プロ責法あらため情プラ法が成立しました(5月10日)
わたしも構成員であった総務省プラットフォームに関する研究会での検討を受けて、この3月に国会に提出された改正「プロバイダ責任制限法」1改め「情プラ法」2が、木村花さんの4回目の命日(5月23日)を前に、5月10日、国会で成立しました。法律名が変更されたのは「これまでの投稿の発信者情報の開示等にとどまらない内容となったため」3です。 法案、その他の関係資料は以下のとおりです4。 令和6年3月1日特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案概要【325 KB】 要綱【97 KB】 法律案・理由【160 KB】 新旧対照条文【254 KB】 参照条文【310 KB】 (所管課室名) 総合通信基盤局電気通信事業部利用環境課(出所)総務省 <https://www.soumu.go.jp/menu_hourei/k_houan.html> (2024
EUデジタルアイデンティティウォレットのリファレンス実装が公開されました
3月8日にX(旧Twitter)でお知らせしましたが、EU Digital Identity Wallet の Reference Implementation が公開されました。 EUDI Wallet Reference Implementation が出たようです。自分でコンパイルしないと使ってみることできなさそうですが。Open Wallet FoundationのメーリスではUX悪すぎと話題w https://t.co/KsFQPsUQ3y — Nat Sakimura/崎村夏彦 (@_nat) March 8, 2024 GitHubのアドレスは、こちらです。曰く: EUDIウォレットリファレンス実装は、アーキテクチャリファレンスフレームワーク(ARF)に基づいて構築され、欧州連合全体の共通規格に基づくデジタル識別、認証、電子署名のための堅牢で相互運用可能なプラットフォームを紹
JSON Web Signature (JWS) の標準化がIETFで始まっています
JSON Web Signature という、JSON に署名をつけるための標準化が、IETFのJOSE Working Group で始まっています[1]。 初期ドラフトは http://tools.ietf.org/html/draft-ietf-jose-json-web-signature-00 私の名前も出ていますが、これは、 OpenID Foundation の AB/C Working Group で検討していたものをIETFに持ち込んだためです[2]。 @ritou さんが、「OAuth 2.0時代の署名つきリクエストとは」というエントリで触れられていますが、Facebook の signed_request によく似ています。 大きな違いは、signed_request が 署名 . 本文 の形式になっているのに対して、JWSでは、 ヘッダ . 本文 . 署名 になって
idcon vol.29 WebAuthn, Next Stage まとめ
去る10月12日に、田町のマネーフォーワードでidcon vol.29 が開催されました1。 以下、リアルタイム tweet していたもののまとめです。 Android & Chrome 上での Passkey 実装について by @agektmr プレゼンテーション概要 1) passkey は password を置き換える技術。2段階認証なども置き換える。2) ローカルで認証できる。生体認証はネットワークに送られない。3) 作られたpasskeyはデバイス間で同期されるPasskey は Google, Apple, Microsoft 三社の協調した取り組み。passkey のここがすごい:技術は @FIDOAlliance と W3C の WebAuthn WGで標準化されているそれ自体で2要素認証。所有+Knowledge or Inheritanceフィッシング攻撃耐性がある
JIS X 9252 『オンラインにおけるプライバシーに関する通知及び同意』に関する意見受付公告が開始されました
JISX9252(案) は ISO/IEC 29184 Online privacy notice and consent を元に作られたJIS規格案1で、日本でよく「プライバシー・ポリシー」と呼ばれる、個人情報等の収集利用に関して個人に伝えるための文書(Notice, 通知)の書き方と、同意を処理の根拠として使う場合の、これに基づく同意の取得の仕方を記載したものです。通知の書き方および掲示の部分は、同意が処理の根拠でなくても使われるべきものです。 ISO/IEC 29184 は、日本の経済産業省のガイドライン(「〜しなければならない (shall)」の無い文書)を元の文書として策定が始まりましたが、EDPBの意見で多くの「should」が「shall」に変えられ、強化されています。今回、これが晴れて日本語化されJIS規格として発行の方向にあるということです。 この公告のページに直リンクを
マイナンバーカードと保険証の一体化以外にもいろいろ重要な話が出たマイナンバーカード関連10/13河野デジタル大臣会見要旨と個人的感想
マイナンバーカードの普及の取り組みについて、さる10月13日10時頃より河野大臣の会見がありました。重要な発表があったので、すこし遅くなりましたがまとめておきます。もとの会見のようすはYoutubeで見ることができます。 I. 河野大臣より総理への報告 デジタル社会を新しく作っていくためのパスポートの役割をマイナンバーカードは果たすわけだが、そのためのマイナンバーカードの普及・利用の拡大、総理からの指示の下 9/29 から関係省庁の連絡会議を議長として行っている。関係省庁からの検討の結果を取りまとめ。取得/利用の加速の取り組みおよび経済対策におけるマイナンバーカード関連の施策について総理に報告した。 1. マイナンバーカードと健康保険証の一体化 マイナンバーカードと健康保険証の一体化(閣議決定済み)の加速のために訪問診療、あんま鍼灸などにおいてマイナンバーカードに対応するための補正予算の要
T-Mobile US でのプリペイドSIMプラン「PAYG」用 Data Pass の買い方
T-Mobile US は、PAYGという月額3ドルで電話番号をキープできるサービスを提供している。Google Hangouts などには米国の番号が必要だから、このサービスはとても重宝する。ただ、このプランにはデータが全く付いていない。データ通信を行うのには、Data Pass というものを買い足す必要がある。 Data Pass は 2018/6/22 現在、以下の2種類がある1。 1GB 7日間有効 US$10 500MB 1日有効 US$5 1GBプランは、高速通信が1GBまでで、それを超えても無制限に低速通信はできる。しかも、テザリングも可能であるというとても便利なオプションなのだが、なんとWeb上からは購入できない。以前はコールセンターに電話をかけて直接人と話さないとだめという、とてもハードルが高いものだったが、最近は自動音声応答でできるようになった。 方法は、以下の通りだ。
OpenID Certification Program が2018年EIC賞を受賞しました
【ミュンヘン 5月17日】OpenID Connect の実装が、仕様に準拠しているかどうかを確認するためのツールであるOpenID Certificationプログラムが、Identity界でのもっとも権威ある賞、『2018年European Identity and Cloud Award (EIC賞)』の「ベスト・イノベーション賞」を受賞しました。(詳細はこちら) OpenID Certification Programが属するAB/Connect WGの共同議長達 (左)ブラッドレー氏 [共同議長] (中央)本プログラムのリードであるジョーンズ博士 [共同議長] (右)筆者 [議長] (写真上)ウメオ大学(写真下右)ヘドバーグ研究員の研究室(写真下左)このときのホワイトボードの一部 OpenID Certification Program の端緒は、「総務省 平成24年度 戦略的国
死者のプライバシーを通じて考える、言論の自由、個人情報保護、人権、尊厳、プライバシー
軽井沢バス事故1は、大変痛ましい事件であった。 この事件では、多くの報道機関が被害者の顔写真や交友関係などを報じてた。これに関して、プライバシー上の疑問を持つ方々も少なくないようである。たとえば、朝日新聞のこの記事2に対する、佐々木俊尚氏の記事3などがその代表だろう。 [図1] 佐々木俊尚 Twitter.. https://twitter.com/sasakitoshinao/status/688556116226121728 この事故は、多くの人にとって、良きにつけ悪しきにつけ、プライバシーを考えなおすきっかけにもなったようだ。 死者のプライバシー 問題は、個人情報保護法の遵守とプライバシー保護の違いや、人権とプライバシーの間の溝を浮き立たせる良い話題ではある。同時に、今回のように被害者のエピソードなどがどんどん報道されていくような状況は、マスコミの言う「言論の自由」と「プライバシー」
Pray for France〜パリ同時多発テロ~テロ時の心得
非常に悲しいことがまた置きました。 パリ同時多発テロで、150人以上の方々が亡くなられました12。ご冥福をお祈りします。 米国のオバマ大統領は、「これはパリやフランスの人々への攻撃にととまらず、人類すべてと我々が共有する価値観『自由、平等、博愛』への攻撃だ」と声明を出している[2]他、各国首脳が相次いで声明を出しています3。911テロの跡地に建ったOne World Trade Center では、アンテナをフランスのトリコロールカラーにライトアップして、連帯を呼びかけています。今夜、スカイツリーも同じような対応をするでしょうか…4。 https://twitter.com/jonswaine/status/665335444758994944/photo/1?ref_src=twsrc%5Etfw フランスは現在緊急事態が全土に発令されています。まだテロの呼応者が残っている可能性があり、
「番号」は漏れると危ないのか?
