2021年04月08日

次の改正個人情報保護法の施行日が2022年4月1日に決まりました。～法人向け1億円の罰金は施行済み～

（画像は個人情報保護委員会・公式Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

2020年6月に成立した改正個人情報保護法の施行時期について、個人情報保護委員会は2022年4月1日に施行すると発表しました。

また、個人情報データベース等の不正提供等の場合の法人向け罰金（最大1億円）など、法定刑の引き上げについては、昨年12月12日に施行されていると合わせて発表しております。

https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#shikoubi

（私のコメント）
昨年12月の法定刑引き上げについては、私も追いかけ切れておらず、失礼いたしました。なお現在、国会で審議中の改正個人情報保護法（個人情報保護法の官民一元化法案）についても、今国会で成立した場合には交付から1年以内に施行するとなっており、おそらく来年4月の同じタイミングで施行されることになるのではないかと思います。

https://www.pmarknews.info/kojin_joho_hogo_ho/52138278.html

また、今回の個人情報保護法の改正点については、下記の動画で詳しく説明していますので、ご参照ください。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年04月01日

個人情報保護委員会がLINEに立ち入り検査を実施

（画像は個人情報保護委員会Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会は、LINE株式会社の個人情報の取り扱いについて、適法性が問われる事態になっていることに関して、現在の取組状況を公表しました。

公表された内容によると、3月19日に同社に対して報告の徴収を行い、同社から回答を得たとのことで、3月26日に上記の文書が発表されました。また、マスコミでの報道では、3月31日に同社に対する立ち入り検査も実施したとのことです。

今回、適法性が問われているのは
個人情報保護法第22条（委託先の監督）
個人情報保護法第24条（外国にある第三者への提供制限）
とのことです。

詳細は明らかにされてはいませんが、
（１）委託先である中国の開発会社からLINEの顧客データベースにアクセスできるようになっており、実際にアクセスされていたこと
（２）LINEのトークのやり取りのデータが韓国のデータセンターに収められていたこと
について、調査が行われていると思われます。

（私のコメント）
現在の個人情報保護法では、外国にある第三者へ個人情報の取り扱いを「委託」する場合には
①委託先がEUに所在すること
②委託先が日本の個人情報保護法の義務規定と同水準の体制を持っていること
③法令に基づく場合など例外の場合
④本人が同意していること
のいずれかを満たすことが求められます。

今回の場合は②または④が適用になります。同社が本当に委託先に日本と同水準の義務規定を満たさせていたのか、または本当に本人の同意を取っていたのか、そのあたりが焦点になるのではないかと思います。

個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）
https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年03月29日

今回のLINEの問題をきっかけに「長すぎるプライバシーポリシー」に警鐘を鳴らす！

（画像はLINEのプライバシーポリシーより）

皆さんこんにちは。
プライバシーザムライ中康二です。

LINEの個人情報の取り扱いが問題になっています。

主に今回取り上げられているのは
（１）委託先である中国の開発会社からLINEの顧客データベースにアクセスできるようになっており、実際にアクセスされていたこと
（２）LINEのトークのやり取りのデータが韓国のデータセンターに収められていたこと
です。

私もLINEのユーザーです。韓国NAVER社の日本法人であった同社が、東日本大震災のあと、人と人とつなげるインフラを作りたいとの考えからLINEを立ち上げたことや、分かりやすいUI／親しみやすいスタンプなどを武器に利用者を拡大し、世界中に利用が広がっていることなど、頼もしく感じています。今回の問題に関しても、極端に反応するべきではなく、経営統合されたヤフーのコンプライアンスの元でやるべきことをやっていけばいいと思っています。（よく考えるとこのページを更新しているlivedoor BlogもLINEの運営でした☺️）

ただし、私、個人情報保護と情報セキュリティを社会に啓発するプライバシーザムライとしては、ここで少し違う視点から問題を指摘したいと思います。

それは【長すぎるプライバシーポリシー】問題です。

同社のプライバシーポリシー（リンクを下に貼っておきます）はいかんせん長すぎて、何を書いているのか普通の人には理解しづらくなっています。私もすべてを理解したとは言えません。それが今回の問題の原因の一つになっているのではないかということです。

