科学者って99%正しいことでも、例外があるから、言い切れなくて、一般大衆にすごい誤解を与える。逆に、弁護士は3割ぐらいしか当たらないのに、自信満々で言い切るwww これを覚えておかないと、将来痛い目を見るよ。
Twitter / kazu_fujisawa (via netinago99)
YOU ARE THE REASON

ellievsbear
"I'm Dorothy Gale from Kansas"

oozey mess
ojovivo
KIROKAZE

Kiana Khansmith
Misplaced Lens Cap
will byers stan first human second
2025 on Tumblr: Trends That Defined the Year

@theartofmadeline
Jules of Nature

No title available
cherry valley forever
let's talk about Bridgerton tea, my ask is open
noise dept.
sheepfilms
RMH
Today's Document

tannertan36

seen from United States
seen from United States

seen from United States

seen from United States
seen from United States

seen from United States
seen from Bangladesh
seen from France
seen from Philippines

seen from Türkiye
seen from Brazil

seen from Türkiye

seen from Brazil
seen from United States
seen from Japan
seen from United Kingdom
seen from United States
seen from United States
seen from United States
seen from United States
@kyomichi-blog
科学者って99%正しいことでも、例外があるから、言い切れなくて、一般大衆にすごい誤解を与える。逆に、弁護士は3割ぐらいしか当たらないのに、自信満々で言い切るwww これを覚えておかないと、将来痛い目を見るよ。
Twitter / kazu_fujisawa (via netinago99)
聴講メモ MyData Japan 2017 【シンポジウム】
聴講時に入力したメモです。断片。配布資料からのメモも引用符はありません。 聞き取り間違い等、あります。おかしな部分は記録者のせいです。
2017年5月19日(金)10:30~18:00 秋葉原コンベンションホール 開催案内 http://www.glocom.ac.jp/events/2349 主催 一般社団法人オープン・ナレッジ・ファウンデーション・ジャパン(OKJP) 共催 国際大学グローバル・コミュニケーション・センター(GLOCOM) 東京大学空間情報科学研究センター 東京大学ソーシャルICT研究センター 東京大学情報基盤センター 慶應義塾大学先導研究センターサイバーセキュリティ研究センター
イントロダクションセッション:マイデータのビジョンと昨今の情勢 開会挨拶 庄司昌彦(国際大学GLOCOM 主任研究員・准教授/Open Knowledge Japan代表理事)
パーソナルデータのデータ主体の意思による利活用重視 自分の手でコントロールする MyData2016はヘルシンキで開催された Open Mind Open Knowledge
Opening Keynote 個人主導によるパーソナル情報の流通が拓く世界 柴崎亮介(東京大学空間情報科学研究センター教授)
1.自分の情報を自らの意思で、自分のために、社会のために使うことができる「幸せ」
2.ディープデータがビッグデータを活かす
3.社会の仕組みは、変わる 変えられる
1.自分の情報を自らの意思で、自分のために、社会のために使うことができる「幸せ」
これまで個人情報はいろいろな文脈で取り上げられてきたが、あまり良い印象ではなかった。 最近はパーソナライズしたサービスの提供の為にパーソナルデータを活用する方向に 損保ジャパンの事例 「個人情報は社会の重要な資産になる」 WEF PHR PDS 内閣官房中間とりまとめ 金庫から運用へ 情報銀行 データ取引市場 人の「個人情報」 Peaple’s Data My Dataというキーワード トランスペアレントでクリア (そうかな?)
2.ディープデータがビッグデータを活かす
繋ぐデータがあれば全体像が見えてくる→アプローチの仕方が見えてくる 健康診断結果 DNA 生活習慣 食習慣 Google Takeout ロケーション履歴→滞留点 カレンダーで用向きとマッチ 心拍を載せる どこで歩いているか
ディープなデータを作る 新しいパスができる! データ主体のイニシアティブで
3.社会の仕組みは、変わる 変えられる
本人が同意しているので、法制度的には大きな課題はない(?)
稼働している自動車は1割くらい Uberのマーケットベース 駐車場をそれぞれのビルで持っていても、空きがある 中国ではUberのようなものを法律で規定 暫定法 GDPR データポータビリティ
MyData をめぐる状況 -MyData 2016の報告- 中川裕志(東京大学情報基盤センター教授/理化学研究所AIPグループリーダ)
個人データ管理はデータ主体の個人へ 集める先が個人に変わる 個人が同意した使い方へ インターネットの普及によりデータ主体である個人の個人情報、個人データがネットに氾濫 →プライバシー保護の動きが強まっている EUは指令から規則へ GDPR 2018年5月から適用
匿名化処理 EUでは万能な処理は基本的に存在しないとしている
事業者の説明責任と データ主体の同意 がキモ 個人データを一業者が囲い込むことを許さず、データ主体個人の意思で個人に還元できる 米国には連邦法無し プライバシー権利章典は連邦法になっていない FTC3要件 FTC5条 執行権限がある 日本の方が緩いのでは? 日本 匿名加工情報の導入
世界の潮流 忘れられる権利 プロファイリングの自動処理で得られた結果に服さなくてよい権利 →GDPRに書いてある Do Not Track
個人データは個人が管理し、同意に基づいて使わせる
残された課題:プロファイリングの問題 プロファイルを用いたターゲット広告:強力なビジネスモデル えてして不正確な個人のプロファイル
プロファイル情報に基づくデータ主体への判断に服さなくて良い権利 GDPR22条 開示要求 間違ったプロファイル情報の問題 個人が同意して提出したデータの方が正確
収奪されるEU 収奪される個人 反撃
MyData 2016 参加者650人 発表者140人 個人データ管理はGAFAから個人へ 自分自身のデータで個人を強化する
データ、アイデンティティ、プライバシー、セキュリティ、同意が合わさって、EUのデジタル経済を根本的に変えていく
所有可能、取引可能、だが独占は許さない
32%のプラットフォームは匿名化、仮名化を拒否 EUユーザの52%は同意なしのデータ削除、88%は同意なしのアカウント削除にOK 38%のユーザがデバイスをまたいだデータ収集OK 7分の1の人は目的外利用に関心(心配?)
