本日の「個人情報保護のための管理者養成コース」より、気になるポイントを掲載いたします。
✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報
興味がある方、ぜひこちらからご連絡ください!
なお、本内容は、私がセミナー受講中に気になったポイントをメモしたものであり、講師の新保先生の発言の正確な記録ではありませんので、ご注意ください。
----------------------------------------------------------------
■基礎
・個人情報保護法自体はすでに施行されており、義務規定が2005年4月施行なだけである。この基本を間違えている書籍なども多い。
・4月以降は義務規定が施行となり、主務大臣への報告が必要になる。
・ある消費者金融で、間違った個人情報を使用し続けたことにより、不正使用にあたると判断されたケースがある。
・個人情報保護法はある意味ではネーミングミスである。法の趣旨は、個人情報の適正な取り扱いを求める法律である。
・2000年問題のように過剰反応してはいけない
・今の個人情報保護法は、日本を経由した個人情報の移転には対応していない。この部分が2年後の改正のポイントとなる。
----------------------------------------------------------------
■産業経済分野のガイドラインについて
・パブリックコメントにより、産業経済分野のガイドラインは「しなければならない」部分と「望ましい」部分に明確に分けられた。「しなければならない」部分については法の規定違反と判断されるので法的拘束力あり。
・特定の官庁の所管対象となっていない事業者は、基本的に経済産業省のガイドラインに従うこととなる。
・企業内の情報(インハウス情報)も個人情報に含まれる。これについては厚生労働省のガイドラインに従うこと。
・社員のパソコンの電子メールソフトのアドレス帳や、携帯電話のメモリは、個人情報データベース等にあたる。社内のデータの総和が5000件を超えた時点で個人情報取扱事業者に該当する。
・個人情報取扱事業者となる場合の5000件の算出時、同一人物について2件以上個人データを重複して持っている場合、1件とカウントしてよい。
・個人情報データベース等に含まれない個人情報に関しては、個人情報保護法では安全管理義務はない。ただし、業界向けガイドラインで上乗せしている場合がある。
・保有個人データとなるのは、その企業、団体が管理権限を持つ場合のみである。逆に管理権限を全部請け負うことで、委託元の保有個人データから外すことができるので、そういうビジネスモデルはありえると思う。
・利用目的の特定で「事業活動に用いるため」はNGだが、「当社の事業活動に用いるため」はOKである。携帯電話のメモリやメールソフトのアドレス帳の利用目的は「当社の事業活動に用いるため」で問題ない。
・グループウェアのID情報などは利用目的が明白であると考えてよい。
・企業の義務は軽いほうから重いほうに「明示/公表/通知/同意」となる(しかしなぜか法律では順番が違う)
・「通知または公表」となっているので、公表が難しい場合は、本人に通知すればよい。
・明示は口頭ではだめ。
・個人情報の第三者提供を受けた場合には、その利用目的を本人に通知または公表が必要である。個人情報の取扱を委託される事業者がこの対象となるが、あらかじめ公表しておけばよく、この場合委託元の企業名を入れる必要はない。
・合併の場合は第三者提供に当たらないので、本人通知不要である。
・名簿業者から購入した場合は通知または公表の必要あるが、オプトアウトではないので、本人の利用停止要望に応ずる必要は法的にはない(詳細不明)
・システムの外部監査を受ける場合でも、社内に監査責任者は必要である。
・認定個人情報保護団体についてはまだ未定事項が多い。業界団体を念頭においているが、JIPDECがなる可能性もある。
・移送、送信時に暗号化の規定があるがエクセルファイルにパスワードをかけるだけでも暗号化の一つとなる。
・従業者とは、雇用関係のない派遣社員も含まれる。
・委託先の監督にあたっては、優越的地位を利用して不当な負担を貸すことはできない(下請法による)。
・第三者提供を行う際に、オプトアウト規定を選択するのに条件はないが、この場合は本人の求めに応じて第三者提供の停止を行うことが求められる。
・共同利用の場合の共同利用者の範囲は、具体的な社名ではなくても「○○グループ」との規定でもOKである。
