注:この記事は、有識者個人の意見です。COVID-19有識者会議の見解ではないことに留意ください。 HER-SYSは行政機関と自治体、医療機関、そして感染者自身が共同利用するシステムであり、感染者にかかる要配慮個人情報を大量に扱うシステムである。このような特徴を持つシステムがゼロトラストネットワークモデル上に構築されたのは、日本では最初の事例であろう。港区は2020年5月1日にHER-SYS先行利用自治体に応募し、5月15日にはNESIDからのデータ移行を受けて、試行を開始した。保健所で最初の日に教えられた、感染症法における人権擁護と信頼関係。HIV等の検査はすべて匿名で受けられ、個人を特定できる情報は取り扱わない。要配慮個人情報を集めるシステムであればこそ、丁寧に個人情報保護と情報セキュリティの内部監査をしよう、そう考え始めていた2020年7月最初の週末に事件は起こった。港区では、情報安
Emotetは、感染した端末に記録されているメール情報等を収集し、アドレス帳に記録されていた取引先に対してマルウェア付きのメールを送信して感染拡大を図る挙動を有しています。 メール情報等を窃取される結果、改正個人情報保護法のもとでは個人情報保護委員会への報告義務が生じます。また、感染についてセキュリティ体制の不備など過失が認められる場合には、取引先から調査費用といった損害について賠償請求を受ける可能性があります。 Emotetとは Emotetとは、感染したPC端末にトロイの木馬やランサムウェアなどの他のマルウェアをダウンロードさせたり、感染した端末から窃取した情報をもとに、さらに他の端末へEmotetの感染を広げる挙動(Emotetをダウンロードさせるファイルが添付されたメール(攻撃メール)を送信する等)を持つマルウェアです。 Emotetによるサイバー攻撃は、2019年ごろから日本国内
個人情報保護法改正2020年2021年のポイント解説 改正法2022年4月施行 2020.1(2022.5改訂) 弁護士 水町 雅子 Wordバージョンも公開中 http://www.miyauchi-law.com/f/220324piikaiseigaiyou_bunshou.pdf NEW! http://www.miyauchi-law.com/f/200923piikaisei.pdf 仮名加工情報と匿名加工情報 https://cyberlawissues.hatenablog.com/entry/2021/09/27/141947 ※本資料はあくまで当職の意見にすぎず、当局見解と異なる場合があり得ます。 また誤記・漏れ・ミス等あり得ますので、改正法、現行法やガイドライン原典に必ず当たるようお願いします。 講師略歴 弁護士 水町雅子 (みずまちまさこ) http://www.m
コロナ後の懸念 サーマルカメラ大量処分と個人情報流出
5月24日の読売新聞が新型コロナウイルス対策で検温に使われたサーマルカメラから顔映像が漏洩していると報じている。サーマルカメラとは体の表面温度を測るカメラで、新型コロナウイルス禍で発熱者を発見するため施設の入り口などに設置され、誰もが一度や二度は、顔写真を撮影されたはずだ。 今は用済みとなったことから大量にメルカリなどのオンラインフリーマーケットに出品されている。そのうちの2台を購入した人が、大量の顔画像が保存されていることに気づいたのだ。 1台は工事現場に設置されていたと思われるもので、作業員風の男性やヘルメット姿の人物が910点、もう1台には葬儀場に設置されていたと思われる画像で、喪服姿の顔画像が約800点保存されていたのだ。パソコンの画面には測定日時、体温、顔画像がならび、発熱者も検索することができたという。 消去されなかった画像データ 問題となっているのは、東亜産業(東京)が発売し
個人情報保護委員会は2019年12月13日、個人情報保護法の次期法改正に向けた大綱を公表し、同日からパブリックコメント(意見募集)を開始した。リクナビ問題を踏まえて個人データの利用停止権などの拡充を検討し、2020年の通常国会に改正法案を提出する。 法改正の大綱では、企業などが保有する個人データに対して、個人がデータの利用停止や消去、第三者提供の停止を請求できる要件を緩和する。従来は個人情報を目的外に利用した場合や不正な手段で取得した場合に限っていた。 同委員会事務局は利用停止などができる場合の想定について、「思いがけない形でデータが処理されるなど、およそ了解しなかった重大な事案などの場合は利用停止の対象にされるべきではないかと思いながら事務局として詰めている」と明らかにした。就活生の知らぬ間にWeb閲覧履歴などが内定辞退率の算出に使われた「リクナビ問題」を踏まえた。 さらに同委員会事務局
個人情報保護法改正2020年2021年のポイント解説 改正法2022年4月施行 2020.1(2022.5改訂) 弁護士 水町 雅子 Wordバージョンも公開中 http://www.miyauchi-law.com/f/220324piikaiseigaiyou_bunshou.pdf NEW! http://www.miyauchi-law.com/f/200923piikaisei.pdf 仮名加工情報と匿名加工情報 https://cyberlawissues.hatenablog.com/entry/2021/09/27/141947 ※本資料はあくまで当職の意見にすぎず、当局見解と異なる場合があり得ます。 また誤記・漏れ・ミス等あり得ますので、改正法、現行法やガイドライン原典に必ず当たるようお願いします。 講師略歴 弁護士 水町雅子 (みずまちまさこ) http://www.m
少し時間がたってしまいましたが、令和2年改正個人情報保護法ガイドライン案をざっと読んだので気になるところを少しだけメモしておきます。(パブコメは出し忘れた) ガイドライン案は以下にて公表されています。 第174回 個人情報保護委員会 |個人情報保護委員会 以下、主に 「個人情報の保護に関する法律についてのガイドライン(通則編)の一部を改正する告示(案)」(以下「通則編案」) 「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)の一部を改正する告示(案)」(以下「仮名加工情報・匿名加工情報編案」) からピックアップしてメモを残しておきます。 【注意事項】 ※本ブログにおけるkanekoのコメントはガイドライン案等ざっと読んだ感想です。深く考察して書いたものでもありませんので、間違った解釈をしている箇所があるかもしれません。ご留意いただいたうえでご覧くださいませ。 ※一部、ガイ
個人情報保護法改正に伴う漏えい等報告の義務化と対応について(個人情報保護委員会の資料から https://www.mhlw.go.jp/content/10808000/000943451.pdf) 「社労夢」など社会保険労務士の業務を支援するシステムをクラウドで提供している「エムケイシステム」がランサムウェアによる被害を受け、個人情報漏洩の恐れが出ています。そのため、サービスを利用していた全国の社会保険労務士事務所や、委託元の中小企業は、個人情報保護法にもとづき個人情報保護委員会への報告や本人への通知などが必要となっています。「社労夢」は2023年4月時点で管理事業所数は約57万事業所、管理する在職者は約826万人に上り、各社の業務に影響が出る見込みです。 エムケイシステムとは エムケイシステムの公式サイトによると、エムケイシステム(本社:大阪市)は1989 年設立。社会保険労務士事務所
「働き方改革」の一環として、リモートワークや在宅勤務などを行うために業務PCの社外持ち出しが行われるケースが増えている。しかし、それに伴って発生するセキュリティリスク、具体的に言えば「個人情報や機密情報の漏えいリスク」は、企業においてまだまだ軽視されているのではないか。情報漏えいの原因となる「業務PCの置き忘れ」「USBメモリーの紛失」といった事故は、実はかなり頻繁に起きているのだ。 こうしたリスクに備えるひとつの方法が「ドライブやデータの暗号化」である。そしてIT管理者やエンドユーザーの業務における利便性を損なうことなく、徹底した情報保護を実現できるのが、キヤノンマーケティングジャパン(キヤノンMJ)が販売する暗号化ソリューション「ESET Endpoint Encryption」である。 サイバー攻撃よりも頻繁に発生するPCやUSBメモリーの「紛失・置き忘れ」 「企業における情報漏えい
※1(2)ウを2021.9.29追記、1(5)を2021.10.19追記 ※今、法律雑誌に寄稿する個人情報保護法2020年改正の論文を執筆中です。書いてみたところ、大幅に字数オーバーしそうなので、寄稿論文からは削除せざるをえなそうです。せっかく書いた文章ですので、削除する前に、ブログに貼っておきたいと思います。ちょっと尻切れトンボかもしれませんし、また見直ししていない状態なので不正確な点があったら申し訳ありません…。 はじめに 1 仮名加工情報 (1)目的・背景 (2)加工基準 ア 3つの観点からの加工 イ 匿名加工情報との差異 ウ 仮名加工情報作成の課題 (3)仮名加工情報による規制緩和 (4)仮名加工情報に対する規制 (5)個人情報、匿名加工情報、仮名加工情報に対する規制の差異 2 個人関連情報 はじめに 2020年改正個人情報保護法では、「仮名加工情報」「個人関連情報」という新しいカ
アイティメディア社のWebサイトに、2024年3月25日 17時47分公開された記事に対して、当社は昨日、同社に対して以下の通知を出したことをご報告いたします。 (通知文の内容) 当社は、貴社(アイティメディア社)に対し、以下のとおり通知します。 1 貴社のWebサイト上の記事 貴社は、Web上の記事において、「個人情報保護委員会は3月25日、社会保険労務士向けクラウドサービス「社労夢」を提供するエムケイシステム(大阪市)に対し、個人情報保護法に基づく指導を行ったと発表した。」との記事を載せ、下記(A)の記載を行い、そのうえで、個人情報保護委員会NewsReleaseの1頁「2.(2)」を引用しています。 (A)「同社は2023年6月、ランサムウェア攻撃を受け、サービスが約1カ月停止するなどの被害に逢っていた。サービスを導入する社労士法人や民間企業からは情報漏えいにつながった報告も相次いで
「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A 平成 29 年2月 16 日 (令和3年9月 10 日更新) 個人情報保護委員会 目次- 1 - 「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A 目次 1 ガイドライン(通則編)..................................................... 1 Q1-1 「特定の個人を識別することができる」とは、どのような意味ですか。. 1 Q1-2 ガイドライン(通則編)では、氏名のみでも個人情報に該当するとされてい ますが、同姓同名の人もあり、他の情報がなく氏名だけのデータでも個人情 報といえますか。 ................................................. 1 Q1-3 住所や電話番号だけで個人情報に該当しますか。.....
情報漏えいが多発するデジタル社会で「本当に守るべきものは何か」を見極めるデータ保護対策とは:法規制が求める「高度な暗号化」の効力 サイバー攻撃による情報漏えいが後を絶たない。アクセス制御や侵入検知など「防御」の仕組みはもちろんあるが、それだけではソーシャルエンジニアリングや内部不正など“人の隙”を突いた攻撃は防ぎ切れない。今、ユーザーが企業に期待するのは、“情報漏えいが疑われる事象が発生しても、実質的な被害は最小限にとどめてくれる”という安心感だ。 残念なことに「企業からの情報漏えい」はすっかり身近な事件になってしまった。 流出の危険にさらされているのは、氏名や住所といった個人情報はもちろん、クレジットカードなど直接金銭に関連する情報、病歴などセンシティブなプライバシーに関する情報も含まれる。個人のプライバシーが損なわれるだけでなく、そうした情報が別のサイバー犯罪に悪用される恐れもある。ま
企業の重要データを窃取しようとするサイバー攻撃に対抗するには、何が必要だろうか。防御策の一つが暗号化だ。データが暗号化されており、犯罪者がそれを復号できないのなら、データを盗まれたとしても損害は少ないからだ。では、データの暗号化にはどのような計画が必要なのだろうか。 サイバー攻撃による情報漏えいが止まらない。ランサムウェアは暗号化を前提としない“恐喝”にシフトしており、情報の窃取と暴露のリスクがますます大きくなっている。 脅威を完全に食い止めることが困難な今、“データそのものを守る”という基本に立ち返り、漏えいしたとしても情報が犯罪者の手に渡らない方策が必要だ。そこで暗号化技術による情報漏えい対策を推奨するのがタレスDISジャパン(以下、タレス)だ。同社が提唱する「データセキュリティ」の詳細を聞いた。 データ保護は企業にとって急務 暗号化でよくある“誤解”とは? タレスの舟木康浩氏(クラウ
政府の個人情報保護委員会に報告された個人情報の漏洩事案は2022年4~9月、前年同期の3倍にのぼった。4月に法改正で重大な事案の報告を義務化したことが背景にある。中小企業へのサイバー攻撃が急増する中、報告のための調査費用は数百万円かかることもあり負担が重い。制度の知名度も低いため、違法状態が放置されているケースもある。個情委は11月に2022年度上半期の活動実績をまとめ、個人情報漏洩事件の報告
個人情報保護法が変わる これは重要なお話。 日本の個人情報に関する決まりは、「個人情報保護法」で制定されているのは誰しも承知している話だとは思いますが、施行内容が2022年4月(令和4年4月)から大幅に変わります。 具体的には二本柱です。 ①令和2年改正→2020年4月に改正。施行は2022年4月からとなる。 ②令和3年改正→2021年5月に改正。施行は1年以内とされている。 大きな変更が①の方に含まれていますが、この際①も②も両方踏まえておけば、時代の変化についていけます。 今回の変更に関しては国民にもあまり周知がされておらず、IT業界に属していてもあまり話題になっていないので、ここでまとめておきたいと思います。 要点をまとめた良い資料 法令の変更を原文で読んでもなかなかわかりにくいので、よくまとまっている資料をご紹介します。 www.mhlw.go.jp こちらの「資料3-2 個人情報
弁護士 数藤 雅彦 2020年3月、政府の個人情報保護委員会は、個人情報保護法の改正法案を閣議決定しました。 同法案は、通常国会に提出されております(本コラム執筆時の5月中旬の時点では、同法案は衆議院で審議中であり、まだ成立しておりません)。 本コラムでは、仮に現状の法案のまま成立した場合に、個人情報保護法のどの部分がどのように変わるのか、改正のポイントを解説します(今後、法案が成立する際に修正等がありましたら、追って反映します)。 法改正の概要 まず、法改正の概要を確認します。 個人情報保護委員会の整理によると、この改正案の「概要」は、以下の図の通りです。 個人情報保護委員会ウェブサイト内「個人情報の保護に関する法律等の一部を改正する法律案(概要)」より ただ、この「概要」資料(以下「PPC概要」といいます)の書き方はやや抽象的で、企業が個人情報を扱う場面ごとの整理にはなっておりません。
