2022年03月

2022年03月25日

JIPDECがプライバシーマークの運営要領を改訂～4月1日から施行～

（画面はプライバシーマーク公式Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、プライバシーマークの実施要領を改訂し、4月1日より施行すると発表しました。

今回の改訂は、

　欠格事項及び判断基準（JIP-PMK510）
　個人情報の取扱いに係る重大な事故等についての対応手続き（JIP-PMK511）
を廃止し、
　プライバシーマーク付与適格性審査の実施基準（JIP-PMK220）
　プライバシーマーク付与に関する規約（JIP-PMK500）
の内容を変更するものです。

これにより、事業者に影響がある変更点は、下記の通りと思われます。

（１）事故等の報告義務の厳格化

従来、JIP-PMK500の文書の中で、個人情報の取り扱いに関する事故を起こした場合には、「可及的速やかに」審査機関に報告しなればならないとされていましたが、具体的な日数などは記載されていませんでした。今回の改訂後は、「原則として30日以内に」報告することが義務付けられました。

また、下記の条件にあたる場合には、「速報として概ね3～5日以内に」報告することとされました。
　①要配慮個人情報が含まれる事故（またはその恐れがある）
　②財産的被害が生じる恐れがある事故（または発生した恐れがある）
　③不正アクセスによる事故（またはその恐れがある）
　④個人データの本人の数が1000件を超える事故（またはその恐れがある）
　⑤その他、付与機関がPマーク審査基準における重大な違反がある（またはその恐れがある）と認める場合　

（２）本人通知の義務化

今回の法改正により、本人通知の義務化が行われましたが、プライバシーマークの実施要領の中でも同じ基準での本人通知の義務が記載されています。ここまでは法対応なので、特に記載されていてもいなくても事業者には実施義務が発生しますが、さらに新しいJIP-PMK500の文書では「正当な理由なく公表しない付与事業者に対して、当該事項の公表を要請することができ」るとしています。審査機関、付与機関としてもここに関してコミットしようということのようです。

（３）事故などによる欠格性の判断におけるレベル制の廃止

従来、JIP-PMK510の文書の中で、事故などによる欠格性を判断する際、0から10までの数字で表現された欠格レベルを使用していました。今回の改訂後は、この数字による欠格レベルは廃止され、様々な要因を総合的に判断して措置が決定されることになったようです。

改訂前

改訂後

（４）欠格事由の記載の変更（実質的な変更はないと思われます）

従来、JIP-PMK510の文書の中で、プライバシーマーク付与適格性を有しないものとして、「インターネット異性紹介事業者」という項目があり、詳細に条件が記載されていました。今回の改訂後は、JIP-PMK500の文書の中で「付与機関（JIPDEC）が指定する業種、業態、サービス等」という表記になり、具体的には「『性風俗関連特殊営業』『インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律に違反している者』」として、プライバシーマークのWebサイトに掲載することになったようです。

https://privacymark.jp/news/system/2022/0228_1.html

（コメント）
同じく4月1日に施行される改正個人情報保護法と歩調を合わせた変更です。皆様ご対応ください。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年03月05日

「2022年4月個人情報保護法改正・Pマーク新審査基準対応セミナー」の動画を公開しました。【プライバシーマーク取得事業者向け】

------------------------------------------------------------
（追記）プライバシーマーク新審査基準2022に関する
最新のセミナー動画を公開しました。どうぞご覧ください。

------------------------------------------------------------

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

2022年2月22日に開催した「2022年4月個人情報保護法改正・Pマーク新審査基準対応セミナー(Pマーク担当者勉強会)」。

皆さんの関心にあったテーマということもあり、全国から350名を超えるプライバシーマークの実務担当者の皆様にリモート参加していただきました。

私プライバシーザムライが、
------------------------------------------------------------
4月に施行される改正個人情報保護法とPマーク新審査基準に対して、
プライバシーマーク取得事業者としてどのように対応するべきか
------------------------------------------------------------
について、いくつかの資料を使用しながら解説させていただきました。

