プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

タグ:個人情報保護法

クッキー同意ボックスは不要
(7月開催のPマーク/ISMS担当者勉強会のプレゼン資料より)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

来年4月の個人情報保護法改正に向けて、個人情報保護委員会などで
様々な準備が進められていますが、その中で、一つ明確になったことがあります。

それはクッキー同意ボタンは法改正後も不要ということです。
(クッキー=Cookie、Webサイトで端末識別に利用される情報のことです)

改正個人情報保護法では、個人関連情報という概念が創設され、
「提供元では個人情報として認識されないが、提供先で個人情報として認識される情報を提供する場合には、提供にあたって本人の同意が必要」となります。

ただし、この本人同意を取るのは原則として「提供先」があらかじめ取得するものとされ、提供元が提供する際に同意を取るものではないものとされています。


もう少し分かりやすく説明します。

個人関連情報の例として、下記の二つをあげます。

------------------------------------------------------------
(1)Tポイント加盟店が、購買データをCCCへ提供する行為は、個人関連情報の提供に当たると思われます。

加盟店側では、Tカードの持ち主が誰かは認識できません。
しかしT番号を取得し、それに購買データを一緒にして、CCCに送信します。
CCC側ではT番号を照合して、それが誰の購買なのかを明確にして、データベース化します。

------------------------------------------------------------
(2)WebページにFacebookのいいねボタンを設置することは、個人関連情報の提供に当たると思われます。

Webサイト側では、アクセスしてきた人が誰なのかは一切認識できません。
しかし、いいねボタンを設置していると、そのWebページにアクセスしただけで、Facebookにアクセスしたことが伝わります。
Facebook側ではIPアドレスやクッキーなどの情報を照合し、それが誰なのかを明確にして、データベース化します。
------------------------------------------------------------

これが「個人関連情報の提供」の事例です。

これらの際に、提供にあたって同意を取るのはCCCであり、Facebookとされます。
Tポイント加盟店の店頭や、いいねボタンを設置したWebサイト側で、「あなたは個人関連情報の提供に同意しますか」といちいち確認する必要はなく、CCCやFacebookに対して本人同意を取っていることを事前に一括確認するだけでよいとされます。

ですから、来年4月の改正個人情報保護法施行後も、国内においては「クッキー同意ボタン」は不要なのです。

GDPR対応ではクッキー同意ボタンは必須とされますが、国内においては不要であることをここで明確にしておきたいと思います。


GDPR圏内では、クッキー同意ボタンは一つのビジネスになっています。国内でも同じようなビジネスを始める会社が出てくると思います。すでに出てきていると思います。それらを設置することに問題はありません。しかし法律上必須のものではないことを明確にしておきたいと思います。

※自社の個人情報保護の取り扱いに関する公表事項の中に、自社がどこに個人関連情報を提供しているかのリストを掲載するなどは有益なことだと思いますから、推奨いたします。またこれとは別に、自社のシステム内でクッキーを利用して個人情報に紐づくアクセス履歴を取得している場合には通知公表(プライバシーマーク取得の場合は同意)が必要になります。

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報保護委員長
(画像は朝日新聞Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

5月に国会で成立したデジタル改革関連法により、
監督範囲が行政機関や自治体のの個人情報の取り扱いにも拡大された
個人情報保護委員会の丹野委員長が、朝日新聞の取材に答えて
「忖度せず厳しい姿勢でのぞむ」と発言しました。

https://digital.asahi.com/articles/ASP6876MDP67ULFA01H.html

(私のコメント)
丹野委員長は、全国消費生活相談員協会理事長を経て、
2019年に個人情報保護委員会委員長に就任されました。

個人情報保護委員会は、その責任範囲がどんどん拡大しており、
社会的意義も大きくなってきています。
個人情報の取り扱いに関して「利活用の促進」と
「個人の権利利益の保護」をどのようにバランスを取るのか、
今後も注目していきたいです。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報保護法ガイドライン改正の概要
(画像はe-govパブリックコメントWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2022年4月1日に施行される個人情報保護法の改正に向けて、個人情報保護委員会は、ガイドラインの見直し案を取りまとめ、パブリックコメントを実施しています。

