説明責任の原則について： スマートホームとサイバーセキュリティの課題

Transcript

1. 説明責任の原則について： スマートホームとサイバーセキュリティの課題 基にした論文「On the Principle of Accountability: Challenges for Smart

   Homes & Cybersecurity1」 Lachlan Urquhart 2 and Jiahong Chen3 https://arxiv.org/abs/2006.11043 2020年6月19日提出

2. 説明責任の原則について： スマートホームとサイバーセキュリティの課題 基にした論文「On the Principle of Accountability: Challenges for Smart

   Homes & Cybersecurity1」 Lachlan Urquhart 2 and Jiahong Chen3 https://arxiv.org/abs/2006.11043 2020年6月19日提出

3. 概要 ・データの収集とユーザーの同意、データの分割、制御、管理、 利用、処理の場面ごとにデータをコントロールしている事業者、 個人が決まってくる→責任を負う。 ・家庭における集団的セキュリティ管理の必要性がある。 ・スマートホームにおけるユーザー間の責任を分割する必要が ある。

4. 何故この論文を読もうと思ったのか ・ 第201回国会において、令和 2年 6月12日、個人情報の保護に関する法 律等の一部を改正する法律が成立、公布（2年内に施行）。 衆議院HP（2020年6月19日閲覧） http://www.shugiin.go.jp/internet/itdb_gian.nsf/html/gian/keika/1DCF1CA. htm ・日本における電子化推進の流れ（脱ハンコ、ペーパーレス）

   令和2年6月19日　内閣府　法務省　経済産業　連名 http://www.moj.go.jp/content/001322410.pdf ・このような変化の中で個人情報がどのように扱われていくのか、本人確認はど のように担保されていくのか、契約はどこに気を付ける必要があるのか、外国の 事例を知るため。

5. 問題提起 ・EU一般データ保護規則（GDPR）2018年5月25日から適用 →「個人データ」の「処理」と「移転」に関する法律 罰金・約２４億円、企業の場合は全世界年間売上高の４％のいずれか高い方 ・スマートホームの普及により、世帯（同居している家族など）の1人1人は、 GDPRに対する法的責任を負う（違反と認められて罰金などを科される）可能性 がある。 例：カメラ設置の家に友達を招く。 　　配偶者を監視するために、家にサーモスタットを置く。 　　

6. 技術、研究方法 ・デモンストレーションを行う（次のスライド） ・(注４０）の論文 説明責任を実証す る責任があるデータ 管理者 データコントロールセン ターのみ データコントロールセン ターと国内データコント

   ロールセンター ユーザー 国内でのデータ使用 なし 国内データコントロール センター なし 国外でのデータ使用 データコントロールセン ター データコントロールセン ターと国内データコント ロールセンター 国内データコントロール センター（ユーザーが データの制御権を持た ない場合）

7. 説明責任の要件　　　　　　GDPRの根拠　　　　　　　　　　 1.初期データ収集を制限する 2.国際データの転送制限 3.データ分析の支配権への対応 ４大きな保証と透明性の権利 ５処理の合法性の確保 6 データストレージの保護と安心 7 明確に表現して対応する処理の

   責任 Articulating and responding to 第5条（1b）目的の制限（1c）データ最小化、（1e） 保管制限 第44条、45条、46条　ヨーロッパ外に送信されたデータについての妥 当性の判断、 拘束力のある企業規則、適切な保障措置 第15条、アクセス権。 16条の修正、第17条を消去、18条の可塑性を 制限、19条の情報提供（修正、消去、制限）、 20条、21条の反対。 第12条の情報の透明性; 13条の情報を提供する権利、第 14条のア ルゴリズムプロファイリング、第 22条の 記録・保管。 第5条（1a）特定の根拠に基づく合法性、 6条　 正当な契約の履行、 4 条（11）興味; 同意要件、7条、8条、9条。第5条（1d）データの正確さ; （1f）整合性と機密性。32条;33条 当局への違反通知,34条のデータ 処理のセキュリティ 第35条 責任の明確化：データ保護への影響評価 ; 42条,43条 シー ルを含む認証マークおよび認証機関。 40条,41条 行動規範の責任 ：DPO第37条、39条。

8. （注４０の論文） https://translate.google.com/translate?hl=ja&sl=en&u=https://dl.acm.org/citation.cfm%3Fid%3D330 0764&prev=search&pto=aue プライバシーとセキュリティがIoTデバイスの購入行動にどのように影響するかを探る 概要 　モノのインターネット（ IoT）デバイスのセキュリティとプライバシーに関する懸念が高まっているにもかかわらず、 消費者は通常、これらのデバイスを購入するときにセキュリティ情報とプライバシー情報にアクセスできません。 　購入したIoTデバイスについて24人の参加者にインタビューしました。ほとんどの人は購入前にプライバシーとセ キュリティを考慮していませんでしたが、メディアの報告、友人による意見の共有、または予期しないデバイスの動

   作の観察により、後で心配になると報告しました。 　購入前にプライバシーとセキュリティの情報を求めていた人々は、見つけるのが困難または不可能であると報告 しました。 　インタビュー対象者に、 IoTデバイスの購入時に検討する要素をランク付けするよう依頼しました。機能と価格の 後、プライバシーとセキュリティが最も重要なものにランクされました。 　最後に、私たちはプロトタイプのプライバシーとセキュリティのラベルをインタビュー対象者に示しました。ほとんど すべての人がアクセス可能で有用であると考え、プライバシーとセキュリティを IoT購入の決定に組み込むことを奨 励しました。

