個資外洩, 不能河蟹 - 論個資外洩實務規範及處理 學員論著 個資外洩, 不能河蟹 - 論個資外洩實務規範及處理 第 58 期學習司法官吳宜展 * 目 次 ( ) ( )

個資外洩, 不能河蟹 - 論個資外洩實務規範及處理 第 58 期學習司法官吳宜展 * 目 次 ( )99 5 26 56 ( ) 101 10 1 84 104 12 30 6 8 11 15 16 19 20 41 45 53 54 12 105 3 20 Instgram Facebook Apple Pay (Mobile Payment) (Third-Party Payment) 1 * 1 58 603 71

司法新聲 Judicial Aspirations 第 126 期 2 3 Uber 2017 11 21 2016 10 5000 700 Uber 10 Uber Uber 4 JTB 2016 6 793 5 2017 5 36 6 2017 10 2 108 500 7 inhouse (Legal Compliance) 2 3 4 5 6 7 Facebook The New York Times June 8 2013,How the U.S. Uses Technology to Mine More Data More Quickly, http://www.nytimes.com/ 2013/06/09/us/revelations-give-look-at-spy-agencys-wider-reach.html?pagewanted=all&_r=1& V5.0 1 7000 http://www. asahi.com/ business/reuters/crbkcn0z307r.html 2017 5 12 ( 2017 12 15 ) https://udn.com/news/story/6809/2832776 2017 11 22 ( 2017 12 15 ) http://www.asahi.com/business/reuters/crbkcn0z307r.html 2016 6 17 ( 2017 12 15 ) http://www.setn.com/news.aspx?newsid=255550 2017 5 23 ( 2017 12 15 ) http://news.ltn.com.tw/news/society/breakingnews/2222342 2017 10 14 ( 2017 12 15 ) 72 法務部司法官學院

18 27 48 12 73

司法新聲 Judicial Aspirations 第 126 期 file server 6 6 6 74 法務部司法官學院

6 1 5 1. 2. (1) ( TPIPAS BSI TPIPAS ) (2) (3) 3. 1. 75

司法新聲 Judicial Aspirations 第 126 期 2. (access) ( IP ) ( IP ) IT 1. 2. 8 1. 4 7 8 28 10 2016 10 15 13-19 76 法務部司法官學院

Amazon EC2 Google Cloud Platform GCP Microsoft Azure 2. 9 (1) 9 1 8 4 7 (2) 8 4 7 (3) 77

司法新聲 Judicial Aspirations 第 126 期 3 9 8 1 5 ( ) ( ) 4 7 12 22 1. 12 9 SQL injection IT 9 10603503230 12 78 法務部司法官學院

SQL Injection 1 2. 22 2 10 ( ) (1) (2) (3) (4) (5) (6) (7) (8) (9) JTB 11 (1) (2) (3) (4) JTB (California Office of Privacy Protection) 10 California Office of Privacy Protection, Recommended Practices on Notice of Security Breach Involving Personal Information, Rev.January 2012, 8-14 11 rocketnews24 https://rocketnews24.com/2016/06/14/761411/ 2016 6 14 ( 2017 12 15 ) 79

司法新聲 Judicial Aspirations 第 126 期 10502506140 27 3. 12 27 20 ( ) 12 6 27 13 104 2 10 14 27 12 2015 11 149-260 13 27 3 2013 8 146-152 14 104 2 16 1040125073 80 法務部司法官學院

4. (1) 22 1 1 表 1: 適適當通知方式評估 ( ) 1. 2. 3. 4. 1. 2. 1. 2. 1. 2. 3. 4. 81

司法新聲 Judicial Aspirations 第 126 期 (2) 95 1 ( 58 715 ) ( ) ( ) ( 86 628 ) 2 2 7 2 1 5. 82 法務部司法官學院

1 2 圖 1 通知作業流程圖 83

司法新聲 Judicial Aspirations 第 126 期 圖 2 通知作業時程規畫 11 3 84 法務部司法官學院

11 3 21 (data mining) 28 1 4 85

司法新聲 Judicial Aspirations 第 126 期 29 27 12 2 29 28 29 28 2 5 (1 ~3 ) (4 ~7 ) 86 法務部司法官學院

(omibus) 15 ( ) (1) (2) (3) ( ) 16 USB (hard copy) (copy driver) log 17 (1) (2) (3) (4) (1) (2) (3) 15 個人情報保護法の逐条解説 2016 11 25 26-28 16 田中克幸 大塚和成 竹內朗 鶴巻暁, 個人情報流出対応にみる実践的リスクマネジメント ( 別冊 NBL (No.107)), 商事法務,2006 2 7-9 17 稲 個人情報保護法と企業対応 2003 10 25 74-76 87

司法新聲 Judicial Aspirations 第 126 期 (4) (5) 18 22 1 (1) (2) (3) (4) (5) (guideline) 22 1 22 2 19 20 22 20 20 ( ) ( http:// www. kyotonews.org/uji-juki/index.html) 18 田中克幸 大塚和成 竹內朗 鶴巻暁, 個人情報流出対応にみる実践的リスクマネジメント ( 別冊 NBL (No.107)), 商事法務,2006 2 7-9 19 田中克幸 大塚和成 竹內朗 鶴巻暁, 個人情報流出対応にみる実践的リスクマネジメント ( 別冊 NBL (No.107)) 2006 2 19-21 20 稲垣隆一, 個人情報保護法と企業対応, 清文社 2003 10 25 71-81 88 法務部司法官學院

1 21 13 1997 2 12 1991 9 26 32 34 2002 21 田中克幸 大塚和成 竹內朗 鶴巻暁, 個人情報流出対応にみる実践的リスクマネジメント ( 別冊 NBL (No.107)) 2006 2 55 89

司法新聲 Judicial Aspirations 第 126 期 6 19 26 ( http:// www.mizuho- co.jp/release/2002/news/ news_ 020619_1.html) 4 2016 4 27 GDPR EU General Data Protection Regulation GDPR 2016 5 25 2 2018 5 25 5 GDPR Personally Identifiable Information PII Cookie IP (Data Controller) Data Processor 72 Data Protection Authority 2 7.2 4 22 GDPR 2010 12 GDPR 22 Home Page of EUGDPR https://www.eugdpr.org/key-changes.html 2017 12 15 90 法務部司法官學院

23 California Office of Privacy Protection, Recommended Practices on Notice of Security Breach Involving Personal Information, Rev.January 2012, 8-14. 説 2016 11 25 26-28 巻暁 対応にみる実践的リスクマネジメント ( NBL (No.107)) 2006 2 7-23 稲 個人情報保護法と企業対応, 清文社 2003 10 25 71-81 28 10 2016 10 15 13-19 27 3 2013 8 146-152 2013 10 22 14-21 2015 11 149-260 2016 12 30 169-170 23 2016 12 30 169-170 91