ネットワークに攻撃を仕掛けているものがいて、そのIPアドレスがわかっているとしたときに、そのIPアドレスをネットワーク管理者間で共有したり、また、顧客に脅威インテリジェンス情報として共有することは、各国においてデータ保護法制の関係で問題ないのでしょうか。データ保護論者は、そのようなIPアドレスを共有するときに、攻撃者の同意をとならなければならないとかいわないよね、という問題があります。
まずは、論点として、IPアドレスって「個人情報」なの、「個人データ(Personal Data) @GDPR」なの?という問題です。 以下、便宜上、個人データと呼びます。基本的には、識別された又は識別可能な自然人「データ主体」に関連する全ての情報を意味します。識別可能であるとは、直接的又は間接的に、特に識別番号又は一つ若しくはそれ以上の身体的、生理的、精神的、経済的、文化的又は社会的な識別性に関連する固有の要素によって、識別可能なことをいうと理解したうえですすめます。
IPアドレスと制定法上のそれぞれの概念の該当性
懐かしのデータ保護指令(指令95/46 / EC)の段階での議論
EUにいて、個人データの個人識別性について詳細に論じる文書は、29条委員会の「Opinion 4/2007 on the concept of personal data」(以下、wp136意見書という) でした。
Wp136意見書は、2007年6月に採択されたの意見書です。
これは、個人データ保護指令における「個人データ(Personal Data)」の概念を深く掘り下げ、メンバー国における個人データ保護法制の適用についての共通の理解を得ることを目標とした意見書となります。
「イントロ」「一般的考察」「分析」「定義外のデータの取扱(WHAT HAPPENS IF THE DATA FALL OUTSIDE OF THE DEFINITION?)」「結論」からなりたっています。
特に「分析」の章は、「第一要素・すべての情報」「第二要素・関連する」「第三要素・(自然人を)識別し、もしくは識別しうる」「第四要素・自然人」にわけて、具体的に考察されていて、詳細で、かつ、具体的なケーススタディがふんだんに盛り込まれており、きわめて参考になります。
特に「第二要素・関連する」「第三要素・(自然人を)識別し、もしくは識別可能な」についての具体的な分析は、わが国においてほとんど紹介されませんでした。
きわめて興味深いのですが、我が国では、あまり紹介されていなかった記憶です。
「関連する」
「第二要素・関連する」というのは、情報が、人に「関連し」なければならないということになります。
かかる要素があるとされるのには「内容、目的、結果」の要素のいずれかが、存在しなければならないということである。もっとも一般的な場合は、内容が、存在する場合であるが、それは、情報が、その特定の人について与えられるという場合をいうとされる。RFIDが、パスポートに使われる場合、このRFIDチップに含まれる情報が、個人データとなるのは、かかる理由による。「目的」の要素が存在する場合というのは、個人の状況や行動を、評価、取扱もしくは、影響を与える目的をもって用いる、もしくは用いる可能性がある場合をいう。事業場における電話記録が、個人の生活や社会関係に関すると考えられるのは、この見地からとされている。「結果」の要素が存在すると考えられる場合は、特定人の権利、興味などに影響を与えうると考えられる場合である。タクシーの場所をモニタリングする場合、そのモニタリングが、運転手の業績の評価になく、配車の効率化をもたらすものであるとしても、そのタクシーの場所の情報は、その運転手に対して、相当なインパクトを与えうるものであるので、関連するとかんがえられるとされている。
「識別可能性」
「第三要素・(自然人を)識別し、もしくは識別しうる」については、まず、グループの他のメンバから、「区別」される(distinguished)ときに、識別されるとかんがえることができる。そして、識別されていない場合でも、それが可能なときに、識別しうるとされるのである。これは、その文言から明らかなように「しきい条件(threshold condition)」である 。
Wp136意見書は、この識別可能性について目前によって「直接」識別される場合と、電話番号、登録番号、社会保障番号、その他などによって「間接的に」識別される場合があるとする。この識別は、特定の状況に依存するということを意味しているのである。
このような考察のもとにダイナミックIPアドレスについて、例15として詳細に論じています(報告書の16頁)。
特に、IPアドレスが、コンピュータのユーザを特定する場合に用いられる場合(例えば、知的財産権を侵害しているユーザを訴追するために著作権者が用いる場合)において、コントローラは、利用者を識別するために、裁判所に訴えることを利用するなどして、合理的な方法が採用されることが期待できるものであるし、それゆえに、個人データと考えられる
として、
当ワーキングパーティはIPアドレスについて特定可能な個人に関連するデータであると考える
