プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: プライバシーマーク

2023年3月末のプライバシーマーク取得事業者数は17,480社

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク公式Webサイトの情報によりますと、2023年3月末現在のプライバシーマーク付与事業者数は17,480社とのことです。

この一年間で523社の増加となり、新型コロナの影響で過去3年間低い水準になっていたのを元に戻す勢いのようです。

プライバシーマーク制度ができて、25周年。
さらなる飛躍を期待しております。

https://privacymark.jp/certification_info/data.html

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

プライバシーマーク25周年!
(画像はプライバシーマーク25周年特設ページより)

Pマーク新審査基準2022セミナーを視聴する

皆さんこんにちは。
プライバシーザムライ中康二です。

JIPDECのWebサイトが更新されたようなので、見に行くと、
ば〜んと上記のようなページが出てきました。

プライバシーマーク25周年とのこと。

誠におめでとうございます。
私、プライバシーザムライも、このプライバシーマークのエコシステムの中で生きてますから、当然ながらこの制度がもっともっと広まり、もっともっと社会的意義が拡大してほしいと思っております。

プライバシーマークの生みの親ともいえる堀部先生も寄稿されてます。
堀部政男氏
今や、JIPDECといえばプライバシーマーク、プライバシーマークといえばJIPDECであると関連づけられるように、プライバシーマークは、日本国内はもとより、世界的にも知られるようになっている。
と最大級の言葉で祝意を示されております。

COMMING SOONの項目が多く、今後もどんどん情報が追加されていくようです。
楽しみにしたいと思います。

https://privacymark.jp/lp/25th/

この情報が、皆様の参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Pマーク新審査基準2022セミナーを視聴する

JUASが、Pマーク審査の申請手続き電子化を発表
(画面はJUASのWebサイトより)

Pマーク新審査基準2022セミナーを視聴する

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査機関である一般社団法人日本情報システム・ユーザー協会(JUAS)セキュリティセンターは、プライバシーマークの取得や更新時の申請手続きの電子化を発表しました。実施は今年5月からで、それ以降原則として紙による申請は廃止になるとのことです。

今回の電子化にあたり、JUASでは専用の「プライバシーマーク会員マイページ」というWebサイトを開設し、各社の申請担当者にIDとパスワードを配布し、かつ二要素認証もあわせて実施することで、セキュリティを維持しながら手続き全体の電子化を行うようです。

https://www.juas.or.jp/privacymark/e-application/

(コメント)
従来から、いくつかのプライバシーマーク審査指定機関においてはすでに電子ファイルによる申請は行われてきています。しかし、その多くは紙と電子の併用であり、今回のJUASのように紙による申請を全廃するという例はあまりなく、かなり思い切った変更だとは思います。

ただし、プライバシーマークの取得と更新の申請の実際のやり取りをよく見ると、ほとんどはワードかエクセルのファイルまたはPDFが元データです。それを印刷して手書きしたり押印したりしているものもあると思いますが、それらは主に現地審査で確認すればいいものであり、申請書類として事前に審査員に送付が必要なものはほんのわずかです。ですから、今回の変更のあとも、大量の紙をスキャナで読み取らせて電子化する必要性はまずないと考えてよいと思います(ほんのわずかな書類のみ、社長印を押印してもらってスキャンとなるはずです)。

また今回、JUASの方に少しお話をお伺いする機会がありましたが、この変更により、従来は紙中心で行ってきたJUAS内部での審査業務が一気に電子化され、リモートワークなども行いやすくなるとのことでした。せっかくの情報化社会のためのプライバシーマーク制度なのですから、審査業務もどんどん効率化していただいて、さらに有益な審査にしていただければと思いました。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Pマーク新審査基準2022セミナーを視聴する

JIPDEC、メタップスペイメントに対するプライバシーマーク取消しを発表
(画面はJIPDECのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、株式会社メタップスペイメントに対して、1月27日付で「プライバシーマーク付与の取消し」の措置をとると発表しました。

