カテゴリ：個人情報保護法

2022年04月22日

改正個人情報保護法＞海外移転の際の外的要因の把握についてまとめます

（画像は個人情報保護委員会Webサイトより）

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

4月から施行された改正個人情報保護法では、個人情報を海外移転する際に「外的要因の把握」を行うことが義務付けられました。今回はこのことについてまとめておきたいと思います。

まず、個人情報の海外移転の注意点については、別の記事で取り上げましたので、ご参照ください。

改正個人情報保護法＞個人情報の海外移転に関する注意点をまとめます
https://www.pmarknews.info/kojin_joho_hogo_ho/52157329.html
海外クラウド利用は「外国にある第三者」にならないと考えてよさそうです。
https://www.pmarknews.info/kojin_joho_hogo_ho/52155459.html

さて、上記の二つの記事では、個人情報を海外に移転してよいのはどういうケースなのかについて説明しました。しかし、まだそれだけでは足らないのです。

個人情報を海外に移転する際には、移転先の国の個人情報保護法制などを把握し、必要かつ適切と考えられる個人データの安全管理措置を講ずる必要があるのです。これを「外的環境の把握」の義務といいます。

個人情報保護法第23条（安全管理措置）
　→個人情報保護法ガイドライン通則編
　　10（別添）講ずべき安全管理措置の内容

10-7　外的環境の把握
個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。

また、今回の法改正から、保有個人データに関する事項の公表の中に、その「保有個人データに対して実施している安全管理措置」が含まれましたので、外的環境の把握を行っていることもそこに記載することが必要となります。ただし、これは「本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）に置く」というものですから、必ずしもWebサイトなどで公表する必要はなく、本人から求めがあった場合だけ回答することでも認められます。

個人情報保護法第32条（保有個人データに関する事項の公表等）
　→個人情報保護法ガイドライン通則編
　　3-8-1 保有個人データに関する事項の公表等（法第32条関係）
　→【安全管理のために講じた措置として本人の知り得る状態
　　に置く内容の事例】

（外的環境の把握）
事例）個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施（※8）

(※8)外国（本邦の域外にある国又は地域）の名称については、必ずしも正式名称を求めるものではないが、本人が合理的に認識できると考えられる形で情報提供を行う必要がある。また、本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましい。

結論として、このようになります。

（１）自社の管理している個人データが、地球上のどこに存在しているのか把握する。

この場合、海外のクラウドに保存している場合も含めて把握する必要があります。

（２）自社の管理している個人データに対して、アクセス権を設定している人や法人が、地球上のどこにいるのか把握する。

これは、下記の通り、アクセス権を設定しているだけでも個人データの提供にあたるからです。

個人情報保護法ガイドライン通則編
2-17「提供」
「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報（以下この項において「個人データ等」という。）を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば（利用する権限が与えられていれば）、「提供」に当たる。

（３）上記で把握された国・地域における個人情報保護法制を把握し、必要と思われる安全管理措置を講じる。

この際、個人情報保護委員会のWebサイトに掲載されている「外国における個人情報の保護に関する制度等の調査」を参考にすることができます。

ここで、中国のように、政府の権限が大きな国に個人データが存在している／アクセス権が設定されている場合には、少し危機感を持って再検討していただく必要があります。

LINE事件では中国の委託先に対してアクセス権を設定していたことが問題視されました。それが本当に必要なのかどうか、それで自社の個人データはしっかり守られるのか、じっくり検討して、必要な措置を取ることが求められます。

（４）保有個人データに関する事項の公表等の中に、少なくとも「個人データを保管している●●国における個人情報の保護に関する制度を把握した上で安全管理措置を実施」と国名を列記して記載する。

もう少し親切にする場合には、各国の個人情報保護法制などの調査結果も記載する。

ということです。ここまでやれば、個人情報取扱事業者としての対応としては100点満点です👧

個人情報保護委員会「外国における個人情報の保護に関する制度等の調査」
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku

その他の参考URL
改正個人情報保護法（2022年4月施行）
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
個人情報保護法ガイドライン（通則編）
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
個人情報保護委員会資料
https://www.meti.go.jp/policy/it_policy/privacy/ppc_privacy_governance_seminar3.pdf

（私のコメント）
前回の「個人データの海外移転」に続き、今回は「外的要因の把握」に関する情報をまとめてみました。この内容も、法律／ガイドラインなど散在する情報を総合的に勘案しないとなかなか理解できない状態になっていて、理解しずらくなっていると思いました。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年04月14日

