2024年3月1日~3月31日のテクノロジー関係の政府の動きをまとめます。筆者コメントは(区別した方が分かりやすい場合には)青字としています。
- サマリー
- 個人情報保護委員会
- 総務省
- NISC
- 内閣官房・内閣府(経済安全保障関係)
- 公正取引委員会(デジタル市場競争本部を含む)
- 金融庁
- 警察庁(サイバー犯罪、マネロン関係)
- 法務省
- 経済産業省
- 内閣府(科学技術関係(AI戦略を含む))
- 厚生労働省(健康・医療戦略推進本部を含む)
- 防衛省・防衛装備庁
- 文化庁
- デジタル庁
- 自由民主党
サマリー
今回のトピックは個人情報保護法が中心です。エムケイシステム、LINEヤフーという広範囲に影響を及ぼした2件の漏洩事件について、個人情報保護委員会から指導・勧告が行われています。エムケイシステムの件は委託関係の解釈という点を中心として、LINEヤフーの件は安全管理の実務と個情委の法執行の実務という点を中心として、それぞれ参考となると思われます。
個人情報保護委員会
-
- 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方①)
- 刑事罰の在り方、課徴金制度の導入が検討されている。
- エムケイシステムに対する指導等とクラウドサービスに関する注意喚起が決定されている(後掲)。
- 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方①)
-
株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について(令和6年3月25日) |個人情報保護委員会
- 「エムケイ社は、社会保険/人事労務業務支援システム(以下「本件システム」という。)を、社会保険労務士(以下「社労士」という。)の事務所等のユーザ(以下「ユーザ」という。)に対し、SaaS環境においてサービス提供していたところ、令和5年6月、エムケイ社のサーバが不正アクセスを受け、ランサムウェアにより、本件システム上で管理されていた個人データが暗号化され、漏えい等のおそれが発生した。/本件システムは、主に社労士向けの業務システムであり、社会保険申請、給与計算及び人事労務管理等の業務のために利用するものである。同システムで取り扱われていた個人データは、社労士の顧客である企業や事業所等(以下「クライアント」という。)の従業員等の氏名、生年月日、性別、住所、基礎年金番号、雇用保険被保険者番号及びマイナンバー等である。/エムケイ社の報告によれば、現時点において、個人データの悪用などの二次被害は確認されていない。」。指導、報告徴収。
- 「エムケイ社からの情報による本件システムの利用実績/社労士事務所:2,754事業所、管理事業所:約57万事業所/本件システムで管理する本人数:最大約2,242万人」
- QA7-53の「契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等」について、以下の点を考慮し個人情報の取扱いを認定した。
- ア「本件利用規約においては、エムケイ社がサービスに関して保守運用上又は技術上必要であると判断した場合、ユーザがサービスにおいて提供、伝送するデータ等について、監視、分析、調査等、必要な行為を行うことができる旨が規定されていた。また、本件利用規約において、エムケイ社は、ユーザの顧問先に係るデータを、一定の場合を除き、ユーザの許可なく使用し、又は第三者に開示してはならないという旨が規定されており、エムケイ社は、当該利用規約に規定された特定の場合には、社労士等のユーザの顧問先に係る個人データを使用等できることとなっていた。」
- イ「エムケイ社は、保守用IDを有しており、それを利用して本件システム内の個人データにアクセス可能な状態であり、エムケイ社の取扱いを防止するための技術的なアクセス制御等の措置は講じられていなかった。」
- ウ「ソフトウェアをインターネット経由で利用できるタイプのクラウドサービスにおいては、様々なアプリケーションやソフトウェアの提供があり得るところ、本件システムは、ユーザである社労士事務所や企業等が社会保険及び雇用保険の申請手続や給与計算等をオールインワンで行うことができるというものである。すなわち、本件においてエムケイ社がクラウドサービス上で提供するアプリケーションは、ユーザである社労士事務所や企業等が、個人の氏名、生年月日、性別、住所及び電話番号などの個人データを記録して管理することが予定されているものであり、実際に大量の個人データが管理されていた。」