同社では、2022年1月に不正アクセスによる個人情報(クレジットカード情報含む)の漏えいが発覚しています。同社は多くの企業や団体に対して決済サービスを提供しており、被害は400万件以上に広がりました。

この対応の中で、同社の情報セキュリティ規程が正しく運用されておらず、脆弱性診断の結果が改ざんされていたことや、PCI-DSSの審査においても不正確な情報を伝えることにより、肝心の決済システムが審査対象に含まれていなかったなど、組織としての問題が次々と発覚。これにより、経済産業省より割賦販売法に基づく改善命令、個人情報保護委員会より個人情報保護法に基づく指導を受けていました。

JIPDECからの発表
https://privacymark.jp/news/system/0127.html

メタップスペイメントからの発表
https://www.metaps-payment.com/company/20230127.html

(私のコメント)
JIPDECでは、2022年4月に「欠格性の判断及び措置の決定の手順」を改訂し、以前まで存在していた「欠格レベル」という制度を廃止し、個別に判断して措置を決定することとしました。今回はその初めての適用となります。プライバシーマークの付与取消しというのは、制度上最も厳しい措置になります。今回の同社の事件の原因が事実上の「組織的不正」によると判断されたのではないかと思われます。

欠格性の判断及び措置の決定の手順
プライバシーマーク付与に関する規約
(別紙)欠格性の判断及び措置の決定の手順
https://privacymark.jp/system/guideline/pmk_pdf/PMK500.pdf

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Pマーク新審査基準2022対応セミナー

Pマーク新審査基準2022セミナーを視聴する

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2022年12月13日に開催した「Pマーク新審査基準2022対応セミナー(Pマーク担当者勉強会)」。

当社での新審査基準でのコンサル実績が100件を超え、そこで得られた知見とノウハウを共有する場として開催させていただきました。

Pマーク新審査基準2022でのコンサル実績が100件を突破

皆さんの関心にあったテーマということもあり、全国から数多くのプライバシーマークの実務担当者の皆様にリモート参加していただきました。

当日参加できなかった方や、参加されなかった方にも参考にしていただけると思いますので、動画を公開いたします。また当日の説明に使用した資料のダウンロード提供も行いますので、参考にしていただきたいと思います。

--------------------------------------------------------
タイトル:「Pマーク新審査基準2022対応セミナー(Pマーク担当者勉強会)」
講 師 : プライバシーザムライ・中康二
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------

ご視聴いただくには、お申し込みが必要です。
下記のボタンからお申し込みください。

Pマーク新審査基準2022セミナーを視聴する

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

JIPDECからの感謝状

皆さんこんにちは。
プライバシーザムライ中康二です。

先日、JIPDECから郵送物が届きました。

なんだろうと開けてみると。。。
素晴らしい感謝状が入っていました!

「貴社は多年にわたる個人情報保護マネジメントシステム構築運用の取り組みを通じ、プライバシーマーク制度の発展に多大な貢献をされました。ここにその功績を讃え感謝の意を表します」

なんと!!!

プライバシーザムライとしての日々の活動を、JIPDECの偉い方が見ていただいていたんですね。
私としても、これまでの努力が認められてうれしいです。ウルウル。。。

というのは、かなり誇張が入っておりまして、

実はこの感謝状というのは、プライバシーマークの付与認定を7回受けた、つまり取得審査1回、更新審査6回に通過した全ての事業者に送られているものです。

既に多くの事業者に対して発行されていて、この記事をお読みの方の中にも、自社でも受け取ったという方も多いのではないかと思います。

何はともあれ、せっかくの感謝状、ありがたくお受け取りいたします。

プライバシーマーク・公式Webサイト
プライバシーマーク制度貢献事業者一覧を公表しました(2022年6月〜2022年7月)
https://privacymark.jp/project/recognition/index.html

この情報が、皆様の参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

プライバシーマーク新審査基準を解説したガイドブック

------------------------------------------------------------
(追記)プライバシーマーク新審査基準2022に関する
セミナー動画を公開しました。どうぞご覧ください。
Pマーク新審査基準2022セミナーを視聴する
------------------------------------------------------------

