More Related Content
Similar to Start up datingセキュリティセミナー120628(割愛版)
Similar to Start up datingセキュリティセミナー120628(割愛版) (20)
Start up datingセキュリティセミナー120628(割愛版)
- 1. スタートアップが気をつけるべき
プライバシーとセキュリティ
AZX Professionals Group
エイジックス・プロフェッショナルズ・グループ
弁護士 雨宮 美季
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 2. 本日のセミナーのアウトライン~法的観点から
Ⅰ プライバシーとセキュリティーに関する法的規制って何?
「プライバシー」「セキュリティー」「個人情報」「ライフログ」それぞれの違いは?
プライバシーとセキュリティーに関する法的規制ってどんなものがあるのか?
「どこまでやればいいのか」について、現在法的にはどうなっているのか?
Ⅱ 具体的検討~実際に問題となった事例を参考に
(省略)
1
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 3. Ⅰ. 「プライバシー」「セキュリティー」に関するそれぞれの定義、位置づけ
「プライバシー」と「セキュリティー」の違いは?
「プライバシー」とは~
「ひとりで放っておいてもらう権利」としてアメリカの判例において発展
⇒ 「私生活をみだりに公開されない法的保障ないし権利」
(1964年 「宴のあと」事件一審判決)
:我が国でも憲法に基礎づけられた権利であることを認めた。
⇒ その後、最高裁判決によって、憲法上の権利として確立。
⇒ さらに・・・・
情報化社会の進展にともない、「自己に関する情報をコントロールする権利」
(情報プライバシー権)ととらえ、消極的な権利のみならず、積極的な権利に。
⇒ そして、さらに広義の「自己決定権」へ。
「セキュリティー」とは~
Wiki では
情報セキュリティ=
(じょうほうセキュリティ、英: information security)とは、情報の機密性、完全性、可用性を
維持すること。
「プライバシー」は「権利」であり、「保護される対象」。「セキュリティー」は「手段」
2
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 4. Ⅰ. 「プライバシー」「セキュリティー」に関するそれぞれの定義、位置づけ
「プライバシー」と「個人情報」の違いは?
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年
月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に
照合することができ、それにより特定の個人を識別することができることとなるものを含
む。)(第2条第1項)。
①生存する ②個人に関する情報 「自己に関する情報」=
プライバシーの方が広い!!
③特定の個人を識別できるもの
(他の情報と容易に照合して個人
を識別できるものを含む) 個人情報保護法の規律対象
<該当例>
特定の個人を識別できるメールアドレス
氏名、生年月日、その他の記述等
防犯カメラに記録された、本人が判別できる映像
情報
周知の情報を補えば特定の個人を識別できる情報
個人情報取得後に当該情報に付加された個人情報
<非該当例>
法人等の団体そのものに関する情報
特定の個人を識別できない統計情報
3
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 5. Ⅰ. 「プライバシー」「セキュリティー」に関するそれぞれの定義、位置づけ
「ライフログ」と「個人情報」の違いは?
2009年4月総務省「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」第二次提言によると・・・・
「ライフログ」=「蓄積された個人の生活の履歴」
ウェブサイトの閲覧履歴、検索履歴
位置情報
SNSに書き込まれた日記、交友関係の記録
Suica やPASMOなどによる乗車履歴
それ単独では、「個人を識別できない」場合は、個人情報にはあたらない。
但し、大量に蓄積されると「個人が識別できる」ようになり、個人情報にあたりうる。
4
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 6. Ⅰ. 「プライバシー」「セキュリティー」に関するそれぞれの定義、位置づけ
「ライフログ」と「プライバシー」の関係は?
2009年4月総務省「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」第二次提言によると・・・・
「ライフログ」=「蓄積された個人の生活の履歴」
ウェブサイトの閲覧履歴、検索履歴
位置情報
SNSに書き込まれた日記、交友関係の記録
Suica やPASMOなどによる乗車履歴
「ライフログ」が蓄積すると、個人の嗜好が推測できる
⇒自分なら「他人にみだりに知られたくないな」と思う。
⇒たとえ、個人が識別できなくても、プライバシー権侵害にはなりうる。
5
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 7. Ⅰ. 「プライバシー」「セキュリティー」に関するそれぞれの定義、位置づけ
では、行動ターゲティング広告で収集する情報は、「個人情報」?
