プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: 個人情報保護法

個人情報保護委員会資料
(画像は個人情報保護委員会資料より)

個人情報保護委員会は、「中小企業向け個人情報保護法の全国説明会」を全国で開催すると発表しました。来年春(日付未定)から改正個人情報保護法が全面施行されるのに合わせて、その内容を説明するとのことです。

説明会で使用する資料は、どなたでもダウンロードできるようになっていますので、興味を持った方はご参照いただければと思います。

日程一覧
北海道 11月30日(水)
青森県 12月1日(木)
岩手県 現在調整中
宮城県 2月3日(金)
秋田県 11月15日(火)16日(水)
山形県 現在調整中
福島県 現在調整中
茨城県 11月8日(火)1月26日(木)2月10日(金)
栃木県 10月28日(金)1月11日(水)
群馬県 12月15日(木)
埼玉県 1月30日(月)
千葉県 1月20日(金)
東京都 12月13日(火)
神奈川県 2月24日(金)
新潟県 11月24日(木)1月13日(金)
富山県 現在調整中
石川県 1月23日(月)
福井県 2月16日(木)2月17日(金)
山梨県 12月1日(木)
長野県 1月19日(木)
岐阜県 11月4日(金)
静岡県 現在調整中
愛知県 12月1日(木)
三重県 1月18日(水)1月19日(木)1月20日(金)1月23日(月)
滋賀県 11月7日(月)
京都府 1月26日(木)
大阪府 1月25日(水)
兵庫県 11月9日(水)
奈良県 1月30日(月)
和歌山県 2月2日(木)
鳥取県 12月13日(火)
島根県 現在調整中
岡山県 11月18日(金)
広島県 11月17日(木)
山口県 11月14日(月)
徳島県 12月5日(月)
香川県 10月18日(火)
愛媛県 12月8日(木)
高知県 12月9日(金)
福岡県 3月2日(木)
佐賀県 12月9日(金)
長崎県 11月25日(金)
熊本県 3月1日(水)
大分県 11月28日(月)
宮崎県 11月9日(水)
鹿児島県 2月7日(火)
沖縄県 11月18日(金)

開催案内
http://www.ppc.go.jp/personal/pr/28_national-briefing_chusho/

資料ダウンロード
http://www.ppc.go.jp/files/pdf/28_setsumeikai_siryou.pdf

(私のコメント)
資料については、個人情報保護法の改正に関する公式情報として、お使いいただけると思います。個人情報保護法の改正に関しては、私も独自に資料を作成しておりまして、下記の個人情報保護法改正セミナーの全編視聴をお申込みいただけると、資料もご提供いたします。

http://www.pmarknews.info/kojin_joho_hogo_ho/52030005.html



このエントリーをはてなブックマークに追加

個人情報保護法改正セミナー

10月19日のプライバシーマーク担当者勉強会において開催しました「個人情報保護法改正セミナー」を撮影した動画をYoutubeで公開しましたので、皆様にもお知らせいたします。



※説明に使用している資料は下記からダウンロードしてください。
https://on.fileforce.jp/sh?site=c000000302&id=sxo3ckfsxpxv14nc8rypg2qx72

※冒頭の10分間のみ、一般公開しています。
全編をご覧になりたい方は、下記からお申し込みください。
    ↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
https://www.optima-solutions.co.jp/form_kaisei_seminer

このエントリーをはてなブックマークに追加

(追記)改正個人情報保護法の全面施行日は2017年5月30日に決まりました。詳細は下記の記事をご参照ください。
http://www.pmarknews.info/kojin_joho_hogo_ho/52036276.html


20161013 170059
(画像は会場での配布資料より)

10月13日に都内で開催された「JIPDEC個人情報保護研修会2016」において、個人情報保護委員会の小川さんが「改正個人情報保護法の施行に向けた最新の動向」と題した講演をしてくれました。