そもそも、日本の個人情報保護法では、下記の5項目をWebサイトなどで公表することとされています。

（１）個人情報の利用目的（第18条）
（２）個人情報を第三者に提供する場合はその旨（同意が必要）（第23条）
（３）個人情報を共同利用する場合はそれに関する項目（第23条5の3）
（４）外国にある第三者へ提供する場合はその旨（場合により同意が必要）（第24条）
（５）保有個人データに関する事項の公表（第27条）

これらの各点について、LINEのプライバシーポリシーではどのように記載しているのかを順番に見ていきたいと思います。

（１）個人情報の利用目的（第18条）

やはりいちばん重要なのは「個人情報の利用目的」です。（取り扱う個人情報の項目ではなく）取り扱う個人情報の利用目的を明確にして本人に分かるようにするのが、個人情報保護法の大原則です。

個人情報保護法第18条では「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない」とされており、さらに個人情報保護委員会のガイドラインでは「利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」「単に『事業活動』、『お客様のサービスの向上』等のように抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解される」とされています。

さて、LINEのプライバシーポリシーの中から、利用目的の部分を抜粋してみましょう。

（クリックすると拡大します）

どうですか？ひとことで言って長過ぎます。

冒頭の「当社サービスの提供・維持」は漠然としすぎています。「できる限り具体的に特定したことにはならない」の例にあたります。

次のレベルの「4.a. サービスの提供・維持」の中の「当社は、お客様から要請のあったサービスの提供や問い合わせ対応、キャンペーン応募のために必要な情報を利用します」は、ある程度できる限り具体的に特定している説明と言えましょう。

その次には「例えば、以下のような場合、当社はサービスの提供・維持のためにパーソナルデータを利用します」とあり、細かな利用目的が列記されていますが、これは無意味です。なぜなら法律では例示は求められていないからです。すべてを網羅する利用目的を最も簡潔に表現することが求められています。（「例えばA、B、Cです」といくら細かく説明しても、他にDの利用目的があるのならそれを本人が理解できなければ意味がない）

本来、この利用目的の部分は、下記のように簡潔に記載できると思います。

------------------------------------------------------------
当社の個人情報の利用目的は下記のとおりです。
１）お客様から要請のあったサービスの提供や問合せ対応、キャンペーン応募のため
２）当社サービスの開発と改善のため
３）セキュリティや不正利用対策を促進するため
４）お客様に広告を含むおすすめのコンテンツを提供するため
------------------------------------------------------------

これでいいのです。この5行のテキストによって利用者は利用目的を理解し、LINE社はその枠の中で自由に個人情報を利用できるのです。これが個人情報保護法の求めている「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」というあるべき姿なのです。長々と不要なことを書く必要はありません。

（２）個人情報を第三者に提供する場合はその旨（同意が必要）（第23条）
（３）個人情報を共同利用する場合はそれに関する項目（第23条5の3）
（４）外国にある第三者へ提供する場合はその旨（場合により同意が必要）（第24条）

次に提供の部分を抜粋してみましょう。ここは上記の３つの項目が関係します。

（クリックすると拡大します）

これまた長々と書きすぎています。

冒頭の部分で、第三国への移転のことを記載していますが、同じことを何回も書いています。単に「お客様のお住いの国または地域と同等の個人データ保護法制を持たない第三国に個人情報を移転する場合があります」と簡潔に書けば足りるはずです。

また、共同利用については、共同利用の範囲を「グループ会社」とだけしており、明確になっていません。個人情報保護委員会のガイドラインでは「共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある」「当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない」とされています。LINEのグループ会社がどの事業者までなのかはこのプライバシーポリシーには明記されておらず、LINEのWebサイトのどこにも明記されていません。これでは「本人がどの事業者まで利用されるのか判断できる」とは言えないと思います。これだけ長々と書いているのに、肝心の必要な情報が抜けているのです。

また、下記は安全管理の項目には「主要なパーソナルデータの保管を、当社の所在する日本の安全なサーバーで行っています」と記載されています。今回の問題で「主要ではない情報が韓国のサーバーに保管されていた」ことが判明したわけですが、こういう「主要な」という曖昧な言葉をプライバシーポリシーの中で記載することは極めて不適切であると言えます。

（５）保有個人データに関する事項の公表（第27条）

保有個人データの開示請求に答えることは個人情報取扱事業者の義務であり、それに関する手続きの方法などを「本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）に置く」こととされています。多くの場合では、プライバシーポリシーなどに明記することで本人に分かりやすく伝えるようにしています。こんなに長々と書くのであれば、その中にそれを記載するのは当然とも言えましょう。

