰金を科した。両社は「ソーシャルセキュリティ番号、氏名、住所、運転免許他、顧客に属する機密情報を、保護されておらず、世界中の誰でもアクセス可能なインターネットサーバーに保存した」ことによって、消費者のプライバシーを漏洩していた。

10月21日に掲載したカリフォルニア州の教育分野でのデータ保護について、ビジネス面からの分析記事。

教育分野での個人情報の利用はどこまで可能か、保護と推進のバランスを探るカリフォルニア州
Personalized Learning Pits Data Innovators Against Privacy Advocates
生徒ごとの特性に合わせたパーソナライズ学習が注目を集めているが、その過程で集めたデータを企業がどこまで利用してよいのか議論となっている。継続的なデータ蓄積による学習効果の向上が期できる一方、データが受験の合否判断など別の用途に利用される懸念がある。教育に関するプライバシー規制法が改正され、企業によるデータの目的外利用と、一定の条件下でのデータ破棄を義務づけているが、現状は抜け道がある。カリフォルニア州では独自に、匿名化を条件に学生のデータを教育分野のサービス改善に限り認めて降り、その成果のほどが注目されている。

金融分野に限らないプライバシー通知のオンライン化は、日本でもそろそろ議論の俎上に載りつつある。

米消費者金融保護局、金融機関による顧客へのプライバシー通知を紙だけでなくオンラインも認めるルールに改訂
CFPB Updates GLB Privacy Rule to Allow Online Privacy Notices
米国消費者金融保護局(CFPB)は10月24日、金融機関に対する規則を改正。これにより一部の金融機関は、顧客へのプライバシー通知を紙ではなくオンラインで行うことが可能になった。対象となるのはCFPB監督下の一部の金融機関に限られ、また第三者へ顧客の個人情報を提供しないといった条件を満たす必要がある。この新規則により、顧客がプライバシーポリシーを常に確認できる、金融機関による顧客の個人情報共有に制限が設けられるといったメリットがあるほか、金融機関側にもコンプライアンス費用が削減できるメリットがある。

フランスにおける法改正にともない、企業は新たに義務を負うこととなったが、それには相矛盾するケースがあるという。

企業に課されたセキュリティと個人情報保護の2つの義務が、結果的に企業の行動を縛る
Cyber securite et protection des donnees personnelles : en avant marche !
フランスで情報システムの保護に関する指令が2014年3月に採択され、「最重要オペレーター」は、「事故」の防止と通知についていくつかの義務を新たに負うことになった。この結果、サイバーセキュリティと個人情報保護という2つのルールの間で矛盾が生じることがある。例えば、サイバー攻撃の痕跡を調査する際、個人情報を保護した状態では調査が困難な場合などだ。その際、企業がどのように対処すべきか、現状では法的に明確になっていない。欧州委員会にとって、こうした企業におけるセキュリティとデータ保護の矛盾を整理することが、優先項目ではないか。

ビジネス

国や地域ごとに異なるデータ保護法だが、それを意識して設置場所を選ぶことが事業上の強みになってくる可能性もある。

アマゾンが独に新データセンター設置、独の厳格なデータ保護法下での運用が強みとなるか
Amazon's New German Data Center Will Benefit From Stronger Data Protection Laws
アマゾンが欧州で2番目のデータセンターを独・フランクフルトに開設。ドイツはEU域内でも厳格なデータ保護法を定めており、新データセンターがその保護の基におかれるならば、新たな競争力となるかもしれない。米政府は、米国企業に対して実際にデータがどの国に所在しているかに係わらず開示請求できると主張するが、アマゾンの新DCはこれに対する対抗策となるかもしれない。

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら