More Related Content Similar to IoTビジネスと法律・法務 20170531 (20) IoTビジネスと法律・法務 2017053122. 匿名加工情報
山田○○ yamada@xxx.jp 2016/12/4 八丁堀店 480 Type B
0002 岩鬼○○ iwaki@xxx.jp 2017/2/13 飯田橋店 1260 Type B
0003 里中○○ satonaka@xxx.jp 2016/9/24 池袋店 40 Type B
・・・ ・・・ ・・・・ ・・・ ・・・ ・・・ ・・・
弁護士 中野友貴 平成29年5月31日
契約者
ID
氏名 メールアドレス 住所 年齢 利用日 利用時間
(分)
車種
0001 山田
○○
yamada@xxx.jp 神奈川県相
模原市A-B-C
42 2016/12/5 480 Type A
0002 岩鬼
○○
iwaki@xxx.jp 神奈川県相
模原市D-E-F
17 2017/2/11 1260 Type B
0003 里中
○○
satonaka@xxx.j
p
アメリカNY州
Bronx, G-H-K
91 2016/9/24 40 Type B
・・・ ・・・ ・・・・ ・・・ ・・・ ・・・ ・・・
22
23. 匿名加工情報
契約者
ID
氏名 メールアドレス 住所 年齢 利用日 利用時間
(分)
車種
A022 山田
○○
yamada@xxx.jp 神奈川県 40~49 2016/12/3
~12/8
480 Type A
S912 岩鬼
○○
iwaki@xxx.jp 神奈川県 ~19 2017/2/10
~2/15
1260 Type B
E376 里中
○○
satonaka@xxx.j
p
海外 70以上 2016/9/19
~9/24
40 Type B
・・・ ・・・ ・・・・ ・・・ ・・・ ・・・ ・・・
仮名化 削除 一般化 一般化 そのまま
弁護士 中野友貴 平成29年5月31日 23
36. プライバシー影響評価
Information Commissioner’s Office “Conducting privacy
impact assessments code of practice”(訳は引用者による)
弁護士 中野友貴 平成29年5月31日
■ PIA(プライバシー影響評価)実施手順
①PIAの必要性の特定
②情報の流れを抽出
③プライバシーその他のリスクの特定
④プライバシー上の問題の特定・解決
⑤成果の記録
⑥成果をプロジェクトに反映
⑦利害関係者への相談
お年寄り 受信事業者
生活音
家族異常
報告
第三者
事業者
第三者
事業者
情報廃棄
提供 提供
36
47. 法が求めるセキュリティ対策
■ 主要な争点
① セキュリティ対策をとることが義務になっていたか
② セキュリティ対策としてSQLインジェクション対策をするべきであったか
③ Y社に重過失が認められるか
■ 裁判所の判断
① セキュリティ対策をとることは黙示的に合意されていた→義務であった
② 「当時の技術水準に沿う技術対策」が必要→SQLインジェクション対策は必要
③ Y社に専門性があること、多大な労力や費用が掛かることもないこと→重過失あり
※ ②③の判断において、経産省やIPAが注意喚起をしていた事実を根拠とする
弁護士 中野友貴 平成29年5月31日 47
50. 個人情報漏えい時の損害賠償額
損害賠償額
= 基礎情報価値 【500】
×機微情報度 【Max(10max(X-1)
+5max(y-1)
)】
×本人特定容易度 【6,3,1】
×社会的責任 【2,1】
×事後対応評価 【2,1】
(算式の出典)
2014年度情報セキュリティインシデント調査報告書~個人情報漏えい編~
NPO日本ネットワークセキュリティ協会セキュリティ被害調査ワーキンググループ(57頁)
X
精神的苦痛
y
経
済
的
損
害
(1,1) (2,1)
(1,2)
(1,3) (2,3)
(2,2)
(3,3)
(3,2)
(3,1)
(EP図を参考に作成)
弁護士 中野友貴 平成29年5月31日 50