プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

タグ:個人情報保護法

外国における個人情報の保護に関する制度等の調査
(画像は個人情報保護委員会Webサイトより)

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

4月から施行された改正個人情報保護法では、個人情報を海外移転する際に「外的要因の把握」を行うことが義務付けられました。今回はこのことについてまとめておきたいと思います。

まず、個人情報の海外移転の注意点については、別の記事で取り上げましたので、ご参照ください。

改正個人情報保護法>個人情報の海外移転に関する注意点をまとめます
https://www.pmarknews.info/kojin_joho_hogo_ho/52157329.html
海外クラウド利用は「外国にある第三者」にならないと考えてよさそうです。
https://www.pmarknews.info/kojin_joho_hogo_ho/52155459.html

さて、上記の二つの記事では、個人情報を海外に移転してよいのはどういうケースなのかについて説明しました。しかし、まだそれだけでは足らないのです。

個人情報を海外に移転する際には、移転先の国の個人情報保護法制などを把握し、必要かつ適切と考えられる個人データの安全管理措置を講ずる必要があるのです。これを「外的環境の把握」の義務といいます。

個人情報保護法第23条(安全管理措置)
 →個人情報保護法ガイドライン通則編
  10(別添)講ずべき安全管理措置の内容

10-7 外的環境の把握
個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。

また、今回の法改正から、保有個人データに関する事項の公表の中に、その「保有個人データに対して実施している安全管理措置」が含まれましたので、外的環境の把握を行っていることもそこに記載することが必要となります。ただし、これは「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置く」というものですから、必ずしもWebサイトなどで公表する必要はなく、本人から求めがあった場合だけ回答することでも認められます。

個人情報保護法第32条(保有個人データに関する事項の公表等)
 →個人情報保護法ガイドライン通則編
  3-8-1 保有個人データに関する事項の公表等(法第32条関係)
 →【安全管理のために講じた措置として本人の知り得る状態
  に置く内容の事例】

(外的環境の把握)
事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施(※8)


(※8)外国(本邦の域外にある国又は地域)の名称については、必ずしも正式名称を求めるものではないが、本人が合理的に認識できると考えられる形で情報提供を行う必要がある。また、本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましい。

結論として、このようになります。

(1)自社の管理している個人データが、地球上のどこに存在しているのか把握する。

この場合、海外のクラウドに保存している場合も含めて把握する必要があります。

(2)自社の管理している個人データに対して、アクセス権を設定している人や法人が、地球上のどこにいるのか把握する。

これは、下記の通り、アクセス権を設定しているだけでも個人データの提供にあたるからです。
個人情報保護法ガイドライン通則編
2-17「提供」
「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。

(3)上記で把握された国・地域における個人情報保護法制を把握し、必要と思われる安全管理措置を講じる。

この際、個人情報保護委員会のWebサイトに掲載されている「外国における個人情報の保護に関する制度等の調査」を参考にすることができます。

ここで、中国のように、政府の権限が大きな国に個人データが存在している/アクセス権が設定されている場合には、少し危機感を持って再検討していただく必要があります。

LINE事件では中国の委託先に対してアクセス権を設定していたことが問題視されました。それが本当に必要なのかどうか、それで自社の個人データはしっかり守られるのか、じっくり検討して、必要な措置を取ることが求められます。

(4)保有個人データに関する事項の公表等の中に、少なくとも「個人データを保管している●●国における個人情報の保護に関する制度を把握した上で安全管理措置を実施」と国名を列記して記載する。

もう少し親切にする場合には、各国の個人情報保護法制などの調査結果も記載する。

ということです。ここまでやれば、個人情報取扱事業者としての対応としては100点満点です👧

個人情報保護委員会「外国における個人情報の保護に関する制度等の調査」
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku

その他の参考URL
改正個人情報保護法(2022年4月施行)
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
個人情報保護法ガイドライン(通則編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
個人情報保護委員会資料
https://www.meti.go.jp/policy/it_policy/privacy/ppc_privacy_governance_seminar3.pdf

