フランス行政最高裁判所は、CNILによる罰金の額をわずかに減らした。これは氷山の一角であるか？

　Last Updated:May 16, 2021

　2019.5.12 付けReed Smith LLPのブログ「フランス行政最高裁判所は、CNILによる罰金の額をわずかに減らした。これは氷山の一角であるか？」が手元に届いた。

　この事件は、 EUの一般データ保護規則(GDPR)が完全実施期限である2018年5月25日の数日前である5月7日に、フランスの個人情報保護機関である「情報処理及び自由に関する国家委員会(Commissionnationaledel'informatiqueetdeslibertés：CNIL)」審決(Délibération n°SAN-2018-002 )は、Webサイト上の個人データの保護を怠ったことを理由に、オプティカル・センター(Optical-center.fr ) (注1)に25万ユーロ(約3,070万円)の罰金を科し、顧客のデータの個人情報および機密情報を含む請求書および購入注文へのアクセスを許可した。

　これに対し、オプティカル・センターは行政最高裁判所である国務院(Conseil d’État)  (注2) に控訴し、国務院は2019年4月17日付けの判決(decision No.422575 10éme -9éme Chambre)で制裁内容を確認したが、罰金の額を20万ユーロ(約2,456万円)に再査定した。

　その点で、国務院による罰金額のわずかな引き下げは、行政最高裁判所による実用的かつ寛容なアプローチを示している。この減額措置は、いかなる理由に基づくものと考えるべきか、今回のブログはCNILの調査の内容、GDPR違反の内容、これからの企業活動への影響などにつき簡単に考察するものである。

１．2018.5.7 CNIL審決に至る経緯

　2019.5.12 Reed Smith LLPのブログ「フランス行政最高裁判所は、CNILによる罰金の額をわずかに減らした。これは氷山の一角であるか？」を仮訳する。なお、必要に応じ筆者が関係するリンクを張った。

　CNILが審決した理由は次のとおりである。

　オプティカル・センターは自身のウェブサイトが確かにセキュリティ上の欠陥を持っていたことを認めている一方で、CNILによる現地調査が同センターの敷地内で行われた。 この場合、同社サイト”www.optical-center.fr”には、請求書を表示する前に顧客が自分の個人用スペース（「顧客エリア」）にしっかり接続されていることを確認する機能は含まれていなかった。このため、同社の他のクライアントが当該ドキュメントにアクセスするのは比較的簡単であった。

　CNILの制限された権限に基づき、同社がフランスの個人データ保護法(Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)の第34条(注3)に違反して、個人データのセキュリティの義務を破ったことを考慮して、25万ユーロ(約3,070万円)の罰金を言い渡した。

　その後、オプティカル・センターの控訴に対応し、フランス行政最高裁判所である「国務院(Conseil d’État）」が制裁内容を確認したが、2019年4月17日付けの判決で罰金の額を20万ユーロ(約2,456万円)に再査定した。 

　特に米国とは反対に、データ侵害に対する制裁措置はフランスの規制当局であるCNILの手に委ねられている。この制裁措置がEUの一般データ保護規則GDPR)の発効前に行われたことを考えると、CNILの制裁力に限界があり、その当時の適用可能な基準と比較すると、厳しいと見なすことができる。

　もう1つの要因が役割を果たした。すなわち、オプティカル・センターは、2015年11月5日に同様のデータ侵害に対してすでに5万ユーロ(約614万円)の罰金を科されており、2017年6月19日に国務院により確認されていた。 

２．国務院の判決に基づき考察すべき課題

　その点で、国務院による罰金額のわずかな引き下げは、行政最高裁判所による実用的かつ寛容なアプローチを示している。この減額措置は、国務院がデータ管理者の行動を考慮に入れて会社の協力的な態度と反応性のレベルを強調して説明できる一方で、CNILは再修正のみを考慮に入れることを決定した。 

　国務院による罰金の額の削減は重要ではないようであるが、フランスのデータ保護当局による決定に続いて控訴する可能性は、企業にとって真の裁判上の戦略的選択肢と考えられる。今回の国務院のさらなる決定は、国務院がCNILによって課される罰金の額を再検討し、削減するために一定の傾向に従うかどうかを示すかもしれない。 

