iotに関するセキュリティ -...
TRANSCRIPT
IOTに関するセキュリティ
33
日本におけるIoTのセキュリティ検討
IoT推進コンソーシアム セキュリティWG(座長:佐々木良一東京電機大学教授)を設置。
IoTセキュリティガイドラインVer1.0を公開(2016年7月)
34
http://www.meti.go.jp/press/2016/07/20160705002/20160705002.html
世界の状況(1)
産業向けの汎用的なIoTのセキュリティについては、EU、米国、ドイツにおいて標準化が進んでいるが、IoT機器についてはいずれもシステム全体の中での構成要素(コンポーネント)としての位置づけ。
また、コンシューマ向けについては明確な定義が定まっていない。
EUでは、ENISAが欧州委員会に対して“Cybersecurity certification framework”を提案。ただし、これはENISAがEUにおける認証機関となることについての提案であり、具体的なセキュリティの要件については標準規格を採用するということが記載されている程度。
米国は、NISTとIICがそれぞれ産業向けにフレームワークを発表。また規格としてはNISTのSP800シリーズが主たるものとなっている。具体的な要求仕様は定められているが、認証については定められていない。
ドイツはPI4にて分野別にガイドラインを策定。基本的に制御システム向けのIEC62443シリーズに準拠するものであるが、Industrie 4.0のリファレンス・アーキテクチャとの整合性を取りつつ、IoT全般に対応させようとしている。認証についてはシリーズの各パートに対応する既存の認証スキームを採用。
35
世界の状況(2)
IEC62443-4シリーズで、コンポーネント(装置、デバイス)層のセキュリティ機能や開発プロセスの要件が定められており、これに対応する認証プログラムはEDSA。
コンシューマー向けのIoT機器は、細分化された分野別の民間業界団体による認証は多数存在するが、品質と互換性の保証が主たる目的となっており、セキュリティ面は弱い。また、国際的な標準化の動きは鈍い。
➢ B2CとB2Bは求められるものが異なるという見解が大勢• ネット系事業者はISO27000シリーズで対応
• インフラ等事業者は62443ベースで対応
36
Copyright © 2017 JIPDEC All rights reserved
【参考】俯瞰図
37
EU委員会⇔AIoTI
ドイツ政府⇔PI4
USNIST⇔IIC
Security in RAMI4.0Industrie 4.0 Security Guidelines(VDMA)
規格:IEC62443シリーズ(認証が含まれる)
Industrial InternetSecurity Framework
↑NIST Framework for
Cyber-Physical Systems
規格:SP 800シリーズ(認証含まれず)
ISA99がベースまたは策定に協力
標準規格を中心に各国の要求を整理分野毎にセキュリティを検討
(認証はENISA?)
アーキテクチャを含めたすり合せ
(Task Force)
伊仏
2国間連携
中国
日本
2国間連携
産業IoT(IIoT)については、米国とドイツはフレームワーク、要求仕様などを可能な限り共通化しようと進めており、標準化は、ISO/IECに収束。
AIoTIは、主に各国の調整と産業分野毎の検討をビジネスベースで検討しており、統一的なセキュリティ・フレームワークは見当たらない。これに対し、EU委員会は政治的な欧州単一市場の観点から制度化を検討している模様で、ENISAがフレームワークを提案。
欧州内の各国は、一部で対ドイツ的な独自の戦略と組織はあるものの、概ねドイツとの連携を強める方向。したがって、セキュリティに関して独自の方向性を打ち出すことは考えにくいが、AIoTIとPI4のどちら寄りで進めるのかは不明。
中国は、ドイツとの連携が非常に強いが、具体的なドキュメントに乏しく、動向は不明。
官民データ活用推進基本法以降の動き
38
官民データ活用推進基本法
39
目的:インターネットその他の高度情報通信ネットワークを通じて流通する多様かつ大量の情報を活用することにより、急速な少子高齢化の進展への対応等の我が国が直 面する課題の解決に資する環境をより一層整備することが重要であることに鑑み、官民データの適正かつ効果的な活用(「官民データ活用」という。)の推進に関し、基本理 念を定め、国等の責務を明らかにし、並びに官民データ活用推進基本計画の策定その他施策の基本となる事項を定めるとともに、官民データ活用推進戦略会議を設置することにより、官民データ活用の推進に関する施策を総合的かつ効果的に推進し、もって国民が安全で安心して暮らせる社会及び快適な生活環境の実現に寄与する。(1条)
第1章 総則 「官民データ」とは、電磁的記録(※1)に記録された情報
(※2)であって、国若しくは地方公共団体又は独立行政法人若しくはその他の事業者により、その事務又 は事業の遂行に当たり管理され、利用され、又は提供されるものをいう。(2条)※1 電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られ る記録をいう。※2 国の安全を損ない、公の秩序の維持を妨げ、又は公衆の安全の保護に支障を来すことになるおそれがあるものを除く。
基本理念①IT基本法等による施策と相まって、情報の円滑な流通
の確保を図る(3条1項)②自立的で個性豊かな地域社会の形成、新事業の創出、
国際競争力の強化等を図り、活力ある日本社会の実現に寄与(3条2項)
③官民データ活用により得られた情報を根拠とする施策の企画及び立案により、 効果的かつ効率的な行政の推進に資する(3条3項)
④官民データ活用の推進に当たって、・安全性及び信頼性の確保、国民の権利利益、国の安全
等が害されないようにすること(3条4項)・国民の利便性の向上に資する分野及び当該分野以外の
行政分野での情報通信技術の更なる活用(3条5項)・国民の権利利益を保護しつつ、官民データの適正な活
用を図るための 基盤整備(3条6項)・多様な主体の連携を確保するため、規格の整備、互換
性の確保等の 基盤整備(3条7項)・AI、IoT、クラウド等の先端技術の活用(3条8項)
国、地方公共団体及び事業者の責務(4条~6条)法制上の措置等(7条)
第2章 官民データ活用推進基本計画等 政府による官民データ活用推進基本計画の策定(8条) 都道府県による都道府県官民データ活用推進計画の策定(9条1項) 市町村による市町村官民データ活用推進計画の策定(努力義務)(9条3項)
第3章 基本的施策 行政手続に係るオンライン利用の原則化・民間事業者等の手続に係るオンラ
イン利用の促進(10条) 国・地方公共団体・事業者による自ら保有する官民データの活用の推進等、
関連する制度の見直し(コンテンツ流通円滑化を含む(11条) 官民データの円滑な流通を促進するため、データ流通における個人の関与の仕
組みの 構築等(12条) 地理的な制約、年齢その他の要因に基づく情報通信技術の利用機会又は活用に
係る格差の是正(14条) 情報システムに係る規格の整備、互換性の確保、業務の見直し、官民の情報シ
ステ ムの連携を図るための基盤の整備(サービスプラットフォーム)(15条) 国及び地方公共団体の施策の整合性の確保(19条) その他、マイナンバーカードの利用(13条)、研究開発の推進等(16条)、
人材の 育成及び確保(17条)、教育及び学習振興、普及啓発等(18条)
第4章 官民データ活用推進戦略会議 IT戦略本部の下に官民データ活用推進戦略会議を設置(20条) 官民データ活用推進戦略会議の組織(議長は内閣総理大臣)(22,23条) 計画の案の策定及び計画に基づく施策の実施等に関する体制の整備(議長によ
る重 点分野の指定、関係行政機関の長に対する勧告等)(20条~28条) 地方公共団体への協力(27条)
附則 施行期日は公布日(附則1項) 本法の円滑な施行に資するための、国による地方公共団体に対する協力(附則
2項)市町村官民データ活用推進計画の策定(努力義務)(9条3項)
関係府省・自治体からの依頼
自治体が公開するデータについて、民間ニーズはあるか。
自治体が非識別加工情報(民間で言う匿名加工情報)を作成するにあたり、配慮しなくてはならない点は何か。
情報銀行やPDS(Personal Data Store)の具体化において必要な点はなにか、など。
40
民間事業者の行政が保有する情報のニーズ
サービス構築では、「お店ができた」、「駐車場ができた」などの情報を調査し、網羅性と鮮度を整えることが必要。
これらの情報は行政機関に様々な形で提出されているものであり、オープンデータとして利用するニーズが高い。
41
届け出などの情報を公開してもらうだけで、事業者の効率は上がり、データ利用は進む。
(平成23年度 gコンテンツ流通推進協議会調査)
個人を特定して利用したいもの
当協会で運営するコンソソーシアムへニーズを問いかけたところ、個人を特定するために利用したいというニーズを確認。
➢ 一覧表中の閲覧可能の台帳をデジタル化して欲しいというニーズは除く。
42
事業者 ニーズがある情報 用途
転職・就職 免状台帳など資格関連の情報真正性の確認(現状、個人からの自己申告であ
るが、偽造できる紙の免許等による確認したで
きないため)
冠婚葬祭墓園ファイル
火葬簿・墓守が遠方の場合、墓の移動(改葬)の営業
のため
金融機関国保、年金、手当などの受給
関連の情報真正性の確認(現状、偽造できる書面による確
認しかできないため)
デベロッパー 未登記情報 再開発プラン作成のため
自動車 軽自動車課税 地域営業のため
営業宅地建物取引業者名簿、高圧ガス製造保安
責任者、第一種・第二種電気工事士免許交
付者システム
資格教育の営業のため
事業者を特定して利用したいもの
営業等の目的で、事業者を特定するために利用したいニーズを確認。
43
ファイル名
浄化槽公示事業者一覧
建設許可台帳(但し、法人分のみ)
未登記データおよび権利者情報(但し、法人分のみ)
定期報告台帳
建築行政共用データベース
開発許可情報システム
屋外広告業登録簿
浄化槽索引簿(但し、法人設置のみ)
電子工事事業者登録意ステム
ファイル名
開発事業者事前協議申請者受付台帳
建築確認等処理台帳(概要書のみ)
非識別加工を行った情報として利用したいもの(例)
エリアマーケティング分析、コンテンツの充実の観点で利用ニーズが顕在。➢ マーケティングデータでは、丁目レベルでのデータ利用ニーズを確認。
44
ニーズがある情報 利用したい情報
食品営業施設台帳 食品営業許可を受けた事業者(店舗)の名前と住所
特定有料賃貸住宅入居者情報 当該物件が“賃貸である”という事実
固定資産税・都市計画税(土地・家屋)課税情報ファイル
建物の属性(一戸建て、アパートなど)、所有者の有無
固定資産税(償却資産)課税情報ファイル
建物の属性(一戸建て、アパートなど)、所有者の有無
(人口統計と組み合わせて、正確な分布の分析に利用等)
国民年金データベース 受給を受けている人数のエリア(丁目ごと等)の分布
災害用支援者ファイル 対象者の人数のエリア(丁目ごと等)の分布
障碍者福祉総合システムファイル対象者の人数のエリア(丁目ごと等)の分布
(当該区域のバリアフリー開発に利用等)
生活保護システム情報ファイル対象者の人数のエリア(丁目ごと等)の分布
非識別加工に関する相談
目的➢ 全国学力・学習状況調査とアンケート結果から、地域の小中学校の生徒の基礎学力
を充実させる。
• テスト結果から、学習深度と正答率の相関を出し、eラーニング用カリキュラムを生成する。
• アンケート結果から、学習深度と生活習慣の相関を出し、アドバイスカリキュラムを生成する。
45
全国学力・学習状況調査結果
アンケート結果
問題の正答と学習範囲の相関データ
非識別
加工
生活習慣モデル
非識別
加工
eラーニング用カリキュラム
アドバイス用カリキュラム
市役所
大学と民間事業者の協働
地域学習力アップクラウド(仮称)
特徴にあった学習習慣
医療・健康データの共有
日本は遺伝子上、胃がん・肺がん・肝臓がんの発症率が高い(北米の7倍【World Cancer Report 2014】)
2013年からゲノムコホート(健康な100万人のDNA、生活習慣から病気の発症原因を探る)を開始。
エピジェネティックス(環境要因によって、遺伝子が変化すること)の原因を究明した治療法の開発が進展する可能性が高く、医療、レセプト、生活習慣などの情報の共有が進展するのではないか。
46
リアルタイムデータ
生体情報環境情報行動情報
電子カルテ レセプト
食生活
運動 睡眠
遺伝子
個別医療の実現
情報を預託する仕組み
