2016年11月のブログ記事一覧-Financial and Social System of Information Security

「カリフォルニア州は、2017年1月1日から個人情報漏洩時の通知義務法の一部改正法案AB2828を可決、施行」

2016-11-19 14:01:05 | プライバシー保護問題

　米国のローファームJeffer Mangels Butler & Mitchell LLP (JMBM)から「カリフォルニア州は、2017年1月1日から個人情報漏洩時の通知義務法の一部改正法案AB2828を可決、施行」という記事が届いた。

　カリフォルニア州は、2002年に米国で初の「データ漏洩通知法」 (注1) (注2)を可決して、その法律がアメリカ合衆国にデータ保護法の最前線に残ることを確実とするために、一貫して働いてきた。ジェリー・ブラウン州知事が法案AB 2828 （エド・チャウ(Ed Chau)議員が法案を起草）に署名したとき、カリフォルニア州は2016年9月13日に、この評判をさらに磨き上げた。この法律は、危殆化した個人情報を持つ企業の告知の必要条件に重要な変化をもたらすことによって、カリフォルニア州の「データ漏洩通知法（民法典1798.82条ほか）」を一部改正したものである。

　AB 2828の改正前には、カリフォルニア州は他の大部分の州と同様、「暗号化された」情報が漏洩されたことを明らかにすることを企業に要求していなかった。AB 2828(注3)は、暗号化されたデータがその個人情報を読めたり使用が可能となる「暗号化キー(encryption key)」または「セキュリティ証明書(security credential)」と共に漏洩したときは、暗号化された情報が無権限の漏洩にあたるとして、2017年1月1日付けでその漏洩を通知することを企業に要求するものである。

　今回のブログは、カリフォルニア州司法省のリリースとJMBMのブログ記事を集約したかたちでまとめた。いずれにしても、IT技術の変化は激しい。迅速な法改正の例として、紹介するものである。

１．従来の法律の暗号化データにおける通知適用の例外規定(いわゆるセーフ・ハーバー規定)の問題

　暗号化された個人データに関する通知義務法の例外規定は、従来のカリフォルニア法の一部であった。しかし、それには潜在的に重大な欠陥があった。

　たとえば、ハッカーや他の犯罪者によって閲覧可能であったり、暗号化されたデータの暗号化キーが明らかになったとしても、企業は漏洩通知を影響を受けた個人にその旨の情報を提供する義務はなかった。換言すると、暗号化された情報が、実際は閲覧可能であったとしても、企業はその漏洩に事実を報告することは要求されていなかった。その結果、個人情報の漏洩が明らかにされなかった一部の個人が通知を受け取り、彼らの金融取引情報またはアイデンティティを保護するために適切な処置をとることはできなかった。

　米プライバシー問題擁護団体である「電子フロンティア財団(Electronic Frontier Foundation：EFF」は、AB 2828を支持して、「AB 2828は、カリフォルニア州の現行のデータ漏洩通知義務法の重要な隙間を埋めた。不注意にも、解読パスワードを端末機器に付けたメモに加えて、泥棒は暗号化されたラップトップ自体を盗むかもしれない。または、泥棒は遠隔で暗号化されたデータを盗むかもしれず、セキュリティ証明書を得るために、後でソーシャル・エンジニアリング (注4)を使うかもしれない。これらと多くの他の状況では、不正行為者は、暗号化された個人情報とその暗号化データを解読する力を身につける。そのような状況では、データ主体である人々は、彼らが個人情報を不正使用している不正行為者の危険にさらされていると通知されなければならない」と述べた。

２．カリフォルニア州司法省・司法長官サイトにみるデータ保護漏洩通知に係る法改正、施行と企業の新たな取組み課題

(1) 改正法の内容

　カリフォルニア法は無権限の第三者が得たか、または得たと合理的に信じうる暗号化されていない個人情報についてすべてのカリフォルニア州の住民にでも通知することをビジネス企業または州機関に要求する（カリフォルニア州民法典1798.29条(a)［州の機関についての規定］ (注5)、およびカリフォルニア州民法典1798.82条(a)［個人または企業についての規定］ (注6)参照。

(2) ビジネス事業者へのさらなる挑戦的課題

　今回の漏洩通知法の一部改正は、企業にとって挑戦的な内容である。データ漏洩は「都合のいい」時間にめったに起こらない。そして、企業は、実際開示すべき一連の出来事かどうかを決定するために各種問題に対処しなければならない。

　とりわけ、企業はどんな情報が敵陣からこっそり脱出されたかについて決定しなければならない。すなわち、1)被害者である個人の位置(location)はどこか、2)規制・監督機関および法執行当局にどのような通知を行うべきか、3)サイバー保険会社から求められる内容はどのようなものか、4)どのように、漏洩は修正されるべきか、などである。

　企業は、漏洩事件の処置の経験がある弁護士、技術専門家、広報関係の支援者、ならびにしばしば規制面の要件などの考慮すべき事項につき迅速に取り組まねばならない。同時にこれらの仕事は、大きなプレッシャーのもとで達成されなければならない。たとえ同社が特定のタイミング要求を受けなかったとしても、企業はすぐに彼らの顧客、従業員や他の影響を受ける人に通知するよう努めなければならない。

　データ漏洩はめったに明らかとならないし、あるいは明確でない点を思い出されなければならない。最も難しい仕事の1つは、ある程度の信頼度をもって、どんな情報が漏洩したかを決定することである。ハッカーや他の悪人どもは、彼らの行動を隠すためにしばしばいろいろな処置をとるので、情報の個々の部分を決定するのが簡単でない場合がある。企業が「データ・キー」や「管理の証明書」が危うくされたかどうかを直ちに決定することができるかどうかは疑わしいといえる。

　IT分野における異なる脅威（ransomware (注7)、lockerware (注8)、スピアー・フィッシング(spear phishing) (注9)など）の拡大は、AB 2828によって強要される変化と組み合わされた。回避不能なデータ漏洩に備える必要を補強すべきである。潜在的セキュリティ隙間を確認して、データ漏洩を防止するために最高の実践を行うためスタッフを教育訓練して、効果的データ漏洩プロトコルが存在することを確実しておくことは、法令遵守と不遵守の差となる。

(3) 漏洩通知の具体的要件や具体的様式など

　セキュリティ・システムの１回あたりの違反の結果として500人以上のカリフォルニア州の住民にセキュリティ違反通知書を交付することを要求されるいかなる個人またはビジネス企業は、個人識別情報を除き、そのセキュリティ違反通知につき１つの見本コピー形式により、州司法長官に電子的に提出しなければならない（カリフォルニア州民法典1798.29条(e)［州の機関の場合］ (注10)、およびカリフォルニア州民法典1798.82条(f) (注11) ［個人またはビジネス企業の場合］）

A.あなたがビジネス企業または州機関である場合

データ保護違反通知サンプルを提出するために、司法省のオンライン・フォームを使ってください。

(一部抜粋)

B.あなたが州の居住者である場合

　州民は司法省事務局に提出されて発表されたデータ漏洩事件をオンライン検索しうる。また、司法省への漏洩事実の告発様式により連絡しうる。

a)司法省事務局に提出され公表されたデータ漏洩事件の検索画面

(一部抜粋)

B)州民の漏洩事故に関する司法省へのオンライン告発登録画面

(一部抜粋)

*****************************************************************************************************

(注1) 改正法案(SB.1386：PEACE法案)は2002年9月25日に成立、施行は2003年7月1日施行された。

Senate Bill No. 1386は、カリフォルニア州の民法典第915節に1798.29条,1798.82条および1798.84条を追加する法案である。米国内で個人情報の漏洩時のデータ主体などへの通知義務を初めて定めたものとして有名である。

(注2) 1事件あたりの漏洩通知の対象は、被害者数は500名以上の場合である。1798.29.条 (e) がその根拠規定である。

(e) Any agency that is required to issue a security breach notification pursuant to this section to more than 500 California residents as a result of a single breach of the security system shall electronically submit a single sample copy of that security breach notification, excluding any personally identifiable information, to the Attorney General. A single sample copy of a security breach notification shall not be deemed to be within subdivision (f) of Section 6254 of the Government Code.