としていたわけです。あと、同委員会の1/2008意見-サーチエンジンに関するデータ保護の意見(wp146)でもこの趣旨が確認されていました。
(おまけ 過去の報告書の抜粋)
この間接的な識別の問題について、Wp136意見書は、「単一コンビネーション」の現象について論じている。これは、一見したところ識別子においては、特定人を識別できない場合において、他の情報と組み合わせることによって「識別可能」になるという場合の問題である。この場合、データコントローラーにその情報があると否とをとわないのである。具体的なカテゴリの詳細の組み合わせによっては、特定をなしうることがあり、そのような場合は、識別可能であると考えられる。また、コンピュータ処理の際になされる単一の識別符号を用いて処理がなされる場合には、かかる識別符号に紐づけられた情報は、個人情報となる。名前は識別の必要な条件ではないことになるのである。
上記で、しきい条件であるとふれたが具体的に、何をベースにどのように判断されるのかという問題がある。ここでポイントとなるのが、データ保護指令の前文26の規定である。同前文は、「個人が識別可能かどうかというのを決定するのにあったては、コントローラーまたは当該人物を識別しようとする他のものによって合理的に利用されうるであろう手段すべて(all the means likely reasonably to be used)が考慮にいれられなければならない」としている。ここで「合理的に利用されるであろう手段すべて」を考慮に入れるということが、どのようなことかというのがきわめて重要になる。Wp136意見書によれば、「識別のためのコストは、一つの要素であるが、唯一というものではない。意図された目的、処理の構築された方法、処理者にとっての有用性、個人にとっての利益のみならず、組織的機能不全(機密義務違反など)や技術的ミスなどが考慮される。一方で、この判断基準は、動的なものであり、処理の際の技術の状況やデータが処理される期間における発達の可能性も考慮すべきである。」とされている。データ処理の目的が、この考慮に関連してくることもふれられている。個人の特定が目的とされるのであれば、個人データと解され、データ保護原則が適用されることになる。
データ主体の識別かが、処理の目的に含まれていないときは、識別化を防止する技術的手段は、重要な役割をはたすことになる。このような手段が実装されているときには、個人データと解されることはなく、むしろ、個人データの保護原則が適用されるかどうかの要件を満たさないということになるのである。
仮名化(Pseudonymisation)は、個人の同一性の識別の処理の問題である。仮に仮名を用いたとしても、追跡が可能であれば、そのようなデータは、間接的に識別可能な個人に間する情報であると認識されることになる。
鍵による暗号化されたデータ(Key-Coded data)は、この仮名化の古典的な例であるということができる。調査・研究のために別に保存されている鍵によって、回復しうるような場合には、個人データとなる。
匿名化データ(Anonymous data)は、識別され得ない自然人に関係する情報と定義される。したがって、特定人に関していたとしても、識別かがもはや不可能になったものを含むことになる。前文26は、((26) 保護の原則は、識別され、もしくは、されうる個人に関する情報に適用されなければならない/個人が識別しうるかどうかを決定するには、コントローラーもしくはその個人を識別しようとする人すべてが、合理的に用いうるであろう手法のすべてが考慮される/保護の原則は、データ主体がもはや識別しえない匿名であるとみなされるデータについては、適用されない/27条の意味についての行動基準(codes of conduct)は、実用的なツールであって、データが匿名であると考えられ、データ主体がはもや特定できない用に保存する様式についてのガイダンスを提供する)と述べている。
このような理解のもとに、IPアドレスが、個人データなのか、というのが、議論されたわけです。
個人的には、これですごく印象に残っているのは、2009年にエストニアのタリンで、「サイバー紛争に関する法と政策の会議(International Cyber Conflict Legal and Policy Conference)」が開催されたのですが、その際にフロアでIPアドレスの取扱について質疑応答がなされたことがあったことです。この点については、当時ですが、ドイツの裁判所では、個人データではないという判決が出ていたのですが、ベルギーでは個人データであるという判決がでてました。そこで、セキュリティが大事といっても社会は理解してくれていないのではないのという質問でした。でもってコーディネーターのEnekken Tikk(ビデオは、こちら)さんが、質問の次の日までにきちんと調べて、データ保護指令の安全例外でいくことができるだろうという回答をしていたのを覚えています。(Tikkさんは、優秀だよと聞いていたのですが、それを本当に実感しました)
この点でのベルギーの事件は、Scarlet Extended事件になります。
