最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  　 米国のローファーム Jeffer Mangels Butler & Mitchell LLP (JMBM) から「カリフォルニア州は、2017年1月1日から個人情報漏洩時の通知義務法の一部改正法案AB2828を可決、施行」という 記事 が届いた。  　カリフォルニア州は、2002年に米国で初の「データ漏洩通知法」  (注1) (注2) を可決して、その法律がアメリカ合衆国にデータ保護法の最前線に残ることを確実とするために、一貫して働いてきた。 ジェリー・ブラウン州知事 が 法案AB 2828  （ エド・チャウ(Ed Chau)議員 が法案を起草）に署名したとき、カリフォルニア州は2016年9月13日に、この評判をさらに磨き上げた。この法律は、危殆化した個人情報を持つ企業の告知の必要条件に重要な変化をもたらすことによって、カリフォルニア州の「データ漏洩通知法（民法典1798.82条ほか）」を一部改正したものである。  　 AB 2828の改正前には、カリフォルニア州は他の大部分の州と同様、「暗号化された」情報が漏洩されたことを明らかにすることを企業に要求していなかった。AB 2828 (注3) は、暗号化されたデータがその個人情報を読めたり使用が可能となる「暗号化キー(encryption key)」または「セキュリティ証明書(security credential)」と共に漏洩したときは、暗号化された情報が無権限の漏洩にあたるとして、2017年1月1日付けでその漏洩を通知することを企業に要求するものである。  　今回のブログは、カリフォルニア州司法省のリリースとJMBMのブログ記事を集約したかたちでまとめた。いずれにしても、IT技術の変化は激しい。迅速な法改正の例として、紹介するものである。   １．従来の法律の暗号化データにおける通知適用の例外規定(いわゆるセーフ・ハーバー規定)の問題   　暗号化された個人データに関する通知義務法の例外規定は、従来のカリフォルニア法の一部であった。しかし、それには潜在的に重大な欠陥があった。 　たとえば、ハ...

  ○ロシアの NGO 「 Internet Defense Society 」 代表のレオニード・ボルコフ (Леонид Волков:Leonid Volkov)は、Roskomnadzor（それはフェイスブックとツイッターのような会社との定期的な会議を開く）がデータ・ローカリゼーションのその交渉している位置を改善しようとしているように提案している。      photo: レオニード・ボルコフ(Леонид Волков:Leonid Volkov)  「Roskomnadzorは、フェイスブックやツイッター以外の誰かをブロックすることができることを示したいのである。しかし、彼らはフェイスブックをブロックすることが決してできない。  ○この２人のアナリストは、LinkedInがその「二流企業(second tier)」ステータスのために選ばれた点で同意した。2015年現在、合計4億になるロシアのソーシャルネットワークに対し、LinkedInのユーザー数はわずか500万人の登録されただけであった。  　ボルコフは、「もし、監視機関がWhatsAppの利用を妨げる(アクセス遮断等)ならば、市民の抗議がメイン通りで起こるであろう。あなたが、選挙の前にそうすることができない。LinkedInは人気がない、そしてそれはロシアでは理解されないが、国際的には重要な問題である。」と述べた。 　LinkedInのこのような動きは、同社のRoskomnadzorとの弱い関係からも生じるかもしれない。報道官アムペロンスキーによると、「Roskomnadzorは、多種多様な問題を議論するために、少なくとも年に２回フェイスブックやツイッター幹部と会う。これらの会社がとっている手順はRoskomnadzorを条件を満たし、その結果、Roskomnadzorはこれらの会社に対する制裁を計画していない。  　他方、LinkedInはLinkedInはRoskomnadzorからの2通の手紙に反応することなく、またモスクワに代表部を持っていないため、Roskomnadzorに対し、ロシア国内でのユーザ・データを局所化することに...