内容としては、今回の個人情報保護法の改正点について、少し詳しく解説するものでした。

改正のスケジュールについて、政令と委員会規則については、10月5日に公示され、正式に有効になったとのことでしたが、気になる全面施行の時期については、依然として「2017年春」であり、まだ何月何日かは決まっていないとのことでした。

個人情報保護委員会Webサイト「よくある質問」
Q8−2改正法の全面施行日はいつですか。
http://www.ppc.go.jp/personal/faq/jigyosha/#j8-2

(私のコメント)
全面施行の時期、早く決めてほしいと思います。本日も質疑応答の中で「当社は来年7月にプライバシーマークの審査があるのだが、その時点で改正個人情報保護法の対応をしていないといけないのか」というような質問がありましたが、同様のことが懸案事項になっている会社は沢山あると思います。一日も早く決めていただきたいです。

ただ大胆に言うと、私としては、勝手に4月1日だと思っています。2005年の個人情報保護法の全面施行も4月1日でしたし、「春」と言えば「4月1日」なんだということで、来年のお花見の頃には改正個人情報保護法が来るんだということで皆さんも準備を進めていくことをおススメいたします。どんどん準備を進めておかないと、あとで困りますからね!

youchienji_sakura





このエントリーをはてなブックマークに追加

14494880_1265633423457160_1653290219494291303_n
(画面はガイドライン案の表紙です)

2017年春に予定されている個人情報保護法の改正に関して、待望のガイドライン案が出てきました。

これで
(1)個人情報保護法
(2)個人情報保護に関する基本方針
(3)政令(個人情報の保護に関する法律施行令)
(4)個人情報保護委員会規則(個人情報の保護に関する法律施行規則)
(5)個人情報保護ガイドライン
と法律を施行するにあたって必要な文書類がそろったことになります。既にパブリックコメントも開始されており、11月2日が締め切りです。

今回のガイドラインは、従来主務大臣が発行していた事業分野別の「個人情報保護ガイドライン」の全てを廃止し、個人情報保護委員会が発行するガイドラインをそれに置き換えようという意欲的なものです(医療分野、金融分野、情報通信分野など、特殊な事業分野に対しては、順次追加のガイドラインが出てくることになっています)。

そのガイドラインですが、下記の4分冊構成になっています。
(1)通則編
(2)外国にある第三者への提供編
(3)第三者提供時の確認・記録義務編
(4)匿名加工情報編

まずは一番理解しなければいけないのは(1)の通則編になります。その上で個人情報の第三者提供を行う場合、匿名加工情報を事業で使用する場合、外国に個人情報を第三者提供する場合などは、それぞれの分冊を参照することになります。プライバシーマーク担当者の皆様は、まずは通則編から読み込んでいってみてください。

個人情報保護員会Webサイト
http://www.ppc.go.jp/personal/preparation/

パブリックコメントのご案内(ガイドライン案もダウンロードできます)
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000025&Mode=0

(私のコメント)
通則編だけでも98ページあるという分量ですので、全容を把握するのには少し時間がかかります。下記の主な改正点12のポイントに関して、今後チェックして情報を共有させていただきますね。
個人情報保護法改正12のポイント








このエントリーをはてなブックマークに追加

20160629-16
(写真は前回の開催の様子です)

