日本2011年個人資料外洩事件及事故的件數比前年減少為1551件,但洩漏的個人資料筆數卻超過前年一成以上,約有600萬筆個人資料外洩。從數字來看預估的賠償金額是超過1900億日幣。
日本網路資安協會(JNSA)與資訊安全大學研究所的原田研究室及廣松研究室共同針對報紙集網路媒體所報導的個人資料外洩相關事件及事故所進行的調查所做的結論。
新力集團旗下的海外公司雖然發生合計超過1億筆的大規模個人資料外洩的意外,但此一事故並無法明確判別是否屬於個人資料保護法的適用範圍,因此從今年的調查對象裡排除。
在2011年發生的資料外洩事件有1551件,比起前年的1679件減少128件,大約跟2009年所發生的個人資料外洩差不多水準。外洩的個人資料筆數總計約628萬4363筆,與前年相較約增加70萬筆。平均1件約洩漏4238筆個人資料。
將事故原因以件數為基礎來分析,可以發現「操作錯誤」佔全體的34.8%為第一位,其次是「管理過失」佔32%,再接下來是「遺失、忘記帶走」佔13.7%。但以筆數來看,值得注意的是「管理過失」佔37.7%最多,但「操作錯誤」就僅有佔2.3%的少數。
再以佔全體事件件數5%的「違法攜出」就佔了全體筆數的26.9%;在佔全體件數僅有1.2%的「違法存取」卻在筆數佔了20.9%,可以看到平均每一件的受害筆數有開始膨脹的傾向。
再者從發生外洩原因的儲存媒體來看,紙本佔了以件數計算的68.7%的大多數,以USB記憶體為首的外接式記憶體佔了10.1%;但以筆數計算的話,外接式記憶體佔了59.1%、網路佔了25.5%的不同的發生傾向。
從大規模意外來看,金融機關與保險業界是最值得注意,前10件裡佔了7件。從發生原因來看,「違法攜出」及「內部犯罪」所造成的事故10件中有4件,其次是「管理過失」。規模最大的是山陰合同銀行的受委託人將業務所需的165萬7131件個人資料攜出的事故。
依據2011年所發生的事件及事故的預估賠償額是1899億7379萬日幣。遠超過前年的1215億7600萬日幣。平均一起事件預估損害賠償金額有1億2810萬日幣,每人平均預估賠償金額是4萬8533日幣。
日本於2021年5月19日公布新修正之《個人資料保護法》(個人情報の保護に関する法律),並預計於2022年4月正式施行。修法重點如下: 一、法律形式及法律管轄一元化:現行日本個人資料保護法制依適用對象分為《個人資料保護法》、《行政機關個人資料保護法》(法律行政機関の保有する個人情報の保護に関する法律)、《獨立行政法人等個人資料保護法》(独立行政法人等の保有する個人情報の保護に関する法律)及各地方政府個人資料保護條例等不同規範,修法後將統一適用《個人資料保護法》,並受到個人資料保護委員會之監督管理。 二、整合醫療及學術領域之規範:目前醫療及學術機構因隸屬於公部門或私部門適用不同規範,修法後無論公私立醫院、大學等原則上均適用相同規範。 三、調整學術研究之豁免規定:基於學術研究自由為憲法保障之基本權,現行《個人資料保護法》明文規定學術研究一律排除適用本法規定,惟2019年日本取得《歐盟一般資料保護規則》(GDPR)適足性認定之範圍未包含學術研究,故修法調整豁免規定為例外情形排除適用,如變更利用目的、取得敏感性個人資料及提供予第三者之情形。 四、整合個人資料及匿名化資料之定義:修法將公部門與私部門對個人資料之定義,整合為包含「易於」與其他資料比對後得以識別特定個人之要件。而《行政機關個人資料保護法》所稱「去識別化資料」(非識別加工情報),與《個人資料保護法》所稱「匿名化資料」(匿名加工情報),修法後將統一稱為「匿名化資料」。 為銜接上述修法內容,日本個人資料保護委員會自2021年8月起陸續針對《個人資料保護法施行令》、《個人資料保護法施行規則》及個人資料保護法相關指引公開徵求意見,後續值得持續觀察日本個人資料保護法制發展。
猴子自拍照著作權爭議;美國法院:動物無法擁有著作權2015年1月6日,美國聯邦地區法官裁定,猴子用照相機自拍,猴子無法取得自拍照的著作權。 英國攝影師Slater在四年前,讓黑冠猴Naruto使用其相機,成功的拍出了罕見的黑冠猴自拍照;而攝影師Slater後來把這些自拍照收錄在出版書中,並同時在網路上公開,並獲得廣大迴響。但之後維基百科(Wikipedia)收進免費圖片資源中,供大眾免費下載使用,Slater認為則認為這些照片的著作權已經被英國官方認可屬於Slater所開設的公司,此認可應適用於全世界。惟美國著作權局在2014年最新政策中,認為著作權登記僅適用「人類作品」,據此Naruto之自拍照並不受著作權保障。 而善待動物組織PETA(People for the Ethical Treatment of Animals)組織也加入了著作權爭奪戰局,其認為由Naruto所拍攝自拍照,其著作權應屬於Naruto,但由於Naruto不懂如何行使權利,故由PETA代為管理著作權,相關收益均會用於保護黑冠猴,並且向舊金山聯邦法院提出告訴。美國聯邦法院則在2016年1月6日判決,目前著作權法仍未將保護範圍擴張至動物作品上,故Naruto並未擁有該自拍照著作權,自無PETA代掌著作權可能;PETA接獲判決後表示會提出上訴。