デジタル庁は4月1日、運営する新型コロナワクチン接種証明書アプリについての問い合わせへの回答で、メール誤送信によって、5件のメールアドレスを流出させたと発表した。 本来なら、他の人から見えない「BCC欄」にアドレスを入力して一斉送信するところ、担当者が、他の人にもわかる「TO欄」に貼り付けてしまったという。 デジタル庁は、事態を重く受け止めて「今後このような事態が発生しないようメール送信時の宛先設定の確認を徹底するなど適正な個人情報の取扱いにつとめる」としている。 今回のメールアドレス流出について、デジタル庁は法的責任を問われないのだろうか。最所義一弁護士に聞いた。 ●メールアドレスが「個人情報」に該当するか 個人情報保護法にいう『個人情報』とは、生存する個人に関する情報であって、特定の個人を識別することができるものと定義されています(同法2条1項)。 まず、メールアドレスが、ここにいう『
漏えい時の義務や、事業者の罰則が強化された 漏えい等の発生時に個人情報保護委員会への報告および本人への通知が義務化された(法第22条の2関係) 改正前:個人データの漏えい等またはそのおそれのある場合、個人情報取扱事業者による個人情報保護委員会への報告は「努力」義務レベルでした。また、本人への通知も実施が「望ましい」レベルであり、いずれも義務ではありませんでした。 改正後:個人情報取扱事業者は、個人データの漏えい等またはそのおそれのある場合で、以下いずれかのような個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会への報告及び本人への通知が「義務」となりました。 要配慮個人情報が含まれる場合 不正利用されることで財産的被害が生じるおそれがある場合 不正な目的で漏えい等が発生した場合 (漏えいした個人データの)本人の数が1,000人を超えている可能性がある場合 個人データ漏えい等の際
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HER-SYS戦記−新型コロナウイルス感染症対策におけるシステム− | COVID-19有識者会議
自社の端末がEmotetに感染した場合に留意すべき法的論点 - BUSINESS LAWYERS
個人情報保護法改正2020年の重要ポイントをわかりやすく解説
個人情報保護委、リクナビ問題を踏まえデータの利用停止権など拡充へ
個人情報保護法改正2020年の重要ポイントをわかりやすく解説
令和2年改正個情法ガイドライン案等の個人的メモ - Nobody's 法務
「社労夢」のエムケイシステム、ランサムウェア被害で個人情報漏洩の恐れ
リモートワークや在宅勤務で高まる「情報漏えいリスク」への対策とは
匿名加工情報と仮名加工情報の違い - ITをめぐる法律問題について考える
アイティメディア社のWebサイト掲載記事について|株式会社エムケイシステム
「個人情報の保護に関する法律についてのガイドライン」に関するQ&A‐個人情報保護委員会‐
情報漏えいが多発するデジタル社会で「本当に守るべきものは何か」を見極めるデータ保護対策とは
ランサムウェア対策には「暗号化」が必要不可欠 肝心なのは鍵の管理
個人情報の漏洩、4~9月3倍に 中小企業に重い報告義務 - 日本経済新聞
個人情報保護法の施行内容が2022年、大幅に変わる件まとめ - orangeitems’s diary
個人情報保護法の令和2年改正案の10のポイント
デジタル庁がメアド流出、「BCC」じゃなくて「TO」で一斉送信に法的責任は? - 弁護士ドットコムニュース
情報漏えい時の義務や罰則強化 システム部門と事業者が留意すべき改正個人情報保護法のポイント