PIPEDA - 個人情報保護及び電子文書法

PIPEDAとは

2000年4月13日に王室承認され、カナダの個人情報保護及び電子文書法（PIPEDA）は2001年1月1日に施行されました。2004年1月1日には完全に適用されました。

カナダのPIPEDAのおかげで、企業はデジタル時代において世界規模で競争しつつ、顧客のプライバシーを守ることができます。法律は5年ごとに見直され、その目的である個人の情報保護が維持されているか確認されます。

事実や個性的な情報など、個人を識別できるすべての情報は個人情報とみなされます。

PIPEDAの適用対象

主に取引目的で個人情報を扱うカナダ国内の企業が対象です。

カナダのプライバシーコミッショナーは、どこにプライバシーに関する問題を報告すべきか判断するための便利なツールを提供しています。さらに、企業向けのプライバシー法概要も用意されています。

PIPEDAの対象外は誰か?

カナダの情報担当者によると、州レベルで規制される企業や、同様のプライバシー法が存在する事業には適用されない可能性があります。ケベック州、ブリティッシュコロンビア州、アルバータ州、そしてオンタリオ州、ニューブランズウィック州、ノバスコシア州、ニューファンドランド・ラブラドル州では同一の規則が適用されています。

アルバータ州とブリティッシュコロンビア州では、PIPAはPIPEDAに相当します。

この法律は、州を越える取引や、投資、放送、物流などの連邦管理の企業、さらにFWUBsを含む組織に適用されます：

• 銀行
• 放送事業者
• 州間トラック輸送
• 空港／航空会社
• 水上輸送
• インターネット、ケーブル、電話会社
• 国境を越える鉄道、海路、パイプライン、フェリー等

PIPEDAの10のプライバシー原則

本法律の別表1に定められ、適正なデータ利用ルールとされる10項目の指針：

1. 責任

組織は管理下にある個人情報に責任を持ち、第三者へ送信する敏感な情報も含め、法令遵守の責任者を任命する必要があります。

2. 目的の特定

個人情報を収集する際、またはその前に、収集する目的を明確にする必要があります。

3. 同意

個人情報の収集、利用、開示には、原則として本人の同意が必要ですが、適切でない場合は例外とされます。

4. 収集の制限

提示された目的達成に必要な個人情報のみを収集し、適切かつ合法的な方法で行わなければなりません。

5. アクセス、共有および保存の制限

収集目的以外での利用や共有は行わず、本人の同意や法律で認められた場合を除きます。また、目的達成に必要な期間を超えて情報を保持してはなりません。

6. 正確性

使用目的に必要な範囲で、個人情報は正確、完全、且つ最新の状態でなければなりません。

7. 安全措置

機密情報は、その漏洩リスクに見合った方法で守られる必要があります。

8. 透明性

企業は、個人情報の取り扱い方法について、分かりやすい情報を提供しなければなりません。

9. 本人のアクセス

要求があれば、保有する個人情報の内容、利用状況、開示状況を知らせ、情報へのアクセスを認める必要があります。情報の正確性や完全性に対して異議を申し立てることも可能です。

10. 遵守への異議

組織の上記原則への遵守について、責任者に対して異議申し立てができる体制を整える必要があります。

‍

PIPEDAは機密情報をどう守るか

PIPEDAには、機微な個人情報を守るための3種類の保護策が規定されています。

• 物理的対策

企業の物理的対策は、無関係な者が機密情報にアクセスすることを防ぐため、監視カメラ、施錠されたオフィス、内部または外部のデータセンターでのIT業務などを含む場合があります。

• 組織的対策

これらの対策は、企業が機密情報を安全に管理するためのルールや手順に関わるものです。従業員へのプライバシー教育も重要であり、不正に機密情報にアクセスした内部関係者は調査されます。

• 技術的対策

情報を守るために取れる専門的な措置として、データの暗号化、ユーザー活動の管理と記録、そしてネットワークやシステムへの無断アクセスを防ぐ強固なファイアウォールの設置が挙げられます。

‍

PIPEDAにおける個人情報とは

個人を識別できる情報はPIPEDAにおいて個人情報とみなされます。識別データには以下のものが含まれます：

• 名前
• 年齢
• 年齢
• 収入
• 人種／国籍
• 民族
• 血液型
• 血液型
• 服用中の薬
• 学歴
• 職歴情報
• 社会保障番号
• 運転免許証番号
• 意見
• 評価
• コメント
• 懲戒情報
• 従業員ファイル
• ローン履歴
• 健康情報
• 消費者と商人の紛争
• 動機

PIPEDAで個人情報とならないものは

個人情報に該当しない情報の例は以下の通りです：

• 個人に関する曖昧または弱い情報（例：広域を示す郵便番号のみ）
• 企業情報
• 個人と特定できない匿名データ
• 公務員の名前、役職、肩書
• 業務連絡用に企業が収集・利用・公開する連絡先情報
• 国の記録；政府情報は要求されることがあり、個人情報とはみなされません
• プライバシー法対象の国内機関が保有する機密資料

PIPEDA vs. HIPAA vs. GDPR

カナダ、米国、及び欧州連合（EU）では、個人情報の漏洩や公開に対する不安を和らげるための法律が制定されています。これらの法律は、個人の重要な情報を守るという共通の目的を持つものの、提供される保護策やその実施方法には大きな違いがあります。