パーソナルクラウド インターネットにおけるIdentity認証 パーソナルデータストレージ(PDS) 個人管理は面倒でもある クラウドに載せるとパーソナルデータクラウド 自動アップロード 個人キーで暗号化 個人の認証 利用ログ 流通経路トレース Cozy Cloud Digital me My Data Store トラストできるAPPによるシステム 個人データのためのブロックチェイン Digital CATAPULT ゼロ知識証明 プライバシー保護データマイニング 説明責任の実効的実装は難しい→トラストの重視 なぜトラストできるか、あるいはトラストが崩壊するプロセスなどのトラストの構造分析はこれからの課題
IoT センサデータの管理と共有 収集経路上にプライバシーリスク 暗号化デフォルト 行動データはかなり危険に晒されている 個人データの真正性はブロックチェインの提案が多い AXA ドライブパターンの抽出と保険 CNIL 信頼できる被雇用者 Digi Clinic
データ管理の経済性 スキポール空港を世界最高のデジタル空港にする
個人のデータを個人が管理するMyData 必要性 技術 応用例
ビジネスモデルとしての定着へ向けて 例えばプライバシーポリシーの煩雑さなど
官民データの活用に係る政府の取組について 山路栄作(内閣官房 情報通信技術(IT)総合戦略室 内閣参事官)
現状 スマホ等の普及により様々なデータが収集可能になったが、活用に課題 官民データ活用推進基本法 行政分野でも情報を根拠として政策を立案していく 現在「官民データ活用推進基本計画」(8条)の策定に向け検討中
12条 個人の関与の下でのデータの流通・活用 データを3つに分類 個人情報を含むデータ 個人情報を匿名加工したデータ 個人情報を含まないデータ (センサデータは個人情報ではない?) 人流情報 災害対応など
企業や業界を超えたデータの流通が進んでいない 個人 流通の不透明さ、メリットが見えない 互換性が確保されていないので、使い難い 漠然とした不安 企業 風評被害
個人が自らの意思で情報を蓄積し、活用するのがPDS 全部自分でやる 情報銀行 提供先を本人の意向に沿って判断 選択可能 データ取引市場 マッチング機能
ユースケースを6分野で示す
医療・介護 保険者等が持つデータを個人に戻す
取りまとめポイント 分野横断的な法制度整備 推奨ルール
データの標準化、互換性 ガイドライン 相談のための一元的な窓口 苦情処理 金融ADRを参考に
トレーサビリティ ポータビリティ データ削除 利用停止、移動、削除 の担保 第三者認証制度の検討
基調講演 「デジタル・ニッポン2017」~Nippon, the Data Nation~ 平井たくや(衆議院議員 自由民主党IT戦略特命委員会委員長)
データに関する考え方が変わってきているように思える。 官民データ活用推進基本法を知らない議員が多い。賛成した議員でも、付随する法改正に驚いている。 「官民データ活用推進基本計画」5月30日に閣議決定予定 自治体等も対応する必要あり 社会の前提条件が変わった 平均寿命の延び 2030年頃から人口が減少へ? 高齢化社会のモデルに 日本の労働生産性の低さ 米国に比べ7割から6割程度に漸減 8割程度まで引き上げる DIKWモデル 通信速度の進化 10Gbps データは生データのままでは何の役にも立たない 体系化してinformationに informationから導き出される知見がknowledgeに、さらにwisdomに
人口が増えず、GDPが増えれば労働生産性は向上する
政府の重点分野は8つ 電子行政 健康医療介護 観光 金融 モノづくり 等
デジタルソサエティ推進議連
イノベーション シェア 働き方改革 シチズン セキュリティ
シェアリングエコノミー協会 グレーゾーンのものは温かく見守る 自分たちで基準を 日本では未利用資源の有効利用という視点が抜けてしまった 日本は法律がないと動かない データをどのように主導権を持って使っていくか ボディバンク 健康情報を有料で預けて、医師からアドバイスをもらう 高松市医師会と保険者等が協力して、自分のレセプトデータを治療に使えるようにする 患者が持っている過去3年間のレセプトデータのうち、重要なものをサマライズする。アクセスには2つの鍵 マイナンバーカードと医師専用の資格証明書のHPKI マイナンバーカードにレセプトデータへのアクセスしてくれという意思を入れておく 原則デジタル 対面書面の原則の撤廃に向けた検討→行政分野の効率性 オープンデータ 国、自治体のシステムの標準化 セキュリティ バイ デザイン オープンデータ バイ デザイン マイナンバーカードの利用の拡大 マイナンバーカードがないと始まらない世界へ 米国の致命傷はSSN 本人確認に疑問符 マイナンバーカードは国がトラストアンカー できたらね できるかどうかが国の存立の分水嶺 ITを意識しないIT社会 使い方が分からない時に誰に訊けばいい? ITの民生委員 (IT隣組はやだな) デジタルデバイドの格差の是正 行政、自治体の計画にデータの利用法の検討を 保護と利活用のバランス データは血液でありエンジン、ガソリン 高齢化でもQoLは上げられる
事例:おもてなし、ヘルスケア おもてなしクラウド:PDSの観光分野での利活用 越塚 登(YRPユビキタス ネットワーキング研究所 副所長/東京大学大学院情報学環教授・ユビキタス情報社会基盤研究センター長)
OPaaS.io
都市サービスの高度化アクション 総務省 2020年にむけて 万人向けのサービスよりもパーソナライズされたサービスを 人間がやってきたパーソナライズをシステムを使ってやれないか 千葉・幕張 渋谷 竹芝 六本木・虎ノ門 乃木坂 で実証実験
IoTおもてなしクラウド事業 観光客のデータをPDSに入れ、データ主体の許諾の下に事業者へ 「観光」は旅行者の個人情報を高い頻度で扱っている 万人向けサービスではもはや満足しない 極東地域の見ず知らずの場所で個人情報を預ける不安感 情報の信託 高度に安心できる環境、個人に寄り添ったシステムが重要 個人情報は勝手に使いまわさない 自分の情報は、自分が完全制御できる安心感 高い信頼性を持った個人情報管理は不可欠 個人情報の適正な流通が重要性 個人情報が流通しない危険性 日本の産業構造の特色 中小・零細企業による競争力 中小・零細企業でも使える個人情報環境が不可欠
おもてなしプラットフォーム ユーザー属性所法を蓄積し エンドユーザーの管理の下 サービスベンダに適切に渡せるように 「仲介」を行なうプラットフォーム 情報サービス提供のきっかけに、スマートフォンアプリではなく、交通系ICカードを使う
分析や解析はプラットフォームでは考えていない 土管プラットフォーム
交通系ICカードをかざして情報の/を提供 受ける/行う
国立新美術館で実証実験 自動翻訳の言語を読み取ったデータで選ぶ
PDSにおいて、包括性のある同意 →同意を取るUX的技術 同意の法的有効性(グレーゾーン)
個人情報におけるMACとDAC(個別同意と包括同意)
IoT活用おもてなし実証事業「おもてなしプラットフォーム」の取り組み 森 健広(大日本印刷株式会社 ABセンターコミュニケーション開発本部VRMビジネス企画開発部サービス企画グループ リーダー)
経済産業省
訪日外国人の課題 個別のユーザ登録 情報の散在によるサービス不備 事業者の課題 一事業者だけではやりきれない
共通ID(認証連携基盤)で種々のサービスを
共通IDにより紐づけられた履歴情報を活用したパーソナライズされたサービス
指紋を使ったバイオメトリクス認証も
九州ではプリペイドカードを使ったサービス提供
臨床および臨床研究のための分散PDSの応用 橋田浩一(東京大学大学院情報理工学系研究科 教授/理化学研究所AIP 分散型ビッグデータチーム リーダ)
ソーシャルICT研究センター
実運用でデータが使えることが大事 あらゆる場面において意味構造化されたデータが生成され循環する社会の構築 標準スキーマに基づくデータ構造化によるデータ・サービス連携
全てのデータにアクセスできる者は漏えいリスクあり
分散管理ではその危険は少ない
必要なデータを承諾した人から
一次利用 分散型 集中型はわざわざコストをかけてリスクを高める
PLR ローカルでも、クラウドでもデータはすべて暗号化 プラットフォーマーには鍵を教えない 個人端末も必須ではない
データの集中管理が最低限 多要素統合認証
本人に中身が分からないパーソナルデータを本人が管理して専門家に提示する
利用者 ソフトウェア提供者 ストレージ提供者
山梨と鳥取で介護記録のデータをPLRで実運用
母子保健での活用 前橋工科大学
PLR統合アプリ
IndiaStackプロジェクト 虹彩と指紋による生体認証 Aadhaar 2年で現金とクレジットカードを廃止 近郷だけでなくほかの民間企業や公的機関もサービスをAPIで公開 カンボジア中央銀行 暗号通貨
スマートソサエティの基盤 データ主体の意思によるリッチデータの循環 個人認証 オープンI 分散PDS 意味構造化データ
10年後には柵のない途上国が欧米や日本を生産性で上回っているかも
医療情報の第三者提供における本人同意の管理 玉木 悠(徳島大学病院 病院情報センター 特任助教)
同意様々
診療 と 研究
二次利用 第三者提供
医療機関では業務プロセスの多くにおいて個人情報利用の同意が必要になる
暗黙的同意 ポスター・文書等の掲示 個別説明と文書による同意
情報公開文章 口頭IC+記録
徳島糖尿病ネットワーク 連携先が増えたら、新たに同意を取得する必要
EHR、PHR事業を広域で展開する際の負担
本人の理解度・医師に対応した同意内容のパーソナライズ度が困難 患者は医師や医療機関との信頼関係に依存して、同意しているのが実情では?
