Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

欧州委員会のGDPR施行後の適用状況”infographic”、仮名化やわが国の匿名加工情報およびCCTVの設置等に関するガイダンス問題

2019-02-14 14:31:39 | 個人情報保護法制

 2月1日付けのHunton Andrews Kurth LLPのブログが興味深い記事を載せていた。「欧州委員会がGDPR施行後のEU域内における適用状況を数字で見る”GDPR infographic”を発行」というものである。

 インフォグラフィック(筆者注1)を使ったGDPRの啓蒙サイトはEU加盟国でも普及し始めている。公的機関でいえば、例えば、欧州委員会の「GDPRの中小・零細事業者向け一般的解説:Data protection :Better rules for small business」 (筆者注2)、アイルランドのDPA(Coimisiún Cosanta Sonraí)の[GDPR Infografic] 欧州連合理事会の[GDPR Infografic」などがあげられる。

 本ブログは第1編で欧州委員会のInfograficを仮訳するが、その内容は決して十分な説明とはいいがたい。したがって、筆者なりの集めた情報やリンク情報を追加するものである。なお、一部の情報はすでに筆者のブログで概要を取り上げている。

 第2編は、わが国では本格的に論じられていない、(1)EU加盟国のマーケティング活動や医療活動における匿名化、仮名化さらにはわが国の匿名加工情報の在り方等、(2)CCTV(ドライブレコーダー)の設置と運用等に関する的確なガイダンスの内容について例示的に解説を試みる。

 1.欧州委員会の「インフォグラフィック」の内容

 GDPRが2018年5月25日に施行されて以来、そのフォローを目的として2019年1月25日に欧州委員会(以下「委員会」)は、EUの「一般データ保護規則(GDPR)の遵守および執行および認識に関する「インフォグラフィック」を発行し、以下の最新情報を明らかにした。

(1) GDPRに基づくEU市民からの苦情件数と内容

① GDPRに基づき、95,180件の苦情がEU各国のデータ保護当局(DPA)に提出された。ほとんどの苦情は、CCTVカメラの使用とダイレクトマーケティング活動(テレマーケティングおよび宣伝用Eメール)に関連している。

② 41,502件のデータ侵害の苦情がDPAに通知されている。

③ DPAは、EUの国境を越えたデータ処理活動に関連して255件の調査を開始したが、そのほとんどは個々の国民の苦情に従ったものである。

(2) GDPR施行後で見てEU域内でこれまでに3件の罰金処分 

1) 2018年9月12日、オーストリアのDPA(DSB) (筆者注3) (筆者注4)は、違法なビデオ監視を行ったことを理由にスポーツ・ベッティング・カフェに計4,800ユーロ(約595,200円)の罰金を課した。2)2018年11月21日、ドイツのバーデンヴュルテンベルク州のDPA(Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-WürttembergLfDI) (筆者注5)は、ユーザーの個人データの保護に関し不十分であったとして、ソーシャルネットワーク事業者に2万ユーロ(約248万円)の罰金を課した。3) 2019年1月21日、フランスのDPA(CNIL) は 、GDPRの透明性、通知および同意の要件に対する違反を理由に、5,000万ユーロ(約63億円)の罰金をGoogleに課した。

 なお、筆者が調べた範囲で以下、追加する。GDPR施行前の事案であるが、オランダ監督当局(Autoriteit Persoonsgegevens:AP)は2018年11月”UberB.V.(USV)”および ”Uber Technologies,Inc(UTI)”に対し合計60万ユーロ(約7,440万円)の罰金を課した。また、2018年7月、ポルトガルのDPA(「CNPD」)は、患者データへの不正アクセスを防止できなかったことを理由に、Hospital do Barreiro病院に40万ユーロ(約4,960万円)の罰金を課した。

 23 ヵ国のEU加盟国は現在、自国の国内法をGDPRに適合させている。また、5ヵ国(ブルガリア、ギリシャ、スロベニア、ポルトガル、チェコ共和国)は、まだGDPRの国内法化を準備中である。なお、国際プライバシープロフェッショナル協会(IAPP)がまとめたGDPRの国内法化一覧「EU Member State GDPR Implementation Laws and Drafts」Alston & Bird LLPの「”GDPR TRACKER”:”EEA country GDPR Implementation”」等はGDPRの規定と国内法との比較を国別に極めて詳細な解析を行っている。筆者自身が解析中であり、別途取りまとめる予定である。

2.GDPRの運用や解釈をめぐるわが国の企業活動やCCTV等市民監視の在り方

 本ブログでは時間の関係で詳しくは論じないが、EU加盟国のGDPRの解釈や運用を見る限り、従来どおりで良いか気になる課題は多い。今回は、例示的に2つの課題を取り上げる。