さて、これに関する記載はここかな？

これまた長々と書いてありますが、よく読むとどこにも「保有個人データの開示の手続きの方法」は記載されておらず、「自分で更新できるようなシステムを用意しているから自分で権利を行使してください」ということを長々と書いてますね。

結論として、LINEは保有個人データに関する事項の公表は「本人の求めに応じて遅滞なく回答する」（＝問い合わせがあったら個別に対応する）こととしているようです。長々と書いている割には肝心のことは書いてないということが分かりました。

LINEプライバシーポリシー
https://line.me/ja/terms/policy/
個人情報保護法
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057_20201212_502AC0000000044
個人情報保護委員会ガイドライン
https://www.ppc.go.jp/personalinfo/legal/2009_guidelines_tsusoku/

（私のコメント）

以上、現在物議を醸しているLINEのプライバシーポリシーを解読し、長々と何が書いてあるのかを解読し、本来はどうするべきなのかも少し書きました。

同社のプライバシーポリシーは、長いのにも関わらす、法律が求めている事項を抜かしていたり、とにかく褒められるべき内容ではありませんでした。

長すぎるプライバシーポリシーは、単に長くて難しいというだけではありません。それは利用者と事業者の関係をあいまいにする結果を生み出しています。利用者に読む気をなくさせ、結果として誤解を招き、事業者側に言い訳の余地を残すと思います。

LINE社員ですら、内容を理解できないんじゃないでしょうか。顧客の個人情報をどこまで扱ってよくて、どこからはダメなのか、社員も理解できていないから、今回のような問題が起こったのではないでしょうか？

同社が現在の長いプライバシーポリシーを見直し、必要なことだけを簡潔に記載した内容に変更することを強く求めたいと思います。

また、同様に長々としたプライバシーポリシーをWebサイトに掲載している事例は他社にもたくさんあると思います。日本のビジネス界ではプライバシーポリシーを定める際に他社事例を複数参照して、適当に合体させて自社のものにするということが以前からまかり通ってきました。ですから、このLINEのプライバシーポリシーも、それが放置されていると他社にも伝染していくことを私は面白くないと思っています。

このような長々したプライバシーポリシーを掲載することで、利用者を煙に巻くような姿勢は褒められることではありません。ましてや見本にするべきでもないですし、そんなことを個人情報保護法が求めているものでもないことをはっきりここに明記しておきます。

今回の問題の解決のために設立された専門家委員会の中には個人情報保護法の専門の方も複数いらっしゃると思います。今回を機会に、日本の「長すぎるプライバシーポリシー」問題が少しは見直されるように動いていただけることを期待いたします。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ　中康二
（オプティマ・ソリューションズ株式会社　代表取締役）

2021年03月27日

システム開発会社の社員が、証券会社の顧客情報を盗み出して2億円を着服した事件が発生

（画像は両社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

オンライン証券大手の松井証券株式会社から、システム開発業務を受託していたSCSK株式会社の社員(当時)が、業務上知りえた松井証券の顧客情報を利用して、松井証券のサービスに不正ログインし、2億円以上を着服していた事件が発生しました。

同社員は、松井証券の顧客データベースから本物の「ログインID」「パスワード」「取引暗証番号」などを盗み出して悪用し、顧客と同姓同名の銀行口座を不正に作成して現金の引き出しに利用していたとのことです。

この社員は電子計算機使用詐欺罪等の容疑で警視庁に逮捕され、また懲戒解雇されているとのことです。この事件は、実際に行われたのが2017年～2019年であり、発覚したのが2020年とのことですが、捜査に協力する必要性からこれまで公表が控えられていたとのことです。

松井証券のリリース
https://www.matsui.co.jp/parts/pdf-view/web/viewer.html?file=/company/ir/press/pdf/pr210324.pdf
SCSKのリリース
https://www.scsk.jp/news/2021/pdf/20210324.pdf

（私のコメント）
まあ恐ろしい事件ですね。ベネッセ事件でもそうでしたが、システム開発や運用を実際に行う人が悪意を持って動くとこういうことは起こりえると言えるのかもしれません。ただし、パスワードや取引暗証番号はハッシュ化（復号できないように変換すること）して、顧客本人以外には分からないようにするなど、出来心を許さないシステムにすることが重要なのだと思います。

