車両データのプライバシ保護its/wp/wp-content/uploads/2017/11/...米国カルフォルニア州司法長官から、シリコ...

Copyright© 2017 KDDI All Right Reserved. 11

◆ スマホデータのプライバシ保護を振り返る◆ 個人（車両）データのプライバシ保護の一案◆ 世界的なプライバシ保護の流れ

車両データのプライバシ保護～主に、欧州一般データ保護指令（GDPR）への対応～

KDDI 竹森敬祐（工博）

・世界的なプライバシ保護に関する法規の動向を把握する。⇒「同意重視」と「体制作り重視」に分かれる。

・欧州では、データ主体の権利として、「消去権」、「ポータビリティ権」があり、これに合わせたシステム構築が必要です。

・セキュリティマネジメントを推進するData Protection Officer(DPO)を任命し、データの保護施策、安全なデータ移転を進める。


プライバシ不安なアプリ～意味不明な承諾要求～

■ インストール時のパーミッション（利用API）承認機構 Android編

◆ アプリ本来の目的から逸脱する機能の有無にご注意ください。⇒ 判断に悩むのが実情です…。

ドラム楽器アプリ



情報アクセス

情報アクセス


米国

■ PRIVACY ON THE GO（2013年1月）http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf

◆ 米国カルフォルニア州司法長官から、シリコンバレーの事業者へ、プライバシ保護要請。

■ FTCスタッフレポート（2013年2月）http://www.ftc.gov/os/2013/02/130201mobileprivacyreport.pdf

◆ 米国連邦取引委員会（FTC）から、アプリ事業者へ、透明性の確保による信頼の構築。

⇒ アプリプラポリの作成◆ OSベンダへ、実行時通知、追跡拒否の実現

を要請。⇒ Just-in-Time Disclosures⇒ Do Not Track（DNT）

http://japanese.engadget.com/2012/02/22/google-ms-6/


総務省スマートフォン・プライバシー・アウトルック Ⅲ

4

http://www.soumu.go.jp/main_content/000416561.pdf

6割のアプリがGoogle Playのアプリ紹介欄にプライバシポリシを掲載している。（情報送信を伴うアプリは約70%：KDDI研調べ）

スマホ内の情報のうち以下の4つがプライバシ性が高いとされている。


au Marketのセキュリティ＆プライバシ対策

5

au Market運営

アプリ開発者向けガイド

啓蒙活動

アプリ投稿と送信情報の申請

アプリ審査（プライバシ性）

アプリ公開プラポリ提示

•利用者情報の送信に関する申請

•申請内容とアプリ検査の整合性を確認

•概要版／詳細版のアプリプラポリの提示と利用者の承諾

利用者情報の送信に関する申請内容と、アプリ検査した結果が異なる場合は、アプリ仕様の再確認・修正申請を要請

【アプリ申請フロー】

■ アプリ投稿・審査・掲載の流れ◆ アプリ事業者に扱う情報を申請して頂き、au Market側で動的・静的解析を実施。◆ 整合性の取れたアプリプラポリを、au Marketから提示・承諾して頂く。

⇒ アプリプラポリ内容はアプリ事業者の責任⇒ au Marketは、ダウンロード前に、正確かつ解り易い説明を支援。


au Market ～送信情報申告画面～

6注）開発段階のため変更の可能性あり。

① 情報を取得するアプリ提供者等の氏名又は名称

② 取得される情報の項目

⑤ 利用者関与の方法

④ 利用目的の特定・明示

⑥-1 外部送信・第三者提供の有無

⑥-2 情報収集モジュールの有無

⑦ 問い合わせ窓口の情報

⑧ プラポリ変更の手続き⇒アプリ更新で再度プラポリ申請

総務省SPI 8項目への準拠

③ 取得方法の記載


プライバシポリシの自動生成とDL前承諾

7

■ 簡潔な個別確認◆ ダウンロード前に、承諾画面をポップアップ*注）情報送信しないアプリの場合、表示されません。◆ 読んで頂くための簡潔化を目指し、我々がSPIで重

