スキップしてメイン コンテンツに移動

デンマークのデータ保護局のGDPR違反に基づきタクシー会社に対し120万DKK(約2,011万円)のはじめての罰金の告発を受け、裁判所命令が下る (その2完)

 

3)検査官の結論のより詳細なレビューは以下のとおりである。 

 項目1:乗車記録の匿名化について 

 Taxaが個人データを処理するシステムの1つにDDSパスファインダーシステムがある。 このシステムは、顧客の注文や課税にかかる乗車記録等に使用される。 

 すなわち、タクシーに乗ってDDSパスファインダーに登録すると、たとえば顧客の名前、電話番号、実行日時、乗車の開始時刻と終了時刻、走行距離(キロメートル)数、支払い、GPS座標や住所などの座標として指定された乗車開始位置と終了位置等に関する情報が格納される。タクシーで乗車を予約した顧客にリンクできる限り、記載されている情報は顧客に関する個人情報と見なされる。  

 検査訪問に関連して、タクシー会社は、乗車に関するDDSパスファインダー内の情報は2年後に匿名化され、この匿名化は顧客の名前がタクシーから削除されることにあると説明した。 Taxaはまた、顧客の電話番号は5年間保存されており、これは事業開発のためのデータ基盤としてのみ利用されえいると述べた。

 「個人データの匿名化」とは、情報に基づいて、または他の情報と組み合わせて、自然人を後で識別することができないことを意味する。その情報は人格的ではないということ。 これが取消不能であることは匿名化の条件である。 問題となっている自然人がいかなる方法でもその情報にリンクバックすることはできない。匿名化された情報は、もはやGDPRの適用対象にならない。 

 検査訪問中に、検査官はDDSパスファインダーでスポットチェックを実施した。記録から、顧客の電話番号が検索されたときにタクシーに乗ってから2年以上も顧客の納税申告書を検索できることが判明した。 顧客の名前のみがタクシーから削除されるという匿名化のためのTaxaの手順では、情報の本当の匿名化は行われないというのが検査官の意見である。特に、Taxaは、顧客の電話番号、走行日、走行の開始と終了、走行距離、支払い、GPS座標および/または住所として記載された開始位置と終了位置、および走行後2年後のその他の座標に関する個人データを処理し続けていた。 

 さらに、検査官は、Taxaが顧客の電話番号を継続的に処理し、それによって処理されたタクシー料金に関するその他の情報が匿名ではないことは、GDPRの第5条第1項に準拠していないと判断した。同項は、問題の個人データが処理される目的のために必要とされるよりも長い期間にわたってデータ主体を識別することが不可能であるような方法で個人データが格納されなければならないこと明記している。

 これに関連して、Taxa自身は、情報を2年間処理することだけが必要であると評価したことに注意すべきである。  

項目2:データ最小化の要件に関連して、顧客の電話番号を5年間保存した点 

 GDPRの第5条第1項 (c)は、個人データは十分で、関連性があり、それらが処理される目的のために必要なものに限定されなければならないと明記している。

 検査訪問に関連して、Taxaは検査官に対し顧客の電話番号がタクシーの運転後5年間保存されると述べた。さらに、Taxaは、顧客の電話番号はもっぱら事業開発のためのデータベースとして扱われ、その電話番号はDDSパスファインダーシステムの共通参照フレームであると述べた。 

 最後に、Taxaは検査官に、2年が経過した後に別の固有のID番号が電話番号と同じ目的を果たすことができるが、電話番号をID番号などに置き換えるためにシステムが逆行することはできないと説明した。

 検査官の見解では、顧客の電話番号がシステム内で重要かつ共通の参照フレームワークとして使用されているTaxaのDDSパスファインダーのレイアウトは、電話番号自体は問題の目的に必要ではないので、GDPRの第5条第1項(c)に準拠していない。これに関連して、検査官は、乗車に関する情報を新しいデータ構造に移行することに関連するコストは、2年後に顧客の電話番号を削除できなかったことを正当化する理由にはあたらないと指摘した。  

項目3:DDSパスファインダーのためのデータ修復手順の不明瞭さ 

 監査訪問の際に、Data Inspectorateは、顧客の電話番号の取り扱いに関して、Taxaが5年間の削除期限を決定する際にどのような考慮を払っているかを尋ねた。 

