経産省のガイドライン改定
Posted by: 日本コンプライアンス協会 , 2009年 10月 09日 金曜日
本日、経産省より改定されたガイドラインが公表されました。
■「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成21年10月9日改正)
いつ、改定されるかわからないと言われてきましたが、今回1年半以上時間が空きました。
まだ、詳しく内容を見ていませんが、パーソナル情報研究会でとりあげられた
共同利用については、より詳細な説明と事例が加えられている模様です。
例えば、共同利用を行うことがある事例の1つとして
事例4)企業ポイント等を通じた連携サービスを提供する提携企業の間で取得時の利用目的の範囲内で個人データを共同利用する場合
といった具合で、企業ポイントが盛んな昨今にマッチした事例かと思います。
経産省のガイドラインは、あらゆる分野の業種に影響してくると思いますし、
Pマーク取得事業者であればなおさら影響力が強いことと思われます。
今回で3回目を迎えた経産省ガイドラインの改定ですが、気がつけばあと3カ月足らずで2009年も終わりで、
2010年には、個人情報の改正にむけた議論もスタートすることと思います。
個人的にはとてもサイクルが早いと感じます。
【追記】
以下の内容もアップされていました。
<改正の主な内容>
(1) 「個人情報の保護に関する基本方針」の一部変更への対応
平成20年4月に「個人情報の保護に関する基本方針」が一部変更さ
れたことに伴う改正。
(2) 「個人情報の保護に関する法律施行令」の一部改正への対応
平成20年5月に、個人情報取扱事業者から除外される者の要件が改
正されたことに伴う改正。
(3) 「個人情報保護に関するガイドラインの共通化について」への対応
各省庁において策定されている事業分野ごとのガイドラインの共通化
について、内閣府により平成20年7月に「全事業分野に共通するよう
な標準的なガイドライン」が策定されたことに伴う改正。
(4) 個人情報の取扱いに関する諸課題への対応
① 性質に応じた個人情報の取扱い
漏えい等をした場合の主務大臣等への報告について、ファクシミリ
やメールの誤送信の場合には、月に一回ごとにまとめて実施すること
ができることとしました。
② 「事業承継」に係るルールの明確化
事業承継のための契約を締結するより前の交渉段階で、事業承継の
相手会社から自社の調査(デューデリジェンス)を受け、自社の個人
データを相手会社へ提供する場合は、当該データの利用目的及び取扱
方法、漏えい等が発生した場合の措置、事業承継の交渉が不調となっ
た場合の措置等、相手会社に安全管理措置を遵守させるため必要な契
約をすることにより、本人の同意等がなくとも個人データを提供する
ことができることとしました。
③ 「共同利用」制度の利用普及に係る具体策
共同利用の事例として、企業ポイント等を通じた連携サービスを提
供する提携企業の間で取得時の利用目的の範囲内で個人データを共同
利用する場合を追加するほか、共同利用の際に本人に通知等をすべき
情報のうち、これまで変更することができなかった情報(共同して利
用される個人データの項目及び共同利用者の範囲)について、共同利
用を行う事業者の名称のみの変更で当該事業者の事業内容に変更がな
い場合、共同利用を行う事業者について事業の承継が行われた場合や
本人の同意を得た場合には、変更することができることとしました。
(5) その他
不正の手段により個人情報を取得している事例として、個人情報を提
供する側の第三者提供制限違反又は不正取得を知り、又は容易に知るこ
とができるにもかかわらず、当該個人情報を取得する場合を追加しまし
た。
IPAによる情報漏えい
Posted by: 日本コンプライアンス協会 , 2009年 01月 07日 水曜日
遅ればせながら、新年あけましておめでとうございます。
少しずつですがこちらのページも更新していきたいと思っています。
本年もよろしくお願いします。
年初草々ですが、個人情報漏えい事件のニュースが相次いて報道されています。
1月5日 ScanNetSecurity 記事
業務連絡FAXの誤送信で個人情報が流出(WOWOW)
1月5日 ScanNetSecurity 記事
IPA職員の個人用PCがウイルス感染、PC内の情報が流出(IPA)
1月6日 ScanNetSecurity 記事
元社員、285件の顧客情報を持ち出し不正利用(旭化成ホームズ)