要と考えた「送信情報」,「目的」,「宛先（第三者提供）」の概要版を提示。

*auスマートパスはポップアップ個別提供アプリは参照リンク

お客様情報の外部送信について

[アプリ名]は、以下の情報を端末の外部に送信して利用します。

■送信するお客様情報・Android ID（OSが発行するID）・cookie（ランダムに生成した識別ID）もしくはアプリ独自のID

■送信する目的利用解析ユーザ認証品質向上広告

■送信先ABC株式会社○×△株式会社

詳細はこちら

通話料金が発生するサービスの利用について本アプリでは、以下の通話料金が発生する機能を含みます。

■通話料金が発生する機能Cメールの送信ダウンロード

確認画面承諾する承諾しない

次ページへ

②

④

①、⑥


本日の用語集用語意味

APEC CBPR：APEC Cross Border Privacy Rule（APEC越境プライバシルール）

APEC内で個人データの越境ルールを定めたもの。認証機関としてアメリカのTRUSTeとJIPDEC（一般財団法人日本情報経済社会推進協会）がある。この認証の制度を、APEC CBPRシステムと呼ぶ。2016

年12月現在、米国、カナダ、メキシコ、日本が参加。

GDPR：General Data Protection Regulation（一般データ保護規則）

EU基本権憲章において、個人データの保護に対する権利という基本的人権の保護を目的とした法律。違反に対しては厳しい罰則が定められている。2018年5月に施行される。

SCC：Standard Contractual Clauses（標準契約）

欧州委員会によって決定された雛形で、当事者間でこの雛形を使いデータ移転契約を締結する事で適切な保護措置を提供し、適法なデータ移転を行うもの。

BCR：Binding Corporate Rules（拘束的企業準則）

EEA内の21カ国からEEA域外に個人データを移転される事を可能とする為の手段。BCRの審査監督機関で審査を受けて承認を得る事で、同一企業グループ内で個人データの移転が可能となる。

EEA：European Economic Area（欧州経済領域）

EU加盟国28カ国+アイスランド、リヒテンシュタイン、ノルウェー

DPO：Data Protection Officer 個人データのセキュリティ管理を担う、専門的な知識と、経営層からも独立した強い権限を持つオフィサー。

個人情報と個人データ個人情報とは、日本の個人情報保護法の対象となる個人識別性を有する狭い情報。個人データとは、プライバシ情報も含めた広い情報。


ありがちなミス：別事業者へのデータ移転

日本の本社

マーケティング目的で、販売店で取得した個人データを、本人の承諾を得ることなく、販売店以外の他社に移転すると、勝手なデータ移転（第三者提供）と指摘されます。

対策）データ移転に関するSCC契約 or BCR認定 or プライバシポリシの説明と同意の取得

データ主体

欧州

欧州の事業所

販売店個人データ

個人データ

マーケティング


国境を跨ぐ（別事業者）へのデータ移転

The Internet

EU A国ローカルMNO網

米国ローカルMNO網

日本DC

ローカルDC

ローカルDC

車両データ車両データ

ISMSに関する欧州委員会からの承認(SCCもしくはBCR）、もしくはデータ主体からの明確な同意がないまま、欧州から日本への閲覧を含むデータ移転は違法。→ データ分析は欧州もしくは米国で行う必要がある。

欧州北米

プライバシシールド

CBPRGDPR


EEAからの域外データ移転違反

■ ハンブルグ監督機関によるデータ移転規則違反に基づく制裁金（2016年6月）◆ 米国-EU間のセーフハーバ決定が無効となった後に、代替え手段（SCC）を取ら

ず、EUから米国へ従業員および顧客の個人データを移転した Adobe Ｓｙｓｔｅｍ、Punica、Unileverに、€8000、€9000、€11000の制裁金を課した。

◆ 米国に親会社を持つ北部ドイツ州にある企業を調査したところ、その多くが無効となった6ヵ月の経過期間の間に、SCCに基づくデータ移転契約を締結していた。

■ 日本企業の状況◆ 何ら適切な保護措置を取らずにEEA域内から日本へ個人データ移転を行うこと

に対して、現行法に基づき監督機関によって制裁金が課されるリスクがある。⇒ GDPR施行後（2018.5）は、GDPRに違反すると2,000万€ or 全世界の年間

