カシンです。これは、アタシ(50代・男)が世の中を眺めていて思ったことを書くブログです。
まず、一般の企業の場合です。
IT 関係の「個人情報」の取り扱いを定めたのが「個人情報保護法」、というのは、しばしばメディアで見ます。
不正 (あるいは不備) によって、個人情報の法律上の制限が破られて外に漏れたら、個人情報漏洩事件です。警察に通報して、世間に公表します (公表は個人情報保護法にある義務)。
また、事件が起きた企業は「個人情報保護委員会」に、すぐにそのことを報告することになっています。
https://www.ppc.go.jp/personalinfo/legal/leakAction/
不正アクセス等を収めるのは、攻撃された企業の責任です。実際の対応とそのための準備は、例えば JPCERT/CC のサイトに説明されています。
https://www.jpcert.or.jp/csirt_material/
手に負えないようなら、緊急時の対応をセキュリティ会社に外注します。
https://www.jnsa.org/emergency_response/
以上が、一般の企業の場合です。
一部の、停止しては困るような公共性のある業種 (金融とか、電気通信事業とか) では、より強い規制があって、所管する「大臣」(実際は省庁) が、企業の運営に口を出せるように法律等で決まっています。
その場合、事件発生報告をする先も、個人情報保護委員会ではなく、所管する省庁になっていて。事件対応中も省庁が様子を見にきたり、意見する場合があります。
https://www.ppc.go.jp/personalinfo/legal/kengenInin/
電話会社、インターネットプロバイダーの他、ネット上での個人間の通信を提供する業種が「電気通信事業者」です。
LINE を運営する株式会社 LINE ヤフーも (届出)電気通信事業者です。
そして電気通信事業者として何をしなくてはいけないか、何をしてはいけないか。この法律で決められています。私たちが電気通信事業者のサービスを安心して受けられるようにするためです。
法律に抵触する事態のおそれがある場合、事業者に法律を守らせるために、総務省は報告を求めたり、やり方に対して命令したりできることになってます。
特に「通信の秘密」を守ることは重要視されていて (電気通信事業者からの個人情報漏洩は通信の秘密の侵害です)。どういう場合に業務改善命令を出すかは、すでに文書として公表してあります (2021年)。つまり、「これは絶対やっちゃダメなやつだから、総務省が介入します」リストです (通信の秘密の確保に支障があるときの業務の改善命令の発動に係る指針)。
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/privacy.html
(3月の件は、まだ、やり方を指定する命令ではなく。法律通り個人情報を守れるように、計画を立てて報告しろ、と求めてます。)
* * *
お読みいただきありがとうございました。
おまけ。LINE ヤフーの弁護士が書いた、電気通信事業法の解説。
https://keiyaku-watch.jp/media/hourei/denkitushinjigyohou/
最近、世間で話題になってる、LINE ヤフーが社内への不正アクセス事件で総務省から行政指導を受けた件について、昨日から書き始めました。
メディア報道を見ていると、どうしてここで「総務省」が出てくるのか、解説してるのは見ません。業界の「常識」なのかもしれませんが、背景がないとわかりにくいように思われるので、今回はそのあたりを調べたのをまとめます。
* * *以下、長々と書きますが。結論としては、背景と、実際に起きた状況を合わせて考えると、3月の LINE ヤフーに対する総務省の行政指導は、法律で決められていた、起きてしまったことへの当然の処置でした。何か法律にない、特別な狙い (「外国企業を取り上げる」とか) があるようには見えません。
* * *まず、一般の企業の場合です。
IT 関係の「個人情報」の取り扱いを定めたのが「個人情報保護法」、というのは、しばしばメディアで見ます。
不正 (あるいは不備) によって、個人情報の法律上の制限が破られて外に漏れたら、個人情報漏洩事件です。警察に通報して、世間に公表します (公表は個人情報保護法にある義務)。
また、事件が起きた企業は「個人情報保護委員会」に、すぐにそのことを報告することになっています。
https://www.ppc.go.jp/personalinfo/legal/leakAction/
不正アクセス等を収めるのは、攻撃された企業の責任です。実際の対応とそのための準備は、例えば JPCERT/CC のサイトに説明されています。
https://www.jpcert.or.jp/csirt_material/
手に負えないようなら、緊急時の対応をセキュリティ会社に外注します。
https://www.jnsa.org/emergency_response/
以上が、一般の企業の場合です。
一部の、停止しては困るような公共性のある業種 (金融とか、電気通信事業とか) では、より強い規制があって、所管する「大臣」(実際は省庁) が、企業の運営に口を出せるように法律等で決まっています。
その場合、事件発生報告をする先も、個人情報保護委員会ではなく、所管する省庁になっていて。事件対応中も省庁が様子を見にきたり、意見する場合があります。
https://www.ppc.go.jp/personalinfo/legal/kengenInin/
電話会社、インターネットプロバイダーの他、ネット上での個人間の通信を提供する業種が「電気通信事業者」です。
LINE を運営する株式会社 LINE ヤフーも (届出)電気通信事業者です。
- 電気通信の健全な発達及び国民の利便の確保を図り、公共の福祉を増進すること
そして電気通信事業者として何をしなくてはいけないか、何をしてはいけないか。この法律で決められています。私たちが電気通信事業者のサービスを安心して受けられるようにするためです。
法律に抵触する事態のおそれがある場合、事業者に法律を守らせるために、総務省は報告を求めたり、やり方に対して命令したりできることになってます。
特に「通信の秘密」を守ることは重要視されていて (電気通信事業者からの個人情報漏洩は通信の秘密の侵害です)。どういう場合に業務改善命令を出すかは、すでに文書として公表してあります (2021年)。つまり、「これは絶対やっちゃダメなやつだから、総務省が介入します」リストです (通信の秘密の確保に支障があるときの業務の改善命令の発動に係る指針)。
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/privacy.html
(3月の件は、まだ、やり方を指定する命令ではなく。法律通り個人情報を守れるように、計画を立てて報告しろ、と求めてます。)
* * *
お読みいただきありがとうございました。
おまけ。LINE ヤフーの弁護士が書いた、電気通信事業法の解説。
https://keiyaku-watch.jp/media/hourei/denkitushinjigyohou/