(1)EU加盟国のマーケティング活動や医療活動における匿名化(Anonymisation)、仮名化(Pseudonymisation)さらにはわが国の匿名加工情報の在り方等

A.EUにおける匿名化、仮名化の一般的な解説およびGDPRの解釈問題

 一般的な解説としては、「GDPR 匿名化 仮名化:どこが違うの?」

三宅法律事務所「EU一般データ保護規則(GD5R)(第2回):用語について 」「EY Japan」の解説 (筆者注6)が具体例を加えてあり比較的にわかりやすい。

 まず、「匿名化」「仮名化」の定義を正確に理解しておく必要がある。富士通研究所の論文「パーソナルデータの安心・安全な利活用を支えるプライバシー保護技術」が図解入りでわかりやすく説明しているので該当箇所を抜粋、引用する。なお、法令へのリンクは筆者が独自に行った。

仮名化は,実名を仮名に置き換えることで個人特定を防ぐ手法である(図-1)。この手法は,「田中」という氏名が「ID23052」に置き換わるため,仮名化後も同一人物を追跡できるところが利点であるが,性別,年齢などの属性の組み合わせから,個人が特定されてしまう危険がある。例えば図-1の場合,「男性,103歳」に該当する個人が「田中平助」さんであることを知っている人には,どのレコードが田中さんに対応するか特定できてしまう。

k-匿名化は,組み合わせによって個人特定が可能となる属性を準識別子として定義し,同一の準識別子の組み合わせが必ずk人以上存在するようにデータを加工する手法である。図-2は,k=2,準識別子を性別,年齢と定義した例で,性別,年齢が同じ組み合わせの人が二人以上となり,どのレコードが田中さんであるかを特定できないようにしている。k-匿名化は,組み合わせによって個人特定が可能となる属性を準識別子として定義し,同一の準識別子の組み合わせが必ずk人以上存在するようにデータを加工する手法である。図-2は,k=2,準識別子を性別,年齢と定義した例で,性別,年齢が同じ組み合わせの人が二人以上となり,どのレコードが田中さんであるかを特定できないようにしている。

 ところでさらにわが国の2015年「改正個人情報保護法」では,パーソナルデータを匿名加工することにより、一定の制約のもとで、本人の同意がない場合でも第三者提供が認められるようになった。この「匿名加工情報」は,特定の個人を識別できず、かつ復元が不可能となるように加工された情報である。

 第三者に匿名加工情報を提供するに当たっては,匿名加工基準を満たした加工を行う必要がある。匿名加工基準は,個人情報保護法施行規則の第19条に定義されている。この規則に対するガイドライン「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」が個人情報保護委員会から公開されている。(筆者注7)

(2)CCTVの設置と運用等に関する的確なガイダンスの内容とは?

(A) わが国でまず引用されるのが経済産業省・総務省の「カメラ画像利活用ガイドブック」(平成29年1月ver1.0 IoT推進コンソーシアム総務省・経済産業省)、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(平成29年2月16日(平成30年7月20日更新)Q1-11、Q1-12)であろう。しかし、特に後者については、その内容はEUの情報保護機関(DPA)の基準をクリアできるとは思えない。

 また、前者についても一部で詳細な内容がある一方で最近話題になっているドライブレコーダやタクシー内部の監視カメラの法適用ガイドラインについては、全く言及していない。

(B)市町村レベルの遵守ガイドライン

 比較する意味で、札幌市、大阪市や相模原市(筆者注8)のガイドラインを参照してみた。ここでは、札幌市のガイドラインを抜粋、引用する。(筆者注3)~(筆者注5)で引用したようなEU加盟国のDPAの行政罰処分の適用の有無の判断にとって有用な内容と考えられよう。

更新日:2018年3月15日「札幌市防犯カメラの設置及び運用に関するガイドライン」

1)ガイドラインの対象となるカメラ及び画像

以下の3つの要件すべてに該当するカメラ

①不特定多数の者が利用する施設や場所に継続的に設置するカメラ

②施設管理、事故防止、防火・防災の予防を目的として設置するカメラ

③画像記録機能を備えているカメラ

2)設置目的の明確化及び撮影の範囲

3)管理及び運用の体制(防犯カメラ及び画像の適正な管理及び運用に係る責任者(以下「管理責任者」といいます。)を指定します。※管理責任者とは、防犯カメラ設置店舗の店長や警備責任者など、防犯上必要な業務を適切に遂行できる地位にあり、防犯カメラ及び画像の管理運用を行う者をいいます。

設置者又は管理責任者は、必要があると判断する場合には、防犯カメラの操作及び画像の取扱いを行う担当者(以下「操作担当者」といいます。)を指定し、それ以外の者による操作及び取扱いを禁止します。)

4)設置自体の表示

5)画像の適正な管理(画像記録装置の設置場所)

