ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

デジタルIT政策マッピング

国・自治体のデータ利活用政策(デジタルガバメント、オープンデータ、非識別加工情報、情報公開、庁内データ利活用)について、簡単な説明とそれぞれの関係性を図にしてみました。

頑張って作った割に、あまりわかりやすくないという悲しい出来ですが、せっかくなので、ブログに貼っておきます。

PDFはコチラ

f:id:cyberlawissues:20190719171255j:plain

f:id:cyberlawissues:20190719171259j:plain

f:id:cyberlawissues:20190719171307j:plain

 

今やっているお仕事

今やっているお仕事

  • 【個人情報・IT】会議用の資料作成:個人情報の今後の在り方についての資料です。かなり気合入れて張り切って毎日作っています!秋ごろには皆様に公表できるかと思います。ものすごく気合入れて作りすぎて、枚数は膨大だわ、内容は複雑すぎて、たぶん、8割方ボツになりそうな気配がしていますが、そうしたらそうしたで、ボツ分は事務所Webにでも上げようと思ってます。
  • 【医療情報・IT】医療情報関連新サービスの規約・契約書作成:規約・契約書関連を多種類作成するというお仕事。医療情報をとりあつかう関係で、個人情報保護法ガイドラインを踏まえてというもの。これが自分の見積りよりも、非常に時間がかかってしまっています。申し訳ありません。条項を見直すたびに、「この処理をもっと加えた方がいいのではないか」「これはこちらに移した方がいいのではないか」と思いすぎて、毎日毎日やっていましたが、こちらについてはようやくメドが経ちました。まだ完了していませんが。
  • 【個人情報】GDPR対応:グローバル企業のGDPR対応のお仕事。こちらについては予定通り進捗中です。海外実務も踏まえてということになり、お客様とかなり深くディスカッションしながら進めています。
  • 【情報】情報公開対応:情報公開関連のお仕事。
  • 【官】都政改革アドバイザリー会議:政策評価の関連で7月は会議が多数です。
  • 【医療情報・IT】医療情報を取り扱うサービスについてのコンプライアンス観点からのご相談が別々に2件
  • 【個人情報】個人情報を取り扱う新サービスについてのコンプライアンス観点からのご相談
  • 【IT】NISC
  • 【個人情報】Pマーク関連
  • 【医療情報・IT】医療情報を取り扱うサービスについての契約書作成
  • 【個人情報・官】個人情報保護審議会2件
  • 【医療情報・IT】倫理審査委員会のご相談予定
  • 【他】上記以外の顧問先のご相談

こうやってみると、最近は本当に医療情報関連のご相談が多いですね。市場的にブームなのでしょうか。それともただ単に私のところに多いだけなのでしょうか。

自分の興味分野のお仕事をいっぱいできて、本当にありがたい限りです。独立する前は、結局、国にいるからとか、大手事務所にいるからとか、企業にいるからとかで仕事ができているんだろうと思って、自分が独立したところでやりたいお仕事なんかできないだろうなと思っていたのですが、独立したら、まさかの状況で、興味分野のお仕事ばかりという状況になっています。

実地のご相談をいっぱい受けた方が、法律だけ眺めているよりも、実態がよくわかって、より個人情報保護法の理解が深まるし、今後法制をどうしていくべきかもより深く考えられるようになります。法律の理解と実地の理解、実務上の課題・困難を両方より深く検討していって、今後のあるべき姿をもっともっと考えていきたいと思っているところです。

 

しかし、上記のお仕事って、7月だけでこれですよ。私、いくらなんでも無理な量仕事入れてませんかね。6月分足したら、もっと膨らみます。7月はAPPLICも欠席してしまいましたし、日弁連も行けるかなどうかなという感じです。ただまあ、箇条書きにすると、30分で終わるお仕事も箇条書き一つ分だし、数百時間かかるお仕事も箇条書き一つ分なので、なんともレベル感が合っていませんが。

 