この度、当社(オプティマ・ソリューションズ)では、
来年春の全面施行に向けて注目が集まる「個人情報保護法改正セミナー」を開催します。

本セミナーでは、2017年春に全面施行が予定されている改正個人情報保護法について、
現在までに明らかになった情報を取りまとめて、分かりやすく共有いたします。

主にプライバシーマークを取得されている企業の担当者様、
またはこれからプライバシーマーク取得を計画されている企業の担当者様を
対象とします。

皆様、どうぞお集まりください。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
名称:「最新情報を共有します!個人情報保護法改正セミナー」
    (第5回Pマーク担当者勉強会)
講師:中 康二(オプティマ・ソリューションズ株式会社・代表取締役)
日時:2016年10月19日(水)16時半から18時まで
   セミナー終了後、同会場で懇親会(〜19時半)を開催いたします。
   準備の都合がありますので、懇親会参加の可否を予め教えてください。
場所:TKP新橋カンファレンスセンター
  東京都港区西新橋1丁目15-1
  大手町建物田村町ビル
●都営三田線 内幸町駅 A3出口 徒歩1分
●東京メトロ銀座線 新橋駅 8番出口 徒歩3分
banner_content-header_01
参加費:無料
懇親会参加費:2000円(実費)
主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるPマークコンサルの方は参加ご遠慮ください。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

なお、懇親会ではプライバシーマークの実務担当者様同士で
相互に意見交換していただけるほか、弊社のメンバーも参加しますので、
技術的な質問にも多少はお答えできると思います。

参加される方は下記のボタンから登録してください。
 ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2






このエントリーをはてなブックマークに追加

syorui_kosekisyouhon

2017年春に予定されている個人情報保護法の改正に関して、政令案と個人情報保護委員会規則案が出て詳細が固まってきているようですので、気になるポイントをいくつか取り上げています。

今回取り上げるのは、下記の12の改正ポイントの中の一つ「要配慮個人情報の新設」です。
改正個人情報保護法12のポイント

個人情報の概念はたいへん広いものですから、その中には広範囲に公開されて利用されるものも含まれますし、不用意に他人に知られたくないものも含まれます。しかし、従来の個人情報保護法には、これらに関する具体的な事項はなく、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない」という基本理念が示されるだけに留まっていました。

今回の改正で、このポイントに対して一歩踏み込んで「要配慮個人情報」が規定されます。要配慮個人情報については、(1)法令に基づく場合などを除き、取得時に本人同意が必要となり、(2)オプトアウト方式での第三者提供が禁止となります。

改正個人情報保護法、改正政令案、個人情報保護委員会規則案の三規範から、要配慮個人情報にあたる個人情報を抜粋し、一枚の表にまとめてみました。また同時にプライバシーマークの基準であるJIS Q 15001で従来から規定されている「センシティブ情報(特定の機微な個人情報)」の項目と比較してみましたので、参考にしていただければと思います。

改正法・政令案・委員会規則案における
「要配慮個人情報」		JIS Q 15001における
センシティブ情報
人種人種、民族
信条思想、信条又は宗教に関する事項
社会的身分門地、本籍地(所在都道府県に関する情報を除く)
病歴、心身の機能の障害の記述(身体障害、知的障害、精神障害など)、医師等により行われた健康診断等の結果、医師等の健康に関する指導・診療・調剤の記述身体・精神障害、保健医療又は性生活に関する事項
犯罪の経歴、本人に対して刑事事件に関する手続が行われた記述、本人に対して少年の保護事件に関する手続が行われた記述犯罪歴
犯罪により害を被った事実(類似の項目なし)
(類似の項目なし)勤労者の団結権、団体交渉その他団体行動の行為に関する事項
(類似の項目なし)集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項


(私のコメント)
こうやって表にまとめて比較してみると、JIS Q 15001の考え方と改正個人情報保護法の考え方には少なからず方向性の違いが見られますね。「民族」「思想」「宗教」「門地」「本籍地」「労働者の権利の行使」「政治的権利の行使」などの記載が消え、「病歴」「健康診断結果」「犯罪により害を被った事実」などが追加されています。微妙な方向性の違いを感じます。私、個人的にはJIS Q 15001のセンシティブ情報の規定は、明確で使いやすいものであったと考えていますので、それをもとにして必要な項目を追記する方向で考えて欲しかったなと思います。

(8月29日追記)
読者の方から助言をいただきました。「JISのセンシティブ情報はEUデータ保護指令を元にしたものであったが、日本社会にそぐわない部分もあり、議論を経て今回の要配慮個人情報となった」「社会的身分としての定義は『出生によって決定され、自己の意思で変えられない社会的な地位』が採用される(すなわち出自による差別を行うための情報などは当然含まれる)」「信条には、思想・宗教に関する事項も含まれる」ということです。あわせて参考にしていただければと思います。