改正個人情報保護法＞個人情報の海外移転に関する注意点をまとめます

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

４月から施行された改正個人情報保護法について、最も混乱していると思われるのが「個人情報の海外移転」に関する事項です。

いろんな情報が交錯していて、なかなかうまくまとまった情報がありませんので、この記事でまとめておきたいと思います。

まず、改正個人情報保護法の下で、外国にある第三者への提供が認められるのは、上記の図の４つの場合のみとなります。これを順番に説明していきます。

なお、国内法人に対する場合と異なり、「委託」がこの例外とはならないことによく注意してください。委託の場合も下記の条件を満たす必要があります。

また、提供とは、個人データを自己以外の者が利用可能な状態に置くことを指し、個人データが物理的に提供されていない場合であっても、ネットワーク等を利用することにより個人データを利用できる状態にあれば（利用する権限が与えられていれば）、提供にあたるとされています。つまり、実際に海外に移転していなくても、海外の第三者からアクセス権が設定されている場合には、外国にある第三者への提供となります（2021年のLINE問題では中国の委託先から日本のデータベースにアクセス権を設定していたことが問題になりました）。こちらもご注意ください。

（個人情報保護法ガイドライン 2-17「提供」）

（１）日本と同水準の個人情報保護制度のある外国の場合

日本と同水準の個人情報保護制度のある外国にある事業者に対する提供（委託）は、認められます。具体的にはEU加盟国と英国となります。（第28条第1項）

（個人情報保護委員会資料より）

（２）基準に適合する体制を整備した事業者の場合

次に提供先（委託先）が、個人情報保護委員会が定める基準に適合する体制を整備している場合には、認められます。

ただし、下記の3つの条件を満たす必要があります。

① 国内の個人情報取扱事業者が講ずべき措置に相当する措置（相当措置）を継続的に講ずるため、下記のA)B)のいずれかを整備すること。（第28条第1項）

　A) 契約を交わすなどの方法により、相当措置の実施を確保すること。相当措置には、下記の20の項目が含まれます。
2022-04-14_21h34_19

（個人情報保護法ガイドライン・外国にある第三者への提供編より）

　B) 提供先が、個人情報の取扱いに係る国際的な枠組みに基づく認定を取得していること（APEC CBPRシステムの認証など）

② 提供先（委託先）における相当措置の継続的な実施を確保するために必要な措置として、下記のA)B)C)全てを実施すること。（第28条第3項）

　A) 相当措置の実施状況、相当措置の実施に影響を及ぼすおそれのある外国の制度の有無及び内容を定期的に確認すること
　B) 相当措置の実施に支障が生じたときは、必要かつ適切な措置等を実施すること
　C) 相当措置の継続的な実施の確保が困難となったときは提供（委託）を停止すること

③本人からの求めを受けた場合には、本人に対して下記の情報を遅滞なく提供すること。（第28条第3項）

　A) 提供先（委託先）が相当措置を実施するための体制の整備の方法
　B) 提供先（委託先）が実施する相当措置の概要
　C) 提供先（委託先）による相当措置の実施に影響を及ぼすおそれのある外国の制度の有無と内容に関する確認の頻度と方法
　D) 当該外国の名称
　E) 提供先（委託先）による相当措置の実施に影響を及ぼすおそれのある外国の制度の有無とその概要
　F) 提供先（委託先）による相当措置の実施に関する支障の有無とその概要
　G) 前号の支障に関して当該個人情報取扱事業者が講ずる措置の概要

（３）一定の事項を開示した上で、本人同意を取る場合

本人同意があれば、外国にある第三者への提供は認められますが、今回の法改正で、同意の前に以下の情報を提供することが義務付けられました。（第28条第2項）

① 当該外国の名称
② 当該外国における個人情報の保護の制度に関する情報
③ 提供先（委託先）が講ずる個人情報の保護のための措置

（４）クラウドサービスで個人データを取り扱わないこととなっている場合

クラウドサービスの場合、海外の事業者であったり、海外のデータセンターを利用している場合がありますが、この場合であっても、そのクラウド事業者が自社の個人データを取り扱わないこととなっている場合には、そもそも提供にも委託にもならないとされます。（個人情報保護委員会Q&A Q12-3）

このことについては、別に記事を書いていますので、参考にしてください。
https://www.pmarknews.info/kojin_joho_hogo_ho/52155459.html

（追加）外的環境の把握の義務があります

上記（１）から（４）の条件に加えて、外国において個人データを取り扱う場合には、安全管理措置の一環として「外的環境の把握」が求められます。これは、どの国で個人データを取り扱っているのかを明確にし、その国における個人情報の保護に関する法制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じることを指しています。（第23条）

（個人情報保護法ガイドライン通則編 10（別添）講ずべき安全管理措置の内容より）

さらに、保有個人データに関する公表事項に安全管理措置が含まれたことから、上記で把握した「外的環境の把握」の内容についても、公表に含めることとされました。（第32条第4項）