- エ「本件では、エムケイ社が、ユーザと授受確認書を取り交わした上で、実際にユーザの個人データを取り扱っていた実績がある。」
- 利用規約(ア)、アクセス制御(イ)のほか、サービスの性質上個人データの処理が予定されているか(ウ)、実際に取扱いが行われていたこと(エ)が副次的に考慮されている。
- SaaSは個別の交渉が難しく、委託とされた場合の監督が困難であることもあり、クラウド例外に当たると整理されることも多いが、その当てはめは個情委においても固まっていなかった(小川智史「クラウド例外」NBL1250号4頁)。今回のケースは実務上はあまり結論が分かれない事案であったと思われるものの、当局が1つの(比較的詳細な)当てはめを示したものとして、今後の参考になると思われる。
- 以下の問題点が指摘されている。
- 番号法上の指導は以下の理由で行われていない。
- 「本件システムにおいてはマイナンバーも取り扱われていたが、電子申請時等にマイナンバーを入力しても、原則的にマイナンバーは保管されない仕組みであった。また、ユーザが、オプションサービスを利用する場合にマイナンバーが管理されることがあったが、その場合は、高度な暗号化による秘匿化がされた状態で保管されていたものと認められた。」
- 個情法・番号法上、漏洩、滅失、毀損は並列に扱われているようにも見え、それ自体の妥当性は別途問題となっているが、現行法においても、高度な暗号化が行われていた場合には報告義務が除外されている。暗号化しても滅失、毀損は免れないはずなので、ここでは漏洩と滅失・毀損の性質上のリスクの違いが考慮されていることになる。安全管理措置の具体化あるいは行政上の措置の選択に当たってもそれらが考慮されるのだと思われる。
-
クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点に関する注意喚起について |個人情報保護委員会
-
LINEヤフー株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について(令和6年3月28日) |個人情報保護委員会
- 「個人情報保護委員会(以下「当委員会」という。)は、令和6年3月28日、LINEヤフー株式会社(以下「LY社」という。)における個人データの取扱いに関する下記2件の事案について、LY社に対し、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)第148条第1項の規定による勧告等を行った。」。
- 個情委の措置は、①LINEの件(総務省が2月に通信の秘密漏洩として指導を行った件と同一案件)に関するものと、②ヤフオクの件(GUIDが漏洩するおそれ)に関するものからなる。①について勧告と1年間、四半期ごとの報告徴収命令が、②について指導がなされている。一連の破産者マップ関連事件を除けば、勧告(命令の要件になっている)が行われるのは令和元年(リクナビ事件)以来である。
- ①LINEの件について
- 別紙1の第2(と第4)に事実関係が、第3に原因が、第5に問題点が、第6に行政上の措置の内容が書かれている。
- 原因として「NAVERグループ及びLY社(注:LINEヤフー)が共同で共通認証基盤システムを利用していたことに起因し、NAVERグループの情報システムが多数所在するNC社(注:Naver Cloud Corporation)データセンターとLY社データセンターとの間はネットワーク接続が不可避であったこと及びNC社とLY社は、同じグループ会社として様々な業務を協業してきた経緯から、NC社に対しては、LY社のシステムへの広範囲なアクセスが許可されていた」こと、「LY社では、本件事案で不正アクセスの被害がなかったLINEのアカウント情報、メッセージ、通話音声、動画配信等を管理するサーバについては、重要度が高い個人データを管理する情報システムであると認識し、当委員会が行った令和3年の指導を踏まえた再発防止策として、かかるサーバへのアクセスにはID・パスワードに加え、事前登録されたスマートフォンの所持確認を行うことによる多要素認証を導入していた。他方、本件で不正アクセスがなされたデータ分析システム等については、LINEのユーザー情報が保管されているにもかかわらず、ID・パスワードのみでの認証方式を採用していた」ことが指摘されている。