「個人識別性」がなければ、「個人情報保護法」上の「個人情報」ではない。
『第二次提言』より
「一般に、行動ターゲティング広告等においては、利用者の興味・嗜好の分析に必
要な、
(i)ウェブページ上の行動履歴(閲覧履歴、購買履歴等)や
(ii)位置情報と行動履歴の取得及び広告等の配信に必要な、
(iii)クッキー技術を用いて生成された識別情報や、
(iv)携帯端末の識別に必要な契約者固有IDのみが必要であり、
特段の事情がない限り、これらの情報自体は個人識別性を具備しない。
よって、通常、行動ターゲティング広告等の事業者は個人情報取扱事業者には該
当しないと考えられる」
+ プライバシーの問題も忘れないように!!
6
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 8. Ⅱ. 「プライバシー」「セキュリティー」に関する法的規制は?
Ⅰ 個人情報保護法
Ⅱ 憲法上の「プライバシー権」「知る権利」
Ⅲ 電気通信事業法~「検閲の禁止」
Ⅲ 提言及び自主規制
2009年4月総務省「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」第二次提言
http://www.soumu.go.jp/menu_news/s-news/02kiban08_02000041.html
インターネット広告推進協議会(JIAA)による「行動ターゲティング広告ガイドライン」
http://www.jiaa.org/dbps_data/_material_/common/release/bta_guideline_release_100624.pdf
7
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 9. Ⅱ. 「プライバシー」「セキュリティー」に関する法的規制は?
個人情報保護法を理解するためのポイント
1 定義の正確な理解
個人情報とはなにか?個人データとの違いは?
2 目的外使用の禁止
個人情報をつかっていいのはどの範囲?
3 第三者提供の禁止
第三者に提供できるのはどのような場合なのか。
4 安全管理措置
個人情報の漏洩を防ぐため、どのような安全管理措置を講じるべきか。
5 保有個人データの取扱い
持っている個人データについての開示、削除等の請求について、どのように対応すべきか。
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 10. Ⅱ. 「プライバシー」「セキュリティー」に関する法的規制は?
個人情報保護法上、「個人情報」、「個人データ」、「保有個人データ」で取扱いが異なる。
個人情報 個人情報データベース等を構成する前の段階
生存する個人に関する情報、か 利用目的の特定(第15条)、利用目的による制限(第16条)
つ、特定の個人を識別可能
適正な取得であること(第17条)
個人データ 取得時における利用目的の通知(第18条)
個人情報データベース等を構成す 個人情報データベース等を構成した段階
る個人情報
データ内容の正確性確保(第19条)
保有個人データ
安全管理措置を講じる義務(第20条)
個人情報取扱事業者が、開示、 従業者、委託先に対する監督(第21条、第22条)
訂正、利用停止等及び第三者へ
の提供の停止を行うことのでき 第三者提供の制限(第23条)
る権限を有し、その存否が明ら
個人データの中で特に権限を有する情報
かになることにより公益その他
の利益が害されるものとして政 個人情報取扱事業者の氏名、名称等の公表義務(第24条)
令で定める個人データ又は6ヶ
開示(第25条)、訂正等(第26条)、
月以内に消去することとなるも
の以外の個人データ 利用停止等(第27条)
※ 個人情報データベース等とは、特定の個人を容
易に検索することができるように体系的に構成
された個人情報を含む情報の集合物をいう
9
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 11. Ⅱ. 「プライバシー」「セキュリティー」に関する法的規制は?
個人情報保護法上求められている「安全管理措置」とは?
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
(平成21年10月9日厚生労働省・経済産業省告示第2号)
http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf
法第20条:
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの
安全管理のために必要かつ適切な措置を講じなければならない。
【ガイドライン上、必要かつ適切な安全管理措置を講じているとはいえない場合】
事例1)公開されることを前提としていない個人データが事業者のウェブ画面上で不特定多数に公開されてい
る状態を個人情報取扱事業者が放置している場合
事例2)組織変更が行われ、個人データにアクセスする必要がなくなった従業者が個人データにアクセスでき
る状態を個人情報取扱事業者が放置していた場合で、その従業者が個人データを漏えいした場合
事例3)本人が継続的にサービスを受けるために登録していた個人データが、システム障害により破損したが、
採取したつもりのバックアップも破損しており、個人データを復旧できずに滅失又はき損し、本人が
サービスの提供を受けられなくなった場合
事例4)個人データに対してアクセス制御が実施されておらず、アクセスを許可されていない従業者がそこか
ら個人データを入手して漏えいした場合
事例5)個人データをバックアップした媒体が、持ち出しを許可されていない者により持ち出し可能な状態に
なっており、その媒体が持ち出されてしまった場合
事例6)委託する業務内容に対して必要のない個人データを提供し、委託先が個人データを漏えいした場合
10
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 12. Ⅲ. 「どこまれでやればいいか」について、現在法的にはどうなっているのか?