(私のコメント)
前回の「個人データの海外移転」に続き、今回は「外的要因の把握」に関する情報をまとめてみました。この内容も、法律/ガイドラインなど散在する情報を総合的に勘案しないとなかなか理解できない状態になっていて、理解しずらくなっていると思いました。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

外国にある第三者への提供が認められる場合

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

4月から施行された改正個人情報保護法について、最も混乱していると思われるのが「個人情報の海外移転」に関する事項です。

いろんな情報が交錯していて、なかなかうまくまとまった情報がありませんので、この記事でまとめておきたいと思います。

まず、改正個人情報保護法の下で、外国にある第三者への提供が認められるのは、上記の図の4つの場合のみとなります。これを順番に説明していきます。

なお、国内法人に対する場合と異なり、「委託」がこの例外とはならないことによく注意してください。委託の場合も下記の条件を満たす必要があります。

また、提供とは、個人データを自己以外の者が利用可能な状態に置くことを指し、個人データが物理的に提供されていない場合であっても、ネットワーク等を利用することにより個人データを利用できる状態にあれば(利用する権限が与えられていれば)、提供にあたるとされています。つまり、実際に海外に移転していなくても、海外の第三者からアクセス権が設定されている場合には、外国にある第三者への提供となります(2021年のLINE問題では中国の委託先から日本のデータベースにアクセス権を設定していたことが問題になりました)。こちらもご注意ください。
個人情報保護法ガイドライン 2-17「提供」
(個人情報保護法ガイドライン 2-17「提供」)

(1)日本と同水準の個人情報保護制度のある外国の場合

日本と同水準の個人情報保護制度のある外国にある事業者に対する提供(委託)は、認められます。具体的にはEU加盟国と英国となります。(第28条第1項)
日本と同水準の個人情報保護制度のある外国
(個人情報保護委員会資料より)

(2)基準に適合する体制を整備した事業者の場合

次に提供先(委託先)が、個人情報保護委員会が定める基準に適合する体制を整備している場合には、認められます。

ただし、下記の3つの条件を満たす必要があります。

国内の個人情報取扱事業者が講ずべき措置に相当する措置(相当措置)を継続的に講ずるため、下記のA)B)のいずれかを整備すること。(第28条第1項)

 A) 契約を交わすなどの方法により、相当措置の実施を確保すること。相当措置には、下記の20の項目が含まれます。
2022-04-14_21h34_19
(個人情報保護法ガイドライン・外国にある第三者への提供編より)

 B) 提供先が、個人情報の取扱いに係る国際的な枠組みに基づく認定を取得していること(APEC CBPRシステムの認証など)

提供先(委託先)における相当措置の継続的な実施を確保するために必要な措置として、下記のA)B)C)全てを実施すること。(第28条第3項)

 A) 相当措置の実施状況、相当措置の実施に影響を及ぼすおそれのある外国の制度の有無及び内容を定期的に確認すること
 B) 相当措置の実施に支障が生じたときは、必要かつ適切な措置等を実施すること
 C) 相当措置の継続的な実施の確保が困難となったときは提供(委託)を停止すること

K椰佑らの求めを受けた場合には、本人に対して下記の情報を遅滞なく提供すること。(第28条第3項)

 A) 提供先(委託先)が相当措置を実施するための体制の整備の方法
 B) 提供先(委託先)が実施する相当措置の概要
 C) 提供先(委託先)による相当措置の実施に影響を及ぼすおそれのある外国の制度の有無と内容に関する確認の頻度と方法
 D) 当該外国の名称
 E) 提供先(委託先)による相当措置の実施に影響を及ぼすおそれのある外国の制度の有無とその概要
 F) 提供先(委託先)による相当措置の実施に関する支障の有無とその概要
 G) 前号の支障に関して当該個人情報取扱事業者が講ずる措置の概要

(3)一定の事項を開示した上で、本人同意を取る場合

本人同意があれば、外国にある第三者への提供は認められますが、今回の法改正で、同意の前に以下の情報を提供することが義務付けられました。(第28条第2項)