また詳細は公表されておらず真相は不明ですが、同姓同名の銀行口座をどのように不正に作成したんでしょうね。特殊詐欺対策もあり、銀行口座を作る際のチェックは厳しくなっています。もしかして顧客が登録した本人確認書類を一部利用した可能性もあるのかなと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2021年03月23日

「Pマーク／ISMSのためのE-Learning活用セミナー」の動画を公開しました

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

当社では「Pマーク／ISMSのためのE-Learning活用セミナー」を昨年12月にリモート形式で開催いたしました。

現在の新型コロナ下でプライバシーマーク／ISMSの定期教育にお困りの担当者様にも参考に参考にしていただけると思いますので、配信動画を元に編集したものを無料配信いたします。

--------------------------------------------------------
タイトル：「Pマーク／ISMSのためのE-Learning活用セミナー」
講師：プライバシーザムライ中康二（オプティマ・ソリューションズ・代表取締役）
視聴先：オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------

なお、全編の視聴には申し込みが必要です。
資料PDFもダウンロード提供します！
下記からお申し込みください（無料）。
https://www.optima-solutions.co.jp/form_elearning_seminar

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

今後も皆様の役に立つ動画を掲載していきます。
ご期待ください！

2021年03月22日

子供が個人情報をアップすることでどのように犯罪に巻き込まれるのか（個人情報保護委員会が子供向け啓発動画を公開）

（画面は政府インターネットテレビより）

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会が、個人情報保護の重要性を啓発するための子供向け動画を、政府インターネットテレビ上で公開しました。

今回の動画は、特に子供を狙う悪質な犯罪者の存在に焦点をあて、SNSやネットゲームを利用している子供がどのようにして犯罪に巻き込まれるか、分かりやすく解説しています。

政府インターネットテレビ
https://nettv.gov-online.go.jp/prg/prg22341.html
個人情報保護委員会・キッズページ
https://www.ppc.go.jp/news/kids/

2017年の記事
https://www.pmarknews.info/kojin_joho_hogo_ho/52086819.html

（私のコメント）
今回公開された動画は、単に個人情報を掲載することの潜在的なリスクだけではなく、実際の犯罪にどのように巻き込まれるのかを分かりやすく解説しており、大人が見ても参考になるものだと思います。ぜひ最後まで見てみてください。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2021年03月11日

セールスフォースに登録した顧客情報が意図せず外部から参照された件について

皆さんこんにちは。
プライバシーザムライ中康二です。

今や世界No.1のCRMサービス企業に成長した
セールスフォース・ドットコム。

国内でも多くの企業で利用されています。

そのセールスフォースに登録した顧客情報が、
意図せず外部から閲覧可能な状態になっていて、
個人情報が流出してしまう事態が昨年から頻発しています。

　PayPay
　楽天
　イオン銀行
　freee
　全日本空輸

など、著名な企業から同様の発表が続いています。

これは何なんでしょうか？
今回はこれについて少し解説したいと思います。

セールスフォースは、一言でいえば、顧客データベースサービスです。
顧客の名前や住所、電話番号、メールアドレスなどを登録できます。

手入力で登録している場合もあるでしょうし、
Webフォームなどを利用して、顧客自身が自動的に登録する場合もあります。

そのようにしてデータベースに自社の顧客の個人情報が蓄積されていき、
それを業務に活用しようというものです。

顧客データベースですから、100％のセキュリティが求められます。
同社のサーバーには世界最高水準のセキュリティ対策が施され、
不正アクセスが発生しないように24時間365日監視されている。
その信頼の元に世界中で利用されてきました。

ところが、セールスフォースが自社のサービスの機能を拡張する中で、
その肝心な顧客データベースの内容を誰でもが見える状態に
なぜかなってしまっていたのです。

もちろん、全ての情報ではありません。
利用している企業が特定の利用方法をしていて、
権限などを正しく設定していなかった場合にそれが発生しました。

問題なのはそれらの機能が後から追加されたものであり、
利用している企業が外部から参照できる状態になっていることに
気づいていなかったことにあります。

今回、そのような事態が発生したのは下記の3条件が重なった場合のようです。
（１）Salesforceの「サイト」機能が有効になっている。
　　サイト機能というのは、「http://●●●●.force.com」というURLで
　　Webサイトを構築できる機能のようです。
（２）「ゲストユーザのLightning機能」が有効になっている。
（３）ゲストユーザに参照権限が与えられている。