はっきりいって、6月から7月は、仕事が大量にあって、毎日必死で仕事をしているのに、やってもやっても終わっていかないという、膨大な作業量感に打ちひしがれる感じでしたが、ここのところで、ようやく完了に向けてメドが経った感じで、少しほっとしています。

今年は「頑張って頑張らないようにする!」が目標だったわりに、仕事量が大量になっていますが、メドが立って、本当に良かったです。

長い目で見ると、人を増やすか、仕事量を減らすか考えなければ、本当に持続不可能ではないかと思いますが、人を増やすにしても、私ってこだわりが強くて、自分でやりたいタイプなので、あんまり解決にならないのではないかという危惧が・・・。仕事量を減らそうと毎年思っても、結局、本当に自分にとって興味のある分野のご相談・ご依頼をいただくことが多すぎて、もうちょっと構造的に考えていかないといけないなと思ってます。

生産性向上特別措置法「公的データ提供要請制度」概要

生産性向上特別措置法「公的データ提供要請制度」の概要を自分用にまとめました。

 

〇制度要約

協調領域におけるデータを共有する事業(「特定革新的データ産業活用」)について、一定のデータの安全管理(セキュリティ)の確認を受けた上で、国の機関、独立行政法人等の保有するデータの提供を要請できる手続

 

〇例

令和元年6月24日認定

総務省経済産業省及び国土交通省は、株式会社シップデータセンター(ShipDC)のデータ共有事業について、「公的データ提供要請制度」の活用に必要な認定を初めて行いました。

ShipDCの策定した革新的データ産業活用計画は、海事産業がデータ利活用に注力し、新たな規制への対応やイノベーションの創出につなげられるよう、船舶IoTデータの流通・共有ルールを整備し、データ流通、共有、活用の拡大を目指すものです。具体的には、海事産業に属する多数の事業者が参画するIoS-OP(Internet of Ships Open Platform)コンソーシアム(ShipDCの会員組織)を通じて、海事産業のデータ流通のための権利関係を整備し、データ活用のモチベーションを高め、海事産業の業務改善、新規ビジネスの創出を図るものです。
 今般の安全管理基準への適合の認定により、ShipDCの事業に関係する国等が保有する各種海事関係データの提供について申請がなされることが想定されますが、国等の保有するデータとShipDCが集積する民間データを合わせて活用することで、海事分野のビッグデータ活用が促進され、デジタル時代における新たな海事クラスターの形成と産業全体の活性化につながることが期待されます。 

 

www.soumu.go.jp

 