　しかし、潮流が変化しているので、事業者のデータ・コントローラは警戒しておくべきである。ここ数カ月間、フランスのGDPR以前のデータ保護法の下で行われたCNILの決定に、そしてその後に、徹底的な厳しさの増加が観察された。

　 確かに、CNILがOptical Centerに対して行った決定の数ヶ月後、GDPRが発効する前に、CNILは、情報セキュリティ侵害の疑いで GithubコラボレーションプラットフォームであるUber France SASrに40万ユーロ(約4,912万円)の罰金を科した。

　さらに 2019年1月21日には、GDPRの下でCNILがグーグルに対して行った5,000万ユーロ(6億1,400万円)の罰金制裁の決定は、CNILが大手デジタル会社を広範囲にわたって統制するという決意を示している。

***************************************************::

(注1) ”Optical-center.fr”はフランスやカナダ等で営業を行うメガネ、コンタクト販売会社である。

(注2) 国務院(Conseil d’État）は、政府が法律案や政令案 などを準備する際に、政府から 諮問を受けて答申します。また、法に関わる問題について、政府から求められた場合は、意見を述べます。

さらに、政府からの要求に応じ、又は自ら率先して、行政問題や公共政策に関する問題について研究を行います。

国務院は、行政最高裁判所の機能も有しています。国務院は、国、地方公共団体､行政施設などの行為に対する最終審裁判所です。

これら二つの役割（勧告と裁判）によって、国務院は、フランスの行政が、法に従って適正に行われることを保障します。

さらに、国務院は、第一審行政裁判所と行政控訴院を統括して管理する権限も持っています。(国務院の日本語サイトから引用)

(注3) フランスの(Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)第34条前段を仮訳する。

コントローラは、データの性質と処理によってもたらされるリスクを考慮して、データのセキュリティを保護するために特にそれらが歪められたり、破損されたりあるいは第三者による不正アクセスによることを防止するために、すべての必要な予防措置を講じる必要がある。(Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.)

************************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

 

 

 

イタリアGaranteが選挙宣伝活動のために個人情報を違法に利用した医師に16,000ユーロ(約198万4,000円)の罰金

　筆者はこれまで、イタリア情報保護庁(Garante)の法執行や保護法令整備の動向につき、随時取り上げてきた。(最近では2月5日ブログ(その1)、(その2完)、4月25日ブログがあり、また古くは2016年9月20日ブログ(その1)、(その2完)、同年10月11日ブログがある。

　さる3月4日、Garanteは地方選挙で候補者を支持する手紙を送るために約3,500人の元患者の住所を使用した医師に16,000ユーロの罰金を科した。この点に関して特にデータ主体の特段の事前の「同意」はなかった。 

　今回のブログは、Garanteのリリース文の基づき事実関係を中心に論じる。

１．事件の背景

　 この問題を報じたいくつかの報道記事の後にGaranteが始めた予備調査の間、医師は重要な腫瘍研究所によって治療を受けた以前の患者に、研究所との職業上の関係をやめたことで、新しい職場が生まれたとする自分のことを知らせるために手紙を書いただけであると自分自身を擁護した。

　本件の場合、医師は選挙の候補者が以前の健康福祉評議会への支持を文脈的に表現し、電子メールの一番下に置かれたリンクを通して受取人がメッセージの受け取りに反対することを許した点で、イタリアのプライバシー規則を遵守していると考えた。

 Garanteは、そのような個人データの処理を異なるプロファイルにつき違法と見なした。 

２．Garanteの判断

　まず第一に、医師は、プライバシー法(注)で要求されているように、患者データの登録時または最初の連絡時に情報を返さなかった。 問題となっている点は、1)関係当事者から直接医師がデータを収集するのではなく、雇用関係の終了時に腫瘍学研究所が受け取ったデータであるため、この要件は実際には必須であった。さらに、2)医師は以前の患者のデータを、特定の自主的な「同意」を得ずに収集し治療以外の目的に使用したのである。 

　2005年9月7日および 2014年3月6日の選挙宣伝活動に関する一般規定でGaranteによって明らかにされているように、「医療専門家および医療機関による健康保護活動の文脈で収集された個人データは、選挙宣伝活動とそれに関連する政治的コミュニケーション目的に関し、この目的はデータが収集された正当な目的にさかのぼることはできない」 