(一社)データ流通推進協議会設立(11月27日)
活動内容
➢ データ流通事業者等の運用基準の策定
➢ データ流通事業者等の技術基準の策定
➢ データ流通事業者等の運用基準及び技術基準に基づく認証・監査・公表
➢ データ流通市場活性化のためのデータ利活用の創出支援
➢ データ流通市場を巡る法的課題や国際連携等に関する調査・研究
➢ データ流通市場に関連する関係省庁への政策提言及び関連団体との連携
➢ 前各号に掲げるもののほか、データ流通市場の健全な成長のために必要な活動
47(http://data-trading.org/)
経済産業省等の取り組み
業種・業界を超えたデータ流通(組み合わせ利用など)が付加価値の増大、競争力の強化を実現することから、データ共有を促進する制度を検討。
共有事業者の認定制度を検討。
48
データ共有事業者
・公益性が高い分野(インフラ、防災減災、防犯、安全、エネルギなど)において、データ流通のハブになる事業者
データ保有事業者
・公益性が高い分野のデータを保有する事業者
提供 提供
データ利用事業者
・社会課題解決等にデータを利用する事業者
事業計画書
認定
【支援措置(検討中)】・データ保有事業者へのデータ提供要請・サイバセキュリティ対策の支援・税制優遇措置・グレーゾーン解消制度の適用促進など
49
衛星データ
UI開発
衛星運営主体(JAXA等)
民間企業
データPF開発
衛星データ共有事業者
自治体
大学医療機関
衛星データ
Eコマース
金融データ
気象データ
農業
PF
防災減災
資源開発
・地理情報提供クラウドサービス
・情報配信サービス
・人名救助、復旧、復興
・災害監視システムの開発
・穀物生産の最適化・農作業の効率化・営農情報提供サービス
・森林減少、劣化等の情報提供
・違法伐採監視・発電設備設置支援
各種ビッグデータ
インフラ・地図作成、メンテ・海底資源開発の安
全操業
利活用領域(例)
オープン&
フリー
標準処理依頼
データ提供
データ提供
地図データ 自動走行車のダイナミックマップ用データを共同で開発、データ共有。
想定する認定事業者:一般財団法人
自動車会社
データ収集
・道路形状・車線情報・構造物情報・地物情報
等
地図データ共有事業者
自治体
デベロッパー等
自動車会社A
一般道情報
気象データ
自動走行
地図
•共通の情報基盤による自動走行ビジネスの活性化
•競争領域への経営資源の集中投下
各種ビッグデータ
都市開発
利活用領域(例)
地図基盤データ
共同出資
データ提供
自動車会社B
地図会社 等
•リアルタイムに更新可能な高精度地図
•災害等緊急時における避難経路等の特定・共有化
•最も効果的な「次の道路」の設計
•人流等の高精度な予測に基づく最適な店舗設計
宇宙、気象等空間に関するデータの活用による、農業や資源開発等の幅広い産業の生産性向上。
想定する認定事業者:共同出資会社
産業データ共有事業の例
産業データ共有事業の例
加工
人流・混雑度
時間・位置情報
年齢・性別
顔特徴情報
防災
都市計画・活性化
迷子・徘徊対策
・歩行交通量調査に基づく都市計画
・街のにぎわい活性化
・状況に応じた避難計画/誘導・身元・行方不明者の捜索
迷子・認知症患者の徘徊検知
犯罪等捜査・不審者・容疑者の捜索・身元・行方不明者の捜索
未加工
カメラ情報共有事業者
パブリックスペース
セミパブリックスペース
(交通機関スタジアム)
私的スペース(商業施設…)
映像DB
顔・人物画像人流
混雑度年齢、性
別特徴量
車載カメラ
ウェアラブルカメラ
ドローンカメラ
パーソナルロボット
搭載カメラ
カメラ設置事業者
カメラ画像データ バイオデータカメラから入手する匿名加工データの活用による安全安心な街作り設計。
船舶・洋上構築物データ 造船会社、船主、運航会社等がデータの利用権限を明確化した上で、船舶データ、海象データを共有する仕組み。
プラントデータ プラント等のビックデータ解析技術活用を促進する、自主保安の高度化等のための仕組み
デベロッパー等
データ収集等
・事故予測データ・内面腐食予測・外面腐食予測・損傷確率データ
プラントデータ活用プラットフォーム
ベンダー
プラント事業者
事業所内データ利活用領域(例)
データ提供
データ提供
内面腐食予測
異常検知データ• プラントの効果的な保守、運