(注3) AB2828法案の要旨(SUMMARY)原文を引用する。

Expands data breach notification law, which currently requires consumer notice for compromised unencrypted personal information, to include encrypted information if the encryption keys have also been compromised. Specifically, this bill:

1)Requires a public agency, person, or business that owns or licenses computerized data that includes personal information to notify any California resident whose encrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person, if at any time before or after the breach the encryption key or security credential has, or is reasonably believed to have been, acquired by an unauthorized person.

2)Defines "encryption key" and "security credential" to mean any information that could be used by an unauthorized person to access or decrypt encrypted personal information contained in a data system.

(注4) ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。ソーシャル・ワークとも呼称される。あるいはプライベートな集団や政府といった大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究する学問である(社会工学)。元来は、コンピュータ用語で、コンピュータウイルスやスパイウェアなどを用いない（つまりコンピュータ本体に被害を加えない方法）で、パスワードを入手し不正に侵入（クラッキング）するのが目的（Wikipediaから抜粋、引用)

　次のような解説例もある。「人をだましてある行動をさせたり、内密の情報を漏らさせたりすること。通例、だます側とだまされる側が面と向かうことはなく、電話で別人になりすましたり、うその電子メールを送ったりすることをいう」

(注5) CALIFORNIA CIVIL CODE　1798.29.条(a) の原文を引用する。

(a) Any agency that owns or licenses computerized data that includes personal information shall disclose any breach of the security of the system following discovery or notification of the breach in the security of the data to any resident of California whose unencrypted personal information was, or is reasonably believed

to have been, acquired by an unauthorized person. The disclosure shall be made in the most expedient time possible and without unreasonable delay, consistent with the legitimate needs of law enforcement, as provided in subdivision (c), or any measures necessary to determine the scope of the breach and restore the reasonable integrity of the data system.

(注6) CALIFORNIA CIVIL CODE　1798.82.条(a) の原文を引用する。

(a) A person or business that conducts business in California, and that owns or licenses computerized data that includes personal information, shall disclose a breach of the security of the system following discovery or notification of the breach in the security of the data to a resident of California whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person. The disclosure shall be made in the most expedient time possible and without unreasonable delay, consistent with the legitimate needs of law enforcement, as provided in subdivision (c), or any measures necessary to determine the scope of the breach and restore the reasonable integrity of the data system.

(注7) ランサムウェア（Ransomware）とはマルウェアの一種である。これに感染したコンピュータはシステムへのアクセスを制限される。この制限を解除するため、被害者はマルウェアの作者にransom（身代金）を支払うよう要求される。数種類の形態のランサムウェアは、システムのハードディスクドライブを暗号化し（暗号化ウイルス恐喝）、また他の幾種類かは単純にシステムを使用不能にし、ユーザーに対して身代金を支払うようにそそのかすメッセージを表示する。(Wikipediaから一部抜粋)

Ransomware is a type of malware that prevents or limits users from accessing their system, either by locking the system's screen or by locking the users' files unless a ransom is paid. More modern ransomware families, collectively categorized as crypto-ransomware, encrypt certain file types on infected systems and forces users to pay the ransom through certain online payment methods to get a decrypt key.(Trend Microの解説 )

(注8) CryptoLockerについて多くの解説があるが、あえてKasperskyのサイトをリンクさせる。

　なお、対抗策なども記載されている。

2016.11.2 Kaspersky「How to protect against the CryptoLocker malware」

CryptoLocker is a malware which encrypts files on a computer and demands ransom for decrypting them. Files (documents, images, videos, etc.) are encrypted with a complex cryptographic code, which requires a key located on the malefactors' servers. As a rule, the ransom must be paid within the certain period of time, after which the decryption code claims to be deleted from the servers and restoring the files becomes impossible.

(注9) 「スピア・フィッシング」とは、特定の人物を狙い、偽のメールを送ったりウイルスを仕込んだりしてパスワードや個人情報などを詐取する詐欺。もとは魚釣りの用語で、銛（もり）や水中銃で魚を突き刺す釣り方のこと。

　大手銀行のオンラインバンキングなど有名なサービスの不特定多数のユーザを狙う通常のフィッシングとは異なり、対象の素性を調査した上で、その個人に合わせた手法が個別に考案されるのが特徴である。例えば、大企業の支店に勤務する社員に「本社の情報システム部の者だが調査に必要なのであなたのパスワードを教えてほしい」といったメールを送り、だまされた社員から聞き出したパスワードを使ってその企業のネットワークに不正侵入するといった手が使われる。他にも、上司や取引先に成りすまして業務上の機密情報や知的財産を詐取するといった事例が報告されている。(IT用語辞典　から一部抜粋)

(注10) 1798.29条(e)［州の機関の場合］の原文を引用する。

(注11) 1798.82条(f)［個人またはビジネス企業の場合］の原文を引用する。

(f) For purposes of this section, “breach of the security of the system” means unauthorized acquisition of computerized data that compromises the security, confidentiality, or integrity of personal information maintained by the agency. Good faith acquisition of personal information by an employee or agent of the agency for the purposes of the agency is not a breach of the security of the system, provided that the personal information is not used or subject to further unauthorized disclosure.

************************************

ロシア連邦第一審裁判所はLinkedInがロシアの個人情報国内保持法の不遵守のためにロシアへのアクセス遮断を命じた(その2完)

2016-11-06 15:09:41 | プライバシー保護問題

○ロシアのNGO「Internet Defense Society」代表のレオニード・ボルコフ(Леонид Волков:Leonid Volkov)は、Roskomnadzor（それはフェイスブックとツイッターのような会社との定期的な会議を開く）がデータ・ローカリゼーションのその交渉している位置を改善しようとしているように提案している。

photo: レオニード・ボルコフ(Леонид Волков:Leonid Volkov)

「Roskomnadzorは、フェイスブックやツイッター以外の誰かをブロックすることができることを示したいのである。しかし、彼らはフェイスブックをブロックすることが決してできない。

○この２人のアナリストは、LinkedInがその「二流企業(second tier)」ステータスのために選ばれた点で同意した。2015年現在、合計4億になるロシアのソーシャルネットワークに対し、LinkedInのユーザー数はわずか500万人の登録されただけであった。

　ボルコフは、「もし、監視機関がWhatsAppの利用を妨げる(アクセス遮断等)ならば、市民の抗議がメイン通りで起こるであろう。あなたが、選挙の前にそうすることができない。LinkedInは人気がない、そしてそれはロシアでは理解されないが、国際的には重要な問題である。」と述べた。

　LinkedInのこのような動きは、同社のRoskomnadzorとの弱い関係からも生じるかもしれない。報道官アムペロンスキーによると、「Roskomnadzorは、多種多様な問題を議論するために、少なくとも年に２回フェイスブックやツイッター幹部と会う。これらの会社がとっている手順はRoskomnadzorを条件を満たし、その結果、Roskomnadzorはこれらの会社に対する制裁を計画していない。

　他方、LinkedInはLinkedInはRoskomnadzorからの2通の手紙に反応することなく、またモスクワに代表部を持っていないため、Roskomnadzorに対し、ロシア国内でのユーザ・データを局所化することに関する情報を提供しなかった」と述べた。

　しかし、モスクワ・タイムズへの正式な声明において、LinkedInはそれがデータの国内保持法についてRoskomnadzorと「接触しつつあったが、しかし、会う時間があたえられなかった」と述べた。

Roskomnadzorの動きの理由に関係なく、アナリストはLinkedInがきっと妨げられると思っている。しかし、メディア番犬の次の歩みは、まだ不明である。

　フェイスブックにおいて、ロシアの人権活動家パーベル・チコフ(Pavel Chikov)は、LinkedInの禁止が世界的なインターネットからのロシアの段階的な退出の第一歩として用いられる「最悪のケース・シナリオ」を概説した。アンドレイ・コンニヤは、Roskomnadzorが他の「二流企業」のソーシャルネットワーキング・サイトを目標ともするかもしれないことを示唆した。

　photo:Pavel Chikov

　ボルコフは、LinkedInへの攻撃が交渉するためにフェイスブックのような一流のプレーヤーに圧力をかけることを目的とすると信じている。しかし、Roskomnadzorがフェイスブックをブロックするというこの無言の脅迫で配達することが決してできない時から、彼は他の会社のために本裁判の意味が明白であると述べる。

