2022年06月24日

昨年度の個人情報漏えいの報告件数は5,846件で増加傾向～個人情報保護委員会・年次報告まとまる～

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

日本の個人情報保護の総元締めである個人情報保護委員会（PPC）が、6月10日に昨年度の年次報告を公開しました。

その内容によると、昨年度の一年間で国内の民間事業者が起こした個人情報の漏えい事件の報告件数が5,846件となり、一年前の4,141件から増加したとのことです。

このうち、委員会に直接報告されたのが1,042件、監督官庁を経由しての報告が2,386件、認定個人情報保護団体を経由しての報告が2,418件とのこと。

これに対して、報告の徴収を実施したのが329件、立ち入り検査を行ったのが4件。

その結果として、指導及び助言を行ったのが217件、法的に強制力を持つ勧告を行ったのが3件、さらに厳しい命令を行ったのが1件となっています。この命令の1件は官報に掲載された破産者のデータを集約してインターネット上で公開していたWebサイトに対するもので、勧告を行ったのに従われなかったために実施したものとのことです。

年次報告
https://www.ppc.go.jp/aboutus/report/

実施した命令の詳細
https://www.ppc.go.jp/files/pdf/220323_houdou.pdf

個人情報の漏えい等の報告フォーム
https://www.ppc.go.jp/personalinfo/legal/leakAction/

（私のコメント）
個人情報の漏えいに関する報告は、4月1日の改正法の施行により、全ての民間事業者の義務となりました。ですから、今後はさらに数字が増えていくものと思われます。また、認定個人情報保護団体を経由しての報告は廃止されますので、皆様ご注意ください。

しかし、年間予算39億円で、よくここまでの活動が継続されているものだと思います。本当に政策の運営というのはお金の問題ではないのだと思います。今後も個人情報保護委員会のリーダーシップの下、私も日本の個人情報保護の取り組みに協力していきたいと考えています。

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年06月14日

プライバシーマーク新審査基準を解説したガイドブックが手元に届きました。

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターが出した「新・審査基準」に関するガイドブックが、早々に私の手元にも届きました。

タイトル：「個人情報保護マネジメントシステム導入・実践ガイドブック　第2版」
編著：一般財団法人日本情報経済社会推進協会　プライバシーマーク推進センター
定価：4,950円（税込）
発行：一般財団法人日本規格協会
ISBN：9784542305472
発売日：2022年6月10日（金）

今回のガイドブックにも、いろいろと興味深い内容が書かれています。

・個人情報保護マネジメントシステムに影響を与えるような外部及び内部の課題や、利害関係者の要求事項は、審査ではどのように確認されるのか？
・個人情報保護リスク対応計画／個人情報保護目的達成計画は、審査ではどのように確認されるのか？
・漏えい等の事故の場合の個人情報保護委員会への報告と、緊急事態の場合の審査機関への報告の対象は同じなのか？

などなど、プライバシーマーク担当者であれば、知っておかなければならない情報が沢山書かれています。少し高いですが、ぜひ会社の経費で購入されることをおススメします。

JIPDECからの案内
https://privacymark.jp/news/other/2022/0520.html

Amazonでの購入ページ
https://www.amazon.co.jp/dp/4542305473/

（コメント）
なお、下記6月23日にプライバシーマーク新審査基準に関するセミナーを新橋で開催します（有償）。その際には、本書の内容も反映させた解説を行う予定です。ぜひお越しください。
Pマーク新審査基準セミナー

https://www.pmarknews.info/privacy_mark/52158623.html

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年06月02日

「個人情報を考える週間」開催中～事業者にも個人にも求められる意識の向上～

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

日本の個人情報保護の総元締めである個人情報保護委員会（PPC）。

今回もアジア太平洋プライバシー機関(APPA)に参加する各国の個人情報保護当局と歩調を合わせ、5月30日から6月5日まで国内でも「個人情報を考える週間」と銘打って集中的に情報発信しています。

今回、PPCでは、事業者向けに下記の3点を注意喚起しています。

（１）電子メールを一斉に送信する際、ToやCcで送信しないこと
（２）クラウドサービスを利用する際、設定をよく確認してから個人情報を格納すること
（３）個人情報を取得する際に、分かりやすく具体的に利用目的を表示すること

また、個人向けには下記の3点を注意喚起しています。

（１）集合写真を撮影して安易にSNSなどにアップすること
（２）知り合いの連絡先を無断で教えること
（３）利用規約の内容をよく読まずに同意すること

いずれも重要な指摘です。

私たちは、事業者としても、個人としても、もっともっと意識を向上させていかなければならないと思います。

個人情報保護委員会「個人情報を考える週間」
https://www.ppc.go.jp/news/privacy_awareness_week/

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年05月27日

JIPDECがPマーク新審査基準に関するガイドブックを発行(2022年6月10日発売)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、4月から審査に使用している「新・審査基準」に関するガイドブックを6月10日に発売すると発表しました。

これは、従来から発行されているガイドブックの改訂版となります。今回の改訂で、新審査基準の内容に合わされるほか、当然のことながら個人情報保護法改正対応の内容も含まれることになります。

タイトル：「個人情報保護マネジメントシステム導入・実践ガイドブック（JIS Q 15001:2017）第2版—PマークにおけるPMS構築・運用指針対応—」
編著：一般財団法人日本情報経済社会推進協会　プライバシーマーク推進センター
定価：4,950円（税込）
発行：一般財団法人日本規格協会
ISBN：9784542305472
発売日：2022年6月10日（金）

JIPDECからの案内
https://privacymark.jp/news/other/2022/0520.html

Amazonでの購入ページ
https://www.amazon.co.jp/dp/4542305473/

（コメント）
プライバシーマーク担当者必携の一冊となります。値段は高めですが、会社の経費で入手されることをおススメします。
なお、古いバージョンもまだ販売されていますので、間違えて購入することのないようご注意ください。

なお、下記6月23日にプライバシーマーク新審査基準に関するセミナーを新橋で開催します（有償）。その際には、本書の内容も反映させた解説を行う予定です。ぜひお越しください。
Pマーク新審査基準セミナー

2022年05月18日

「個人情報保護法改正対応セミナー」新橋にてリアル開催のお知らせ（6月9日・23日）

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）

今年4月から改正個人情報保護法が施行され、プライバシーマークの審査基準も大幅に見直しされました。

2月には「【決定版】個人情報保護法改正とPマーク新審査基準対応について」というタイトルで勉強会を開催したところ、約300名の方々にご参加いただき、皆様の関心の高さを実感しているところです。

その後、個人情報保護法の改正対応について、様々な情報が交錯しているところではありますが、「個人情報保護法改正対応セミナー」を開催し、現時点での最新情報を共有させていただきます。

今回はなんと、久しぶりに新橋にて「リアル」開催いたします。
もちろん感染対策には十分に配慮して開催いたします。
（恐縮ですが有償セミナーとさせていただきます）

①6月9日は単純な個人情報保護法改正対応セミナーとして、
②6月23日はプライバシーマーク認定事業者様向けに個人情報保護法改正対応＋Pマーク新審査基準セミナーとして、
内容を分けて開催いたします。（内容に重複がありますので、どちらかにご参加いただければと思います）

講師は、私プライバシーザムライと、当社シニアコンサルタントの遠藤が担当します。

セミナー終了後には皆さんとフリーにやり取りできる「質疑応答＋ネットワーキングタイム」を設定しております。講師にご質問いただくこともできますし、皆さん同士でも意見交換していただければと思います。

この機会に横でつながっていただき、孤独を解消！
自信を持って個人情報を取り扱っていただきたいと思います。

また、セミナーご説明資料だけではなく、改正法対応に必要な文書ひな形や、新審査基準チェックリストなど、他では入手できない資料も配布します。

個人情報保護法改正の実務的な対応について詳しく知りたい方、どうぞご参加くださいませ！

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介

プライバシーザムライ中康二(なかこうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
endou

シニアコンサルタント遠藤朝永(えんどうともなが)
オプティマ・ソリューションズ株式会社・取締役
システム開発出身
プライバシーマークの短期取得を数多く手掛けるスーパーコンサルタント

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル：「個人情報保護法改正対応セミナー」

①プライバシーマークを取得されていない企業の方向け

日時：2022年6月9日（木）
　　14：20～16：30　第一部　セミナー
　　16：30～17：30　第二部　質疑応答＆ネットワーキングタイム
　　　　（コーヒーとお菓子付き）
場所：TKP新橋カンファレンスセンター・カンファレンスルーム13B
　　東京都千代田区内幸町1丁目3-1 幸ビルディング
内容：全ての企業に求められる個人情報保護法改正対応を解説します。
講師：プライバシーザムライ中康二・コンサルタント遠藤朝永
参加費：一社10,000円（1社2名様まで）
※お申込みいただいた方にお振込み先をお知らせいたします。

②プライバシーマーク認定事業者の方向け

日時：2022年6月23日（木）
　　14：20～16：30　第一部　セミナー
　　16：30～17：30　第二部　質疑応答＆ネットワーキングタイム
　　　　（コーヒーとお菓子付き）
場所：TKP新橋カンファレンスセンター・カンファレンスルーム13B
　　東京都千代田区内幸町1丁目3-1 幸ビルディング
内容：プライバシーマーク認定事業者に求められる個人情報保護法改正対応・新審査基準対応を解説します。
講師：プライバシーザムライ中康二・コンサルタント遠藤朝永
参加費：一社10,000円（1社2名様まで）
※お申込みいただいた方にお振込み先をお知らせいたします。

主催：オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓

それでは、皆様とリアルにお会いできるのを楽しみにしております！
プライバシーザムライ　中康二

2022年04月27日

改正個人情報保護法＞漏えい時の個人情報保護委員会報告と本人通知の義務化についてまとめます

（画像は個人情報保護委員会Webサイトより）

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

4月から施行された改正個人情報保護法では、個人情報が漏えいなどした際に「個人情報保護委員会への報告と本人通知」を行うことが義務付けられました。今回はこのことについてまとめておきたいと思います。

あれ？これまでも個人情報保護委員会への報告義務あったよね？と思われる方がおられるかもしれませんが、従来は「努力義務」なのでした。今回の法改正から正式に義務化されました。

（１）個人情報保護委員会への報告と本人通知の対象となるのはどんな時？

まず、個人情報保護委員会への報告と本人通知の対象となるのは、下記の4つの場合になり、これらを報告対象事態といいます。（個人情報保護法第26条（第1項）→個人情報保護委員会規則第7条）

●要配慮個人情報が含まれる個人データの漏えい等の場合
●不正利用されることにより財産的被害が生じるおそれがある個人データの漏えい等の場合
（決済可能なサービスのアカウント情報や、クレジットカード番号など）
●不正の目的をもって行われたおそれがある個人データの漏えい等の場合
（不正アクセスの被害を受けた場合）
●個人データにかかる本人の数が1000人を超える漏えい等の場合

（２）個人情報保護委員会への報告はどのように行う？

個人情報保護委員会への報告は、まず「速やかに」行うこととされています。個人情報保護法ガイドラインでは「おおむね3～5日以内」としています。この段階で、分かる範囲の情報を「速報」として報告することとされます。

さらに、30日以内（不正アクセスを受けた場合は60日以内）に確定した情報を「確報」としてもう一度報告することとされました。

これらの報告は、個人情報保護委員会のWebサイトに専用のフォームがあり、そこから入力する形で行います。このフォームはある程度しっかりしたもので、入力した結果をCSVでインポート／エクスポートしたり、PDFファイルとしてダウンロードすることもできるものとなっています。

なお、金融機関（金融庁）、不動産事業者（国土交通省）、クレジット業界（経済産業省）など、特定の業種の場合は、それぞれの官庁（権限委任官庁）に報告することとされています。

また、従来は認められていた認定個人情報保護団体を介しての報告は廃止になりました。ご注意ください。

（３）本人通知はどのように行う？

本人通知は、通常は郵便や電子メールなどの方法を用いて、本人に直接知らせることとされます。

こちらは「当該事態の状況に応じて速やかに」行うこととされます。特に何日というような指定はありませんが、（２）の「速やかに」が３～５日であることを考えると、何か月も経過してからでは遅すぎるということになると思われます。ただし、通知を行うことによりさらに被害が拡大することが想定されるような場合には通知を遅らせることが認められます。

