Tutorials Brawte nfaq 0 Comments

インド、GDPR型のプライバシー法で匿名データ利用に関する調査の禁止を検討

Table of Contents

インド、GDPR型のプライバシー法で匿名データ利用に関する調査の禁止を検討

インドは欧州に追随してデータ保護の道を歩んでおり、金曜日に提案された法案は良い法律と悪い法律が混在していると批判されている。

この提案では、罰金を課す権限を持つデータ保護当局が設立され、個人はデータの取り扱いに関して新たな権利を得ることになるが、欧州のGDPRほど広範囲ではない。また、ローカルストレージ要件はクラウドの台頭と相容れないと批判されている。

さらに、インドは他国に倣い、匿名化されたとされるデータセットにおける個人の再識別の可能性に関する研究を制限することを提案した。インド電子情報技術省(MEITY)は金曜日、この法案の草案を公表した。

ホワイトホールの編集用画像。写真:ダニエル・ゲイル/Shutterstock

英国のデータ保護法案がセキュリティ研究者の保護のために修正

続きを読む

提案されている法案は、組織に対しデータ保護影響評価の実施を義務付け、その結果をデータ保護当局に提出することで、データ収集に関する規制を拡大するものです。また、この法案には「忘れられる権利」、組織間でのデータの可搬性(例えば、ある銀行から別の銀行に異動する際にデータを持ち出すことを容易にする)、そしてデータの閲覧と修正の権利も盛り込まれています。

法律では、「データ受託者」(データを収集する者)は、自社のシステムにおいて「プライバシー・バイ・デザイン」の視点を取り入れることが義務付けられています。これは、データ収集者に対し、データ収集の対象者を「データ主体への損害を予測、特定し、回避する」方法で保護する責任を負わせるものです。

これは技術の設計と実装にとどまりません。データを収集する組織には、プライバシーを保護する「管理、組織、ビジネス慣行、技術システム」を実装し、機密性の高い個人情報の収集と処理方法を透明化し、機密データの保護の一環として「匿名化と暗号化」を実装することが求められます。

しかし、この法律は、収集や処理に異議を申し立てる個人の権利に関しては、欧州のプライバシー保護規制の水準に達していない。

サイバー主権が攻撃を受ける

しかし、欧州のプライバシー規則と同様に、インドの個人情報保護法案は、ほとんどの組織に痛手となるのに十分な罰則を提案している。データベースのセキュリティ侵害に対しては、最大約200万ドル(1億5000万ランド)、または企業の全世界売上高の4%のいずれか高い方の金額が科される。また、法案には「サイバー主権」条項があり、個人情報を収集する組織はインド国内にコピーを保管することが義務付けられ、一部のデータについては海外での保管が禁止される。

しかし、この法案はインド国内および国際的に賛否両論の反応を示している。Mozilla Foundationのミッチェル・ベイカー会長は、ヒンドゥー紙の取材に対し、法案で政府に認められている免除規定に懸念を表明した。

この法律では、法執行機関による個人データの使用は「必要かつ相応」なものでなければならないと定めているが、法的手続きにおける開示には、研究やアーカイブ目的での個人データの処理と同様に、非常に広範な例外が設けられています。

Mozillaはブログ投稿で、この法案に盛り込まれた生体認証による保護を歓迎し、これにより「Aadhaarデータの取り扱いにおける緩い制限」が解消される可能性があると述べた。Aadhaarは、2017年3月にまで遡るデータセキュリティ侵害で批判されてきた。

インドデータセキュリティ評議会(DSCI)は、この法案に対する対応をこちら(PDF)にまとめています。DSCIは法案の児童保護対策を歓迎しましたが、CEOのラマ・ヴェダシュリー氏はヒンドゥー紙のローカリゼーション要件は「逆行的」だと述べました。

この法案に対するもう一つの深刻な批判は、再識別研究の禁止です。提案されている取り締まり措置は、学術研究者を「ブラックハット」ハッカーと同様に厳しく扱うことになるからです。法案で課せられた匿名化要件を守るため、インドは、データを収集・保有する組織と協力した研究でない限り、再識別研究を犯罪化することを提案しています。関連箇所は以下のとおりです。

罰金は約3,000ドルに相当します。

再識別研究を行うために組織の同意を求めることの問題点は、匿名化の質を懸念する企業や政府機関が、そのテストに同意しない可能性があることだ。

プライバシー研究者のルカス・オレニク氏は、プライバシー研究は「私たち全員をより安全にする」とブログに投稿し、「再識別を禁止しても、壊れた設計や脆弱なシステムが魔法のように修正されるわけではない」と指摘した。

1月、英国の研究者らは同じ問題を回避し、研究者らが公共の利益のために活動し、その研究内容をデータ保護コミッショナーに報告するという条件で、そうした研究を許可した。

オーストラリアは、現在は引退した法務長官ジョージ・ブランディス上院議員の指揮下で、2016年10月に初めて法案が提出され、再識別研究の禁止において世界をリードするという不名誉な栄誉を得た。

ブランディス氏はその後、議会政治の立場を離れ、駐英国高等弁務官に就任したため、立法化は今のところ停滞している。®

Tutorials

Smart Recommendations

Discover More