用• プラントの安全設計の高度化、
標準化
製油所
事業所内データ
点検データ
外面腐食予測
化学プラント
運転事故予測
損傷確率DB
事故予測データ
研究機関 データ提供
仕様の
国際標準化
データ名称の国際標準化
船主保有船
状態データ
運航オペレータ
運航・船体データ
運航・データ
機関・装置データ
利活用領域
運航管理会社
造船所
舶用機器・装置メーカー
情報サービス会社
・省エネ運航・状態モニタリング
・環境規制対応計画立案・クリーニング計画立案
・データ解析サービス・モニタリングサービス
・リモートメンテナンス・故障検知
・造船設計最適化・省エネ船開発
気象データ風力発電所 洋上風力発電所の運用管理
気象データ海洋発掘事
業者石油発掘リグの運用管理
気象情報 船舶・洋上データセンター
航海データ
機械エンジン
発電機・ボイラ
船舶情報
データ
配信(API)
データ提供
データ提供
風向・風速・波高
海水温・海流
等
船体構造応力
気象情報データ
航海系記録データ
機関系センサーデータ
船体モニタリングデータ
船舶ビッグデータ
等
海外船舶データ共有事業者
仕様の国際標準化
連携
新たな分野での活用
• ビル建設等における安全設備の開発
• 高度な安全性が担保された都市開発
• 高精度な事故防止システムの開発
• 工場内機器の効果的なメンテナンス
企業等保有資源の情報
生物資源データプラットフォーム ユーザー
(産業界等)生物資源保有者
公的機関の生物資源情報
生物データ
企業等が保有する生物資源の分析・機能データ
ゲノム情報、代謝物情報等 ビッグデータ化
豊富な保有生物資源
AI等解析による生産技術促進
BDとAI技術等を活用、物質生産量増大等、狙った機能を発現するための最適な遺伝子配列の解析・設計を実現
生産量up
最適設計生物
データ
50
データ取引に関するガイドライン
経済産業省では、『データ利用権限に関する契約ガイドラインVER1.0』を公開(現在、改定作業中)
➢ 事業者間におけるデータ連携実施時の利用権限等の調整事項について明記していることから、これを認定条件として利用することを検討
51
創出/取得 保存/管理 利用
技術的寄与度 経済的寄与度(コスト負担) 対価
経済的寄与度(コスト負担) 安全管理、セキュリティ 協調領域・競争領域
機器所有権(リース権等) 守秘義務(転々流通防止)メリット・インセンティブの有無
施設・環境の提供 知財処理との整合データの必要性・有用性自らの事業との関連性活用能力、データの用途
操作主体 対個人の責任の所在 データの公共性
契約目的 データに係る責任の所在
目的物等とデータの関連性
独自性
(『データ利用権限に関する契約ガイドライン VER1.0』に掲載された配慮要素)
関係府省からの質問など
海外事例があるか
➢ データ流通事業者を認定している事例はない。
国内の動向はどうか
➢ 自動車会社、ネットサービス事業者、スポーツ事業者、製造事業者から相談がきている。
認定制度についてどうか
➢ 事業者は、既存の認定や認証を受けているところが多い。新たな認定を受けることは負担になるのではないか
➢ よって、求める要求事項が、既存の認定や認証の取得で読み込める(セキュリティ、個人情報の取り扱いなど)のであれば、それを利用し、負荷が大きくならないように考慮してほしい。
今後考えられる動き
➢ 産業データバンクの認定制度が産業競争力強化法等で定まると、主務大臣が定められる。(経済産業省、総務省、農林水産省など)
➢ パーソナルが関連するデータバンクの場合、個人情報保護委員会の関与が必要なのではないか。
52
データ流通の将来像
データ流通は、『相対取引→複数取引→市場』という段階を踏み、発展していくのではないか。
53
相対取引 複数取引 市場 商品
形式 1対1 1対N N対N パッケージ
特徴専門家が介在し仲介
利用権のみ、加工済みデータなどの販売もある
・リアルタイム・保有権売買などもある
・証券化・ファイナンス商品
主な用途
のれん代(M&A時)の算出など
データ利用 データ利用データ利用金融機能
当協会の取り組み
情報の経済価値に関する調査研究
・データ流通促進WGの検討・認定個人情報保護団体の相談
情報の価格設定に関する調査等が必要ではないか?