売上げの4%を最高額とする制裁金を課せられる恐れがある。

■ ポイント◆ SCCの締結手続き中の企業も、制裁金を免れた。⇒ 少なくともGDPR施行の2018年5月迄に、SCCの完了 or BCRの手続きに入ること。

杉本弁護士資料


相互認証に向けてhttps://www.ppc.go.jp/enforcement/cooperation/cooperation/20160703/

https://www.ppc.go.jp/enforcement/cooperation/cooperation/20160703/


APEC CBPR参加国間のデータ移転http://www.meti.go.jp/press/2016/12/20161220004/20161220004-1.pdf

JIPDEC


SCCとBCRSCC：Standard Contractual Clauses（標準契約）個別の契約を交わした企業間で適用される所定契約フォーマットを使用して、DPA※へ申請をして承認を取得（国によっては承認不要）

BCR：Binding Corporate Rules（拘束的企業準則）グループ内の該当ビジネス領域で統一した情報管理の実施が必要申請時、SCCと比較して詳細な情報管理の記載が求められる承認を得られるとグループ企業内で包括したデータ移動が可能

A国・欧州法人

日本法人

C国・欧州外法人

DPA

A国法人－日本法人間のSCC

A国法人－C国法人のSCC

A国・欧州法人

日本法人

C国・欧州外法人

DPA

SCC契約

SCC契約

BCR認定

※ DPA：Data Protection Authority（データ保護機関）


GDPRを理解する

1616

https://www.jipdec.or.jp/library/archives/gdpr.html


GDPR第5条個人データの取り扱いに関する原則第5 条個人データの取扱いに関する原則1. 1. 個人データは、1. Personal data shall be:(a) データ主体との関係において、適法、公正かつ透明性のある手段で取り扱われなければならない。（適法性、公正性及び透明性の原則）(b) 特定された、明確かつ適法な目的のために収集されなければならず、これら目的と相容れない方法で更なる取り扱い

がなされてはならない。ただし、公共の利益における保管目的、科学的若しくは歴史的研究の目的又は統計目的のための更なる取扱いは、第89条第1 項により、当初の目的と相容れない方法とはみなされない。（目的の限定の原則）(c) 取り扱われる目的の必要性に照らして、適切であり、関連性があり、最小限に限られていなければならない。（データの最小化の原則）(d) 正確であり、必要な場合には最新に保たなければならない。取り扱われる目的に照らして、不正確な個人データが遅滞なく消去又は訂正されるのを確保するため、あらゆる合理的な手段が講じられなければならない。（正確性の原則）(e) 当該個人データが取り扱われる目的に必要な期間を超えない範囲で、データ主体の識別が可能な状態で保存されなければならない。個人データは長期間保存されてもよいが、個人データが第89 条第1 項に従った公共の利益における保

管目的、科学的若しくは歴史的研究の目的又は統計目的だけに取り扱われることに限るものとし、データ主体の権利と自由を保護するため本規則によって求められる適切な技術的及び組織的対策の実施を条件とする。（保存の制限の原則）(f) 当該個人データの適切なセキュリティを確保する方法で取り扱われなければならない。それは、無権限の又は違法な

取扱いに対する保護、及び偶発的な滅失、破壊、又は損壊に対する保護を含むものとし、適切な技術的又は組織的対策を用いるものとする。（完全性及び機密性の原則）

・プライバシポリシの公表を通じて、透明性を確保すること。・個人データを目的外利用しないこと。・目的を達成するために必要な最低限の個人データ収集に限ること。


GDPR第4条、第6条）仮名化■ GDPR第4条定義5. 「仮名化」とは、追加の情報が分離して保管され、識別された又は識別され得る自然人

に個人データが帰属しないことを保証する技術的及び組織的措置をとることによって、当該追加の情報を利用せずに個人データがもはや特定のデータ主体に帰属しないような方法で、個人データを処理することをいう。

GDPR第6条適法な取扱い4.個人データの取扱いが、収集された目的以外で、データ主体の同意に基づいていない場合、又は第23 条第1 項で定める目的を保護するために、民主主義社会における必要かつ釣り合った措置から成るEU 法又は加盟国の国内法に基づいていない場合、管理者は、目

