プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

個人情報保護法

このエントリーをはてなブックマークに追加 Clip to Evernote
公益通報
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

個人情報保護委員会が、個人情報の取扱いに関する公益通報窓口を開設したとWebサイト上で発表しました。

2004年に定められた公益通報者保護法において、労働者が業務上知りえた違法行為に関して、社内外に通報したとしても、一定の条件を満たしている場合には不利益を一切受けないこととされました。

今回の個人情報保護委員会の公益通報窓口の開設は、個人情報保護法やマイナンバー法を管轄する行政機関として、公益通報を受け付ける体制を整備したものと言えます。

●公益通報の方法

(郵送の場合)
〒100-0013
東京都千代田区霞ヶ関3-2-1
霞が関コモンゲート西館32階
個人情報保護委員会事務局総務課宛
※「公益通報」と明記する

(電子メールの場合)
kojyoui_tsuuhou@ppc.go.jp
※添付ファイルは不可

(FAXの場合)
個人情報保護委員会事務局総務課宛
FAX:03-3593-7962
※「公益通報」と明記する

https://www.ppc.go.jp/application/internalreport/

(私のコメント)
今後、個人情報の流出事件・事故などが発生した場合に、会社がしっかりとした対応を取らない場合に、内部の関係者が個人情報保護員会に公益通報するケースが出てきそうですね。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote
EU_JP
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

つい先日、「GDPR全面施行の一方で、日本が国レベルでEUの十分性認定を得ることが現実的に」という記事を掲載したばかりですが、日本とEUの間での話し合いに大きな進展が出てきたようです。

5月31日に、個人情報保護委員会の熊澤委員と欧州委員会のヨウロバー委員が日本で会談し、日EU間の個人データ移転に関して、可能な限り早期に、日本とEUの双方が、互いに個人情報の取扱いに関する「十分性認定」を行うことで、基本的な合意に達したとのことです。

EU側が、新しい個人情報保護法制「GDPR」において「十分性認定」という考え方を採用しており、EUと同様の個人情報保護法制を取っている場合に限り国単位で十分性を認定し、EU居住者の個人情報を持ち出す場合に、本人の同意がなくても可能としていることを前回の記事で書きました。

一方で、日本も2017年に施行された改正個人情報保護法において、同様の「十分性認定」の考え方を採用しており、日本居住者の個人情報を持ちだす場合には同様の規制があります。

今回は、日本とEUの間で、相互にこの「十分性認定」を行う方向で作業を進めていくことが合意されたということです。

https://www.ppc.go.jp/enforcement/cooperation/cooperation/300531/

(関連記事)
GDPR全面施行の一方で、日本が国レベルでEUの十分性認定を得ることが現実的に
http://www.pmarknews.info/kojin_joho_hogo_ho/52073729.html
EUの新しい個人情報保護規則「GDPR」が5月25日に施行〜個人情報保護委員会によるまとめのご紹介〜
http://www.pmarknews.info/kojin_joho_hogo_ho/52073485.html

(私のコメント)
前の記事を書いたその日に実は会談が行われていたということで、タイミングが良すぎたなと思いました。EUからの個人情報の移転ばかりが気にされていますが、日本からの個人情報の移転も同じく気にするべきだなと思った次第です。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
28
(画面はガイドライン案の表紙です)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

EUにおける新しい個人情報保護法制「GDPR(一般データ保護規則)」が5月25日から施行され、EU居住者の個人情報を取り扱う企業に対策が求められていることについて、マスコミでも多く報道されており、関心をお持ちの方も多いと思います。

これに関して、興味深い動きがありますので、情報共有したいと思います。それは、日本が国レベルでのEUから「十分性認定」を受けられることがほぼ現実的になってきたということです。

以下、もう少し詳細にご説明しますね。

EU(欧州連合)は、他地域にさきがけ、個人情報保護法制を整備してきました。その中で「EU居住者の個人情報を持ち出す時には一定の条件が必要」としてきました。

その条件を分かりやすく集約すると
(1)持ち出す先の国がEUと同程度の厳しさの個人情報保護法制を持っていること
(2)持ち出す先の外国の事業者が一定のルールに基づいて体制を整備すること
(3)本人が明確に同意していること など
となります。