（個人情報保護法ガイドライン 3-8-1 保有個人データに関する事項の公表等）

とはいっても、各社が独自に諸外国の個人情報保護法制を調査することには困難もあることから、個人情報保護委員会が一定の国について調査を行い、その結果をWebサイト上で公表しています。

https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku

特に中国における個人情報保護法制については、厳しい内容が報告されています。

（中華人民共和国に関する調査結果）

参考URL
改正個人情報保護法（2022年4月施行）
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
個人情報保護法ガイドライン（通則編）
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
個人情報保護法ガイドライン（外国にある第三者への提供編）
https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/
個人情報保護委員会資料
https://www.meti.go.jp/policy/it_policy/privacy/ppc_privacy_governance_seminar3.pdf

（私のコメント）
以上、個人データの海外移転に関する情報をまとめてみました。正直申し上げて、この内容は法律とガイドラインだけ見ていては、とても理解しづらいと感じました。今回の記事で骨組みは表現できたと思いますが、いかがでしょうか？また、最後の「外的環境の把握」については、もう少し詳細を調査して別の記事でご紹介したいと思います。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年03月03日

改正個人情報保護法＞WebサイトにGoogleやFacebookのタグを埋め込んだだけでは個人関連情報の提供にはならないようです

（画像は個人情報保護法ガイドラインQ8-10より。画像の中の「法第26条の2」は、2022年4月施行法においては「法第31条」となります）

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

先日、個人情報保護法改正＆プライバシーマーク新審査基準対応のためのプライバシーマーク担当者勉強会を開催した際、いくつか気づいたことがありましたので、このWebサイト上でも何回かに分けて取り上げたいと思います。

今回取り上げるのは、「WebサイトにGoogleやFacebookのタグを埋め込むことは個人関連情報の提供になるのか」ということです。

2022年4月に施行される改正個人情報保護法第31条では、生存する個人に関する情報ではあるものの、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを「個人関連情報」といいます。

例えば、下記のようなものが個人関連情報にあたります。
・どこの誰かは分からないけれども、ある時間に、あるIPアドレスから、あるWebページを閲覧したという記録
・どこの誰かは分からないけれども、ある時間に、ある人が、ある商品を、ある価格で購入したという記録

この個人関連情報を自社以外の第三者に提供した場合に、提供先において、何らかの方法により個人情報と関連付けることができるという場合には、あらかじめ本人の同意が必要になります。これが「個人関連情報の提供の制限」です。

ちなみにこの場合の本人同意は、原則として提供先が取得することになります。

そうすると、当然こんな風に考えますよね？

・Facebookのいいね！ボックスを自社のWebサイトに埋め込んでいる場合、自社のWebサイトに誰かがアクセスしてきた際に、Meta社（Facebook運営会社）に自動的に情報が飛んで、アクセスしたことがFacebookに伝わる。自社ではそれが誰か分からないけれども、Meta社では利用者のアカウント情報と紐づけすることでそれが誰か分かるのだから、これは個人関連情報の提供になるのではないか？

・Googleアナリティクスのタグを自社のWebサイトに埋め込んでいる場合、自社のWebサイトに誰かがアクセスしてきた際に、Google社に自動的に情報が飛んで、アクセスしたことがGoogleに伝わる。Googleはこの情報をGoogleアカウントと紐づけているのかどうか明確にはしていないけれども、紐づけている場合にはGoogle社ではそれが誰なのか分かるのだから、これは個人関連情報の提供になる可能性があるのではないか？

実際、私はそのように思っていました。

これに関して、個人情報保護委員会がまとめている個人情報保護法ガイドラインのQ8-10を見て、驚きました！

Ｑ８－10 A 社が自社のウェブサイトに B 社のタグを設置し、B 社が当該タグを通じて A社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A 社は B 社にユーザーの閲覧履歴を提供したことになりますか。
→はい。まさにそういう時のことを知りたかったのです

個別の事案ごとに判断することとなりますが、A 社が B 社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A 社が B 社に閲覧履歴を「提供」したことにはならず、B 社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。このため、B 社がそのタグを通じて閲覧履歴を取得することについて、法第 26 条の２（原文ママ、正しくは法第31条）第１項は適用されないと考えられます。
→Facebookのいいね！ボックスや、Googleアナリティックスのタグを埋め込んだとしても、自社ではそのタグで収集される閲覧履歴は取り扱うわけではないので、その先、Meta社やGoogle社がユーザーIDを紐づけしていたとしても、していないとしても、自社からの個人関連情報の提供にはならない！

ということが分かりました！

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

（私のコメント）
このQ&Aを見た時、かなり衝撃が走りました。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年02月25日