今回の改正には、
・保有個人データの「6ヶ月以上保有」の条件を廃止
・利用停止、消去、第三者提供の停止の請求が認められる条件を拡大
・オプトアウト規定で提供できる個人情報の制限を強化
・個人情報の不適正な利用の禁止
・漏えい等の個人情報保護委員会への報告と本人通知の義務化
・「仮名加工情報」の創設
・「個人関連情報」の第三者提供の制限
・外国事業者も報告徴収/命令/立入検査の対象に含める
・本人同意を根拠に外国の事業者に移転する場合の、移転先の国名などの情報提供
などの内容が盛り込まれており、これらについての詳細がガイドライン案で確認できます。

なお、来年4月に施行される際には、今年5月の国会で成立したばかりの2021年改正(官民の個人情報保護法の一元化)も同時に施行されると思われますが、これらについては後追いでガイドラインなどが出てくるものと思われます。

https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000069&Mode=0

(私のコメント)
このガイドラインの内容を含み、来年4月に施行される個人情報保護法の改正についてPマーク/ISMS担当者勉強会でご説明いたします。関心をお持ちの方は是非ご参加ください。
(7月14日にリモート開催いたします)

https://www.pmarknews.info/event/52142566.html

また、新しい情報が入りましたら、皆様にシェアいたしますね。

参議院
(画像は参議院Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

5月12日、参議院で「デジタル社会の形成を図るための関係法律の整備に関する法律案」が成立し、これにより、既存の3つの法律
個人情報保護法
行政機関個人情報保護法
独立行政法人等個人情報保護法
が一本の個人情報保護法に集約されることになりました(2022年4月施行予定)。

また地方自治体における個人情報の取扱いについても、
今後は集約された個人情報保護法で取り扱うこととされます(2023年施行予定)。

この法律案は、50以上の法律を一気に改正する内容となっており、
内容は多岐にわたり、分量も膨大なものですから解読が困難ですが、
結論としては「個人情報保護法一元化」が行われるものです。

これに伴い、行政機関における個人情報の取扱については、
色々と変更があるようですが、
民間事業者向け義務規定にはほとんど変更はありませんので、
ご安心いただきたいと思います。

今回の改正法の施行時期はその多くが「公布から1年以内」となっており、
実際には2020年に成立した個人情報保護法の施行(2022年4月1日)と
同時に施行されることになるようです。

つまり、2020年改正個人情報保護法の施行に向けた準備が進められているところに
さらに上乗せで改正が加わることになります。

これにより、法律の構成や条番号も大幅に変更になりますので、
特に注意が必要です。

例えば、
2020年成立の改正個人情報保護法により
「第22条の2」として個人データ漏洩の際の報告義務が追加されていますが、
これは今回の改正により「第26条」となるようです。
ご注意ください。


参議院・デジタル社会の形成を図るための関係法律の整備に関する法律案
https://www.sangiin.go.jp/japanese/joho1/kousei/gian/204/meisai/m204080204028.htm
提出法律案
https://www.sangiin.go.jp/japanese/joho1/kousei/gian/204/pdf/t0802040282040.pdf

(既存の法律)
個人情報保護法→改正
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
行政機関個人情報保護法→廃止
https://elaws.e-gov.go.jp/document?lawid=415AC0000000058
独立行政法人等個人情報保護法→廃止
https://elaws.e-gov.go.jp/document?lawid=415AC0000000059

(参考記事)
次の改正個人情報保護法の施行日が2022年4月1日に決まりました。〜法人向け1億円の罰金は施行済み〜
https://www.pmarknews.info/kojin_joho_hogo_ho/52140607.html

個人情報保護法一元化法案が出てきました〜今の国会で成立→えっ来春施行?〜
https://www.pmarknews.info/kojin_joho_hogo_ho/52138278.html