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターが出した「新・審査基準」に関するガイドブックが、早々に私の手元にも届きました。

タイトル:「個人情報保護マネジメントシステム導入・実践ガイドブック 第2版」
編著:一般財団法人日本情報経済社会推進協会 プライバシーマーク推進センター
定価:4,950円(税込)
発行:一般財団法人日本規格協会
ISBN:9784542305472
発売日:2022年6月10日(金)

今回のガイドブックにも、いろいろと興味深い内容が書かれています。

・個人情報保護マネジメントシステムに影響を与えるような外部及び内部の課題や、利害関係者の要求事項は、審査ではどのように確認されるのか?
・個人情報保護リスク対応計画/個人情報保護目的達成計画は、審査ではどのように確認されるのか?
・漏えい等の事故の場合の個人情報保護委員会への報告と、緊急事態の場合の審査機関への報告の対象は同じなのか?


などなど、プライバシーマーク担当者であれば、知っておかなければならない情報が沢山書かれています。少し高いですが、ぜひ会社の経費で購入されることをおススメします。

JIPDECからの案内
https://privacymark.jp/news/other/2022/0520.html

Amazonでの購入ページ
https://www.amazon.co.jp/dp/4542305473/

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022-05-27_07h41_30

------------------------------------------------------------
(追記)プライバシーマーク新審査基準2022に関する
セミナー動画を公開しました。どうぞご覧ください。
Pマーク新審査基準2022セミナーを視聴する
------------------------------------------------------------

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、4月から審査に使用している「新・審査基準」に関するガイドブックを6月10日に発売すると発表しました。

これは、従来から発行されているガイドブックの改訂版となります。今回の改訂で、新審査基準の内容に合わされるほか、当然のことながら個人情報保護法改正対応の内容も含まれることになります。

タイトル:「個人情報保護マネジメントシステム導入・実践ガイドブック(JIS Q 15001:2017)第2版—PマークにおけるPMS構築・運用指針対応—」
編著:一般財団法人日本情報経済社会推進協会 プライバシーマーク推進センター
定価:4,950円(税込)
発行:一般財団法人日本規格協会
ISBN:9784542305472
発売日:2022年6月10日(金)

JIPDECからの案内
https://privacymark.jp/news/other/2022/0520.html

Amazonでの購入ページ
https://www.amazon.co.jp/dp/4542305473/

(コメント)
プライバシーマーク担当者必携の一冊となります。値段は高めですが、会社の経費で入手されることをおススメします。
なお、古いバージョンもまだ販売されていますので、間違えて購入することのないようご注意ください。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ


皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

今年4月から改正個人情報保護法が施行され、プライバシーマークの審査基準も大幅に見直しされました。

2月には「【決定版】個人情報保護法改正とPマーク新審査基準対応について」というタイトルで勉強会を開催したところ、約300名の方々にご参加いただき、皆様の関心の高さを実感しているところです。

その後、個人情報保護法の改正対応について、様々な情報が交錯しているところではありますが、「個人情報保護法改正対応セミナー」を開催し、現時点での最新情報を共有させていただきます。

今回はなんと、久しぶりに新橋にて「リアル」開催いたします。
もちろん感染対策には十分に配慮して開催いたします。
(恐縮ですが有償セミナーとさせていただきます)

6月9日は単純な個人情報保護法改正対応セミナーとして、
6月23日はプライバシーマーク認定事業者様向けに個人情報保護法改正対応+Pマーク新審査基準セミナーとして、
内容を分けて開催いたします。(内容に重複がありますので、どちらかにご参加いただければと思います)

講師は、私プライバシーザムライと、当社シニアコンサルタントの遠藤が担当します。

セミナー終了後には皆さんとフリーにやり取りできる「質疑応答+ネットワーキングタイム」を設定しております。講師にご質問いただくこともできますし、皆さん同士でも意見交換していただければと思います。

この機会に横でつながっていただき、孤独を解消!
自信を持って個人情報を取り扱っていただきたいと思います。

また、セミナーご説明資料だけではなく、改正法対応に必要な文書ひな形や、新審査基準チェックリストなど、他では入手できない資料も配布します。

個人情報保護法改正の実務的な対応について詳しく知りたい方、どうぞご参加くださいませ!