上記(1)の認定を国レベルで受けることを「十分性認定」と言います。国レベルで十分性認定を受けると、その国の企業は特別な手続きをせずにEUの居住者の個人情報を持ちだせるようになります。しかし、現在まで日本はこの十分性認定を受けていなかったため、企業単位で(2)の対応を行ってきていました。

昨年施行された日本の改正個人情報保護法は、EUの十分性認定を受けることを目標としていました。一方でEU側でも改正個人情報保護法制「GDPR」の施行がありました。この両者の整合性を取るべく、日本の個人情報保護委員会とEUの欧州委員会の間で、やり取りがなされてきました。

その結果、今回のガイドラインを国内に適用することで、日本は国レベルでEUの十分性認定を受けることができることになったようです。(どこにもそのようにはっきりと書いていないので分かりにくいのですが、今回のガイドライン案の発表はそういうことを意味しているようです)

今回のガイドラインの内容を簡単にまとめると下記のようになります。

個人情報の保護に関する法律についてのガイドライン
(EU域内から十分性認定により移転を受けた個人データの取扱い編)

(1) 要配慮個人情報(法第2条第3項関係)
 →性生活 、性的指向又は労働組合に関する情報を要配慮個人情報に含めること
(2) 保有個人データ(法第2条第7項関係)
 →6か月以内に削除する場合でも保有個人データに含めること
(3) 利用目的の特定、利用目的による制限(法第15条第1項・法第16条第1項・法第26条第1項・第3項関係)
(4) 外国にある第三者への提供の制限(法第24条・規則第11条の2関係)
(5) 匿名加工情報(法第2条第9項・法第36条第1項第2項関係)
 →加工方法等情報を削除した場合のみ匿名加工情報とできる

このガイドライン案については、既にパブリックコメントの受付が終了しており、間もなく正式発表がなされるものと思われます。

http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000050&Mode=0

(関連記事)
EUの新しい個人情報保護規則「GDPR」が5月25日に施行〜個人情報保護委員会によるまとめのご紹介〜
http://www.pmarknews.info/kojin_joho_hogo_ho/52073485.html

(私のコメント)
遂に長年の懸案だった「EUの十分性認定」が現実のものになるということで、うれしく思います。なお、GDPRについては、私も完全に追いかけられていないのですが、皆さんちょっと騒ぎすぎかなと思っております。十分性認定が受けられば、SDPCもBCRも不要になるわけですしね。

また、何か情報が入りましたら、皆様にシェアいたしますね。

(追記)
ちょうどタイミングよく、このようなニュースが入ってきました。
EU、GDPRに基づく個人データの域外移転で日本の「十分性認定」を検討へ
https://japan.zdnet.com/article/35120097/



このエントリーをはてなブックマークに追加 Clip to Evernote
GDPRについて
(画面は個人情報保護委員会の資料より)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

EUにおける個人情報保護法制が新しくなり、5月25日から「GDPR(一般データ保護規則)」が施行され、EU居住者の個人情報を取り扱う企業に対策が求められていることをご存知の方も多いと思います。

●どんな企業が何らかの対応を求められるのか?
●対象となる企業が取るべき対策は何なのか?

これらの気になる情報について、個人情報保護委員会が分かりやすく取りまとめたものをウェブサイト上で公開していますので、本Blogでも共有します。

https://www.ppc.go.jp/files/pdf/eukojindata.pdf

(私のコメント)
既に対策を完了している会社も多いと思いますが、もしかしてまだフォローしていないという方がおられるかもしれないと思いまして、記事にしておきます。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
04
(画面はヒヤリハット事例集より)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

個人情報保護委員会が、個人情報に関するヒヤリハット事例集を
ウェブサイト上で公開しました。

企業の担当者として、業務を進めるうえで何らかの突発事項が起こり、
解決策として、何か行ったことが実は個人情報保護法に違反していた。。。

そんなことは意外とあるかもしれません。

このヒヤリハット事例集で学んでみてください。

https://www.ppc.go.jp/personal/hiyarihatto/

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote
IMG_3917
(写真はすべて以前の開催時の様子です。)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

弊社も参加している「データセキュリティ・コンソーシアム」で、12月8日(金)に、第14回データセキュリティ勉強会+いいね大会を開催することになりましたので、皆様にご案内いたします。

