Upgrade to Pro — share decks privately, control downloads, hide ads and more …

プライバシーデータ活用における課題とは

SEKO_Shuhei
September 08, 2022

 プライバシーデータ活用における課題とは

2022/09/07に株式会社Acompanyで実施した、セミナーの登壇資料です。

【セミナーページ】
https://acompany-autoprivacy1.peatix.com/
【Webサイト】
https://www.seko-law.info/

SEKO_Shuhei

September 08, 2022
Tweet

More Decks by SEKO_Shuhei

Other Decks in Business

Transcript

  1. 講師紹介 世古修平(せこ しゅうへい) • インハウスハブ東京法律事務所 弁護⼠ • インターネットサービス企業 Privacy Counsel

    • IPA 独⽴⾏政法⼈ 情報処理推進機構 試験委員 • 経済産業省 電⼦商取引及び情報財取引等に関する準則 研究会委員 • 総合系のコンサルティングファーム2社を経て現職 • セキュリティ、プライバシー領域の案件を中⼼に活動中 • CISSP, CIPM, CIPP/E 2
  2. とはいえ思いつく「課題」は多種多様 6 炎上対策? ⼤規模なデータ収集? 正しい法律知識? ⾼度な分析技術? 法務 事業 事業 技術

    “プライバシーデータ活⽤における課題とは AutoPrivacy Assessmentアドバイザーの世古弁護⼠が徹底解説!”
  3. 法律に定義があります q 読みにくい条⽂ですが、今⽇は⼀緒に読んでみましょう q 「1号本⽂」「1号かっこがき」に分解して読んでみます 【個⼈情報保護法】 (定義) 第⼆条 この法律において「個⼈情報」とは、⽣存する個⼈に関する情報であって、 次の各号のいずれかに該当するものをいう。

    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(略)により 特定の個⼈を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個⼈を識別することが できることとなるものを含む。) ⼆ (略) ⼀号かっこがき ⼀号本⽂ 20
  4. 応⽤編① ⼀号本⽂ ⼀号かっこがき 申込フォーム ⽒名 XXX ⽣年⽉⽇ XXX メール XXX

    Q1 利⽤したことがある Q2 ウ 【基礎情報】 【アンケート】 会社名 XXX 部⾨ XXX 25 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
  5. 応⽤編① ⼀号本⽂ ⼀号かっこがき 申込フォーム ⽒名 XXX ⽣年⽉⽇ XXX メール XXX

    Q1 利⽤したことがある Q2 ウ 【基礎情報】 【アンケート】 会社名 XXX 部⾨ XXX 26 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等により 特定の個⼈を識別することができるもの
  6. 応⽤編② 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001

    00002 00003 テーブルA ⼀号本⽂ ⼀号かっこがき 27 申込フォーム ⽒名 XXX ⽣年⽉⽇ XXX メール XXX Q1 利⽤したことがある Q2 ウ 【基礎情報】 【アンケート】 会社名 XXX 部⾨ XXX ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
  7. 応⽤編③ 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 ⼀号本⽂ ⼀号かっこがき

    テーブルB テーブルA 28 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001 00002 00003 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
  8. 応⽤編③ 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 ⼀号本⽂ ⼀号かっこがき

    テーブルB テーブルA 29 顧客ID ⽒名 ⽣年⽉⽇ メール 会社名 部門 Q1 Q2 00001 00002 00003 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの
  9. 33 1.結論 2.課題①(法務 → 事業, 技術) (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題②

    (1)法律上の要求事項の実装(技術 → 法務) (2)レピュテーションリスク(事業 → 法務)
  10. ⽤語の説明を端折りがち 37 それって 同意( )取ってます? それとも委託( )です? 第⼆⼗七条 個⼈情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本⼈の同意を得ないで、個⼈データを第三者に 提供してはならない。

    5 次に掲げる場合において、当該個⼈データの提供を受ける者は、前各項の規定の適⽤については、第三者に 該当しないものとする。 ⼀ 個⼈情報取扱事業者が利⽤⽬的の達成に必要な範囲内において個⼈データの取扱いの全部⼜は⼀部を委託す ることに伴って当該個⼈データが提供される場合 ありがちな会話 …えーっと (同意は取ってないし多分) 委託です 法務 事業 1 2 1 2
  11. 39 1.結論 2.課題①(法務 → 事業, 技術) (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題②

    (1)法律上の要求事項の実装(技術 → 法務) (2)レピュテーションリスク(事業 → 法務)
  12. テーブルBだけを委託するケースを想定 委託 X社(提供元) Y社(提供先) 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002

    00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 利⽤履歴データ(テーブルB)だけを委託先に渡して分析させたい。 委託先に渡すデータには「お名前」が含まれていませんし、個⼈情報(個⼈データ)として扱わなくて良いです よね? 40
  13. 提供先基準と提供元基準 41 提供先基準 提供元基準 提供先のY社にとって、テーブルBは個⼈データでない ↓ X社からY社へのデータの提供⾏為は、個⼈データの委 託ではない(=⾮個⼈データの提供である) 委託 X社(提供元)

    顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB Y社(提供先) 提供元のX社にとって、テーブルBは個⼈データである ↓ X社からY社へのデータの提供⾏為は、個⼈データの委 託である 委託 X社(提供元) 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB Y社(提供先)
  14. 実務では提供元基準が採⽤されている 出所:「個⼈情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意⾒募集結果 ( https://www.ppc.go.jp/files/pdf/2811_bessi2-1.pdf ) 委託 提供先(委託先) 顧客ID アクセス履歴 利用履歴A

    利用履歴B 00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB ある情報を第三者に提供する場合、当該情報が「他 の情報と容易に照合することができ、それにより特 定の個⼈ を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に 照合することができ、それにより特定の個⼈を識別することができることとなる」かどうかで判断します。 42 提供元(委託元)
  15. 44 1.結論 2.課題①(法務 → 事業, 技術) (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題②

    (1)法律上の要求事項の実装(技術 → 法務) (2)レピュテーションリスク(事業 → 法務)
  16. 45 1.結論 2.課題①(法務 → 事業, 技術) (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題②

    (1)法律上の要求事項の実装(技術 → 法務) (2)レピュテーションリスク(事業 → 法務)
  17. 51 1.結論 2.課題①(法務 → 事業, 技術) (1)個⼈情報の定義 (2)委託 (3)提供元基準 3.課題②

    (1)法律上の要求事項の実装(技術 → 法務) (2)レピュテーションリスク(事業 → 法務)
  18. アンチパターンとしてのダークパターン 53 出所:https://www.shoeisha.co.jp/book/detail/9784798177892 n “ダークパターンとは、ユーザーを騙して何かを購⼊させたり、登録 させたりするなど、意図しないことを実⾏させる、Webサイトやア プリで使われているトリックのこと” n ダークパターンを使うことによって⽣じ得る損失やリスク Ø

    カスタマーサポートへの負担増 Ø 返品率の増加 Ø SNSでの悪評の拡散・ネガティブレビュー (レピュテーションリスク) Ø 客のライフタイムバリューの低下 Ø 新規顧客獲得コストの増加 Ø 従業員の離職率・⼈材の採⽤コストの増加 Ø 消費者トラブルへの発展(紛争・訴訟のリスク) Ø 法律違反・罰則リスク Ø 業界全体の信頼が損なわれる