　今回のGaranteの制裁は旧保護法に基づいて科されたが、それを引き出す原則は、2019年3月7日の「健康部門における健康データの取り扱いに関する規律の適用に関する明確化規則」で明らかにされたように、新しいEU一般データ保護規則(GDPR)に基づいても有効であり続ける。 

************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

フィンランドのデータ保護オンブズマン局が金融グループに対し信用度評価、データ主体の調査権およびその通知実務慣行の修正を命令

　北欧の金融グループであるスベア・エコノミー(Svea Ekonomi)  (注1)の金融実務に関する2つの問題が、フィンランドのデータ保護オンブズマン局(Tietosuojavaltuutetun toimisto)で処理され、その結果、4月1日付けでデータ保護オンブズマン局(以下、「オンブズマン局」という)は、Svea Ekonomiに対し、30日以内にデータ主体自身の信用度の評価、自身の個人データを調査する権利および通知慣行に関連する個人データの処理にかかる実務慣行を修正するよう同社に命じた。

　この決定はEUの欧州データ保護会議(EDPB)取り上げている問題でもあり、本ブログではオンブズマン局の公表内容等に基づき、本質的な部分を補足を踏まえ仮訳する。なお、フィンランドのオンブズマン局のサイトを読んで気がつくであろうが、詳細データにわたり各種データの表示が英語版にパラレルに訳されている。

　なお、「国立差別禁止・平等審判所」の役割、機能は興味深いので第2項でまとめて説明する。

１．事実関係と問題の背景

　Svea Ekonomiに関する案件の1つは、単一のデータ主体による苦情として、オンブズマン局で処理された。それは信用度を評価するために使用される個人データとそれらに関するデータを調査するデータ主体の権利に関係していた。さらに、オンブズマン局は、自身のイニシアチブに基づいてSvea Ekonomiの通知慣行に関する問題を処理し始めた。

(1) Svea Ekonomiのクレジット申請時の信用度評価にかかる説明不足

　その決定命令において、オンブズマン局は、信用度の評価におけるカテゴリー的な上限年齢の使用は、信用情報法に定められた信用情報の定義の下では受け入れられないと述べた。クレジット申請者の単なる年齢は、彼らの支払能力、支払う意思、または彼らのコミットメントに対処する能力について説明していない。Svea Ekonomiが提出した口座に基づくと、クレジット申請の自動処理では、クレジット申請者の財政状態はまったく考慮されていない。

　また、オンブズマン局は、同Svea Ekonomiのオンライン信用決定サービスは、EU「一般データ保護規則」第22条(Automated individual decision-making, including profiling)で言及されている種類の自動決定であると考えられるべきであると指摘した。同条では、結論を下すうえで本質的な決定または会社とクレジット申請者との間の合意の適用において本質的なものであった。

　その決定において、オンブズマン局は、Svea Ekonomiに信用度の評価に関連する個人データの処理を変更するよう命じた。Svea Ekonomiはまた、問題について不平を言っている個人に、自動意思決定に採用された論理、信用度に関する決定を行う際のその役割、および信用申込者に対するその結果に関する情報を提供しなければならないのである。

(2) 信用度評価手順の違法性

　Svea Ekonomiが信用力を評価するために採用した手順は、2018年3月21日付けの国立差別禁止・平等審判所の「平等法および差別禁止法に関する決定」でも禁止されているものである。

　また、オンブズマン局は、信用度を評価するために使用される自動意思決定システムに関連したSvea Ekonomiの通知慣行を調査した。オンブズマン局は、クレジット申込者が決定の根拠を理解できるように現在の通知慣行はデータ処理の論理を十分に説明していないと述べ、そのような通知慣行を変更するよう命じた。

(3) オンブズマン局の決定に基づき、Svea Ekonomiは2019年4月30日までに、個人データの処理がどのように変更されたかを通知しなければならない。オンブズマン局によると、Svea Ekonomiは本決定の変更を申請していないので、本決定は法的に執行可能である。

２．フィンランドの「国立差別禁止・平等審判所(National Non-Discrimination and Equality Tribunal)」の役割、機能

　同審判所サイトを引用、仮訳する。(注2)