本人意思への個別対応 説明内容の理解度、確認 説明、同意有無の管理
確認された本人意思こそ、自己が管理できるよう本人へ返す必要があるのではないか? 本人の集中管理とすることで、管理を効率化 「同意取得」というより、「意思表示」と捉える
PLRで解決? 求める同意内容に対し、逐条的な同意可否が可能になるのでは 同意内容について、いつでも確認可能
徳島には5つの連携ネットワーク→1つの連携基盤に
展望と課題 Digital Identity and use of Individuals Data in Estonia ラウル・アリキヴィ(Planetway Corporation取締役/日本・エストニア/EUデジタルソサエティ推進協議会 理事)
エストニアの面積は九州ぐらい。人口は杉並区と世田谷区を合わせたくらい。 デジタル政府が進んでいる デジタル5 エストニア 韓国 イスラエル ニュージーランド イギリス
e-State 結婚、離婚、不動産取得はデジタル化されていない エストニアには中央DBはない。政府機関による国民のパーソナルデータ重複取得は禁止 どこでもインターネットにアクセスできる。 IDカードがあれば、免許証を携帯する必要はない 自分のデータに誰がアクセスしたか、知ることができる。政府が自分についてどのようなデータを持っているかも見ることができる。 セキュリティモデル ユニークなIDカード 番号は秘密ではない 国民の94%がカード所持(強制)
自分たちでつくる地域社会とパーソナルデータ・オープンデータ 庄司昌彦(国際大学GLOCOM 主任研究員・准教授/Open Knowledge Japan 代表理事)
MyDataとOpen Dataは1枚のコインの裏表 全ての人は、自分の個人データを、自由に使用・編集・共有することができ、
オープンデータは全ての人に開かれたデータ マイデータは私に開かれたデータ
「オープン」なほど掛け合わせし易い
パーソナルデータは社会資源である前に「私」(データ主体)にとっての資源である。 個人をエンパワメントするのが情報社会の特徴
「複属」化する社会 ソーシャルメディアによる「複属」の日常化 働き方の変化 社会的な意識の変化
個人から分人へ ふるさと納税
地域社会の危機 人口減少、高齢化、所帯人数の減少→より、「個人」を単位とする社会へ
日本の高齢者の4人に一人は友達がいない
縮む社会 情報は枯渇しない 「私たち」にとっての資源
共助と共創のためのプラットフォーム:地域系PDSの展望と課題 石垣一司(株式会社富士通研究所 セキュリティ研究所 特任研究員)
PDSは技術起点の業界トレンドではなく、経済/社会両面での必要性から来ているコンセプト 欧米では市民やじぎゅ者のコンセンサス附則、技術も未熟
PDFの社会実装には、技術面の段階的進歩に加えて、社会面、経済面の課題解決が必要 データが少ない段階でのビジネスモデル 市民の意識変革
地域系のPDS 健康、生活などのライフログ、活動履歴を活用し、多様なサービスを提供
自助、公助だけでは足りない多様な市民の社会参加(互助、共助)が必要
市民を含む多様な事業者の連携のためのプラットフォーム 市民、データ提供事業者、データ活用事業者をパーソナルデータでつなぐプラットフォーム
A市サステナブル 富士通Personium
サービス連携 ワンストップ行進 実績証明など
事業主体としてのリビングラボ
My data Our Life, Our Future
パーソナルデータを活用したオンライン広告の展望 寺田真治(株式会社オプト プロジェクト・マネージャ/慶應義塾大学SFC研究所 上席所員)
悪者のボスキャラみたいなもの(冗談
オンライン広告市場 8割から9割がこれ 6割以上がスマホ
過剰な情報流通による判断の放棄 店舗で見てオンラインで買う 事業者は標的型で広告を打ちたい
パーソナルデータの活用 どこで決めているか データ収集、配信 AdTech
ターゲットの属性をDMPに送り、条件に合うターゲットが来たらSSPを通じて広告主側のDSPに通知
米国のデータブローカー トラストフレームワーク データトレーサビリティ マルチステークホルダー・プロセス
データそのものには価格をつけない。それを基にした広告が商品
あらゆる接触段階でデータ収集は行われている→行動規制へ トラストフレームワークの構築、トレーサビリティの確保
パネルディスカッション「AI、IoT時代におけるパーソナルデータ活用のあり方」 パネリスト(五十音順): 板倉陽一郎(弁護士・ひかり総合法律事務所/国立研究開発法人 理化学研究所革新知能統合研究センター客員主管研究員) 市嶋洋平(株式会社日経BP 日経ビッグデータ 副編集長) 高原 勇(トヨタ自動車株式会社 未来開拓室担当部長/ 筑波大学 未来社会工学研究開発センター長、特命教授) 瀧 俊雄(株式会社マネーフォワード 取締役 兼 Fintech研究所長) 津田大介(一般社団法人インターネットユーザー協会 代表理事) モデレーター: 若目田光生(日本電気株式会社 ビジネスイノベーション統括ユニット 主席主幹 兼 データ流通戦略室長)
板 駄目じゃないようにすることを考えるのが日常の業務
市 パーソナルデータへの注目度は最近、上がっている 個人情報保護法改正よりもGDPR? データ入手手段は多様化 データ活用が全社規模になるのは難しいらしい プライバシー保護と活用のルール作り
高 自動運転という機能の実現で多くのデータが取れる プローブとしての自動運転 瀧 個人情報と顧客の利便性のバランスを取りながらビジネスを お金に対する不安を無くすために情報を収集 金融庁が銀行のデータポータビリティに前向き…かな 金融API
津 ユーザー団体の代表として発言できれば ユーザーのリテラシの向上も重要
若 プライバシーの保護はビジネスの起爆剤 課題があるからこそチャンスがある グレーゾーンへの対応が鍵
市 顧客行動データ、センサデータは制御していかなければならない。 個人にメリットのあるデータ活用 再配達の抑制 Suicaデータを統計化して、混雑改善に活用 顧客の生体情報を分析したり、他データと掛け合わせ 少額金融 複数の分析モデルで顧客のリスクを分析 センサデータ 家庭の機器を電源波形から分別し、学習 グーグル ネスト ホンダと埼玉県 データを上げる代わりに通信料金無料 カメラと心拍センサで観客が笑っているかどうかを判定 吉本興業 NTT東日本
高 自動車で取れるデータの利活用の在り方 移動分散電源としての電気自動車 自動運転で取れるデータ 走行速度の空間分布、実測燃費の空間分布 低燃費運転支援速度 (ドクターイエローの走行に似ている) GSの減少で燃費データが重要に インフラの監視も
瀧 会計のPDCAサイクル スクレイピング セキュリティ第一 メインユーザーは若く、高所得者が多い 守るものができたタイミングで使い始める人が多い 「お金を払っても、節約したい」 二次元系の趣味を丁寧に分類したら評判が良かった Githubがカフェ代に 使えば使うほどパーソナライズされる スタバは交際費?朝食?カフェ?