(2)Hogan & Lovells Blog「ロシアの連邦第一審裁判所は”LinkedIn”がロシアの個人情報地域内保持法の不遵守のためにロシアへのアクセス遮断を命じた (Russian Court Decrees LinkedIn Blocked in Russia for Non-Compliance with Data Localization Law)」を仮訳する。

　前述した部分と重複する事実の文章の解説は略す。筆者の責任で言葉を補足した。

○メデイアからのインタビューにおいて、Roskomnadzorは、「LinkedInがプライバシーとユーザ・データの安全性を含むいくつかの最近の事件のために同監督機関の注意をひいた。同機関は、LinkedInの保護法の遵守状況に関する情報を得るために2つの警告要請文をLinkedInに送信したが、回答がなかった。Roskomnadzorは、LinkedInにはロシアで法律上の拠点(法人格)がないので、ロシアの市民のプライバシー権を保護するために解決方法としてロシアでアクセスを阻止させるべく裁判を起こした」と述べた。

○LinkedInは、インタビュで「自社のデータのローカライゼイションについてRoskomnadzorと接触したが直接会う時間は与えなかった。」LinkedInは裁判でも最初の審問に出席しなかった。LinkedInのウェブサイトは控訴手続き中はロシアで実際にブロックされなかった。そして、それは2016年11月10日に控訴審で審問される。

○この法施行は、計画された調査を通じて法令遵守の点検を行うというRoskomnadzorのより秩序立った取り組みに加えて、同時に法令布遵守の報告に基づく法施行の目標を選ぶことを証明した。さらに、それは、法施行の目標の1つが外国のプロバイダーを含む消費者オンラインサービスであるという確信を補強するものである。

３．ロシアの連邦司法システムの概要

ロシア連邦最高裁判所(Верховный Суд Российской Федерации)のロシア連邦の司法制度概観解説「Overview of the Judicial System of the Russian Federation 」(英語版) を仮訳する。なお、Wikipediaの解説「Judiciary of Russia」もあわせ引用した。

　ロシア連邦・司法情報局(PRSI)のロシアの司法制度概要図

体系的な理解に資するため、筆者が次のとおり一覧にした。

連邦最高裁の大法廷

○「連邦憲法裁判所(Конституционный суд Российской Федерации))」の主要任務は、すべてのレベルの規範的な合法的行為の合憲性に関して訴訟を解決することである。ロシア連邦の構成体の憲法（憲章）裁判所は、ロシア連邦の構成体の規範的な合法的行為の固守すべく連邦憲法（憲章）をチェックする。

「連邦最高裁判所(Верховный суд Российской Федерации)」は、「一般的な管轄権を持つ裁判システム」と「商業裁判所システム」のトップに位置する。最高の司法機関として、最高裁判所は、唯一の裁判所（第一審、控訴裁判所、破棄裁判所またはこれらの監督にあたる。同裁判所は、下級裁判所の活動のをコントロールするとともに、国内の法律の均一な適用を保証するために、裁判実務の諸問題に関して、彼らに明確な指針を与える。

○地方裁判所は、一般的な管轄権の法廷のシステムの基本的な要素である。これらの法廷は、大部分の民事(коллегии по гражданским)、刑事(коллегии по уголовным)、および行政(коллегии по административным)の訴訟を取り扱う。

　若干の事件では、ロシア連邦の構成体の裁判所によって、第一審として取り扱われる。さらに、そこれらの裁判所は、地方裁判所と相対して控訴事件(Апелляционная коллегия)を審理する裁判所として機能する。

　事件のカテゴリーに従い、ロシア連邦の構成体からなる裁判所の幹部会またはロシア連邦の最高裁判所の対応する裁判官会議(Президиум Верховного Суда Российской Федерации)は、破棄裁判所として機能する。

○一般的な管轄権の法廷のシステムの範囲内に専門的な軍管区裁判所(Военной коллегии)がある。そこでは、駐屯軍レベルおよび軍の周遊（艦隊）のレベルが対象となる。

○「商業(仲裁)裁判所(арбитражный суд;)」は、起業家活動や他の経済活動の範囲で裁判を行う。商業裁判所システムは、① ロシア連邦（第一審）、②控訴事件を審理する商業裁判所（控訴事件審理）、③巡回商業裁判所（破棄裁判所）の3つの要素から成る。

商業裁判所システムの範囲内で「知的所有権」を扱う専門法廷がある。

○治安裁判所(мировой суд)は、民事事件では紛争額が50,000ルーブル(約８万円)以下で、また刑事事件では最大の可能性がある罰則が3年の拘禁刑の場合、また同様の複雑性を持った事件を扱う。治安判事の決定に対する控訴の訴えは、地方裁判所によって審理される。

****************************************************************************

ロシア連邦第一審裁判所はLinkedInがロシアの個人情報国内保持法の不遵守のためにロシアへのアクセス遮断を命じた(その１)

2016-11-06 14:29:43 | プライバシー保護問題

　10月25日、ロシアの独立系ビジネス新聞「コメルサント(実業家；ビジネスマンの意味)(Коммерса нтъ：Kommersant.ru)」は、LinkedIn(LinkedIn（2003年5月にサービスを開始した世界最大級のビジネス特化型ソーシャル・ネットワーキング・サービスおよび同サービスを提供するアメリカ合衆国カリフォルニア州シリコンバレーの企業。2014年8月現在の登録ユーザーは全世界で3億1300万人を超え、日本では、現在100万人以上が会員登録をしている)がロシア・モスクワ市の第一審タガンスキー地方裁判所(Тага́нский райо́нага́нский райо́н:Tagansky)が、2016年8月に「改正個人データに関するロシア連邦法(Federal Law No. 242-FZ 2014 ) (注1) (後述する「データ・ローカライゼイション法(ロシアの個人情報国内保持法)」)に違反したとしてロシアのインターネット利用者からLinkedIn接続を遮断する旨のロシアのデータ保護庁（Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций：Roskomnadzor） (注2)の告訴にもとづき、今回の罰則的措置を科したとのニュースが届いた。

　同法は、ロシア国内のその個人データを格納するためにロシアの市民から個人データを集めたウェブサイトやその他の企業を対象とする。第一審の地方裁判所に訴えが係属し、今回の訴えはロシアの通信・情報技術・マスコミュニケーション監督庁である原告Roskomnadzorの勝訴であったが、被告の控訴に係る審理は2016年11月10日に行われる予定である。

　同裁判で、Roskomnadzor (注3)は、LinkedInの行動が他の一般的なロシアのデータ・プライバシー法に加えてデータ・ローカライゼイション法の規定に違反した（たとえば登録プロセスが完了する前に、彼らの同意なしで非使用者から個人データを集めること等）と主張した。これらの法律違反への処罰は、1)罰金によるか、または2)ロシアのインターネット利用者からウェブサイトを遮断することによって罰するという規定があり、今回、Roskomnadzorは後者の罰則を求めたものである。

　今回のブログは、(１)ロシアの個人情報保護法制及び規制・監督機関の概要(わが国の総務省の資料の訂正も含む)、(2)米国のGoogleやFacebook等その他の大手ＳＮＳプロバイダーの保護法違法問題はないのか、ロシアの人権擁護団体の見解は如何、(3) 最後にわが国等でも正確な解説が皆無であるロシアの現行の司法制度につき、ロシアのRAPSI(国家司法情報局)等の解説資料等にもとづき概観しておく。

　なお、今回はあえて正面から取り上げなかったが、ロシアの人権問題、特にIT監視社会問題 (注4) は、例えば本ブログの読者がロシアの連邦機関のウェブサイトにアクセスしたときの自身のPCにインストールしているセキュリティ・ソフトの反応を見れば一目であろう。機会を見て改めて取り上げたい。

　今回は、2回に分けて掲載する。

１．ロシアの個人情報保護法制および保護にかかる連邦規制・監督機関の概要

　わが国の解説として一般的に引用される資料は、以下の総務省の解説であろう。

「ロシア連邦「通信・情報技術・マスコミ監督庁（The Federal Service for Supervision of Communication, Information Technology, and Mass Media：ROSKOMNADZOR）」

Federal Service for Supervision of Communications, Information Technology, and Mass Media.