データセキュリティ・コンソーシアムは、情報(データ)を取得するところから、利用し、保管し、復旧し、消去し、廃棄し、再生するまで、プロセス毎に集まった各組織が相互に協力し、データの健全な活用を通して社会に貢献する連携体です。今回のような勉強会を定期的に開催すると共に、情報セキュリティEXPOなどのイベントに共同でブース出展したりしています。

コンソーシアムで蓄積されたノウハウを土台として、NPO法人あんとんねえよが千葉県茂原市に設立され、新しい地産地消型のIT機器リサイクルの取り組みが始まっています。

第一部では、障害者の所得向上に取り組むALON ALONの那部さんにお話しいただくほか、私もプライバシーザムライとして「個人情報保護法改正と2017年の情報セキュリティ」というタイトルでお話をさせていただきます。

22730585_1697082506978914_8806606388516857929_n

第二部は、ビジネスチャンスを呼び込む人気の3分毎のショートプレゼン「いいね大会」です。プレゼン希望者はぜひ手を上げてください。高評価1位の方には来年5月の情報セキュリティEXPOの無料ブース出展特典があります(マジです)。

第三部は、懇親会です。参加者相互に名刺交換をしていただいて、ビジネスマッチングもしていただけると思います。

第14回データセキュリティ勉強会+懇親会
■日時:2017年12月8日(金) 13:40-20:20(受付開始 13:10)
■会場:KFC Hall & Rooms(KFC Rooms 113)
 東京都墨田区横網1丁目6−1
 http://www.tokyo-kfc.co.jp/access/index.html
 都営地下鉄大江戸線「両国駅」A1出入口より徒歩0分。
 JR中央・総武線「両国駅」東口より徒歩約6分。

■会費:一般参加 5,000円 (懇親会参加費含む)
  シルバー参加 10,000円(3名様まで懇親会参加費含む)
  ゴールド参加 20,000円(6名様まで懇親会参加費含む)
■幹事
データセキュリティコンソーシアム 事務局 唐鎌 益男
(日東造機株式会社 IT事業部長)

詳細はこちらのPDFをご覧ください。

参加希望される方は、下記のお問い合わせフォームからお申し込み下さい。
http://www.data-security-c.net/contact_17winter.html
(ご質問・ご用件のところに「オプティマ・ソリューションズの紹介」と入れておいてください。)

IMG_3919

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote
49
(画面はZDNetのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

ZDNetの記事によりますと、中国では今年の6月に「網絡安全法(インターネット安全法)」が施行され、中国社会に様々な影響を与えているとのことです。

日本企業としては、中国で取得した個人情報を海外に持ち出すのに規制がかかることに注意が集まっているようですが、この法律は中国企業の個人情報の取扱いについても厳しい規制をかけているとのことです。

以前は、企業の持つ個人情報が安価な価格でどんどん販売されていたものが、今回の法律ではそのような行為が禁止され、日本で言う名簿業者がどんどん廃業に追い込まれているそうです。

従来、与信チェックなどの様々な場面において、そういった雑多な個人情報を幅広く利用していたようですが、これができなくなり一部で支障が出ているとのことです。

一方で、「バイドゥー」「アリババ」「テンセント」などのIT巨人たちについては、自社で持つビッグデータを自由に活用できる点から、優位性が以前よりも高まるのではないかとの見方があるようです。

日本の個人情報保護法が「保護と有用性」の両立を目指しているのと比較すると、もしかすると中国は「保護」に偏りすぎているのかもしれませんが、まあ日本でも個人情報保護法が登場したときには過剰反応が問題になったくらいですから、同じようなものと考えたほうがいいかもしれませんね。

https://japan.zdnet.com/article/35108532/

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
改正JIS Q15001は12月20日に正式発表される見通しです。
詳細は下記URLをご覧ください。
http://www.pmarknews.info/privacy_mark/52062422.html

JIS Q 15001改正を解説したセミナー動画の配信を始めました。
【JIS Q 15001改正】プライバシーマークの審査はどう変わる?
緊急解説セミナーの動画を配信します
http://www.pmarknews.info/privacy_mark/52062005.html