美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障美國國家衛生資訊科技協調辦公室(The Office of the National Coordination for Health Information Technology, ONC)於2020年5月公告的「資訊封鎖最終規則(Information Blocking Final Rule)」,於2021年4月5日正式生效。 ONC依21世紀醫療法(21st Century Cure Act)授權,制定有「21世紀醫療法:協同操作性、資訊封鎖與ONC健康IT認證計畫」(21st Century Cures Act: Interoperability, Information Blocking, and the ONC Health IT Certification Program)最終規則,包含各面向關於新興醫療IT技術之規範,其中特別針對資訊封鎖的相關條文,又稱為「資訊封鎖最終規則」。 21世紀醫療法為了確保病患資料近用權利,在法條中明定禁止資訊封鎖行為。「資訊封鎖」,根據資訊封鎖最終規則的定義,是指健康照護業者或健康資訊技術廠商,包括受認證的健康資訊技術(health IT)、健康資料交換 (health information exchange)或健康資料網絡(health information network),在欠缺法律授權或非屬美國公共衛生服務部(Health and Human Service, HHS)認定合理且必要的情況下,所為之干擾、防止或嚴重阻礙電子健康資料(Electronic Health Information, EHI)獲取、交換及使用行為。但以下八種情況,不適用資訊封鎖最終規則:預防傷害(Preventing Harm)、隱私(Privacy)、安全(Security)、不可行性(Infeasibility) 健康IT性能(Health IT Performance)、內容與方式(Content and Manner)、費用(Fees)、授權(Licensing)。 21世紀醫療法在資訊封鎖章節中規定,資訊封鎖相關條文在資訊封鎖例外類型被定義出來後,始生效力。換言之,在資訊封鎖最終規則生效後,病患將有權依法近用其電子健康資料,資料持有者原則上不得拒絕。值得注意的是,資訊封鎖最終規則生效後至2022年10月6日止,適用資訊封鎖條文的電子健康資料範圍,係以美國協同操作核心資料(United States Core Data for Interoperability, USCDI)中所定義之電子健康資料為準。USCDI,是由ONC主導建立的一套資料標準格式,以統一健康資料交換格式,促進資料流通。2022年10月6日起,資訊封鎖最終規則所指的電子健康資料範圍將不僅只局限於USCDI標準所定義之電子健康資料,將擴及健康保險流通與責任法(Health Insurance Portability and Accountability Act, HIPAA)所定義的所有電子健康資料。
日本總務省公布AI運用原則草案日本總務省於2016年10月起召開AI聯網社會推進會議(AIネットワーク社会推進会議),該會議於2018年7月17日公布「報告書2018─邁向促進AI運用及AI聯網化健全發展」(報告書2018-AIの利活用の促進及びAIネットワーク化の健全な進展に向けて-),提出「AI應用原則草案」(AI利活用原則案)。 「AI應用原則草案」制定目的在於促進AI開發及運用,藉由AI聯網環境健全發展,實現以人為中心之「智連社會」(Wisdom Network Society:WINS),其規範主體包括︰AI系統利用者、AI服務提供者、最終利用者(以利用AI系統和服務為業)、AI網路服務提供者、離線AI服務提供者、商業利用者、消費者利用者、間接利用者、資料提供者、第三者和開發者;草案內並根據上開規範對象間關係,整理各種AI運用情境,最終提出「適當利用」、「適當學習」、「合作」、「安全」、「資安」、「隱私」、「尊嚴自律」、「公平性」、「透明性」、「歸責」等十大AI應用原則。總務省表示將持續檢討完善AI應用原則草案細節,以「利用手冊」等形式公布,提供民眾參考。 行政院於2018年初推出「台灣AI行動計畫」,將整合5+2創新產業方案,由相關部會協助發展100個以上的AI應用解決方案,日本總務省所整理之AI應用情境與研提之應用原則,或可作為我國未來推動AI發展之參考。