改正個人情報保護法＞海外クラウド利用は「外国にある第三者」にならないと考えてよさそうです。

（画像は個人情報保護法ガイドラインQ12-3より）

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

先日、個人情報保護法改正＆プライバシーマーク新審査基準対応のためのプライバシーマーク担当者勉強会を開催した際、いくつか気づいたことがありましたので、このWebサイト上でも何回かに分けて取り上げたいと思います。

今回取り上げるのは、「海外クラウド利用は外国にある第三者になるのか」ということです。

2022年4月に施行される改正個人情報保護法第24条では、外国にある第三者に個人データを提供する場合には、下記のいずれかの条件を満たすこととされます。

（１）提供先が、日本と同等の水準の個人情報保護法制が敷かれた国に存在する場合（具体的には十分性認定がなされたEUと英国）

（２）提供先が、個人データの取扱いについて日本の個人情報取扱事業者と同等の水準の措置を講じている場合（契約や提供先の内部規程などでそれが確認できること、またはAPECのCBPR認証を受けていること）

（３）本人に対して、外国にある第三者への提供に関する一定の情報提供を行い、本人からの同意が得られていること

しかも、この第24条は「委託」が例外とはされておらず、委託の場合も同様の条件を満たすこととされています。そうすると、海外クラウド利用の場合にはどうなるのかということが懸案になっていました。

例えば、こんなことが考えられました。

Google Workspaceを利用している場合で、安い契約では、サーバーの存在する地域（リージョン）を選べない場合があり、そうすると、知らない国に置かれることになるから、上記の（１）（２）を実施できず、本人同意が必要になる？いやしかし本人同意と言っても、メールを送ってくる人にいちいち同意なんか取れない！では高い契約に切り替えないといけないのか？

AWSを利用していて、今までは地域分散も考えて日本とシンガポールのデータセンターを利用していたが、全部日本に集約しなければならないのか？

日本では提供されていない専門的な内容の、米国の会社が提供する人事管理クラウドを利用しているが、この利用を継続するにあたり、社員全員から同意を取るのは煩雑だなあ。

これに関して、個人情報保護委員会がまとめている個人情報保護法ガイドラインのQ12-3に参考になる情報がありました。

個人情報取扱事業者自らが外国に設置し、自ら管理・運営するサーバに個人データを保存することは、外国にある第三者への提供（法第 24 条第１項）に該当しません。
→例えば、AWS上に自社でサーバーを構築している場合、そこに含まれる個人データをAmazonに提供するわけではないから、それがどこのリージョンであったとしても外国にある第三者への提供にはならない。

個人情報取扱事業者が、外国にある事業者が外国に設置し、管理・運営するサーバに個人データを保存する場合であっても、当該サーバを運営する当該外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供（法第 24 条第１項）に該当しません。ここでいう「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます（Ｑ７－53 参照）。
→これは「委託先」の定義に立ち返って理解する必要があります。委託先とは「個人データの取扱いの全部又は一部を委託する」相手のことであり、委託にはその個人データの内容を確認して、何らかの処理を行うことが含まれます。
クラウドサービスに個人情報を保存した場合に、その内容をクラウド事業者が内容を確認して、何らかの処理を行うのだとすれば、これは「委託」となり、その場合には上記の（１）（２）（３）のいずれかを満たす必要が出てきます。
しかし、クラウドサービスに個人データを保存したとしても、クラウド事業者がその内容を確認するのではなく、何らかの処理を行うのもなく、単にシステムの機能を用いて見やすく表示したり、集計したりするだけである場合には「委託」にはならないし、そもそも外国にある第三者への提供にもならない。クラウド事業者側が内容を見ないことが契約条項などにより明確にされていて、必要なアクセス制御も行われているのであれば、上記（１）（２）（３）に従う必要はない。

ということが分かりました！

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

（追加：2022年3月5日）
本記事に関連し、「プライバシーマーク制度では倉庫・データセンター系は委託先として管理しなければならないこととの整合性」について質問を受けましたので、下記を追記いたします。
JIS Q15001：2017の附属書B（解説）には、下記のような記述があります。
2022-03-05_14h15_05

この解説の内容は、依然として有効なものであり、今後もプライバシーマーク認定事業者としては、倉庫データセンター系の相手を委託先としてリストアップし、必要な覚書などを交わさなければならないと考えます。ただし、外国にある第三者への提供にはならないということです。

（私のコメント）
個人情報保護委員会の出すQ&A情報により、このような形でいろいろなことが明確に整理されていくのはうれしく思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年02月18日

Yahoo!ジャパンが個人情報保護法改正を見据えてプライバシーポリシーを改定

（画像は同社のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

ヤフー株式会社は、4月からの個人情報保護法改正に対応するため、自社のプライバシーポリシーを改定すると発表しました。

今回の主な改訂点は以下の通りです。

（１）個人関連情報の取扱いに関する説明の追加
（２）安全管理措置の具体的な内容説明を追加
（３）口コミ等の公開情報の取扱いの明確化
（４）従来の規定の明確化
（５）お問い合わせ窓口に関する説明追加