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介
プライバシーザムライ 中康二
プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
endou

シニアコンサルタント 遠藤朝永(えんどうともなが)
オプティマ・ソリューションズ株式会社・取締役
システム開発出身
プライバシーマークの短期取得を数多く手掛けるスーパーコンサルタント

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
タイトル:「個人情報保護法改正対応セミナー」

.廛薀ぅ丱掘璽沺璽を取得されていない企業の方向け

日時:2022年6月9日(木)
  14:20〜16:30 第一部 セミナー
  16:30〜17:30 第二部 質疑応答&ネットワーキングタイム
    (コーヒーとお菓子付き)
場所:TKP新橋カンファレンスセンター・カンファレンスルーム13B
  東京都千代田区内幸町1丁目3-1 幸ビルディング
内容:全ての企業に求められる個人情報保護法改正対応を解説します。
講師:プライバシーザムライ 中 康二・コンサルタント遠藤朝永
参加費:一社10,000円(1社2名様まで)
※お申込みいただいた方にお振込み先をお知らせいたします。

▲廛薀ぅ丱掘璽沺璽認定事業者の方向け

日時:2022年6月23日(木)
  14:20〜16:30 第一部 セミナー
  16:30〜17:30 第二部 質疑応答&ネットワーキングタイム
    (コーヒーとお菓子付き)
場所:TKP新橋カンファレンスセンター・カンファレンスルーム13B
  東京都千代田区内幸町1丁目3-1 幸ビルディング
内容:プライバシーマーク認定事業者に求められる個人情報保護法改正対応・新審査基準対応を解説します。
講師:プライバシーザムライ 中 康二・コンサルタント遠藤朝永
参加費:一社10,000円(1社2名様まで)
※お申込みいただいた方にお振込み先をお知らせいたします。

主催:オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2

それでは、皆様とリアルにお会いできるのを楽しみにしております!
プライバシーザムライ 中康二

漏えい時の個人情報保護委員会報告と本人通知の義務化
(画像は個人情報保護委員会Webサイトより)

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

4月から施行された改正個人情報保護法では、個人情報が漏えいなどした際に「個人情報保護委員会への報告と本人通知」を行うことが義務付けられました。今回はこのことについてまとめておきたいと思います。

あれ?これまでも個人情報保護委員会への報告義務あったよね?と思われる方がおられるかもしれませんが、従来は「努力義務」なのでした。今回の法改正から正式に義務化されました。

(1)個人情報保護委員会への報告と本人通知の対象となるのはどんな時?

まず、個人情報保護委員会への報告と本人通知の対象となるのは、下記の4つの場合になり、これらを報告対象事態といいます。(個人情報保護法第26条(第1項)→個人情報保護委員会規則第7条)

●要配慮個人情報が含まれる個人データの漏えい等の場合
●不正利用されることにより財産的被害が生じるおそれがある個人データの漏えい等の場合
(決済可能なサービスのアカウント情報や、クレジットカード番号など)
●不正の目的をもって行われたおそれがある個人データの漏えい等の場合
(不正アクセスの被害を受けた場合)
●個人データにかかる本人の数が1000人を超える漏えい等の場合

(2)個人情報保護委員会への報告はどのように行う?

個人情報保護委員会への報告は、まず「速やかに」行うこととされています。個人情報保護法ガイドラインでは「おおむね3〜5日以内」としています。この段階で、分かる範囲の情報を「速報」として報告することとされます。

さらに、30日以内(不正アクセスを受けた場合は60日以内)に確定した情報を「確報」としてもう一度報告することとされました。

これらの報告は、個人情報保護委員会のWebサイトに専用のフォームがあり、そこから入力する形で行います。このフォームはある程度しっかりしたもので、入力した結果をCSVでインポート/エクスポートしたり、PDFファイルとしてダウンロードすることもできるものとなっています。

なお、金融機関(金融庁)、不動産事業者(国土交通省)、クレジット業界(経済産業省)など、特定の業種の場合は、それぞれの官庁(権限委任官庁)に報告することとされています。

また、従来は認められていた認定個人情報保護団体を介しての報告は廃止になりました。ご注意ください。

(3)本人通知はどのように行う?