詳細は、下記のガイドラインをご参照ください。

個人情報保護法ガイドライン（通則編）
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/

個人情報保護委員会・報告用フォーム
https://www.ppc.go.jp/personalinfo/legal/leakAction/

（私のコメント）
今回の義務化により、今まで以上に個人情報保護委員会が日本全体の個人情報の取り扱いに関してコミットする立場が明確になり、事業者から見ても、分かりやすくなったと思います。現代の日本において、積極的にビジネスを展開すればするほど、個人情報の漏えいなどはあり得ることです。万が一の際に備えて、上記の内容を理解しておいてください。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年04月22日

改正個人情報保護法＞海外移転の際の外的要因の把握についてまとめます

（画像は個人情報保護委員会Webサイトより）

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

4月から施行された改正個人情報保護法では、個人情報を海外移転する際に「外的要因の把握」を行うことが義務付けられました。今回はこのことについてまとめておきたいと思います。

まず、個人情報の海外移転の注意点については、別の記事で取り上げましたので、ご参照ください。

改正個人情報保護法＞個人情報の海外移転に関する注意点をまとめます
https://www.pmarknews.info/kojin_joho_hogo_ho/52157329.html
海外クラウド利用は「外国にある第三者」にならないと考えてよさそうです。
https://www.pmarknews.info/kojin_joho_hogo_ho/52155459.html

さて、上記の二つの記事では、個人情報を海外に移転してよいのはどういうケースなのかについて説明しました。しかし、まだそれだけでは足らないのです。

個人情報を海外に移転する際には、移転先の国の個人情報保護法制などを把握し、必要かつ適切と考えられる個人データの安全管理措置を講ずる必要があるのです。これを「外的環境の把握」の義務といいます。

個人情報保護法第23条（安全管理措置）
　→個人情報保護法ガイドライン通則編
　　10（別添）講ずべき安全管理措置の内容

10-7　外的環境の把握
個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。

また、今回の法改正から、保有個人データに関する事項の公表の中に、その「保有個人データに対して実施している安全管理措置」が含まれましたので、外的環境の把握を行っていることもそこに記載することが必要となります。ただし、これは「本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）に置く」というものですから、必ずしもWebサイトなどで公表する必要はなく、本人から求めがあった場合だけ回答することでも認められます。

個人情報保護法第32条（保有個人データに関する事項の公表等）
　→個人情報保護法ガイドライン通則編
　　3-8-1 保有個人データに関する事項の公表等（法第32条関係）
　→【安全管理のために講じた措置として本人の知り得る状態
　　に置く内容の事例】

（外的環境の把握）
事例）個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施（※8）

(※8)外国（本邦の域外にある国又は地域）の名称については、必ずしも正式名称を求めるものではないが、本人が合理的に認識できると考えられる形で情報提供を行う必要がある。また、本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましい。

結論として、このようになります。

（１）自社の管理している個人データが、地球上のどこに存在しているのか把握する。

この場合、海外のクラウドに保存している場合も含めて把握する必要があります。

（２）自社の管理している個人データに対して、アクセス権を設定している人や法人が、地球上のどこにいるのか把握する。

これは、下記の通り、アクセス権を設定しているだけでも個人データの提供にあたるからです。

個人情報保護法ガイドライン通則編
2-17「提供」
「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報（以下この項において「個人データ等」という。）を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば（利用する権限が与えられていれば）、「提供」に当たる。

（３）上記で把握された国・地域における個人情報保護法制を把握し、必要と思われる安全管理措置を講じる。

この際、個人情報保護委員会のWebサイトに掲載されている「外国における個人情報の保護に関する制度等の調査」を参考にすることができます。

ここで、中国のように、政府の権限が大きな国に個人データが存在している／アクセス権が設定されている場合には、少し危機感を持って再検討していただく必要があります。

LINE事件では中国の委託先に対してアクセス権を設定していたことが問題視されました。それが本当に必要なのかどうか、それで自社の個人データはしっかり守られるのか、じっくり検討して、必要な措置を取ることが求められます。

（４）保有個人データに関する事項の公表等の中に、少なくとも「個人データを保管している●●国における個人情報の保護に関する制度を把握した上で安全管理措置を実施」と国名を列記して記載する。

