サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
脅威インテリジェンスにおけるIPアドレスの取扱 GDPR対個人情報保護法(令和2年改正法-個人関連情報) 2021.10.1 GDPR, データ保護/プライバシ, 情報セキュリティ, 情報共有, 通信の安全/プライバシ 投稿者: Ikuo ネットワークに攻撃を仕掛けているものがいて、そのIPアドレスがわかっているとしたときに、そのIPアドレスをネットワーク管理者間で共有したり、また、顧客に脅威インテリジェンス情報として共有することは、各国においてデータ保護法制の関係で問題ないのでしょうか。データ保護論者は、そのようなIPアドレスを共有するときに、攻撃者の同意をとならなければならないとかいわないよね、という問題があります。 まずは、論点として、IPアドレスって「個人情報」なの、「個人データ(Personal Data) @GDPR」なの?という問題です。 以下、便宜上、個人データと呼びます。
「個人情報保護法の改正に対応しなければならない、という意識が高まってこない。このままで大丈夫なのだろうか」。富士通総研の上 茂之氏(金融・地域事業部 エキスパート・コンサルタント)は警鐘を鳴らす。改正された個人情報保護法は2017年5月30日に全面施行される。あと2カ月しか猶予がない。 改正により、多くの規制強化と一部の規制緩和が行われる。多くの企業はまずは規制強化に対応しなければならない。例えば、改正後の個人情報保護法では、日本から海外にある企業への個人データの移転に制限が加えられる。給与計算などの社員向け事務処理を海外に委託している企業は、影響を受けるはずだ。 ところが、「当事者になりそうな企業でも、十分に意識されていないと感じる。メディアで取り上げられることが多い『EU一般データ保護規則(GDPR)』は感覚的に10社に1社くらいは知っているのに、より時期が近く直接的な影響がある個人情
国産クラウドがグローバル展開できないたった一つの理由──これは2016年9月、サイボウズの青野慶久社長がWebに書き込んだ記事のタイトルだ。同社のクラウドサービスをEUで展開できない理由、それが「EU一般データ保護規則(GDPR)」だった。GDPRはEUで個人データを保護するための法律で、個人データを扱う企業がEU域外へデータを持ち出すことを厳しく規制している。この青野氏の書き込みを機に、一気に「越境データ問題」への関心が高まった。グローバルでビジネス展開をしていきたいと考える日本企業にとって、いったい何が問題でどう解決するべきなのか。当事者の青野社長に加えて、ブロガーの山本一郎氏、産業技術総合研究所の高木浩光氏、ひかり総合法律事務所の板倉陽一郎弁護士、新潟大学の鈴木正朝教授ら識者が一同に介して話し合った。
個人情報保護に詳しい鈴木正朝・新潟大学教授は、JR東日本が交通系ICカード「Suica」の乗降履歴データを日立製作所に販売した件は、個人的には現行法でもクロと言わざるを得ないと指摘。その上で「ビッグデータ」ビジネスの中核は、国際競争力を発揮できる「医療イノベーション」にあると主張する。日本の産業力強化のためには、個人データの保護レベルを国際水準に引き上げて、ゲノム情報を世界から持ち込んでも安心されるハブ機能を持つ必要があると訴える。 私は現行法でクロと言うべきだと思います。JR東日本を叩くつもりはありませんが、あえてクロだと指摘することで、個人的にこの事例から浮かび上がる現行法の問題点を明らかにしたいのです。 そもそも今回の話はビッグデータというオブラートに包まれていますが、乗降履歴は伝統的なデータベースによるただの受託データです。例えて言えば、何百社もの給与計算のデータを持つ受託企業が委
■ 「個人情報」定義の弊害、とうとう地方公共団体にまで 現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが(住所氏名等により)特定されてさえいなければ個人情報ではない」(のだから何をやってもよい)とする考え方がまかり通ってしまいかねないという危機についてだ。 2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例(不適切な事例)が見つかっておらず(表沙汰になるものがなく)、これが問題であるという認識は記者の胸中にまでしか届かなかった。 それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。ス
