ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

2021/06/10公布の中華人民共和国データ安全法のつまみ食い

2021/06/10に中華人民共和国データ安全法(数据安全法)が公布されたが、純然たる個人的な見解では、域外のデータ処理活動にかかわる条文だけ見ておけばいい気がする。

施行は2021/09/01から。

权威发布_中国人大网

中华人民共和国数据安全法_中国人大网

第二条

中華人民共和国国内のデータ処理活動および安全管理の展開について、本法を適用する。 中華人民共和国域外のデータ処理活動の展開について、中華人民共和国の国家安全、公共の利益あるいは公民、組織の合法的な権益が棄損される場合、法に基づいて責任を追及する。

第二十五条

国家は国家の安全と利益の維持、国際的な義務の履行に関係する管理事項に属するデータにつき、法に基づいた域外移転管理を実施する。

第二十六条

いかなる国家あるいは地区も、データとデータ開発利用技術等に関する投資、貿易等について、中華人民共和国に対する差別的な禁止、制限あるいはその他これに類する措置を採った場合、中華人民共和国は実際の状況に基づいて当該国家あるいは地区に対して対等な措置を採ることができる。

第三十一条

重要な情報基盤の運営者が、中華人民共和国国内での運営において収集し生産した重要なデータの域外移転安全管理について、『中華人民共和国サイバーセキュリティ法』の規程を適用する;その他データ処理者が中華人民共和国国内での運営において収集し生産した重要なデータの域外移転安全管理方法は、国家サイバースペース管理部門が国務院の関連部門とともに制定する。

第三十六条

中華人民共和国の主管機関は関連する法律と中華人民共和国が締結あるいは参加する国際条約、協定に基づき、あるいは平等互恵の原則に照らし、外国の司法あるいは法執行機関のデータ提供に関する請求を処理する。中華人民共和国の主管機関を経ずして、域外の組織、個人は外国の司法あるいは法執行機関に対して、中華人民共和国国内に保存されているデータを提供してはならない。

第四十六条

本法第三十一条の規定に違反し、域外に重要なデータを提供した場合、関連する主管部門は改善を命令し、警告を与え、ならびに十万元以上百万元以下の罰金を科すことができ、直接の責任を負う主管人員とその他直接の責任者に対して一万元以上十万元以下の罰金を科すことができる;状況が重大である場合は、百万元以上一千万元以下の罰金を科し、ならびに関連する業務の一時停止、業務停止と内部改善を命令し、関連業務の許可証取消しあるいは営業許可証の取消しを行うことができ、責任を負う主管人員とその他直接の責任者に対して十万元以上百万元以下の罰金を科す。

第四十八条

(中略) 本法第三十六条の規定に違反し、主管機関の許可を経ずして外国の司法あるいは法執行機関にデータを提供した場合、関連する主管部門は警告を与え、ならびに十万元以上百万元以下の罰金を科すことができ、直接の責任を負う主管人員とその他直接の責任者に対して一万元以上十万元以下の罰金を科すことができる;重大な結果を生じた場合、百万元以上五百万元以下の罰金を科し、ならびに関連する業務の一時停止、業務停止と内部改善を命令し、関連業務の許可証取消しあるいは営業許可証の取消しを行うことができ、責任を負う主管人員とその他直接の責任者に対して五万元以上五十万元以下の罰金を科す。

GDPRの新版Standard Contractual Clausesが公開された件

GDPRの新版SCC(Standard Contractual Clauses)が2021/6/4にようやく公開された。

こちらはEEA域外移転用の新SCC ec.europa.eu

こちらはデータコントローラ~プロセッサー間の新SCC (域外移転があるかどうかにかかわらず) ec.europa.eu

今後各企業は旧SCCから新SCCへどう移行すればいいのか、以下のサイトが分かりやすかった。 portal.bizrisk.iij.jp

「新SCCについてあなたが知る必要のある10個のこと」 10 Things You Should Know About the New Standard Contractual Clauses | Orrick, Herrington & Sutcliffe LLP - JDSupra

域外移転用の新SCCは、以下の4通りの移転についてモジュラー構成になっているのが斬新。 * コントローラ ⇒ コントローラ * コントローラ ⇒ プロセッサー * プロセッサープロセッサー * プロセッサー ⇒ コントローラ