————————————————————————————–
(おまけ-その2)
Scarlet Extended SA v Société belge des auteurs、 compositeurs et éditeurs SCRL (SABAM)事件(2011)
Scarletは、顧客にインターネットへのアクセスを提供するISPであって、ダウンローディングやファイルシェアリングなどのサービスは、提供していない。一方、SABAM は、音楽著作物の著作者、作曲家、編集者を代表し、第三者に対する許諾をなす管理会社である。
2004年11月26日、ベルギーの審判所は、著作権の侵害があったとし、専門家に対して、実際に、SABAMの提案する技術的解決策 が、技術的に違法なファイル共有のみを遮断(filter out)するのか、ピア・ツー・ピア型の使用をモニターする他の手法があるかどうか、手法のコストはいくらかを調査させた。この調査結果によれば、完全な規則に基づいて違法な電子ファイルのシェアリングをフィルターし、ブロックすることはできないものとされた。2007年6月29日の判決において、審判所は、Scarletに対して、利用者が、SABAMのレパートリーに属する音楽作品を含むファイル全てを受信若しくは送信することを不可能にするようにし、終了させることを命じた。
これに対して、Scarletは、①システムのフィルタリングとブロッキングの効率性と成果は証明されておらず、実装するための設備も実際上の困難に遭遇することから、技術的差止命令に応じることは困難であること、②システムに対して、一般的な通信のモニタリングを命じることになり、2000/31指令第15条を実装する2003年3月11日法11条に違反することになる、③フィルタリング・システムの実装は、EU法の個人データ保護及び通信の秘密の法に違反する(というのは、そのようなフィルタンリグは、IPアドレスの処理を行うことになり、それは、個人データであるからである)として、控訴を申し立てた。控訴裁判所は、手続を中止し、予備的判断のために、事件をEU裁判所に回付した。
そして、この点が、Patrick Breyer対Bundesrepublik Deutschland,事件(ECLI:EU:C:2016:779) で争われました。
原告のBreyer氏はドイツの「海賊党」(Piratenpartei)のメンバーです。
政府のウェブサイトが、訪問者のIPアドレスを記録していることを知ったブレイヤー氏は、ドイツ政府を訴え、自分のIPアドレスを保存することで、政府は違法に自分の個人情報を取り扱っていると主張しました。 この主張に対して、ドイツの下級裁判所において、異なる判断が下されており、 最終的に、この事件はドイツ連邦最高裁判所(Bundesgerichtshof)に持ち込まれました。同連邦最高裁判所は、この点について客観(objective)的基準と相対(relative)的基準があるとしました。そして、第三者(アクセスプロバイダー)が、データ主体を識別するために追加の情報を有していた場合において、個人データ保護指令 の「個人データ」の解釈において(オンラインメディア)サービスの提供者が、自分のウェブサイトにアクセスしたときに保存する情報は、すでにサービスのための個人データに該当すると解釈しなければならないのか?等の問題について欧州司法裁判所の判断を求めたのです。
この問題について、欧州司法裁判所は、
公衆にアクセス可能なウェブサイトを提供しているオンラインメディアによって登録されたダイナミックIPアドレスは、 サービスプロバイダーは、インターネットが提供する追加データでデータ対象者を特定することを可能にする法的手段を持っている場合において、そのプロバイダとの関係において、その規定の意味での個人情報を構成すると解釈されなければならない
としたのです。なお、この点についてドイツの議論を日本で紹介するものとしては、實原隆志「IPアドレスの個人情報該当性 」があります。
日本の個人情報保護法(従前)における解釈
ホームページを閲覧した際に記憶されるアクセスログについても、通常そこから得られる情報は、アクセス日時、相手側ドメイン名、IP アドレス、基本ソフト、ブラウザの種類等であり、一般にそれ自体から「特定の個人を識別できる」とはいえないことから、基本的に「個人情報」に該当しないと考えられる(この場合も、該当アクセスログを保有する者において、他の情報と容易に照合して特定の個人を識別できる場合には、当該アクセスログを保有する者と本人との関係において「個人情報」に該当する。)
という認識であったように思われます。
IPアドレスの取扱については、微妙な、中途半端な状況だったかと思いますが、GDPRで「個人データ」としての取扱がはっきりしてきます。
GDPR
一般データ保護規則(GDPR)においてIPアドレスについては、個人データに該当するという一定の結論が出されているといいでしょう。条文の翻訳はこちら。
「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。