〇防犯カメラの画像記録装置は、施錠可能な事務室内など、一般の者が出入りできない場所に設置します。

〇画像の保管

画像を記録した媒体は、施錠可能な事務室内、事務室内の施錠可能な保管庫内などで保管します。

〇画像の保存期間

画像の保存期間は、原則として1ヶ月以内とし、保存期間を経過した画像は、速やかに消去します。)

6)画像の適正な利用

以下の5つの場合に限り、例外的に画像を目的以外に利用し、又は提供することができることとします。1から5のいずれかに該当する場合、設置者は、理由・日時・提供した相手先など、管理上必要な事項を記録しておきます。

〇法令に基づく手続により照会等を受けた場合

〇捜査機関から犯罪捜査の目的により要請を受けた場合。ただし、捜査機関が画像の提出を求める場合は文書による。

※個人に関する情報であることから、提出にあたっては、より慎重を期すべきであり、提出先等の記録を明確に残しておけるよう、文書(刑訴法197-2に基づく捜査関係事項照会書等)による依頼に基づくことが適当です。

〇個人の生命、身体又は財産の安全を守るため、緊急かつやむを得ない場合

(例)行方不明者の安否確認、災害発生時に被害状況を情報提供する場合など。

〇本人の同意がある場合

〇本人の請求に基づき、本人に提供する場合

7)苦情に対する迅速かつ適切な処理

(C)タクシーの顧客向け監視カメラ(ドライブレコーダー」)の設置ガイドライン

 平成28年12月1日付けで国土交通省自動車局安全政策課長 旅客課長名による 公益社団法人日本バス協会会長殿・一般社団法人全国ハイヤー・タクシー連合会会長殿・一般社団法人全国個人タクシー協会会長殿宛て通達「ドライブレコーダーの映像の適切な管理の徹底について:ドライブレコーダーの映像に関しては、乗客のプライバシーを十分に配慮した上で、社内規程の作成を含め適切な管理を徹底するよう、貴会傘下会員に対し改めて周知されたい。」を行った。これだけである。

 一方、東京都個人タクシー協会「車内防犯カメラ設置及び運用基準」の内容は、比較的に前述の防犯カメラのガイドラインの内容に即したものであり、参考になろう。

(D)個人があおり運転対策として設置するドライブレコーダの情報保護法上の遵守ガイドラインとは?

 ドイツではドライブレコーダーの情報保護法や著作権法に違反するとして証拠能力が否定されている。(筆者注9) わが国の解釈について筆者はあらためて調べたいが、特に撮影した内容をSNSなど広く第三者に公開するとなると肖像権やプライバシー侵害の問題は依然残ると考えるべきであろう。

*****************************************************************:

(筆者注1) インフォグラフィック(英語: infographics)は、情報、データ、知識を視覚的に表現したものである。インフォグラフィックは情報を素早く簡単に表現したい場面で用いられ、標識、地図、報道、技術文書、教育などの形で使われている。また、計算機科学や数学、統計学においても、概念的情報を分かりやすく表現するツールとしてよく用いられる。科学的情報の可視化にも広く適用される。(Wikipdiaから抜粋)

(筆者注2) ここではgdprの附則(ANNEX)にある中小・零細事業者の定義等には言及していない。筆者は別途オランダ法務省の法律訳作業を進めているが、そこで言及する予定である。

(筆者注3) EDPBのリリース要約記事「First Austrian Fine: CCTV Coverage - Summary 」を以下、仮訳する。

2018年9月12日に、オーストリアのDPAは、GDPRとオーストリアのデータ保護法の侵害について、最初の行政上の罰則を決定した。

 オーストリアのDPAは、画像処理システムにつきGDPR第4条7 項のビデオ監視における管理者(コントローラー)の意味の範囲内で、コントローラーとしてスポーツ賭博カフェを経営している有限責任会社に罰金を課した。対象となるカメラは少なくとも2018年3月22日以来使用されている。

 同コントローラーはDGPR第5条1項a. C, 第6条およびオーストリアのデータ保護法(DSG)のいくつかの規定に違反した。これらの管理上の違反により、管理責任者としての有限責任会社は、総額4,800ユーロ(約595,200円)の罰金が課された。

 保護法の侵害につきDPAは次のように言及している。1)ビデオ監視システムは公共の通りだけでなく、駐車場、スポーツ賭博カフェの入り口の前に公共のエリアの一部までをカバーしている。これは処理の目的にとって十分でなくまた必要な範囲に限定されない違法性を示す。2) コントローラーはビデオ監視処理操作のログを保持していない。3)ビデオ監視によって記録された個人画像データはオーストリアのデータ保護法で定められているように72時間以内に削除されず、この点に関して処理のための個別のログもなく、長期間の保存理由もない。それに加えて、4)コントローラーは撮影された地域はCCTV監視についての十分な説明看板を掲示していない。