- 勧告においては、「安全管理措置が徹底される組織体制を整備し、また、漏えい等事案に対応する体制の整備並びに安全管理措置の評価、見直し及び改善を行う」ことがその内容とされている。
- なお、「令和3年行政指導を踏まえ、多要素認証を導入するシステムを選定した基準及び導入しないと決定したシステムに対するリスク評価について、経営陣が関与した意思決定のプロセス及び証跡が残っておらず、不正アクセスを受けたデータ分析システム等に対して、多要素認証を導入する計画はなかった」とのことである(脚注11)。
- LINEはユーザー数約9,600 万の通信サービスであり、その社会的な重要性はNTT東西に匹敵するのではないかと思われるが、それに比して経営陣のセキュリティへのコミットメントが弱いように見える。(悪い意味で)ベンチャー気質のままなのだと思われるが、これは、オンラインサービスは、(有形の)商品を売ったり、従業員が対面でサービスを提供したり、物理的な設備を使用してサービスを提供するビジネスと異なり、ユーザー数が増えても企業側でやることがそれほど大きく変わらず、相応の社会的責任を負わされる立場になっている(いく)ことを自覚しにくいことによる面もあるのではないかと思われる。メッセージングサービスは文字通りネットワーク効果が強く、競争圧力が働きにくいため、通信の秘密・特定利用者情報規律(電気通信事業法)、基幹インフラ規制(経済安保推進法)、安全管理措置(個人情報保護法)といったツールを通じて、政府が共同規制的にサポートする必要があるのだと思われる。
総務省
なし(情報通信審議会通信政策特別委員会WG、ICTサイバーセキュリティ政策分科会、デジタル空間における情報流通の健全性確保の在り方に関する検討会で検討が進められている。)
NISC
内閣官房・内閣府(経済安全保障関係)
- 経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説(令和6年3月29日時点)…11月に公表され、2月に更新された資料のアップデート版。
公正取引委員会(デジタル市場競争本部を含む)
なし
金融庁
- 金融分野における経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説(令和6年3月15日時点)
- 「金融機関における個人情報保護に関するQ&A」の改正、「金融分野における個人情報保護に関するガイドライン」 等の改正…安全管理・漏洩報告関係のガイドライン通則編・規則改正を反映したもの。
警察庁(サイバー犯罪、マネロン関係)
法務省
なし
経済産業省
内閣府(科学技術関係(AI戦略を含む))
なし
厚生労働省(健康・医療戦略推進本部を含む)
なし
防衛省・防衛装備庁
なし
文化庁
- 文化審議会著作権分科会(第69回)(第23期第2回)
- 「AIと著作権に関する考え方について」、「「AIと著作権に関する考え方について(素案)」に関するパブリックコメントの結果について」が提出されている。
- 概要は「AIと著作権に関する考え方について」の概要/ 『AIと著作権』の感想 - Mt.Rainierのブログを参照。
デジタル庁
- 本人確認ガイドラインの改定に向けた有識者会議(令和5年度 第5回)(2/27)
- 「本人確認ガイドライン改定方針 令和5年度中間とりまとめ(案)協議用資料」が提出されている。
- 情報通信技術の活用による行政手続等に係る関係者の利便性の向上並びに行政運営の簡素化及び効率化を図るためのデジタル社会形成基本法等の一部を改正する法律案
- デジタル社会形成基本法、デジタル手続法、独立行政法人国立印刷局法・情報処理の促進に関する法律、マイナンバー法を一括して改正するもの。
- マイナンバー法に関して、スマートフォンだけでマイナンバーカードと同様にマイナンバー法上の本人確認ができる仕組みを設けることとされている。
- なお、マイナンバー法の逐条解説は、デジタル庁への移管にともなって公開を終了してしまったようだが、WARPに保存されている。
- 次期個人番号カードタスクフォース(第4回)(3/18)
- 「次期個人番号カードタスクフォース最終とりまとめ(案)概要」、「次期個人番号カードタスクフォース最終とりまとめ(案)」、「次期個人番号カードのデザイン(イメージ)」等が提出されている。
自由民主党
なし