　全国差別禁止・平等審判所は、政府によって任命された公平で独立した司法機関である。審判所は、私的活動ならびに公的および商業的活動の双方において、差別禁止法(Non-Discrimination Act)および男女平等法（平等法）(Act on Equality between Women and Men (Equality Act))の遵守を監督する。

　しかし、審判所の権限は、私生活、家庭生活または宗教の実践に関連する事項は網羅していない。

　裁判所の機能は、差別されたり被害を受けたりしたと考える人々に法的保護を与えることである。

　問題が公的機関または雇用主としての国会またはその機関の活動に関するものである場合に限り、フィンランド国会の活動に関する事項を審理のために審判所に提出することができる。

　審判所が実施する監督権は、共和国大統領、議会総会、裁判所およびその他の司法機関、司法長官および議会オンブズマンの活動を網羅していない。

　差別の禁止に関する訴訟が他の当局によって提起されている、または提起される予定である場合は、審判所はそれを調査することはできない。

　審判所は、継続的または反復的な差別または犠牲化を禁止し、差止命令の遵守を強制し、そのような罰金の支払いを命じるために条件付罰金を科すことができる。

　審判所は、差別禁止法に基づく義務を履行するために、関係当事者に合理的な期間内に措置を講じるよう義務付けることができる。

　審判所はいかなる補償金の支払いも命じることはできない。審判所によって出された決定は、管轄行政裁判所に上訴することができる。

　審判所は請願につき無料で検討し、サービス料もかからない。しかし、関係当事者はその他の訴訟費用については責任を負う。

*****************************************************************

(注1) スベア・エコノミー(Svea Ekonomi)は、北ヨーロッパの8ヵ国(スェーデン、デンマーク、ノルウェイ、フィンランド、エストニア、オランダ、オ－ストリア、ドイツ)で事業を展開している金融会社グループである。ヨーロッパ全土に2,000人以上の従業員を擁し、あらゆる業界の中小企業向けの管理および財務ソリューションを作成し、 法人向けローン、クレジット、請求サービス、ファクタリング、請求書の購入、クレジット情報および債権回収などのサービスに加えて、電子商取引、モバイルおよび店舗向けのスマート支払いソリューションも提供している。また、消費者向けローンや普通預金等を提供している。

(注2)フィンランドはEU加盟国の中でも最も差別問題に厳しい姿勢をもって取り組んでいる国であろう。

フィンランドにおける差別禁止法の概要から一部引用する。

雇用契約法、差別禁止法(Non-Discrimination Act (1325/2014))および刑法（39/1889）は、差別を禁止する主な法定規定を定めている。 さらに、男女平等法は、男女平等に関する規定を定めている。

・・・差別または被害を受けたとみなされる従業員は、問題の禁止行為から2年以内に地方裁判所に訴訟を起こすことができる。 差別の場合は、差別禁止法および男女平等法に基づいて特定の補償が請求されることがある。 差別はまた、雇用主の代表者に対する刑事制裁および個人的な刑事責任につながる可能性がある。 雇用主は、仕事上の差別により罰金または最高6ヶ月間の拘禁刑を宣告されることがある。

*****************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

中国の国務院・公安部が新しい個人情報保護ガイドライン《互联网个人信息安全保护指南》を最終版を発表

　筆者は、これまで中国のサイバーセキュリティ法やガイドライン草案および関係法制整備の動向につき、順次とりあげてきた。(筆者注1)その後の中国の動向を見るとサイバーセキュリティ規則案の意見公募等の具体的な取組として2018年6月27日、中国の中华人民共和国公安部（以下、「MPS」という）は、パブリックコメントのために、サイバー・セキュリティ・マルチレベル保護スキームに関する規則案（以下「規則案」）を発表した。

　また、2018年9月30日、中国の公安部は、公安機関によるインターネットセキュリティの監督及び検査に関する規則（以下「規則」と称する）を発表した。 2018年11月1日の施行であった。

　筆者は、中国のサイバー・セキュリティ問題、インターネット・セキュリティ問題と進んできたが、残された重要問題は個人情報保護であろうと考えていたところ、2019年4月19日、中国のMPSが「インターネット個人情報セキュリティ保護のためのガイドライン(《互联网个人信息安全保护指南》) （以下、「ガイドライン」という）」の最終版を発表した旨の記事が手元に入ってきた。