〇概要

  • 革新的データ産業活用とは、平たくいうと、日本が頑張りたい分野でデータを頑張って使うもの。もっと簡単に言うと、良さそうなデータ活用企画みたいな感じ。
    革新的事業活動(我が国において国際競争力を早急に強化すべき事業分野に属する事業活動であって、革新的な技術又は手法を用いて行うもの)のうち、電子データ(国の安全を損ない、公の秩序の維持を妨げ、又は公衆の安全の保護に支障を来すことになるおそれがあるものを除く。以下「データ」という。)を、革新的な技術又は手法を用いて収集し、産業活動において活用するものをいう(法2条4項)。
  • 平たくいうと、良さそうなデータ活用企画を考えた事業者さんは、計画を提出して、大臣の認定を受けられます
    革新的データ産業活用を実施しようとする事業者
    は、その実施しようとする革新的データ産業活用に関する計画(以下「革新的データ産業活用計画」という。)を作成し、主務省令で定めるところにより、主務大臣に提出して、その認定を受けることができる(法22条1項)。
  • データを他事業者に提供する場合特定革新的データ産業活用)で、安全管理基準に適合することについて大臣の確認を受けた場合特定革新的データ産業活用事業者には、国や独法等のデータが必要な場合、もらうことができますよ。
    認定革新的データ産業活用計画に従って実施される革新的データ産業活用のうち、データを収集及び整理をし、他の事業者に提供するもの(以下この項及び次項第一号において「特定革新的データ産業活用」という。)を行おうとする認定革新的データ産業活用事業者であって、総務大臣及び経済産業大臣が定めるデータの安全管理に係る基準に適合することについて主務大臣の確認を受けた者(第二十八条第三項において「特定革新的データ産業活用事業者」という。)は、特定革新的データ産業活用を効果的かつ効率的に実施するため、国の機関又は公共機関等独立行政法人通則法(平成十一年法律第百三号)第二条第一項に規定する独立行政法人その他これに準ずる者で政令で定めるものをいう。以下この条及び次条において同じ。)保有するデータを必要とするときは、主務省令で定めるところにより、主務大臣に対し、当該データの提供を求めることができる(法26条1項)。
  • 条件があります(法26条2項)。
    その事業(特定革新的データ産業活用)の効果的・効率的実施に不可欠
    ②データ提供行為が法令違反しない
    ③データ提供が公益を害したり国・独法等の業務に支障を生じない
  • 革新的データ産業活用計画において用いられるデータに個人情報個人情報の保護に関する法律に規定する個人情報をいう。)が含まれる場合で政令に該当すると、個人情報保護委員会との協議が必要(法22条6項)。
    政令に該当する場合とは、①保有個人データを使う場合又は②オプトアウトによる第三者提供の場合(政令の規定ぶりが不思議のため、本当にオプトアウトの場合か要精査)
    個人情報保護委員会との協議)
    施行令第二条 法第二十二条第六項の政令で定める場合は、同項に規定する革新的データ産業活用計画に係る法第二条第四項に規定する革新的データ産業活用が、次の各号のいずれかに該当する場合とする。
    一 個人情報の保護に関する法律(平成十五年法律第五十七号。次号において「個人情報保護法」という。)第二条第七項に規定する保有個人データに該当するデータ(法第二条第四項に規定するデータをいう。以下同じ。)を用いる場合
    二 個人情報保護法第二十三条第二項に規定する個人データに該当するデータを同項の規定により第三者(法第二十二条第二項に規定する場合にあっては、提供しようとする当該データを保有する事業者以外の事業者を含む。)に提供する場合(個人情報保護法第二十三条第五項各号に掲げる場合を除く。)

〇根拠法

生産性向上特別措置法(平成30年6月6日施行)