的外の取扱いが個人データが当初収集された際の目的と合致することを確保するため、特に次に掲げる項目を考慮しなければならない。(e) 暗号化又は仮名化を含めた適切な保護措置の存在。

◆ 車両メーカ（データ管理者）は、収集したデータを暗号化し保護すること。◆ サプライヤ（データ処理者）へ不具合解析のためにECUに残るログを渡す際には、他者でも

知りうるID（例：VIN）を排除して、代わりにランダムに生成したIDを付与すること。⇒ 位置情報を含まないログでの不具合解析は、サプライヤの正当な業務であること、人

権侵害に該当しないことから、ユーザからの同意取得は不要。⇒ 但し、ログという個人データを移転しているため、欧州統括拠点とサプライヤ間でSCC契

約の締結が必要。

同意を経ない収集データの保護


GDPR第6条）適法な取扱い

第6 条適法な取扱い1. 取扱いは、次に掲げる少なくとも一つの項目が適用される場合に限り、適法とする。(a) データ主体が、一つ又は複数の特定の目的のために自己の個人データの取扱いに同意を与えた場合。(b) データ主体が当事者となっている契約の履行のために取扱いが必要な場合、又は契約の締結前のデータ主体の求めに応じて手続を履践するために取扱いが必要な場合。(c) 管理者が従うべき法的義務を遵守するために取扱いが必要な場合。(d) データ主体又は他の自然人の重大な利益を保護するために取扱いが必要な場合。(e) 公共の利益又は管理者に与えられた公的権限の行使のために行われる業務の遂行において取扱いが必要な場合。(f) 管理者又は第三者によって追求される正当な利益のために取扱いが必要な場合。

ただし、データ主体の、特に子どもがデータ主体である場合の個人データの保護を求めている基本的権利及び自由が、当該利益に優先する場合を除く。


GDPR第7条）同意の条件■ GDPR 第7条（同意の条件）

1. 取扱いが同意に基づく場合、管理者は、データ主体が自己の個人データの取扱いに対して同意しているということを証明できるようにしなければならない。

vs vs

同意の保全

書面専用端末ナビ

長所：全世界で導入可能サイン（本人証明）取得

短所：販売店管理⇒紛失

長所：電子的な一元管理サイン（本人証明）取得

短所：端末配備のコスト

長所：電子的な一元管理短所：非搭載車は?

サイン取得は可能？


GDPR第9条）特別な種類の個人データの取扱い

位置データ健康に関するデータ

第9 条特別な種類の個人データの取扱い1.人種若しくは民族的素性、政治的思想、宗教的若しくは哲学的信条、又は労働組

合員資格に関する個人データの取扱い、及び遺伝データ、自然人の一意な識別を目的とした生体データ、健康に関するデータ又は自然人の性生活若しくは性的指向に関するデータの取扱いは禁止する。

2. 第1 項は次に掲げる場合には適用されない。(a) データ主体が、一つ又は複数の特定された目的のために当該個人データの適用に対して明示的な同意を与えた場合。ただし、EU 法又は加盟国の国内法が、第1 項で定める禁止事項がデータ主体によって解除されるべきではないと定めている場合を除く。

車両の位置は、モスクへの立ち寄り、オトナのホテルへの立ち寄りが解る。

収集に同意の取得が必要なものは


GDPR第13条プライバシポリシへの記載事項第13 条データ主体から個人データを収集する場合に提供される情報

1. データ主体に係る個人データがデータ主体から収集される場合、管理者は、個人データを取得する際、データ主体に次に掲げるすべての情報を提供するものとする。(a) 管理者の身元及び詳細な連絡先、該当する場合、管理者の代理人。(b) 該当する場合、データ保護オフィサーの詳細な連絡先。(c) 意図された個人データの取扱い目的、及び取扱いの法的根拠。(d) 取扱いが第6 条第1 項(f)号に基づく場合、管理者又は第三者によって求められる正当な利益。(e) もしあるならば、取得者又は個人データの取得者の種類。(f) 該当する場合、管理者が個人データの移転を意図する第三国若しくは国際組織及び欧州委員会による十分性決定の存在若しくは不存在に関する事実、又は第46 条若しくは第47 条、若しくは第49 条第1 項後段で定める移転状況において、適切若しくは適正な保護措置及び個人データの複製を取得する方法若しくは個人データが利用可能になる条件に関する情報。