当該外国の名称
当該外国における個人情報の保護の制度に関する情報
提供先(委託先)が講ずる個人情報の保護のための措置

(4)クラウドサービスで個人データを取り扱わないこととなっている場合

クラウドサービスの場合、海外の事業者であったり、海外のデータセンターを利用している場合がありますが、この場合であっても、そのクラウド事業者が自社の個人データを取り扱わないこととなっている場合には、そもそも提供にも委託にもならないとされます。(個人情報保護委員会Q&A Q12-3)

このことについては、別に記事を書いていますので、参考にしてください。
https://www.pmarknews.info/kojin_joho_hogo_ho/52155459.html

(追加)外的環境の把握の義務があります

上記(1)から(4)の条件に加えて、外国において個人データを取り扱う場合には、安全管理措置の一環として「外的環境の把握」が求められます。これは、どの国で個人データを取り扱っているのかを明確にし、その国における個人情報の保護に関する法制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じることを指しています。(第23条)
個人情報保護法ガイドライン通則編 10(別添)講ずべき安全管理措置の内容
(個人情報保護法ガイドライン通則編 10(別添)講ずべき安全管理措置の内容より)

さらに、保有個人データに関する公表事項に安全管理措置が含まれたことから、上記で把握した「外的環境の把握」の内容についても、公表に含めることとされました。(第32条第4項)
個人情報保護法ガイドライン 3-8-1 保有個人データに関する事項の公表等
(個人情報保護法ガイドライン 3-8-1 保有個人データに関する事項の公表等)

とはいっても、各社が独自に諸外国の個人情報保護法制を調査することには困難もあることから、個人情報保護委員会が一定の国について調査を行い、その結果をWebサイト上で公表しています。

https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku

特に中国における個人情報保護法制については、厳しい内容が報告されています。
中華人民共和国に関する調査結果
(中華人民共和国に関する調査結果)

参考URL
改正個人情報保護法(2022年4月施行)
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
個人情報保護法ガイドライン(通則編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
個人情報保護法ガイドライン(外国にある第三者への提供編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/
個人情報保護委員会資料
https://www.meti.go.jp/policy/it_policy/privacy/ppc_privacy_governance_seminar3.pdf

(私のコメント)
以上、個人データの海外移転に関する情報をまとめてみました。正直申し上げて、この内容は法律とガイドラインだけ見ていては、とても理解しづらいと感じました。今回の記事で骨組みは表現できたと思いますが、いかがでしょうか?また、最後の「外的環境の把握」については、もう少し詳細を調査して別の記事でご紹介したいと思います。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

------------------------------------------------------------
(追記)プライバシーマーク新審査基準2022に関する
最新のセミナー動画を公開しました。どうぞご覧ください。
Pマーク新審査基準2022セミナーを視聴する
------------------------------------------------------------

2022年4月個人情報保護法改正・Pマーク新審査基準対応セミナー

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2022年2月22日に開催した「2022年4月個人情報保護法改正・Pマーク新審査基準対応セミナー(Pマーク担当者勉強会)」。

皆さんの関心にあったテーマということもあり、全国から350名を超えるプライバシーマークの実務担当者の皆様にリモート参加していただきました。

私プライバシーザムライが、
------------------------------------------------------------
4月に施行される改正個人情報保護法とPマーク新審査基準に対して、
プライバシーマーク取得事業者としてどのように対応するべきか
------------------------------------------------------------
について、いくつかの資料を使用しながら解説させていただきました。

当日参加できなかった方や、参加されなかった方にも参考にしていただけると思いますので、動画を公開いたします。また資料のダウンロード提供も行いますので、参考にしていただきたいと思います。

--------------------------------------------------------
タイトル:Pマーク担当者勉強会
「2022年4月個人情報保護法改正・Pマーク新審査基準対応セミナー」
講 師 : プライバシーザムライ・中康二
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



なお、全編の視聴と資料のダウンロード提供には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_kaisei_p_2022

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2022-03-03_10h23_09
(画像は個人情報保護法ガイドラインQ8-10より。画像の中の「法第26条の2」は、2022年4月施行法においては「法第31条」となります)