本人通知は、通常は郵便や電子メールなどの方法を用いて、本人に直接知らせることとされます。

こちらは「当該事態の状況に応じて速やかに」行うこととされます。特に何日というような指定はありませんが、(2)の「速やかに」が3〜5日であることを考えると、何か月も経過してからでは遅すぎるということになると思われます。ただし、通知を行うことによりさらに被害が拡大することが想定されるような場合には通知を遅らせることが認められます。

詳細は、下記のガイドラインをご参照ください。

個人情報保護法ガイドライン(通則編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/

個人情報保護委員会・報告用フォーム
https://www.ppc.go.jp/personalinfo/legal/leakAction/

(私のコメント)
今回の義務化により、今まで以上に個人情報保護委員会が日本全体の個人情報の取り扱いに関してコミットする立場が明確になり、事業者から見ても、分かりやすくなったと思います。現代の日本において、積極的にビジネスを展開すればするほど、個人情報の漏えいなどはあり得ることです。万が一の際に備えて、上記の内容を理解しておいてください。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

外国における個人情報の保護に関する制度等の調査
(画像は個人情報保護委員会Webサイトより)

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

4月から施行された改正個人情報保護法では、個人情報を海外移転する際に「外的要因の把握」を行うことが義務付けられました。今回はこのことについてまとめておきたいと思います。

まず、個人情報の海外移転の注意点については、別の記事で取り上げましたので、ご参照ください。

改正個人情報保護法>個人情報の海外移転に関する注意点をまとめます
https://www.pmarknews.info/kojin_joho_hogo_ho/52157329.html
海外クラウド利用は「外国にある第三者」にならないと考えてよさそうです。
https://www.pmarknews.info/kojin_joho_hogo_ho/52155459.html

さて、上記の二つの記事では、個人情報を海外に移転してよいのはどういうケースなのかについて説明しました。しかし、まだそれだけでは足らないのです。

個人情報を海外に移転する際には、移転先の国の個人情報保護法制などを把握し、必要かつ適切と考えられる個人データの安全管理措置を講ずる必要があるのです。これを「外的環境の把握」の義務といいます。

個人情報保護法第23条(安全管理措置)
 →個人情報保護法ガイドライン通則編
  10(別添)講ずべき安全管理措置の内容

10-7 外的環境の把握
個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。

また、今回の法改正から、保有個人データに関する事項の公表の中に、その「保有個人データに対して実施している安全管理措置」が含まれましたので、外的環境の把握を行っていることもそこに記載することが必要となります。ただし、これは「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置く」というものですから、必ずしもWebサイトなどで公表する必要はなく、本人から求めがあった場合だけ回答することでも認められます。

個人情報保護法第32条(保有個人データに関する事項の公表等)
 →個人情報保護法ガイドライン通則編
  3-8-1 保有個人データに関する事項の公表等(法第32条関係)
 →【安全管理のために講じた措置として本人の知り得る状態
  に置く内容の事例】

(外的環境の把握)
事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施(※8)


(※8)外国(本邦の域外にある国又は地域)の名称については、必ずしも正式名称を求めるものではないが、本人が合理的に認識できると考えられる形で情報提供を行う必要がある。また、本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましい。

結論として、このようになります。

(1)自社の管理している個人データが、地球上のどこに存在しているのか把握する。

この場合、海外のクラウドに保存している場合も含めて把握する必要があります。

(2)自社の管理している個人データに対して、アクセス権を設定している人や法人が、地球上のどこにいるのか把握する。

これは、下記の通り、アクセス権を設定しているだけでも個人データの提供にあたるからです。
個人情報保護法ガイドライン通則編
2-17「提供」
「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。