2. 第1 項で定める情報に加え、管理者は、個人データを取得する際、公正で透明性のある取扱いを保障するために、データ主体に次に掲げる必要な追加的情報を提供するものとする。(a) 個人データが保存される期間、もし不可能であるならば、当該期間を決定するのに用いられる基準。(b) 管理者に対し個人データへのアクセス、訂正又は消去、データ主体についての取扱いの制限を要求する権利、又は当該取扱いに不服を申し立てる権利とともに、データポータビリティーの権利の存在。(c) 取扱いが第6 条第1 項(a)号又は第9 条第2 項(a)号に基づく場合、撤回前の同意に基づく適法な取扱いに影響を与えることなしに、いつでも同意を撤回する権利の存在。(d) 監督機関に不服を申し立てる権利。(e) 個人データの提供が、法令又は契約上の要件、又は契約を締結するのに必要な要件であるか否か、及びデータ主体に個人データの提供の義務があるか否か、並びに当該データ提供の不履行により起こり得る結果。(f) プロファイリングを含め、第22 条第1 項及び第4 項で定める自動化された意思決定の存在、少なくともそのような状況において、関連する論理について意味ある情報、データ主体に関する当該取扱いの意義及び予測される結果。

・データの管理者、連絡先、DPOの連絡先・データの利用目的・データを利用する自動車メーカ、サプライヤ、販売店（整備工場）などの取得者の種類・欧州委員会からデータ保護に関する十分性認定を受けていない国（日本）へ移転する事実・データの訂正、消去を申請する窓口情報・同意を撤回する権利があること・監督機関に不服を申し立てる権利があること・データ提供が法的又は契約の履行に必要である旨


GDPR第17条）消去の権利第17 条消去の権利（忘れられる権利）

1. データ主体は当該データ主体に関する個人データについて管理者に不当に遅滞することなく消去させる権利を持つも

のとする。管理者は、次に掲げる根拠のいずれかが適用される場合、個人データを不当に遅滞することなく消去する義務を負うものとする。(a) 個人データが収集された又はその他取扱いの目的に関して、当該個人データがもはや必要ない場合。(b) データ主体が、第6 条第1 項(a)号又は第9 条第2 項(a)号による同意に基づく取扱いの同意を撤回し、かつ取扱いに関して他の法的根拠がない場合。(c) データ主体が、第21 条第1 項により不服を申立て、かつ取扱いに関して優先する法的根拠がない場合。又はデータ主体が第21 条第2 項により不服を申し立てる場合。(d) 個人データが不法に取り扱われた場合。(e) 個人データが、管理者が従うべきEU 法又は加盟国の国内法における法的義務の遵守のため消去されなければならない場合。(f) 個人データが第8 条第1 項で定める情報社会サービスの提供に関して収集された場合。

3. 第1 項及び第2 項は、取扱いが次に掲げるいずれかに必要な場合、適用されない。(a) 表現及び情報の自由の権利の行使に必要な場合。(b) 管理者が従うEU 法若しくは加盟国の国内法によって取扱いが要求されている法的義務を遵守するのに必要な場合。又は公共の利益若しくは管理者に与えられた公的権限の行使のために行われる業務の遂行に必要な場合。(c) 第9 条第2 項(h)号並びに(i)号、及び第9 条第3 項により、公衆衛生の分野における公共の利益のために必要な場合。(d) 第89 条第1 項により、公共の利益の目的、科学的若しくは歴史的研究目的又は統計目的の達成のために取扱いが必要な場合。ただし、第1 項で定める権利が実施できそうにない又は当該取扱いの目的の達成が損なわれる場合に限る。(e) 法的主張時の立証、行使又は抗弁に必要な場合。