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

先日、個人情報保護法改正&プライバシーマーク新審査基準対応のためのプライバシーマーク担当者勉強会を開催した際、いくつか気づいたことがありましたので、このWebサイト上でも何回かに分けて取り上げたいと思います。

今回取り上げるのは、「WebサイトにGoogleやFacebookのタグを埋め込むことは個人関連情報の提供になるのか」ということです。

2022年4月に施行される改正個人情報保護法第31条では、生存する個人に関する情報ではあるものの、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを「個人関連情報」といいます。

例えば、下記のようなものが個人関連情報にあたります。
・どこの誰かは分からないけれども、ある時間に、あるIPアドレスから、あるWebページを閲覧したという記録
・どこの誰かは分からないけれども、ある時間に、ある人が、ある商品を、ある価格で購入したという記録

この個人関連情報を自社以外の第三者に提供した場合に、提供先において、何らかの方法により個人情報と関連付けることができるという場合には、あらかじめ本人の同意が必要になります。これが「個人関連情報の提供の制限」です。

ちなみにこの場合の本人同意は、原則として提供先が取得することになります。

そうすると、当然こんな風に考えますよね?

・Facebookのいいね!ボックスを自社のWebサイトに埋め込んでいる場合、自社のWebサイトに誰かがアクセスしてきた際に、Meta社(Facebook運営会社)に自動的に情報が飛んで、アクセスしたことがFacebookに伝わる。自社ではそれが誰か分からないけれども、Meta社では利用者のアカウント情報と紐づけすることでそれが誰か分かるのだから、これは個人関連情報の提供になるのではないか?

・Googleアナリティクスのタグを自社のWebサイトに埋め込んでいる場合、自社のWebサイトに誰かがアクセスしてきた際に、Google社に自動的に情報が飛んで、アクセスしたことがGoogleに伝わる。Googleはこの情報をGoogleアカウントと紐づけているのかどうか明確にはしていないけれども、紐づけている場合にはGoogle社ではそれが誰なのか分かるのだから、これは個人関連情報の提供になる可能性があるのではないか?

実際、私はそのように思っていました。

これに関して、個人情報保護委員会がまとめている個人情報保護法ガイドラインのQ8-10を見て、驚きました!


Q8−10 A 社が自社のウェブサイトに B 社のタグを設置し、B 社が当該タグを通じて A社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A 社は B 社にユーザーの閲覧履歴を提供したことになりますか。
→はい。まさにそういう時のことを知りたかったのです

個別の事案ごとに判断することとなりますが、A 社が B 社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A 社が B 社に閲覧履歴を「提供」したことにはならず、B 社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。このため、B 社がそのタグを通じて閲覧履歴を取得することについて、法第 26 条の2(原文ママ、正しくは法第31条)第1項は適用されないと考えられます。
→Facebookのいいね!ボックスや、Googleアナリティックスのタグを埋め込んだとしても、自社ではそのタグで収集される閲覧履歴は取り扱うわけではないので、その先、Meta社やGoogle社がユーザーIDを紐づけしていたとしても、していないとしても、自社からの個人関連情報の提供にはならない!

ということが分かりました!

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

(私のコメント)
このQ&Aを見た時、かなり衝撃が走りました。

また、新しい情報が入りましたら、皆様にシェアいたしますね。


2022-02-25_11h34_40
(画像は個人情報保護法ガイドラインQ12-3より)

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

先日、個人情報保護法改正&プライバシーマーク新審査基準対応のためのプライバシーマーク担当者勉強会を開催した際、いくつか気づいたことがありましたので、このWebサイト上でも何回かに分けて取り上げたいと思います。

今回取り上げるのは、「海外クラウド利用は外国にある第三者になるのか」ということです。

2022年4月に施行される改正個人情報保護法第24条では、外国にある第三者に個人データを提供する場合には、下記のいずれかの条件を満たすこととされます。

(1)提供先が、日本と同等の水準の個人情報保護法制が敷かれた国に存在する場合(具体的には十分性認定がなされたEUと英国)

(2)提供先が、個人データの取扱いについて日本の個人情報取扱事業者と同等の水準の措置を講じている場合(契約や提供先の内部規程などでそれが確認できること、またはAPECのCBPR認証を受けていること)

