最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  (2) 承認されたユーザープロセスを利用   　承認されたユーザープロセスは、ほとんどの合成IDがどのように作成されるかである。 承認されたユーザーをアカウントに追加することは合法であり、クレジットカード発行者が許可する。これは通常、配偶者や子供の追加などの正当な目的で使用される。   　詐欺師は、承認されたユーザープロセスを利用し、カード所有者を積極的に募集して、未知の人物/身元をカードに追加する。正当なカード所有者は、この技術を使用して、「ピギーバック(piggybacking)」  (筆者注5) と呼ばれることがある。正当なカード所有者は、承認されたユーザーIDを自分のアカウントに追加するための手数料を受け取る。 承認されたユーザーにクレジットカードは発行されない。ある期間クレジットアカウントに座り、カード所有者のクレジット履歴を「継承」する。  　credit line (トレード・ライン)がCRAに報告されると、承認されたユーザーとしてアカウントから合成アイデンティティを削除できるが、クレジット履歴は保持される。 詐欺師は複数のカード発行者にクレジットを申請する。 複数のクレジットラインを獲得することで、詐欺師はギフトカードやスマートフォンなどの貴重な商品や簡単に売れるエレクトロニクスなどの商品を購入することで、すべてのクレジットラインを最大限に活用する。  　この例では、詐欺師はまた、クレジットラインが最大化され、価値のないまたは偽造品の小切手で払い戻され、小切手の支払いが返される前に再び最大化されるバスト・アウト・スキーム  (筆者注5-2) を実行することができる。これにより、元の与信限度の2倍のエクスポージャーが発生する。よく組織された犯罪者は、このプロセスを複数回繰り返すことができる。  　承認されたユーザーを追加するために募集されたカードの所有者は、一度に50人までアカウントに登録される。 カード所有者は、他の人が信用を確立したり修復するのを助けるために、良き信用履歴を寄付していると信じているかもしれない。ドナーとクレジット・アシスタンスを必要とする多くのクレジット...

  Last Updated: Marh 15 ,2019 2017年7月26日付けの米国連邦議会の連邦行政機関のWatchdogである「行政監査局(GAO)」が参加した「Combating Synthetic Identity Fraud：Forum」の概要報告が手元に届いた。  　過去にさかのぼるが、GAOは2017年3月30日付けで 「 Identity Theft Services：Services Offer Some Benefits but Are Limited in Preventing Fraud」   (注1) と題する報告を連邦議会あてに行っている。 　この犯罪類型は、犯罪者が実在（通常は盗んだ）ID情報と偽のID情報を組み合わせて新しいアイデンティティを作成する詐欺の一種である。不正に銀行口座を開設し、詐欺的な商品やサービス等を購入、不正に受給をするために使用される。この合成身元情報の詐称は、犯罪者が偽のIDに基づいてクレジットカード会社や貸し手から金銭を違法に盗むことを可能にするだけでなく、国の給付金の不正受給、テロ資金のマネローンダリング等、その適用範囲は極めて広い。したがって、GAOや連邦取引委員会(FTC)などの危機感が極めて高まっていることがその背景にある。  　当時、筆者は、(1) そこで指摘された問題の大きさを十分理解できなかったこと、(2) 日本の場合、マイナンバーを利用する際には厳格な本人確認が義務付けられており、マイナンバーに加えて、運転免許やパスポート、健康保険証などで身元を確認することで、マイナンバーが漏えいした場合もなりすましを防止しうるという点等から、当面わが国での同様のリスクがあり得ないと感じたこともあり、あえて本ブログでは取り上げなかった。  　しかし、マイナンバーの利用範囲が立法時に想定した範囲から次第に広がるリスクもありうる。すなわち金銭的なりすまし詐欺にあうリスク(勝手にクレジットカードが作られて引き落としされる、引き落としを止めようにも止められない、他人の借金を背負わされる)は比較的少ないものの、...