所掌事務：電気通信分野を直接的に監督する規制当局。事業者への免許付与、周波数割当、電波利用料の設定等を所掌する。」

　ところが、筆者が独自に調べた限り、これはかなり正確性を欠く内容である。今回の改連邦保護法(いわゆる「データ・ローカライゼーション法」)違反につき、なぜROSKOMNADZORが告発したかが見えない。関心が弱いせいか調査内容が曖昧な理由は不明であるが、わが国の研究者の怠慢でもあろう。

　以下の内容は、ロシアの通信・情報技術・マスコミ監督庁である「ROSKOMNADZOR」のサイトをもとに筆者が仮訳したものである。

＊ROSKOMNADZORサイトの訳文

通信・情報技術・マスコミ監督庁（Roskomnadzor）は、(1)電子メディアとマスコミュニケーション、情報技術と電気通信を含むメディア全般に対し監督責任があり、(2) 処理される個人データの守秘性を保護する法律の遵守状況を監視すること、(3)無線周波数サービスの仕事を組織化することに責任を負う連邦行政機関である。

(1)ロシア連邦「通信・情報技術・マスコミ監督庁（The Federal Service for Supervision of Communication, Information Technology, and Mass Media：ROSKOMNADZOR）」のHP(英語版)

photo:ROSKOMNADZOR長官：アレキサンダー・ジャーロフ(Жаров :Александр Александрович:Alexander Zharov))

＊ROSKOMNADZORの設置根拠法

THE GOVERNMENT OF THE RUSSIAN FEDERATION REGULATION

No. 228 of March 16, 2009 ON THE FEDERAL SERVICE FOR SUPERVISION OF COMMUNICATIONS, INFORMATION TECHNOLOGY,AND MASS MEDIA 11/4(20)

(2)2015年「連邦データ・ローカライゼーション法(No. 242-FZ)」2014年7月21日大統領署名

　原文(英語版)は「Federal Law No. 242-FZ of July 21, 2014 on Amending Some Legislative Acts of the Russian Federation in as Much as It Concerns Updating the Procedure for Personal Data Processing in Information-Telecommunication Networks (with Amendments and Additions)」である。

　ジェトロの解説文(注5)があるが、今回の地裁判決の内容を正確に理解するには不十分である。経済産業省の委託調査報告(委託先：デロイトトーマツリスクサービス株式会社)が、わが国では具体的な内容といえるので、ここであえて抜粋、引用する。なお、筆者の責任で連邦法等にリンクを張った。

「2.2.2. ロシア連邦：

個人データ保護・プライバシー保護法の整備状況

(1)ロシア連邦では、「N152－FZ 2006年7月27日の個人データに関する連邦法」（以下、「個人データに関するロシア連邦法」という。） (注6)が包括的な個人データ保護・プライバシー保護法として整備されている。同法では、ロシア国外に個人データを移転するには、原則として個人データが十分に保護されているとロシア政府が認めた国である必要がある。

「The Order No. 274 of March 15, 2013, of Roskomnadzor」（registered by the Ministry of Justice of the Russian Federation on April 19, 2013; registration number 28212）によれば、ロシア政府が個人データを十分に保護していると認めた国は、47ヵ国とされている。

　また、個人データが十分に保護されているとロシア政府が認めていない場合には、データ主体が同意している場合、ロシアが批准した国際条約に基づく場合、連邦法に基づく場合、契約を履行するために必要な場合、データ主体から書面による同意が得られない場合であって、かつ、重要な権益を保護するために必要な場合にのみ、ロシア国外への越境移転が認められる。

改正個人データに関するロシア連邦法の概要

(2)ロシア政府は、個人データに関するロシア連邦法を改正し、2015年9月1日に施行した。

　改正法は、ロシア国民の個人データを収集するウェブサイトの運営者を対象に、データの保存、修正、更新などに使用するデータベースをロシア国内に設置しなければならないと定めている（第18条5項）。加えて、事業者が同改正法に違反した場合には、規制当局は違反した事業者のドメインに対するアクセスを遮断するようISPに対して命令することが可能となっている（第23条3項）。」

(平成28年3月「我が国経済社会の情報化・サービス化に係る基盤整備事業」（越境データフローに係る制度等の調査研究）報告書　経済産業省（委託先デロイトトーマツリスクサービス株式会社）)から一部抜粋。

　なお、ロシア連邦の外部監督機関である通信・マスコミュニケーション省（Roskomnadzor）は、少なくとも2016年1月までの間は、一部の米国企業に対して改正法の遵守状況を調べない意向であることを示していた。

(3)モスクワ・タガンスキー地方裁判所の判決原本

　仮訳は略す。

２．LinkedIn判決をめぐる解説記事例

　主な２つの解説記事を仮訳する。なお、一部記事内容に重複があるが、あえてそのまま記載した。

(1)10月26日付けモスクワ・タイムス記事「LinkedIn Under Attack in Russia: What's Next? ：Russia's media watchdog takes aim at one of the world's largest social networks」

　以下、記事に即して仮訳する、なお、メデイア記事であるがゆえに伝聞記事の部分が気になるが、事実関係に関する点もあるのであえて加工しなかった。

○中国では、LinkedInは中国政府によって禁止されない唯一の主要なソーシャル・ネットワークであった。同社の経営陣は、規則によってプレーして、政治的に好ましくない内容を検閲することに同意した。皮肉にも、ロシアで、LinkedInは、規則に違反しないようもてあそばないためにクレムリン・メディアの番犬Roskomnadzorによって禁止される最初のソーシャル・ネットワークとなった。

○それは、LinkedInはその保有するユーザ・データをロシア国内にあるサーバーに格納するためにロシアの市民の個人情報を処理することをインターネット会社を義務づけた2014年の連邦法を遵守していないという理由で訴えられたが、モスクワの控訴裁判所がRoskomnadzorに味方して、ソーシャルネットワーキング・サイトをブロックするという下級裁判所の決定を支持するならば、11月10日に何が起こるであろうか。

○LinkedInに対するRoskomnadzorの動きは、1つの単純な理由から関係者に驚きをもたらした。

多くのソーシャルネットワーク・サイトは、ロシアの市民のユーザ・データを収集、処理し、共有する。しかし、フェイスブックでもない、ツイッターでもない、WhatsAppでもない誰もが、実際に2014年の連邦法には従えないし、また、多くのアナリストは同法は強制しえないと思っていた。

メディア監視者Roskomnadzorは、裁判においてセキュリティ問題を起こした同社の歴史への反応にもとづき、LinkedInのターゲティングとして告訴した理由を説明した。LinkegInサイトは、2012年に640万のユーザー名とパスワードが盗まれた大きいのハッキング事件を引き起こしたがゆえに悪名高い。

○Roskomnadzorの報道官であるヴァデム・アムペロンスキー(Vadim Ampelonsky) はモスクワ・タイムズに「彼らには悪い実績があります。毎年、ユーザ・データの安全性をめぐる大きなスキャンダルがある」と述べた。

photo: Вадим Вячеславович ：Ампелонский (Vadim Ampelonsky)

　しかし、多くのアナリストは、今回の裁判がどう見てもこれまで試されてない2014年の保護法が実施されることを証明することを目的とした世論操作のための裁判であると主張する。

　ロシアでは、多くは法律が2011-2012年のモスクワ路上での抗議活動への反応として実装されたことを示唆した。そこにおいて、ソーシャル・ネットワークがコミュニケーションの主役を演じた。Roskomnadzorはソーシャル・ネットワークに対しより大きな支配を望むが、これまで、機能できる新しい法律を制定できなかった。