津 取得時のオプトインの原則 提供しない選択をユーザが取れるようにすること ユーザ自身が「どのようなデータを提供しているのか」を明示的に確認できるようにすること 未成年者や高齢者にも分かり易く
オプトアウトの原則 オプトアウトの方法をわかりやすく明示すること グラデーション グーグルマップのタイムライン ピンポイントで居場所が分かる
利用目的の明確化と限定化 利用目的を限定し、明確にすることはユーザからの信頼向上につながり、結果として産業振興につながる 利用目的を変更する場合は、新旧対照表などを用いてわかりやすく説明し、取得時に想定されていなかった利用を行う場合は再度明示的な同意を取るべき
プライバシー教育の啓蒙
騙し討ちは止めましょう
板 グーグルのアクティビティ管理 グーグルやFBはデータ保護当局とやりあってきた AI,IoT時代におけるデータ活用ワーキンググループ 中間とりまとめ
個人情報保護法上の同意とは何か 個人情報保護委員会 通則編2-12
セキュリティ 標準化することは攻撃方法も標準化される データの標準化、互換性の確保、データに関する権限の扱い 著作権、不防法
事前相談窓口 何も決まってなければ自由にやっていいわけで 公取は制度にある
苦情処理・紛争解決手段 消費生活相談員の育成にも適切なコストがかかることを関係者が理解すべきでは。
トレーサビリティ、データポータビリティ、データ削除の確保
瀧 日本は銀行API進んでいる EUは決済業務でのデータポータビリティ義務付け クレジットカードの明細は結構、会社ごとに違う 決済前後でも違う セキュリティはおまけしてはいけない要素
高 モビリティアズアサービス どんな社会にするのか/しないのか
市 顔画像認識の問題 大阪、札幌 札幌の事案では境界線の踏み間違いがあったかも 専門家も一人じゃなくて二人ぐらい味方にしないと危ない コンサートの入場管理では特に問題とされなかった パーソナルデータを管理する統合プラットフォーム 顧客からの許諾の問い合わせに適切に回答できるように 社内体制も、データの攻めと守りで変えていくべき
津 パーソナルデータの利活用と監視社会 共謀罪 事前に察知するとはどうやるのか 人権問題と近接しているのではないか 騙し討ち、目的外利用は止めましょう 透明性の確保
板 法制度がやれることは結構難しい。制度側でやれるのは事前に相談を受けて、その結果をフィードバックすること。走りながら判例法的に積み上げていける。
Closing 柴崎亮介(東京大学空間情報科学研究センター教授)
2018もあります。データの運用は実際に始まっている。日本の銀行APIが先進的になりつつあるのは、実際に動いて、エビデンスができて来たから。 ユーザー側の意見も重要。危惧と期待、コミュニケーションの場を充実させていく。
聴講メモ 情報法制研究会 第5回シンポジウム (改正個人情報保護法の全面施行直前シンポジウム)
聴講時に入力したメモです。断片。配布資料からのメモも引用符はありません。 聞き取り間違い等、あります。おかしな部分は記録者のせいです。
2017年5月20日(土) 13:00-17:30 一橋大学 一橋講堂
開催案内 http://www.dekyo.or.jp/kenkyukai/
主催 一般財団法人 日本データ通信協会 情報法制研究会 後援団体(50音順) システム監査学会、 情報ネットワーク法学会(予定)、 一般財団法人情報法制研究所、 一般社団法人テレコムサービス協会、 一般社団法人電気通信事業者協会、 一般社団法人日本インターネットプロバイダー協会、 一般社団法人日本ケーブルテレビ連盟、 日本セキュリティ・マネジメント学会(予定)
※資料は開催案内のページからダウンロードできる。
総合司会 高野 一彦 関西大学 社会安全学部 教授
本研究会の前身は堀部シンポジウム。
講演 「改正個人情報保護法の全面施行と国際協力」 堀部 政男 一橋大学名誉教授(個人情報保護委員会委員長)
60年近く、プライバシー関係の法律について研究してきた。 現在は行政機関の責任者としても働いている。 OECD8原則をまとめたオーストラリア人の方は、国連の拉致問題の委員などをしている。先日、来訪された。 個人情報保護委員会は霞が関コモンゲートの西館にある。民間企業も入っている32階。 個人情報保護委員会は民間部門の監視監督と、番号法に規定されている業務を行う。番号法関係については行政部門も見る。 個人情報保護法改正で5千人枠が外れ、今まで関係なかった規模の組織も入ってくる。 番号法は4年前の5月31日に公布された。4年以内に施行しなければいけない規定があった。これに合わせて改正個人情報保護法も施行されることになった。 GDPRは来年の5月25日から適用される。今回は日本国内でも関心が高く、隔世の感がある。 EUとの協力対話を進めている。1月10日に欧州委員会からでた文書では日本、韓国について言及。
報告1 「 改正個人情報保護法のサマリー及び各種ガイドラインの解説」 板倉 陽一郎 弁護士
細かい話をしても、後10日では間に合わないので、優先順位をつけて。 ガイドラインについては、どこを手掛かりにすればいいのか分からないものも。電気通信、放送等は会議があり、それが手掛かりに。郵便系は会議なし。金融系はパブコメへの回答が手掛かり。 今国会でJLIS法改正成立。番号法改正法の改正法も。 規則で制定されていないのは同等保護の国関係(規則) 今日のメインは委員会ガイドラインと各省ガイドライン。JIPDECの指針は現在、改正プロセスに入っている。 認定個人情報保護団体の保護指針は現在検討中なので、要望等あれば出すとよい。 独法等と取引がある組織は、そちらも見ておく方が。 非識別加工情報については行政分野も個人情報保護委員会にある。 総務省系は通信、放送のページに置いてある。 倫理指針はガイドラインではないが、仲間。 ガイドラインの統一を図る規定は削除。 権限の委任については、一部、はっきりしていない分野が。 個別分野ガイドラインのクレジットについてははっきりしていないものもある。 クレジット入っていないガイドラインを委員会が参照することはあるのか? 通則編と他の3編の関係はフラット。