(3)本人に対して、外国にある第三者への提供に関する一定の情報提供を行い、本人からの同意が得られていること

しかも、この第24条は「委託」が例外とはされておらず、委託の場合も同様の条件を満たすこととされています。そうすると、海外クラウド利用の場合にはどうなるのかということが懸案になっていました。

例えば、こんなことが考えられました。

Google Workspaceを利用している場合で、安い契約では、サーバーの存在する地域(リージョン)を選べない場合があり、そうすると、知らない国に置かれることになるから、上記の(1)(2)を実施できず、本人同意が必要になる?いやしかし本人同意と言っても、メールを送ってくる人にいちいち同意なんか取れない!では高い契約に切り替えないといけないのか?

AWSを利用していて、今までは地域分散も考えて日本とシンガポールのデータセンターを利用していたが、全部日本に集約しなければならないのか?

日本では提供されていない専門的な内容の、米国の会社が提供する人事管理クラウドを利用しているが、この利用を継続するにあたり、社員全員から同意を取るのは煩雑だなあ。

これに関して、個人情報保護委員会がまとめている個人情報保護法ガイドラインのQ12-3に参考になる情報がありました。

個人情報取扱事業者自らが外国に設置し、自ら管理・運営するサーバに個人データを保存することは、外国にある第三者への提供(法第 24 条第1項)に該当しません。
→例えば、AWS上に自社でサーバーを構築している場合、そこに含まれる個人データをAmazonに提供するわけではないから、それがどこのリージョンであったとしても外国にある第三者への提供にはならない。

個人情報取扱事業者が、外国にある事業者が外国に設置し、管理・運営するサーバに個人データを保存する場合であっても、当該サーバを運営する当該外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法第 24 条第1項)に該当しません。ここでいう「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます(Q7−53 参照)。
これは「委託先」の定義に立ち返って理解する必要があります。委託先とは「個人データの取扱いの全部又は一部を委託する」相手のことであり、委託にはその個人データの内容を確認して、何らかの処理を行うことが含まれます。
クラウドサービスに個人情報を保存した場合に、その内容をクラウド事業者が内容を確認して、何らかの処理を行うのだとすれば、これは「委託」となり、その場合には上記の(1)(2)(3)のいずれかを満たす必要が出てきます。
しかし、クラウドサービスに個人データを保存したとしても、クラウド事業者がその内容を確認するのではなく、何らかの処理を行うのもなく、単にシステムの機能を用いて見やすく表示したり、集計したりするだけである場合には「委託」にはならないし、そもそも外国にある第三者への提供にもならない。クラウド事業者側が内容を見ないことが契約条項などにより明確にされていて、必要なアクセス制御も行われているのであれば、上記(1)(2)(3)に従う必要はない。


ということが分かりました!

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

(追加:2022年3月5日)
本記事に関連し、「プライバシーマーク制度では倉庫・データセンター系は委託先として管理しなければならないこととの整合性」について質問を受けましたので、下記を追記いたします。
JIS Q15001:2017の附属書B(解説)には、下記のような記述があります。
2022-03-05_14h15_05
この解説の内容は、依然として有効なものであり、今後もプライバシーマーク認定事業者としては、倉庫データセンター系の相手を委託先としてリストアップし、必要な覚書などを交わさなければならないと考えます。ただし、外国にある第三者への提供にはならないということです。

(私のコメント)
個人情報保護委員会の出すQ&A情報により、このような形でいろいろなことが明確に整理されていくのはうれしく思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年4月施行の改正個人情報保護法
(画像はe-Gov法令検索・Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2022年4月1日の改正個人情報保護法・施行に向けて様々な作業が進んでおりますので、このページで基本情報を整理したいと思います。

(1)改正個人情報保護法の施行日は正式に2022年4月1日に決まりました

今回は2回の法律改正を一気に施行するというある意味でアクロバティックなことをするのですが、2段階の改正を2022年4月1日に同日施行するとのことで、正式に決まったようです。(「デジタル社会の形成を図るための関係法律の整備に関する法律の一部の施行期日を定める政令」により決定)

https://www.ppc.go.jp/personalinfo/minaoshi/#overview

(2)2022年4月1日に施行される改正個人情報保護法の法律全文

4月1日に施行される法律の全文は、下記のURLでご確認いただけます。
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057_20220401_503AC0000000037