○アンドレイ・コンニヤ（Андрей Коняев ： Andrei Konyaev)（人気がある科学ウェブサイトN+1のエディタ）は、「管理できないのならRoskomnadzorは監督機関でありえない.。これは、国内の消費に関し、Roskomnadzorが機能していることを示すことを目的としたものである」と述べた。

○アンドレア・アレキシーエフ・ソルヴァトフ(Andrei Alekseyevich Soldatov (Андрей Алексеевич Солдатов)(Internet Defense Society NGOの代表）は、この問題につき次のように述べた。

photo:(Андрей Алексеевич Солдатов：Andrei Andrei Alekseyevich Soldatov )

******************************************************************************************

(注1) Baker & McKenzie　LLP「ロシアにおける個人情報保護の強化：ロシア国内のデータベース使用が、2015年1月1日から義務付けられる見通し」が詳しく解説している。

(注2) 改正個人データに関するロシア連邦法(Federal Law No. 242-FZ 2014 )　を参照されたい。

　なお、ロシアの個人情報保護法（Federal Law on Personal Data, No.152-FZ, July 27, 2006）個人情報取扱者の義務や安全管理措置に関する規定を定めている。

(注3) Roskomnadzor1設置の法的根拠参照。

(注4) ロシアのIT監視社会問題の記事の例として2016.2.3 global voices記事「 ISPs Take Kremlin to Court Over Online Surveillance」等が参考になる。

(注5)「データローカライゼーション法」は、ロシア個人情報保護法を含む3つの連邦法の改正法として、2015年9月1日に施行された。同改正法では、ロシア国内の事業者（外資系企業の現法、支店および駐在員事務所を含む）および海外の事業者であっても、ロシア国内向けのウェブサイトを通じて個人情報を収集する者は、ロシア国民の個人情報をロシア国内のサーバー等で保存、保管しなければならないこと、ならびに、ロシア国内の事業者は、個人情報（ロシア国民のものであるか否かを問わない）を処理するサーバーの場所を通信・情報技術・マスコミュニケーション監督庁（Roskomnadzor）に通知しなければならないことなどが定められた。(ジェトロ「外資に関する規制」から一部抜粋)。

(注6) 同改正法の英語版をMORRISON & FOERSTER LLPが作成している。

*********************************************************************************

FCCはブロードバンド・インターネット接続サービス・プロバイダーのプライバシー規則を制定

2016-11-02 12:38:52 | プライバシー保護問題

photo:Tom Wheeler

　2016年10月27日に、米国・連邦通信委員会（FCC：委員長：トム・ウィーラー（Tom Wheeler））は、同4月1日にブロードバンド・インターネット接続サービス・プロバイダー（Broadband Internet Access Service providers：以下「BIASプロバイダー」という） (注1)の顧客のプライバシー実務慣行を統治するために大いに期待された「規則制定提案告示(Notice of Proposed Rulemaking (以下「NPRM」という」(全147頁)を発表、コメントを求めた結果にもとづき、その後の検討、関係団体等から指摘をふまえた最終規則を採択した旨、リリースした。

　3-2のFCCの投票結果で、FCCは顧客データのインターネット・サービス・プロバイダーの個人情報の収集と使用方法等を決定する新しい規則を承認した。最大の影響は、プロバイダーが以前は顧客の事前許可なしで集めることができたデータの収集、共有見ついて、事前に肯定の同意を得るいわゆる「オプト・イン」が必要である場合を明記した点である。

　10月始めに公表したFCCの概況説明では、FCCは新しいプライバシー規則はアプローチ内容を、従来FTCによって使われるものと類似して作ることを目的としたと述べた。しかし、関係者の一部はFCCはFTCが積極的に取り組んできた内容に比べあまりに遠くに向きを変えたことを批判する。

　今回のFCC規則は、機微情報(sensitive data)のカテゴリーに分類されるデータの使用、共有につき「オプト・イン」による同意を義務づける。さらに、FCCは機微情報として「金融取引データ」や「地理位置情報データ」を含むことに加えて、「ウェブ・ブラウジング(Webブラウザを利用してWebサイトなどを閲覧すること)」や「モバイル・アプリ」の使用データも「機微」情報にあたると定めた点で、今回のFCC規則は従来のFTCのアプローチとは異なる。また、FCCは同規則において「漏洩時のステイクホルダーへの通知」義務、「収集と使用」に方針の目立つ通知内容、データセキュリティの実践の必要条件を明記するとともに、「オプト・イン」の例外をも規定した。(以上の解説は、2016.10.31　Data Law Insights「FCC approves privacy rules for broadband providers」を仮訳した)

　筆者は、2015年4月21日ブログ「米AT&Tは連邦通信委員会と3コールセンター従業員による個人情報の違法アクセス責任につき2,500万ドルで和解」の中で「米国における通信事業者に対する顧客のCPNI(電気通信サービスを提供することによって顧客に関する専属機密ネットワーク情報（Customer Proprietary Network Information））の規制とりわけ「pretexting」 (注2)行為の厳しい罰則立法は、本文で述べるとおり議会の姿勢はわが国に比して極めて厳しい。」と述べた。

　BIASプロバイダーのプライバシー保護のあり方は、一般的にISP規制と異なる観点から論じられなければならないと考えるが、わが国ではの検討は完全に手付かずのままで、初期的な議論さえない。業界の取り組みも然りで、主なBIASプロバイダーのプライバシー・ポリシーを見たが、業界固有の文言や特徴もないものであった。　

　他方、米国系の低価格携帯電話会社モベルグループのプライバシー・ポリシー(注2-2)を見てみた。今回のFCC等のNPRM等規制内容に準拠していることは間違いない。

「FCC Releases NPRM on Broadband Privacy Rules」等を元に仮訳、補筆した。さらに詳しいレポートとして2016.5.6 Data Privacy Monitorの解説「インターネットサービス・プロバイダーは、FCCのプライバシーとセキュリティの規則提案の新規制環境に直面する(Internet Service Providers Face New Regulatory Environment in the FCC’s Privacy and Security Proposal)」がある。専門的な内容を含み参考とすべきものといえるが大部なため、あえて必要な範囲で仮訳、引用する。さらに、弁護士による従来のFTCの規制・監督との比較を踏まえた詳細な論文もある。 (注3)ただし、本ブログで紹介するのはこれも大部すぎるので、関係する部分のみ、本ブログで引用する。

　わが国の関係者であれば、従来この問題は連邦取引員会(FTC)の所管する問題であり、(1)なぜFCCへの移管の背景されたのか法的な点も含めた問題、(2)従来この問題につき長年ノウハウがあるFTCと主にコモン・キャリア(公共通信事業者)の監督に当たってきたFCCが新技術・サービスが日々あらわれる”edge provider”の規制・監督が適格にできるのか、等々の疑問が湧いてきた。

　この問題につき、わが国での解説は極めて少ない。その理由は米国でも断片的なメデイア記事はあるものの、論点が良く整理された解説や論文が少ないこともあり、筆者もその調査に時間がかかったことも今回の執筆が遅れた理由である。これらの問題については、後日改めて解説することとし、今回はFCC規則の内容を中心に補足しながら、解説する。

１．FTCからFCCへのISPの監督・規制権限の移管問題

　FTCからFCCへのISPの監督、規制権限の移管は、2015年2月26日にFCCが電気通信法第2編の下でのFCCが監督する「一般通信事業者(自前の通信設備（特に回線網）を所有している通信事業者)」として「ブロードバンド・インターネット接続サービス（「BIAS」）を「分類し直す」ことによってISPを管理する根拠となる法的アプローチに関して担当機関を「FCC」に変更したことに始まった。 (注4)

　プライバシー面の考慮すべき問題は、これらのFCCの「ネット中立性」規則の採択の裏にある駆動要因ではなかった。しかし、FTC自身が支配している法規(FTC法) (注5)から「コモン・キャリア」の適用除外によって、今回のFCCの決定は、その姉妹機関たるFTCからISPの警察機関への規制効力を効果的に奪ったという意見もあり、関係者間で意見が分かれる点である。(以上の説明は(ローズマリー C.ヘロルド：Rosemary C. Harold)(米国ローファーム：Wilkinson Barker Knauer, LLPのパートナー)「FCC は、ブロードバンド事業者のプライバシー規制の複雑な提案をつなぎ合わせる何か大事な点を忘れてはいないか」から一部抜粋した)