このエントリーをはてなブックマークに追加

個人情報保護法改正12のポイント
(画像は個人情報保護法改正12のポイント)

来年に予定されている個人情報保護法の改正に関して、個人情報保護委員会での議論が進み、政令と施行規則の案が出され、パブリックコメントの受付が始まりました。

今回の政令と施行規則の案のポイントは下記のとおりです。なお、この2つの文書はあわせて読み解かないと全体が分からないようになっています。

(1)個人識別符号は、生体認証データ、パスポート番号、基礎年金番号、免許証番号、住民票コード、個人番号、健康保険・介護保険・船員保険などの被保険証に記載された番号などとなりました。

(2)要配慮個人情報に追加されるものとして、心身障害に関する内容、健康診断の結果、医師による診療内容、刑事事件に関する手続きに関する内容、少年法に関する手続きに関する内容を含む記述となりました。また目視や撮影により外形上明らかな要配慮個人情報を取得する場合や、受託による取得の場合には本人の同意が不要となりました。

(3)合法的に発行され、不特定多数に販売され、そのまま利用されているもの(市販の名簿や、電話帳、カーナビゲーションシステムなど)については、個人情報データベース等から除外されることとなりました。

(4)匿名加工情報の作成時における公表方法として、インターネットなどを利用して行うものとされました。また受託に基づいて匿名加工情報を作成した場合には、委託元が公表することでこれに変えることができるとされました。


パブリックコメントの締め切りは8月31日です。
ご意見のある方はぜひ提出されることをおススメいたします。

個人情報保護委員会・改正法の施行準備について
http://www.ppc.go.jp/personal/preparation/

(私のコメント)
ようやく、来年の個人情報保護法改正への動きが少しずつ見えてきた感じです。これ今年最大のテーマになりますので、今後も追いかけていきます。




このエントリーをはてなブックマークに追加

小規模事業者の特例廃止後の取扱い
(画面は第9回個人情報保護委員会の資料より)

来年に予定されている個人情報保護法の改正に関して、個人情報保護委員会での議論が始まっているようですので、気になるところを取り上げていこうと思います。

今回の個人情報保護法の改正においては、下記の12のポイントで変わるのですが、その中の一つが「小規模事業者の特例の廃止」です。第9回個人情報保護委員会(5月26日開催)でこれについて、議論されたようです。
個人情報保護法改正12のポイント

従来の個人情報保護法では「過去6か月以内に5001人分以上の個人データを保有したことがない」小規模事業者に対して、個人情報取扱事業者の全ての義務規定を免除する特例がありましたが、これが改正後の個人情報保護法では撤廃されます。ただし、改正法附則11条において、「個人情報保護委員会がガイドラインを作成するにあたっては、小規模事業者の事業活動が円滑に行われるように配慮する」とあり、何らかの緩和対応が必要となっていました。

結果的に、個人情報保護委員会の作成するガイドラインにおいて下記の「中小規模事業者」という概念を新設し、事業者が講ずべき「組織的」「人的」「物理的」「技術的」安全管理措置を記載する際に、中小規模事業者に対する特例的対応や手法の例示を行うことで、これを実現しようという話で検討が進んでいるようです。

中小規模事業者の定義(案)
  1. 従業員の数が100名以下

  2. 事業の用に供する個人データが5000人分以下

  3. 個人データの取扱いの委託を受けていない

すなわち、個人情報の取得の際の利用目的の明示、適正取得、利用目的の特定、目的外利用の禁止、安全管理措置、従業者の監督、委託先の監督、同意のない第三者提供の禁止、保有個人データの開示等の手続きなど、全ての個人情報取扱事業者の義務規定を、全ての事業者に規模を問わず義務付けながらも、実際に安全管理措置としてどこまで実施するかは中小規模事業者に対する特例を明記したガイドラインで示すということになりそうです。