　 同ガイドラインの以前のバージョンは、2018年11月30日に一般のコメントのためにリリースされている。 

　今回のブログは、このニュースにつきローファームのブログ「China’s Ministry of Public Security Issues New Personal Information Protection Guideline」の内容を中心に仮訳、概観する。

１．中国の当局のサイバーセキュリティ法規制にかかるこれまでの取組み

　中国のサイバー・セキュリティ法（以下、「CSL」という）では、MPSはサイバーセキュリティの保護とサイバー犯罪の防止を目的とした主要な規制当局となる。「サイバーセキュリティ・マルチレベル保護スキームに関する規則案(draft Regulations on Cybersecurity Multi-level Protection Scheme (the “Draft MLPS Regulation”)」（前回の記事で議論している）および「公安機関によるインターネット・セキュリティの監督および検査に関する規則（同じく以前に議論している）」の発布後、2018年にこの新しいガイドラインのリリースは、CSLを実装するためにMPSが行った最新の取り組みを表している。

２．インターネット個人情報セキュリティ保護のためのガイドライン

(1) ガイドラインの目的および既存の「GB / T 35273-2017情報セキュリティ技術： 個人情報セキュリティ仕様」との関係

　今回のガイドラインの目的は、①サイバーセキュリティと個人の正当な利益を保護すること、および②個人情報を含むサイバー犯罪を効果的に防止することである。法的拘束力のある管理規則としては発行されていない。政府機関とその地方の協働機関（すなわち地方公安局(local public security bureaus: PSB）)によって実施されるサイバー・セキュリティ検査の重要な参考資料として役立つ可能性が高い。 

　また、今回のガイドラインは、2018年5月1日に施行された個人情報保護に関する中国の国内規格である「GB / T 35273-2017情報セキュリティ技術： 個人情報セキュリティ仕様 （以下、「規格」という）」と大部分が重複している。

　現段階では、このガイドラインが他の既存の規制や国内規格とどのように相互作用するのかは不明であるが、「不可欠」な参照.ガイダンスとしてのこの規格を参照すべきであろう。さらに、この新しいガイドラインは、企業・組織等のサポートと実装に関する技術的対策の両方の観点から、会社のサイバーセキュリティ・インフラストラクチャに関するより規範的な要件を提供している。

(2) ガイドラインの重要な要件

(a)適用範囲 

　このガイドラインは、情報のライフサイクルの間に「個人情報を管理および処理する」エンティティまたは個人として定義される用語である「個人情報保有者」によって収集された個人情報を保護することを目的としています。 このガイドラインは、個人情報の「管理者」と「処理者」を区別していないため、両方の種類の事業体に適用される。 

　また、このガイドラインはインターネットを介してサービスを提供している会社、およびプライベート・ネットワーク（専用ネットワーク：专网）またはその他の種類のオフライン環境を使用して個人情報を管理および処理する組織または個人を指導するように設計されている。 

(b) 情報システムの分類、内部組織および技術的対策 

　このガイドラインは一般に、国家安全保障、社会秩序、およびシステムが損傷または攻撃された場合の経済的利益への相対的な影響に従って、中国に物理的に位置する情報システムを分類するマルチレベル保護スキームの下で確立されたフレームワークに従う。 分類レベルは1〜5の範囲で、1が最も重要度が低く、5が最も重要度が高くなる。 情報システムを分類するために、オペレータは最初に自己評価を行い、次にこれに基づいてMPSに分類レベルを提案します。MPSは、オペレータによって提案された分類を確認または却下する裁量を持っている。 レベル3以上に分類される情報システムは、強化されたセキュリティ要件の対象となる。 

　このガイドラインは、個人情報を保護するために、個人情報保持者に幅広い内部方針およびプロセスを実施することを求める。 これには、このプロセスを監督し、これらの内部ポリシーを定期的に発行し、レビュー、および監査するための専用グループを含む組織統制の整備が含まれる。それはまた、雇用、スクリーニング、および従業員の訓練という観点から、人的セキュリティ対策を課すことを要求する。さらに、このガイドラインでは、本人確認、記録保存プロトコルなどを含む、社内外の要員のためのアクセス制御要件を規定している。