識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
とされています(4条(1))。
前文30は、(翻訳はこちら)
サーバーによって受信されるユニーク識別子及びその他の情報と組み合わされるときは、自然人のプロファイルをつくり出し、そして、自然人を識別するために用いられうる痕跡を残しうるものである
と上述のBreyer判決と同旨を明らかにしています。
また、
GDPR6条(取扱の適法性)1項のデータ管理者によって求められる適法な利益のために取扱が必要な場合という規定に関して前文49においては、データ管理者の正当な利益を構成する行為として、ネットワーク及び情報の安全性を確保する目的のために厳密に必要性であり、かつ、比例的な範囲内で行われる個人データの取扱いがあることとしています。
ネットワーク及び情報の安全性を確保する目的のために厳密に必要性であり、かつ、比例的な範囲内で行われる個人データの取扱い、例えば、保存される個人データ若しくは送信される個人データの可用性、真正性、完全性及び機密性を阻害し、また、公的機関、コンピュータ緊急対応チーム(CERT)、コンピュータセキュリティインシデント対応チーム(CSIRT)、電子通信ネットワークのプロバイダ及び電子通信サービスのプロバイダ、並びに、セキュリティ技術及びセキュリティサービスの提供者によって、そのネットワーク及びシステムを介して提供され又はアクセス可能なものとされている関連サービスの安全性を阻害する事故、又は、違法な行為若しくは悪意ある行為に対して、所与の機密性のレベルにおいて対抗するためのネットワークシステム又は情報システムの能力を確保することは、関係するデータ管理者の正当な利益を構成する。これには、例えば、電子通信ネットワークへの無権限アクセス及び悪意あるコード配布を防止すること、並びに、「サービス拒否」攻撃やコンピュータ及び電子通信システムの破壊行為を阻止することが含まれうる。
になります。
なので、利用することについては、むしろ、適法な取扱とされるということで整理されているということができるでしょう。では、共有はどうかという問題になります。
GDPR本体においては、具体的な分析はないようです。
なお、eプライバシー規則案においては、具体的な規定がなされています。
第5条 電子通信データの秘密
電子通信データは、秘密(confidential)とされる。この規則によって許容される場合を除き、エンドユーザに関する者以外による電子通信データに対する干渉(聴取、タッピング、保存、モニタリング、スキャニングまたはいかなる傍受、監視および取扱を含む)は、禁止される。第6条 電子通信データの許容される取扱
1. 電子通信ネットワーク及び電子通信サービスのプロバイダが、電子通信データを取り扱うことができるのは、以下の場合に限る
(a) 通信通信サービスを提供するために必要な場合、または
(b) 電子通信ネットワークのセキュリティを維持し、もしくは、回復するため、または、電子通信の伝送における失敗及びまたはエラー、セキュリティリスク、攻撃を検出するのに必要な場合、
(c)エンドユーザの端末におけるセキュリティリスクや攻撃を探知し、防止するのに必要な場合
(d)連合もしくは構成国の法によって課される法的義務に適合することが必要な場合(かかる法は、基本権の基本要素および自由を尊重し、民主社会において、掲示犯罪または刑罰の執行の防止、捜査、探知または起訴を防護するのに必要かつ十分な手段であり、かつ、公共の安全に対しての脅威への防護先・予防である。)
2. 電子通信データの取扱は、第6条から第6条c項に基づく特定の目的または目的に必要な期間、および匿名化された情報を処理することによって特定の目的または目的を達成できない場合に限り、許されるものとする。
3. 電子通信ネットワークまたはサービスのプロバイダに代わって行動する第三者は、規則(EU)2016/679 の第 28 条に定められた条件が満たされること を条件に、第 6 条から第 6 条c に従って電子通信データを処理することを許可される場合がある。第6a条 電子通信コンテントの許容される取扱
1 電子通信サービスのプロバイダは、電子的な通信コンテンツを取り扱うことができるのは、以下の場合のみである。ただし、第6条1項の場合を除く。
(a) 純粋に個人的な利用のためにエンドユーザから要求された特定のサービスを提供することを唯一の目的とする場合。ただし、要求するエンドユーザが同意を与えており、そのような要求が関連する第三者の基本権および利益に反する効果を与えないここと、
(b) 1つ以上の特定の目的のための電子通信コンテンツの取扱に関係するすべてのエンドユーザが、同意を与えている場合
2 1項の(b)によって取扱をなすのに先立って、プロバイダは、電子通信データの保護について、実際の取扱に関しての影響評価を行い、監督当局に諮問するものとする。もし必要であれば、監督当局の諮問については、規則(EU)2016/679 の第36条(1)、(2)および(3)を適用する。第6b条 電子通信サービスのプロバイダが電子通信メタデータを取り扱うことができるのは、以下の場合のみである。ただし、第6条1項の場合を除く:
(a) ネットワーク管理またはネットワーク最適化、または、指令(EU)2018/1972または規則(EU) 2015/2120 にしたがう必須のサービス要求事項の技術的品質に適合させるため、または
(b) エンドユーザが当事者である電子通信サービス契約の履行のため、または、もし必要であれば、課金、接続料金の計算、または、電子通信サービス契約の不正行為もしくは濫用的な利用の検出及び阻止のために必要な場合、または
(c) 関係するエンドユーザが、当該エンドユーザに対する特別のサービスを提供する目的を含め、または複数の特定された目的のために、通信メタデータの取扱について同意を与えた場合、または
(d)自然人の生命にかかる利益を防護するのが必要な場合
(e) 位置情報を構成する電子通信メタデータの統計的集計を行うために必要な場合、ただし、以下が条件となる
ⅰ)そのようなデータは仮名化されていること。
ⅱ)情報が匿名化された取扱では、実行されない場合、この場合には、目的を達成するために必要とされなくなったときには、位置情報が消去されたり、匿名化されたりすること。
ⅲ) 位置情報は、エンドユーザの性質や特徴を決定する、プロファイルを構築するのに使用されないこと。
(f) 基本的人権を保護し、目的のために必要十分であり、かつ、特定の安全措置を定める(暗号化と仮名化を含む)共同体または構成国の法に基づくものであることを条件に、電子的な位置情報を構成する通信メタデータというよりも統計的目的のために、または科学的な目的のために必要であること、この点に基づく電子通信メタデータの取扱は、規則(EU)2016/679の第21条6項、第89条1、2および4項による。
2a. 本条第1項のeおよびfに基づいて取り扱われたデータは、国内法および規則223/2009/ECに従って、この目的のために必要な範囲内で、国内および欧州の公式統計の作成および普及のためにも使用することができる。(以下、略)
それてもって、このあたりの権威的な解釈としては、NATO のMISP(Malware Information Sharing and Threat Intelligence Sharing Platform (MISP))の頭文字)の「法と政策のコンプライアンス」のページ(https://www.misp-project.org/compliance/ )があります。
この見解が、信頼性は、どれだけあるのか、ということになりますが、この検討自体、CEFのファンドを受けており、当該見解については、一般的な見解であると考えられるものと考えています。
最初に問題となるのは、情報共有の仕組みを通じて情報が共有されるときに、そのデータの管理者(コントローラ)と取扱者(プロセッサ)は、誰か、という問題があります。これについては、以下の図によって説明がなされています。
これは、情報共有においては、その取扱の段階に応じて、ダイナミックにそれぞれ管理者と取扱者が変化することを示しています。具体的には、受信の場合は、それ自体では、管理者にならないが、それを保存して、データを分析すると、データ管理者となるということです。
この点について、提供先とか提供元とかいっているのは、日本オリジナルということだと私は解釈しています。
では、脅威情報としてのどのような情報が個人データとしてGDPRの規律を受けるのか、という問題があります。特に、データ主体が識別されうる場合に、IPアドレスが個人データと認識されうるという上記の見解を前提とするかぎり、GDPRとの関係を整理しておかないといけないということになります。
結局
コンピュータセキュリティインシデント対応チーム(CSIRT)は、自身の義務、関係者の義務、データ処理の目的を可能な限り把握しておく必要があるということになる。その結果、仮名化すること、すなわち、追加の情報が分離して保管され、識別された又は識別され得る自然人に個人データが帰属しないことを保証する技術的及び組織的措置をとることによって、当該追加の情報を利用せずに個人データがもはや特定のデータ主体に帰属しないような方法で、個人データを処理することが必要になる
とされます。
もっとも、GDPR は、その目的に合致している限り、CSIRT 間での個人データの情報交換を可能にしていること(前文 49) 、管理者及び処理者は、「リスクに応じた適切なレベルのセキュリティを確保するために、適切な技術的及び組織的な対策を実施しなければならない」としている(同32項)ことから、情報の共有化は、リスクを低減するために必要不可欠なセキュリティ対策であると認識されなければならないと考えられます。
CSIRT は、第 6 条(e)項-公共の利益のために行われる業務の遂行、または管理者に与えられた公的権限の行使のために処理が必要な場合-を個人データの取扱の適法性の根拠としてデータ管理者としての役割を果たすことができると考えられるのです。