 これに関連して、Taxaは、電話番号がDDSパスファインダーの背後にあるデータベース全体への鍵であり、したがってTaxaの製品および事業開発に必要であると述べた。 

 検査訪問の後、北欧のローファーム「NORDIA Advokatfirma I / S(以下”NORDIA”という)」は 2018年11月28日付けの手紙で、Taxaは「タクシーの注文に従って最長5年間注文された電話番号を保持する」と述べた 。 同じ手紙の中で、NORDIAは、 「電話番号の保持はDDSパスファインダー・システムが機能するための前提条件である」と述べている。 これは、DDSパスファインダーシステムの共通の参照フレームが、旅行先から注文された電話番号であるためであった。

  2018年12月7日付けの書簡で、データ検査官はタクシーに顧客の電話番号を5年間保存する理由を述べるようタクシーに要求した。同時に、データ検査担当者は、タクシーの注文を遵守するために保管が行われる場合には、さらに詳しく説明するために、タクシーの注文時に具体的に記載されているタスタをTaxaに要求した。 

  2018年12月13日、NORDIAは、2018年12月7日の検査官の書簡に対する返事を送った。そこでは、Taxaは次のように述べていた。「"電話番号はTaxaシステムの鍵である。 したがって、Taxaが事業を遂行することと、Taxaの事業開発の基盤としての両方が維持される。 同時に、NORDIAは、「タクシーの注文に関する保管の理由は誤解によるものである」と述べた。 

 GDPR第5条第1項 (b)は、個人データは明示的かつ合法的な目的のために収集されなければならないと述べている。それはまた第5条第2項「管理者は、第1項について責任を負い、かつ、同項遵守を証明できるようにしなければならないものとする。(「アカウンタビリティ」)」からも導き.出される。

  Taxaは、顧客の電話番号の法的根拠がDDSパスファインダーで扱われているかどうかについて何度も不確かであったため、Taxaがデータ保護規則の第5条第2項に基づく説明責任の要件を満たしていないと考えている。

項目4:削除手順の文書化について 

 個人データの削除の要件へのTaxaのGDPR準拠の監視の一環として、検査官は、削除の手順とその文書化を確認した。 

 削除手続きの文書化に関して、データ検査官は、Taxaが提出した資料に基づいて、選択されたすべてのシステムにおける削除手続きの文書化が表面的で一般的にみて不適切であることを確認できた。 

 検査訪問に関連して、検査官はまた、Taxaのシステムの削除に関するフォローアップ、 バックアップ時に、以前に削除された個人データの再ロードを処理する、システム内の削除を記録するなど、手順に関する文書の提出を要求した。

 バックアップを元に戻すときの削除および以前に削除された個人データの再読み込みの処理に関するフォローアップに関して、Taxaはこのための会社の手順に関する文書がないと述べた。 

 システムで行われた削除のログ記録に関して、検査官は、検査訪問に基づいて、監督上の訪問の対象となったシステムの4つのうち3つにおいて、手動のスプレッドシートで削除のログ記録のみが行われたと結論付けることができた。さらに、このスプレッドシートでは、特定の削除のログ記録は表示されず、そのシステムで誰が削除を行ったのか、およびいつ削除が行われたのかの履歴のみが示された。4番目のシステムでは、2018年6月14日に、Taxaは削除された情報を記録するための機能を実装しました。削除は2018年10月1日に依頼された。 

 データ保護法第5条第1項および第5条第2項に従い、データ管理者は、問題となっている個人データが処理される目的のために必要とされるよりも長期間にわたってデータ主体を識別することができなかったことを証明できなければならない。 

  検査官は、Taxaが削除のフォローアップ、サービスバックアップを実行する際の以前に削除された個人データの再読み込みの処理、および削除に関するTaxaのログ記録が不十分であるため,、これらの手順を文書化していないため、GDPRの第5条第2項の要件を満たしていないと考えた。 