・法規対応のデータは、消去の権利は適用外。・正当な利益、公共の利益に資するデータは、議論の余地がある。

・走行ログや趣向データに基づく新たなマーケティング目的のデータは、消去の権利が適用される。

災害時の道路状況の公開

車両の廃棄、転売の把握


GDPR第20条）データポータビリティ

第20 条データポータビリティーの権利1. データ主体は、当該データ主体が管理者に提供した当該データ主体に関する個人

データについて、構造化され、一般的に利用され機械可読性のある形式で受け取る権利があり、当該データを、個人データが提供された管理者の妨害なしに、他の管理者に移行する権利がある。ただし、次に掲げる場合に限る。(a) 取扱いが第6 条第1 項(a)号又は第9 条第2 項(a)号による同意に基づくか、第6 条第1 項(b)号による契約に基づく場合であり、かつ(b) 取扱いが自動化された手法で実行されている場合。

同意に基づいて自動的に収集されたデータには、データポータビリティへの対応が求められる。


GDPR第37条）Data Protection Officer(DPO)の指名GDPR第37 条データ保護オフィサーの指名1. 管理者及び処理者は、次に掲げるいずれかの場合には、データ保護オフィサーを指名しなければならない。(b) 管理者又は処理者の中心的業務が、その性質、適用範囲及び/又は目的によっ

て、大規模にデータ主体の定期的かつ系統的な監視を必要とする取扱い作業である場合。

■ 既存の整備工程における車両からのデータ収集◆ お客様（データ主体）には、正規販売店 or 板金屋の選択肢がある。◆ データ収集は、regularやsystematicに行われているとは言いきれない。

■ Connected車両からのデータ収集◆ お客様（データ主体）は、購入後にデータの提供先（データ管理者）を選べない。◆ データ収集は、regularやsystematicに行われる。

Connected車両からデータ収集が始まれば、DPOの指名は必須です。（今でも、販売店と統括拠点に契約情報が集まる場合には、DPOを指名した方が良い。）


個人(車両)データの分類と対応～保証なし案～

26

目的個人データの例対応

A) 契約

（販売）

・個人情報（氏名、住所、保険、ローン、）

・車両情報（車種、年式、オプション・・・）

通知

保全

販売契約書を提示し、記載を頂く。

消去に応じない。

B) 法規対応

（eCall、盗難追跡、リコール）

・個人情報（氏名、住所、保険、・・・）

・車両情報（VIN、車種、オプション品、・・）

・走行ログ（位置、車速、ブレーキ・・・）

・診断ログ（エラーログ、・・・）

通知

保全

企業のHPや車両の取扱い説明書に、法規対応に必要

なデータを収集する行為についてのプライバシポリシを掲載する。


C) 公共の利益

正当な利益

（整備、不具合解析、開発）

（渋滞ナビ、災害道路マップ）

・個人情報（氏名、住所、保険、・・・）

・車両情報（VIN、車種、オプション品、・・）

・走行ログ（積算距離、燃費・・・）

・診断ログ（エラーログ、お客様申告、・・）

通知

保全

企業のHPや車両の取扱い説明書に、整備や不具合解

析、開発目的でデータを収集する行為についてプライバシポリシを掲載する。


・走行ログ（位置）同意

消去

車両販売時に、当該プライバシポリシを口頭説明の上で、同意（サイン）を取得する。

消去に応じる。

D) マーケティング

・個人情報（氏名、住所、保険、ローン、）

・車両情報（車種、年式、オプション、・・）

・走行ログ（積算距離、車速、・・・）

・診断ログ（エラーログ、・・・）

・趣向情報（Web閲覧、目的地、・・・）

通知

消去：可能な情報に限る

個人・車両に関わるデータに基づくマーケティングは、企業のHPや取扱説明書に、マーケティングに関するプライバシポリシを掲載する。

依頼に応じ、消去、マーケティングを停止する。

同意

消去：可能な情報に限る

走行や診断ログ、趣向データを活用したマーケティングを行う場合、車両販売時にプライバシポリシを説明し、同意（サイン）を取得する。

依頼に応じ、消去、マーケティングを停止する。

★ A)～C)のデータについて、車両が転売（廃棄）されたとしても、過去の所有者データを保管しておくことで、中古車などの交通事故の原因究明、ECUの不正改造が発覚した場合の犯人追跡が可能で、改造抑止力にもなる。