プライバシーポリシーって何のために作るの?
1 使用目的の特定と明示
特定して明示した目的以外には使用できない
2 第三者提供のルールの明示
個人情報保護法上「公表」
第三者に提供できる場合ってどんな場合か?
しておくべき事項を網羅で
きるようにする!!
3 開示、変更請求等への対応
開示等の請求に対する手続を定めておこう
4 セキュリティ方針のアピール
法的な義務ではないけれども、会社の姿勢を示すことになる
詳しくは、AZXメルマガ「プライバシーポリシー作成上の留意点」をご一読ください。
http://www.azx.co.jp/modules/malma/index.php/content0031.html
11
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 13. 質問 電子メールで広告を送る場合の問題点
Aは、インターネット上で商品を売買しているB社の商品を購入するために、
B社のホームページ上において、Aの氏名、住所、Eメールアドレス等を入力
した。
B社は、この会員登録の際に取得したEメールアドレスに、B社の商品やセー
ル等の広告を送ることができるか。
12
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 14. Ⅲ. 「どこまれでやればいいか」について、現在法的にはどうなっているのか?
平成20年12月1日施行の特定商取引法と特定電子メール法の改正内容
<改正後の特定商取引法>
第12条の3 第1項:販売業者・・・は、次に掲げる場合を除き、通信販売をする場合の指定商品若し
くは指定権利の販売条件・・・について、その相手方となる者の承諾を得ないで電子メール広
告・・・をしてはならない。
①相手方となる者の請求に基づき、通信販売をする場合の指定商品若しくは指定権利の販売条
件・・・に係る電子メール広告(以下「通信販売電子メール広告」という。)をするとき。
<改正後の特定電子メール法>
特定電子メール:電子メールの送信をする者(営利を目的とする団体・・に限る。)が自己又は他人
の営業につき広告又は宣伝を行うための手段として送信をする電子メールをいう。
第3条:送信者は次に掲げる者以外の者に対し、特定電子メールの送信をしてはならない。
一 あらかじめ、特定電子メールの送信をするように求める旨又は送信することに同意する旨を
送信者又は送信委託者に対し通知した者
→消費者の承諾なく広告メールを送信することは原則、禁止されている。
13
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 15. Ⅲ. 「どこまれでやればいいか」について、現在法的にはどうなっているのか?
⇒ 「広告」を送りたいなら、消費者からEメールアドレス等の個人情報を取得する際に、
広告メール送付に関する同意を得ておくべき
経済産業省HP:http://www.no-trouble.jp/gallery/1238064640892.pdf
総務省HP:
http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/pdf/m_mail_081114_1.pdf
例: B社よりお得な情報を各種メールでお届けいたします。
ご希望のメールを設定してください。
会員様限定お得メール 希望する
希望しない
サービス情報 希望する
希望しない
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 16. Ⅲ. 「どこまれでやればいいか」について、現在法的にはどうなっているのか?
利用規約は、サービスについてのサービス運営者とユーザーの間の
ルールを定めるもの。
→それが「法的効力」を有さなければ、いざというとき意味がない!
利用規約がサービス運営者とユーザーの関係に適用されるのは、サービス運営
者とユーザーの間で利用規約に基づく契約が成立するから。
民法上、契約が成立するためには、意思の合致が必要。
ユーザーに利用規約の内容を理解してもらった上で申込みを行ってもらったとい
えるような形をとっておくことが必須。
利用規約の内容を表示した上で、「利用規約に同意した上で申込みを行う」など
と書かれたボタンをクリックしなければ、サービスの利用開始ができない仕組み
を作っておくことが重要(名古屋地方裁判所平成20年3月28日判決参照)。
利用規約に重大な変更を加えた場合も同様に!そして、変更内容を記録に残し
ておく!!