もう少し親切にする場合には、各国の個人情報保護法制などの調査結果も記載する。

ということです。ここまでやれば、個人情報取扱事業者としての対応としては100点満点です👧

個人情報保護委員会「外国における個人情報の保護に関する制度等の調査」
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku

その他の参考URL
改正個人情報保護法（2022年4月施行）
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
個人情報保護法ガイドライン（通則編）
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
個人情報保護委員会資料
https://www.meti.go.jp/policy/it_policy/privacy/ppc_privacy_governance_seminar3.pdf

（私のコメント）
前回の「個人データの海外移転」に続き、今回は「外的要因の把握」に関する情報をまとめてみました。この内容も、法律／ガイドラインなど散在する情報を総合的に勘案しないとなかなか理解できない状態になっていて、理解しずらくなっていると思いました。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年04月14日

改正個人情報保護法＞個人情報の海外移転に関する注意点をまとめます

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

４月から施行された改正個人情報保護法について、最も混乱していると思われるのが「個人情報の海外移転」に関する事項です。

いろんな情報が交錯していて、なかなかうまくまとまった情報がありませんので、この記事でまとめておきたいと思います。

まず、改正個人情報保護法の下で、外国にある第三者への提供が認められるのは、上記の図の４つの場合のみとなります。これを順番に説明していきます。

なお、国内法人に対する場合と異なり、「委託」がこの例外とはならないことによく注意してください。委託の場合も下記の条件を満たす必要があります。

また、提供とは、個人データを自己以外の者が利用可能な状態に置くことを指し、個人データが物理的に提供されていない場合であっても、ネットワーク等を利用することにより個人データを利用できる状態にあれば（利用する権限が与えられていれば）、提供にあたるとされています。つまり、実際に海外に移転していなくても、海外の第三者からアクセス権が設定されている場合には、外国にある第三者への提供となります（2021年のLINE問題では中国の委託先から日本のデータベースにアクセス権を設定していたことが問題になりました）。こちらもご注意ください。

（個人情報保護法ガイドライン 2-17「提供」）

（１）日本と同水準の個人情報保護制度のある外国の場合

日本と同水準の個人情報保護制度のある外国にある事業者に対する提供（委託）は、認められます。具体的にはEU加盟国と英国となります。（第28条第1項）

（個人情報保護委員会資料より）

（２）基準に適合する体制を整備した事業者の場合

次に提供先（委託先）が、個人情報保護委員会が定める基準に適合する体制を整備している場合には、認められます。

ただし、下記の3つの条件を満たす必要があります。

① 国内の個人情報取扱事業者が講ずべき措置に相当する措置（相当措置）を継続的に講ずるため、下記のA)B)のいずれかを整備すること。（第28条第1項）

　A) 契約を交わすなどの方法により、相当措置の実施を確保すること。相当措置には、下記の20の項目が含まれます。
2022-04-14_21h34_19

（個人情報保護法ガイドライン・外国にある第三者への提供編より）

　B) 提供先が、個人情報の取扱いに係る国際的な枠組みに基づく認定を取得していること（APEC CBPRシステムの認証など）

② 提供先（委託先）における相当措置の継続的な実施を確保するために必要な措置として、下記のA)B)C)全てを実施すること。（第28条第3項）

　A) 相当措置の実施状況、相当措置の実施に影響を及ぼすおそれのある外国の制度の有無及び内容を定期的に確認すること
　B) 相当措置の実施に支障が生じたときは、必要かつ適切な措置等を実施すること
　C) 相当措置の継続的な実施の確保が困難となったときは提供（委託）を停止すること

③本人からの求めを受けた場合には、本人に対して下記の情報を遅滞なく提供すること。（第28条第3項）

　A) 提供先（委託先）が相当措置を実施するための体制の整備の方法
　B) 提供先（委託先）が実施する相当措置の概要
　C) 提供先（委託先）による相当措置の実施に影響を及ぼすおそれのある外国の制度の有無と内容に関する確認の頻度と方法
　D) 当該外国の名称
　E) 提供先（委託先）による相当措置の実施に影響を及ぼすおそれのある外国の制度の有無とその概要
　F) 提供先（委託先）による相当措置の実施に関する支障の有無とその概要
　G) 前号の支障に関して当該個人情報取扱事業者が講ずる措置の概要