特に今回の個人情報保護法改正の目玉でもある「個人関連情報の提供」に関する内容が気になりますよね。

同社では
・Yahoo!広告を表示したWebサイトのURLとクッキーを取得することにより、アクセス履歴を取得
・Yahoo!広告のクリック履歴を取得
という2段階の方法を中心として、一般のWeb利用者の興味関心などを取得しているものと思われます。

そしてその情報をYahoo!アカウント（個人情報）と紐づけており、これが個人関連情報の提供を受ける事例になるものと思われます。

このことについて、同社では今後、必要に応じて同意取得の仕組みを用意して、本人同意が得られた場合のみ紐づけを行うとして、プライバシーポリシー上には下記のように記載しています。

本条に定める利用には、当社が取り扱うお客様等のYahoo! JAPAN ID、パートナーのID、広告ID（Advertising Identifier(IDFA)およびGoogle Advertising Identifier(AAID)を含みますがこれに限りません）、クッキーその他の各種識別子を紐づけて管理し、利用する場合を含みます。また、それに限らず、当社は、パートナーより受領するウェブページの閲覧履歴・検索履歴、パートナーが運営する店舗やショッピングサービス等での購買履歴、位置情報等の行動履歴、暗号化されたメールアドレス、クッキー、広告ID等の個人関連情報を、当社の保有するパーソナルデータと紐づけたうえで利用します。ただし、当該紐づけにあたり、個人情報の保護に関する法律（以下「個人情報保護法」といいます）によりお客様等の同意が必要な場合には、個人情報保護法および関連するガイドラインに従った態様で本プライバシーポリシーに同意いただいた場合にのみ紐づけを行います

またもう一点気になる海外移転の件については、下記のように国名を列記することで、明確にしようとしているようです。

提供・委託先の国または地域の例
パーソナルデータの提供・委託先には、以下の国または地域が含まれます。
・イギリスおよびEEA加盟国（例：フランス、ドイツ、スウェーデン、フィンランド、アイルランド）
・欧州委員会から十分性認定を受けた国または地域（例：スイス、イスラエル）
・APEC CBPR参加国（例：アメリカ、韓国、台湾、シンガポール、オーストラリア）

（「例」という表現が少し気になります。具体的に記載するべきプライバシーポリシーに「例示」は不適当だと考えています）

プライバシーポリシー改定のお知らせ
https://privacy.yahoo.co.jp/notice/202202.html

新しいプライバシーポリシー（2022年2月28日施行予定）
https://privacy.yahoo.co.jp/notice/202202_policy.html

海外パートナー企業へのデータ連携
https://privacy.yahoo.co.jp/connection/crossborder.html

（私のコメント）
私は、プライバシーポリシーは、簡潔に明確に記載するべきと考えています。特に昨年LINE事件が話題になった時には、LINEのプライバシーポリシーが長すぎてその割に不明確であることを指摘しました。

同社のプライバシーポリシーは、サービス内容が多岐にわたる巨大IT企業の割には従来からわかりやすい記載を実現しており、他社の皆さんにも参考にしていただけると思いますので、皆様も参考にしていただければと思います。

今回のLINEの問題をきっかけに「長すぎるプライバシーポリシー」に警鐘を鳴らす！
https://www.pmarknews.info/kojin_joho_hogo_ho/52140119.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2022年01月27日

2022年4月1日の改正個人情報保護法施行に向けた基本情報を整理します

（画像はe-Gov法令検索・Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

2022年4月1日の改正個人情報保護法・施行に向けて様々な作業が進んでおりますので、このページで基本情報を整理したいと思います。

（１）改正個人情報保護法の施行日は正式に2022年4月1日に決まりました

今回は2回の法律改正を一気に施行するというある意味でアクロバティックなことをするのですが、2段階の改正を2022年4月1日に同日施行するとのことで、正式に決まったようです。（「デジタル社会の形成を図るための関係法律の整備に関する法律の一部の施行期日を定める政令」により決定）

https://www.ppc.go.jp/personalinfo/minaoshi/#overview

（２）2022年4月1日に施行される改正個人情報保護法の法律全文

4月1日に施行される法律の全文は、下記のURLでご確認いただけます。
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057_20220401_503AC0000000037

PDF版はこちらです。
https://www.ppc.go.jp/files/pdf/hogohou_50joukaisei.pdf

※全180条まであるのが2022年4月施行版です。
現行法は88条、2023年4月施行版は185条になります。

（３）個人情報保護法ガイドラインも全面改訂

法律の大幅改正に伴い、個人情報保護法ガイドラインも全面的に改訂されています。今回の改訂により、今まで以上に詳細な内容が説明されるようになり、読み応えのあるものになっています。