15
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 17. Ⅲ. 「どこまれでやればいいか」について、現在法的にはどうなっているのか?
<同意の取得方法として不適切な事例> <同意の取得方法として適切な事例>
会員登録 会員登録
お客様の情報を登録してください。 お客様の情報を登録してください。
本サービスには下記の利用規約が適用されるため、事前に内容をよくお
読みになってからお申込みください。
利用規約
第1条
第2条
送信 利用規約の内容に同意して
申し込む
利用規約はこちら
・同意クリックが要求されていない。
・利用規約に従って取引が行われる
ことが明示されていない。
ウェブサイト中の目立たない場所に利用規約が掲載されているだけ
16
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 18. Ⅲ. 「どこまれでやればいいか」について、現在法的にはどうなっているのか?
経済産業省の「電子商取引及び情報財取引等に関する準則」
http://www.meti.go.jp/press/2011/06/20110627001/20110627001-3.pdf 23ページ以下
「・・・ところで、インターネットを利用した電子商取引は今日では広く普及しており、ウェブサイトにサ
イト利用規約を掲載し、これに基づき取引の申込みを行わせる取引の仕組みは、少なくともイン
ターネット利用者の間では相当程度認識が広まっていると考えられる。従って、取引の申込みにあ
たりサイト利用規約への同意クリックが要求されている場合は勿論、例えば取引の申込み画面(例
えば、購入ボタンが表示される画面)にわかりやすくサイト利用規約へのリンクを設置するなど、当
該取引がサイト利用規約に従い行われることを明示し且つサイト利用規約を容易にアクセスできる
ように開示している場合には、必ずしもサイト利用規約への同意クリックを要求する仕組みまでなく
ても、購入ボタンのクリック等により取引の申込みが行われることをもって、サイト利用規約の条件
に従って取引を行う意思を認めることができる。」としている。
ユーザーが利用規約の存在を認識し、それに容易にアクセスできる状態で「クリック等」の積極的な承
認行為を行い、そのログデータを取得できるのであれば、利用規約がユーザーによって同意されたこ
とをある程度立証できる。
逆にいえば、そのようなログデータを取得できないのであれば、利用規約に基づく法的拘束力の立証
は困難であることを十分に認識しておく必要がある。
なお、ユーザーが同意をした時点の利用規約の内容を立証できるよう、利用規約のバージョン管理を
しておくことも重要。
17
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 19. Ⅲ. 「どこまれでやればいいか」について、現在法的にはどうなっているのか?
利用規約を作成するにあたってのポイント
1 同意の取得(登録、変更時)
同意は、クリックしてもらう形で明確に取得するような仕組みを作ろう。
2 禁止事項の明確化
禁止事項は、具体的に、明確に定めるのが、クレーム対応には不可欠。
3 免責事項の明確化
サービス運営者が責任を負わない範囲を明確に定めておこう。
4 権利帰属、使用許諾
投稿された情報の権利は誰に帰属させるのか。使用許諾を受ける範囲はどう定めるか。
5 違反行為者への対応
違反行為者に対しては、どのようなペナルティーを課すのか。それは現実的に実行可能か?
6 クレーム対応と消費者契約法
クレーム対応に耐えうる規約を制定し、変更していく。消費者契約法の限界があることにも配慮。
18
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 20. Ⅲ. 「どこまれでやればいいか」について、現在法的にはどうなっているのか?
クッキーポリシー策定上の留意点~JIAAの「行動ターゲティング広告ガイドライン」を参考に
行動履歴情報を取得している事実等の「告知事項」を分かりやすいところに明示
問題点 1 提供を受ける者の範囲はどこまで明記すべきか?
問題点 2 取得される情報の項目はどこまで具体的に記載すべきか?
行動履歴情報を収集することの可否を容易に選択できる手段の提供
問題点 3 クッキーの収集を拒否できる旨をどこまで分かりやすく表示すべきか?
問題点4 クッキーの削除方法を伝えるとしても、マーキングサイトを訪問すればまた
蓄積される旨まで付記すべきか?削除した効果の記載は「サービスの全部又
は一部が利用できなくなる」でよいのか?
問題点5 Do Not Track(トラッキング拒否)の対応まですべきか?