欧州連合(EU)の執行機関である欧州委員会(EC)は現地時間2012年1月25日、プライバシー保護の強化に向けた包括的な規定および指令案を提出したと発表した。1995年制定のデータ保護指令(EU Data Protection Directive)を見直すもので、ユーザーの「忘れられる権利」を盛り込んでいる。 忘れられる権利とは、データが不要になった場合あるいはデータを消してほしい場合に、ユーザーが削除を要請できる権利を意味する。EC副委員長のViviane Reding氏は、「個人データの保護はすべての欧州人にとって基本的権利でありながら、市民は自身の情報を完全に管理できていると常に感じているわけではない。同改正案は人々が自身の権利と自身の情報管理について十分な情報を得られるようにすることで、オンラインサービスにおける信頼構築を支援する」と説明した。 同改正案には、ユーザーがサービスプロ
三菱UFJ証券の顧客情報約148万人分を不正に取得したなどとして、不正アクセス禁止法違反と窃盗の罪に問われた同社システム部の部長代理だった元社員(4月8日付で懲戒解雇処分)に対する初公判が、2009年9月9日に東京地裁で開かれた(関連記事1、関連記事2、関連記事3、関連記事4、関連記事5、関連記事6)。被告の元社員は起訴内容を認めた。今回の公判では、情報漏洩による三菱UFJ証券の損失額が、70億円以上になることも明らかになった。 検察側は証拠の一つとして、事件の影響によるとみられる損失額の試算を提出した。三菱UFJ証券は、148万人のうち情報が流出した約5万人に対して、「お詫びのしるし」として1万円相当のギフト券を6月下旬から発送。この費用が約5億円と述べた。このほか、事件調査や顧客からの問い合わせ対応、顧客情報の売却先となった業者と交渉するための弁護士費用、機関投資家からの発注減少による
Home News Case File 国内事例海外事例 Industry Review CIO Interview Strategy View CIOの役割 経営革新 業務改革IT投資/ROI コスト削減ITガバナンス ベンダー・マネジメントIT組織改革 人材育成 内部統制 コンプライアンスプロジェクト・マネジメント アウトソーシングTechnology ViewIT基盤 仮想化 システム統合 クラウド/SaaSセキュリティ管理 データ/ストレージ管理 クライアント管理IT運用管理 BCM/リスク・マネジメント ERP SCM/設計製造CRM システム開発 SOA/Webサービス オープンソース/Linux BI 情報共有/コラボレーション ナレッジ・マネジメント B2B eコマース サーバ/データセンター ネットワーク基盤 モバイル&ワイヤレス ガバメントIT I
1.掲載している事業者の業種:18業種 製造業、電気・ガス・水道業、卸売業、小売業(百貨店・スーパー、物販、通販等)、信用業、情報サービス業(ソフトウェア)、複合(情報システム/製造)、その他サービス(教育・学習支援、冠婚葬祭、エステティックサロン、印刷・広告、ダイレクトメール等、会議等開催運営支援、情報提供サービス業、債権回収支援、高齢者等生活支援) 2.報告書の概要 (1)個人情報保護対策の場面ごとの取組事例の紹介 個人情報保護対策を考えていく上で、いくつかの重要な場面を挙げ、その場面ごとに、今回調査対象となった事業者はどのような取組を行っているのか、紹介している。 事例1)個人情報保護対策の準備(規定づくり、体制づくり)の場面 ・問題となる事例が社内外で起こるたびに「ヒヤリ・ハット集」として紹介しながら、その内容を次年度社内規程に取り込んでいく。 事例2)従業員への教育方法 ・一般的
ノートPC紛失! それでも「謝罪不要」なセキュリティ・レベルを考える 個人情報が入っていても“そのまま廃棄可能”にする手順はあるのか 『会社のノートPC(パソコン)を持ち出して紛失し,“○○万件の個人情報漏えいの恐れがあるPC紛失事故が発生した”という報道が後を絶たない。ところが実際のところ,Windowsパスワードをかけただけなど対策が不十分な場合でも,コストをかけて十分に情報漏えい対策を施していた場合でも,公表,謝罪する必要があるようだし,報道される内容もあまり変わらない。シン・クライアント採用以外で,ここまで対応したら大丈夫というセキュリティ・レベルの目安のようなものはないか。アドバイスしてほしい』。ある企業のシステム管理者から,こんな相談を受けました。確かに,コストを掛けて個人情報の情報漏えい対策を施していても同じトーンで報道されるとしたら,その企業は報われないと感じるかもしれませ
漏洩経路は「紙媒体」が圧倒的、被害が甚大なのは「データ」 「Winny」によってネット上に個人情報が流出――。こんなニュースを聞くと、企業のセキュリティ対策への不信感を抱いてしまうが、個人情報保護法の施行以降は、どの企業も積極的に対策を行っている。レベルの差こそあれ、ファイアウォールやウイルス対策の導入、アクセス権の設定などはもはや当たり前の時代だ。 個人情報の取り扱いについてのルール作りも盛んに行われ、プライバシーマーク(Pマーク)の取得件数も増加。そうした企業の多くがデータの社外持ち出しや、個人のPC持込を禁止している。また、入会申込書など紙媒体の情報にしても、施錠管理したうえで廃棄時はシュレッダーを利用したり、専門業者に委託するが主流だ。 大手企業ほど対策に力を入れており、中小企業にもその認識が広まりつつあるというのに、今なお情報漏洩事故が起こるのはなぜだろうか。 日本ネットワークセ