(3)上記で把握された国・地域における個人情報保護法制を把握し、必要と思われる安全管理措置を講じる。

この際、個人情報保護委員会のWebサイトに掲載されている「外国における個人情報の保護に関する制度等の調査」を参考にすることができます。

ここで、中国のように、政府の権限が大きな国に個人データが存在している/アクセス権が設定されている場合には、少し危機感を持って再検討していただく必要があります。

LINE事件では中国の委託先に対してアクセス権を設定していたことが問題視されました。それが本当に必要なのかどうか、それで自社の個人データはしっかり守られるのか、じっくり検討して、必要な措置を取ることが求められます。

(4)保有個人データに関する事項の公表等の中に、少なくとも「個人データを保管している●●国における個人情報の保護に関する制度を把握した上で安全管理措置を実施」と国名を列記して記載する。

もう少し親切にする場合には、各国の個人情報保護法制などの調査結果も記載する。

ということです。ここまでやれば、個人情報取扱事業者としての対応としては100点満点です👧

個人情報保護委員会「外国における個人情報の保護に関する制度等の調査」
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku

その他の参考URL
改正個人情報保護法(2022年4月施行)
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
個人情報保護法ガイドライン(通則編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
個人情報保護委員会資料
https://www.meti.go.jp/policy/it_policy/privacy/ppc_privacy_governance_seminar3.pdf

(私のコメント)
前回の「個人データの海外移転」に続き、今回は「外的要因の把握」に関する情報をまとめてみました。この内容も、法律/ガイドラインなど散在する情報を総合的に勘案しないとなかなか理解できない状態になっていて、理解しずらくなっていると思いました。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

外国にある第三者への提供が認められる場合

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

4月から施行された改正個人情報保護法について、最も混乱していると思われるのが「個人情報の海外移転」に関する事項です。

いろんな情報が交錯していて、なかなかうまくまとまった情報がありませんので、この記事でまとめておきたいと思います。

まず、改正個人情報保護法の下で、外国にある第三者への提供が認められるのは、上記の図の4つの場合のみとなります。これを順番に説明していきます。

なお、国内法人に対する場合と異なり、「委託」がこの例外とはならないことによく注意してください。委託の場合も下記の条件を満たす必要があります。

また、提供とは、個人データを自己以外の者が利用可能な状態に置くことを指し、個人データが物理的に提供されていない場合であっても、ネットワーク等を利用することにより個人データを利用できる状態にあれば(利用する権限が与えられていれば)、提供にあたるとされています。つまり、実際に海外に移転していなくても、海外の第三者からアクセス権が設定されている場合には、外国にある第三者への提供となります(2021年のLINE問題では中国の委託先から日本のデータベースにアクセス権を設定していたことが問題になりました)。こちらもご注意ください。
個人情報保護法ガイドライン 2-17「提供」
(個人情報保護法ガイドライン 2-17「提供」)

(1)日本と同水準の個人情報保護制度のある外国の場合

日本と同水準の個人情報保護制度のある外国にある事業者に対する提供(委託)は、認められます。具体的にはEU加盟国と英国となります。(第28条第1項)
日本と同水準の個人情報保護制度のある外国
(個人情報保護委員会資料より)

(2)基準に適合する体制を整備した事業者の場合

次に提供先(委託先)が、個人情報保護委員会が定める基準に適合する体制を整備している場合には、認められます。

ただし、下記の3つの条件を満たす必要があります。

国内の個人情報取扱事業者が講ずべき措置に相当する措置(相当措置)を継続的に講ずるため、下記のA)B)のいずれかを整備すること。(第28条第1項)

 A) 契約を交わすなどの方法により、相当措置の実施を確保すること。相当措置には、下記の20の項目が含まれます。
2022-04-14_21h34_19
(個人情報保護法ガイドライン・外国にある第三者への提供編より)

 B) 提供先が、個人情報の取扱いに係る国際的な枠組みに基づく認定を取得していること(APEC CBPRシステムの認証など)

