プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: 個人情報保護法

JIPDEC_PMS構築運用指針
(画面はJIPDECによるPMS構築・運用指針)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、来年4月から適用される新しい審査基準を発表しました。

今回発表された審査基準は「審査基準」と「PMS構築・運用指針」の二段構成になっていますが、「審査基準」には「PMS構築・運用指針に基づいて審査を行う」ということしか記載されておりませんから、事実上「PMS構築・運用指針」が審査基準となります。

その「PMS構築・運用指針」は、従来のものから構成自体が大きく変更され、JIS Q 15001の「附属書A」だけでなく、これまでほとんど審査に使用されてこなかった「規格本文」の内容も審査での確認事項とするとなりました。

ですから、細かな文言だけではなく、項番の振り方など全て変更されていますし、「内部外部の課題を特定する」「利害関係者の期待を特定する」というような、従来からISMSでは求められていたものの、プライバシーマークでは求められてこなかった内容が盛り込まれています。

なお、来年4月に予定されている法改正の内容については、まだこの新審査基準に盛り込まれていません。それについては来年1月に公表されて4月以降の審査で利用されることになっています。

https://privacymark.jp/news/system/2021/0830.html

この新審査基準の適用は「2022年4月1日以降に申請した事業者」とのことで、それよりも前に申請した場合には、現地審査が4月以降になったとしても古い審査基準で審査してもらえるようです。

https://privacymark.jp/system/guideline/outline.html#02

(コメント)
以前から噂では聞いていた「規格本文を盛り込んだ審査基準」がこのタイミングで出てきました!
3年毎に法律が見直されるという最近の状況においては、法改正とJIS改正を経て、その後にプライバシーマークの審査基準を見直すという従来のやり方では追いつけないということなのかなと思います。

なお、このプライバシーマーク新審査基準に関する「Pマーク担当者勉強会」を10月19日(火)に開催いたします。詳細は下記のリンク先をご参照ください。

https://www.pmarknews.info/event/52147812.html

また、新しい情報が入りましたら、皆様にシェアいたしますね。


仮名加工情報のメリット
(個人情報保護委員会資料より)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

来年4月に施行される個人情報保護法の改正点の一つが
「仮名加工情報の創設」です。

これは、
氏名などの個人を直接識別できる記述を置き換えたり削除した情報
(ただし他の情報と照合することで識別できるものを含む)

とされています。

具体的には、下記の3つすべての加工を行うとされています。
‘団蠅慮朕佑鮗永未垢襪海箸できる記述等の削除
例)会員ID 、氏名、年齢、性別、サービス利用履歴が含まれる個人情報から、氏名のみ削除する。
例)氏名、住所、生年月日が含まれる個人情報から、氏名と住所と生年月日を削除する。
個人識別符号(個人番号/パスポート番号などの公的な番号や、生体認証データ)の削除
I埓気僕用されることにより財産的被害が生じるおそれのある記述等の削除
例)クレジットカード番号の削除
例)送金や決済のできるWebサービスのID・パスワードの削除


仮名加工情報を取扱う際には、下記の義務規定が適用されます。
^汰幹浜措置の実施
⇒用目的の公表
M用する必要がなくなった場合の消去
ぢ荵絢堋鷆 の禁止(委託/事業の承継/共同利用は除く)
ニ椰佑鮗永未垢觜坩 の禁止(個人情報データベースとの照合)
λ椰佑悗力⇒軼の禁止(Telかけ、DM送付など)
不適正な利用/取得の禁止


で、肝心のメリットなのですが、仮名加工情報については
〕用目的を自由に変更できる(公表は必要)
∀海┐せの報告/本人への通知は不要
K椰佑らの開示等の請求に答える必要はない
とされています。

ここまで情報を整理してきて、
実務的にはどんなメリットがあるんだと
私は悩んでしまいました。。。。

そんなとき、
JIPDECさん主催の改正個人情報保護法セミナーがありまして、
個人情報保護委員会の方が解説をしてくれていました。

それが冒頭に掲載した内容になります。

これによると、
‥初の利用目的には該当しない目的や、該当するか判断が難しい新たな目的での内部分析
例)医療・製薬分野などにおける研究
例)不正検知・売上予測などの機械学習モデルの学習など
⇒用目的を達成した個人情報について、将来的に統計分析に利用する可能性があるため仮名加工情報として加工した上で保管
とありました。

