中国広報協会と外資企業協会が合同で中国個人情報保護法プロモーション会議開催(続き)
先日のブログでご紹介した2021/09/18開催の「中華人民共和国個人情報保護法」プロモーション会議で、外資系企業に対する個人情報保護要求の強化について個別に言及があったらしいので補足。
先日のブログ todkm.hatenablog.com
《个人信息保护法》实施在即——企业须履职尽责合规经营 http://www.ce.cn/xwzx/gnsz/gdxw/202109/30/t20210930_36960085.shtml
中国サイバースペース管理局サイバー法治局(国家互联网信息办公室网络法治局)局長・華清氏からは、外資系企業に対するアドバイスとして以下の点が取り上げられたとのこと。
- 個人情報保護を法制度に適合させる作業の完成
- 企業内部の管理制度と業務規則の制定
- セキュリティ技術措置の実施
- 指定した責任者による監督の実施
- 定期的な監査の実施
- 個人情報処理活動の全業務フロー管理の実現
- センシティブ情報に対する特別な注意
- 個人情報を利用した自動的な決定や、個人情報の外部への提供・公開等のハイリスクな活動にかんする事前影響評価の実施
- 個人情報の本人開示や救済義務等の履行
また、個人情報の域外移転については、全国人代常務委員会法制工作委員会経済法室副主任・楊合慶から以下のようなアドバイスがなされたらしい。
- 中国国内に個人情報の域外移転事務に関する代表責任者を設置すること
- 国家サイバースペース管理部門の実施するセキュリティ評価を受けるとともに、専門機構が策定する予定の標準契約(GDPRのSCCにあたる契約)を締結すること
- 域外の個人情報受領者の処理活動が法の規定する保護標準に達していることを保障すること
先日のブログで取り上げた中国サイバースペース管理局サイバー法治局(国家互联网信息办公室网络法治局)自体の記事には、外資系についてここまで詳細な内容が書かれていなかったので、補足としてご紹介した。
法律の内容そのままで、新しいことは何も言っていないが、政府関係者が外資系企業に明確に対応を求めていること自体が重要と思われる。
中国初のデジタルデータ専門法廷が広州市に開設、専門家を参審員に招聘
中国データセキュリティ法関連ニュース。2021/09/26中国のニュースサイト大洋網によると、広州市に全国初のデジタルデータ専門法廷が開設されたとのこと。
そもそも広州市に「広州インターネット法院」なるものが存在するのを知らなかったのだが、そこに中国初のデジタルデータ関連訴訟専門法廷ができるとのこと。
管轄するのは個人データ、企業データ、公共データの収集、保存、使用、加工、伝送、提供、公開、削除などデータ処理とデータセキュリティに関する第一審の審査。
広州インターネット法院は成立すでに3年、仮想通貨、個人情報保護、情報の自己決定権、データ匿名化、データ価格決定など624案件を処理しているとのこと。
今回デジタルデータ係争専門合議法廷を設置するのは、データ産業の発展にともなう司法要求に応え、審議の専門性のレベルを高めるため。(合議法廷とは裁判官1人の単独法廷以外の法廷)
同専門法廷は、政府機関、科学研究機構、大学、ネット関連企業などから、専門家を招いて人民参審員とし、審理中に専門的な尋問の時間を新たに設けるらしい。
地方ごとにバラツキはあると思われるが中国「データセキュリティ法」の具体的な制度化は着実に進んでいるように見える。
Emotetのようにメールのやり取りに割り込んでくるマルウェアに要注意
FortiGuard Labsが2021/09/21、Emotetのように返信メールを悪用するタイプのマルウェアSquirrelwaffle(スクウォーレル・ワッフル)の注意喚起をしているようだ。
メールのリンクをクリックすると、不正なVBAマクロを含むオフィスファイルを圧縮したZIPファイルが外部サーバーからダウンロードされる。
ZIPファイルを解凍してオフィスファイルを開くと、VBScriptファイルが展開され、そのVBScriptが外部サーバーからSquirrelwaffle Loaderというマルウェアをダウンロードする。
現時点でSquirrelwaffle Loaderが悪用する攻撃ツールとして報告されているのはCobaltStrikeとのこと。CobaltStrikeは外部のコマンド&コントロールサーバーと通信して、さらに追加のマルウェアをダウンロードする。
このSquirrelwaffleは、以前のEmotetのように「Replay Chain Technique(リプライ・チェーン・テクニック)」を利用しているとのこと。
これはメールの返信をくり返すことで出来るスレッドに途中から割り込むテクニックで「スレッドハイジャック」とも呼ばれるらしい。
個人的にもビジネスメール詐欺でよく見るパターンだが、タテに延々とつながっている返信の返信のそのまた返信というスレッドの途中から、いつの間にか自社や取引先のメールアドレスが奇妙なドメインのアドレスに入れ替わっていたりする。
攻撃者はスレッドに含まれる送受信者のうち誰かのメールアカウントに不正アクセスし、メールのやりとりの情報を盗み、ある時点で割り込んで来てもっともらしい返信をして受信者をだます。
この「スレッドハイジャック」は何度も見たことがあるが、先方に問い合わせるとほとんどの場合メールアカウントに二要素認証を設定していなかったり、自分が攻撃者のアドレスにメールを送信していることに気づいていなかったりする。