とりわけ、IPAの漏えい事件はファイル共有ソフトの利用によるものであり、
IPAは過去に、「コンピュータウイルス・不正アクセスの届出状況[11月分]について」(2007.12)の中で
(前略)ファイル共有ソフトによる情報漏えいは、思いがけないことで起きることが想定されますので、いくら注意をしてもファイル共有ソフトを利用し続ける限りは、情報漏えい事故はなくなりません。
このため IPA では従来から「ファイル共有ソフトを使用しないで下さい」と呼びかけておりますが、再度注意喚起をします。
と述べていました。
IPAの理事は会見の中で以下の発言をしています。
IPA職員の私物PCからの情報流出、事実関係を説明 NewsInsight 記事
「IPAではセキュリティ対策を推進しており、特にファイル交換ソフトの利用については、ウイルス感染によってPC内の情報がインターネットにさらされる危険性を訴えてきた。そして、その危険を避けるために一番いい方法はファイル交換ソフトを使わないことだと啓蒙してきた。こういう事態はIPAとして慚愧(ざんき)に堪えず、非常に遺憾だ」と述べた。
情報セキュリティについてこれまで広く啓発活動を行ってきた機関だけに
非常に残念な思いです。
============================================================================
■ 2009/1/8 追記
流出した情報の詳細が報道されました。
「西武百貨店の従業員情報約6300人分が流出 - IPA職員の流出事故で」 2009/1/8 Security NEXT 記事
「IPA職員の自宅私物パソコンによる当社の情報の流出について」(PDF) 2009/1/7 西武百貨店 リリース
米SONY BMG MUSIC ENTERTAINMENT社、COPPA違反で100万ドル支払い
Posted by: 日本コンプライアンス協会 , 2008年 12月 15日 月曜日
12月11日、米連邦取引委員会(FTC)は、
米SONY BMG MUSIC ENTERTAINMENT社をCOPPA(Children’s Online Privacy Protection Act)
違反により提訴した模様です。
■ ITmedia
「SONY BMG、児童のプライバシー保護法違反で100万ドル支払い」
米連邦取引委員会(FTC)は12月11日、米SONY BMG MUSIC ENTERTAINMENTを児童オンラインプライバシー保護法(COPPA)違反で訴えていた件で、同社が100万ドルを支払うことに合意したと発表した。
FTCによれば、SONY BMGは1000以上の音楽関連サイトを運営しており、これらサイトの利用には、生年月日を含む個人情報の提供が求められている。同社はこのうち196のサイトで、少なくとも3万人の13歳以下の児童の個人情報を、親の合意なく収集しており、FTCはこれがCOPPAに違反するとして10日に同社を提訴した。
■ FTCのリリース(英文)
「Sony BMG Music Settles Charges Its Music Fan Websites Violated the Children’s Online Privacy Protection Act」
今回の事件だけではなく、FTCはCOPPA違反として過去に以下のような行政処分を下しています。
- 2006年 9月 Xanga.com社 100万$ ※2006年当時の日本語記事(CNET Japan)
- 2004年 2月 UMG Recordings社 40万$
- 2004年 2月 Bonzi Software社 7.5万$
- 2003年 2月 Mrs. Fields Cookies社 10万$
- 2003年 2月 Hershey Foods社 8.5万$
SONY BMG社への100万$は、過去に比較しても最大クラスの支払い命令のようですね。
COPPAについては、以前にもこここで触れましたが、
子供の個人情報に対する懸念とその対策は日米の温度差を感じます。
それにしてもFTCの罰則は強烈ですが…。
日本では、青少年に対するコンテンツに関しては法や自主規制の動きがありますが、
個人情報、プライバシー分野への大きな取り組みは聞かれません。
青少年(含む子供)への携帯電話の普及率を考えると、この分野の対策がもっと進んでもよいと思うのですが。
特に携帯電話は契約者固有IDの通知問題もありますし、今後、大きな動きがあるかもしれません。