このような設定で利用されている場合には、
セールスフォースに登録した顧客情報に予期せず外部から閲覧されてしまう可能性があります。

セールスフォースをお使いの場合には、いま一度、
利用状況や設定を確認されることをおススメします。

参考URL
https://www.salesforce.com/jp/company/news-press/stories/salesforce-update/
https://piyolog.hatenadiary.jp/entry/2020/12/28/060000
https://medium.com/@moniik/attack-about-salesforce-lightning-platform-e5de140a4816

（私のコメント）
実は当社でも創業の頃からセールスフォースを活用しています。手持ちの顧客リストをアップロードして、「うわあ、クラウドにこんな情報を載せていいのか」なんてヒヤヒヤしながら実行したのが懐かしいです。その後、2007年に日本郵政で採用され、2008年に日本法人がプライバシーマークを取得し、日本のビジネス界にどんどん浸透してきました。
現在、当社ではWebフォームからお問い合わせやセミナー申し込み内容を入力していただいた時点から、商談／契約／サービス提供までの一連の流れをセールスフォースで管理しており、当社にとって欠かせない存在となっています。
そんな訳で、同社とはお付き合いもありますし、ベースとしては好意を持ってみていますが、今回の事態はかなり深刻なものと言わざるを得ません。
特に私が問題だと思うのは、同社の情報発信内容です。参考URLの一つ目が同社からの説明文ですが、一読しても直感的に理解できないですよね。同社の技術文書は本当に分かりづらく、私もいつも苦労しています。今回は「分かりにくい説明文が、深刻な事故を招く」まさにその実例と言えるのではないかと思います。
同社にはリーディングカンパニーとして、情報セキュリティの水準アップを実現するためにも、もう一段レベルアップした分かりやすさを要望したいと思います。これは本当に重要なことです。

何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年03月05日

ドコモ口座事件の情報の出どころはソフトバンクだった～銀行の暗証番号数字4桁を他では使わないように～

（画像はドコモ口座公式Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

昨年、大きな話題となった「ドコモ口座事件」では、架空に作成されたドコモ口座に、実在の銀行口座が登録されて、口座の残高がどんどん吸い取られてしまいました。

ドコモ口座のセキュリティが甘かったのは事実です。
銀行口座の口座番号と4桁の暗証番号だけがあれば登録できました。
そのことで、ドコモは社会的に非難され、お詫び会見を開く事態に追い込まれました。

それでも、そもそも口座番号と暗証番号の組み合わせは
どこから入手したのだろうという疑問が残っていました。

過去にはゴルフクラブの貴重品ボックスから流出したことがありました。
その時はこんな方法でした。
------------------------------------------------------------
・ゴルフクラブの顧客が貴重品ボックスの暗証番号に銀行と同じ4桁を設定して財布を預ける
・貴重品ボックスには盗難対策として監視カメラがついていて、登録した数字4桁が読み取れるようになっていた
・顧客がゴルフプレイをしている間に、従業員が監視カメラの映像から数字4桁を読み取り、その数字4桁でロッカーを開け、財布の中の銀行カードをスキミングしてデータを複写
・複写したデータから銀行カードを複製し、記録しておいた4桁の暗証番号で預金を引き出す
------------------------------------------------------------
恐ろしいですよね。でもこれは実際に起った事件です。

最近の報道によると、今回のドコモ口座事件の流れはこういうことだったようです。
------------------------------------------------------------
・ソフトバンクの代理店の店頭で、顧客が自動引落で支払うために銀行の口座番号を記入する
・同時に顧客がソフトバンクのネットワーク暗証番号として銀行と同じ4桁を記入する
・代理店の店長が、氏名や連絡先と一緒に、口座番号と暗証番号をエクセルシートに保管する
・その情報を使用してドコモ口座に銀行口座の情報を登録する
・ドコモ口座を使って残高を不正に利用する
------------------------------------------------------------

これまた恐ろしい話ですね！

しかし、銀行の数字4桁の暗証番号をホイホイと関係のないソフトバンクの登録用紙に書いてしまったのがそもそもの原因なのです。

そういうことをしていない人は、ゴルフクラブの例でも、今回のドコモ口座の例でも、被害を免れているのです。

（今回の教訓）
金融機関の数字4文字を、関係のないところで使用しないこと
スマホの暗証番号なんかにも使っちゃだめですよ😅
これに尽きますね。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2021年02月25日