第9回個人情報保護委員会・開催記録
http://www.ppc.go.jp/enforcement/minutes/2016/20160526/

(私のコメント)
お気づきの方も多いと思いますが、マイナンバーガイドラインの考え方を流用したことになります。今の個人情報保護委員会は番号法の導入に尽力してきた方が多いこともありますので、今後もマイナンバーガイドラインが参考にされるケースが続くのではないかと思います。



このエントリーをはてなブックマークに追加

50e4463e
(画面は2016年1月1日施行の個人情報保護法目次・第5章が追加されています)

2016年1月1日をもって、特定個人情報保護委員会が廃止されて、新たに個人情報保護委員会に改組された件について、本Blogでも先日リマインドさせていただきました。

これは昨年9月に成立した個人情報保護法と番号法を改正する法律により、個人情報保護法と番号法が段階的に改正されていることによります。そうなんです。2016年1月1日付で、一部改正した個人情報保護法と番号法が施行されたのです。この施行により、番号法により規定されていた特定個人情報保護委員会が廃止され、個人情報保護法により規定される個人情報保護委員会がスタートしたのです。それが上記の画像で示したものです。

ただし、2016年1月の改正は個人情報保護委員会の設立が主眼であり、民間事業者の義務規定には変更がなかったため、あまり注目されていないだけです。

2017
(2017年施行予定の個人情報保護法目次・第4章が大幅に見直しされます)

では次の改正の施行はいつなんだということなんですが、これについては「公布の日から起算して2年を超えない範囲内において政令で定める日」となっていまして、理論上は2017年9月までのいつかということになりますが、まだ政令が出ておらず、決定していません。この時には、「小規模事業者の特例の廃止」「個人情報の定義の明確化」「要配慮個人情報の新設」「匿名加工情報の新設」など、民間事業者の義務規定も大幅に改正されます。

この際の改正点については、私が情報セキュリティEXPO会場でご説明した動画をご参照ください。

個人情報保護法改正12のポイント

個人情報保護法と番号法を改正する法律
http://www.cas.go.jp/jp/houan/150310/siryou4.pdf

(私のコメント)
プライバシーマーク認定事業者の皆さんは、法規等管理台帳の更新を忘れないようにしてください。個人情報保護法と番号法については「2015年9月成立」または「2016年1月一部施行」などと記載しておくことをお勧めします。
このエントリーをはてなブックマークに追加

個人情報保護委員会
(画面は個人情報保護委員会のWebサイトより)

特定個人情報保護委員会と個人情報保護委員会について、ご存じない方も多いようですので、このタイミングで改めて記事にしておきます。

昨年9月に成立した個人情報保護法と番号法を改正する法律により、個人情報保護法と番号法は段階的に改正されることとなりました。

そして、その第一弾の改正が2016年1月1日付で施行されました。この施行により、番号法により規定されていた特定個人情報保護委員会が廃止され、個人情報保護法により規定される個人情報保護委員会がスタートしています。またその他にいくつかの細かな改正が行われています。

2016年1月1日施行の個人情報保護法全文(第5章が追加されています)
http://www.ppc.go.jp/files/pdf/personal_law280101.pdf
2016年1月施行の個人情報保護法の目次

個人情報保護法と番号法を改正する法律
(個人情報保護法については第一条関係、番号法については第四条関係という部分が2016年1月1日に施行されました)
http://www.cas.go.jp/jp/houan/150310/siryou4.pdf

今年いっぱいかけて、この個人情報保護委員会を中心として、政令やガイドラインの整備が行われ、来年春に個人情報保護法と番号法の第二弾の改正が施行される予定です。ただし、この施行時期はまだ明確には決まっていません。これ以降については、別の記事で解説させていただきます。