２．FCCのブロードバンド(BIAS プロバイダー)のプライバシーポリシー(NPRM)の内容・項目

　NPRMは、以下の通り、BIASプロバイダーがいかなる顧客情報を集めるか、またいかなる目的で情報収集するか等を含むプライバシー・ポリシーを顧客に提示するか等、ブロードバンド・プロバイダーに要求する規則案を提案したものである。

　すなわち、BIASプロバイダーは、(1)いかなる種類の事業体といかなる方法や範囲で顧客情報を共有するか、(2)顧客の個人情報の使用につき「オプト・イン」、「オプト・アウト」権を行使しうるとし、その方法等につき定めたものである。

３．顧客の専属機密ネットワーク情報(CPNI)の使用にかかる顧客の同意

　NPRMは、顧客データのカテゴリーに言及すべく、その規則案では「顧客専属機密ネットワーク情報(Customer Proprietary Network Information：以下”CPNI”という)」 (注6)、または「顧客専属機密情報(Customer PI：以下”PI”という)」に適用されると提唱する。

　顧客専属機密情報(PI)は、(1)顧客の独自の専属ネットワーク情報（CPNI）と、(2)個人特定情報（personally identifiable information ：以下「PII」）から成る。

　”CPNI”は、テレコミュニケーション・キャリヤー(電気通信事業者)のいかなる顧客によって申し込まれるテレコミュニケーション・サービスにおける「サービス数量(quantity)」、「技術的な構成(technical configuration)」、「利用の種類(type)」、「利用目的(destination)」「利用位置情報(location)」、「利用金額(amount of use)」に関するもの、また、「事業者と顧客関係だけによって顧客によってのみ事業会社に対して利用可能となる情報」をいう。

　また、PIIは個人に「リンクされた」または「リンク可能」ないかなる情報も含むと定義する。

　NPRMは、意見が分かれるサービスに依存する顧客専属機密情報（PI）を使う際に要求される顧客の同意につき３種類を提案する。したがって、PIの使用と共有を決定するときには、つぎの3段階の「同意アプローチ」を提案することとなる。

①顧客とブロードバンド・プロバイダー関係が行われる時点での「同意」。

　提案された規則の下で、BIASプロバイダーはブロードバンド・サービス（たとえばコミュニケーションが特定の人を目的とされている目的地に着くことを確実とするため）と確かに彼らの顧客とのブロードバンド・プロバイダーの関係の前後関係の範囲内で意味をなす他の目的を提供するために、さらなる同意を顧客から得なくとも、顧客データを使用したり、共有できる。

②オプト・アウト同意： BIASプロバイダーは、顧客のオプト・アウト同意を前提として、他の通信関連のサービス市場に出すために、 PIを使用しうるが、そのオプトアウト権は明らかにされなければならないし、簡単に使うことができかつ連続的に利用できなければならない。 NPRMは「通信関連のサービス」の範囲を定める方法についてのコメントを求めるが、提案されるように、通信関連のサービスはブロードバンド・プロバイダーによって提供される境界サービスは含まれない。

③オプト・イン同意：提案された規則では、 BIASプロバイダーが非通信関連の系列会社または第三者とともに、または、他の全ての目的のために自分自身が顧客情報を使う（または彼らの通信関連の系列会社を介して顧客情報を共有する前にオプト・イン同意を得ることを義務づける。

4．データ・セキュリティの実施の徹底

　提案された規則案は、 BIASプロバイダーにプロバイダーの活動の性格と範囲、取扱データの機微性ならびに技術的実現可能性から調整された性質と範囲から調整されるセキュリティ実行を採用することによって、すべての顧客PIの安全性と守秘性を無権限使用または公開から保護することを求める。

　とりわけ、NPRMはBIASプロバイダーに、1)リスク管理実践、2)組織としての人事教育の実践、3)顧客の承認条件、4)データセキュリティに関する上級管理者の特定の採用義務を提案し、また第三者との共有についてはPIの使用と保護に関する説明責任を負わせる。

　さらに、NPRMはFCCはがデータの最小化、データ保持とデータ無害化標準(destruction standards) (注7)も採用しなければならないかどうかについてコメント求めた。また、BIASプロバイダーのデータセキュリティ必要条件は音声プロバイダーに対するものと調和すべきかどうか、ケーブル事業者や衛星プロバイダーのデータセキュリティ要件と調和さるべきかどうかについてもコメントを求める。

５．データ漏洩時の顧客およびFBI,USSSへの通知義務

　 NPRMは、データ漏洩時に、BIASプロバイダーは次の通知を行うことを義務付ける規則案を提示した。

①法執行ニーズに従い、漏洩事実の発見後、遅くとも10日目までに影響を受けた顧客に漏洩の事実を通知する。

②漏洩の発見の後、遅くとも7日までにはFCCにどんな違反でも通知する。

③合理的に見て、5,000人以上の顧客に関連すると思われる漏洩事件については、連邦捜査局(FBI)と米国シークレットサービス(USSS)に、遅くとも漏洩の発見の後7日目以内でかつ顧客への通知の少なくとも3日前までに通知しなくてはならない。

６．更なる関連問題

　また、NPRMは、特定のBIASプロバイダーにつき、(1) FCC規則で禁止すべきまたはFCCがより強めた通知(heightened notice)と選択条件(choice requirements)について、関係するプライバシーに係る慣行実務があるか、(2) FCCが「1934年電気通信法(COMMUNICATIONS ACT OF 1934)」にもとづき現在、非公式に行っている苦情処理 (注8)が、顧客のブロードバンドの利用に係る懸念を解決する手段として十分か、(3)FCCは、このほかの提案する保護の枠組みや勧奨内容を本規則に取り込むべきか、(4) FCCはマルチ利害関係者プロセスとの関係で顧客PIのプライバシーを保護するため提案された規則案に取り込まなければならない特定の方法があるかどうか、などである。

*********************************************************************************

(注1) ブロードバンド:CATV，DSL，FTTH，FWA及びBWAなどの広帯域の周波数を使用し，ナローバンド（電話回線やISDN回線）よりも高速なデータ通信が行える通信方式の総称である。①「CATVインターネット」:CATV網を利用して提供されるインターネット接続サービス。加入者宅にケーブルモデムと呼ばれる装置を配置し，これにCATVの同軸ケーブルを接続して利用。②「DSL」:電話線を使って高速なデジタルデータ通信をする技術の総称。既存の電話線（アナログ回線）を流用。③「FTTH」:光ファイバーによる家庭向けのデータ通信サービス。ブロードバンドの中でも最も高速。④「衛星」インターネット（高速衛星インターネットアクセスとIPSTARのサイト解説から一部抜粋する。「赤道36,000ｋｍ上空、地球静止軌道に位置するIPSTAR衛星を経由して、あなたのPCを高速インターネットに接続します。住宅または小規模のオフィスにて、ダイヤルアップ接続の数倍の速さでインターネットを利用することが可能です。直径84ｃｍの衛星通信用アンテナと専用モデムを準備するだけで即利用可能です」

(注2) 「pretexting」とは本人を装い、電話会社に電話してうその口実を使って電話代の請求のコピーを要求し、かけた電話の宛先、支払いのための銀行口座の明細等を違法に入手する行為をいう。個人のプライバシー侵害という観点で従来から問題視されている。

(2006.2.3 筆者ブログ「米国連邦通信委員会(FCC)の委員長は携帯電話等の「通話記録」委託販売業者に対する規制強化法案を支持」 (注)参照。

(注2-2) 米国格安携帯電話会社　モベルグループのプライバシーポリシー「当社が収集する個人情報」から抜粋する。

「CPNI（顧客独自のネットワーク情報: Customer Proprietary Network Information）：CPNIとは、当社が提供する電気通信サービスへの接続の際に発生する情報のことです。CPNIに含まれる情報には、例えば、通信履歴、通信位置情報、お客さまの通話プランやサービスに関する情報が該当します。CPNIにはお客さまのお名前や住所、電話番号は含まれません。」

