プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2014年06月

10275564_758633754157132_8025439643813228307_o

いまや企業間取引における「ライセンス」ともいえるプライバシーマーク。
取引先から要望されている方も多いと思います。

一方で「プライバシーマーク取得は大変だ」という声をよく聞きます。
それは本当なんでしょうか。どうして取得するのに1年以上もかかるんでしょうか。

最近、弊社でお手伝いをさせていただいたお客様の8割は
6か月以内でプライバシーマークをスムーズに取得しています。

どこが違うのでしょうか。どうすれば6か月でスムーズに取得できるのでしょうか。
皆様の知りたいことが、ずばり分かる特別セミナーです。

--------------------------------------------------------------------
・理解しやすく、資料もとてもすばらしいと思います。
他社のセミナーにも受講した事がありますが貴社が一番です。
丁寧にご指導ありがとうございました。
(40代女性 通販倉庫業 販売業 企画総合室 営業兼務)
--------------------------------------------------------------------
・具体的な作業内容がイメージ出来た。とてもわかりやすかった。
(50代 男性 ブライダル事業)
--------------------------------------------------------------------
・プライバシーマークについて、基本的な事や取得までの
流れについて理解できたので、ためになりました。
(30代 男性 防衛思想の普及)
--------------------------------------------------------------------
・ありがとうございました。
初心者として概要が理解できたと感じています。
(50代男性 物流業務 営業企画部長)
--------------------------------------------------------------------
・ほとんど知識のないまま参加しましたが、とてもわかりやすく取得に向けて
本日からでも実行できることがあると思いました。
(20代 女性 健康食品のインターネット通販 卸 電話通販
 EC事業部 楽天店舗店長)
--------------------------------------------------------------------
・流れがわかりやすかったです。ありがとうございました。
(40代 女性 人材派遣)
--------------------------------------------------------------------
・当社でも取得できると思いました。
(40代男性 ソフトウェア開発 取締役)
--------------------------------------------------------------------
・申請の流れは分かりました。意識や費用などもわかりましたし、
当社においての必要性も考えることが出来ました。
(50代 男性 ディスプレイ業 総務部 係長)
--------------------------------------------------------------------

【セミナー名】:「プライバシーマーク取得って大変なの?」
〜私はこうして6か月でPマークを取得した!セミナー〜
【日 時】:
  2014年6月24日(火)14:20〜16:30 (14:00受付開始)
  2014年7月18日(金)14:20〜16:30 (14:00受付開始)
【対象者】:プライバシーマークの取得をご検討中の企業の方
【会 場】:東京国際フォーラム
      東京都千代田区丸の内3丁目5番1号(各線有楽町駅よりスグ)
【受講料】:無料

参加お申込みはこちら:
https://www.optima-solutions.co.jp/form_seminar/

※1社2名様までご参加いただけます。
※同業者様、個人の方、士業事務所の方は、お申込ご遠慮ください。

なお、本セミナーは毎回高い参加者満足度を達成。
4月22日開催分 満足度100%
5月9日開催分 満足度92.8%
5月27日開催分 満足度100%
6月10日開催分 満足度100%
開催時の様子はこちらをクリック

大変、ご好評をいただいております。
安心してお申し込みください。

昨年より、政府において「パーソナルデータ利活用に関する制度見直し」の検討が続いています。これは素人目には何のことか分からないのですが、事実上の個人情報保護法の改正につながる動きなのだそうです。私も最初はよく分かっていなかったのですが、2月のプライバシーマークフォーラムで堀部先生の話を聞いてようやくことの重大さに気付いた次第でした。

(本Blog記事)個人情報保護法が改正へ。来年1月の通常国会に提出か
http://www.pmarknews.info/archives/51931029.html
2014-02-17_1817

その後も上記のロードマップ通り検討作業が進んでおり、6月9日には「パーソナルデータの利活用に関する制度改正大綱(事務局案)」という文書が出ました。

2014-06-17_2051

この文書については、あくまで検討段階の事務局案ですから、まだまだ修正が加えられることは当然だとは思いますが、今回の議論のポイントを知るのにちょうどいいものになっていますので、この記事で読み解いてみたいと思います。以下の内容は全て私が要約したものです。正確さは保証しませんので、興味をもった方は原文を読んでください。