・保有個人データのある特定の人の一部のデータのみ削除する場合は「訂正等」に含まれ、ある特定の人の全部のデータを削除する場合は「利用停止等」に含まれる。
・保有個人データの利用停止にあたっては、それがCD-ROMや出版物の場合は次回改訂時の対応でOK。どうしても対応できない場合は金銭で賠償することになるが、まだ参考事例が少ないのでむやみに金額を上げてしまわないように注意が必要である。
・保有個人データの利用停止は、手続き違反の場合のみである。
・開示等の求めに応じる手続きについては、提出書面を作成するにあたっては地方自治体の請求書面が参考になる。また、本人確認においては本人確認法(法律)に基づいた規定となっている。
・保有個人データの利用目的の通知、保有個人データの開示の手数料については、行政機関は300円となっているが、安すぎると考えられる。すでに同様のサービスを行っている信用情報機関が参考になる。
・保有個人データの訂正・利用停止に関して手数料の徴収は不可とされているので、悪意を持った人が何回もわざと訂正をかけてくる可能性がある。手数料ではなく、郵送料を取ることには法的に問題ないので、切手を貼った返信用封筒を同封するしてもらうようにすることで一定の抑止策にできる。
・開示請求で、「私の情報を全て下さい」というようなものに答える必要はない(著しい支障を及ぼす恐れがある場合に当たる)。
・情報セキュリティ対策としては今年10月に新しい「システム監査基準」が出ているので、これを参考にできる。
・サーバーの置き場所が海外であっても行為者が日本国内にある場合は日本の法律が適用される(参考例:アダルトサイトに対する法的取扱)。
----------------------------------------------------------------
■不正アクセス防止法
・不正アクセス防止法には防御側への罰則規定はない。
・不正アクセス防止法の対象となるのはあくまでも電気通信事業法でいうところの電気通信回線を通じたものだけである。NTTの専用線を介したイントラネットは対象となるが、建物内で完結したLANの場合は対象とならない。
・バイオメトリックス情報は朗詠した場合に変更できないので、特別な配慮が必要である。ただし、ほとんどのバイオメトリックス情報は特徴情報であり、顔の映像などを復元できるわけではないので、センシティブ情報とはいえない。
・公衆の場所においてあったパソコンに、たまたまID/パスワードが保存されていた場合でも、それを使った瞬間に不正アクセスにあたる。
----------------------------------------------------------------
■各種関連法規との関係
・労働基準法109条で労働者名簿は3年間の保存が義務付けられている。
・商法263条で株主名簿の閲覧謄写請求権が認められている。(ただし、名簿業者への転売は禁止されている)
・厚生年金、雇用保険、健康保険などの書類は2年間の保存義務がある。
・特定商取引法、特定電子メール送信適正化法は来年の国会で改正予定
・電波法に新規定「暗号通信復元罪」ができたので暗号化された無線LANの通信を復号したら処罰される。
・プロバイダ責任制限法では本人の同意なく個人情報が公開されることがあるが、この規定は個人情報保護法より優先される。
----------------------------------------------------------------
■行政機関法の規定について
・地方公共団体は、個人情報保護法の基本法部分以外の部分は地方自治体の条例に従うこととなる。したがって公立大学や公立病院は地方自治体の条例に従う。
・行政機関法では、個人情報の定義として「他の情報と照合することによって識別できる場合を含む」とあり、「容易に識別できる」としている民間の規定と異なる。
・行政機関法では、間接取得の場合は利用目的の明示義務はない。
・行政機関法では、個人情報ファイルにあたる個人情報は単独で1000件以上のもののみ。総和規定はない。
----------------------------------------------------------------
■プライバシーマーク関連
・プライバシーマークの申請時、一回はPDCAサイクルをまわしていることが望ましく、コンプライアンスプログラム作成即日申請というのは望ましくない。
・プライバシーマーク認定後、消費者からの苦情を受けた場合には調査を行うことがある。結果として認定取り消しとなった場合は会社名の公表が行われる。