(注3) ローズマリー C.ヘロルド(Rosemary C. Harold))(米国ローファーム：Wilkinson Barker Knauer, LLPのパートナー)「FCCは、ブロードバンド事業者のプライバシー規制の複雑な提案をつなぎ合わせる何か大事な点を忘れてはいないか(The FCC Forgot Something in Piecing Together Its Complex Proposal for Broadband Privacy Regulation: Consumers)」参照。

(注4) 2015.2.26 FCC採択「 Protecting and Promoting the Open Internet, Report & Order, 30 FCC Rcd 5601 (2015)(REPORT AND ORDER ON REMAND, DECLARATORY RULING, AND ORDER) 」

(注5) Federal Trade Commission Act　Section 5: Unfair or Deceptive Acts or Practices：

15 U.S. Code § 45 - Unfair methods of competition unlawful; prevention by Commission

(a)(2) The Commission is hereby empowered and directed to prevent persons, partnerships, or corporations, except banks, savings and loan institutions described in section 57a(f)(3) of this title, Federal credit unions described in section 57a(f)(4) of this title, common carriers subject to the Acts to regulate commerce, air carriers and foreign air carriers subject to part A of subtitle VII of title 49, and persons, partnerships, or corporations insofar as they are subject to the Packers and Stockyards Act, 1921, as amended [7 U.S.C. 181 et seq.], except as provided in section 406(b) of said Act [7 U.S.C. 227(b)], from using unfair methods of competition in or affecting commerce and unfair or deceptive acts or practices in or affecting commerce.

　なお、FTCは、不公正な競争方法(unfair methods of competition)のほか，不公正・欺瞞的な行為又は慣行(unfair or deceptive acts or practices)を禁止しており，後者によりFTCはいわゆる消費者保護行政も所管している。

(注6) 「顧客専属機密ネットワーク情報(Customer proprietary network information ：CPNI)」とは、わが国の解説では「ネットワーク・サービスで利用される顧客の個人情報の総称。FCC(Federal Communications Commission/連邦通信委員会)は2007年4月2日に電話会社および携帯電話会社に対し、CPNIへのアクセスを厳しく取り締まり、他人へのなりすましなどをさせないために、顧客の通話記録を保護する新たな規制を発表した。」(マルチメディア・インターネット事典)がある。ただし、この説明のみでは、その具体的内容は理解できないであろう。

(注7) ”data disruption standard”は、例えば2014年12月に公開されたNIST「Special Publication 800-88, Guidelines for Media Sanitization」等をさす。「サニタイズとは入力されたデータについて、処理上問題のある部分を除去したり、安全に処理できるように書き換えたりすること」とするオンライン事典があるが、むしろ「無害化」という訳語が適切か？。ちなみに、スワットブレインズ株式会社の「電子ファイル”無害化”製品」の解説から以下、一部抜粋する。

「標的型攻撃が増加しており、多くの組織が攻撃の危険にさらされています。標的型攻撃の多くは、巧妙な方法で正規のメールを装うことによって、端末でマルウェアを感染させ、機密情報を持ち出そうとします。マルウェアのソースコードは、インターネット等から簡単に入手でき、カスタマイズすることも可能なため、多くのマルウェアが誕生しています。このことから、従来の「パターンマッチング」に依存するセキュリティ対策は限界にきているとともに、組織においてマルウェア対策が急務となっています。

　VOTIRO-SDSは、ファイルがマルウェアを含んでいる「可能性」を重視し、メールの添付ファイル、Web経由のダウンロードファイル等をサニタイズ（無害化）するマルウェア対策製品です。」

(注8) FCC：Filing an Informal Complaint 苦情受付専用サイト　

連邦通信委員会(FCC)は、消費者にFCCが管理する通信サービスに関する問題に対する非公式の苦情を提出する機会を与える。この苦情は、FCCの消費者の苦情センターで提出されることができます。そして、それは通信問題について消費者を教育し、彼らに苦情手続きを案内する。FCCのガイドブック参照。

**********************************************************************************

米国連邦取引委員会はデータ漏洩時の対応のための民間企業向け新ガイダンスを公布

2016-11-01 11:13:27 | プライバシー保護問題

　10月25日、FTCは個人情報漏洩への対応に関し、民間企業のための新たなガイダンスを公布するとともにブログやビデオを公表した。今回のFTCの情報漏洩時の対応ガイダンスは、2015年6月のFTC「セキュリティで始まる：情報セキュリティ・ガイダンス(“Start with Security” data security guidance)」 (注1) (全20頁) の発行に引き続き最近のFTCが取り組んでいる「情報漏洩」や「サイバーセキュリテイ」 (注2)に関する教育と支援活動の上に構築されたものである。今回のFTCの情報漏洩対応ガイダンスは、主として、(1)安全なシステム、(2)データの漏洩につながった脆弱性に対処し、(3)適切な当事者に通知する、という3つの手順に焦点を当てている。

　一方、ホワイトハウスのオバマ政権が従来から力を入れてきた官民サイバーセキュリティ情報共有とプライバシー強化法案と関連立法化動向に関連して連邦通信委員会(FCC)も2016年4月1日、ブロードバンド・インターネット接続サービスプロバイダ（broadband internet access service providers：「BIASプロバイダー」という）のプライバシー実務を統治するために大いに期待された「規則制定提案告示(Notice of Proposed Rulemaking (以下「NPRM」という」(全147頁)の発表とコメントを求めるべく、リリースした。そのNPRMに対するコメント期限は2016年5月27日の予定で、コメント回答期限は2016年6月27日の予定であったが、11月27日に最終規則案を採択、公表した。

　本ブログは、”Covington & Burling LLP” のアソシエイトであるカレブ・スキース(Caleb Skeath)のブログ「データ漏洩時の対応のためのFTCの新ガイダンス(FTC Issues Guidance for Responding to Data Breaches )」をベースとして仮訳して、同時にFTC資料等に基づき補足するものである。

　なお、今回はFTCの「情報漏洩対応ガイダンス」のみ取り上げ、FCCのNPRMについては、別途取りまとめる。

１．更なる被害拡大からのシステムとデータの保護

　システムの安全性を確保し、以降のデータの紛失を阻止するために、FTCは民間企業に弁護士や独立した法科学(デジタル・フォレンジック)の専門家(forensic experts)を含む漏洩対応チームの組成を勧奨する。本ガイダンスは、さらに被害にあった企業のシステムやデータへの物理的および論理的なアクセスの両方を確保することを勧奨するが、そうするためにはさらなる分析のために利用可能な任意の法医学的証拠を保存することを勧奨する。また、FTCはこのような調査は法的権限の下で行うことができることは認めていないが、(1)事件に関与した個人へのインタビューや(2)その後の調査内容の文書化を助言する。最後に、FTCは、他のウェブサイトで個人特定情報（personally identifiable information：PII）の存在を探索し、それを削除するためにこれらのウェブサイトを尋ねるなど、インターネットからの漏洩に関与したPIIをよく擦ることを示唆している。

２．脆弱性の根本原因への対処

　FTCは、漏洩事故が発生した事業体が漏洩の再発を防止するために、違反を引き起こした可能性のある脆弱性を修正(remediate)することを勧奨する。この目的を達成するために、FTCは、特に具体的なアクセスの解析、事業体の保有データの保護ならびに是正措置を実施するため、できるだけ早く専門家分析を実行するために法科学の専門家と協力することを提案した。また、FTCはセグメンテーションが漏洩を含む点で有効であり、または更新すべきと決断するなら、企業の「ネットワーク・セグメンテーションーン」(注3) (この問題は最近時FTCが焦点を当てている問題で、前述の“Start with Security”に遡ぼって確認されたい)を評価すべき点を支援した。

　また、本ガイダンスは、(1)企業のシステム環境への第三者のアクセスに十分配慮し、(2)このようなアクセスがもはや不要になったときに必要な調整を行うこと、また、(3)そのような第三者が漏洩を助長した可能性のある脆弱性を修復しているかどうかを確認するよう勧奨している。