PDF版はこちらです。
https://www.ppc.go.jp/files/pdf/hogohou_50joukaisei.pdf

※全180条まであるのが2022年4月施行版です。
現行法は88条、2023年4月施行版は185条になります。

(3)個人情報保護法ガイドラインも全面改訂

法律の大幅改正に伴い、個人情報保護法ガイドラインも全面的に改訂されています。今回の改訂により、今まで以上に詳細な内容が説明されるようになり、読み応えのあるものになっています。

通則編(まずはここから)
https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf

外国にある第三者への提供編
https://www.ppc.go.jp/files/pdf/211029_guidelines02.pdf

第三者提供時の確認・記録義務編
https://www.ppc.go.jp/files/pdf/211029_guidelines03.pdf

仮名加工情報・匿名加工情報編
https://www.ppc.go.jp/files/pdf/211029_guidelines04.pdf

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

1月末現在、個人情報保護委員会としては、行政機関向けガイドラインの作成や、金融機関向けガイドラインの見直しなど、最後の作業に当たっているようです。それらが全て出そろって、4月1日の改正法施行を迎えることになると思います。

(私のコメント)
個人情報保護委員会のWebサイトでは情報があちこちに散逸していて、少しわかりにくいかなと思いましたので、このページに集約してみました。とにかく、個人情報保護法の実務担当者の方には是非ガイドラインを熟読していただきたいです。そうすれば多くの疑問が解消されるはずです。(私も今、読み込んでいるところです)

なお、個人情報保護法改正とプライバシーマーク新審査基準に関する「Pマーク担当者勉強会」を2月22日(火)にリモート開催いたします。どうぞご参加ください。(恐縮ですがプライバシーマークのご担当者様限定になります)

プライバシーザムライ
https://www.pmarknews.info/privacy_mark/52153707.html

皆様とリモートでお会いできるのを楽しみにしております。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

PAW_poster2021
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

来年4月の個人情報保護法改正により、国内の官民全ての個人情報の取扱いを管轄することになる個人情報保護委員会。

アジア太平洋プライバシー機関(APPA)に参加する各国の個人情報保護当局と歩調を合わせ、10月18日から24日まで国内でも「個人情報を考える週間」を実施すると発表しました。

わたくし個人的には、委員会が市民に向けて呼びかけていた3つのメッセージに興味がわきました。

(1)知り合いの連絡先を無断で教えていませんか?
(2)自分の居場所が分かるような情報をSNSに掲載していませんか?
(3)プライバシーポリシーや規約の内容をよく読まずに同意していませんか?

確かにどれも重要な内容になります。

(1)は論外としても、(2)は過去から個人情報保護委員会が様々な機会に呼びかけていたものでした。一方で(3)は目新しく感じました。

これはまさに「長過ぎるプライバシーポリシー問題」ですね。

わたくし自身も、常日頃「こんな長いプライバシーポリシーの内容確認してられないな」と思いながら様々なサービスの規約に渋々同意しています。

これはまさに「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」ためには重要なことです。日本のプライバシーポリシーをもっと分かりやすく、簡潔なものにしたいと強く再認識した次第です。

個人情報保護委員会「個人情報を考える週間」
https://www.ppc.go.jp/news/privacy_awareness_week/

長過ぎるプライバシーポリシー問題
https://www.pmarknews.info/kojin_joho_hogo_ho/52140119.html

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

2022年4月施行 個人情報保護法改正6つのポイント(Pマーク/ISMS担当者勉強会)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

7月14日に緊急開催した
「2022年4月施行 個人情報保護法改正6つのポイント(Pマーク/ISMS担当者勉強会)」。

皆さんの関心にあったテーマということもあり、
全国から250名を超える数の皆様にリモート参加していただきました。

前半の第一部勉強会では、私プライバシーザムライが、今回の法改正に関して、
・2回分の法改正が一度に施行されるとはどういうことなのか、
・民間事業者が対応するべき6つのポイントとは何か?
・プライバシーマークとの関係は?
など、現在分かりうる範囲でご説明させていただきました。