（３）一定の事項を開示した上で、本人同意を取る場合

本人同意があれば、外国にある第三者への提供は認められますが、今回の法改正で、同意の前に以下の情報を提供することが義務付けられました。（第28条第2項）

① 当該外国の名称
② 当該外国における個人情報の保護の制度に関する情報
③ 提供先（委託先）が講ずる個人情報の保護のための措置

（４）クラウドサービスで個人データを取り扱わないこととなっている場合

クラウドサービスの場合、海外の事業者であったり、海外のデータセンターを利用している場合がありますが、この場合であっても、そのクラウド事業者が自社の個人データを取り扱わないこととなっている場合には、そもそも提供にも委託にもならないとされます。（個人情報保護委員会Q&A Q12-3）

このことについては、別に記事を書いていますので、参考にしてください。
https://www.pmarknews.info/kojin_joho_hogo_ho/52155459.html

（追加）外的環境の把握の義務があります

上記（１）から（４）の条件に加えて、外国において個人データを取り扱う場合には、安全管理措置の一環として「外的環境の把握」が求められます。これは、どの国で個人データを取り扱っているのかを明確にし、その国における個人情報の保護に関する法制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じることを指しています。（第23条）

（個人情報保護法ガイドライン通則編 10（別添）講ずべき安全管理措置の内容より）

さらに、保有個人データに関する公表事項に安全管理措置が含まれたことから、上記で把握した「外的環境の把握」の内容についても、公表に含めることとされました。（第32条第4項）

（個人情報保護法ガイドライン 3-8-1 保有個人データに関する事項の公表等）

とはいっても、各社が独自に諸外国の個人情報保護法制を調査することには困難もあることから、個人情報保護委員会が一定の国について調査を行い、その結果をWebサイト上で公表しています。

https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku

特に中国における個人情報保護法制については、厳しい内容が報告されています。

（中華人民共和国に関する調査結果）

参考URL
改正個人情報保護法（2022年4月施行）
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
個人情報保護法ガイドライン（通則編）
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
個人情報保護法ガイドライン（外国にある第三者への提供編）
https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/
個人情報保護委員会資料
https://www.meti.go.jp/policy/it_policy/privacy/ppc_privacy_governance_seminar3.pdf

（私のコメント）
以上、個人データの海外移転に関する情報をまとめてみました。正直申し上げて、この内容は法律とガイドラインだけ見ていては、とても理解しづらいと感じました。今回の記事で骨組みは表現できたと思いますが、いかがでしょうか？また、最後の「外的環境の把握」については、もう少し詳細を調査して別の記事でご紹介したいと思います。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年04月08日

情報セキュリティEXPOが、東京ビッグサイトでリアル開催中です！！

皆さんこんにちは。
プライバシーザムライ中康二です。

久しぶりのリアル巨大展示会「Japan IT Week《春》」が、東京ビッグサイトで4月6日から8日まで開催されております。

私も参加してきましたので、その様子を写真で共有したいと思います。

ウルトラマンとのコラボプロモーションを始めたHENNGEさんが、ゆりかもめの駅から広告ジャックしてます。

今回、東館で開催の「Japan IT Week」に加えて、西館では「ライフスタイル Week」「ファッションワールド東京」、南館では「JapanマーケティングWeek」が同時開催され、RX Japan（旧:リードエグジビションジャパン）だけでほぼ全館貸し切り状態となっています。

この雰囲気、久しぶりですね。

入り口で検温と手の消毒が実施され、会場内ではマスク着用義務です。

会場に入るとすぐにウルトラマンに目が行きます（HENNGE社ブース）

なんだか懐かしいような、知らんような、怪獣たち（HENNGE社ブース）

テレワークの普及でさらに注目度が増すCACHATTO（e-Janネットワークス社ブース）

SMS認証よりも簡単で誰にでも使ってもらえる着信認証。日本で独自に開発しているそうです。（オスティアリーズ社ブース）

ステージの講師の周りを透明パネルで覆っています（日立ソリューションズ・クリエイト社ブース）

今や知らない人がいなくなった名刺管理サービスのSanSan。久しぶりにお話をお聞きしました。（Sansan社ブース）

こちらはマーケティング関係の場所ですが、Youtubeプロモーションを容易に効果的にするWebサービス「kamui tracker」を案内しています（EVIRY社ブース）