★ 既存のマーケティングは「正当な利益」で、走行ログを活用した想定外のマーケティングは「同意」が必要。


参考）データを管理する識別子

27

識別のためのID 特性用途

1) 取り換え可能な識別子

（忘れられる権利を満たす）

・ナビやスマホアプリで利用されるcookieやAdvertising ID

Webの閲覧履歴管理の識別子

2) 取り換え不可能な識別子

（固定値）

・VIN 個人や車両のデータ管理の識別子


Privacy by Design）車両に蓄積されるデータの消去は？

データ主体

中古車買い取り店レンタカー店

Q）中古車売買の際に、車両に残るデータの消去は、誰の責任で行われるの？

A) 所有者自らが消すこと。中古車買い取り店で消去サービスを提供しても良い。⇒ 車両メーカは、消去機能を提供し、操作方法を説明する必要がある。

注）法規対応、将来的な不具合解析に必要なECUに残るデータに対しては、消去機能を設けない。

データ


Privacy by Design）車両内データの消去は？

車上荒らし車両盗難転売

IVI

中高

低～中

データ

アドレス消去（ファクトリーリセット）

重要性

ECU重要性低

多くのECUとIVI

乱数上書きによる完全消去

高級車のIVINIST SP800-88rev.1http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdfhttps://www.ipa.go.jp/files/000025355.pdf1回上書きの効果を認めている。

非消去

法規対応、将来解析に必要なECUのログ

中古車買い取り店


Privacy by Design）車両内データの暗号化保護の必要性は？

紛失

中低

データ

所有者による盗難防止装置、警報器の設置。

■ IVI／ECUのリスク分析◆ ログイン（ID/PWD入力）の概念が無く、電源を繋ぐだけで復号されるのであれば、

暗号化保護の効果が低い。・・・暗号・復号APIを介さず直接データにアクセスする場合に有効

◆ 整備士が知る必要の無いデータについては、暗号化保存しておく。⇒ 診断ツールで取り出した暗号データを、サーバにアップロードして復号する。

IVI低～中重要性

ECU重要性低

車上荒らし車両盗難


課題：同乗者からの同意取得～保証なし案～

代表者店員

1.同意取得2.周知依頼

プライバシポリシの公開

本社HP

課題）マーケティング目的のデータ収集について、自動車に乗る全員から同意を得ることは難しい。

・代表者へプライバシポリシを説明し、同意を得る。・代表者に同乗者への周知を依頼する。・同乗者（代表者）が後から同意を撤回する導線を設ける。

問い合わせ窓口の設置

代表者同乗者

3.周知

4. 同意の撤回

販売店


日本の事業者

所有者・同乗者

欧州の事業者

まとめ）データの組織的な保護策

個人・車両に関わるデータ走行ログ

趣向データ

DPOの任命

整備士

所有者

生産工場

EEA

サプライヤデータ

域外 SCC

SCCもしくはBCR

プライバシポリシの通知位置収集に関する同意の取得

問い合わせ窓口の設置漏洩時の当局/データ主体への通知

診断ログ

日本以外


日本の事業者

所有者・同乗者

欧州の事業者

まとめ）データの技術的な保護策

走行ログ趣向データ

暗号化

アクセス制御ログ保全・監査

入退室管理

VPN

VPN

整備士

所有者

生産工場

EEA

サプライヤデータ

域外

VPN

仮名化

個人・車両に関わるデータ

診断ログ


これからのステップ

Data Protection Officer（DPO)を任命する。GDPRに準ずる社内ルール、ﾌﾟﾗｲﾊﾞｼﾎﾟﾘｼを策定する。

SCC契約の届け出や、BCR認定の取得手続きに入る。

販売店でのプラポリの通知、同意取得･保全を整える。同意の撤回などの問い合わせ窓口を設ける。

データ保護システム（暗号・仮名化、消去）を構築する。ISMS（ISO27001）の認定を受けることが望ましい。

個人データと、それを利用する業務内容を整理する。個人データの流れ（移転）を洗い出す。

個人情報保護法、GDPRを理解する。


総務省スマートフォン・プライバシー・アウトルック Ⅲhttp://www.soumu.go.jp/main_content/000416561.pdf

車両データのプライバシ保護its/wp/wp-content/uploads/2017/11/...米国カルフォルニア州司法長官から、シリコ...

Documents

Transcript of 車両データのプライバシ保護its/wp/wp-content/uploads/2017/11/...米国カルフォルニア州司法長官から、シリコ...