プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2021年08月

仮名加工情報のメリット
(個人情報保護委員会資料より)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

来年4月に施行される個人情報保護法の改正点の一つが
「仮名加工情報の創設」です。

これは、
氏名などの個人を直接識別できる記述を置き換えたり削除した情報
(ただし他の情報と照合することで識別できるものを含む)

とされています。

具体的には、下記の3つすべての加工を行うとされています。
‘団蠅慮朕佑鮗永未垢襪海箸できる記述等の削除
例)会員ID 、氏名、年齢、性別、サービス利用履歴が含まれる個人情報から、氏名のみ削除する。
例)氏名、住所、生年月日が含まれる個人情報から、氏名と住所と生年月日を削除する。
個人識別符号(個人番号/パスポート番号などの公的な番号や、生体認証データ)の削除
I埓気僕用されることにより財産的被害が生じるおそれのある記述等の削除
例)クレジットカード番号の削除
例)送金や決済のできるWebサービスのID・パスワードの削除


仮名加工情報を取扱う際には、下記の義務規定が適用されます。
^汰幹浜措置の実施
⇒用目的の公表
M用する必要がなくなった場合の消去
ぢ荵絢堋鷆 の禁止(委託/事業の承継/共同利用は除く)
ニ椰佑鮗永未垢觜坩 の禁止(個人情報データベースとの照合)
λ椰佑悗力⇒軼の禁止(Telかけ、DM送付など)
不適正な利用/取得の禁止


で、肝心のメリットなのですが、仮名加工情報については
〕用目的を自由に変更できる(公表は必要)
∀海┐せの報告/本人への通知は不要
K椰佑らの開示等の請求に答える必要はない
とされています。

ここまで情報を整理してきて、
実務的にはどんなメリットがあるんだと
私は悩んでしまいました。。。。

そんなとき、
JIPDECさん主催の改正個人情報保護法セミナーがありまして、
個人情報保護委員会の方が解説をしてくれていました。

それが冒頭に掲載した内容になります。

これによると、
‥初の利用目的には該当しない目的や、該当するか判断が難しい新たな目的での内部分析
例)医療・製薬分野などにおける研究
例)不正検知・売上予測などの機械学習モデルの学習など
⇒用目的を達成した個人情報について、将来的に統計分析に利用する可能性があるため仮名加工情報として加工した上で保管
とありました。

個人情報保護法には、従来から
アンケート調査の集計結果のような統計情報は個人情報ではない
という大原則がありましたが、
これはあくまでも集計後の統計情報のことであり、
集計前の個人データは個人データですし、
その集計作業は利用目的に含まれている必要があったわけです。


つまり、過去10年分の売上データがあり、それには顧客の住所氏名や生年月日などの詳細な個人情報が含まれているとした場合に、その売上データを利用して今後の事業戦略に役立てるための統計分析を行うには、それが利用目的に含まれていなければなりませんでした。

従来の仕組みでも利用目的の変更は可能でしたが、それはあくまでも「変更前の利用目的と関連性を有すると合理的に認められる範囲」のみでした。

例えば、その売上データを利用して何らかのマーケティング統計を作成し、その統計データを販売するという事業を始めることはできない可能性がありました。

また、その売上データは個人情報ですから、保存し続けている限り、保有個人データとして開示請求に答えなければなりませんでしたし、万が一流出事件などを起こしてしまった場合には、事故として取り上げることが必要でした。

一方で、改正法の施行後であれば、その売上データを仮名加工情報に加工した上で、「売上データを利用してマーケティング統計を作成し、その統計データを販売する」という利用目的を公表することで、その事業を始めることができます。また、その仮名加工情報に関しては開示請求に答える必要はありませんし、万が一流出事件を起こしたとしても、事故として取り上げる必要はなくなります。

なるほど。。。。さすが個人情報保護委員会さん。
素晴らしい説明をありがとうございました😆

皆様もこの仮名加工情報という新しい制度をうまく使って、
自社のビジネスの拡大を実現していただきたいと思います。


さて、この仮名加工情報のことを含む
「2022年4月施行 個人情報保護法改正6つのポイント」
という私のセミナー動画をYoutubeで配信しております。

ぜひ、ご覧ください、



なお、全編の視聴と資料のダウンロード提供には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_kaisei_2022

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

schedule
(画面はJIPDECのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、来年4月の個人情報保護法改正に向けて、審査基準の見直しを進めていくとし、そのスケジュールを発表しました。

2021年8月末
 「構築・運用指針」(JIS本文明記)の公表
 「審査基準」(改定版)の公表
2022年1月
 「構築・運用指針」(改正保護法対応を加えたもの)の公表
2022年4月1日
 「審査基準」「構築・運用指針」に基づいた審査の開始

JIPDECとしては、従来から存在している「審査基準」に加えて、今回新たに「構築・運用指針」という文書を追加し、今後はこの両者を併存させる形で審査基準として運用していくことにするとのことです。同時に、既存の「審査基準」についても今回を機会に改定するとしています。