通則編（まずはここから）
https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf

外国にある第三者への提供編
https://www.ppc.go.jp/files/pdf/211029_guidelines02.pdf

第三者提供時の確認・記録義務編
https://www.ppc.go.jp/files/pdf/211029_guidelines03.pdf

仮名加工情報・匿名加工情報編
https://www.ppc.go.jp/files/pdf/211029_guidelines04.pdf

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

1月末現在、個人情報保護委員会としては、行政機関向けガイドラインの作成や、金融機関向けガイドラインの見直しなど、最後の作業に当たっているようです。それらが全て出そろって、4月1日の改正法施行を迎えることになると思います。

（私のコメント）
個人情報保護委員会のWebサイトでは情報があちこちに散逸していて、少しわかりにくいかなと思いましたので、このページに集約してみました。とにかく、個人情報保護法の実務担当者の方には是非ガイドラインを熟読していただきたいです。そうすれば多くの疑問が解消されるはずです。（私も今、読み込んでいるところです）

なお、個人情報保護法改正とプライバシーマーク新審査基準に関する「Pマーク担当者勉強会」を2月22日（火）にリモート開催いたします。どうぞご参加ください。（恐縮ですがプライバシーマークのご担当者様限定になります）

https://www.pmarknews.info/privacy_mark/52153707.html

皆様とリモートでお会いできるのを楽しみにしております。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年01月20日

JIPDECが4月から適用するPマーク新審査基準を正式発表～個人情報保護法改正対応を含む最終確定版～

（画面はJIPDECによるPMS構築・運用指針）

------------------------------------------------------------
（追記）プライバシーマーク新審査基準2022に関する
セミナー動画を公開しました。どうぞご覧ください。

------------------------------------------------------------

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、この4月から適用される新しい審査基準について、予定通り個人情報保護法改正の内容を反映させた最終版を発表しました。

今回発表された審査基準は「審査基準」と「PMS構築・運用指針」の二段構成になっていますが、「審査基準」には「PMS構築・運用指針に基づいて審査を行う」ということしか記載されておりませんから、事実上「PMS構築・運用指針」が審査基準となります。

今回の「PMS構築・運用指針」は、従来の審査基準から構成自体が大きく変更されています。JIS Q 15001「附属書A」の内容に加えて、これまで全く審査に使用されてこなかったJIS Q 15001「規格書本文」の内容も審査での確認事項とすることになりました。

そのため、今回の変更はとても規模が大きくなっています。独自に「J」で始まる項番の体系を用意し、その中に規格書本文と附属書Aの内容をきれいに並べています。「内部外部の課題を特定する」「利害関係者の期待を特定する」というような、従来からISMSでは求められていたものの、プライバシーマークでは求められてこなかった内容が盛り込まれています。そして個人情報保護法の改正点も網羅されています。

（これが新審査基準の目次です。クリックすると拡大します）

昨年8月末に発表されたものは個人情報保護法改正の対応が含まれていない暫定版でした。今回、法改正の対応も含めた最終版が発行され、これで4月以降の審査が行われることになります。

なお、この新審査基準の適用は「2022年4月1日以降に申請した事業者」とのことで、それよりも前に申請した場合には、現地審査が4月以降になったとしても古い審査基準で審査してもらえるようです。

https://privacymark.jp/system/guideline/outline.html#02

（コメント）
遂に4月以降の審査で使用する最終版が出てきましたね。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年11月12日

11月から中国で個人情報保護法が施行～GDPR並みの対応が求められる日本企業～

（画像は中国政府のWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

報道によりますと、11月1日から、中国で個人情報保護法が正式に施行されたとのことです。

今回の法律の施行により、すでに施行済みの「サイバーセキュリティ法」「データ安全法」と合わせて、中国政府としての情報セキュリティ・個人情報保護に関する法整備がひとまず完成したものとされているそうです。

さて、肝心の内容ですが、私がGoogle翻訳で読み下した範囲においては、日本の個人情報保護法とよく似ていて「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」という方向性のように思えました。中国には人権がないかのような言説が多いですが、今回の法律に関してはそういうことでもなく、世界の風潮に合わせた近代的な法整備と考えてよさそうです。

また後発の利点というべきでしょうか、個人情報の海外移転の制限や、域外適用、中国国内における責任者または代理人の指名、最大5000万元（約9億円）もしくは前年の売上高の5％という多額の罰金など、欧州のGDPRと同様の規制を含んでいます。中国でビジネスを展開する日本企業は、これらに対する対応が必要となります。