また、MISP を通じて情報を共有する場合、ほとんどの場合、データ対象者から個人情報を取得しておらず、そうだとすると、14条の透明性の原則の適用をうけ、管理者の身元や連絡先などの特定の情報がデータ主体に提供されることを要求される可能性があることになります。
新しいマルウェアに関する情報(例:マルウェアが指示を受けているドメイン名)を共有する場合、そのような情報はマルウェアの作者から取得したものではなく、分析の結果になります。このような情報を脅威となる行為者に提供することは、調査を台無しにすることになり、公共の利益にはなりません。
GDPRでは、このような利用事例を想定し、第14条(1)から(4)までに対しての例外を規定しており、具体的には、MISP の利用の場合には、第 14 条(5)(b)が適用されるものと考えられます。
この規定は、第 14 条(1)から(4)は,「本条第 1 項の義務が,その処理の目的の達成を不可能にし,又は著しく損なうおそれがある」場合には適用されないとされています。
しかし、この制限を適用する場合でも「情報の公開」などの「適切な措置」とのバランスをとる必要がある。例えば、CSIRT は、RFC2350 (「コンピュータセキュリティインシデント対応への期待」)[1]や GDPR の第 1 4条(1)・(2)の規定に沿って、処理活動に関する情報を公開することができると解される。
[1] RFC2350(コンピュータセキュリティインシデント対応への期待(Expectations for Computer Security Incident Response))の情報処理推進機構による日本語訳はhttps://www.ipa.go.jp/security/rfc/RFC2350JA.html
令和2年個人情報保護法改正
(以下、高木浩光氏よりのご指摘を受けて、修正しました)
でもって、個人情報保護法において、IPアドレスの扱いについて、「一般的には」改正法の26条の2でもって、の個人関連情報として整理がなされます。
改正法26条の2の個人関連情報との関係をみていきます。条文自体は
第26条の2
個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。2 第24条第3項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第3項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
3 前条第2項から第4項までの規定は、第1項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。
となっています。
この条文に関しては、個人情報保護委員会では、いまのところ、この「個人関連情報」に関する情報としては、「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」が一番の資料のように思えます。この資料のをもとに考えると、以下のような状況が考えられることになりそうです(スライドの2ページ目をセキュリティ業界風にアレンジ)。
被害者企業の契約プロバイダさんが、このIPアドレスからの攻撃であるということを探知して、そのIPアドレスがこのプロバイダBから来ているとします。このときに、プロバイダAは、プロバイダBに対して、攻撃停止のお願いをしたりするとすれば、そのときに、プロバイダBは、契約者に関する情報を有しているので、「このアドレスの人が攻撃しています」というのは、プロバイダAの有している個人関連情報のプロバイダBへの提供に思えます。
ちなみに、個人関連情報の具体的な例として、「CookieID、ウェブサイトの閲覧履歴」が挙げられています。いままでの、個人識別性の閾値が高かったものをこの関連情報という概念をいれることで、GDPRと揃えようというところがあるのかもしれないところです。
条文をそのまま当てはめると、攻撃ソースのISPさんに対して、このIPアドレスの人が、攻撃しているのですが、というのを提供することは、この条文からのみでは、不可能になるように思えます。 個人関連情報の提供に該当するかと思えるのですが、通常においては、このような攻撃者のIPアドレスが、
個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
と定められている「検索することができるように体系的に構成したもの」等に該当するということはないので、この条文の適用は、ないものと考えられます。
しかしながら、 また条文としては、「第二十三条第一項各号に掲げる場合を除くほか」となっていて、そこでは、
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
に該当するので、(この点からも)攻撃ソースのプロバイダに対して情報を提供することが許容されるということになるのだろうと考えます。
ここらへんは、NISCさんあたりが個人情報保護委員会とごにょごにょしてですね、このQ&Aに付加されるといいだろうと思います。
2021年10月5日修正。高木浩光氏のご指摘に感謝いたします。