今回の政策の適用範囲
パーソナルデータに関する動き
54
域外移転
55
一般データ保護規則について
EUでは、欧州(※1)に適用されるEUデータ保護指令を改正し、2016年4月に一般データ保護規則(General Data Protection Regulation、GDPR)を採択。(2018年5月施行予定)
56(※1)欧州経済領域(European Economic Area、EEA)は、EU28か国にアイスランド、リヒテンシュタイン、ノルウェーを加えたもの
『指令』から『規則へ』 EU各国の国内法整備だったものから、直接適用する。
域内越境データの処理域内で国境を越えたデータ処理を行う場合、事業者の主たる拠点を置く国のデータ保護
監督機関(Data Protection Authority、DPA)が窓口となる。
一貫した制度運用29作業部会を改組し、『欧州データ保護会議』を設置し、EU各DPAによる運用の一貫
性を確保する。
データ主体
(個人)の
権利
忘れられる
権利
ネット上で個人データのリンクやコピーされた個人データについて、本人から削除要求
があった場合に、データ管理者は、削除要求をデータを扱う者へ通知する義務がある。
データポー
タビリティ
共通に用いられる電子的なデータ形式で、自らのデータをデータ管理者が取得できる。
また、自らのデータをある管理者から別な管理者へ移転する権利を有する。
同意
個人データの処理に必要な同意は、任意かつ対象データが特定され、明確に行い、情報
提供を受ける。またインターネットを介して13歳から16歳の子供の同意は親権者の同
意が必要である。
説明責任
・データ保護・バイ・デザインの原則の導入
・データ保護影響評価の実施
・データ保護オフィサーの設置を義務化
漏えい時の通知義務
・原則、DPAに対して72時間以内に通知。
・データ主体に対して、プライバシー等に悪影響を及ぼす可能性が高い場合は遅滞なく
通知。
制裁金規則に違反した場合、2000万ユーロまたは、当該事業者の全世界連結売上の4%を上
限とした金額のどちらか高い方を設定。
事業者が行う越境データ移転の方法
従来のデータ移転についてGDPR施行後も変更なし。(欧州委員会の修正や無効化がされた場合は除く)
57
方法 概要
十分性認定を受けた国・
地域への移転
・欧州委員会が十分なデータ保護水準を有することを決定した国や地域
・ニュージーランドやイスラエルなど
適切な安全
措置
標準契約条
項(SCC)
・欧州委員会により承認された書式を利用した契約
・データ管理者間のSCCと、データ管理者と処理者間のSCCがある。
拘束的企業
準則
(BCR)
・同一グループ企業間での越境データ移転する際に、当該企業グループ内
で遵守する事項を決め、DPAの承認を得る
行動規範
・業界団体等が事業分野に合わせて策定した行動規範に対し、管轄する
DPA、欧州データ保護会議が承認を行う。
※詳細未発表。
認証
・欧州データ保護会議によって認定された認証機関が、基準を満たした企
業に認証を与える仕組み
※詳細未発表
例外・十分性決定、適切な保護措置が無いことによる移転において、生じるリ
スクの情報を提供した上で、データ主体が明示的な同意をしている場合。
日・EUとの交渉の推移
58
項目 時期 合意事項
「データ経済」推進を目的とするコミュニケーション(指針)「欧州データ経済の構築 」を発表
2017年1月 日本と韓国は強固なデータ保護制度が整備された貿易相手国であることを認め、EU域外への個人データの移転をEU加盟国並みに柔軟にできるよう認めるための協議を、日本と韓国について優先的に進める方針を公表。
日EU間の個人データ移転について協力対話を実施
2017年3月 欧州委員会委員と個人情報保護委員会委員の間でさらなる対話を行うこと等を通じて、相互の円滑な個人データ流通の実現のための具体的方策についての合意形成を図っていくことに合意
個人情報保護に関する日・EU対話の進捗状況に関する共同声明
2017年7月 日本とEUそれぞれがプライバシーに関する法制を改正したことにより、両制度の間の収れんが増したことを確認(7月3日)