個人情報保護法には、従来から
アンケート調査の集計結果のような統計情報は個人情報ではない
という大原則がありましたが、
これはあくまでも集計後の統計情報のことであり、
集計前の個人データは個人データですし、
その集計作業は利用目的に含まれている必要があったわけです。


つまり、過去10年分の売上データがあり、それには顧客の住所氏名や生年月日などの詳細な個人情報が含まれているとした場合に、その売上データを利用して今後の事業戦略に役立てるための統計分析を行うには、それが利用目的に含まれていなければなりませんでした。

従来の仕組みでも利用目的の変更は可能でしたが、それはあくまでも「変更前の利用目的と関連性を有すると合理的に認められる範囲」のみでした。

例えば、その売上データを利用して何らかのマーケティング統計を作成し、その統計データを販売するという事業を始めることはできない可能性がありました。

また、その売上データは個人情報ですから、保存し続けている限り、保有個人データとして開示請求に答えなければなりませんでしたし、万が一流出事件などを起こしてしまった場合には、事故として取り上げることが必要でした。

一方で、改正法の施行後であれば、その売上データを仮名加工情報に加工した上で、「売上データを利用してマーケティング統計を作成し、その統計データを販売する」という利用目的を公表することで、その事業を始めることができます。また、その仮名加工情報に関しては開示請求に答える必要はありませんし、万が一流出事件を起こしたとしても、事故として取り上げる必要はなくなります。

なるほど。。。。さすが個人情報保護委員会さん。
素晴らしい説明をありがとうございました😆

皆様もこの仮名加工情報という新しい制度をうまく使って、
自社のビジネスの拡大を実現していただきたいと思います。


さて、この仮名加工情報のことを含む
「2022年4月施行 個人情報保護法改正6つのポイント」
という私のセミナー動画をYoutubeで配信しております。

ぜひ、ご覧ください、



なお、全編の視聴と資料のダウンロード提供には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_kaisei_2022

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

schedule
(画面はJIPDECのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、来年4月の個人情報保護法改正に向けて、審査基準の見直しを進めていくとし、そのスケジュールを発表しました。

2021年8月末
 「構築・運用指針」(JIS本文明記)の公表
 「審査基準」(改定版)の公表
2022年1月
 「構築・運用指針」(改正保護法対応を加えたもの)の公表
2022年4月1日
 「審査基準」「構築・運用指針」に基づいた審査の開始

JIPDECとしては、従来から存在している「審査基準」に加えて、今回新たに「構築・運用指針」という文書を追加し、今後はこの両者を併存させる形で審査基準として運用していくことにするとのことです。同時に、既存の「審査基準」についても今回を機会に改定するとしています。

ただし、8月末で公表される「構築・運用指針」は、あくまでも現行個人情報保護法対応のものであり、改正個人情報保護法に対応したものを来年1月に出すとのことです。

そして、上記の全てを反映させた内容で、来年4月1日以降、審査を行うとしています。

https://privacymark.jp/news/system/2021/0805.html

(コメント)
今回の見直しは法改正も絡んで、かなり大きな修正になりそうです。
詳細はまだ不明なところも多いです。
まずは8月末の「構築・運用指針」「審査基準」の公表を待ちたいと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年4月施行 個人情報保護法改正6つのポイント(Pマーク/ISMS担当者勉強会)
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

7月14日に緊急開催した
「2022年4月施行 個人情報保護法改正6つのポイント(Pマーク/ISMS担当者勉強会)」。

皆さんの関心にあったテーマということもあり、
全国から250名を超える数の皆様にリモート参加していただきました。

前半の第一部勉強会では、私プライバシーザムライが、今回の法改正に関して、
・2回分の法改正が一度に施行されるとはどういうことなのか、
・民間事業者が対応するべき6つのポイントとは何か?
・プライバシーマークとの関係は?
など、現在分かりうる範囲でご説明させていただきました。

後半の第二部懇親会では、Zoomのブレイクアウトルームの機能を使用し、
全国から集まっていただいた皆さんどうしで、プライバシーマーク/ISMSの運用で
困っていることと自慢したいことを共有していただきました。

当日参加できなかった方や、参加されなかった方にも参考にしていただけると思いますので、動画を公開いたします。また資料のダウンロード提供も行いますので、参考にしていただきたいと思います。