というわけで、駆け足でご紹介してまいりました。

実際のところ、展示会場の中で、感染リスクがありそうなシチュエーションには遭遇しませんでした。安心して展示会を楽しめましたよ。（お食事の時だけ注意していただければと思います）

皆さんもぜひ足を運んでいただければと思います。

参加申し込みはこちらから
www.japan-it-spring.jp/ja-jp/about/ist.html

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年03月25日

JIPDECがプライバシーマークの運営要領を改訂～4月1日から施行～

（画面はプライバシーマーク公式Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、プライバシーマークの実施要領を改訂し、4月1日より施行すると発表しました。

今回の改訂は、

　欠格事項及び判断基準（JIP-PMK510）
　個人情報の取扱いに係る重大な事故等についての対応手続き（JIP-PMK511）
を廃止し、
　プライバシーマーク付与適格性審査の実施基準（JIP-PMK220）
　プライバシーマーク付与に関する規約（JIP-PMK500）
の内容を変更するものです。

これにより、事業者に影響がある変更点は、下記の通りと思われます。

（１）事故等の報告義務の厳格化

従来、JIP-PMK500の文書の中で、個人情報の取り扱いに関する事故を起こした場合には、「可及的速やかに」審査機関に報告しなればならないとされていましたが、具体的な日数などは記載されていませんでした。今回の改訂後は、「原則として30日以内に」報告することが義務付けられました。

また、下記の条件にあたる場合には、「速報として概ね3～5日以内に」報告することとされました。
　①要配慮個人情報が含まれる事故（またはその恐れがある）
　②財産的被害が生じる恐れがある事故（または発生した恐れがある）
　③不正アクセスによる事故（またはその恐れがある）
　④個人データの本人の数が1000件を超える事故（またはその恐れがある）
　⑤その他、付与機関がPマーク審査基準における重大な違反がある（またはその恐れがある）と認める場合　

（２）本人通知の義務化

今回の法改正により、本人通知の義務化が行われましたが、プライバシーマークの実施要領の中でも同じ基準での本人通知の義務が記載されています。ここまでは法対応なので、特に記載されていてもいなくても事業者には実施義務が発生しますが、さらに新しいJIP-PMK500の文書では「正当な理由なく公表しない付与事業者に対して、当該事項の公表を要請することができ」るとしています。審査機関、付与機関としてもここに関してコミットしようということのようです。

（３）事故などによる欠格性の判断におけるレベル制の廃止

従来、JIP-PMK510の文書の中で、事故などによる欠格性を判断する際、0から10までの数字で表現された欠格レベルを使用していました。今回の改訂後は、この数字による欠格レベルは廃止され、様々な要因を総合的に判断して措置が決定されることになったようです。

改訂前

改訂後

（４）欠格事由の記載の変更（実質的な変更はないと思われます）

従来、JIP-PMK510の文書の中で、プライバシーマーク付与適格性を有しないものとして、「インターネット異性紹介事業者」という項目があり、詳細に条件が記載されていました。今回の改訂後は、JIP-PMK500の文書の中で「付与機関（JIPDEC）が指定する業種、業態、サービス等」という表記になり、具体的には「『性風俗関連特殊営業』『インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律に違反している者』」として、プライバシーマークのWebサイトに掲載することになったようです。

https://privacymark.jp/news/system/2022/0228_1.html

（コメント）
同じく4月1日に施行される改正個人情報保護法と歩調を合わせた変更です。皆様ご対応ください。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年03月05日

「2022年4月個人情報保護法改正・Pマーク新審査基準対応セミナー」の動画を公開しました。【プライバシーマーク取得事業者向け】

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

2022年2月22日に開催した「2022年4月個人情報保護法改正・Pマーク新審査基準対応セミナー(Pマーク担当者勉強会)」。

皆さんの関心にあったテーマということもあり、全国から350名を超えるプライバシーマークの実務担当者の皆様にリモート参加していただきました。

私プライバシーザムライが、
------------------------------------------------------------
4月に施行される改正個人情報保護法とPマーク新審査基準に対して、
プライバシーマーク取得事業者としてどのように対応するべきか
------------------------------------------------------------
について、いくつかの資料を使用しながら解説させていただきました。