さらに中国ならではの規制として、中国在住者の個人情報を大量に扱う場合には、中国国内のデータセンターでの保管が義務付けられるとのことで、巨大IT企業として中国でもビジネスを展開しているAppleやマイクロソフトなどはこれに既に対応しているようです。

中国個人情報保護法
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

中国サイバーセキュリティ法
http://www.cac.gov.cn/2016-11/07/c_1119867116.htm

中国データセキュリティ法
http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
（いずれもGoogle翻訳にかけると、かなりきれいな日本語になります）

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年10月14日

10月18日から「個人情報を考える週間」です。～長過ぎるプライバシーポリシーにも警鐘～

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

来年4月の個人情報保護法改正により、国内の官民全ての個人情報の取扱いを管轄することになる個人情報保護委員会。

アジア太平洋プライバシー機関(APPA)に参加する各国の個人情報保護当局と歩調を合わせ、10月18日から24日まで国内でも「個人情報を考える週間」を実施すると発表しました。

わたくし個人的には、委員会が市民に向けて呼びかけていた3つのメッセージに興味がわきました。

（１）知り合いの連絡先を無断で教えていませんか？
（２）自分の居場所が分かるような情報をSNSに掲載していませんか？
（３）プライバシーポリシーや規約の内容をよく読まずに同意していませんか？

確かにどれも重要な内容になります。

（１）は論外としても、（２）は過去から個人情報保護委員会が様々な機会に呼びかけていたものでした。一方で（３）は目新しく感じました。

これはまさに「長過ぎるプライバシーポリシー問題」ですね。

わたくし自身も、常日頃「こんな長いプライバシーポリシーの内容確認してられないな」と思いながら様々なサービスの規約に渋々同意しています。

これはまさに「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」ためには重要なことです。日本のプライバシーポリシーをもっと分かりやすく、簡潔なものにしたいと強く再認識した次第です。

個人情報保護委員会「個人情報を考える週間」
https://www.ppc.go.jp/news/privacy_awareness_week/

長過ぎるプライバシーポリシー問題
https://www.pmarknews.info/kojin_joho_hogo_ho/52140119.html

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年09月30日

JIPDECがPマーク審査基準の新旧対応表を公開～変化点が分かりやすく～

（画面はJIPDECのWebサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、先日発表した新しい審査基準（来年4月から適用）と、現在の審査基準の差分が明確になる新旧対応表を公式Webサイト上で公表しました。

なお、正確には、（新）PMS構築・運用指針と（旧）審査基準の対応表ですが、（新）審査基準には「PMS構築・運用指針に基づいて審査を行う」ということしか記載されておりませんので、これが事実上の審査基準の新旧対応表と言えます。

https://privacymark.jp/system/guideline/outline.html#02

（コメント）
この資料により、今回の変更点がより明確に分かりますので、プライバシーマーク取得済み企業の担当者の皆様には役立つ資料となるのではないかと思います。

なお、プライバシーマーク新審査基準に関する「Pマーク担当者勉強会」を10月19日（火）にリモート開催いたします。皆様のご参加をお待ちしております。

https://www.pmarknews.info/event/52147812.html

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年09月02日

JIPDECが2022年4月から適用する新審査基準を発表～法改正対応版は2022年1月に公表～

------------------------------------------------------------

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、来年4月から適用される新しい審査基準を発表しました。

今回発表された審査基準は「審査基準」と「PMS構築・運用指針」の二段構成になっていますが、「審査基準」には「PMS構築・運用指針に基づいて審査を行う」ということしか記載されておりませんから、事実上「PMS構築・運用指針」が審査基準となります。

その「PMS構築・運用指針」は、従来のものから構成自体が大きく変更され、JIS Q 15001の「附属書A」だけでなく、これまでほとんど審査に使用されてこなかった「規格本文」の内容も審査での確認事項とするとなりました。

ですから、細かな文言だけではなく、項番の振り方など全て変更されていますし、「内部外部の課題を特定する」「利害関係者の期待を特定する」というような、従来からISMSでは求められていたものの、プライバシーマークでは求められてこなかった内容が盛り込まれています。

なお、来年4月に予定されている法改正の内容については、まだこの新審査基準に盛り込まれていません。それについては来年1月に公表されて4月以降の審査で利用されることになっています。

https://privacymark.jp/news/system/2021/0830.html

この新審査基準の適用は「2022年4月1日以降に申請した事業者」とのことで、それよりも前に申請した場合には、現地審査が4月以降になったとしても古い審査基準で審査してもらえるようです。

https://privacymark.jp/system/guideline/outline.html#02

（コメント）
以前から噂では聞いていた「規格本文を盛り込んだ審査基準」がこのタイミングで出てきました！
3年毎に法律が見直されるという最近の状況においては、法改正とJIS改正を経て、その後にプライバシーマークの審査基準を見直すという従来のやり方では追いつけないということなのかなと思います。