(3) 検査の結論 

 検査訪問に関連して検査官が確立した結果に基づいて、検査官は要約すると次のとおり結論の根拠を見出した。

1. Taxa は会社自体の個人データの匿名性手続きが不十分であるため、GDPR第5条第2項(e)(保管制限)要件を満たしていない。 

2. Taxa はデータ保護規則の第5条第1項(c)(データの最小化)の要件を満たしていない。5年間の顧客の電話番号の会社の保管は、それらが保管される目的に関連して必要ではなかった。

3. Taxa はGDR第5条第1項および第5条第2項の要件を満たしていない。会社がタクシーに乗った後5年間顧客の電話番号がどのトリートメントセンターに保存されているか。 明確に定義していなかった。

4. Taxa はGDPR第5条第1項および第5条第2項の要件を満たしていない。なぜなら、会社はシステム内で行われた削除とそれを行うための会社の手続きを適切に文書化していないからである。 

 これらの理由をもとに、前述のポイント1と2と比較して、検査官は本日、コペンハーゲン警察にTaxa の警察宛て報告を提出した。 

さらに、パラグラフ3と4に関連して、データ検査官は全体として、Taxa がGDPRの要件を満たしていないという深刻な批判を表明することの根拠を見出した。

(4) 参照

 [1] 「個人データの処理およびそのようなデータの自由な移動に関する個人情報の保護に関する規則」の追加規定に関する2018年5月23日法律第502号(デンマークのデータ保護法) (注4)

 [2] 個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/ECを廃止する欧州議会及び理事会の2016年4月27日の規則(EU) 2016/679 (一般データ保護規則) 

****************************************************************************

(注2)ここでいう「ポリシー」とは「社内ルール」である。

(注3) わが国でGDPRにおける匿名化(Anonymous)と仮名化(Pseudonymisation)の相違につき詳しく解説しているサイトから一部を以下、引用する。

「匿名というのは、個人の特定が不可能とされる状態を指します。そして、GDPRでは、「匿名化データ」は個人データに該当しません。注意が必要なのは、匿名化技術は、不可逆的に特定を防止するものでなければなりません。

 この匿名化についてGDPRの訳文の前文26条を引用する「(26) データ保護の基本原則は、識別された自然人又は識別可能な自然人に関する全ての情報に対して適用されなければならない。追加情報を使用しての利用によって自然人に属することを示しうる、仮名化を経た個人データは、識別可能な自然人に関する情報として考えられなければならない。ある自然人が識別可能であるかどうかを判断するためには、選別のような、自然人を直接又は間接に識別するために管理者又はそれ以外の者によって用いられる合理的な可能性のある全ての手段を考慮に入れなければならない。自然人を識別するために手段が用いられる合理的な可能性があるか否かを確認するためには、取扱いの時点において利用可能な技術及び技術の発展を考慮に入れた上で、識別のために要する費用及び時間量のような、全ての客観的な要素を考慮に入れなければならない。それゆえ、データ保護の基本原則は、匿名情報、すなわち、識別された自然人又は識別可能な自然人との関係をもたない情報、又は、データ主体を識別できないように匿名化された個人データに対しては、適用されない。本規則は、それゆえ、統計の目的又は調査研究の目的を含め、そのような匿名情報の取扱いに関するものではない。」

 一方、「仮名化データ」は、追加情報がないと個人を特定できないものです。

ただ、「仮名化データ」は、匿名化データとは異なり個人データになります。

仮名化データを具体的にいうと、データの中身を置換するなどして個人の情報が直接分からないように加工したものです。

例えば、データベースの中の、氏名や住所、電話番号などを、別の文字列に置換したものです。ただ、顧客IDなどのID列のデータはそのまま残っているので、加工前のデータが残っていれば、加工前のデータと紐づけると、個人特定ができる状態です。(以下、略す)

(注4) デンマークの監視機関である”Datatilsynet”サイトでは、これらの他に「犯罪者の防止、調査、探知または訴追の目的での所管官庁による個人データの処理に関する自然人の保護に関する2016年4月27日の欧州議会および理事会の指令(EU)2016/680 犯罪または刑事罰の執行、およびそのようなデータの自由な移動、ならびに議会の枠組み決定の廃止2008/977 / JHAに関する指令」「法執行機関による個人データの処理に関する法律 (全10章23条)」「デンマークのテレビ監視法に関する行政命令(Bekendtgørelse af lov om tv-overvågning)」が関係法令として列記されている。

**************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...