----------------------------------------------------------------
----------------------------------------------------------------
■基礎
・個人情報保護法自体はすでに施行されており、義務規定が2005年4月施行なだけである。この基本を間違えている書籍なども多い。
・4月以降は義務規定が施行となり、主務大臣への報告が必要になる。
・ある消費者金融で、間違った個人情報を使用し続けたことにより、不正使用にあたると判断されたケースがある。
・個人情報保護法はある意味ではネーミングミスである。法の趣旨は、個人情報の適正な取り扱いを求める法律である。
・2000年問題のように過剰反応してはいけない
・今の個人情報保護法は、日本を経由した個人情報の移転には対応していない。この部分が2年後の改正のポイントとなる。
----------------------------------------------------------------
■産業経済分野のガイドラインについて
・パブリックコメントにより、産業経済分野のガイドラインは「しなければならない」部分と「望ましい」部分に明確に分けられた。「しなければならない」部分については法の規定違反と判断されるので法的拘束力あり。
・特定の官庁の所管対象となっていない事業者は、基本的に経済産業省のガイドラインに従うこととなる。
・企業内の情報(インハウス情報)も個人情報に含まれる。これについては厚生労働省のガイドラインに従うこと。
・社員のパソコンの電子メールソフトのアドレス帳や、携帯電話のメモリは、個人情報データベース等にあたる。社内のデータの総和が5000件を超えた時点で個人情報取扱事業者に該当する。
・個人情報取扱事業者となる場合の5000件の算出時、同一人物について2件以上個人データを重複して持っている場合、1件とカウントしてよい。
・個人情報データベース等に含まれない個人情報に関しては、個人情報保護法では安全管理義務はない。ただし、業界向けガイドラインで上乗せしている場合がある。
・保有個人データとなるのは、その企業、団体が管理権限を持つ場合のみである。逆に管理権限を全部請け負うことで、委託元の保有個人データから外すことができるので、そういうビジネスモデルはありえると思う。
・利用目的の特定で「事業活動に用いるため」はNGだが、「当社の事業活動に用いるため」はOKである。携帯電話のメモリやメールソフトのアドレス帳の利用目的は「当社の事業活動に用いるため」で問題ない。
・グループウェアのID情報などは利用目的が明白であると考えてよい。
・企業の義務は軽いほうから重いほうに「明示/公表/通知/同意」となる(しかしなぜか法律では順番が違う)
・「通知または公表」となっているので、公表が難しい場合は、本人に通知すればよい。
・明示は口頭ではだめ。
・個人情報の第三者提供を受けた場合には、その利用目的を本人に通知または公表が必要である。個人情報の取扱を委託される事業者がこの対象となるが、あらかじめ公表しておけばよく、この場合委託元の企業名を入れる必要はない。
・合併の場合は第三者提供に当たらないので、本人通知不要である。
・名簿業者から購入した場合は通知または公表の必要あるが、オプトアウトではないので、本人の利用停止要望に応ずる必要は法的にはない(詳細不明)
・システムの外部監査を受ける場合でも、社内に監査責任者は必要である。
・認定個人情報保護団体についてはまだ未定事項が多い。業界団体を念頭においているが、JIPDECがなる可能性もある。
・移送、送信時に暗号化の規定があるがエクセルファイルにパスワードをかけるだけでも暗号化の一つとなる。
・従業者とは、雇用関係のない派遣社員も含まれる。
・委託先の監督にあたっては、優越的地位を利用して不当な負担を貸すことはできない(下請法による)。
・第三者提供を行う際に、オプトアウト規定を選択するのに条件はないが、この場合は本人の求めに応じて第三者提供の停止を行うことが求められる。
・共同利用の場合の共同利用者の範囲は、具体的な社名ではなくても「○○グループ」との規定でもOKである。
・保有個人データのある特定の人の一部のデータのみ削除する場合は「訂正等」に含まれ、ある特定の人の全部のデータを削除する場合は「利用停止等」に含まれる。
・保有個人データの利用停止にあたっては、それがCD-ROMや出版物の場合は次回改訂時の対応でOK。どうしても対応できない場合は金銭で賠償することになるが、まだ参考事例が少ないのでむやみに金額を上げてしまわないように注意が必要である。