  5．当社は、あなたの個人情報を如何に管理するか。(您如何管理您的个人信息。) 5.1 高徳は、あなたの個人情報の最重要扱いし、および個人情報を管理する方法を提供する。あなたは、問い合わせ、修正、管理、あなたの情報を削除し、またあなたのプライバシーとセキュリティを保護する権利を有する。  5.2 法律や規則に定める例外的な場合を除き、当社はそのサービスを使用するときは常に、あなたの個人情報へのあなたがスムーズにアクセスできるよう努める。あなたは、次のようにアクセスする権利を行使することができる。  （1）アカウント情報：あなたは、あなたのアカウントにアクセスしたり、プロファイルを、編集したり、パスワードを変更、セキュリティ情報を追加したり、アカウントの閉鎖など、を欲した時は、あなたが使用する製品では、以下のような操作を行うことができる。  （2）情報の使用：あなたは表示または検索履歴、ナビゲーション記録および運転実績をクリアすることができる。  （3）注文にかかる情報：あなたは製品等にかかる注文の記録、取引記録や請求書記録をチェックしたりクリアすることができる。  5.3 あなたが自身の個人情報を更新したり、当社の個人情報の処理をにエラーを見つけたときに、修正や更新を行う権利を持つ。あなたは製品に修正を自分で作ることができ、またはフィードバックおよび誤り訂正を行うことができる。あなたが更新または訂正する前に、当社は最初の要求内容を処理する前に、あなたの身元を確認をお願いすることがある。  5.4 次の場合、あなたは当社に対しあなたの個人情報の削除要求を提出することができる。 （1）当社が法律や規則に違反して個人情報を取り扱う場合。   （2）当社が収集した場合、あなたの個人情報を使用したが、あなたの同意を持っていなかった場合。   （3）当社があなたとの契約に違反して個人情報を取り扱う場合。   （4）あなたがアカウントナンバーを取り消した場合。   （5）当社が、生産活動やサービスを終了した場合。   5.5 あなたは、アカウントの取り下げ操作によ...

  2.当社はクッキーおよび同様の技術を如何に使用するか (我们如何使用Cookie和同类技术)   2.1 あなたが高徳の製品やサービスを利用するとき、当社はあなたをよりアクセスしやすいと感じさせるために情報を集め、格納するためにいろいろな技術を使用しうる。そして、この匿名識別子(Anonymous identifiers)の手続中において、あなたのデバイス装置に一つ以上のクッキーを送りうる。そうすることであなたのアクセス慣習を理解し、またあなたを繰り返し登録情報を入力するためにステップを保存するか、あなたのアカウント・セキュリティを決定するのを支援する。   2.2 あなたが高徳の製品やサービスを利用するとき、当社はあなたの嗜好を理解したり、行動面の助言やデータ分析の分析、さらに製品やサービスならびにユーザー経験の改善、公告宣伝効果の向上、セキュリティリスクの回避や、ユーザーやパートナーにとってより良いサービスを提供するために情報を収集する。  2.3 当社は、このポリシーに記載した目的以外の目的のためにクッキーを使用することはない。また、あなたはあなたの好みに従いクッキーを保持または削除することができる。あなたは、ソフトウェア中の保存されたすべてのクッキーを削除でき、あなたのクッキー情報は手動でクリアーされたときに削除される。(我们不会将Cookie用于本政策所述目的之外的任何用途，您可根据自己的偏好留存或删除Cookie。您可清除软件内保存的所有Cookie，当您手动清除后您的相关信息即已删除。)  ３．当社は、あなたの個人情報を如何に共有、移転および公開するか。(我们如何共享、转让、公开披露您的个人信息)   3.1 共有(共享)  3.1.1 当社は、次にあげる例外を除いて、高徳およびその関連会社外の企業、団体、個人とあなたの個人情報を共有することはない。(我们不会与高德及其关联公司以外的任何公司、组织和个人分享您的个人信息，但以下情况除外)   （1）あなたの明示的な事前の承認または同意を得た場合。   （2）適用法令、法的手続または強制力をもった政府の要求...