--------------------------------------------------------
タイトル:Pマーク/ISMS担当者勉強会
「2022年4月施行 個人情報保護法改正6つのポイント」
講 師 : プライバシーザムライ・中康二
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



なお、全編の視聴と資料のダウンロード提供には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_kaisei_2022

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

クッキー同意ボックスは不要
(7月開催のPマーク/ISMS担当者勉強会のプレゼン資料より)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

来年4月の個人情報保護法改正に向けて、個人情報保護委員会などで
様々な準備が進められていますが、その中で、一つ明確になったことがあります。

それはクッキー同意ボタンは法改正後も不要ということです。
(クッキー=Cookie、Webサイトで端末識別に利用される情報のことです)

改正個人情報保護法では、個人関連情報という概念が創設され、
「提供元では個人情報として認識されないが、提供先で個人情報として認識される情報を提供する場合には、提供にあたって本人の同意が必要」となります。

ただし、この本人同意を取るのは原則として「提供先」があらかじめ取得するものとされ、提供元が提供する際に同意を取るものではないものとされています。


もう少し分かりやすく説明します。

個人関連情報の例として、下記の二つをあげます。

------------------------------------------------------------
(1)Tポイント加盟店が、購買データをCCCへ提供する行為は、個人関連情報の提供に当たると思われます。

加盟店側では、Tカードの持ち主が誰かは認識できません。
しかしT番号を取得し、それに購買データを一緒にして、CCCに送信します。
CCC側ではT番号を照合して、それが誰の購買なのかを明確にして、データベース化します。

------------------------------------------------------------
(2)WebページにFacebookのいいねボタンを設置することは、個人関連情報の提供に当たると思われます。

Webサイト側では、アクセスしてきた人が誰なのかは一切認識できません。
しかし、いいねボタンを設置していると、そのWebページにアクセスしただけで、Facebookにアクセスしたことが伝わります。
Facebook側ではIPアドレスやクッキーなどの情報を照合し、それが誰なのかを明確にして、データベース化します。
------------------------------------------------------------

これが「個人関連情報の提供」の事例です。

これらの際に、提供にあたって同意を取るのはCCCであり、Facebookとされます。
Tポイント加盟店の店頭や、いいねボタンを設置したWebサイト側で、「あなたは個人関連情報の提供に同意しますか」といちいち確認する必要はなく、CCCやFacebookに対して本人同意を取っていることを事前に一括確認するだけでよいとされます。

ですから、来年4月の改正個人情報保護法施行後も、国内においては「クッキー同意ボタン」は不要なのです。

GDPR対応ではクッキー同意ボタンは必須とされますが、国内においては不要であることをここで明確にしておきたいと思います。


GDPR圏内では、クッキー同意ボタンは一つのビジネスになっています。国内でも同じようなビジネスを始める会社が出てくると思います。すでに出てきていると思います。それらを設置することに問題はありません。しかし法律上必須のものではないことを明確にしておきたいと思います。

※自社の個人情報保護の取り扱いに関する公表事項の中に、自社がどこに個人関連情報を提供しているかのリストを掲載するなどは有益なことだと思いますから、推奨いたします。またこれとは別に、自社のシステム内でクッキーを利用して個人情報に紐づくアクセス履歴を取得している場合には通知公表(プライバシーマーク取得の場合は同意)が必要になります。

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報保護委員長
(画像は朝日新聞Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

5月に国会で成立したデジタル改革関連法により、
監督範囲が行政機関や自治体のの個人情報の取り扱いにも拡大された
個人情報保護委員会の丹野委員長が、朝日新聞の取材に答えて
「忖度せず厳しい姿勢でのぞむ」と発言しました。

https://digital.asahi.com/articles/ASP6876MDP67ULFA01H.html

(私のコメント)
丹野委員長は、全国消費生活相談員協会理事長を経て、
2019年に個人情報保護委員会委員長に就任されました。

個人情報保護委員会は、その責任範囲がどんどん拡大しており、
社会的意義も大きくなってきています。
個人情報の取り扱いに関して「利活用の促進」と
「個人の権利利益の保護」をどのようにバランスを取るのか、
今後も注目していきたいです。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報保護法ガイドライン改正の概要
(画像はe-govパブリックコメントWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2022年4月1日に施行される個人情報保護法の改正に向けて、個人情報保護委員会は、ガイドラインの見直し案を取りまとめ、パブリックコメントを実施しています。