モジュラー構成になることで、複数の企業・組織が域外移転にかかわっている場合も、一本のSCCで対応でき、後から関与する企業・組織を追加できるようになったようだ。

また、最も重要な関心事は、いわゆるシュレムスII判決が新SCCにどう反映されたかだが、上記IIJの記事によれば新SCCは、旧SCCに書かれていなかった「補完的措置義務」を包含しているが、いずれにせよ措置義務に加えて・・・

移転先国における個人データ保護に関する法制度及びその運用について確認し、その評価結果を文書化し、当局の求めに応じてこのような評価文書を提出することを移転当事者に義務づける

・・・とのこと。実際の域外移転用の新SCCでいうと、Clause 14、Clause 15になる。

移転先の国ごとに、その国の個人データ保護法制を評価しなければいけないとは、非常に面倒くさい。

また、上記「新SCCについてあなたが知る必要のある10個のこと」によると、シュレムスII関連ではEDPBから近日中にrecommendationsが公開されるとのことで、その内容も参照した方がいいようだ。

旧SCCから新SCCへの移行は、旧SCCが3か月後に無効になり、そのあと猶予期間が15か月あるので、あわせて18か月後、つまり、2022年11月末~12月がデッドラインとのこと。

TikTokのプライバシーポリシーが2021/6/2に変更されていたらしい

Zack Whittaker氏のツイートで、TikTokのプライバシーポリシーが2021/06/02に変更されていたと知った。 techcrunch.com

このTechCrunchの記事は米国での変更を問題にしているが、日本向けも変更されている。

個人的にTikTokのヘビーユーザではないので、アプリ側の変更通知には気づかなかったが、TikTok日本語サイトではサイト上部に「プライバシーポリシーが更新されました。引き続きサービスをご利用いただくことで、これらの更新に同意したものとみなされます」という同意取得表示がある。

TikTok日本語版ウェブサイトのプライバシーポリシー更新同意メッセージ

そこで日本語版が一つ前の2021/1更新版からどう変わったのか調べてみた。2021/1版はWayback Machineでは例えば以下のページから閲覧できる(2021/04/13のアーカイブ)。 web.archive.org

以下、TikTokが収集する情報はすべてユーザーの同意を得てということになっており、この点はいちいち書かない。

地域別のプライバシーポリシー

まずプライバシーポリシーが米国、EEA(GDPRの対象地域)、英国、スイス、その他の国・地域で区別されるようになった。

ユーザーに関する情報

ユーザーに関する情報として収集されるものに「ユーザーのパスワード」が追加されている。まさかハッシュ化しないという意味ではないと思われるので、わざわざ追記した理由は不明。

アップロード中止、失敗したコンテンツ

今まではユーザーがコンテンツのアップロードを中止、または何かの理由でアップロードできなければ、そのコンテンツはサーバーから削除されたが、更新後は、アップロード時の「プリロード」時点でコンテンツを取集し、サーバーから削除しなくなる。

身体的特徴

これがZack Whittaker氏がとくに問題にしているらしい部分。更新前には書かれていなかった点で、ユーザーがコンテンツに各種エフェクトをかける場合、以下のコンテンツを新たに収集するとのこと。

  • エフェクトを含まないバージョン
  • 表示される物や風景
  • 顔の画像内の存在や位置および身体的特徴・特質、音声の特質
  • コンテンツ内で話される言葉のテキストを特定したもの

これらを収集する目的も追記されている。

  • 特別な動画エフェクトを可能にするため
  • コンテンツモデレーション
  • 人口統計学的分類
  • コンテンツや広告のレコメンド
  • 個人を特定しないその他の作業
クリップボード内のコンテンツへのアクセス

今回の変更でクリップボード内のコンテンツ(テキスト、画像および動画を含む) に、ユーザーに同意を得た上でアクセスする場合があることが明記された。クリップボード内のコンテンツにアクセスする場合は、「例えば」という例示で書かれている。

  • ユーザーが第三者プラットフォームとコンテンツ共有を開始することを選択した場合
  • コンテンツをクリップボードからTikTokアプリにペーストすることを選択した場合
どのようなフォロワーと交流するかの情報