Pマーク担当者勉強会「新型コロナ下におけるPマーク審査の動向」の動画を公開しました

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

当社では「新型コロナ下におけるPマーク審査の動向・Pマーク/ISMS担当者勉強会」を昨年11月にリモート形式で緊急開催いたしました。

現在の新型コロナ下でプライバシーマークの審査対応にお困りの担当者様にも参考に参考にしていただけると思いますので、配信動画を元に編集したものを無料配信いたします。

--------------------------------------------------------
タイトル：「新型コロナ下におけるPマーク審査の動向・Pマーク/ISMS担当者勉強会」
講師：プライバシーザムライ中康二（オプティマ・ソリューションズ・代表取締役）
視聴先：オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------

なお、全編の視聴には申し込みが必要です。
資料PDFもダウンロード提供します！
下記からお申し込みください（無料）。
https://www.optima-solutions.co.jp/form_corona

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

今後も皆様の役に立つ動画を掲載していきます。
ご期待ください！

2021年02月18日

個人情報保護法一元化法案が出てきました～今の国会で成立→えっ来春施行？～

（画像は内閣官房Webサイトより。クリックするとPDFが開きます）

皆さんこんにちは。
プライバシーザムライ中康二です。

官民で分かれていた個人情報保護法を一つにまとめる法改正が行わようとしていることは、このBlogでも何回かお知らせしてきました。

ついにその法改正案が閣議決定されて、公表されました。

なんと
------------------------------------------------------------
デジタル社会の形成を図るための関係法律の整備に関する法律案
------------------------------------------------------------
という名称のものです。

この法律案は、50以上の法律を一気に改正する内容となっており、
内容は多岐にわたり、分量も膨大なものです。（法案がA4縦で369ページもあります）

しかし！この法律の主眼は「個人情報保護法一元化」にあることも
間違いのないところです。

タイトル画像に採用した「法律案の概要」をよく見ていただきたいです。
今回の改正の趣旨は下記の3つとなっています。

（１）個人情報保護制度の見直し（＝個人情報保護法の一元化）
（２）マイナンバーの活用拡大と、マイナンバーカードの利便性の向上
（３）押印・書面の公布を求める手続きの見直し

つまり、個人情報保護法一元化に加えて、ここ数年大きな関心を呼んでいる
マイナンバーとマイナンバーカードの活用拡大、
それに菅政権の目玉（？）になっているハンコ廃止運動の3つを同時に
デジタル改革の旗のもとに一気に実現してしまおうという
意欲的な法改正となっています。

内容があまりにも膨大なため、まだ私も全体を精査できていません。
ただし、民間事業者向け義務規定には全く変更がないようで、
単に条番号が変わったりするだけのようですので、そこはご安心いただきたいと思います。

今回の発表で一番驚いたのは
「公布から一年以内に施行」となっていることでした。
（タイトル画像の赤枠で囲ったところを見てください）

ということはすなわち。。。。

2020年に成立した改正個人情報保護法（2022年春施行予定）
は、そのままの状態で施行されるのではなく、
今回の
2021年に成立する予定の改正個人情報保護法
と合体して、一緒に2022年春に施行させようということのようです。

（ホントなのかな？でもそういう風に読み取れます）

個人情報保護委員会Webサイト
https://www.ppc.go.jp/personalinfo/minaoshi/

（参考記事）

個人情報保護法の民間／行政一元化法案が固まったようです～2021年通常国会に提出の見込み～
https://www.pmarknews.info/kojin_joho_hogo_ho/52136865.html

今回の改正個人情報保護法の施行は「2022年春」に決まりました
https://www.pmarknews.info/kojin_joho_hogo_ho/52126604.html

2020年改正個人情報保護法が成立、2022年までに施行の見込み
https://www.pmarknews.info/kojin_joho_hogo_ho/52124828.html

（私のコメント）

みなさんついてこれてますか～～？
個人情報保護法はほんとに変化が早すぎて、追いかけるのも大変です！

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年01月26日

Pマーク／ISMS担当者勉強会「ISO27701って何だ？」をリモート開催します！(3月17日)