後半の第二部懇親会では、Zoomのブレイクアウトルームの機能を使用し、
全国から集まっていただいた皆さんどうしで、プライバシーマーク/ISMSの運用で
困っていることと自慢したいことを共有していただきました。

当日参加できなかった方や、参加されなかった方にも参考にしていただけると思いますので、動画を公開いたします。また資料のダウンロード提供も行いますので、参考にしていただきたいと思います。

--------------------------------------------------------
タイトル:Pマーク/ISMS担当者勉強会
「2022年4月施行 個人情報保護法改正6つのポイント」
講 師 : プライバシーザムライ・中康二
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



なお、全編の視聴と資料のダウンロード提供には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_kaisei_2022

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

クッキー同意ボックスは不要
(7月開催のPマーク/ISMS担当者勉強会のプレゼン資料より)

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2022年4月の改正個人情報保護法の施行に向けて、個人情報保護委員会などで
様々な準備が進められていますが、その中で、一つ明確になったことがあります。

それはクッキー同意ボタンは法改正後も原則不要ということです。
(クッキー=Cookie、Webサイトで端末識別に利用される情報のことです)

改正個人情報保護法では、個人関連情報という概念が創設され、
「提供元では個人情報として認識されないが、提供先で個人情報として認識される情報を提供する場合には、提供にあたって本人の同意が必要」となります。

ただし、この本人同意を取るのは原則として「提供先」があらかじめ取得するものとされ、提供元が提供する際に同意を取るものではないものとされています。


もう少し分かりやすく説明します。

個人関連情報の例として、下記の二つをあげます。

------------------------------------------------------------
(1)Tポイント加盟店が、購買データをCCCへ提供する行為は、個人関連情報の提供に当たると思われます。

加盟店側では、Tカードの持ち主が誰かは認識できません。
しかしT番号を取得し、それに購買データを一緒にして、CCCに送信します。
CCC側ではT番号を照合して、それが誰の購買なのかを明確にして、データベース化します。

------------------------------------------------------------
(2)WebページにFacebookのいいねボタンを設置することは、個人関連情報の提供に当たると思われます。

Webサイト側では、アクセスしてきた人が誰なのかは一切認識できません。
しかし、いいねボタンを設置していると、そのWebページにアクセスしただけで、Facebookにアクセスしたことが伝わります。
Facebook側ではIPアドレスやクッキーなどの情報を照合し、それが誰なのかを明確にして、データベース化します。
------------------------------------------------------------

これが「個人関連情報の提供」の事例です。

これらの際に、提供にあたって同意を取るのはCCCであり、Facebookとされます。
Tポイント加盟店の店頭や、いいねボタンを設置したWebサイト側で、「あなたは個人関連情報の提供に同意しますか」といちいち確認する必要はなく、CCCやFacebookに対して本人同意を取っていることを事前に一括確認するだけでよいとされます。

ですから、来年4月の改正個人情報保護法施行後も、国内においては「クッキー同意ボタン」は原則不要なのです。

GDPR対応ではクッキー同意ボタンは必須とされますが、国内においては原則不要であることをここで明確にしておきたいと思います。


※例外となるのは、パブリックDMPなどのプラットフォーム事業者と契約している場合です。自社の顧客のアクセス履歴や趣味嗜好情報などを匿名の状態で購入し、顧客データベースに取り込んで自社の販促活動に利用するなどの場合にはクッキー同意は必要です。そのような場合はしっかりと顧客に自社が何をしているのかを説明する必要があります。(リクナビ事件で問題になったのも同様の仕組みでした)

なお、GDPR圏内では、クッキー同意ボタンは一つのビジネスになっています。国内でも同じようなビジネスを始める会社が出てくると思います。すでに出てきていると思います。それらを設置することに問題はありません。しかし法律上必須のものではないことを明確にしておきたいと思います。