今までユーザーのTikTok利用に関する情報として収集されていたのは以下の項目。

  • 表示されたコンテンツ
  • 見た広告
  • 閲覧した動画
  • 遭遇した問題に対し、どのように行動するか
  • 好みのコンテンツ
  • 「お気に入り」に保存したコンテンツ
  • フォローしているユーザー

ここにユーザーが「どのようなフォロワーと交流するか」が追加された。

SNSアカウントに関係する情報

FacebookTwitterInstagramGoogleなどSNSアカウントを利用してTikTokに利用登録した場合に収集されていたのは以下の項目。

  • SNSのユーザー名
  • SNSの公開プロフィール

ここに新たに追加されたのは以下の2点。

  • SNSアカウントに関係する可能性のある他の情報
  • 別のサービスにTikTokアカウントをリンクした場合、そのサービスの利用に関する情報

さらにプライバシーポリシーの後半「ビジネスパートナー」の段落で以下の項目が追加されている。

  • 電話番号
  • Eメールアドレス
技術情報

今まで技術情報として収集されていたのは以下の項目。

そして新たに追加されたのは以下の項目。

  • ユーザーエージェント
  • アプリおよびファイルの名称と種類
  • キーストロークのパターンまたはリズム
  • バッテリー状態
  • 音声設定および接続されたオーディオ機器

さらに、これらの「デバイスから収集される情報とお客様を関連付けることもできます」という文言が追加されている。

位置データ

位置データとして収集されていたのは以下の項目。

そして新たに追加されたのは以下の項目。

いずれもユーザーの許可を得た上で収集されるが、GPSの位置データについて「正確な」という形容詞が追加されている。

身元や年齢確認に必要な情報

これは今までなかった項目として新たに追加されている。ライブストリーミングや認証アカウントなどの特定の機能を利用する場合や、「プロアカウント」に申し込む際、利用年齢に達していることを確認する目的で、身元や年齢の証明の提示が求められるとのこと。

クッキーによる複数デバイス横断の広告表示の中止

これは逆に新しいプライバシーポリシーで廃止された項目だが、今までクッキーはユーザーの「複数のデバイスにわたって」ターゲティング広告を表示するために、ユーザーの「すべてのデバイス上」の行動をユーザー情報と結び付けていたが、どうやらこの複数デバイス横断のトラッキングはやめるらしい。

ユーザー情報の利用目的

以上のような収集情報を利用する目的として、以下の2項目が追加されている。

  • 当社のアルゴリズムに情報を提供するため
  • 商品・サービスの販売、販促および購入を促進するため
  • ユーザーサポートを提供するため
三者提供

「ビジネスパートナー」の段落で、第三者提供の場合が明記されるようになった。

サービスプロバイダにマーケティング業者を追加

「サービスプロバイダ」の段落に、ユーザー情報およびコンテンツの提供先として今まで書かれていたのは以下の業者。

ここに以下の業者が追加された。

データへのアクセス権、削除権の追記

「お客様による選択」の段落に「適用法」によって、自分のデータにアクセス、削除する権利が認められる場合があると追記され、それらの権利を行使する場合の問い合わせも追記されている。

ポリシー自体の変更

最後にプライバシーポリシー自体の変更についての記述がかなり変更されている。

今までは重大な変更と、そうでない変更に分かれており、重大な変更は「すべてのユーザーにお知らせします」と書かれていたが、変更後はその区分がなくなり、「適用法で求められるその他の通知」というふうに、通知方法が各国・地域の法律によるようになっている。

利用を継続すると、自動的にポリシーの更新に同意したとみなされるのは従来どおり。

以上、プライバシーの専門家ではないので、差異をまとめるにとどめておく。

米コロニアル・パイプラインのランサムウェア被害、侵入に悪用された漏えい済みアカウントは多要素認証なし

ランサムウェア被害を受けた米コロニアル・パイプライン、攻撃者の侵入方法は漏えい済みパスワードで、多要素認証もなく、「パスワードは特に脆弱だった」とのこと。やはり2018年外部監査のセキュリティ管理についての指摘が改善されていなかったのでは。 edition.cnn.com