個人情報保護委員会
http://www.ppc.go.jp/

(私のコメント)
個人情報保護委員会ができた1月は、すでに半年が経過していますが、その頃は、本Blogでも、マイナンバーのことばかりを記事にしていまして、取り上げるタイミングを失っていました。むしろこちらの方が重要なイシューだと思いますので、今後意識的に取り上げていきたいと思います。



このエントリーをはてなブックマークに追加

個人情報保護法改正12のポイント

先日、東京ビッグサイトで開催された情報セキュリティEXPOの会場において開催したミニセミナー「個人情報保護法改正12のポイント」を撮影した動画をYoutubeで公開しましたので、皆様にもお知らせいたします。

私が取りまとめた今回の改正の12のポイントは下記のとおりです。
個人情報保護法改正12のポイント

20分でコンパクトにまとめてあります。
下記から、どうぞご覧ください!
  ↓↓↓↓↓↓↓↓↓


なお、資料はこちらからダウンロードしていただけます。
このエントリーをはてなブックマークに追加

キャプチャ

いわゆる「名簿屋」については、ベネッセ事件において流出した大量の個人情報を買い取り、転売することで、結果的に被害を拡大させたこともあり、今回の個人情報保護法の改正でも名簿屋対策が一つのテーマとなっています。しかし、その実態はこれまであまり明らかにはなっていませんでした。

今回、消費者庁が名簿屋を対象とした本格的な調査を実施し、報告書を公表しています。非常に興味深い内容となっています。

(気になるポイント)
・名簿屋は小規模な企業が多く、経営者を含めて2〜4名程度が多い。DM発送代行などを行う事業者でも10名程度。
・取り扱う個人情報データベースは、同窓会名簿や会員名簿など冊子形式の名簿と、電子的データベースの2つに大きく分かれる。
・電子的データベース化された個人情報を、調査を実施した全ての名簿屋が取り扱っており、6000万件〜1億件強を有している。電子的データベースには、平成18年以前に収集された住民基本台帳に基づくデータも多数含まれているが、住所変更や結婚、死別などがあるため、郵便物の発送に利用できるのは4分の1程度である。
・近年、新しいデータが持ち込まれることが減少しており、データの鮮度が落ちている状況にある。
・ベネッセ事件で流出したリスト(800万件)は、業者間での転売価格が5万円(1件0.06円)〜16万円(1件0.02円)であった。
・名簿の販売先は、不動産会社、営業代行会社、テレマーケティング会社、健康食品、化粧品、宝飾品販売会社など、富裕層をターゲットとするビジネスが多い。また、学習塾、教育産業、自動車教習所、成人式向けの呉服販売など、特定のニーズに合わせた個人情報の販売も行われている。
・一回の売買で販売する個人情報の件数は数千件〜数万件程度の取引が多い。
・個人情報の販売単価は10〜15円程度が相場。
・名簿を提供した事業者を経由して、本人から苦情やデータ削除の要求が来る場合があるが、年に数十件程度であり、減少傾向にある。
・名簿屋の業界団体として「日本個人データ保護協会」が存在しており、第三者提供の停止等の要請に対して、加盟会員間で共有される仕組みがある。
・Webサイト上において、オプトアウトによる第三者提供に関する事項の公表に関して、必要な記載事項を掲示していない業者が多くみられるという。
・プライバシーマークなどの第三者認証を取得している名簿屋は皆無。

http://www.caa.go.jp/policies/policy/consumer_system/other/
http://www.caa.go.jp/policies/policy/consumer_system/other/pdf/160325_consumer_system_other.pdf

(私のコメント)
個人情報保護法が施行されて10年が経過する中で、名簿屋ビジネスはしぶとく生き残っているものの、やはり少しずつ弱体化していっているようです。改正個人情報保護法で規制が強化されることもあり、今後はコンプライアンスを徹底的に行うこと以外に、生き残れる道はないものと思います。





このエントリーをはてなブックマークに追加

↑このページのトップヘ