 コントローラーは、この決定に対して連邦行政裁判所に苦情を申し立てた。

(筆者注4) オーストリアのDPA(DSB)によって発行された最高の罰金(日付:31.12.2018)は、4,800ユーロ(事業所における違法なCCTVビデオ監視:違法性の理由は次の通り。

公共スペースでの撮影、2)CCTV使用の指示表示がない、3)長すぎる撮影データの保管時間、4)処理操作のログ記録がない、5)匿名化の欠如、さらに6)ダッシュボードと自分の車の後部に取り付けられたドライブレコーダー(Dash-Cams)による道路交通の撮影でさえ、運転手にとって罰金につながった。まだ最終決定ではない決定(DSB-D550.038 / 0003-DSB / 2018)入手可能)。

なお、起業家の年間収入を考慮して、オーストリアのDPAは違法なビデオ監視活動に対して4,800ユーロの罰金を課した(オーストラリアのDPAの命令文の一部引用して仮訳した)。

(筆者注5) チャット・プラットフォームの約33万人のユーザーの個人データが侵害され、2018年9月にハッカーによってデータが公開された。データ漏えいに関する通知の一環として、プロバイダーはユーザーのパスワードが暗号化されていない形式で保存されていることを明らかにした。ドイツのバーデンヴュルテンベルク州のデータ保護当局(DPA)は、これを適切な安全対策を実施する義務の違反があったとみなし(GDPR第32条:Security of processing)、やや控えめな2万ユーロの罰金を課した。

 課される罰金の額を決定する際、DPAは特にプラットフォーム・プロバイダーが以下のことを考慮した。

•① 義務違反ん事実をDPAおよびデータ主体に法が定める期限内に通知した。

•② DPAに全面的に協力した

•③ データセキュリティの実装レベルを向上させる方法に関するDPAの勧告に迅速に従った.(2018.12.19 Baker Mckenzie LLPの解説記事仮訳した)。

(筆者注6) 「EY Japan」の解説が具体例を加えてあり比較的にわかりやすい。以下で、引用する。

「仮名化(Pseudonymisation)とは、個人を特定できる追加情報とは別に保管され、かつ技術的および組織的対策により、追加情報なしでは個人を特定できないように個人データを処理することを言います(GDPR第4条(5))。たとえば、ポイントカードの利用者の情報は、カードID、氏名、連絡先、生年月日を保有していますが、カードID以外の情報を削除して、カードIDのみを残した場合、これを仮名化といいます。仮名化されたデータは、それ単独では個人を特定できませんが、追加情報を使用すれば個人を特定できることから、仮名化されたデータは、個人データとして取り扱われます。

一方、匿名化(Anonymisation)は、特定の個人を識別できないように個人データを復元不可能な状態に加工することを言います。たとえば、小売店はポイントカードから顧客の売り上げデータを収集していますが、このデータを匿名加工して、商品メーカに提供しています。いつどの店でどんな商品を購入したのか、購買活動データから個人が識別できる情報を除外し、復元不可能な状態である場合、これを匿名化といいます。匿名化データは個人データに該当しないことから、GDPRの適用対象外となります(GDPR前文26項))」

(筆者注7) 2017年2月 個人情報保護委員会事務局レポート「匿名加工情報パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」参照。

(筆者注8) この2つの市のガイダンスを引用したのは内容的に見て充足していると判断したからである。

(筆者注9) ブログ「個人情報の侵害に?ドライブレコーダーに関する議論高まる」でドイツの裁判所の以下の判決例が紹介されている。

証拠品としては無効。ドイツの「法」という存在

しかし、ミュンヘンの裁判局は「レコーダーで撮影したビデオは証拠品にはならない」と、車載カメラのレコーディングの有効性を否定しました。その理由として挙げられたのは、「特定の理由がないまま交通を継続的に監視及び録画するという行為は個人情報保護法と著作権侵害に触れる」とのことでした。

つまり、映っている人・モノに対して許可をなく撮影することは、プライバシー侵害であるということ。確かに、ドライブレコーダーというものは運転している間は事故があろうとなかろうと断続的に撮影をしているわけです。事故というのは予想できないからこそ、こういったものが役に立つわけですが、「密かに撮影する」というのは、個人法やこの情報に対する自己決定権を著しく侵害するものであると、ドイツはNOサインを出しました。

****************************************************************************************************:

Copyright © 2006-2019 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 


コメント    この記事についてブログを書く
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする
« イタリアGaranteが違法なテレ... | トップ | 連邦主要行政機関の機能不全... »
最新の画像もっと見る

コメントを投稿

個人情報保護法制」カテゴリの最新記事