侵入に使われたパスワードは使用されていないVPNアカウントで多要素認証がなかったと、同社のフォレンジック調査を行ったFireEye社がCNNに語ったと。コロニアル社CEOジョセフ・ブラント氏は6/7(月)の週に上院、下院の国土安全保障委員会で攻撃の時系列と会社の対応について詳細を証言するとのこと。

コロニアル社のセキュリティ状況に詳しい情報筋は攻撃当時「ドアは大きく開かれ」「パスワードが特に脆弱だった」と。すでに使用されていないアカウントだったにもかかわらず、攻撃者は不正アクセスに成功したらしい。

ライフラインを支える米国の大企業がこのセキュリティレベルというのは、個人的に驚いてしまう。

中国個人情報保護法の法目的は「個人情報」の保護であって「個人」の保護ではない?

中国個人情報保護法の目的は「個人情報」の権利利益の保護?

前回の記事で個人的な趣味として、中国の個人情報保護法草案全文を試訳したが、この法律の奇妙な点は、第一条、第二条にあるように、法律の目的が「個人情報」の権利利益の保護であって、「個人」の権利利益の保護ではないところだ。

たしかに条文に「個人の権益」が出てくる部分は三か所ある。

第六条の個人情報処理の目的の合理性、処理範囲の最小化の部分に「個人の権益に対する影響を最初化する方法」という文言が、第二回審議稿で追加されている。

第八条では「個人の権益に対する不利な影響」という文言が、第二回審議稿で追加されている。

第二十五条では個人情報の自動処理による決定に関連して「個人の権益に対する重大な影響のある決定」とあり、この部分は第一回審議稿でも「個人が自動化による決定がその権益に重大な影響を生じさせると認識する場合」と、個人の権益が言及されている。

ただ、日本の個人情報保護法が第一条で「個人の権利利益を保護することを目的とする」と明記し、GDPRも第一条に「This Regulation protects fundamental rights and freedoms of natural persons」とあるのと比較すると、法律のその他の部分ではすべて保護されるべきは「個人情報の権益」となっている。

サイバーセキュリティ法の個人情報保護規定はどうなってる?

個人情報に関する規定は、2017年6月1日施行の「網絡安全法(中国サイバーセキュリティ法)」、2021年1月1日施行の「中華人民共和国民法典」にも存在するが、これらの法律で個人の権利利益はどう書かれているか。

まず中国サイバーセキュリティ法 www.cac.gov.cn

こちらは第一条に「公民、法人とその他組織の合法的権益の保護」が登場するが、その目的はあくまで「ネットワークの安全を保障し、サイバー空間の主権と国家安全、社会公共の利益を維持するため」であり、個人の権利利益保護が第一の目的になっていない。(ところで「网络空间主权(サイバー空間の主権)」って何?)

他の部分も同じで、個人の合法的権益が保護されるのは、ネットワークの安全、普及、サービスレベルの改善が目的で、個人の権益の保護そのものが目的になっていない。(第十二条、第十四条)

民法典の個人情報保護規定はどうなってる?

次に中華人民共和国民法http://www.npc.gov.cn/npc/c30834/202006/75ba6483b8344591abd07917e1d25cc8.shtml

民法典はさすがに第五章民事権利の冒頭、第百九条に「自然人の人身の自由、人格の尊厳は法律の保護を受ける」とある。

そしてすぐ後の第百十一条には以下のように書かれている。

「自然人の個人情報は法律の保護を受ける。いかなる組織あるいは個人も他社の個人情報を取得する場合、法に基づいて取得し、かつ情報の安全を確保しなければならない。他者の個人情報の不法な収集、使用、加工、伝達をしてはならず、他者の個人情報の不法な売買、提供あるいは公開をしてはならない」

さらに第六章が「プライバシーと個人情報の保護」に割かれており、第一千三十四条以下に自然人の個人情報保護の規定がある。

参考までにその部分を試訳する。

第一千三十四条

自然人の個人情報は法律の保護を受ける。 個人情報は電子あるいはその他の方法で記録された、単独あるいはその他の情報との結合で特定の自然人を識別できる各種情報をいい、自然人の氏名、生年月日、身分証明書番号、生体識別情報、住所、電話番号、電子メールアドレス、医療情報、行動情報等を含む。 個人情報のうちプライバシー情報には、プライバシー権に関する規定が適用される;規定がない場合は、関連する個人情報保護の規定が適用される。