  Ⅲ．中国の国境を越えたデータ移転にかかる新しいサイバーセキュリティ―立法等による法規制のあり方の大きな変化を概観 　１．Morgan、Lewis＆Bockius LLPのReport 　2017年7月17日Morgan、Lewis＆Bockius LLPは 「中国、国境を越えた個人情報の移送に関する立法諸ルールを制定 (China Drafts Legislative Rules Regarding Cross-border Data Transfers)」 と題するレポートを公表している。 　このレポートは、CSLと(1)国境を越えた個人情報の移転と重要なデータの安全性評価のための措置（協議草案） （具体的評価の尺度）、(2)国境を越えたデータ移転のセキュリティ評価のためのガイドライン（協議草案） （評価ガイドライン）、(3) 重要情報インフラの安全保障のための規則（協議規則案）（CII Regulation)を比較しながら実務面からみた検討課題を整理している。  　同レポートを以下、 仮訳 する。  　2017年6月1日施行の中国が最近制定した「サイバーセキュリティー法（中华人民共和国网络安全法：CSL」は、中国の重要情報インフラストラクチャー（CII）事業者が収集、生産する重要な個人情報とデータを中国内に保管することいわゆる「ローカル・ストレージ(データ・ローカリゼーション)」を要求し、また CSLは個人情報および重要なデータが中国国外の企業または個人（国境を越えたデータ移転）に提供される前に、セキュリティ・アセスメントが実施することを要求している(CSL：37条) (筆者注2-2)。 中国は、CSLとともに、個人情報の国内保持(local storage)および国境を越えた個人データ移送の要件とパブリックコメントに対応するその他の法案を公表している。 CSLを受けた新しい3つの実施規則・ガイダンスとしては、以下が挙げられる。  ① 国境を越えた個人情報の移転と重要なデータの安全性評価のための措置（協議草案） （具体的評価の尺度）。 ② 国境...

  　 中国のサイバーセキュリティ面やプライバシー保護面の国際化・標準化をめぐる関係機関の具体的動きが昨年末以降急速に進んでいる。その１つが先週に筆者が紹介した米大手ローファームの北京事務所の弁護士  罗嫣 (Yan Luo:ヤン・ロウ) 氏の紹介ブログ「 中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題」 である。  　これと関連し、同氏は7月27日の 国営新華社通信 にもとづき中国の中央機関が中心となる個人情報保護強化キャンペーン開始計画の概要の紹介記事を載せている。その内容は、中央の規制強化が即民間企業の強化につながるかという疑問、規制対象となるデジタル・マッピングビジネスと個人情報との関係がいまいち理解しがたい点等疑問点があり、同氏の明晰な分析を期待したが、今回はその点は期待外れであった。  　しかし、本ブログで述べるとおり、昨年12月21日同氏は「 中国、7つの草案のサイバーセキュリティとデータのプライバシーに関するコメントを求める」 というレポートを投稿し、さらに同氏の2017年1月6日付け 「中国の個人情報保護に関する国家基準の新案」 レポートを読む限り、中国の個人情報保護の法制整備等を踏まえた国際的なITスタンダード化の取組姿勢の意図は間違いない 。 (筆者注1）  　 今回のブログは、まず2016年12月レポートと2017年１月レポートの内容を概観したうえで、7月26日新華社通信の記事内容を見る。  　国家リード型経済を進める中国が、短時間に欧米レベルの達すべくいかなる展開を見せるか、わが国としてもビジネス面の深い関係があるがゆえに見逃せない重要な課題と考える。 　また、言うまでもないが今回監査対象となる中国企業のほとんどは無料インスタントメッセンジャーアプリやソーシャルメディア等企業であり、その多くは日本法人があり、わが国国民の多くがユーザーでもあることから、これらの規制内容の正確な理解は極めて重要といえる。  (筆者注2) ( なお、本ブログで引用する主要情報IT企業につき、中国の大学の日本語教師がまとめた 「中国の【無料アプリ】中国で役立つもの厳選8 」 は簡単なものであるが、中国の日常生活には十...