今回の改正には、
・保有個人データの「6ヶ月以上保有」の条件を廃止
・利用停止、消去、第三者提供の停止の請求が認められる条件を拡大
・オプトアウト規定で提供できる個人情報の制限を強化
・個人情報の不適正な利用の禁止
・漏えい等の個人情報保護委員会への報告と本人通知の義務化
・「仮名加工情報」の創設
・「個人関連情報」の第三者提供の制限
・外国事業者も報告徴収/命令/立入検査の対象に含める
・本人同意を根拠に外国の事業者に移転する場合の、移転先の国名などの情報提供
などの内容が盛り込まれており、これらについての詳細がガイドライン案で確認できます。

なお、来年4月に施行される際には、今年5月の国会で成立したばかりの2021年改正(官民の個人情報保護法の一元化)も同時に施行されると思われますが、これらについては後追いでガイドラインなどが出てくるものと思われます。

https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000069&Mode=0

(私のコメント)
このガイドラインの内容を含み、来年4月に施行される個人情報保護法の改正についてPマーク/ISMS担当者勉強会でご説明いたします。関心をお持ちの方は是非ご参加ください。
(7月14日にリモート開催いたします)

https://www.pmarknews.info/event/52142566.html

また、新しい情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

個人情報保護法が来年春に大幅改正されることになりました。

昨年の国会で民間事業者向けの規定が大幅改正されたと思っていたら、さらに今年の国会で行政機関向けの個人情報保護法との一元化が行われ、2回分の改正があわさって来年春に一気に施行されることになるようです。

この内容をいち早く取りまとめ、プライバシーマーク担当者、ISMS担当者の皆様と共有したいと思います。

講師は、私プライバシーザムライが担当いたします。

なお、私の話を聞いていただくだけでなく、セミナーの途中で皆さん同士で意見交換をしていただくブレイクアウトセッションも予定しております。

プライバシーマーク担当者、ISMS担当者の皆様、どうぞお気軽にご参加くださいませ!

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介
プライバシーザムライ 中康二
プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル:Pマーク/ISMS担当者勉強会「2022年春施行・個人情報保護法改正セミナー」

日時:2021年7月14日(水)16時から18時
場所:リモートで開催(Zoomを利用します)
講師:プライバシーザムライ 中 康二
参加費:無料(1社2名様まで)
参加対象者:
 プライバシーマーク取得事業者の役員、担当者の方
 ISMS認証取得事業者の役員、担当者の方
 または上記の認証取得を検討中の役員、担当者の方

主催:オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
※申し込み受け付けは終了しました。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2


皆さんとオンラインにてお会いできるのを楽しみにしております!
プライバシーザムライ 中康二

参議院
(画像は参議院Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

5月12日、参議院で「デジタル社会の形成を図るための関係法律の整備に関する法律案」が成立し、これにより、既存の3つの法律
個人情報保護法
行政機関個人情報保護法
独立行政法人等個人情報保護法
が一本の個人情報保護法に集約されることになりました(2022年4月施行予定)。

また地方自治体における個人情報の取扱いについても、
今後は集約された個人情報保護法で取り扱うこととされます(2023年施行予定)。

この法律案は、50以上の法律を一気に改正する内容となっており、
内容は多岐にわたり、分量も膨大なものですから解読が困難ですが、
結論としては「個人情報保護法一元化」が行われるものです。

これに伴い、行政機関における個人情報の取扱については、
色々と変更があるようですが、
民間事業者向け義務規定にはほとんど変更はありませんので、
ご安心いただきたいと思います。

今回の改正法の施行時期はその多くが「公布から1年以内」となっており、
実際には2020年に成立した個人情報保護法の施行(2022年4月1日)と
同時に施行されることになるようです。

つまり、2020年改正個人情報保護法の施行に向けた準備が進められているところに
さらに上乗せで改正が加わることになります。

これにより、法律の構成や条番号も大幅に変更になりますので、
特に注意が必要です。

例えば、
2020年成立の改正個人情報保護法により
「第22条の2」として個人データ漏洩の際の報告義務が追加されていますが、
これは今回の改正により「第26条」となるようです。
ご注意ください。


