CISSP勉強メモ #1-2-2 プライバシー
プライバシー
早速きました、面倒で嫌いなプライバシー。
仕事では「セキュリティとプライバシーは違うんで、私の専門ではありません。」と日々主張しているのですが、そうはいっても無視できないのが現実。
そろそろ観念して学ぶことにします。
そもそもプライバシーとは
- プライバシーとは、個人情報の機密性を守ること。
- 多くの企業では、個人情報である社会保障番号(米国ではソーシャルセキュリティナンバー)、年収や預金等の財務情報、その他のユーザに関する氏名や住所などを保持しており、これらを保護しなければならない。
- 世界中の国々で様々なプライバシー法が制定されているが、「オプトインなのか、オプトアウトなの」が一つのポイント。
オプトイン
- 事前に(明示的に)許可を得る方式。プライバシー保護においては、基本的にこの方式が好ましい。
- 日本の個人情報保護法では、個人データの第三者提供はオプトイン方式が原則とされている。
- また、特定電子メール法では、メルマガはオプトイン方式をとることが義務付けられている。
オプトアウト
- (事前の許可は得ず、)事後的に拒否を受け付ける方式。
- 「あとから拒否できるようにすること」が第一のポイントであるはず。括弧の部分は、オプトインと比較するような文脈において含まれる場合もある。
EUのプライバシー
EU Data Protection Directive 95(注:古い。今はGDPRがある。)
EUデータ保護指令。1995年施行。
この指令によって、各国に個人情報保護法の制定が広まったとされる。
原則は以下のとおり。
- 個人データがどのように収集され、使用されるのかを通知する。
- 個人データの共有をオプトアウトできるようにする。
- 最もセンシティブな個人データの共有についてはオプトインを求める。
- 個人データに対する合理的な保護を提供する。
これはEU各国に法整備を求めるDirectionであり、実際に各国で整備された保護法にはばらつきがあった。
そこで、EU共通の規則を定めようと制定されたのが、あのGDPR。
GDPR(一般データ保護規則)
要点だけをメモ。詳しくは、別途勉強します。
- Data Protection Direction 95に代わり、2016に制定、2018に施行された、EU加盟国共通の規則。
- Direction 95は加盟国が法制定を求める「指令」であったのに対し、GDPRは加盟国で共通の規則そのもの。
- Direction 95がEU内に物理的施設(現地法人・支店・サーバなど)を保有していることが適用要件であったのに対し、GDPRではEU内に物理的施設を保有しない場合でも適用を受ける場合がある。
OECD Privacy Guidelines
OECDが定めたプライバシーガイドライン。2013年に、約30年ぶりに改正された。
日本の個人情報保護法も、このガイドラインに基づいている。
8つの原則から成る。
- Collection Limitation Principle: 収集制限の原則
- Data Quality Principle: データ内容の原則
- Purpose Specification Principle: 目的明確化の原則
- Use Limitation Principle: 利用制限の原則
- Security Safeguards Principle: 安全保護の原則
- Openness Principle: 公開の原則
- Individual Participation Princiople: 個人参加の原則
- Accountability Princiople: 責任の原則
これも要点だけをメモ。詳しくは別途勉強します。
EU-US Safe Harbor
面倒なので飛ばす。
EUのDirection 95にUSが付き合うための協定で合ってる?
US Privacy Act of 1074
これも飛ばす。
やはりプライバシーは別途勉強しないと、知らん概念が多すぎてついていけないですね。
今日はここまで。
次回もつまらないテーマが続きます。
以下は、我が国の個人情報保護法について調べた脱線メモ
個人情報保護法の成り立ち
OECDガイドラインに基づく保護法の成立
出発点は、前出のOECD8原則。
これに基づき、1988年に我が国初の個人情報保護に関する法律である「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が制定される。
宇治市住民基本台帳データの漏洩事件
1999年、京都府宇治市の住民基本台帳データ(約21万件)が、システム開発事業者によって持ち出され、名簿業者に転売されインターネット上に流出。
自治体初の大規模な個人情報流出事件。最高裁の判決では、宇治市は1人あたり1万円の慰謝料を支払うこととなった。これが我が国において、基本4情報の漏洩に関する慰謝料を確定した初の判決となった。
個人情報保護法の成立
前述の漏洩事件や住基ネットの導入等の背景から、2003年に個人情報保護法(「個人情報の保護に関する法律」)が公布された。2005年施行。
2015年(平成27年)改正
2015年の改正法(2017年施行)では、次のような事項が盛り込まれた。
- ビッグデータ活用に向け、匿名加工情報等の活用条件が盛り込まれる。
- 特定識別符号の概念が導入され、生体情報や個人に割り振られた番号等が個人情報の定義として明確化された。
- 「要配慮個人情報」が新たに定義された。
- 個人情報保護委員会が設置された。
2021年(令和3年)改正
2021年に改正案成立、2022年に施行。
詳しくはぐぐる。
Discussion