全種類みる必要がある。 全体を見通すにはガイドラインだけでは足りない。 個人識別符号に関する政令の定義をそのまま内規等に書き写すと、改正があった場合に大変。 保険指導を受けた事実、受診、調剤の事実は要配慮個人情報に当たる。 機微情報については金融、信用、債権回収で微妙に違う。 要配慮個人情報は全部、センシティブ情報 要配慮個人情報を本人が書いた場合は、それを同意とする。 コンソーシアムが保有している個人情報と、会員企業が保有している個人情報はそれぞれ別に取り扱うこと。 AIによる自動化で見直しがかかるかも。 オプトアウトの届け出は委員会のページからできるけど、かなり厳しいので、オプトアウトじゃなくてもいいなら、やめた方が良い。 デューデリも事業承継と同じような扱い。 御用組合前提になっているところが… 域外適用は国外の企業に委託する場合等、参照すること 中小事業者について、セキュリティについては定性的ではない。 外国にある第三者でクラウドサービスについては、記録確認義務について注意 規則11条 契約書に日本法も遵守すると入れてもらうのが一番楽だけど。 確認記録義務、分散していても意外に大丈夫。楽なのは決済事項に入れること。 DOCOMO空間統計レポート、総務省の位置情報レポートも匿名加工については参考になる。 金融関係のガイドライン、業法規制等は入っていない。 電気通信分野はがっつり改正している。 電気通信役務で用いている同じID等で紐付けして管理してたら、同じ扱いをするのが適切 放送ガイドラインは視聴ログを用いてマーケティングする場合には対象となる。 推測は取得と同様か?「推知しないように注意」 郵便GLは委託先は入らない。 オレオレ定義で匿名化と書くのは止めましょう。 「匿名化」と「匿名加工情報」は違う。 国内で外国の人と直接、商売している人はGDPR適用される。 夏ぐらいまでに個人情報保護法改正対応を終え、GDPR対応に入ることをお勧め。
報告2 「 自治体個人情報保護法制の近時の動き」 湯淺 墾道 情報セキュリティ大学院大学 教授
日本のPIA しきい値判断 3種類 いくつかの自治体で第三者として入ったが、対象人数が多いところの方がしっかりしていた。逆に人数の少ないところは危なっかしい。 第三者点検 規則 指摘しても聞くだけという自治体があった。 第三者がリスク分析、措置を講ずるわけではない。自治体が自分でやるのが原則。丸投げダメ、絶対。 点検する人には全部見せる。公表はリスクのある部分を省いても良い。評価書だけでは判断が難しい。 資料類を出し渋る自治体も。委託契約書すら見せないとか。 第三者点検をもう少し実のあるものに。
特別地方公共団体 一部事務組合の半数以上が個人情報保護条例無し(神奈川県) 後期高齢者医療広域連合は番号を取り扱う。 窓口は構成団体が行い、広域連合は窓口無し。頭は持ち回り。本来は広域連合が窓口業務含め、実施すべき 実際はデータ集約部分のみ。 一部事務組合がデータを使うのは「内部利用」?んじゃ、独自にPIAをやらなくていい? 自治体は業務を手放したのだからPIAをやらなくていい? →空白領域の発生 実務上は特別地方公共団体を除外している? 特別地方公共団体は物理的な固有区域を持っていない 組合は準用 曖昧にしないで、除外するなら明文で構成団体の責任を明記すべき。
行政機関個人情報保護法も改正。 改正個人情報保護法の「社会的身分」は憲法第14条の「社会的身分」とどう関係する? 別々?横出し?上位規範を反映? 個人情報保護法には「門地」の文言がない。金融ガイドラインには「門地」を機微情報としている。 神奈川県個人情報保護条例改正でも問題に。 かつては優越的な取り扱いを受けていたものも「社会的身分」か?「門地」では?
ヒソーリ検討会で条例改正についても触れる。 ヒソーリ報告書では 「行政機関個人情報保護法を参考として」「留意する」としている 死者の情報と地域の特性の関わり合い 上乗せは自治体の判断で行っていいのでは? 問題は容易照合性 「厳格に規律する必要があると考えられる」→取れってこと? 一部事務組合立の公立大学で、組合に個人情報保護条例がないところが沖縄にある 「地域の実情に応じ」 非識別加工情報を導入しない 独自の加工基準(厳格、または緩やか) 法とは異なる独自の文言、用語
夏井教授 条例制定法的義務説(制定しない場合は、懈怠として違法)
「当然義務」ならあんまり違うのは問題では?
大川村は住民の9割が公務員なので、村議会存立の危機
JLIS自体のガバナンスは? 「地方公共団体情報システム機構のガバナンスの問題」板倉先生
官民データ活用推進基本法 法人情報は? 「文書」となった情報の保存義務は?
報告3 「匿名(非識別)加工情報」は今後どうなるのか(制定経緯を踏まえて) 高木 浩光 産業技術総合研究所 主任研究員
匿名加工ファミリー
医療分野の研究開発に資するための匿名加工医療情報に関する法律(匿名加工医療情報に関する法律) →かつて「代理機関」構想の一部として論議されていたもの 加工する場所で突合可能 2章には基本法的性格 3章には作成事業者の義務や委託事業者認定について 4章は提供側の義務 国が認定した委託事業者以外は駄目 個人情報とはパラレルな概念 消去義務が厳しくなっている 直罰規定あり 厳しく扱うけど、センシティブなデータを長期間扱うことを許す 主務大臣は内閣、文科、厚労、経産 受領者の再識別禁止義務 匿名加工情報については個人情報保護法の規定を適用しない 出す側はオプトアウトだけど、あらかじめ本人に通知する必要 削除請求権がないのはなぜ?EUでの動向に合わせるべきでは?どこに請求するの? 事前通知式のオプトアウトはオプトインに近いのだが?子供は? 安全管理上のリスクは高い。集中型では1か所やられたらアウト 分野毎のレジストリとか。 認定作成事業者に保有個人データの義務は課される? 提供は仮名化されるの?氏名込だと漏洩時の被害は甚大 代理機関での個人情報該当性は? 加工基準は独自のものになるのか? 認定個人情報保護団体の指針に相当するものはどこで規定? 医療情報の加工基準は一般より緩く設定される?加工先の義務が緩いのは加工を厳しくするから?