まず、今回の改正の趣旨をまとめると下記の各点となります。

  1. 情報通信技術の飛躍的発展により、ビッグデータの分析による新ビジネスの興隆が期待されるが、特にパーソナルデータの取扱に関して、個人情報保護法が対応しきれていないために混乱が生じている。

  2. 一方で、個人情報やプライバシーに関する消費者の意識も拡大しており、より一層の安心感をうむ制度が求められている。

  3. また、OECDガイドラインの改正、米国のプライバシー権利章典の公表、EUの個人データ保護規則など、海外での個人情報保護、プライバシーに関する動きを踏まえて、日本も制度を調和させる必要がある。


上記のような問題意識のもとに、今回具体的に検討されている内容は下記の通りです。

1.個人データを、本人識別性が低減するように加工し、個人の権利利益が侵害されるおそれに留意した取り扱いをする場合には、本人の同意がなくても第三者提供や目的外利用を認める。
2.社会的差別の原因となるおそれがある人種、信条、社会的身分、前科、前歴などの情報を機微情報として定め、原則として取り扱いを禁止する(本人同意がある場合は例外とする)。
3.データの突合や分析により本人が認知しないところで個人情報が生成されるケースに対して、事業者として必要な措置を定める。
4.利用目的の変更の際には、全員の同意が必要となっている現状を見直し、オプトアウト型の手続きを認めるなど検討する。
5.「第三者提供に関するオプトアウト規定」を使って第三者提供を行う場合には、第三者機関に必要事項を届け出て、第三者機関が公表する仕組みを導入する。
6.個人情報の保存期間の公表を義務付ける。
7.パーソナルデータの利活用と、個人情報・プライバシー保護の両立のために、民間主導で自主規制団体を作って、ルールを定めるなどの取り組みを行わせる。自主規制団体は、第三者機関が認定する。
8.国境を超えた情報流通を行う事業者に対して、専門の民間団体が相手国のプライバシー保護水準との適合性を審査して認証する仕組みを創設する。民間団体は第三者機関が認定する。
9.パーソナルデータの保護と利活用をバランスよく推進するための独立した第三者機関を設置する。具体的には番号法で創設された特定個人情報保護委員会を組み替えることで、この第三者機関とする。
10.第三者機関の創設にあたり、従来から主務大臣が果たしてきた役割や権限を移譲していくこととなるが、役割分担を明確にして効率的に運用する(この部分は大変曖昧な記述になっています)。
11.現行法では認められていなかった個人情報の開示等の「請求権」を明確に定める。
12.外国の事業者についても、個人情報保護法の適用対象に入れる。
13.外国の事業者に個人データを提供する際には安全管理のための契約締結を義務付ける。
14.外国の事業者から提供を受けた個人データを外国の第三者に提供することを禁止する(詳細不明です)。
15.取り扱う個人情報の人数が5000人未満の小規模事業者について、個人情報取扱事業者の例外としてきた規定を廃止する。

ということです。

パーソナルデータの利活用に関する制度改正大綱(事務局案)
http://www.kantei.go.jp/jp/singi/it2/pd/dai11/siryou1.pdf

第11回 パーソナルデータに関する検討会 議事次第(平成26年6月9日)
http://www.kantei.go.jp/jp/singi/it2/pd/dai11/gijisidai.html

(私のコメント)
最初から最後まで読み終わって、やはりこれは「個人情報保護法2.0」という印象を受けました。個人情報保護法が全面施行になって10年間の間に出てきた様々な問題を解消しようとしていることがよく分かりました。

その一方で、報道で大きく取り上げられていたビッグデータの活用に関する部分については、現在の個人情報保護法の考え方を大きく曲げるものではないようです。あくまでも「個人が識別できる情報は個人情報」であり、「個人が識別できない情報は個人情報ではない」という原則は変わらないと思います。ただ、この境界線が議論のポイントになっているので、そこに関して実験的な取り組みを重ねる中で落とし所を探っていきたいということのようです。