ただし、8月末で公表される「構築・運用指針」は、あくまでも現行個人情報保護法対応のものであり、改正個人情報保護法に対応したものを来年1月に出すとのことです。

そして、上記の全てを反映させた内容で、来年4月1日以降、審査を行うとしています。

https://privacymark.jp/news/system/2021/0805.html

(コメント)
今回の見直しは法改正も絡んで、かなり大きな修正になりそうです。
詳細はまだ不明なところも多いです。
まずは8月末の「構築・運用指針」「審査基準」の公表を待ちたいと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年4月施行 個人情報保護法改正6つのポイント(Pマーク/ISMS担当者勉強会)
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

7月14日に緊急開催した
「2022年4月施行 個人情報保護法改正6つのポイント(Pマーク/ISMS担当者勉強会)」。

皆さんの関心にあったテーマということもあり、
全国から250名を超える数の皆様にリモート参加していただきました。

前半の第一部勉強会では、私プライバシーザムライが、今回の法改正に関して、
・2回分の法改正が一度に施行されるとはどういうことなのか、
・民間事業者が対応するべき6つのポイントとは何か?
・プライバシーマークとの関係は?
など、現在分かりうる範囲でご説明させていただきました。

後半の第二部懇親会では、Zoomのブレイクアウトルームの機能を使用し、
全国から集まっていただいた皆さんどうしで、プライバシーマーク/ISMSの運用で
困っていることと自慢したいことを共有していただきました。

当日参加できなかった方や、参加されなかった方にも参考にしていただけると思いますので、動画を公開いたします。また資料のダウンロード提供も行いますので、参考にしていただきたいと思います。

--------------------------------------------------------
タイトル:Pマーク/ISMS担当者勉強会
「2022年4月施行 個人情報保護法改正6つのポイント」
講 師 : プライバシーザムライ・中康二
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



なお、全編の視聴と資料のダウンロード提供には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_kaisei_2022

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

クッキー同意ボックスは不要
(7月開催のPマーク/ISMS担当者勉強会のプレゼン資料より)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

来年4月の個人情報保護法改正に向けて、個人情報保護委員会などで
様々な準備が進められていますが、その中で、一つ明確になったことがあります。

それはクッキー同意ボタンは法改正後も不要ということです。
(クッキー=Cookie、Webサイトで端末識別に利用される情報のことです)

改正個人情報保護法では、個人関連情報という概念が創設され、
「提供元では個人情報として認識されないが、提供先で個人情報として認識される情報を提供する場合には、提供にあたって本人の同意が必要」となります。

ただし、この本人同意を取るのは原則として「提供先」があらかじめ取得するものとされ、提供元が提供する際に同意を取るものではないものとされています。


もう少し分かりやすく説明します。

個人関連情報の例として、下記の二つをあげます。

------------------------------------------------------------
(1)Tポイント加盟店が、購買データをCCCへ提供する行為は、個人関連情報の提供に当たると思われます。

加盟店側では、Tカードの持ち主が誰かは認識できません。
しかしT番号を取得し、それに購買データを一緒にして、CCCに送信します。
CCC側ではT番号を照合して、それが誰の購買なのかを明確にして、データベース化します。

------------------------------------------------------------
(2)WebページにFacebookのいいねボタンを設置することは、個人関連情報の提供に当たると思われます。

Webサイト側では、アクセスしてきた人が誰なのかは一切認識できません。
しかし、いいねボタンを設置していると、そのWebページにアクセスしただけで、Facebookにアクセスしたことが伝わります。
Facebook側ではIPアドレスやクッキーなどの情報を照合し、それが誰なのかを明確にして、データベース化します。
------------------------------------------------------------

これが「個人関連情報の提供」の事例です。

これらの際に、提供にあたって同意を取るのはCCCであり、Facebookとされます。
Tポイント加盟店の店頭や、いいねボタンを設置したWebサイト側で、「あなたは個人関連情報の提供に同意しますか」といちいち確認する必要はなく、CCCやFacebookに対して本人同意を取っていることを事前に一括確認するだけでよいとされます。

ですから、来年4月の改正個人情報保護法施行後も、国内においては「クッキー同意ボタン」は不要なのです。

GDPR対応ではクッキー同意ボタンは必須とされますが、国内においては不要であることをここで明確にしておきたいと思います。


GDPR圏内では、クッキー同意ボタンは一つのビジネスになっています。国内でも同じようなビジネスを始める会社が出てくると思います。すでに出てきていると思います。それらを設置することに問題はありません。しかし法律上必須のものではないことを明確にしておきたいと思います。

※自社の個人情報保護の取り扱いに関する公表事項の中に、自社がどこに個人関連情報を提供しているかのリストを掲載するなどは有益なことだと思いますから、推奨いたします。またこれとは別に、自社のシステム内でクッキーを利用して個人情報に紐づくアクセス履歴を取得している場合には通知公表(プライバシーマーク取得の場合は同意)が必要になります。

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