医学系研究倫理指針での「匿名化」 改正後は氏名等部分を除くだけ。 「個人情報保護法の改正とデータを用いた学術研究」岡村先生
匿名加工情報は規制強化ではない 「個人情報の保護と利用--法整備における課題--」森亮二先生 個人情報保護委員会のガイドラインでも明記
行政機関匿名(非識別)加工情報 民間事業者からの提案を受けて加工して提供 受領者には再識別禁止義務 加工の基準は委員会規則による 監督は個人情報保護委員会 費用の試算は統計法のオーダーメイド集計・匿名データ提供を参考にしているらしい オープンデータ推進法的な性格 個人情報ファイルだけがなぜ対象? 法人情報ファイルはなんでダメ? 民間部門と公的部門の違いを明確にすべき
匿名加工の分野別の具体的基準は誰が作るのか?
自発的作成・提供は認められるか→保有個人情報の目的外利用にあたる
行政機関では匿名加工情報は個人情報なのか?→内閣法制局長官が否定
「非識別加工情報」定義中の委員会規則委任の怪
「容易に照合」と「照合」の違いを明確にすること 「照合することができ」は散在情報を対象とした概念 情報公開では対象が散在情報 「容易に照合することができ」はファイル単位の概念
条例への匿名加工情報の導入 鳥取県が導入したけど、ボロボロ
加工基準は依然として曖昧
「匿名加工情報は個人情報ではない」とされるが A 非個人情報でない限り匿名加工情報となり得ない B 匿名加工情報に加工すれば非個人情報 禁止規定があるから非該当というのは変では?
データセット照合を考慮することが求められる
ソフトバンク社の匿名加工のポリシー 定義が何を指すか不明 連結可能匿名化では?鍵付きハッシュ関数で復元防止しても、元データを持ってたら照合できる 照合による識別はアウトオブ眼中だった? 法制局長官は容易照合ができないようにしろと言っていた
仮ID問題 事務局レポートでは鍵付きハッシュ関数の鍵を残す方法を認めてしまった 作成段階で入ると思うけど、提供時は要らないんじゃない? NIIレポートでは累積のリスクを指摘 履歴の同一性で突合できないように加工
「仮ID」の英訳は? pseudonymじゃGDPRでは個人情報になる
匿名加工における利益相反 Suica事案は委託だったら問題なかった 匿名加工情報でも同じように許容されるか→加工レベルに幅がある 加工が適切かどうかの責任はデータを出した側にある
閉会挨拶 鈴木 正朝 新潟大学 教授
事業者が理解できるか危惧している。
6月10日 情報法制研究所 京都 GPS問題等 6月17日 情報法制学会 東京 シンポジウム 11月11、12日 情報ネットワーク法学会 名古屋 11月25日 法とコンピューター学会 11月26日 第6回情報法制研究会シンポジウム
お前らがインターネットでだらだらと時間を無為につぶしている間に北朝鮮はコツコツと努力を積み重ねてとうとうICBMや核弾頭を完成させた。道徳の教科書に乗せるべきだ。
ドンガメ六号さんのツイート (via gkojax)
ウォズニアック氏はApple社の大株主として配当金だけでウハウハ遊んで暮らせる収入がある超カチグミです。そんな人の笑い顔を通勤ラッシュの頭上に掲げて「はたらいて、笑おう」なんてキャプションつけるのは、ほとんど「労働は自由を作る」のセンスですね(・▽・)
ウチューじん・ささきさんのツイート (via gkojax)
「週間 デスマーチを作る」第2号は要求仕様を決められないクライアントがついて980円
Twitter / kazusap (via gearmann)
というか、国際的に見て「日本に忍者はいない」と主張しているのは日本だけなんだよね。どこの先進国に行っても「日本には忍者がいる」というのは国際的な常識だ。いい加減にグローバル化して日本には忍者がいるということを日本人も理解した方がいいよ。
Twitter / NeiMuroya (via mcsgsym)
トランプ政権と共和党が、ネットの閲覧履歴を本人の同意なしに売買できるトンデモな法律を通したので頭に来てたら、痛快なクラウドファンディングが立ち上がった。何と法案に賛成した議員の全閲覧履歴を購入し、公開するためのサイト。天才的思いつき。https://t.co/kI007N87kP
想田和弘さんのツイート (via gkojax)
聴講メモ 第2回情報法セミナー 「個人情報保護法各種ガイドラインとEU一般データ保護規則29条作業部会ガイドラインの解説」
聴講時に入力したメモです。断片。配布資料からのメモも引用符はありません。 聞き取り間違い等、あります。おかしな部分は記録者のせいです。
日時 2017年1月31日(火) 13:00~17:00(開場12:30) 会場 東京大学 武田先端知ビル 武田ホール 開催案内 http://kokucheese.com/event/index/445872/
後援: ・情報ネットワーク法学会 個人情報保護法研究会 ・公益財団法人セコム科学技術振興財団 ・デロイト トーマツ リスクサービス株式会社 ・一般財団法人日本データ通信協会 情報法制研究会
【プログラム】
12:30 開 場 13:00~13:05 開会挨拶 超セキュアシステム研究会 研究代表 坂井 修一 (東京大学 大学院情報理工学系研究科 教授)
1970年代からやってきたことが大転換を迎えている。社会への展開に技術者が果たす役割を自覚しなければならない。 情報については、保護と利活用の双方を考慮しなければならないが、相反するものと考えられがち。両方を高めていかなければならない。
13:05~14:55 『改正個人情報保護法の各種ガイドライン(個人情報保護委員会ガイドライン(四種+漏えい等対応)及び電気通信分野、放送分野、金融分野、信用分野、債権管理回収業分野各ガイドライン)の解説』 板倉 陽一郎 弁護士(ひかり総合法律事務所) (一財)情報法制研究所 EU情報法研究タスクフォース座長