・保有個人データの利用停止は、手続き違反の場合のみである。
・開示等の求めに応じる手続きについては、提出書面を作成するにあたっては地方自治体の請求書面が参考になる。また、本人確認においては本人確認法(法律)に基づいた規定となっている。
・保有個人データの利用目的の通知、保有個人データの開示の手数料については、行政機関は300円となっているが、安すぎると考えられる。すでに同様のサービスを行っている信用情報機関が参考になる。
・保有個人データの訂正・利用停止に関して手数料の徴収は不可とされているので、悪意を持った人が何回もわざと訂正をかけてくる可能性がある。手数料ではなく、郵送料を取ることには法的に問題ないので、切手を貼った返信用封筒を同封するしてもらうようにすることで一定の抑止策にできる。
・開示請求で、「私の情報を全て下さい」というようなものに答える必要はない(著しい支障を及ぼす恐れがある場合に当たる)。
・情報セキュリティ対策としては今年10月に新しい「システム監査基準」が出ているので、これを参考にできる。
・サーバーの置き場所が海外であっても行為者が日本国内にある場合は日本の法律が適用される(参考例:アダルトサイトに対する法的取扱)。
----------------------------------------------------------------
■不正アクセス防止法
・不正アクセス防止法には防御側への罰則規定はない。
・不正アクセス防止法の対象となるのはあくまでも電気通信事業法でいうところの電気通信回線を通じたものだけである。NTTの専用線を介したイントラネットは対象となるが、建物内で完結したLANの場合は対象とならない。
・バイオメトリックス情報は朗詠した場合に変更できないので、特別な配慮が必要である。ただし、ほとんどのバイオメトリックス情報は特徴情報であり、顔の映像などを復元できるわけではないので、センシティブ情報とはいえない。
・公衆の場所においてあったパソコンに、たまたまID/パスワードが保存されていた場合でも、それを使った瞬間に不正アクセスにあたる。
----------------------------------------------------------------
■各種関連法規との関係
・労働基準法109条で労働者名簿は3年間の保存が義務付けられている。
・商法263条で株主名簿の閲覧謄写請求権が認められている。(ただし、名簿業者への転売は禁止されている)
・厚生年金、雇用保険、健康保険などの書類は2年間の保存義務がある。
・特定商取引法、特定電子メール送信適正化法は来年の国会で改正予定
・電波法に新規定「暗号通信復元罪」ができたので暗号化された無線LANの通信を復号したら処罰される。
・プロバイダ責任制限法では本人の同意なく個人情報が公開されることがあるが、この規定は個人情報保護法より優先される。
----------------------------------------------------------------
■行政機関法の規定について
・地方公共団体は、個人情報保護法の基本法部分以外の部分は地方自治体の条例に従うこととなる。したがって公立大学や公立病院は地方自治体の条例に従う。
・行政機関法では、個人情報の定義として「他の情報と照合することによって識別できる場合を含む」とあり、「容易に識別できる」としている民間の規定と異なる。
・行政機関法では、間接取得の場合は利用目的の明示義務はない。
・行政機関法では、個人情報ファイルにあたる個人情報は単独で1000件以上のもののみ。総和規定はない。
----------------------------------------------------------------
■プライバシーマーク関連
・プライバシーマークの申請時、一回はPDCAサイクルをまわしていることが望ましく、コンプライアンスプログラム作成即日申請というのは望ましくない。
・プライバシーマーク認定後、消費者からの苦情を受けた場合には調査を行うことがある。結果として認定取り消しとなった場合は会社名の公表が行われる。
----------------------------------------------------------------
メンバー募集
オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報
興味がある方、ぜひこちらからご連絡ください!