さて、マイナンバー対応バブル真っ盛りの夏を迎えつつありますが、皆さんいかがお過ごしでしょうか? 折しも年金番号が盛大に漏れて1、マイナンバーへの影響もあるのではないかとなども言われておりますが、そもそも「番号」が漏れることを「住所・氏名・生年月日」などの各種個人情報以上に大騒ぎするのには私は違和感があります。それは、こと漏洩に関して言うと、プライバシーインパクトは「番号」<「住所・氏名・生年月日」<<「付随する情報」だからです。 以下、簡単化のために「番号」<「住所・氏名・生年月日」に焦点を絞ります。 1. なりすましによる被害 「番号」それ自体は、その本人のデータを他の人のデータから区別するという能力しか無いはずです。米国のSSNなどは、誤った理解から番号自体を本人確認に使ってしまったりしてなりすまし事故を盛大に起こしております2が、日本のマイナンバーや年金番号はそんなことはしていないは
「番号」設計のあるべき姿 〜 年金番号漏洩事件によせて
年金番号漏洩事件では、「漏洩した番号は全て変更する」のだそうです[1]。個人的には「あーあ」という感じでありんす。昨日の記事[2]でも書いたとおり、適切に運用していれば、番号自体の漏洩は大したリスクではなく、一緒に漏れた住所氏名他が変えられない以上、年金番号だけ変えてもあまり意味が無いからです。 逆に、設計の古い年金番号は、変えるとなると、連動して変えなければいけないところがあった場合にうまく変わらないことが想定され、そのことがかえって被害を産む恐れもあります。 「番号」(本当は識別子と呼ぶべきですが、ここでは便宜的に「番号」と呼びます)の設計というのは、想定される利用形態によって様々な考慮点があります。したがって、『「番号」設計のあるべき姿』はある意味ケースバイケースということにはなります。しかし、一方では、最低限満たすべき要件というものもあるのですね。 という訳で、ちょっとリストアップ
【個人情報保護法改正】第三者提供記録義務について【Part 2】
さて、3/12に指摘した第三者提供記録義務[1]についてだが、その後4月1日に板倉弁護士にご紹介いただいた内閣官房IT室の方々にいろいろ教えていただいたのでそれを共有しておこうと思う。ちなみに、あくまで個人的に教えていただいたのであって、IT室の公式見解では無いので、あとでひっくり返るかもしれないことは十分有り得ることを念頭においてお読みいただきたい。 1. これは名簿屋対策で、本人同意がある場合は除外するはずではなかったか? 3/12の記事では、バグだろうと書いたが、どうもわたしが間違っていたようだ。お話を伺ったところ、本人同意がある場合が除外されていないのは意図的だそうだ。第三者提供全体にトレーサビリティが必要だと考えており、法案25条、26条の記録義務はこれを担保するためのものだから、同意がある場合も対象にすべく起草したとのことであった。 なので、やや驚きではあるが、バグではなかった
夏井先生の日本の個人情報保護関連法制に関する論評に激しく同意した件
夏井先生のプログ[1]に、いわゆる「プライバシーフリーク本」[2]の論評に形を借りた、日本の個人情報保護法制に関する論評が載っていた。激しく同意だ。 先生曰く 「個人情報保護法は行政規範だ」という当たり前の常識をもっと徹底して周知する必要がある これ、法律家はさておき、一般には全く理解されていないんじゃないかと思うんですよね。なので、先日のOpenID BizDay[3]では、ここのところを大きく取り上げたのです。 基本に戻って不法行為法(Tort)の法解釈論として考えた方が妥当な結論を得られる場合が多い (…[中略]…) その際に最も参考になるのは,やはりプロッサーの類型論で,このような古典的理論構成のほうが実は有用性が高い。 技術的にも実は親和性が高いのも良い所です。こうした類型論は、そのまま「Objectives」と「Threat」に転換できるので、「Control」も設計しやすいの