(以下についての解説) 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律 http://www.kantei.go.jp/jp/singi/it2/pd/info_h270909.html 個人情報の保護に関する法律についてのガイドライン(通則編)(PDF) http://www.ppc.go.jp/files/pdf/guidelines01.pdf 個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(PDF) http://www.ppc.go.jp/files/pdf/guidelines02.pdf 個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編) (PDF) http://www.ppc.go.jp/files/pdf/guidelines03.pdf 個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)(PDF) http://www.ppc.go.jp/files/pdf/guidelines04.pdf 個人データの漏えい等の事案が発生した場合等の対応について(案)(PDF) http://www.ppc.go.jp/files/pdf/281206_siryou1-1.pdf 「金融関連分野における個人情報保護に関するガイドライン(案)」について(金融分野・信用分野・債権管理回収業分野) ※ここから各々、DLできる。 第27回 個人情報保護委員会 http://www.ppc.go.jp/enforcement/minutes/2016/20161213/ 電気通信事業における個人情報保護に関するガイドライン(案) (PDF) http://www.soumu.go.jp/main_content/000458203.pdf 放送受信者等の個人情報の保護に関するガイドライン及び解説の改正(案)(PDF) http://www.soumu.go.jp/main_content/000450620.pdf ※こちらに関連資料あり。 放送を巡る諸課題に関する検討会 視聴環境分科会 視聴者プライバシー保護ワーキンググループ(第3回) http://www.soumu.go.jp/main_sosiki/kenkyu/housou_kadai/02ryutsu07_04000150.html
郵便、信書便ガイドラインが昨日から、医療・健康保険組合関係が今日からパブコメに係る。 視聴情報をビジネスに使えるように緩和→IoTとの絡み 放送関係のガイドライン 金融、信用、債権管理回収業は別省庁の管轄だが、ある程度共通化? 5月31日から執行 2か月で準備 拘束力があるのは法令。ガイドラインはやろうと思えば戦えなくはない(大変だから 委員会のガイドラインは委員会告示として出されている 各省のガイドライン、共管のものは委員会告示と省庁告示の両方? 閣議決定が縛るのは内閣側だけ。国民側には特段の義務はない。 統括前に作られていたガイドラインはバラバラだった。 文科省のガイドラインには通報について書かれていなかった 27分野38本のガイドライン→委員会ガイドラインに統一…されてない 委員会ガイドラインと省庁ガイドラインは基本法と特別法の関係 マイナンバーの取扱いの方も改正中 番号利用法19条に基づくもののほか、第三者提供ができない 個人情報保護法24条かからない 強制的な提供以外、まず、ない。 委員会Q&Aまだ出ていない。事務局レポートも。 事業所管大臣に委任できる 委員会と省庁の双方と話す 委任は執行のみ。 委員会は勧告、命令権限がある。委任していても委員会も執行できる 理想としては両方と打ち合わせした方が… 金融関係は6条と8条、通信は4条 自分の分野がハイブリッドか、業法は別か確認する必要 経産省ガイドラインはあちこちで参照されているが、上位ではない。 改正法では最終的に執行するのは委員会だけ。 個別分野のガイドラインを見ると、放送通信分野は総務省単独で出している。委員会が勧告・命令の時に使うのか?総務省のガイドラインに従っていても、委員会から別のことを言われる可能性がある。 解釈権限は事業所管大臣にあるのか? 委員会執行時に個別分野ガイドラインに拘束されるのか? 個人情報保護法部分は共管で出してほしい。 委員会ガイドライン4つはフラットな関係 ガイドラインは逐条解説の代わりには一部しかならない。 個人情報の定義が変わり、個人識別符号が入った。 容易照合性の基準をもう少し何とかできないのか。 暗号化したから個人情報じゃないというのは否定されている アクセス遮断で個人情報じゃないという発想は無理 困ることは委員会に言った方が良い。単独で持っていくのが怖いなら団体で。 リスクを減らすためには積極的に問い合わせて、藪をなくす。 新2条2項1号はどれくらい変換したら個人識別符号になるのか?法→施行令→委員会規則→基準 識別と認証は違う 認証レベルに使えるようなデータを個人識別符号とする リピータ分析や入退出管理に使うレベルなら間違いなく個人識別符号 そこまで行かないものは? 組み合わせ 例えば指紋と虹彩両方揃わないと認証できないからと言って、別々なら該当しないというわけではない。 要配慮個人情報 本人同意必要 オプトアウト不可 犯罪にあった事実は闇名簿屋対策 17条2項に除外規定 推知させる情報は個人情報ではない 事件化していなければ犯罪ではない 特定の障害に対するサービスを受けている事実は特定される事実であって、推知ではない。 健康診断の結果、診察、調剤 健康診断を受信したという事実は該当しない。 関係ない情報で身長等を取得しても該当しない 診療や調剤、保健指導を受けたという事実は該当する。 証人として呼ばれたことは入らない。 金融関係のセンシティブ情報は要配慮情報よりも範囲が広い 17条2項 違反している事例 許諾されている人以外が公開しているソースからの取得 本人のツイートはいいが、他人が言っていることをDBに入れると違法 なりすましのツイッタアカウントの情報掴まされたりすると危ない ドイツは禁止している 取扱者、5000件要件がなくなった。 整理されて、容易に照合できるものは個人情報データベース等に該当 市販の状態で弄らないで使っているものは違う。 利用目的 新15条2項で「相当」削られた 想像を絶するようなものでなければOK いちいち聞かれてもうっとうしいようなものは変えてもいいのでは。 委託を受けている場合、利用目的書くのか?委員会は例に挙げていない。 消去義務が明確に。 オプトアウト、届け出と記録が必要 速やかな届け出 容易に知り得る状態 本人が知ろうとすれば時間的にも手段的にも容易に知り得る状態 日本的な名簿屋さんはほとんど違法になっているのでは。 デューデリジェンスの場合、従業員名簿も見る。顧客名簿も見る。 合併まで行ってないのに第三者提供では? 実務的には合併等と同じ扱い。不調に終わったらちゃんと消す。 共同利用 当社グループ会社なんてのはどうなの? 御用組合も例に入っている。 他の法令に違反することになる場合は開示しなくてよい。 代理店通す場合は域外適用無し セキュリティはまず、たな卸し、洗い出し。
外国にある第三者 日本で個人情報取扱事業者となっているのは外国にある第三者ではない。 クラウド 倉庫でアクセス制御されているなら該当しない。 受け側じゃなくて、出す側がAPECのCBPR認証受けていれば出して良い(へ? 本来、域内の扱いのはず。
確認記録義務 オプトアウトの場合は逃げられない 本人が出したもの、例えばSNSでの入力などは除外 本人に代わって提供も除外 仕向銀行など 提供が家族ならいい?