連載紹介 ビジネスシーンや普段生活していて感じる、個人情報の取り扱いに関するあんな疑問やこんな不安。「3分スタディ 個人情報保護法」では、個性豊かな登場人物が様々なシチュエーションで悩みに悩みまくる、検定方式コンテンツです。監修は新潟大学法科大学院の鈴木正朝教授。 [監修者] 鈴木 正朝(すずき・まさとも) 新潟大学法科大学院 教授。1962年4月生まれ。中央大学大学院法学研究科博士前期課程修了 修士(法学)、情報セキュリティ大学院大学博士後期課程修了 博士(情報学)。専門は情報法。ニフティ(株)を経て、現職。この間,山口大学,京都女子大学等の非常勤講師、(独)メディア教育開発センター客員教授を兼任。学外活動として、情報ネットワーク法学会理事、経済産業分野個人情報保護ガイドラインやJISQ15001の作成やプライバシーマーク制度の創設にかかわる。主著は『個人情報保護法とコンプライアンス・プ
新会社法,個人情報保護法など新しい法律が相次いで施行されています。このコラムでは,様々な法律の解釈とともに,これらの法律が企業にもたらすリスクを解説していきます。 特定電子メール法の改正 [1]オプトイン方式による規制を導入 [2]オプトイン方式で送信者に義務付けられた運用ルール [3]情報提供を求める規定や罰則の強化で実効性を高める 日本版フェアユース規定の導入 [1]現行の著作権法では技術の進展に追随できない [2]判例で拡大される米国著作権法における適用範囲 [3]英国のフェアディーリングによる権利制限規定 [4]権利者側はフリーユース正当化と負担増大を警戒 ヤフーオークションサイトの損害賠償訴訟 [1]場の提供者に一定の注意義務を認める [2]具体的な注意義務を費用対効果で判断 デジタルコンテンツと肖像権・パブリシティ権 (1)ネットのコンテンツ・サービスで避けて通れない (2)保
文:前田 陽二=次世代電子商取引推進協議会(ECOM)主席研究員 5000万件もの年金記録が宙に浮いてしまった社会保険庁の「年金記録問題」を契機に、「1億人以上の日本国民に関する各種記録を、より効率的に(使いやすく、低いコストで)管理する方法の必要性」に対する関心が高まってきた。日本の将来を考える上で、市民が信頼し安心して使える効率的なコンピュータ・システムの導入は必須であろう。個人情報保護には十分留意しつつも、導入を前提に検討を進めていく必要があると筆者は考える。特に、技術面だけではなく、運用に関する制度、法律についても活発な議論を行い、検討を進めていく必要がある。 国の基本となるこのようなシステムの課題に対しては、日本だけではなく多くの国が検討を進めている。既にEUのいくつかの国では、議論の段階を経て実際に国民ID番号を用いたシステムが導入され稼働している。その中で、オーストリアは「セ
ラップトップおよびノートブック形態のコンピュータの盗難事件は増加の一途をたどっている。例えばコンピュータ保険を手がけるSafeware Insuranceの2004年における推定では、1年間に60万台ものラップトップおよびノートブック型パソコンがこうした被害に遭っているそうだ。同様の推定値としては2006年において75万台という数字がAbsolute Softwareから出されている。ちなみに同社はコンピュータ追跡用の製品を手がけているものの、残念ながらLinuxはサポート外とのことだ。またLoJack For Laptopsもこうしたコンピュータ追跡関連企業の1つであり(Linuxをサポートしていない点も同様だが)、こちらでは数年前におけるアメリカ国内でのラップトップ/ノートパソコンの盗難数として200万台というFBI統計が挙げられている。このように数値的なバラツキはあるものの、ラップト
Winnyを介した情報漏洩の恐ろしいところは、いったん外に流れ出した情報を回収することが困難な点である。その恐ろしさは度重なる情報漏洩事件を通じて知れ渡っているようにも思うが、逆にその頻繁さゆえに世間の人々の感覚が麻痺してしまっている感もある。 さて、企業や団体は自組織が保有する情報が漏洩しないように外部からの侵入に備え、内部統制に努める義務がある。だが、そのような義務を負わない個人でも対策はしておいたほうがよい。特にショッピング・サイトを頻繁に利用し、ブラウザに各サイトでのユーザーIDとパスワードを覚えさせているような方は要注意だ。 そこでここでは、ファイルやファイルシステム(パーティション)、通信経路の暗号化といった個人レベルでも実践できる情報漏洩対策を紹介する。なお、以下の記事で紹介されているツールはLinuxユーザーを対象としたものがほとんどだが、TrueCryptのようにWind
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