(国の機関等に対するデータの提供の求め)
第二十六条 認定革新的データ産業活用計画に従って実施される革新的データ産業活用のうち、データを収集及び整理をし、他の事業者に提供するもの(以下この項及び次項第一号において「特定革新的データ産業活用」という。)を行おうとする認定革新的データ産業活用事業者であって、総務大臣及び経済産業大臣が定めるデータの安全管理に係る基準に適合することについて主務大臣の確認を受けた者(第二十八条第三項において「特定革新的データ産業活用事業者」という。)は、特定革新的データ産業活用を効果的かつ効率的に実施するため、国の機関又は公共機関等(独立行政法人通則法(平成十一年法律第百三号)第二条第一項に規定する独立行政法人その他これに準ずる者で政令で定めるものをいう。以下この条及び次条において同じ。)の保有するデータを必要とするときは、主務省令で定めるところにより、主務大臣に対し、当該データの提供を求めることができる。
2 前項の規定による求めを受けた主務大臣は、当該求めに係るデータを自ら保有する場合において、当該求めについて次の各号に掲げる事由のいずれにも該当すると認めるときは、遅滞なく、当該データを当該求めをした者に提供するものとする。
一 当該データの収集が、特定革新的データ産業活用の効果的かつ効率的な実施に不可欠なものであること。
二 当該データの提供が、他の法令に違反し、又は違反するおそれがないものであること。
三 当該データを提供することにより、公益を害し、又はその所掌事務若しくは事業の遂行に支障を及ぼすおそれがないものであること。
3 第一項の規定による求めを受けた主務大臣は、前項に規定する場合において、当該求めについて同項各号に掲げる事由のいずれかに該当しないと認めるときは、遅滞なく、当該求めに応じた提供を行わない旨及びその理由を当該求めをした者に通知するものとする。
4 第一項の規定による求めを受けた主務大臣は、当該求めに係るデータをその所管する公共機関等、他の関係行政機関の長又は他の関係行政機関の長の所管する公共機関等が保有する場合において、当該求めについて第二項第一号に掲げる事由に該当すると認めるときは、遅滞なく、当該データを保有するその所管の公共機関等又は他の関係行政機関の長(その所管する公共機関等が当該データを保有する場合の当該他の関係行政機関の長を含む。次項、第八項及び第九項において同じ。)に対し、当該データの提供を要請するとともに、その旨を当該求めをした者に通知するものとする。
5 第一項の規定による求めを受けた主務大臣は、前項に規定する場合において、当該求めが第二項第一号に掲げる事由に該当しないと認めるときは、遅滞なく、当該求めに係るデータを保有するその所管の公共機関等又は他の関係行政機関の長に対して当該データの提供を要請しない旨及びその理由を当該求めをした者に通知するものとする。
6 第四項の規定による要請を受けた関係行政機関の長は、当該要請に係る求めに係るデータを自ら保有する場合において、当該求めについて第二項各号に掲げる事由のいずれにも該当すると認めるときは、遅滞なく、当該求めに係るデータを当該求めをした者に提供するとともに、主務大臣にその旨を通知するものとする。
7 第四項の規定による要請を受けた関係行政機関の長は、前項に規定する場合において、当該要請に係る求めについて第二項各号に掲げる事由のいずれかに該当しないと認めるときは、遅滞なく、当該求めに応じた提供を行わない旨及びその理由を主務大臣に通知するものとする。
8 第四項の規定による要請を受けた関係行政機関の長は、当該要請に係る求めに係るデータをその所管する公共機関等が保有する場合において、当該求めについて第二項第一号に掲げる事由に該当すると認めるときは、遅滞なく、当該データを保有するその所管の公共機関等に対し、当該データの提供を要請するとともに、その旨を主務大臣に通知するものとする。
9 第四項の規定による要請を受けた関係行政機関の長は、前項に規定する場合において、当該要請に係る求めについて第二項第一号に掲げる事由に該当しないと認めるときは、遅滞なく、当該要請に応じて前項の公共機関等に要請を行わない旨及びその理由を主務大臣に通知するものとする。
10 第四項又は第八項の規定による要請を受けた公共機関等は、当該要請に係る求めについて第二項各号に掲げる事由のいずれにも該当すると認めるときは、遅滞なく、当該求めに係るデータを当該求めをした者に提供するとともに、当該公共機関等を所管する主務大臣又は関係行政機関の長にその旨を通知するものとする。
11 前項の規定による通知を受けた関係行政機関の長は、その旨を主務大臣に通知するものとする。
12 第四項又は第八項の規定による要請を受けた公共機関等は、当該要請に係る求めについて第二項各号に掲げる事由のいずれかに該当しないと認めるときは、遅滞なく、その旨及びその理由を当該公共機関等を所管する主務大臣又は関係行政機関の長に通知するものとする。
13 前項の規定による通知を受けた関係行政機関の長は、その旨を主務大臣に通知するものとする。
14 第七項から第九項まで、第十二項及び前項の規定による通知を受けた主務大臣は、遅滞なく、その通知の内容を当該通知に係る第一項の規定による求めをした者に通知するものとする。
15 国の機関及び公共機関等は、第一項の規定による求めがあったときは、官民データ活用推進基本法の趣旨にのっとり、積極的なデータの提供に努めるものとする。

 

〇参考サイト

経産省

www.meti.go.jp

生産性向上特別措置法

同施行令

個人情報保護法

GDPR関連の制裁金

GDPR関連の制裁金情報を貼り付けていく予定です(随時更新予定)