第一千三十五条

個人情報を処理する場合、合法、正当、必要の原則を遵守し、過度な処理をしてはならず、以下の条件に符合しなければならない: (一)当該自然人あるいはその保護監督者の同意を得ること、ただし法律、行政法規その他の規定がある場合を除く; (二)情報処理の規則を公開すること; (三)情報処理の目的、方法と範囲を明示すること; (四)法律、行政法規の定めと双方の事前の取り決めに違反しないこと; 個人情報の処理は個人情報の収集、保存、使用、加工、伝達、提供、公開等を含む。

第一千三十六条

個人情報の処理は、以下の状況のうち一つに当てはまる場合、行為者は民事責任を負わない: (一)当該自然人あるいはその保護監督者の同意の範囲内で合理的に実施される行為; (二)当該自然人が自ら公開あるいはその他すでに合法的に公開されている情報の合理的な処理、ただし当該自然人が明確に拒否あるいは当該処理がその重大な利益を侵害する場合を除く; (三)公共の利益あるいは当該自然人の合法的な権益を守るために、合理的に実施されるその他行為。

第一千三十七条

自然人は法に基づいて情報処理者からその個人情報を閲覧あるいは複製することができる;情報の誤りに気付いた場合、異議を提出するとともに速やかに訂正等の必要な措置を講じるよう求める権利を有する。

自然人が情報処理者が法律、行政法規の規定あるいは双方の事前の取り決めに違反してその個人情報を処理していることに気付いた場合、情報処理者に速やかに削除を求める権利を有する。

第一千三十八条

情報処理者はその収集し、保存した個人情報を漏えいあるいは改ざんしてはならない;自然人の同意を経ずに、他者に対して不法にその個人情報を提供してはならない、ただし特定個人を識別できず、かつ復元不能な加工を経ている場合を除く。

情報処理者は技術的措置とその他必要な措置を講じ、その収集、保存する個人情報の安全を確保し、情報の漏えい、改ざん、紛失を防止しなければならない;個人情報の漏えい、改ざん、紛失が発生あるいは発生する可能性のある場合、速やかに対応措置を講じ、規定に基づいて自然人に告知するとともに関連主管部門に報告しなければならない。

第一千三十九条

国家機関、行政職能を担当する法定機関およびその職員は職責の履行の過程で知り得た自然人のプライバシーと個人情報に対して、秘密を保護しなければならず、漏えいあるいは他者に不法に提供してはならない。

ここまでが中華人民共和国民法典の中にある個人情報についての規定。

民法典にはこのような原則レベルの規定があり、サイバーセキュリティ法には個人情報処理事業者の重要性別に、講じるべき安全措置や罰則について細かく定められているので、個人情報保護法をわざわざ定めなくても、ガイドラインだけで十分運用できるのでは、という気もする。

GDPRにならってアジア圏でもGDPR的な法律を制定する流れがあるので、国内向けのポーズとしても、乗り遅れないようにしたいのだろうか。

いずれにせよ中国の法律の「自然人の自由」は空文なので…

また、中国の個人情報保護法では、日本法の「個人情報取扱事業者」のように、字面で見るとGDPRprocessorっぽく見える「個人情報処理者」が、じっさいにはcontrollerとして取得した個人情報の管理責任を持っている。

他方では、日本法には存在せず、GDPRには存在する「自動処理による決定」から個人の権利利益の保護する規定を取り入れてみたり、各国の個人情報保護法制のつまみ食いをしている感もある。

法律の専門家でもないのにこんないい加減なブログを書いていいのか、というツッコミが入りそうだが、個人的に所属組織の実務で致命的な間違いを犯さない程度に理解できればよいので、情報の整理のために書いている。

いずれにせよ今回の個人情報保護法も、じっさいの適用は省によって差が大きく、かなり恣意的に行われるに違いないので。

決してこのブログをもとに中国の個人情報保護法制を理解しようとせず、きちんと専門家にご相談ください。