1. 共通点

いずれのプライバシー法も、機微な個人情報を守ることを目的としています。

• PIPEDAは医療情報、金融データ、直接の識別情報など、幅広い機密情報を守ります。
• HIPAAは、個人の健康記録（PHI）の秘密保持に重きを置きます。
• GDPRは、名前、住所、IPアドレス、クッキーデータなど、個人を特定できる情報を守るとともに、人種や宗教などの機微な情報も対象とします。PIPEDAやHIPAAとは異なり、より広範な保護がなされています。

各法律の下で、企業は個人を特定できる情報を守るための予防措置を講じる必要があります。

• PIPEDAでは、企業に対し物理的、組織的、技術的な対策の実施が求められます。
• HIPAAは、PHIを守るための管理的、技術的、物理的対策を義務付けています。
• GDPRは、全ての個人情報について適切な組織的対策の導入を求め、特に無断アクセスの防止に重点を置いています。

2. 相違点

これら3つのプライバシー法は同一ではなく、違反した場合にはそれぞれ異なる罰則が科せられる可能性があります。

• PIPEDA：1件あたり最大10万CADドルの罰金
• HIPAA：違反に対する罰金は年間0～150万ドルで、重大な場合は最高額となる
• GDPR：違反の場合、最大で2000万ユーロまたは企業の年間全世界収益の4%のいずれか高い方の罰金が科せられる

各個人の権利は、その時点で適用される具体的な規則に依存します。

• PIPEDAでは、顧客は自身の個人情報を確認・更新することが可能です。
• HIPAAでは、患者は組織が保有するPHIの確認ができます。
• GDPRでは、個人情報の閲覧や削除を求めることが認められています。

‍

PIPEDAのデータ漏洩通知要件

PIPEDA対象の企業が、個人に大きな被害を及ぼす高リスクな個人情報の盗難または漏洩を発見した場合、2018年11月1日までにOPCおよび影響を受けた個人へ通知する必要があります。OPCは、被害を「身体的損傷、屈辱、社会的地位や取引への損害、雇用喪失、商業もしくは専門的展望の喪失、金銭的損失、個人情報の窃盗、信用記録への悪影響、財産の損傷または価値の減少」と定義しています。

カナダのプライバシーコミッショナーは、企業が収集する情報の脆弱性や、漏洩後の利用方法について十分に考慮するよう勧告しています。漏洩がサイバー攻撃によるものであったか、また情報が暗号化や匿名化されていたかも重要な検討事項です。

これらの新規定を含むデジタルプライバシー法は、2015年に制定されました。

企業は、プライバシーコミッショナーへの通知の有無にかかわらず、すべてのセキュリティ侵害に関する記録を2年間保存する義務があります。

PIPEDAでは、安全違反とは、同法別表1の4.7項に記載される企業のプライバシー保護が破られるか、または対策が講じられなかった結果として発生する個人情報の損傷、不正アクセス、または不法な開示を指します。

‍

PIPEDA準拠を実現するには

企業はPIPEDAに準拠するため、個人情報を守る体制を整える必要があります。PIPEDA要件を満たす方法は主に2通りあります。

1. 自社内での対応

• 自社のリソースで体制を構築すれば、顧客の個人情報の安全性に対する管理が強化されます。
• 新たな環境のために新規ハードウェアに投資するのは、費用がかかる場合があります。
• PIPEDA準拠の体制を実施・維持するにあたり、中小企業ではリソースや人手が不足することがあります。

2. サードパーティのクラウドサービス活用

• クラウドホスティングは必要なコンピューティング基盤を提供するため、初期投資を抑えることができます。
• 信頼できる専門家の支援により、データ漏洩やPIPEDAが求めるプライバシー対策違反のリスクを低減できます。
• クラウド利用により、季節的あるいは周期的な顧客需要に合わせて、迅速に対応容量の増減が可能です。

‍

非準拠時の罰則

違反に対しては、主に2種類の制裁が科される可能性があります：

• 金銭的罰則：2018年のPIPEDA改正により、サイバーセキュリティ違反に対して、1件につき最大10万CADドルの罰金が科される場合があります。
• 不評：適切な対策が講じられていない企業は、顧客からの信頼を失う可能性があります。

PIPEDA準拠チェックリスト

このチェックリストは、企業がPIPEDAに準拠しているか確認するためのものです。

1. PIPEDAの対象かどうか確認する。商用目的で個人情報を扱う場合は適用されるはずです。
2. PIPEDA準拠の基本を理解する。
3. 企業の法令遵守を確認するため、PIPEDA準拠担当者を任命する。
4. PIPEDA基準を満たす明確な社内ガイドラインを策定する。
5. 顧客に対する取り組みを示すプライバシーポリシーを作成する。
6. どの個人情報を、いつ、誰から収集し、どのように利用するか、また処分するかを記録する。
7. 情報の利用方法や、更新・削除の方法について説明する。

Wallarmはデータ漏洩やハッキングをどう防ぐか

API向けのほか、ウェブアプリ、ソフトウェアの設計手法、クラウドネイティブ環境でのクラウドコンピューティング実行モデルにおいて、WallarmのAPIセキュリティソリューションは包括的な守りを提供します。多数のDevOpsチームがWallarmを利用しており、企業のウェブアプリやAPIエンドポイント、トラフィック、機微なデータ利用状況を完全に把握し、全APIリポジトリを新たな脅威から守るとともに、機械的なインシデント復旧を可能にすることで、より効果的なリスク管理に寄与しています。完全なクラウドネイティブ技術は、各種クラウドやKubernetes環境に展開可能です。