（2022年9月追記）
なお、このプライバシーマーク新審査基準に対応するPMS文書ひな形（抜粋版）を無料でダウンロード提供いたします。どうぞお申し込みください。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2021年08月27日

改正個人情報保護法＞仮名加工情報の実務上のメリットとは？

（個人情報保護委員会資料より）

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
（オプティマ・ソリューションズ株式会社・代表取締役）　

来年4月に施行される個人情報保護法の改正点の一つが
「仮名加工情報の創設」です。

これは、
氏名などの個人を直接識別できる記述を置き換えたり削除した情報
（ただし他の情報と照合することで識別できるものを含む）
とされています。

具体的には、下記の3つすべての加工を行うとされています。

①特定の個人を識別することができる記述等の削除
例）会員ID 、氏名、年齢、性別、サービス利用履歴が含まれる個人情報から、氏名のみ削除する。
例）氏名、住所、生年月日が含まれる個人情報から、氏名と住所と生年月日を削除する。
②個人識別符号（個人番号／パスポート番号などの公的な番号や、生体認証データ）の削除
③不正に利用されることにより財産的被害が生じるおそれのある記述等の削除
例）クレジットカード番号の削除
例）送金や決済のできるWebサービスのID・パスワードの削除

仮名加工情報を取扱う際には、下記の義務規定が適用されます。

①安全管理措置の実施
②利用目的の公表
③利用する必要がなくなった場合の消去
④第三者提供の禁止（委託／事業の承継／共同利用は除く）
⑤本人を識別する行為の禁止（個人情報データベースとの照合）
⑥本人への連絡等の禁止（Telかけ、DM送付など）
⑦不適正な利用／取得の禁止

で、肝心のメリットなのですが、仮名加工情報については

①利用目的を自由に変更できる（公表は必要）
②漏えい時の報告／本人への通知は不要
③本人からの開示等の請求に答える必要はない

とされています。

ここまで情報を整理してきて、
実務的にはどんなメリットがあるんだと
私は悩んでしまいました。。。。

そんなとき、
JIPDECさん主催の改正個人情報保護法セミナーがありまして、
個人情報保護委員会の方が解説をしてくれていました。

それが冒頭に掲載した内容になります。

これによると、

①当初の利用目的には該当しない目的や、該当するか判断が難しい新たな目的での内部分析
例）医療・製薬分野などにおける研究
例）不正検知・売上予測などの機械学習モデルの学習など
②利用目的を達成した個人情報について、将来的に統計分析に利用する可能性があるため仮名加工情報として加工した上で保管

とありました。

個人情報保護法には、従来から
アンケート調査の集計結果のような統計情報は個人情報ではない
という大原則がありましたが、
これはあくまでも集計後の統計情報のことであり、
集計前の個人データは個人データですし、
その集計作業は利用目的に含まれている必要があったわけです。

つまり、過去10年分の売上データがあり、それには顧客の住所氏名や生年月日などの詳細な個人情報が含まれているとした場合に、その売上データを利用して今後の事業戦略に役立てるための統計分析を行うには、それが利用目的に含まれていなければなりませんでした。

従来の仕組みでも利用目的の変更は可能でしたが、それはあくまでも「変更前の利用目的と関連性を有すると合理的に認められる範囲」のみでした。

例えば、その売上データを利用して何らかのマーケティング統計を作成し、その統計データを販売するという事業を始めることはできない可能性がありました。

また、その売上データは個人情報ですから、保存し続けている限り、保有個人データとして開示請求に答えなければなりませんでしたし、万が一流出事件などを起こしてしまった場合には、事故として取り上げることが必要でした。

一方で、改正法の施行後であれば、その売上データを仮名加工情報に加工した上で、「売上データを利用してマーケティング統計を作成し、その統計データを販売する」という利用目的を公表することで、その事業を始めることができます。また、その仮名加工情報に関しては開示請求に答える必要はありませんし、万が一流出事件を起こしたとしても、事故として取り上げる必要はなくなります。

なるほど。。。。さすが個人情報保護委員会さん。
素晴らしい説明をありがとうございました😆

皆様もこの仮名加工情報という新しい制度をうまく使って、
自社のビジネスの拡大を実現していただきたいと思います。

さて、この仮名加工情報のことを含む
「2022年4月施行個人情報保護法改正6つのポイント」
という私のセミナー動画をYoutubeで配信しております。

ぜひ、ご覧ください、

なお、全編の視聴と資料のダウンロード提供には申し込みが必要です。
下記からお申し込みください（無料）。
https://www.optima-solutions.co.jp/form_kaisei_2022

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