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）

皆様、新型コロナの影響が社会全体に暗い影を落としている中、
お元気にお過ごしでしょうか😃

コロナコロナと言っていても、一円の得にもなりませんので、
各自、自分の仕事をガンガン進めていきましょう！！！

さて、そういうことで、わたくしプライバシーザムライとしては、
また「Pマーク／ISMS担当者勉強会」をリモートで開催したいと思います。

今回は今いちばんホットな話題である「ISO27701」を取り上げたいと思います。

ISO27701って何なんでしょうか？

・世界初？個人情報保護に特化したISO規格
・ISMS（ISO27001）に上乗せとして運用される認証制度
・プライバシーマークと違って部署限定で取得できるメリットがある
・国際標準の個人情報保護規格としてGDPRに完全対応？

プライバシーマークとISMSの間に存在する規格であることは間違いないのですが、
それは事業者にとってメリットがあるのか、ないのか、
小回りを効かせることができるのかどうか、
流行るのか流行らないのか、
まだまだ未知数です。

まず、規格そのものの内容や、現段階で決定している事項を中心に整理し、
皆様と情報を共有できればと思います。

講師は、私プライバシーザムライが担当いたします。

なお、単にお話を聞いていただくだけではなく、
セミナーの途中で皆さん同士で意見交換をしていただく
ブレイクアウトセッションも予定しております。

皆さんの側もカメラとマイクを使えるように準備しておいてくださいね。

※カメラとマイクONが難しい方はチャットでご参加いただきますね。

皆様、どうぞお気軽にご参加くださいませ！

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介

プライバシーザムライ中康二(なかこうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル：ISO27701って何だ？

日時：2021年3月17日（水）16時から17時半
場所：リモートで開催（Zoomを利用します）
講師：プライバシーザムライ中康二
参加費：無料（1社2名様まで）
参加対象者：プライバシーマーク／ISMS取得事業者の役員、担当者の方

主催：オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓
　　　　　　↓↓↓↓↓↓↓↓↓↓↓↓↓

皆さんとオンラインにてお会いできるのを楽しみにしております！
プライバシーザムライ　中康二

2021年01月21日

個人情報保護法の民間／行政一元化法案が固まったようです～2021年通常国会に提出の見込み～

（画像は内閣官房Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

日本の個人情報保護法は、その成立の歴史的経緯から「行政向け」「独立行政法人向け」「民間事業者向け」「地方自治体ごとの条例」などに分かれていました。

政府の関係者は、過去一年間をかけてこれらを一元化するために見直しの作業を進めてきました。この度、その法案が固まり、現在開会されている2021年通常国会にかけられることになったようです。

法案は閣議決定がなされるまでは非公表のようです。現在参照することができるのは法案の元となった「個人情報保護制度の見直しに関する最終報告」という文書までです。

この内容によると、今回の見直しは下記のような内容となっています。

「個⼈情報保護法」「⾏政機関個⼈情報保護法」「独⽴⾏政法⼈等個⼈情報保護法」を一つの法律に統合するとともに、地⽅公共団体の個⼈情報保護制度についても統合後の法律において全国的な共通ルールを規定する。

個人情報保護法制全体の所管を個⼈情報保護委員会に⼀元化。

医療分野・学術分野の規制を統⼀するため、国公⽴の病院、⼤学等には原則として⺠間の病院、⼤学等と同等の規律を適⽤。

学術研究分野を含めたGDPRの⼗分性認定への対応を⽬指し、学術研究に係る適⽤除外規定について、⼀律の適⽤除外ではなく、義務ごとの例外規定として精緻化。

個⼈情報の定義等を国・⺠間・地⽅で統⼀するとともに、⾏政機関等での匿名加⼯情報の取扱いに関する規律を明確化

次は閣議決定が行われた後に、法案が明確になると思われます。

https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/
個人情報保護制度の見直しに関するタスクフォース
決定事項等の項目にある「個人情報保護制度の見直しに関する最終報告」
「個人情報保護制度の見直しに関する最終報告概要」をご参照ください。

（私のコメント）
とても大きな話です。民間事業者向け義務規定に大きな見直しはなさそうですが、昨年成立した改正案（2022年春施行予定）の上にさらにこの改正が加わりますので、この先の数年間は法律の条文や文面が目まぐるしく変化することになると思います。

プライバシーマーク制度がこの変化に追いつけるのか、少し不安になってきました😅

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