匿名加工情報 使う気がない人にはかからない 適正な加工 安全管理措置のためにしたなら、気にしなくていい。 特異値排除があるので、匿名加工情報は使えない。 無限に集めるものは個人情報として扱わないと危ない。 公表義務
漏えい等の対応 匿名加工情報のためのアルゴリズムの漏えいも対処事案になる。 報告無用 実質的に漏えいしていないと判断される場合 単純誤送信は救われることもあるかも。
金融・瀋陽・債権回収 事業法の内容は入っていない。 機微情報の概念は要配慮情報を含む概念として残っている。 EUのセンシティブデータに近い。 金融は戸籍を本人特定のためにとれない。
電気通信分野 個人情報保護法に合わせた
放送分野 視聴履歴が使えるようになった(本人の同意があれば 個人情報無しの視聴履歴については触れていないが、蓄積すれば個人データになり得る。
個人遺伝情報 匿名化されたDNAはフリーではない。
信書 封筒の中身などはよほどのことがなければ使えない。 配達情報は厳正に取り扱う。
医療、健保組合 ガイダンス 症例や事例によって匿名化が困難なものは本人同意が必要。これは匿名加工情報とは違う。 マイナンバー関係はそっち見てね。
資料は後日DLできるようにするとのこと。
14:55~15:10 休憩(15分)
15:10~17:00 (1時間50分) 『EU一般データ保護規則に関する第29条作業部会のガイドライン(データ保護責任者、データポータビリティの権利、管理者又は処理者の主催監督当局の特定)(2016年12月13日付)の解説)』 杉本 武重 弁護士(ウィルマーヘイル法律事務所 ブリュッセルオフィス)
※ここで解説されているガイドライン類のDLはこちらから。 Article 29 Working Party http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
ガイドラインの特色 悩み多いトピック3つがまず選ばれた? 改正ではなく、ゼロから作った。 英語版 読むとGDPRの文言の解釈は、ある程度分かる。 それを使って自分たちで考える、説明することが必要。 一発制裁金回避
データ保護責任者(Data Protection Officer) 要となる立場 当局と協力する役柄。人権保護の立場。 どういうふうに順守しているか説明できなければならない 現行加盟国法からベストプラクティスの素材 ドイツ、クロアチア、ハンガリー 現行法でも義務的選任 組織内ではDPOに報告 任意 11か国くらい 選任義務があるにもかかわらず、選任しないと制裁金の対象 でかい会社を買収すると、くっついてくる可能性あり。 加盟国法上で選任義務あれば、GDPRでも選任義務あり。 ドイツに事業所があれば義務ありの可能性。 選任義務の有無に迷った時には分析結果を文書化推奨 自主的に選任しても、義務的選任と同じ要件を満たさなければならない。 DPOじゃない人が対応する場合は、肩書はDPOと誤認混同しないように。
「公的機関または公的団体」は加盟国にあるものを指す。 欧州の国家プロジェクトを受注した場合は、DPOを選任する必要が生じる可能性あり。
「中核的活動」 付随的な業務として行う場合には選任義務対象ではないが、不可分な部分である場合には中核的活動に含まれる。(例 医療情報) 他にショッピングセンターや警備会社など。 給与支払いやサポート業務は違う。
「大規模」 グレーゾーンあり。 関係するデータ主体の人数 データの量、範囲 期間又は永続性 処理活動の地理的範囲 該当しないと判断する場合には分析の文書化を。 欧州から大量の顧客データを収集し、処理する(いわゆるビッグデータ等)は恐らく該当する。 グレーゾーンなら説明する準備を。
定期的及び体系的監視 追跡管理、プロファイリング
andがorの間違いであるとの解説がところどころあり。
「各拠点から容易にアクセスできる」 DPOは連絡窓口として機能しなければならない。 複数言語に対応する必要も。→チームとしてのDPO DPOと個人的に連絡が取れること 7万5千人のDPOが必要になる(IAPP)日本は1,688人
専門性及び技能 社内から人をアサインすることをまず、考えるべき。専門性技能教育もある。 サービス契約に基づくDPOも認められている。独立性等については自前と同じ。
DPOの地位 強い力と独立性、選任は慎重に。退職金問題が行政制裁金の問題になりかねない。 DPOの意見は常に重視されなければならない。意見が相違するときは文書化推奨。 DPOの任務に専念するのに十分な時間があることが最も重要 継続的訓練 カンファレンス参加等も含まれる。 利益相反がないこと DPOは組織の中で個人データの処理の目的及び手段を決定するような地位に就けない。 IT部門やマーケティング関係などは×。総務や法務等がいいのでは。
任務 GDPRの遵守の監視 データ保護評価で一定の役割 やるか、どうやってやるか、どこでやるか、ハイリスクのケースかどうかの最終的な判断 等 記録管理の一覧表作成など
企業、団体間で意見交換を。IAPPお勧め。
データポータビリティの権利(20条) 独占の弊害 対米国企業 人権保護
個人データを受け取る権利 「構造化され、一般的に利用され機械可読性のある形式」 個人データを転送する権利 渡した先の処理については責任なし。データを必要以上に長く保持しない。 削除権行使を阻害する目的で、データ管理者によりデータポータビリティを使うことはできない。 適用されるのは データ主体に関する個人データ データ主体により提供されたデータ、サービスもしくは装置を利用したことに起因してデータ主体により「提供された」観察データ 推測、派生データは含まない。 出さなくても返事はしよう。
個人データの越境的処理
異なる国において、異なる処理活動について、多国籍企業が別個の意思決定拠点を有する場合、二つ以上の監督当局が特定されうる。
EU域内に設立されていない企業は、ワンストップ・ショップ制度を使えない。
ガイドラインはオックスフォード英語辞典まで駆使して作られている
直近に出る可能性があるガイドライン 認証制度 ハイリスク(データ保護影響評価関連) データ保護影響評価 制裁金制度 事業グループ 欧州データ保護機関の管理構造 ワンストップ・ショップ制度と一貫性制度 上半期 同意と取得 下半期 トランスペアレンス(5条等) データ移転 処理者から副処理者へのSCC
17:00~17:05 閉会挨拶 一般財団法人情報法制研究所 理事長 鈴木 正朝 (新潟大学 大学院現代社会文化研究科/法学部 教授)
情報法制学会を立ち上げるとのこと。会誌は有斐閣から年2回刊行予定。また、論文類をwebで無償公開したいとも。 2月刊行の『論究ジュリスト』にJILIS記事。「〔特別座談会〕情報法制の現在と未来…宍戸常寿ほか」 http://www.yuhikaku.co.jp/books/detail/9784641213203
7 考える名無しさん :2010/09/20(月) 12:21:38 0ネズミは尻尾がキモイから殺される。 尻尾に毛がフサフサ生えたネズミは「リス」と呼ばれ可愛がられる。 禿げ差別がいかに深刻な問題かを如実に表している。
アルファルファモザイク - 命の大切さ?それって本当なのか??? (via hisaruki)
欧米人「日本は鯨を食べ、韓国は犬を食べるなんて気が狂ってる」 インド人「牛を食うなんて気が狂ってる」 イスラム人「豚を食うなんて気が狂ってる」 鶏「^^」
欧米人「日本はクジラを食べ、韓国は犬を食べるなんて気が狂ってる」:[2ch]お料理速報 (via plasticdreams)
上司より、娘さん(中学2年生)がテレビを見ながら「これだから平成ヒトケタ生まれは分かってない」と言っていると聞き、新たな差別区分の誕生に職場全員が戦慄している。
Twitter / tarareba722 (via hutaba)
国道を地図からトレースして、番号順にアニメ化してみた。 二桁国道(〜58号)まで。
【6/26追記】13号線と47号線が入れ替わっていたのを修正
千葉www
【画像あり】大学の自虐広告wwwwwwwwwwwww:キニ速
2016-07-07
自覚はあったのか。
四国ヤバい。かなりヤバい。愛媛の水道からはポンジュースが出てくる。みかん好きすぎてヤバい。 香川の水道からはうどんが出てくる。うどん推し無理矢理すぎる。ヤバい。 高知の水道からは水が出てくる。水といえば高知とでも言わんばかり。勘違いヤバい。 もう一つなんて名前が出てこない。四国ヤバい。
No.34364 四国ヤバイ - コピペ運動会 (via mcsgsym)
ほこ×たてでやってた「ピーマン嫌いの芸能人にピーマン農家が今までにない美味しいピーマンを食べさせる」って対決やって結局食べられず、農家の人はショック受けてるし、芸能人の方も申し訳ない気持ちになって終わる、っていうのがずーっと心に残ってて、美味しかろうが美味しくなかろうが 「ピーマンである」時点で食べられないんだよな、っていうことを、何かを嫌いだって言うと「良さに気付いてないだけ!」とか「あれが好きになれないなんてもったいない!」みたいな言い回しを見る度に思い出す
Twitter / sunday_monday (via tkr)
ナスなら共感できたのに。
バグハンターがアスリートであるならば、脆弱性対応の窓口で報告を受けるあなたは審判だ。
2016年2月8日[みんなでしっかりサイバーセキュリティ] (via lef)
ただし、ルールがあればな。