個人情報保護法の民間/行政一元化法案が固まったようです〜2021年通常国会に提出の見込み〜
https://www.pmarknews.info/kojin_joho_hogo_ho/52136865.html

2020年改正個人情報保護法が成立、2022年までに施行の見込み
https://www.pmarknews.info/kojin_joho_hogo_ho/52124828.html


(私のコメント)
改正が二重に行われるとは思いませんでしたが、
まあ一気に色々なことがシンプルになっていくのかなと思います。
このあたりのことは、施行までの一年間の中で、
私からも情報発信していきたいと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

改正個人情報保護法の施行日
(画像は個人情報保護委員会・公式Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2020年6月に成立した改正個人情報保護法の施行時期について、個人情報保護委員会は2022年4月1日に施行すると発表しました。

また、個人情報データベース等の不正提供等の場合の法人向け罰金(最大1億円)など、法定刑の引き上げについては、昨年12月12日に施行されていると合わせて発表しております。

https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#shikoubi

(私のコメント)
昨年12月の法定刑引き上げについては、私も追いかけ切れておらず、失礼いたしました。なお現在、国会で審議中の改正個人情報保護法(個人情報保護法の官民一元化法案)についても、今国会で成立した場合には交付から1年以内に施行するとなっており、おそらく来年4月の同じタイミングで施行されることになるのではないかと思います。

https://www.pmarknews.info/kojin_joho_hogo_ho/52138278.html

また、今回の個人情報保護法の改正点については、下記の動画で詳しく説明していますので、ご参照ください。



また、新しい情報が入りましたら、皆様にシェアいたしますね。

デジタル社会の形成を図るための関係法律の整備に関する法律案の概要
(画像は内閣官房Webサイトより。クリックするとPDFが開きます)

皆さんこんにちは。
プライバシーザムライ中康二です。

官民で分かれていた個人情報保護法を一つにまとめる法改正が行わようとしていることは、このBlogでも何回かお知らせしてきました。

ついにその法改正案が閣議決定されて、公表されました。

なんと
------------------------------------------------------------
デジタル社会の形成を図るための関係法律の整備に関する法律案
------------------------------------------------------------
という名称のものです。

この法律案は、50以上の法律を一気に改正する内容となっており、
内容は多岐にわたり、分量も膨大なものです。(法案がA4縦で369ページもあります)

しかし!この法律の主眼は「個人情報保護法一元化」にあることも
間違いのないところです。

タイトル画像に採用した「法律案の概要」をよく見ていただきたいです。
今回の改正の趣旨は下記の3つとなっています。

(1)個人情報保護制度の見直し(=個人情報保護法の一元化)
(2)マイナンバーの活用拡大と、マイナンバーカードの利便性の向上
(3)押印・書面の公布を求める手続きの見直し

つまり、個人情報保護法一元化に加えて、ここ数年大きな関心を呼んでいる
マイナンバーとマイナンバーカードの活用拡大、
それに菅政権の目玉(?)になっているハンコ廃止運動の3つを同時に
デジタル改革の旗のもとに一気に実現してしまおうという
意欲的な法改正となっています。


内容があまりにも膨大なため、まだ私も全体を精査できていません。
ただし、民間事業者向け義務規定には全く変更がないようで、
単に条番号が変わったりするだけのようですので、そこはご安心いただきたいと思います。

今回の発表で一番驚いたのは
「公布から一年以内に施行」となっていることでした。
(タイトル画像の赤枠で囲ったところを見てください)

ということはすなわち。。。。

2020年に成立した改正個人情報保護法(2022年春施行予定)
は、そのままの状態で施行されるのではなく、
今回の
2021年に成立する予定の改正個人情報保護法
と合体して、一緒に2022年春に施行させようということのようです。


(ホントなのかな?でもそういう風に読み取れます)


個人情報保護委員会Webサイト
https://www.ppc.go.jp/personalinfo/minaoshi/

(参考記事)