提供先(委託先)における相当措置の継続的な実施を確保するために必要な措置として、下記のA)B)C)全てを実施すること。(第28条第3項)

 A) 相当措置の実施状況、相当措置の実施に影響を及ぼすおそれのある外国の制度の有無及び内容を定期的に確認すること
 B) 相当措置の実施に支障が生じたときは、必要かつ適切な措置等を実施すること
 C) 相当措置の継続的な実施の確保が困難となったときは提供(委託)を停止すること

K椰佑らの求めを受けた場合には、本人に対して下記の情報を遅滞なく提供すること。(第28条第3項)

 A) 提供先(委託先)が相当措置を実施するための体制の整備の方法
 B) 提供先(委託先)が実施する相当措置の概要
 C) 提供先(委託先)による相当措置の実施に影響を及ぼすおそれのある外国の制度の有無と内容に関する確認の頻度と方法
 D) 当該外国の名称
 E) 提供先(委託先)による相当措置の実施に影響を及ぼすおそれのある外国の制度の有無とその概要
 F) 提供先(委託先)による相当措置の実施に関する支障の有無とその概要
 G) 前号の支障に関して当該個人情報取扱事業者が講ずる措置の概要

(3)一定の事項を開示した上で、本人同意を取る場合

本人同意があれば、外国にある第三者への提供は認められますが、今回の法改正で、同意の前に以下の情報を提供することが義務付けられました。(第28条第2項)

当該外国の名称
当該外国における個人情報の保護の制度に関する情報
提供先(委託先)が講ずる個人情報の保護のための措置

(4)クラウドサービスで個人データを取り扱わないこととなっている場合

クラウドサービスの場合、海外の事業者であったり、海外のデータセンターを利用している場合がありますが、この場合であっても、そのクラウド事業者が自社の個人データを取り扱わないこととなっている場合には、そもそも提供にも委託にもならないとされます。(個人情報保護委員会Q&A Q12-3)

このことについては、別に記事を書いていますので、参考にしてください。
https://www.pmarknews.info/kojin_joho_hogo_ho/52155459.html

(追加)外的環境の把握の義務があります

上記(1)から(4)の条件に加えて、外国において個人データを取り扱う場合には、安全管理措置の一環として「外的環境の把握」が求められます。これは、どの国で個人データを取り扱っているのかを明確にし、その国における個人情報の保護に関する法制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じることを指しています。(第23条)
個人情報保護法ガイドライン通則編 10(別添)講ずべき安全管理措置の内容
(個人情報保護法ガイドライン通則編 10(別添)講ずべき安全管理措置の内容より)

さらに、保有個人データに関する公表事項に安全管理措置が含まれたことから、上記で把握した「外的環境の把握」の内容についても、公表に含めることとされました。(第32条第4項)
個人情報保護法ガイドライン 3-8-1 保有個人データに関する事項の公表等
(個人情報保護法ガイドライン 3-8-1 保有個人データに関する事項の公表等)

とはいっても、各社が独自に諸外国の個人情報保護法制を調査することには困難もあることから、個人情報保護委員会が一定の国について調査を行い、その結果をWebサイト上で公表しています。

https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku

特に中国における個人情報保護法制については、厳しい内容が報告されています。
中華人民共和国に関する調査結果
(中華人民共和国に関する調査結果)

参考URL
改正個人情報保護法(2022年4月施行)
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
個人情報保護法ガイドライン(通則編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
個人情報保護法ガイドライン(外国にある第三者への提供編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/
個人情報保護委員会資料
https://www.meti.go.jp/policy/it_policy/privacy/ppc_privacy_governance_seminar3.pdf

(私のコメント)
以上、個人データの海外移転に関する情報をまとめてみました。正直申し上げて、この内容は法律とガイドラインだけ見ていては、とても理解しづらいと感じました。今回の記事で骨組みは表現できたと思いますが、いかがでしょうか?また、最後の「外的環境の把握」については、もう少し詳細を調査して別の記事でご紹介したいと思います。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