当日参加できなかった方や、参加されなかった方にも参考にしていただけると思いますので、動画を公開いたします。また資料のダウンロード提供も行いますので、参考にしていただきたいと思います。

--------------------------------------------------------
タイトル：Pマーク担当者勉強会
「2022年4月個人情報保護法改正・Pマーク新審査基準対応セミナー」
講師：プライバシーザムライ・中康二
視聴先：オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------

なお、全編の視聴と資料のダウンロード提供には申し込みが必要です。
下記からお申し込みください（無料）。
https://www.optima-solutions.co.jp/form_kaisei_p_2022

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2022年03月03日

改正個人情報保護法＞WebサイトにGoogleやFacebookのタグを埋め込んだだけでは個人関連情報の提供にはならないようです

（画像は個人情報保護法ガイドラインQ8-10より。画像の中の「法第26条の2」は、2022年4月施行法においては「法第31条」となります）

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

先日、個人情報保護法改正＆プライバシーマーク新審査基準対応のためのプライバシーマーク担当者勉強会を開催した際、いくつか気づいたことがありましたので、このWebサイト上でも何回かに分けて取り上げたいと思います。

今回取り上げるのは、「WebサイトにGoogleやFacebookのタグを埋め込むことは個人関連情報の提供になるのか」ということです。

2022年4月に施行される改正個人情報保護法第31条では、生存する個人に関する情報ではあるものの、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを「個人関連情報」といいます。

例えば、下記のようなものが個人関連情報にあたります。
・どこの誰かは分からないけれども、ある時間に、あるIPアドレスから、あるWebページを閲覧したという記録
・どこの誰かは分からないけれども、ある時間に、ある人が、ある商品を、ある価格で購入したという記録

この個人関連情報を自社以外の第三者に提供した場合に、提供先において、何らかの方法により個人情報と関連付けることができるという場合には、あらかじめ本人の同意が必要になります。これが「個人関連情報の提供の制限」です。

ちなみにこの場合の本人同意は、原則として提供先が取得することになります。

そうすると、当然こんな風に考えますよね？

・Facebookのいいね！ボックスを自社のWebサイトに埋め込んでいる場合、自社のWebサイトに誰かがアクセスしてきた際に、Meta社（Facebook運営会社）に自動的に情報が飛んで、アクセスしたことがFacebookに伝わる。自社ではそれが誰か分からないけれども、Meta社では利用者のアカウント情報と紐づけすることでそれが誰か分かるのだから、これは個人関連情報の提供になるのではないか？

・Googleアナリティクスのタグを自社のWebサイトに埋め込んでいる場合、自社のWebサイトに誰かがアクセスしてきた際に、Google社に自動的に情報が飛んで、アクセスしたことがGoogleに伝わる。Googleはこの情報をGoogleアカウントと紐づけているのかどうか明確にはしていないけれども、紐づけている場合にはGoogle社ではそれが誰なのか分かるのだから、これは個人関連情報の提供になる可能性があるのではないか？

実際、私はそのように思っていました。

これに関して、個人情報保護委員会がまとめている個人情報保護法ガイドラインのQ8-10を見て、驚きました！

Ｑ８－10 A 社が自社のウェブサイトに B 社のタグを設置し、B 社が当該タグを通じて A社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A 社は B 社にユーザーの閲覧履歴を提供したことになりますか。
→はい。まさにそういう時のことを知りたかったのです

個別の事案ごとに判断することとなりますが、A 社が B 社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A 社が B 社に閲覧履歴を「提供」したことにはならず、B 社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。このため、B 社がそのタグを通じて閲覧履歴を取得することについて、法第 26 条の２（原文ママ、正しくは法第31条）第１項は適用されないと考えられます。
→Facebookのいいね！ボックスや、Googleアナリティックスのタグを埋め込んだとしても、自社ではそのタグで収集される閲覧履歴は取り扱うわけではないので、その先、Meta社やGoogle社がユーザーIDを紐づけしていたとしても、していないとしても、自社からの個人関連情報の提供にはならない！

ということが分かりました！

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

（私のコメント）
このQ&Aを見た時、かなり衝撃が走りました。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