30
(画面は改正案の目次です)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

プライバシーマーク公式Webサイトの情報によると、7月20日付で、日本工業標準調査会よりJIS Q 15001 個人情報保護マネジメントシステム−要求事項の意見受付が開始されたそうです。これにより、注目のJIS Q 15001改正案が初めて一般に公開されました。

JIS Q15001改正案は、日本工業標準調査会のWebサイトで公開されており、60日間にわたり広く一般からの意見提出の機会を設けるとしています。

今回の改正案は、構成や章立てが完全に現行の2006年版から変わっていて、かなりの意欲作です。主なポイントを列記します。

(1)改正個人情報保護法に対応するための用語と規定の見直し

・要配慮個人情報、匿名加工情報など新しい定義の盛り込み
・外国にある第三者への提供の制限、第三者提供に係る記録の作成、第三者提供を受ける際の確認など新しい手続きの盛り込み
開示対象個人情報、特定の機微な情報など、JIS単独の定義が廃止され、個人データ、保有個人データ、要配慮個人情報など個人情報保護法の定義をそのまま使用することに(保有個人データについては、6か月保有しない場合でも同様の取扱いにすることは現行通り)

(2)ISOの共通テキストに合わせて構成を大幅に見直し

・規格本文の構成をISO9001/14001/27001などで採用された「共通テキスト」にあわせた章立てに変更
・本文中に「組織」「利害関係者」「トップマネジメント」「有効性」「力量」「文書化した情報」「プロセス」「パフォーマンス」「管理策」「事象」「尺度」「残留リスク」「リスク所有者」「リーダーシップ」「コミットメント」「コミュニケーション」「パフォーマンス評価」「マネジメントレビュー」など、新しい用語が続々と登場
・個人情報保護ならではの細かな要求事項を「附属書A」にまとめて表記
・従来の解説文に相当する内容を「附属書B」に表記
ISO27001の附属書Aとよく似た内容の管理策を「附属書C」にまとめて表記

意見提出の締め切りは9月17日とのことです。我こそはという方はぜひ意見を提出していただければと思います。

https://privacymark.jp/news/2017/0720/index.html

(私のコメント)
いや〜。かなりの衝撃を受けました。今回のJIS改正が、ここまで大幅なものになるとは思っていませんでした。ISMS認証との親和性も高くなりますし、個人的には気に入りました。繰り返しになりますが、今回のJIS改正はかなり大幅なものです。プライバシーマークの審査もかなり変わると思います。プライバシーマーク取得企業、コンサル、審査員のいずれにとっても大きな変化となりますので、それに追いついていくための努力が求められることになると思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote
27
(画面は個人情報保護委員会議事録より)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

国内における個人情報の取扱い全般に関して責任を持つ個人情報保護委員会は、7月4日に開催された第41回委員会の議事録を発表し、その中で日本とEUの間における相互の円滑な個人データ移転に関して、進展があったことが分かりました。

これは、前日の3日にブリュッセルで熊澤春陽個人情報保護委員会委員とベラ・ヨウロバー欧州委員会委員(司法・消費者・男女平等担当)が会談し、下記の3点が確認されたというものです。
(1)日EU間の相互の円滑な個人データ移転を実現するための方法は、相互認証(我が国の個人情報保護法第24条及びEU側の十分性認定)であり、来年の早い時期に成果を出すことを目標にお互い努力していくこと
(2)今までの個人情報保護委員会と欧州委員会司法総局との対話の中で、日EUの制度には多くの共通点が見つかったが、一方で相違点もあるため、今後も対話を続け、互いの議論を深めていくこと
(3)秋頃に再び委員同士で会って論点を絞っていくこと

会談後に発表された共同プレス・ステートメントによると、「2018年の早い時期に、この目標(相互認証)を達成するための努力を強化することを決意した」とありますので、来年にも実現する可能性が出てきました。

https://www.ppc.go.jp/enforcement/minutes/2017/20170704/

(私のコメント)
EUが「十分な個人情報保護法制を持たない外国への個人データの移転」を制限しており、従来の日本の個人情報保護法ではEUの十分性を認定できないというのが従来の状況でした。今回の個人情報保護法改正により、この条件を満たす可能性が出てきたということです。また逆に日本も個人情報保護法改正により「十分な個人情報保護法制を持たない外国への個人データの移転」を制限しましたので、今後は日本とEUの間で相互に十分性を認定しあって、相互に円滑な個人データの移転を実現できる可能性が出てきたということです。この世界の関係者にとっては悲願でもあると思います。ぜひうまくいくことを願っております。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote
Guideline