参議院・デジタル社会の形成を図るための関係法律の整備に関する法律案
https://www.sangiin.go.jp/japanese/joho1/kousei/gian/204/meisai/m204080204028.htm
提出法律案
https://www.sangiin.go.jp/japanese/joho1/kousei/gian/204/pdf/t0802040282040.pdf

(既存の法律)
個人情報保護法→改正
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
行政機関個人情報保護法→廃止
https://elaws.e-gov.go.jp/document?lawid=415AC0000000058
独立行政法人等個人情報保護法→廃止
https://elaws.e-gov.go.jp/document?lawid=415AC0000000059

(参考記事)
次の改正個人情報保護法の施行日が2022年4月1日に決まりました。〜法人向け1億円の罰金は施行済み〜
https://www.pmarknews.info/kojin_joho_hogo_ho/52140607.html

個人情報保護法一元化法案が出てきました〜今の国会で成立→えっ来春施行?〜
https://www.pmarknews.info/kojin_joho_hogo_ho/52138278.html

個人情報保護法の民間/行政一元化法案が固まったようです〜2021年通常国会に提出の見込み〜
https://www.pmarknews.info/kojin_joho_hogo_ho/52136865.html

2020年改正個人情報保護法が成立、2022年までに施行の見込み
https://www.pmarknews.info/kojin_joho_hogo_ho/52124828.html


(私のコメント)
改正が二重に行われるとは思いませんでしたが、
まあ一気に色々なことがシンプルになっていくのかなと思います。
このあたりのことは、施行までの一年間の中で、
私からも情報発信していきたいと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

改正個人情報保護法の施行日
(画像は個人情報保護委員会・公式Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2020年6月に成立した改正個人情報保護法の施行時期について、個人情報保護委員会は2022年4月1日に施行すると発表しました。

また、個人情報データベース等の不正提供等の場合の法人向け罰金(最大1億円)など、法定刑の引き上げについては、昨年12月12日に施行されていると合わせて発表しております。

https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#shikoubi

(私のコメント)
昨年12月の法定刑引き上げについては、私も追いかけ切れておらず、失礼いたしました。なお現在、国会で審議中の改正個人情報保護法(個人情報保護法の官民一元化法案)についても、今国会で成立した場合には交付から1年以内に施行するとなっており、おそらく来年4月の同じタイミングで施行されることになるのではないかと思います。

https://www.pmarknews.info/kojin_joho_hogo_ho/52138278.html

また、今回の個人情報保護法の改正点については、下記の動画で詳しく説明していますので、ご参照ください。



また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報保護委員会のLINE対応
(画像は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会は、LINE株式会社の個人情報の取り扱いについて、適法性が問われる事態になっていることに関して、現在の取組状況を公表しました。

公表された内容によると、3月19日に同社に対して報告の徴収を行い、同社から回答を得たとのことで、3月26日に上記の文書が発表されました。また、マスコミでの報道では、3月31日に同社に対する立ち入り検査も実施したとのことです。

今回、適法性が問われているのは
個人情報保護法第22条(委託先の監督)
個人情報保護法第24条(外国にある第三者への提供制限)
とのことです。

詳細は明らかにされてはいませんが、
(1)委託先である中国の開発会社からLINEの顧客データベースにアクセスできるようになっており、実際にアクセスされていたこと
(2)LINEのトークのやり取りのデータが韓国のデータセンターに収められていたこと
について、調査が行われていると思われます。

(私のコメント)
現在の個人情報保護法では、外国にある第三者へ個人情報の取り扱いを「委託」する場合には
^兮先がEUに所在すること
委託先が日本の個人情報保護法の義務規定と同水準の体制を持っていること
K[瓩亡陲鼎場合など例外の場合
に椰佑同意していること
のいずれかを満たすことが求められます。

今回の場合は△泙燭廊い適用になります。同社が本当に委託先に日本と同水準の義務規定を満たさせていたのか、または本当に本人の同意を取っていたのか、そのあたりが焦点になるのではないかと思います。


個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

LINEプライバシーポリシー
(画像はLINEのプライバシーポリシーより)

皆さんこんにちは。
プライバシーザムライ中康二です。

LINEの個人情報の取り扱いが問題になっています。

主に今回取り上げられているのは
(1)委託先である中国の開発会社からLINEの顧客データベースにアクセスできるようになっており、実際にアクセスされていたこと
(2)LINEのトークのやり取りのデータが韓国のデータセンターに収められていたこと
です。