個人情報保護法の民間/行政一元化法案が固まったようです〜2021年通常国会に提出の見込み〜
https://www.pmarknews.info/kojin_joho_hogo_ho/52136865.html

今回の改正個人情報保護法の施行は「2022年春」に決まりました
https://www.pmarknews.info/kojin_joho_hogo_ho/52126604.html

2020年改正個人情報保護法が成立、2022年までに施行の見込み
https://www.pmarknews.info/kojin_joho_hogo_ho/52124828.html

(私のコメント)

みなさんついてこれてますか〜〜?
個人情報保護法はほんとに変化が早すぎて、追いかけるのも大変です!


また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報保護法一元化の全体像
(画像は内閣官房Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

日本の個人情報保護法は、その成立の歴史的経緯から「行政向け」「独立行政法人向け」「民間事業者向け」「地方自治体ごとの条例」などに分かれていました。

政府の関係者は、過去一年間をかけてこれらを一元化するために見直しの作業を進めてきました。この度、その法案が固まり、現在開会されている2021年通常国会にかけられることになったようです。

法案は閣議決定がなされるまでは非公表のようです。現在参照することができるのは法案の元となった「個人情報保護制度の見直しに関する最終報告」という文書までです。

この内容によると、今回の見直しは下記のような内容となっています。

  1. 「個⼈情報保護法」「⾏政機関個⼈情報保護法」「独⽴⾏政法⼈等個⼈情報保護法」を一つの法律に統合するとともに、地⽅公共団体の個⼈情報保護制度についても統合後の法律において全国的な共通ルールを規定する。

  2. 個人情報保護法制全体の所管を個⼈情報保護委員会に⼀元化。

  3. 医療分野・学術分野の規制を統⼀するため、国公⽴の病院、⼤学等には原則として⺠間の病院、⼤学等と同等の規律を適⽤。

  4. 学術研究分野を含めたGDPRの⼗分性認定への対応を⽬指し、学術研究に係る適⽤除外規定について、⼀律の適⽤除外ではなく、義務ごとの例外規定として精緻化。

  5. 個⼈情報の定義等を国・⺠間・地⽅で統⼀するとともに、⾏政機関等での匿名加⼯情報の取扱いに関する規律を明確化


次は閣議決定が行われた後に、法案が明確になると思われます。

https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/
個人情報保護制度の見直しに関するタスクフォース
決定事項等の項目にある「個人情報保護制度の見直しに関する最終報告」
「個人情報保護制度の見直しに関する最終報告概要」をご参照ください。

(私のコメント)
とても大きな話です。民間事業者向け義務規定に大きな見直しはなさそうですが、昨年成立した改正案(2022年春施行予定)の上にさらにこの改正が加わりますので、この先の数年間は法律の条文や文面が目まぐるしく変化することになると思います。

プライバシーマーク制度がこの変化に追いつけるのか、少し不安になってきました😅

また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報保護制度の見直しに向けた中間整理案
(画像は個人情報保護委員会・公式Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

今年6月に個人情報保護法の改正が成立し、2022年春の施行に向けて様々な準備が進んでいるところですが、もう一つ、大きな変化の流れがあることが分かりました。

それは、主に民間部門を対象としている現在の個人情報保護法、行政機関を対象とする行政機関個人情報保護法、独立行政法人などを対象とする独立行政法人等個人情報保護法の三法の統合です。

この三法の統合について、昨年12月に「個人情報保護制度の見直しに関するタスクフォース」が内閣官房に設置され、個人情報保護委員会事務局も構成員として参加して検討を進めてきたとのことです。このほど、検討の結果として中間整理がまとまり、いくつかの文書が個人情報保護委員会のWebサイトに掲載されています。