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

5月30日の改正個人情報保護法の施行に伴い、従来の経済産業省、厚生労働省などが出していた個人情報保護ガイドラインが原則として廃止になり、個人情報保護委員会が発行するガイドラインに集約されることになりました。

少し混乱があると思いますので、現在有効な個人情報保護ガイドラインを一覧表にしてみたのが冒頭のものです。内容を参照していただけるように、以下の表ではリンクを開けるようにします。

全ての事業者が対象
個人情報保護ガイドライン(通則編)
個人情報保護ガイドライン(外国にある第三者への提供編)
個人情報保護ガイドライン(第三者提供時の確認・記録義務編)
個人情報保護ガイドライン(匿名加工情報編)
特定分野ガイドライン(主要なもののみ)
金融分野・個人情報保護ガイドライン
信用分野・個人情報保護ガイドライン
債権管理回収業分野・個人情報保護ガイドライン
医療介護分野・個人情報保護ガイダンス
電気通信事業分野・個人情報保護ガイドライン
放送分野・個人情報保護ガイドライン
郵便事業分野・個人情報保護ガイドライン
個人遺伝情報・個人情報保護ガイドライン


(私のコメント)
少しよく分からないのが 電気通信事業分野ガイドラインから下にあるものです。これらは個人情報保護委員会からの発行ではなく、依然として総務省や経済産業省の単独の名前で出されています。原則として全ての権限が個人情報保護委員会に一元化されたはずなのに、どういうことなんでしょうね。事業所管大臣への権限の委任の枠内ということなんでしょうか?不可解です。


また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote
inin
(画像は個人情報保護員会Webサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

5月30日の改正個人情報保護法の施行に伴い、個人情報保護委員会は、事業所管大臣への権限の委任の範囲を公表しています。

今回の改正個人情報保護法では、従来、主務大臣が保有していた監督権限がすべて個人情報保護委員会に一元化されました。ただし、個人情報保護委員会は事業所管大臣(=特定の業種を監督している大臣)に対して権限を委任できるとされました。

今回公表された事業所管大臣への権限の委任の範囲には、政府系の特殊法人がたくさん含まれてますが、これらを除くと、下記のようになります。

jigyo_shokan

これらの業界の事業者が個人情報漏洩事件・事故を起こした場合には、事業所管大臣に事故報告を行うこととなっています。また、立入検査も事業所管大臣が行う場合があります。

詳細は下記のURLをご参照ください。

https://www.ppc.go.jp/personal/legal/kengenInin/

(私のコメント)
事業所管大臣への権限の委任の範囲については、従来は一切公表されておらず、以前の主務大臣制の時と同じようになるのかなとも思われましたが、今回の内容を見ますと、意外と少ないという印象を受けました。しかも来年3月末に見直すとのことで、期限付きの委任とのことです。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote
horibe
(画面は個人情報保護委員会Webサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

5月30日の改正個人情報保護法の全面施行にあたり、個人情報保護委員会は、堀部委員長のメッセージを公表しました。

今回の個人情報保護法改正では、従来はそれぞれの主務大臣に分散していた権限が個人情報保護員会に一元化されることもあり、ますます役割が重くなっています。そういう状況の中で、今後も委員会として広く日本社会に貢献したいというスタンスの表明のようです。

詳細は下記のURLをご参照ください。

https://www.ppc.go.jp/files/pdf/sekouniyosete.pdf

(私のコメント)
本Blogでも何回かご紹介しておりますが、堀部氏は日本の個人情報保護の元祖のような方です。長年、研究活動を継続すると同時に、積極的な情報発信や国際的な交流を続けられ、日本の個人情報保護法の法制化にも大きく関与してこられました。その中で、政府でも民間でもない第三者的な存在となる「プライバシーコミッショナー」が日本にも必要だと継続して主張され、それが現実のものとなったのが個人情報保護員会であり、自らがその初代委員長を務めておられる次第です。そういう流れの中での今回のメッセージということで、皆様よくお読みいただければと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。




↑このページのトップヘ