GDPR 2016年4月に制定、2018年5月25日に施行

 

imposition of administrative fines、行政上の制裁金であって、このほかに個人への賠償責任もありうる。

  • 英航空大手British Airways
    偽サイト誘導の約50万人の情報流出。
    ICOは2019年7月8日、1億8339万ポンド(約250億円)の制裁金を課す意向
    ITmedia記事
  • Google
    個人データの収集とターゲット広告への利用についてユーザーに適切に開示していなかった
    フランスCNILは2019年1月21日、5000万ユーロ(約62億円)の制裁金
    CNET記事
  • ホテル大手Marriot
    傘下のStarwood系列のホテルを予約した約5億人の顧客の個人情報が流出
    ICOは、2019年7月9日、9920万396ポンド(約135億円)の制裁金を科すことを検討
    ITmedia記事
  • 制裁は現時点でないものの、フランスのホテル予約サイト「ファストブッキング」不正アクセスの件で日本大手ホテルも巻き込まれるとの記事
  • Suspected GDPR violations prompt over 95,000 complaints
    マイナビ、→ESET

ピューロ夏フェス2019

f:id:cyberlawissues:20190716095834j:plain

f:id:cyberlawissues:20190716095852j:plain

f:id:cyberlawissues:20190716095925j:plain

 

ピューロ夏フェスに行ってきました。KAWAIIバイブスあげあげサマーでした!

ピューロ夏フェスLIVE!!!!は、会場の熱気がすごくて、大盛り上がりでした。ピューロの外は気温が低くて寒いのに、中は人が多くて暑い暑い。

 

変な話、これは、新たな文化の創造ではないかとも思う位のすごさ。というのは、だって、キャラクターですよ。着ぐるみのキャラクターが、フェスをやっているんですよ。ノリのいい音楽と超カッコイイ演出(ライティング含め)で、そこにカワイイキャラクターがいると、もうテンションアゲアゲですね。みんな喜んで盛り上がっているのを見て、人がやっていることはキャラクターもできるんだな、と。

ジャニーさんが貴乃花を見て、相撲界にアイドルなんて考えられなかったから、これからはスポーツと音楽の融合だといって、Sports Music Assemble PeopleとしてSMAPをデビューさせたとテレビで見ましたが、ジャニーズ事務所は、旧来のアイドル像を打ち破ったんだと思うんです。歌うたって踊るにとどまらず、そして演技にとどまらず、バラエティであったり料理であったりキャスターであったり、と。

もはやピューロランドも、あらゆるエンターテイメントとキャラクターの融合であって、かっこいい音楽やダンス、心にしみる演劇、こういうものとキャラクターを融合させる、新たな文化かなとすら思いました。

そして普通の人がこれを想像するのだろうかと思うぐらいです。着ぐるみが宝塚の大階段でかっこつけてダンスしたり、着ぐるみが歌舞伎の見得を切ったり、着ぐるみが竹馬のったり、着ぐるみが激しくダンスしたり、歌ったり、ゴンドラ乗って空から降りてくるんですよ。挙句の果てはフェスやっちゃうんですよ。そんな異次元って、一般から見ると、ちょっと想像の範囲外というか。こんなものが世の中にあるんだって、たぶん普通の人は知らないだろうなと思って、ピューロももっと、このド迫力をムービーにして、Yahoo!トップにでも広告を載せたら、かなりのインパクトがあるのではないかと思うぐらいでした。

 

キティちゃんたちの夏フェス衣装、ちょっとすごすぎかなと最初は思いましたが、演出がハデハデなので、マッチしていました。70年代風ですかね。

それよりびっくりなのが、ポムポムプリン。こういう半グレの人いそうです。ネックレスの先についているのは、靴。かわいいですね。POM POM POM POMと、ポムポムラインもウエストに入っています。

そしてポチャッコ。これ、竹の子族みたいな感じでしょうか? 謎です。しかしネックレスの先についているのは、おそらくアイス。ジャージにはポチャマーク。かわいいです。

 

あと撮った写真は、夏祭り?のポムポムプリンピンボール。プリンたちが乗っているのが、食べ物のプリンで、とってもかわいかったです。

 