  10月25日、ロシアの独立系ビジネス新聞 「コメルサント(実業家；ビジネスマンの意味)(Коммерса нтъ：Kommersant.ru)」 は、LinkedIn(LinkedIn（2003年5月にサービスを開始した世界最大級のビジネス特化型ソーシャル・ネットワーキング・サービスおよび同サービスを提供するアメリカ合衆国カリフォルニア州シリコンバレーの企業。2014年8月現在の登録ユーザーは全世界で3億1300万人を超え、日本では、現在100万人以上が会員登録をしている)がロシア・モスクワ市の第一審タガンスキー地方裁判所(Тага́нский райо́нага́нский райо́н:Tagansky)が、2016年8月に 「改正個人データに関するロシア連邦法(Federal Law No. 242-FZ 2014 )   (注1)  ( 後述する「データ・ローカライゼイション法(ロシアの個人情報国内保持法)」)に違反したとしてロシアのインターネット利用者からLinkedIn接続を遮断する旨のロシアの データ保護庁（Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций：Roskomnadzor）   (注2) の告訴にもとづき、今回の罰則的措置を科したとの ニュース が届いた。  　同法は、ロシア国内のその個人データを格納するためにロシアの市民から個人データを集めたウェブサイトやその他の企業を対象とする。第一審の地方裁判所に訴えが係属し、今回の訴えはロシアの通信・情報技術・マスコミュニケーション監督庁である原告Roskomnadzorの勝訴であったが、被告の控訴に係る審理は2016年11月10日に行われる予定である。  　同裁判で、 Roskomnadzor   (注3) は、LinkedInの行動が他の一般的なロシアのデータ・プライバシー法に加えてデータ・ローカライゼ...

   photo:Tom Wheeler  　 2016年10月27日に、 米国・連邦通信委員会（FCC：委員長：トム・ウィーラー（Tom Wheeler）） は、同4月1日にブロードバンド・インターネット接続サービス・プロバイダー（Broadband Internet Access Service providers：以下「BIASプロバイダー」という）  (注1) の顧客のプライバシー実務慣行を統治するために大いに期待された「規則制定提案告示(Notice of Proposed Rulemaking (以下「NPRM」という」(全147頁)を発表、コメントを求めた結果にもとづき、その後の検討、関係団体等から指摘をふまえた最終規則を採択した旨、 リリース した。  　3-2のFCCの投票結果で、FCCは顧客データのインターネット・サービス・プロバイダーの個人情報の収集と使用方法等を決定する新しい規則を承認した。最大の影響は、プロバイダーが以前は顧客の事前許可なしで集めることができたデータの収集、共有見ついて、事前に肯定の同意を得るいわゆる「オプト・イン」が必要である場合を明記した点である。  　10月始めに公表したFCCの概況説明では、FCCは新しいプライバシー規則はアプローチ内容を、従来FTCによって使われるものと類似して作ることを目的としたと述べた。しかし、関係者の一部はFCCはFTCが積極的に取り組んできた内容に比べあまりに遠くに向きを変えたことを批判する。  　今回のFCC規則は、機微情報(sensitive data)のカテゴリーに分類されるデータの使用、共有につき「オプト・イン」による同意を義務づける。さらに、FCCは機微情報として「金融取引データ」や「地理位置情報データ」を含むことに加えて、「ウェブ・ブラウジング(Webブラウザを利用してWebサイトなどを閲覧すること)」や「モバイル・アプリ」の使用データも「機微」情報にあたると定めた点で、今回のFCC規則は従来のFTCのアプローチとは異なる。また、FCCは同規則において「漏洩時のステイクホルダーへの通知」義務、「収集と使用」に方針の目立つ通知内容、データセキュリ...

  　 10月25日、FTCは個人情報漏洩への対応に関し、民間企業のための新たなガイダンスを 公布 するとともにブログやビデオを公表した。今回のFTCの情報漏洩時の対応ガイダンスは、2015年6月のFTC 「セキュリティで始まる：情報セキュリティ・ガイダンス(“Start with Security” data security guidance)」   (注1)  ( 全20頁) の発行に引き続き最近のFTCが取り組んでいる「情報漏洩」や 「サイバーセキュリテイ」  (注2) に関する教育と支援活動の上に構築されたものである。今回のFTCの情報漏洩対応ガイダンスは、主として、(1)安全なシステム、(2)データの漏洩につながった脆弱性に対処し、(3)適切な当事者に通知する、という3つの手順に焦点を当てている。  　一方、ホワイトハウスのオバマ政権が従来から力を入れてきた官民サイバーセキュリティ情報共有とプライバシー強化 法案と関連立法化動向に関連して連邦通信委員会(FCC)も2016年4月1日、ブロードバンド・インターネット接続サービスプロバイダ（broadband internet access service providers：「BIASプロバイダー」という）のプライバシー実務を統治するために大いに期待された 「規則制定提案告示(Notice of Proposed Rulemaking (以下「NPRM」という」 (全147頁)の発表とコメントを求めるべく、リリースした。そのNPRMに対するコメント期限は2016年5月27日の予定で、コメント回答期限は2016年6月27日の予定であったが、11月27日に最終規則案を採択、 公表 した。  　本ブログは、”Covington & Burling LLP” のアソシエイトであるカレブ・スキース(Caleb Skeath)のブログ「データ漏洩時の対応のためのFTCの新ガイダンス(FTC Issues Guidance for...