　また、個人情報保持者は、ネットワークの分離、識別と認証の管理、重要なネットワーク機器の重複性の管理、データのバックアップと復旧の管理、セキュリティ監査、システムと通信のセキュリティ、コンピューティング環境など、ネットワーク・インフラストラクチャを保護する技術管理を採用する必要がある。コントロール 特に、このガイドラインでは、クラウド・コンピューティング仮想マシン(注２)の移行プロセスのための暗号化保護、および「モノのインターネット」デバイスを介したデータ収集と伝送が必要であるとしている。

(c) 個人情報のライフサイクル全体にわたる保護 

　このガイドラインは、個人情報の収集、保持、使用、削除、第三者による処理、共有、譲渡、および開示を含む、個人情報保持者が情報ライフサイクルを通して個人情報を保護する方法に関する詳細な要件を規定している。 

　このガイドラインでは、個人情報を第三者に共有または転送する前に「同意」を得ること、さらにはそのような情報を公に開示する前に「明示的な同意」を得ることさえ求めている。ただし、標準とガイドラインの両方で、この要件にはいくつかの例外があり、すなわち、ガイドラインの下では、共有、譲渡または公開が以下に直接関連する場合は、「同意」および/または「明示的な同意」は必要とされない可能性がある。

① 国家安全保障および/または国防 にかかる問題

② 公安、公衆衛生または重要な公益にかかる問題  

 ③ 犯罪捜査、起訴および法執行にかかる問題 

 　さらに、本ガイドラインは、個人情報保持者が人種、民族的出身、政治的意見、または宗教的信念に関連する機密の個人データを大規模に収集または処理することを禁止している。

　 個人情報保持者は、以下の種類の個人情報を公に開示することも禁じられている。 

① バイオメトリック・データ 

② 遺伝子的および健康に関するデータ 

③ 人種、民族的出身、政治的意見、または中国国民の宗教的信念に関するデータから生成された分析データ 

　また、ガイドラインはデータ主体が自分のデータにアクセスし、修正し、そして/または削除する権利など、規格(GB / T 35273-2017)に似たその他の要件をいくつかを提供している。 

 (4) 国内でのデータ保存と個人情報の国境を越えた移転 

　本ガイドラインによると、中国の個人情報保持者によって生成および収集された個人情報は、中国内に保管され、国境を越えたデータ移送が必要な場合は特定の規則に従う必要がある。 CSLの下では、このデータ・ローカライゼーション要件の対象となるのは、重要情報インフラストラクチャ（CII）の運営者のみである。本ガイドラインがこの要件の範囲をすべての管理者と処理者に拡大するつもりであるかどうかは不明である。

　また、クラウド・プラットフォームに保存されている個人情報について、ガイドラインでは特にそのような情報を中国国内にのみ保存することを要求している。そうでなければ、国境を越えたデータ移転が必要な場合、特定の規則が適用されます。 ガイドラインは、これらの「特定の規則」が国境を越えたデータ転送に必要なものかをまだ説明していない。

(5)データ 漏えい時のデータ主体への通知義務

　このガイドラインでは、個人情報の保持者に対し、この基準に従って、インシデント対応計画を維持し、定期的な訓練と緊急訓練を実施し、規制当局と影響を受けるデータ主体にセキュリティ・インシデントを「通知」することを求めている。 規格(GB / T 35273-2017)とは異なり、ガイドラインでは、地方公安局(PSB) (注3)はインシデント発生後に通知されることが明確に規定されている。ただし、 ガイドラインでは、「通知」の具体的な期限については触れず、「適時」にする必要がある。さらに。個人情報保持者は、漏えい後のPSBの調査および関連証拠の収集を支援し、特定されたリスクを軽減することが求められている。

