みなさん年末をいかがお過ごしでしょうか、北野です。私は数年ぶりに比較的ゆっくりと年末年始を過ごしています。何事もインプットが不足すると結局アウトプットが貧しくなるので、この休みは本を読み、各種報告書などを読み、いろいろ考えてみたいと思っています。

さて2015年もいろいろなことがありましたが、ちょっと身の回りを振り返ってみたいと思いました。

1.　今年も個人情報漏えい事件相次ぐ

昨年は内部不正による大規模な漏えい事件が起きて、久しぶりに内部不正対策が注目されましたが、今年はサイバー攻撃によると思われる大規模漏えいが起こり、標的型攻撃対策などがまた注目されました。（年末も押し詰まっているというのに、ここ数日でまた公表されたものがありますね。）大きな事件が起きると、「やっぱり標的型対策だ！」「内部不正対策だ！」と世の中の話題に振り回されがちになりますが、根本的にはサイバー攻撃も内部不正も、どちらも起こり得るので、バランスよく対策を実施していきたいものです。

2.　個人情報保護法改正とグローバルなプライバシー保護

2005年の完全施行後、10年ぶりに個人情報保護法の改正案が可決・成立しました。年が明けると個人情報保護委員会ができて、来年後半か再来年初めには改正法が施行されるのだと思います。企業の実務にもそれなりの影響を及ぼす場合がありますので、しっかり準備をしていきたいと思います。

海外の法制度も動きがありましたが、最も大きなニュースはEUと米国の間のセーフハーバー協定に対して欧州の裁判所から無効判決が出たことでしょう。特に米国にデータセンターを置くクラウド系の事業者にはそれなりのインパクトがあったのだと思います。29条作業部会からは「1月末までになんとかしろ」という趣旨のコメントが発表されていますから、引き続き動向を注視する必要があります。

ところで、クラウドサービス事業者の利用契約には標準契約条項（SCC)の文面が含まれているものもあると聞いています。この方法はサービスを契約するユーザ企業が欧州域内の会社であれば良いのですが、「グローバル契約」と称して契約の当事者が日本企業であった場合、その効力は疑わしいと考えています。なぜならEUのSCCを解説するサイトを見ると、わざわざ、“(EU-)controller to (Non-EU/EEA-)controller”、“(EU-)controller to (Non-EU/EEA-)processor”と書いてあり、SCCというしくみはもともと個人データを送り出す側の管理者（Data Controller）が欧州域内にあることを前提としているしくみだと思えるからです（そうでないと企業に対してEUが行政権を行使できませんから、当然ではありますね）。このことが日本企業に大きな不利益をもたらさないように考えていきたいと思っています。

3.　マイナンバーが始まる

いよいよこの秋、国民に個人番号が発行され、番号の通知カードが配布されました。企業内では従業者からの番号の収集や、法定調書に対する番号の記入など、慌ただしく準備が行われました。まだ大規模な漏えい事件等は起きていない（明るみに出ていないだけかも知れない）のですが、今後どうなるか考えていきたいと思います。もっとも、この番号自体が漏えいするとどんなリスクがあるのか、については過敏にならず冷静に考える必要があると思いますし、高齢化社会を迎えて税や社会保障の今後を真剣に考えなければならない状況になっていることを合わせて考えていきたいと思っています。また企業によっては顧客情報はしっかり保護しているものの、従業者の個人情報保護はさほど重視していないというケースもあるので、「従業者の個人情報とプライバシー保護」を見直すきっかけになるのは良いことだと思います。

来たるべき新年は、これらの問題に引き続き向き合いつつ、製造業の知的財産保護などにも取り組んでいくことになると考えています。個人情報ほど表沙汰になりませんが、グローバルな事業の広がりと共に、非常に重要な課題になってきています。

そんなわけで、今年もみなさまに大変お世話になりました。来年も引き続き、よろしくお願い致します。（ブログはもっと更新したいと思っていますが、鬼が笑いそうです。）