日本セキュリティ・マネジメント学会誌 36 巻, 1 号

個人情報漏洩等の報告の目的の考察と活用の提案

日本において個人情報漏洩等の報告が義務化される。2002 年から漏洩報告義務を順次導入し始めた米国各州法は、なりすましによる経済的犯罪への対応として制定し、本人への通知を重視する。2016 年に成立したEU のGDPR は、監督機関への報告と管理者の体制整備を重視する。このように、目的やアプローチには違いがあるが、米国州法のその後の発展や効果の検証についての先行研究、およびGDPR のガイドラインや運用を検討すれば、共通の目的及び効果が見える。漏洩された本人の二次被害防止が一番の目的でありながら政府に報告させることの意味は、それによる本人通知の促進、セキュリティレベルと組織的対応の向上、政策への反映である。本論文では米国州法及びGDPR の侵害通知の法制度と運用、先行研究を紹介し、これらの分析から、日本における漏洩等の報告の意味と活かし方について提案する。

LEI とvLEI～リアルとデジタルを信頼で繋ぐGlobal法人ID とデジタル資格証明書

各国金融当局により支援・推進されている20 桁の法人番号「LEI（エルイーアイ）」。スイスに本部を置く財団法人「GLEIF(グライフ)」により管理・運営されており、日本では東京証券取引所が発行している。グローバルに統一した基準でデータ品質が保たれる信頼性の高い法人ID は、既に200 を超える国で発行が進み、日本を含むアジアでもこれから発行が本格化する。名刺にあたる顧客の基本情報を各社で更新する無駄が省かれる合理性とその信頼性を背景として、LEI は金融以外のセクターでも活用が議論されている。GLEIF は、更なるデジタル化の進展に対応する新しいサービスとして、LEI とVerifiable Credentials を組み合わせた「vLEI」を発表。デジタルワレットに格納されるデジタル資格証明に、公共財として国際的に信頼ある法人ID「LEI」が加わったことで、信頼の置ける発行者に遡れる資格をデジタルで示すことが可能となる。ヴァーチャルかつ瞬時に処理されるデジタル取引であるからこそ、発行の起点の信頼性が重要であり、LEI との組み合わせに意義がある。

EU におけるトラストサービス関連法規制‐eIDAS及びその改正案eIDAS2.0 -に関する解説

電子署名，タイムスタンプ等のトラストサービスは我が国においても既に広く普及しているが，Society 5.0やDFFT の実現にはトラストを確保する枠組みが大きな役割を担うと考えられており，国内での検討が進められている．トラストサービスはサイバー空間上のトランザクションにおける信頼性を高めるサービスであるが，EU では2014 年に施行されたeIDAS 規則によってトラストサービスに関する包括的な枠組みが一早く整備されている上に，その改正案であるeIDAS2.0 では，更なる対象範囲の拡大と枠組みの強化が提案されている．本稿では，我が国におけるトラストに関する枠組みの検討に資することを目的にeIDAS 規則及びその改正案を先行事例として解説する．eIDAS 規則はEU 加盟国内におけるデジタル単一市場戦略の一部としての側面がある一方で，トラストサービスの法的安定性を確保することでデジタル化と新たなイノベーションの促進を主目的としている．eIDAS 規則の特徴としては，包括的制度であること，各トラストサービスの法的効力を法定していること，トラステッドリストによって自動検証が可能なこと，技術革新に備えたレビューサイクルが定められている事，標準化活動の活用等が挙げられる．eIDAS 規則はその効果について一定評価がある一方で，新しい技術やニーズ，完全なデジタル化の実現に向けては枠組みの更なる強化と拡大が必要と判断されており，改正案であるeIDAS2.0 において新たなトラストサービスとして属性証明や電子台帳，リモート署名が提案されている．