３．ステイク・ホルダー(情報主体等利害関係者)への通知

　FTCは、法執行機関、消費者およびその他の事業者を含め、すべての適切な当事者に通知することを民間企業に助言する。その出発点として、FTCは、従業員、顧客、投資家およびビジネスパートナーを含むすべての利害関係者に手を差し伸べるだろうコミュニケーション計画を開発すること、また情報を通信するための組織内での接触点を指定するよう助言する。情報主体たる個人に通知する前に、FTCは、その通知のタイミングと目下進行中の法執行機関の捜査に関し相談することを勧奨する。FTCのガイダンスは、カリフォルニア州の漏洩通知法（カリフォルニア州民法典(Civil Code:Section 1798.82） (注4) に記載されている多くの要件をまねたモデル漏洩通知文書を含む。また、 FTCは、PIIが漏洩によって露出された場合、特に金融取引情報や社会保障番号が露出された場合は特に、企業は少なくとも1年間は無料のExperian等による信用情報に提供((free credit monitoring)るよう示唆している。 (注5)

　本ガイダンス自体が認めているように、事業体がデータ漏洩への対応に必要な手順は、場合によって異なるため、FTCが推奨する特定の手順は、すべての漏洩に該当しないことがありうる。また、FTCの本ガイダンスはデータ漏洩事故対応のための包括的なハンドブックではなく、必ずしもそれが違反が発生した後に確かに行動するための推奨事項に限定されており、予防の手順を扱っていないように、個人データを伴わない他の漏洩事件にむけて事前に事業体がとるべき潜在的なデータ漏洩のために準備する事件は対象外である。本ガイダンスは、読者に「セキュリティで始まる：情報セキュリティ・ガイダンス」などFTCが発行する他のデータセキュリティガイド等の参照するよう命じる。しかし、過去も現在のFTCガイダンスは、漏洩の対応計画に含まれるべきものとして重要な予防手順に関する詳細な推奨事項が含まれており、とりわけ、(1)当該漏洩事故が既存の保険契約でカバーされているか、または(2)その他の規制や法的リスクに対処することによってカバーされているかどうかを含んでいる。それでもなお、今回のFTCのデータ漏洩対処ガイダンスは、FTCがデータ漏洩事件につき何を事業体に期待するかを理解するために役立つ道標といえる。

*********************************************************************

(注1) 情報通信総合研究所研究員藤井秀之「米FTCによる企業向けセキュリティガイドの公表と法制定の議論動向」は、FTCの“Start with Security”の概要を翻訳、解説している。リンクURLも網羅的に張られている。特に、以下の部分の解説は有意義である。

3. データセキュリティ及び漏えい通知法案

FTCは現在セキュリティ問題に対しても事業者に対して本ガイドラインの作成等を含め様々な助言を行っているが、これと平行してセキュリティ対策やデータ漏えい時の事業者の共通的な対応基準を定める法整備も求めている。具体的には、現在議会にて審議されている「データセキュリティ及び漏えい通知法案(Data Security and Breach Notification Act of 2015) 」(https://www.congress.gov/bill/114th-congress/senate-bill/177)の成立である。

本法案は、事業者に対して顧客の個人情報の保護やデータ漏えい時の対応に関する国家基準の策定を求めるもので、特に金融業界の企業が保有する顧客の口座情報等を収集・保管している事業者に対してデータを安全に管理すること及びデータ漏えい時の報告を義務付ける内容である。

なお、本法案に関しては2015年4月15日に下院エネルギー及び商業対策委員会において承認されたが、以降の審議はストップしている。この背景には、現在各州には既に同様の法律が制定されており、一部の州は本法よりも規制が厳しいこともあることから、本法によって一部の州では規制が弱まる可能性がある点や、本法には消費者の健康情報が対象に含まれていない点、金融業界からの反対などが問題視されているとの報道がなされている。（ROLL CALL, “Despite Massive OPM Hack, Congress Continues to Stall on Data Breach Bill,” (2015/7/22)

・http://www.rollcall.com/news/despite_massive_opm_hack_congress_continues_to_stall_on_data_breach_bill-242949-1.html

・iHealthBeat, “Congress Fails To Make Progress on Data Breach Notification Bill,” (2015/7/23)

・http://www.ihealthbeat.org/articles/2015/7/23/congress-fails-to-make-progress-on-data-breach-notification-bill）

　このように本法案はまだ様々な課題が残っていることもあり可決されるかどうかは不透明なところがあるが、米国内でも6月4日に人事管理局が不正アクセスされ職員や元職員の個人情報が流出した可能性があると公表されたこともあり、事業者にセキュリティ保護を求める規制強化の声も強い。実際に法案が成立した場合には、事業者に対してもセキュリティ対策が義務化されることから、どのような形で今後法案が修正されるのか注視する必要があるだろう。

(注2) 2016.8.31 FTC「The NIST Cybersecurity Framework and the FTC」等をさす。

(注3) 文字通りネットワークセグメンテーションとは、ネットワークをセグメント化（分割）することです。ネットワークセグメンテーションと聞いて、「すでにVLANなら使っている。なにをいまさら」と思われたかも知れません。そもそもVLANはネットワークを分割することによりネットワークの混雑を避けるために導入されました。セキュリティの強化はあくまで副次的なものです。外（インターネット）は危険、中（組織内）は安全と認識されていたためです。しかし企業内個人がターゲットとなる攻撃も増えていますし、内部犯行による情報流出も考えられます。これからは「セキュリティの為のセグメンテーション」という考え方が必要です。

　セグメント化のメリットを知るためにセグメント化しない場合を考えてみたいと思います。1つの組織でネットワークが1つの場合、そのネットワークに、すべての部署がつながり、子会社や関連企業がつながります。契約社員や来客も同じネットワークです。

　接続するデバイスは多様化していて、デスクトップやノートPCだけではなく、タブレットやスマートフォンなどのモバイルデバイスも組織のネットワークにつながります。モバイルデバイスは組織が所有するモノだけではなく、個人として所有するデバイスも含まれます。これは私物端末の業務利用（BYOD）と呼ばれ、組織として禁止するのか、奨励するのか、受け入れる場合セキュリティをどう確保するのかが多くの組織で課題になっています。

　また組織では経理、特許、事業計画、社員情報、顧客情報など業務上の機密がほぼすべて電子化されネットワーク上に置かれています。

　これらの人、デバイス、情報が1つのネットワークにあると、なにかセキュリティ上の問題が起こった場合、すべてに影響を与えます。投資でよく言われるリスクを分散させた方がよいという格言「卵は1つのカゴに盛るな」は、セキュリティにも当てはまると言えるでしょう。

　ネットワークを分割することにより、攻撃対象が全組織からセグメント単位になります。万が一外部から侵入されてしまった場合でも、そのセグメントだけの影響にとどまり影響が少なくなるのです。(2013.11.11 ZDnet Japan 解説：これからのネットワークのセグメント化--「ネットワークは1つのカゴに盛るな」

(注4) カリフォルニア州民法典の情報漏洩時の通知義務規定

Civil Code - CIV

DIVISION 3. OBLIGATIONS [1427 - 3272.9] ( Heading of Division 3 amended by Stats. 1988, Ch. 160, Sec. 14. )

PART 4. OBLIGATIONS ARISING FROM PARTICULAR TRANSACTIONS [1738 - 3273] ( Part 4 enacted 1872. )

TITLE 1.81. CUSTOMER RECORDS [1798.80 - 1798.84]

(注5) 筆者のブログ「オバマ大統領の官民サイバーセキュリティ情報共有とプライバシー強化法案と関連立法化動向(その3完)」でFTCのガイダンスの背景を詳しく解説した。

***********************************************************************

記事一覧 | 画像一覧 | フォロワー一覧 | フォトチャンネル一覧

goo blog お知らせ

	ブログを読むだけ。毎月の訪問日数に応じてポイント進呈
	【コメント募集中】おすすめの登山スポットは？
	gooブロガーの今日のひとこと
	訪問者数に応じてdポイント最大1,000pt当たる！