第24回日EU定期首脳協議の成果文書として、 個人データの越境移転に関する政治宣言が発出
日・EUの個人情報に関する法制度と独立した監督機関による制度の収斂が進んでいることから、2018年の早い段階でデータの交換を実現することを確認。(7月6日:日EU・EPAの大枠合意)
APECプライバシーフレームワーク(2004年10月29日採択)➢ APEC加盟エコノミーにおける整合性のある個人情報保護への取組を促進し、情報流通に対する
不要な障害を取り除くことを目的として制定
CPEA(越境執行協力協定)(2009年11月)➢ エコノミー内での情報の取得と管理について、国内の法規や指針を対象に参加国で対応。
➢ 参加国は豪州、ニュージーランド、米国、香港、カナダ、日本、韓国、メキシコ、シンガポール(日本は2011年11月以降、国内の16省庁がプライバシー執行機関として参加)。
• 事案照会・共同調査・執行活動等のプライバシー保護法の執行に係るプライバシー執行機関間の有効な越境的協力
CBPR(越境個人情報保護ルール)(2011年11月)➢ それを運用するための仕組みとして、CBPRシステム(APEC越境プライバシールールシステム
;APEC Cross Border Privacy Rules System(CBPR))を構築
➢ 米国、メキシコ、日本、カナダが参加(韓国、台湾、シンガポール等が参加予定)
• CPEAに参加しているエコノミーの中で、CBPRへの参加を申請し承認を受けたエコノミーで運用。少なくともAAを一機関を有することが必要。
– 米:TRUSTArc、日本:JIPDEC
59
APEC/CPEA
・承認、勧告など
プライバシー執行機関間の有効な越境的協力
AAによるCBPR認
証
ネットサービスにおける個人情報の取得等
安心・信頼など
APEC域内の消費者等
APEC/CBPRについて
日本の越境移転規制
改正法24条
➢ 日本と同等水準の個人情報保護法制を有すると個人情報保護委員会が定めた国
➢ 日本の個人情報取り扱いに相当する措置を講じている外国の第三者への提供
• 個人情報保護委員会のガイドラインに示された措置(安全管理措置)が講じられている場合
• 提供先の外国企業がAPEC/CBPRの認証を取得している場合
– アマゾン、HPなどアメリカ企業しか現状無い。
• 提供元の国内企業がAPEC/CBPRの認証を取得している場合、外国企業に対して、提供元に代わって個人情報を取り扱わせることができる。
60
他の地域はどうなのか
日本の訪日観光客の70%以上がアジアからの旅行者。
GDPRにおいて、十分性認定が行われた場合、越境移転については整理ができる。
➢ 越境個人情報移転規制:当該国内で取得された個人情報を外国へ持ち出すことに対する規制
➢ 域外適用:海外からインターネット等で当該国の個人情報を取得する際に、その国の個人情報保護法制が外国企業に適用される制度
一方で、アジア各国からの域外移転、更にはEUを含め域外適用については、どのように対応すべきなのか
61
パーソナルデータ取得
パーソナルデータ
パーソナルデータの提供・委託
越境移転に該当
域外適用(外国法令全体が適用。個人情報に限らない)
アジア各国の越境移転や域外適用の状況
想定ケース
➢ 当該国の現地法人が個人情報を取得し、来日時にサービス等を提供
➢ 訪日外国人が日本国内で個人情報を取得され、帰国後にも継続的にサービスを利用
62
国 対象法律 特徴
中国
オンライン情報保護強化に関する決定(2012)公共及び商業情報システムにおける個人情報保護ガイドライン(2013)サイバーセキュリティ法(2017)
越境移転規制有
韓国個人情報保護法(2011)情報通信網利用促進及び情報保護等に関する法律(2008改正)
越境移転規制有
フィリピン データプライバシー法(2012)、及び施行規則(2016)機微情報の越境移転は登録が必要
台湾 個人情報保護法(2012)分野限定で越境移転規制有
マレーシア 個人情報保護法(2013) 越境移転規制有
シンガポール 個人情報保護法(2014) 越境移転規制有
タイ 法整備中 明記予定