19
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 21. Ⅲ. 「どこまれでやればいいか」について、現在法的にはどうなっているのか?
行動履歴情報を利用することの可否を容易に選択できる手段の提供
問題点6 広告配信の拒否は、オプトインか、オプトアウトか?
行動履歴情報が個人を特定できない情報の利用であることを明示
問題点7 そもそも個人が特定できてしまわないような情報の収集にとどめるには何をすべきか?
問題点8 個人情報にあたるものはプライバシーポリシーに従って取り扱われる旨を
明記すればよいのか?
広告の掲載媒体社、行動履歴情報を提供する媒体社、配信事業者それぞれの明示義務
問題点9 広告配信事業者は、掲載媒体社、行動履歴情報を提供する媒体社にどこまで
クッキーポリシーの制定(又はプライバシーポリシーへの記載)を義務付けるべきか?
20
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 22. Ⅴ. おわりに・・・
「法的」な規制は最低限のレベル。
「個人情報保護法」で保護される「個人情報」は範囲が狭すぎる。「プライバシー」はあいまい。
「法的」な規制を形式的に守るだけでは、ユーザーの反発を受けることが!!
どんな人がサービスを利用するのか、想像力をはたらかせ、そのひとたちが後から知ったら「い
やだな」「気持ち悪いな」と思うようなことであれば、先にちゃんと明示して同意を得ておこう。
ユーザーテストは必須!!
これからのウェブサービスでは、「個人情報」に限らない、およそ「人に関する情報」、
「プライバシー」に対する配慮をみせることが不可欠。
そして、その情報を適切なセキュリティ対策をとって、保護することがサービスへの信
頼につながる。
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 23. AZX Professionals Group(1/2)
AZX(エイジックス)は、ベンチャー・ビジネスに対して最高の品質の法務、特許、税務、会計、労
務その他の専門サービスを提供するプロフェッショナル集団です。
法務 Real One Stop
弁護士・司法書
士 行政書士 Service
AZX(エイジックス)は、各士業の規制に配慮して、
形式上、法律事務所、特許事務所、会計事務所、
社会保険労務士事務所等に分かれておりますが、
特許 労務 単なるネットワークではありません。物理的にもオ
弁理
AZX 社労
フィスを共有し、クライアントに対して一つのファー
ムとして機能しており、真のワンストップサービス
士 士 を実現しております。
<構成組織>
AZX総合法律事務所
AZX総合会計事務所
税務・会計
AZX国際特許事務所
公認会計士
税理士 AZX社会保険労務士事務所
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 24. AZX Professionals Group(2/2)
AZX総合法律事務所は、ベンチャー企業向けのサポートに特化しているため、法務サ
ポートについて通常の法律事務所と異なる以下のような特徴を有しています。
AZX総合法律事務所
ベンチャー・ビジネスに特化した法律事務所
AZX総合会計事務所
AZX国際特許事務所
ベンチャー企業の法律問題のナレッジの蓄積
AZX社会保険労務士事務所
大手証券会社のIPO引受審査
ベンチャー企業を優先したサービス提供
ベンチャー企業向けの料金体系
ビジネスへの理解
One Stop Serviceの実現
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp
- 25. お問合せ
AZX Professionals Group(エイジックス・プロフェッショナルズ・グループ)
AZX 総合法律事務所
〒102-0083
東京都千代田区麹町4丁目1番地 半蔵門ファーストビル1階
TEL: 03-3512-2531
FAX: 03-3237-2175
e-mail: contact@azx.co.jp
URL: http://www.azx.co.jp
AZX のHPをリニューアルしました! URL: http://www.azx.co.jp
①各種書式の雛型、②ベンチャー業界の皆様が知っておいた方がよいと思われる事項
のQ&A、③質問伝言板などのページを新たに設定いたしました。
設立手続のマニュアルと関連書面のひな型もアップしましたので、これから起業する皆様
にて是非ご利用いただければ幸いです。NDAや創業株主間契約のひな型もアップしてい
ます!
地道に日々の情報発信もfbとtwitterでやってます。
Facebookページ http://www.facebook.com/azxgroup
Twitter http://twitter.com/intent/user?screen_name=AZXGroup
24
© 2012 AZX Professionals Group. All rights reserved. by AZX, http://www.AZX.co.jp