今後、この中間整理を元にパブリックコメントが行われ、来年春の通常国会への提出に向けて作業を進めていくとのことです。

第151回 個人情報保護委員会・開催報告
https://www.ppc.go.jp/aboutus/minutes/2020/200826/

(私のコメント)
私が一番驚いたのは、「来年(2021年)の通常国会に提出する」というところです。

ということは、2022年春に改正個人情報保護法が施行されても、またすぐ後に新しい「統一」個人情報保護法が出てくるということになります。

もちろん、民間部門向けの義務規定などについては2020年改正法で盛り込まれたはずなので、さらに大きな変更が加えられる可能性はないと思いますが、法の構成が変わるということで、条番号の変更などにより、多少の混乱はあり得ると思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2020-07-09 17.46.16
(画像は個人情報保護委員会・公式Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

個人情報保護委員会の公式Webサイトに、昨年度予算で外部に委託して実施されたと思われるアンケート調査結果がいくつか掲載されており、その中からいくつか興味深いポイントについて共有いたします。

(1)保有個人データの開示請求を過去一年間で受けたことがある企業は13%

保有個人データの開示請求については、個人情報保護法で手続きが定められており、2017年施行・改正法からは個人からの請求権も確立しています。しかしながら、この開示請求の手続きについて、まだまだ一般大衆における認知度は低く、実際に開示請求をしているケースがどのくらいあるのか明確ではありませんでした。

今回の個人情報の適正な取扱いに関する実態調査で、そこについて設問が設けられており、答えとしては13%の企業が過去一年間に一度以上の開示請求を受けたということが分かりました。

私、個人としては、想像していたよりも多いなと思いました。

※調査結果の中には、大企業で1万件以上受けているという回答があったようですが、これはなにかの間違いなのではないかと思います。年間1万件以上受けるということは、一日に30通弱ということになります。そこまでの開示請求を受ける企業があるのでしょうか。。。。

(2)匿名加工情報を利用していることをWebサイトで公表している事業者は501社

また、別のパーソナルデータの適正な利活用の在り方に関する実態調査によると、匿名加工情報を利用している旨を自社のWebサイトで公表している事業者が501社になり、年々増加しているとのことです。

匿名加工情報については、2017年施行・改正法から認められたものの、なかなかビジネス的に定着しておらず、有効活用が図られていないのではないかと考えられますが、少なくともWebサイトでの公表事例は広がっているようです。

個人情報保護委員会・調査等
https://www.ppc.go.jp/news/surveillance/
個人情報の適正な取扱いに関する実態調査
https://www.ppc.go.jp/files/pdf/R02fchoukokusho.pdf
パーソナルデータの適正な利活用の在り方に関する実態調査
https://www.ppc.go.jp/files/pdf/personal_date_report2019_1.pdf

また、新しい情報が入りましたら、皆様にシェアいたしますね。


2020-07-08 10.11.31
(画像は個人情報保護委員会・公式Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2020年6月に成立した改正個人情報保護法の施行時期について、個人情報保護委員会は「2022年春」に施行するとの方針を明らかにしました。

これは6月15日に開催された第144回個人情報保護委員会の議事録の中で公表されたものです。

その内容によると、2020年いっぱいかけて「政令」「委員会規則」「ガイドライン」などについて検討や審議を行い、2021年にパブリックコメントを行って公布・公表し、施行は2022年の春から6月頃を予定するとしています。

個人情報保護委員会としては、今回の法律改正が広く一般の事業者に影響を与えることを考えて、施行までに十分な期間を確保したいとのことです。

第144回個人情報保護委員会(資料1に本件が記載されています)
https://www.ppc.go.jp/aboutus/minutes/2020/20200615/

(私のコメント)
個人情報保護法については、情報通信技術の進展が著しいなどの理由から、3年毎に見直すことになっており、それで今回も改正された次第です。私は勝手に、もっとスピード感をもって施行するのかなと思っていたのですが、そういうことではなかったようです。確かに全ての事業者に影響がある法改正ですので、施行までに十分な期間を確保したいという考え方は理解できます。2年間かけて、じっくり準備を進めていきましょう!

また、新しい情報が入りましたら、皆様にシェアいたしますね。


↑このページのトップヘ