私もLINEのユーザーです。韓国NAVER社の日本法人であった同社が、東日本大震災のあと、人と人とつなげるインフラを作りたいとの考えからLINEを立ち上げたことや、分かりやすいUI/親しみやすいスタンプなどを武器に利用者を拡大し、世界中に利用が広がっていることなど、頼もしく感じています。今回の問題に関しても、極端に反応するべきではなく、経営統合されたヤフーのコンプライアンスの元でやるべきことをやっていけばいいと思っています。(よく考えるとこのページを更新しているlivedoor BlogもLINEの運営でした☺️)

ただし、私、個人情報保護と情報セキュリティを社会に啓発するプライバシーザムライとしては、ここで少し違う視点から問題を指摘したいと思います。

それは【長すぎるプライバシーポリシー】問題です。

同社のプライバシーポリシー(リンクを下に貼っておきます)はいかんせん長すぎて、何を書いているのか普通の人には理解しづらくなっています。私もすべてを理解したとは言えません。それが今回の問題の原因の一つになっているのではないかということです。


そもそも、日本の個人情報保護法では、下記の5項目をWebサイトなどで公表することとされています。

(1)個人情報の利用目的(第18条)
(2)個人情報を第三者に提供する場合はその旨(同意が必要)(第23条)
(3)個人情報を共同利用する場合はそれに関する項目(第23条5の3)
(4)外国にある第三者へ提供する場合はその旨(場合により同意が必要)(第24条)
(5)保有個人データに関する事項の公表(第27条)

これらの各点について、LINEのプライバシーポリシーではどのように記載しているのかを順番に見ていきたいと思います。

(1)個人情報の利用目的(第18条)

やはりいちばん重要なのは「個人情報の利用目的」です。(取り扱う個人情報の項目ではなく)取り扱う個人情報の利用目的を明確にして本人に分かるようにするのが、個人情報保護法の大原則です。

個人情報保護法第18条では「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない」とされており、さらに個人情報保護委員会のガイドラインでは「利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」「単に『事業活動』、『お客様のサービスの向上』等のように抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解される」とされています。

さて、LINEのプライバシーポリシーの中から、利用目的の部分を抜粋してみましょう。

LINEの利用目的
(クリックすると拡大します)

どうですか?ひとことで言って長過ぎます。

冒頭の「当社サービスの提供・維持」は漠然としすぎています。「できる限り具体的に特定したことにはならない」の例にあたります。

次のレベルの「4.a. サービスの提供・維持」の中の「当社は、お客様から要請のあったサービスの提供や問い合わせ対応、キャンペーン応募のために必要な情報を利用します」は、ある程度できる限り具体的に特定している説明と言えましょう。

その次には「例えば、以下のような場合、当社はサービスの提供・維持のためにパーソナルデータを利用します」とあり、細かな利用目的が列記されていますが、これは無意味です。なぜなら法律では例示は求められていないからです。すべてを網羅する利用目的を最も簡潔に表現することが求められています。(「例えばA、B、Cです」といくら細かく説明しても、他にDの利用目的があるのならそれを本人が理解できなければ意味がない)

本来、この利用目的の部分は、下記のように簡潔に記載できると思います。

------------------------------------------------------------
当社の個人情報の利用目的は下記のとおりです。
1)お客様から要請のあったサービスの提供や問合せ対応、キャンペーン応募のため
2)当社サービスの開発と改善のため
3)セキュリティや不正利用対策を促進するため
4)お客様に広告を含むおすすめのコンテンツを提供するため
------------------------------------------------------------

これでいいのです。この5行のテキストによって利用者は利用目的を理解し、LINE社はその枠の中で自由に個人情報を利用できるのです。これが個人情報保護法の求めている「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」というあるべき姿なのです。長々と不要なことを書く必要はありません。

(2)個人情報を第三者に提供する場合はその旨(同意が必要)(第23条)
(3)個人情報を共同利用する場合はそれに関する項目(第23条5の3)
(4)外国にある第三者へ提供する場合はその旨(場合により同意が必要)(第24条)


次に提供の部分を抜粋してみましょう。ここは上記の3つの項目が関係します。

LINEの提供の項目
(クリックすると拡大します)