9. どうやって有効だと検証したのか 裁判所の判断を分析 ・アパートの通路や駐車場へのカメラ設置は、カメラのシステム事業者が、住人に対して説明責任を負う。 ・エホバの証人のコミュニティは、同じ世帯（コミュニティ・ 1人）と認定。 ・IoTエンドユーザーが説明責任を負う場面を、限定している（否定はしていない）。 ・Facebookの「いいね」ボタンを配置しているウェブサイトの運営者がデータ管理者か、 Facebookと共同 管理者と認められる。 https://translate.google.com/translate?hl=ja&sl=en&u=http://recent-ecl.blogspot.com/2019/07/cjeu-in-fashion-id-some-consequences-of.html&

   prev=search&pto=aue

10. 認定基準 ・ データ対象が処理のコントローラ制限から取得するために、以下のいずれかが適用される場合： （a）個人データの正確性は、管理者が個人データの正確性を検証できるようにする期間、データ主体によって 争われます。 （b）処理は違法であり、データ主体は個人データの消去に反対し、代わりにその使用の制限を要求します。 （c）管理者は、処理の目的で個人データを必要としなくなりましたが、法的請求の確立、行使、または防御の ためにデータ主体によって要求されます。 （d）データ主体は、コントローラの正当な根拠がデータ主体の根拠を無効にするかどうかの検証を保留する第 21条（1）に基づく処理に反対しました。

    2. 処理が第1項に基づいて制限されている場合、そのような個人データは、保存を除いて、データ主体の同意 を得た場合、または法的請求の確立、行使、抗弁、または他者の権利の保護のためにのみ処理されます。自 然人または法人、あるいは連合または加盟国の重要な公共の利益のため。 3. 第1項に従って処理の制限を取得したデータ主体は、処理の制限が解除される前に管理者から通知を受け るものとします。

11. Googleスペイン 　Google v. Spain事件は、２０１０年にスペイン人の弁護士Mario Costeja González氏が、スペインの新聞社とGoogleスペイン社およびGoogle社に対す る苦情を、スペインのデータ保護機関（AEPD：the Agencia Española de

    Protección de Datos）に申し立てた事件が発端です。 　González氏は、約１０年前に社会保障費用の未払いがあり、不動産差押手続 きに関連する強制競売について、新聞に名前が載りました。GoogleでGonzález 氏の名前を検索すると、過去の２件の新聞記事へのリンクが表示されるように なっていました。 注（１４）の判決の概要2014年5月13日 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62012CA0131

12. 　González氏は、まず新聞社に対して、関連するページを削除または変更し、彼 に関するデータが表示されないようにすることを求めました。彼は、次にGoogle Spain またはGoogle Inc.に対して、彼に関するデータを削除または隠すかし、検 索結果に彼のデータが含まれたり、新聞社へのリンクで表示されないようにする ことを求めました。 　AEDPは、新聞社の記事は、労働社会政策省の命令に基づいてなされた法的 に正当なものであるとして、新聞社に対する苦情は認めませんでした。一方で、 Google両社に対する苦情は認めました。

13. GoogleとＡｐｐｌｅ Google・・・データ消去 　米アルファベット子会社グーグルは６月２４日、新規利用者の位置情報履歴を１８カ月後に自動消去する などのプライバシー保護強化策を導入すると発表した。 　ウェブサイトの閲覧履歴も１８カ月で消えるほか、動画投稿サイト「ユーチューブ」の閲覧履歴は３６カ月後 に消去される。また利用者はこの消去時期を短くしたり、長くすることも可能だ。 https://this.kiji.is/648659936934904929?c=524350289572054113 Ａｐｐｌｅ・・アプリ開発者がユーザーに、プライバシーポリシーの同意を求める画面の変更 Appleはすべてのアプリ開発者に対し、 ・アプリがどのような個人情報を収集するのか

    ・そのうち、他社に提供する個人情報はどれなのか といった情報を、共通のフォーマットとアイコンでわかりやすく一覧化し表示することを義務付け ると宣 言 https://www.cloudsign.jp/media/20200625-labelpolicy/

14. 日本　電子化の流れと個人情報保護 法務省HP 押印についてのＱ＆Ａ（令和２年６月19日）（PDF形式:315KB） 個人情報保護委員会ＨＰ　令和2年6月12日成立　2年以内に施行（管轄・総務省）　
 
 個人情報の保護に関する法律等の一部を改正する法律（概要 ）
 公正取引委員会ＨＰ　令和2年4月28日付　（独立機関、内閣府の外局） デジタル広告の取引実態に関する中間報告書（概要） ・６ヶ月以内に消去する短期保存データについて、保有個人データに含めることと

    し、開示、利用停止等の 対象とする。 ・オプトアウト規定により第三者に提供できる個人データの範囲を限定し、 ①不正取得された個人データ、 ②オプトアウト規定により提供された個人デー タについても対象外とする。

15. 今後の課題 ・電子化・スマートホームの流れは多少問題が起こっても止まらない。少なくとも以前 に戻ることはない。 ・紙がデジタルに変わっても、事実認定して法的判断をするという流れはあまり変わ らない。 ・事業の場合、電子化が方法じゃなくて時間短縮の目的となると、違う問題が起きる 可能性があると感じる。 ・問題が起きた場合、裁判所で解決を図るのか、行政でガイドライン等を作って違反 で罰金を科すのか、費用、時間、使い勝手の良さがどちらに寄っていくのかは、これ からの制度設計次第。

    ・エストニアについて分からないことが多い。