とはいえ自分がだまされる可能性も十分あるので、まず自社のメールアカウントは最低限、二要素認証を必須とし、その上で相手のメールアドレスがヘンなドメインにすり替わっていないか、「スレッドハイジャック」に要注意。
個人情報保護法の施行に関わらず2019/11からスマホアプリの処分は始まっている件
2021/09/23、中国産業情報化部が「サイバーセキュリティ法」「電信条例」「電信インターネットユーザー個人情報保護規定」などに基づき、旅行サービス関連アプリを中心に抜き取り検査をしたところ、52個のアプリが改善を終えておらず、2021/09/29までに改善しなければ処分するとの通知を出した。
「ユーザーの権益を侵害しているアプリに関する通報(2021年第10回、計第19回)」
添付ファイルの中身を見ると、問題となっているのは例えば以下のような点。
- 規則に反した個人情報の収集
- 強制的、頻繁、過度なシステム上の権限の要求
- 範囲を超えた個人情報の収集
- ユーザーを騙して何らかの強制を行ったこと
処罰の対象になっている旅行会社、航空会社などのアプリには、中国国内のAndroidアプリストアだけでなく、AppleのAppStoreで公開されているものもある。
ただ、通知のタイトルに2021年第10回、計第19回とあるように、この種のスマホアプリに対する処分は2019/11から定期的に行われており、2021/11/1施行の「中国個人情報保護法」とは直接関係ない。
こちらがアプリ処分開始の通知。
https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2020/art_ebe83afcca4c430590c1a66cbbac1b21.html
この2019/11の段階ですでに処分の対象となっていた以下のようなことを行うアプリ。
- 個人情報収集の目的、方法、範囲をユーザーの同意取得前に収集する
- サービスに必要な範囲を超えて個人情報を収集する
- 本人の同意を得ずに第三者に個人情報を共有する
- ユーザーへの告知なく、ユーザーの検索、閲覧記録などを元に広告のプッシュ配信をする
- アプリのインストール時にサービスと無関係な権限を要求し、ユーザーが応じない場合はインストールを中止する
- ユーザーが明確に拒否した後も、サービスと無関係な権限を何度も要求する
- ユーザーが特定のサービスや機能をまだ利用し始めていないのに、事前に各種権限を要求する
- アカウント削除の方法を提供しない、または、アカウント削除に対して不合理な障壁を設ける
ということで、個人情報保護法の施行にかかわらず、サイバーセキュリティ―法など既存の法律でスマホアプリの個人情報の不適切な収集などはすでに処分されてきた、というお話でした。
中国個人情報保護法公布後、初の民事訴訟
中国個人情報保護法はこの記事を書いている時点で未施行(施行は2021/11/1)だが、公布後初の個人情報漏えいに関する民事訴訟があったというニュース。
なお筆者は法律の専門家でも何でもないので、このブログの内容はゆめゆめ実務に利用されませぬよう。
http://www.workercn.cn/34055/202109/23/210923044824851.shtml
2020/7、重慶市沙坪坝区にある冷凍倉庫で、エクアドルから輸入した南米白エビの包装が新型コロナウイルスのPCR検査で陽性になったと報じられた。
その2日後、今回の被告である重慶扬啟公司がWeChat公式アカウントで「重慶の輸入白エビ購入顧客名簿」と題して10,979人の消費者の住所、電話番号、氏名、身分証番号などの個人情報を公開したことで、その情報が大量に転載、転送されてしまった。
なぜこんなことをしたのか背景はよく分からないが、これに対して重慶市消費者委員会が不特定多数の消費者の合法的権利利益を守るために代理で民事公益訴訟を起こしたらしい。
注意すべきなのは当事者である消費者の代理で重慶市の消費者委員会が訴訟を起こした点だろう。重慶市消費者委員会いわく「消費民事訴訟は民事公益訴訟の一種で、民事公益訴訟はもっとも突出した特徴をもち、従来の民事訴訟法規則を突破するものだ」とのこと。
もともと中国の民事訴訟には代理人訴訟があるようなので、個人情報に関する民事訴訟でも当事者でなく消費者委員会のような代理人から訴えられる可能性があることは知っておくべきかも。
また記事によれば、重慶市の場合は、2021/7に重慶市消費者委員会と重慶市人民検察院が共同で「消費民事公益訴訟業務を着実な実施を協力して強化するための意見」を公開し、消費民事訴訟について全面的に連携する方針を明らかにしていた、ということもあるらしい。個人情報保護法とは無関係に、消費者代表訴訟については中国でも地域ごとにばらつきがありそう。
今回の訴訟は2021/9/2に重慶市第一中級人民法院で開廷、審議され、被告の会社側が自ら責任を認めたため、被告、原告双方が調停和解合意書にサインし、被告が「公開謝罪書」を提出することで、第一審で解決したようだ。
また調停和解合意書には、合意書の発効後1年間、被告の会社は消費に関する公益についてのPR活動を4回以上企画、制作、公開するよう書かれているとのこと。
1万人以上の個人情報を公開しても、すすんで責任を認めることで謝罪とボランティア活動でおさまっているのは、まだ個人情報保護法の施行前だからなのか、地方による裁量が大きいからなのかはよく分からない。