非常に興味深い内容になっていますので、是非みなさんも原文を読んでみてください。またそのうちパブリックコメントが始まると思いますので、不満のある方はその時に意見を出してみることをオススメします。


20130612150334-32S
個人情報、個人情報と言われますが、正式な定義は何なんでしょうか?どこまで含まれるのでしょうか?今回は間違いやすいこのポイントについて解説いたします。

個人情報保護法では、個人情報の定義を下記の通り定めています。

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。(第2条)

この定義の中から修飾語を取り除き、一番重要な部分だけ取り出すとこうなります。

「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別できるもの。


つまり、A)特定の個人に関する情報であって、B)それが誰であるかが明確である場合は個人情報と言えましょう。

ですから、個人情報の例としては、下記のようなものがあげられます。

 1.氏名
 2.「tanaka.taro@abc-shoji.co.jp」のように所属団体と氏名から本人を特定できるメールアドレス
 3.個人を識別できる写真、ビデオ画像、電話録音など
 4.従業員の評価情報
 5.インターネット、官報、電話帳などで公開されている個人に関する情報
 6.氏名と関連付けられている全ての情報

ここまでは、従来からの定義として、様々な書籍やネット上の解説でどこにでも載っているものだと思います。ただし、最近、特に上記の例の最後にあげた「6.氏名と関連付けられている全ての情報」という部分に関して、いろいろと誤解や議論があるようですので、ここではっきりしておきたいと思います。

例えば、下記の様なコンビニの売上データがあるとします。(あくまで例です)

2015年7月12日13時56分
鮭にぎり 120円
烏龍茶 150円
日経新聞 170円

これは一人のお客さんが買っていた売上情報になりますので、A)特定の個人に関する情報の条件を満たします。しかし、現金で購入した場合には誰か分からないため、B)それが誰であるかが明確でなく、個人情報とはなりません。

しかし、このコンビニでは、ある大手のポイントカードに加盟していて、お客様にポイントカードの利用を推奨していました。そのために、売上データの最後にポイントカードの作成時に登録した名前が入っていたとします。

2015年7月12日13時56分
鮭にぎり 120円
烏龍茶 150円
日経新聞 170円
(山田太郎さん)

こうなると、A)特定の個人に関する情報であって、B)それが誰であるかが明確であるので、この売上データ全体は個人情報となります。ここで間違えてほしくないのは「名前」だけが個人情報なのではなくて、先ほどまでは個人情報ではなかった「鮭にぎり 120円」という部分も個人情報になるのです。

では、ポイントカードのシステム上、お店では番号しか分からず、名前は分からないようになっていた場合はどうでしょうか?

2015年7月12日13時56分
鮭にぎり 120円
烏龍茶 150円
日経新聞 170円
(ポイントカードID 9181761152727291)

このような場合には、お店としてはどこの誰か分かりませんので、お店としては個人情報にはなりません。しかし、ポイントカードのシステムを管理している会社としてはどうでしょうか?当然ながら「ポイントカードID9181761152727291=山田太郎さん」だと分かるデータベースシステムを持っています。そうすると、個人情報保護法第2条の条件にあるC)他の情報と容易に照合することにより特定の個人を識別できるという条件に当てはまりますので、この会社としては個人情報になります。

すなわち、氏名や住所だけが個人情報であるとお考えであるとしたら、それは間違いです。どんな些細な購入データであったとしても、個人情報に当たる場合がありますし、またそれが個人情報にあたるかどうかは、自社の保有するシステムによって変わってきます。同じデータであっても、A社にとっては個人情報でなくても、B社にとっては個人情報であることもあります。

以上、個人情報保護法での個人情報の定義について解説いたしました。
参考にしていただければと思います。


当Blog(プライバシーマーク・個人情報保護blog @pmarknews)のデザインを新しくしました。

blog_renewal

Livedoor Blogのテンプレートの中から、良さそうなものを見つけて、少しだけカスタマイズしました。
これからもプライバシーマーク・個人情報保護に関する最新情報をお届けいたしますので、楽しみにしていてください。よろしくお願いいたします。(中 康二)

↑このページのトップヘ