cookieの個人情報該当性について

cookieは、個人関連情報として認識される傾向があるが、個人情報(個人データ)に該当する場合があるか。

 

個人情報保護法第2条1項

個人情報とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

①当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

②個人識別符号が含まれるもの

 

cookieは、生存する個人に関する情報ではあるが、②の個人識別符号ではない。

 

①との関係では、たとえば、ユーザが会員登録を行ってウェブサイトにログインし、そこで取得されるcookieにcookieID含まれていると、cookieIDと会員情報を照合し、会員の氏名等を特定できる場合がある。

このような場合には、cookieは個人情報(個人データ)に該当する。

 

参考文献:ビジネス法務2022年12月号31ページ「日本におけるCookie関連規制の最新動向」

電子帳簿保存法の改正について

電子計算機を使用して作成する国税関係帳簿書類の保存方法等の特定に関する法律(以下「電子帳簿保存法」といいます。)とは、各税法上の帳簿書類について一定の要件を満たした上で電磁的記録(電子データ)による保存を可能とすること及び電子的に授受した取引情報の保存義務等を定めた法律である。

 

令和3年度の税制改正によって、申告所得税及び法人税における電子取引の取引情報に係る電磁的記録について、その電磁的記録の出力書面等の保存をもってその電磁的記録の保存に代えることができる措置は廃止された。改正法は令和4年(2022年)1月1日以降の電子取引に適用される。

 

【対象となる電子取引のデータとは?】

改正後は、たとえば、メールに添付されたPDFの請求書や領収書などは、出力して紙面で保存することはできなくなり、データのまま保存することが義務付けられる。国税庁の「電子帳簿保存法一問一答【電子取引関係】」の問4では、以下の電子取引のデータを保存しなければならないとしている。

(1)   電子メールにより請求書や領収書等のデータ(PDFファイル等)を受領

(2)   インターネットのホームページからダウンロードした請求書や領収書等のデータ(PDFファイル等)またはホームページ上に表示される請求書や領収書等のスクリーンショットを利用

(3)   電子請求書や電子領収書の授受に係るクラウドサービスを利用

(4)   クレジットカードの利用明細データ、交通系ICカードによる支払データ、スマートフォンアプリによる決済データ等を活用したクラウドサービスを利用

(5)   特定の取引に係るEDIシステムを利用

(6)   ペーパレス化されたFAX機能を持つ複合機を利用

(7)   請求書や領収書等のデータをDVD等の記録媒体を介して受領

 

【データの保存方法は?】

 また、改正後は、以下の真実性の要件と可視性の要件を具備する方法でデータを保存することが必要である。

真実性の要件

以下のいずれかを行うこと

①    タイムスタンプが付された後、取引情報の授受を行う。

②    取引情報の授受後、速やかに(またはその業務の処理に係る通常の期間を経過した後、速やかに)タイムスタンプを付すとともに、保存を行う者または監督者に関する情報を確認できるようにしておく。

③    記録事項の訂正・削除を行った場合に、これらの事実及び内容を確認できるシステムまたは記録事項の訂正・削除を行うことができないシステムで取引情報の授受及び保存を行う。

④    正当な理由がない訂正・削除の防止に関する事務処理規程を定め、その規程に沿った運用を行う。

 

実務上、④の事務処理規程を用意することがコストを抑えて自ら対応することができる手段であると考えられる。事務処理規程のひながたは国税庁が次のサイトで提供していますが、細かい部分は自ら定める必要がある。

https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/0021006-031.htm

 

事務処理規程の作成及び取締役会における制定・改定手続にお困りの場合は当事務所にご相談ください。

https://www.kigyou-houmu.com/contact/

 

可視性の要件

以下のすべてを行うこと

①    保存場所に、電子計算機(パソコン等)、プログラム、ディスプレイ、プリンタ及びこれらの操作マニュアルを備え付け、画面・書面に整然とした形式及び明瞭な状態で速やかに出力できるようにしておく。

②    電子計算機処理システムの概要書を備え付ける。

③    以下の検索機能を確保する。※

㋐ 取引年月日、取引金額及び取引先により検索できること

㋑ 日付または金額の範囲指定により検索できること

㋒ 2つ以上の任意の記録項目(取引年月日、取引金額及び取引先)を組み合

わせた条件により検索できること

※  ただし、税務職員による質問検査権に基づく電磁的記録のダウンロードの求めに応じることができるようにしている場合には㋑及び㋒の要件は不要である。また、保存義務者が小規模な事業者でダウンロードの求めに応じることができるようにしている場合には③の要件は不要である。

 

【違反した場合の罰則】

・   青色申告承認の取消し

・   重加算税10%の加算

 

ランサムウェア 2021

AOSデータ株式会社の「【オンライン公開】《事前対策が企業の明暗をわける~サイバー攻撃の最新動向と対応実務~》オンラインセミナー」を閲覧したメモ

https://a11.hm-f.jp/cc.php?t=M195907&c=992&d=3102

 

1.ランサムウェア被害の調査・復旧費用

1000万円~5000万円 36%
 500万円~1000万円  8%
 100万円~ 500万円 33%
 100万円未満       21%

2.ランサムウェアの感染経路
  55% VPN
  23% リモートデスクトップ
  13% メール添付ファイル
  10% その他

 

※上記1及び2について、警察庁「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」より

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdf

 

3.ランサムウェア被害企業の情報セキュリティ監査の実施状況

  32% 内部監査を実施

   8% 内部および外部監査を実施

   2% 外部監査を実施

  58% 監査を実施せず

4.ランサムウェア被害企業のログの保全状況

  36% 全て保全されていた

  38% 一部削除されていた

  36% 全て削除されていた

5.ランサムウェアの身代金は支払わない
(1)経済産業省サイバーセキュリティ課「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」(2020年12月))

∴犯罪組織に対する支援と同義、データ公開の阻止・暗号化されたデータの復号が保証されるわけではない、国によっては金銭の支払を行った企業に対する制裁が課される可能性がある。

(2)米国財務省外国資産管理局(OFAC)

被害者に代わってサイバー攻撃者にランサムウェアの支払いを勧める企業は、OFAC規制(指定された者との取引を禁止するサイバー関連制裁プログラム)に違反するリスクがある。

本規制の直接の対象はU.S.Person(米国市民、米国居住者、米国企業、外国企業の米国内の支店等)であるが、外国企業であっても制裁対象者に対する経済的支援を行った者として制裁対象に指定されるリスクがある。

6.身代金を支払うことの是非の判断基準
 

①身代金を支払わずに復旧が可能か否か
②身代金を支払わずに復旧可能であるとしてそのコスト
③身代金の金額の大きさと期待される効果のバランス
④身代金を支払ったとしても、攻撃者が対応する保証はないこと
⑤支払った身代金が攻撃者(犯罪者)の資金源となるとともに、ランサムウェアが狙いどおりに機能していることを知らしめることとなること
⑥身代金を支払うことは攻撃者を間接的にせよ協力することを意味するため、当局等からそのような評価を受けるおそれがあること
⑦身代金を支払った場合、攻撃者の「カモリスト」入りし、さらなるランサムウェア攻撃を受ける可能性があること