ピューロランド、イースター以来、参加型のショーが大人気ですね。夏フェス始まったばかりだったからか、鬼のように混んでいました。

金融分野における個人情報保護に関するガイドラインの適用範囲の謎

「金融分野における個人情報保護に関するガイドライン」についてです。

これが適用されると、一般論としては、一般事業者(普通の事業会社等)よりも事実上の規制が厳しくなるわけです。

しかし、実際には、このガイドラインが誰に適用されるかが曖昧です。

 

「金融分野における個人情報保護に関するガイドライン」が適用されるのは、「金融庁が所管する分野(以下「金融分野」という。)」であると考えられます(同ガイドライン1ページ)。

そして、Q&Aでは、ガイドラインの適用対象そのもののQではありませんが、以下の記述があります(Q&A問I-1)注2)。

Q&Aにおいて、「金融機関」とは、貸金業法における「貸金業者」等、金融分野における事業者を広く含みます。

 

しかし、「金融庁が所管する分野」とは何か、「金融分野の事業者」とは何かっていうのは、実は答えが明確でないと思うのです。

これは別に常識的に見て「金融系」と考えられる事業者がこのガイドラインの対象というわけではありません。

金融庁が所管する分野」というのは金融庁の所掌事務から決まっているはずです。金融庁設置法4条ですかね。

しかしこれを見ても、別に明確にはなっていません。

 

まずもって、自社が金融ガイドラインの適用かどうか、よく見てもわからないというのは、行政のガイドラインとして不適切ですので、事業者から見てわかりやすく記載する必要があります。ガイドライン本文でもQ&Aでも良いと思います。

 

そして、もう少し技術的な話をすると、金融庁設置法の所掌事務を見たところで、あいまいな部分が残ります。

というのも、例えば、金融機関の関連会社はどこまで含むのか、などです。各監督指針などでは子会社規制・関連会社規制等もありますが、子会社・関連会社についてはその範囲とイコールで良いのか。例えば、金融機関の直接の子会社ではないものの、全体として見たときに企業グループと考えられる範囲というのもあります。そういう場合はどうなのか。金商法のようにグループ規制として明確な定義を置くのかどうか。

あとは金融機関の委託先であれば、金融ガイドラインの適用と通常考えられますが、金融機関とかなり結びつきが強くて、その会社の売上は金融機関からの売上が7割ぐらいだけれども、独自事業もやっていて、その独自事業は金融機関からの委託ではないものの、大局的視点から見たときには金融機関の業務との結びつきがあるとも考えられるもの、などもあります。ちょっと具体例がなかなか言えませんが、結局、金融機関の直接の子会社・関連会社ではないものの、よく取引している会社というのは結構あって、その人たちが独自事業をやりつつも、でも独自事業といっても金融機関の仕事をいっぱいしている関係で、やっぱりよく見てみると金融機関との結びつきも感じるようなものが、そこそこ実態としてはあるように思うのです。

その場合、金融ガイドラインの適用と考えるのかどうか。また、弁護士としては、そういうものも金融ガイドラインの適用と考えてアドバイスしますが、しかしそうすると今度は、金融ガイドラインやQ&Aの記述は、狭義の金融機関そのものを念頭に置いているため、いわゆる一般の事業会社の業務に当てはめるとどういう規制・解釈になるのか謎な部分も残ります。

 

これ、結構難しい問題で、少なくとも、今の状態だと、金融ガイドラインの適用範囲が不明確ですので、よりはっきりと明確化すべきだと思います。

 

あと金融Q&Aって、Q一覧がないので、不親切だと思います。監督指針とか検査マニュアルとかも、結構読みにくい章立て構成だし、金融庁の文書ももう少し読みやすくなるとうれしいです。

NISC SWG構成員に就任しました

NISC(内閣サイバーセキュリティセンター)の「サイバーセキュリティ関係法令の調査検討等を目的としたサブワーキンググループ」の構成員に就任いたしました。

どうぞよろしくお願いいたします。

今後、何回か、NISCさんにお邪魔すると思いますので、近隣にお勤めの方のところにお邪魔することもあるかと思います!