「同意なんて本当はいらないんじゃない?」 – WirelessWire News(ワイヤレスワイヤーニュース)
「同意なんて本当はいらないんじゃない?」 – WirelessWire News(ワイヤレスワイヤーニュース) 私のことが、ワイヤレスニュースに出ていました。 「同意なんて本当はいらないんじゃない?」 – WirelessWire News(ワイヤレスワイヤーニュース). 若干補足をすると、僕が言いたかったのは、 「明示的な同意」というのは、既にそれが必要な段階で同意すべきものでは無い(何故なら、それは、直接的業務に不必要なデータを取得しようとしているということだから)ので「いらない」。基本的には「暗黙の同意」ベースにすべきだ。 いたるところにカメラのある社会でのべつくまなくデータを垂れ流して歩いている現代人に対しては、取得は時・ところかまわずリアルタイムでずっと起き続けてしまう。つまり、従来に比べて「観測による取得」の比重が増える。この場合、「取得前の同意」というのは破綻していて、「利用
ベネッセ個人情報漏洩事件所感
ベネッセから、子供等の個人情報が最大2070万件漏洩[1]したらしい。 これはいろいろな面で示唆深い事件だ。いくつか挙げて見よう。 子供のデータであること。 諸般の事情で名簿屋が取得できなくなっていたデータであること。 実際に個人の被害が確認されていること。 転々流通が確認され、その問題が意識されはじめたこと。 個人情報保護法改正のまっただ中であること。 これらのうち多くの点は、楠さんのブログ「ベネッセが埋めた名簿屋のミッシング・ピース」[2]で指摘されているので、そちらを参照されると良いと思う。(なお、転々流通の問題は、5年前にこの記事[3]で言及しているが、ようやくちまたに意識されるようになってきたようで感慨深い。実際今回の件では、複数の事業者がこのデータを販売しているが、そのうち少なくとも2つは、同じIPアドレスにサーバを持っており事実上同一であるように思われる。5年前に指摘した、個
Facebook、アプリにあなたの周りの音を聞く機能を追加予定
Forbes の5/22の記事によると、Facebookのスマホアプリにあなたの周りの音を聞く機能を追加する予定らしい。 当初はアメリカのみで提供される機能で、 アプリを使って何かを書いている時に、 ユーザがオプトインしていると、 周りの音をマイクを通じて聞き取って、 それを何らかの「コード」に変換してサーバに送り、 どんな音楽を聞いているか、どの番組を見ているかをアップデートにつける。 もし、ユーザがそのアップデートにその情報を付けたくない場合は、そのユーザには結び付けずに、単に誰かがその音楽や番組を聞いているとしてサーバに送って保存する。 というものらしい。 まず、FBが正直だったとしよう。(やっていないと言いながら、実際にはNSAに数百万ドルでユーザを売っていた前歴があるらしいのでなんともだが。) その場合、Twitter が得意としているリアルタイムの番組へのコメントなどのお株を奪
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
gBizIDどストライク案件:twitter社、企業による担当者認証を近日始めるとのこと
メリー・プリヴマス
パーソナルデータ検討会第11回会合まとめ