当日参加できなかった方や、参加されなかった方にも参考にしていただけると思いますので、動画を公開いたします。また資料のダウンロード提供も行いますので、参考にしていただきたいと思います。

--------------------------------------------------------
タイトル：Pマーク担当者勉強会
「2022年4月個人情報保護法改正・Pマーク新審査基準対応セミナー」
講師：プライバシーザムライ・中康二
視聴先：オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------

なお、全編の視聴と資料のダウンロード提供には申し込みが必要です。
下記からお申し込みください（無料）。
https://www.optima-solutions.co.jp/form_kaisei_p_2022

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2022年03月03日

改正個人情報保護法＞WebサイトにGoogleやFacebookのタグを埋め込んだだけでは個人関連情報の提供にはならないようです

（画像は個人情報保護法ガイドラインQ8-10より。画像の中の「法第26条の2」は、2022年4月施行法においては「法第31条」となります）

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

先日、個人情報保護法改正＆プライバシーマーク新審査基準対応のためのプライバシーマーク担当者勉強会を開催した際、いくつか気づいたことがありましたので、このWebサイト上でも何回かに分けて取り上げたいと思います。

今回取り上げるのは、「WebサイトにGoogleやFacebookのタグを埋め込むことは個人関連情報の提供になるのか」ということです。

2022年4月に施行される改正個人情報保護法第31条では、生存する個人に関する情報ではあるものの、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを「個人関連情報」といいます。

例えば、下記のようなものが個人関連情報にあたります。
・どこの誰かは分からないけれども、ある時間に、あるIPアドレスから、あるWebページを閲覧したという記録
・どこの誰かは分からないけれども、ある時間に、ある人が、ある商品を、ある価格で購入したという記録

この個人関連情報を自社以外の第三者に提供した場合に、提供先において、何らかの方法により個人情報と関連付けることができるという場合には、あらかじめ本人の同意が必要になります。これが「個人関連情報の提供の制限」です。

ちなみにこの場合の本人同意は、原則として提供先が取得することになります。

そうすると、当然こんな風に考えますよね？

・Facebookのいいね！ボックスを自社のWebサイトに埋め込んでいる場合、自社のWebサイトに誰かがアクセスしてきた際に、Meta社（Facebook運営会社）に自動的に情報が飛んで、アクセスしたことがFacebookに伝わる。自社ではそれが誰か分からないけれども、Meta社では利用者のアカウント情報と紐づけすることでそれが誰か分かるのだから、これは個人関連情報の提供になるのではないか？

・Googleアナリティクスのタグを自社のWebサイトに埋め込んでいる場合、自社のWebサイトに誰かがアクセスしてきた際に、Google社に自動的に情報が飛んで、アクセスしたことがGoogleに伝わる。Googleはこの情報をGoogleアカウントと紐づけているのかどうか明確にはしていないけれども、紐づけている場合にはGoogle社ではそれが誰なのか分かるのだから、これは個人関連情報の提供になる可能性があるのではないか？

実際、私はそのように思っていました。

これに関して、個人情報保護委員会がまとめている個人情報保護法ガイドラインのQ8-10を見て、驚きました！

Ｑ８－10 A 社が自社のウェブサイトに B 社のタグを設置し、B 社が当該タグを通じて A社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A 社は B 社にユーザーの閲覧履歴を提供したことになりますか。
→はい。まさにそういう時のことを知りたかったのです

個別の事案ごとに判断することとなりますが、A 社が B 社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A 社が B 社に閲覧履歴を「提供」したことにはならず、B 社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。このため、B 社がそのタグを通じて閲覧履歴を取得することについて、法第 26 条の２（原文ママ、正しくは法第31条）第１項は適用されないと考えられます。
→Facebookのいいね！ボックスや、Googleアナリティックスのタグを埋め込んだとしても、自社ではそのタグで収集される閲覧履歴は取り扱うわけではないので、その先、Meta社やGoogle社がユーザーIDを紐づけしていたとしても、していないとしても、自社からの個人関連情報の提供にはならない！

ということが分かりました！

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

（私のコメント）
このQ&Aを見た時、かなり衝撃が走りました。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