*************************************************************

(注1) 筆者がブログで取り上げた主なものは、以下のとおりである。

①2017.9.9 福田平治「中国のサイバー空間統治の制度・規制面からの進展」(法律、規則/法令/ガイダンス、国家戦略/計画、標準化等)の体系的理解」

 ②2019.9.7 福田平治「中国のサイバーセキュリティ法施行にあわせた4ガイドライン草案の内容並びに関係法制整備等の概観(その１)」　その２～４は未定稿

 ③ 2017.8.1「中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その1)」

 ④ 2017.8.1 「中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その2)」

 ⑤ 2017.8.1 「中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その3)」

 ⑥2017.8.1「中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その４完)」

　なお、中国のCyber Secutity Law成立までのタイムラインをKPMGがまとめているので引用する。

 

 (注2)クラウドコンピューティングにおいて仮想化はハードウェア仮想化のことで、オペレーティングシステム（OS）内に仮想マシンを作成することを意味します。

「なぜ仮想化するのか？」

通常、OSを実行するときは、それぞれの OS を専用の物理サーバー上で実行する必要があります。1 つのオペレーティングシステムにつき 1 つの物理サーバーが必要なため、複数のオペレーティングシステムを同時に実行する必要がある場合は複数のサーバーが必要です。これは、複数のオペレーティングシステムを実行するためには費用がかかるということを意味します。多くの物理サーバーを購入する必要があるだけでなく、これらのサーバーの運用と保守にも多くのコストや労力がかかります。

「仮想化 - より良い選択肢 -」

仮想化は、基盤となるハードウェアとオペレーティングシステムを分離することができます。WindowsやLinuxといった複数のオペレーティングシステムであっても、同一の物理マシン上で動作します。これらのオペレーティングシステムはゲストOSと呼ばれます。仮想化環境ではコストと時間の節約が可能です。(Alibaba Cloud「仮想化とは？」から一部抜粋)

(注3) 地方公安局(PSB)の例として北京市公安局のHP参照。

***********************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

タイ王国のサイバーセキュリティ法および個人情報保護法が国民立法議会で可決(その２完)

(4) 個人データの収集にあたってのデータ主体への通知義務 

　個人データの収集は合法的な目的のためであり、データ管理者の活動に直接関連し、そのために必要でなければならない。データ管理者は、個人データの収集前または収集時に、次の事項をデータ主体に通知する必要がある。

1. 収集の目的  
2. 収集される個人データの内容 
3. 個人情報が開示される可能性のある人 (個人・法人)
4. データ管理者の連絡先情報
5. データ主体の権利 

　これらの情報は通常、収集にかかる通知として提供される。 

　法草案に定められた限られた状況下を除いて、個人データはデータ主体から直接収集されなければならない。また、宗教的信念、政治的嗜好、性的行動、または医療記録などの機密性の高い個人データの収集は、法草案または省令で定められた限られた状況下を除き、禁止される。機密データの収集に関して許可されている状況の例には、1)個人の生命、身体または健康への危害を保護または防止するため、あるいは2)データ管理者の法的要件を遵守するために機密データが収集される場所が含まれる。

(5) 個人データのタイの国境を越えた転移 

　以下の場合を除き、個人データは、厳格なデータ保護措置を講じ、個人データ保護委員会が定めるガイドラインに従って、その国に移転することができる。 

1. 移転は、適用される法律に従って行われる。
2. 同意はデータ主体から得る。 
3. 移転は、データ主体とデータ管理者との間で締結された契約に準拠する。
4. 移転は、同意を与えることができないデータ主体の利益のため、 
5. または省令で別段の定めがある場合に行いうる。

(6) データ主体の権利 

 　データ主体は、データ管理者によって保持されている自身の個人データにアクセスするか、またはそのような個人データが同意なしに収集された場合には情報源の開示をデータ管理者に要求する権利を有する。 データ管理者が法草案の規定を遵守しなかった場合、データ主体はデータ管理者に個人データの削除、破棄、一時的な使用の停止、または匿名化を要求することができる。

(7) 民事罰と刑罰 

　法草案の規定に違反した場合、民事上および刑事上の罰則がデータ管理者に科される可能性がある。

(8) 既得権条項 (Grandfathering provisions)

　データ管理者は、以下の条件で、法草案が施行される日より前に収集された個人データを引き続き使用することができる。

1.そのような個人データは、最初に収集された目的のためにのみ使用される。

2. データ主体が自分の個人データの削除を容易に要求できるようにするメカニズムがデータ管理者によって利用可能になり、公表される。 

***********************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．