物聯網服務中收集的數據利用與法律上的問題
近年來,像是智慧家電這樣的IoT裝置已經逐漸進入家庭之中。雖然它們非常便利,但由於連接到互聯網,也使得這些裝置面臨著資訊洩露的風險。在開始IoT業務時,除了要確保作為生活家電的安全性之外,也必須重視能夠抵抗網絡攻擊的網絡安全管理,這是一個重要的課題。
若觀察國內情況,個人資訊洩露問題已經變得相當嚴重。東京商工調查報告指出,在2021年,上市公司發生的個人資訊洩露及遺失事故達到了歷史最高的137起,影響了約574萬人。
本文將解説在利用IoT服務所收集的數據時,為了安全地使用這些數據,您需要了解的相關法律規範。
關於物聯網業務的法規制
物聯網(IoT)是「Internet of Things」的縮寫,直譯為「物的互聯網」。換言之,它指的是將本所日常使用的物品連接到互聯網,通過遠程操作、自動識別和自動控制功能,從而使生活更加便利的系統和服務。
在家電硬件方面,由於直接影響使用者的身體健康,因此受到嚴格的規制。
在軟件方面,根據規範通信網絡的日本《電波法》和《電信業法》,從事業務需要進行登記或報備。
關於物聯網硬件和軟件方面的法規制,本文將進行詳細解說,敬請參閱。
在物聯網業務中,將傳統設備連接到互聯網並利用收集的信息是其特點。因此,除了硬件和軟件的法規制之外,如何處理積累的信息也成為一個重要問題。
關於物聯網取得數據的法律問題點
物聯網裝置可能會在不經意間積累和使用使用者的生活數據,這潛藏著風險。
即使使用者在註冊時已同意個人信息的利用,但由於物聯網的特性,每次使用都會收集行為信息,因此會引發以下問題:
- 個人信息保護
- 隱私保護
- 對抗網絡攻擊
本文將解釋這些物聯網裝置所涵蓋的法律問題。
物聯網與個人資訊
並非所有物聯網裝置所收集的數據都會單獨成為個人資訊的保護對象。當用戶註冊資料與生活資訊的數據相關聯,從而能夠識別個人時,該資訊將成為《日本個人資訊保護法》的保護範疇。
因此,提供將生活數據與用戶資訊相關聯的智慧家居服務的事業者,將按照《日本個人資訊保護法》第2條第5項[ja]承擔以下義務:
<《日本個人資訊保護法》第19條~第26條的義務>
- 確保數據的準確性及刪除義務
- 安全管理措施義務
- 監督員工的義務
- 監督委託方的義務
- 限制向第三方提供及記錄保存義務
在處理個人資訊時,必須盡可能明確使用目的,並將該目的通知或公開給本人。當不再需要使用個人資訊時,應迅速進行處理。此外,對於資訊洩露,必須採取極度謹慎的措施,並要求員工和委託方也必須嚴格執行。
基本上,提供給第三方的個人資訊是受到限制的。然而,為了提升服務質量,有時也需要向第三方提供資訊。在這種情況下,必須對原始個人資訊進行匿名化處理,以至於無法恢復原狀。
此外,在2022年4月(令和4年)實施的《日本個人資訊保護法》修正案中,除了加強本人權利保護和增加事業者的責任外,還新設了對外國事業者的第三方提供規定。
該修正案中,個人資訊保護委員會重視的五個視點如下:
- 保護個人的權利利益
- 保護與利用的平衡
- 與國際潮流的協調
- 應對外國事業者風險變化
- 適應AI與大數據時代
物聯網與隱私權
即使收集的生活數據不屬於個人資訊,生活信息仍可能連結到個人行為的掌握,因此需要謹慎處理。例如,電力、燃氣等使用時段的信息一旦外洩,可能會被用於空屋入侵等犯罪活動。
另一方面,為了提升智慧家居服務的品質,必須掌握並利用個人的行為信息。在保護隱私的同時,為了將個人數據用於服務改善,即使數據不屬於個人資訊,也應按照《日本個人資訊保護法》進行相應的處理。
物聯網與網絡安全
物聯網(IoT)業務依賴於收集、管理和使用可能侵犯個人資料和隱私權的信息來維持其運作,並且正是這些活動推動了其進步。由於信息是透過互聯網來積累和管理的,因此對連接網絡的設備進行網絡安全防護措施是不可或缺的。
下文將解釋應提前採取的網絡安全防護措施,以及在實際遭受網絡攻擊時應承擔的責任。
裝置製造商的責任:製造物責任法
當IoT裝置遭受網絡攻擊時,裝置製造商可能會面臨基於《日本製造物責任法》的損害賠償請求。
《日本製造物責任法》上的責任發生基準如下:
- 製造物存在缺陷
- 該缺陷侵害了他人的生命、身體或財產
- 造成了損害
上述第1點中的「缺陷」指的是「通常應具備的安全性」不足的狀態,可分為製造上的缺陷、設計上的缺陷以及指示或警告上的缺陷。
實際遭受網絡攻擊時,製造商是否承擔責任,將根據以下情況判斷:
- 交付時是否滿足了當時預期的技術水準
- 是否符合公開的最新指南或自主標準
裝置製造商如果能證明存在缺陷的事實是無法被察覺的,則可以避免責任。然而,必須證明即使按照交付當時的最高技術水準,也無法識別出缺陷,因此實際被認定的可能性是較低的。
網絡管理員的責任:民法
當網絡遭受網絡攻擊並導致資訊洩露等事件發生時,根據民法而非產品責任法,可能會因以下原因而面臨損害賠償的要求:
- 網絡管理員與用戶之間的合約違反
- 網絡管理員違反安全措施義務導致的債務不履行
- 網絡管理員因疏忽導致的侵權行為責任(民法第709條)
在這些原因中,網絡管理員是否「忽略了應採取的安全措施」將成為爭議的焦點。
此外,「應採取的安全措施」不僅指合約時期的標準措施,還包括在網絡攻擊發生時應遵循公開指南的措施,這一點已有判例指出(東京地方裁判所平成26年(2014年)1月23日判決)。
因此,網絡管理員需要持續掌握重要指南的更新資訊,並在必要時更新軟體。
<當前的資訊安全指南>
- IoT安全指南ver1.0[ja]|經濟產業省
- 安全的IoT系統的一般性安全框架[ja]|NISC
- IoT開發中的安全設計指南[ja]|IPA
相關文章:網絡攻擊造成損害。系統供應商的損害賠償責任是什麼?合約書記載範例解析[ja]
總結:IoT商業需要專業的法律理解
IoT商業的本質在於透過互聯網收集並利用使用者的個人資訊和隱私資料來推動進步。
因此,事業者不僅要承擔家電製造商的產品責任,還必須關注個人資訊保護法和資訊安全指南的更新,以履行處理個人資訊事業者的責任。
一旦產品發生事故,不僅可能影響使用者的身體健康,資訊洩露還可能導致損害向不特定多數人擴散。
在開始IoT商業時,從產品責任法到個人資訊保護法,再到最新的資訊安全指南,諮詢具有廣泛專業知識的律師至關重要。
本所提供的對策介紹
Monolith法律事務所是一家在IT領域,特別是互聯網和法律方面擁有豐富經驗的律師事務所。近年來,物聯網(IoT)業務受到廣泛關注,對法律審查的需求也日益增加。本所提供針對物聯網業務的解決方案服務。
Monolith法律事務所的業務範圍:IT及新創公司的公司法務[ja]