これまた長々と書きすぎています。

冒頭の部分で、第三国への移転のことを記載していますが、同じことを何回も書いています。単に「お客様のお住いの国または地域と同等の個人データ保護法制を持たない第三国に個人情報を移転する場合があります」と簡潔に書けば足りるはずです。

また、共同利用については、共同利用の範囲を「グループ会社」とだけしており、明確になっていません。個人情報保護委員会のガイドラインでは「共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある」「当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない」とされています。LINEのグループ会社がどの事業者までなのかはこのプライバシーポリシーには明記されておらず、LINEのWebサイトのどこにも明記されていません。これでは「本人がどの事業者まで利用されるのか判断できる」とは言えないと思います。これだけ長々と書いているのに、肝心の必要な情報が抜けているのです。

また、下記は安全管理の項目には「主要なパーソナルデータの保管を、当社の所在する日本の安全なサーバーで行っています」と記載されています。今回の問題で「主要ではない情報が韓国のサーバーに保管されていた」ことが判明したわけですが、こういう「主要な」という曖昧な言葉をプライバシーポリシーの中で記載することは極めて不適切であると言えます。

パーソナルデータの保管場所

(5)保有個人データに関する事項の公表(第27条)

保有個人データの開示請求に答えることは個人情報取扱事業者の義務であり、それに関する手続きの方法などを「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置く」こととされています。多くの場合では、プライバシーポリシーなどに明記することで本人に分かりやすく伝えるようにしています。こんなに長々と書くのであれば、その中にそれを記載するのは当然とも言えましょう。

さて、これに関する記載はここかな?

LINEお客様の選択肢

これまた長々と書いてありますが、よく読むとどこにも「保有個人データの開示の手続きの方法」は記載されておらず、「自分で更新できるようなシステムを用意しているから自分で権利を行使してください」ということを長々と書いてますね。

結論として、LINEは保有個人データに関する事項の公表は「本人の求めに応じて遅滞なく回答する」(=問い合わせがあったら個別に対応する)こととしているようです。長々と書いている割には肝心のことは書いてないということが分かりました。

LINEプライバシーポリシー
https://line.me/ja/terms/policy/
個人情報保護法
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057_20201212_502AC0000000044
個人情報保護委員会ガイドライン
https://www.ppc.go.jp/personalinfo/legal/2009_guidelines_tsusoku/

(私のコメント)

以上、現在物議を醸しているLINEのプライバシーポリシーを解読し、長々と何が書いてあるのかを解読し、本来はどうするべきなのかも少し書きました。

同社のプライバシーポリシーは、長いのにも関わらす、法律が求めている事項を抜かしていたり、とにかく褒められるべき内容ではありませんでした。

長すぎるプライバシーポリシーは、単に長くて難しいというだけではありません。それは利用者と事業者の関係をあいまいにする結果を生み出しています。利用者に読む気をなくさせ、結果として誤解を招き、事業者側に言い訳の余地を残すと思います。

LINE社員ですら、内容を理解できないんじゃないでしょうか。顧客の個人情報をどこまで扱ってよくて、どこからはダメなのか、社員も理解できていないから、今回のような問題が起こったのではないでしょうか?

同社が現在の長いプライバシーポリシーを見直し、必要なことだけを簡潔に記載した内容に変更することを強く求めたいと思います。


また、同様に長々としたプライバシーポリシーをWebサイトに掲載している事例は他社にもたくさんあると思います。日本のビジネス界ではプライバシーポリシーを定める際に他社事例を複数参照して、適当に合体させて自社のものにするということが以前からまかり通ってきました。ですから、このLINEのプライバシーポリシーも、それが放置されていると他社にも伝染していくことを私は面白くないと思っています。

このような長々したプライバシーポリシーを掲載することで、利用者を煙に巻くような姿勢は褒められることではありません。ましてや見本にするべきでもないですし、そんなことを個人情報保護法が求めているものでもないことをはっきりここに明記しておきます。

今回の問題の解決のために設立された専門家委員会の中には個人情報保護法の専門の方も複数いらっしゃると思います。今回を機会に、日本の「長すぎるプライバシーポリシー」問題が少しは見直されるように動いていただけることを期待いたします。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ 中康二
(オプティマ・ソリューションズ株式会社 代表取締役)


↑このページのトップヘ