※自社の個人情報保護の取り扱いに関する公表事項の中に、自社がどこに個人関連情報を提供しているかのリストを掲載するなどは有益なことだと思いますから、推奨いたします。またこれとは別に、自社のシステム内でクッキーを利用して個人情報に紐づくアクセス履歴を取得している場合には通知公表(プライバシーマーク取得の場合は同意)が必要になります。

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報保護委員長
(画像は朝日新聞Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

5月に国会で成立したデジタル改革関連法により、
監督範囲が行政機関や自治体のの個人情報の取り扱いにも拡大された
個人情報保護委員会の丹野委員長が、朝日新聞の取材に答えて
「忖度せず厳しい姿勢でのぞむ」と発言しました。

https://digital.asahi.com/articles/ASP6876MDP67ULFA01H.html

(私のコメント)
丹野委員長は、全国消費生活相談員協会理事長を経て、
2019年に個人情報保護委員会委員長に就任されました。

個人情報保護委員会は、その責任範囲がどんどん拡大しており、
社会的意義も大きくなってきています。
個人情報の取り扱いに関して「利活用の促進」と
「個人の権利利益の保護」をどのようにバランスを取るのか、
今後も注目していきたいです。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

個人情報保護法ガイドライン改正の概要
(画像はe-govパブリックコメントWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2022年4月1日に施行される個人情報保護法の改正に向けて、個人情報保護委員会は、ガイドラインの見直し案を取りまとめ、パブリックコメントを実施しています。

今回の改正には、
・保有個人データの「6ヶ月以上保有」の条件を廃止
・利用停止、消去、第三者提供の停止の請求が認められる条件を拡大
・オプトアウト規定で提供できる個人情報の制限を強化
・個人情報の不適正な利用の禁止
・漏えい等の個人情報保護委員会への報告と本人通知の義務化
・「仮名加工情報」の創設
・「個人関連情報」の第三者提供の制限
・外国事業者も報告徴収/命令/立入検査の対象に含める
・本人同意を根拠に外国の事業者に移転する場合の、移転先の国名などの情報提供
などの内容が盛り込まれており、これらについての詳細がガイドライン案で確認できます。

なお、来年4月に施行される際には、今年5月の国会で成立したばかりの2021年改正(官民の個人情報保護法の一元化)も同時に施行されると思われますが、これらについては後追いでガイドラインなどが出てくるものと思われます。

https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000069&Mode=0

(私のコメント)
このガイドラインの内容を含み、来年4月に施行される個人情報保護法の改正についてPマーク/ISMS担当者勉強会でご説明いたします。関心をお持ちの方は是非ご参加ください。
(7月14日にリモート開催いたします)

https://www.pmarknews.info/event/52142566.html

また、新しい情報が入りましたら、皆様にシェアいたしますね。

参議院
(画像は参議院Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

5月12日、参議院で「デジタル社会の形成を図るための関係法律の整備に関する法律案」が成立し、これにより、既存の3つの法律
個人情報保護法
行政機関個人情報保護法
独立行政法人等個人情報保護法
が一本の個人情報保護法に集約されることになりました(2022年4月施行予定)。

また地方自治体における個人情報の取扱いについても、
今後は集約された個人情報保護法で取り扱うこととされます(2023年施行予定)。

この法律案は、50以上の法律を一気に改正する内容となっており、
内容は多岐にわたり、分量も膨大なものですから解読が困難ですが、
結論としては「個人情報保護法一元化」が行われるものです。

これに伴い、行政機関における個人情報の取扱については、
色々と変更があるようですが、
民間事業者向け義務規定にはほとんど変更はありませんので、
ご安心いただきたいと思います。

今回の改正法の施行時期はその多くが「公布から1年以内」となっており、
実際には2020年に成立した個人情報保護法の施行(2022年4月1日)と
同時に施行されることになるようです。

つまり、2020年改正個人情報保護法の施行に向けた準備が進められているところに
さらに上乗せで改正が加わることになります。

これにより、法律の構成や条番号も大幅に変更になりますので、
特に注意が必要です。

例えば、
2020年成立の改正個人情報保護法により
「第22条の2」として個人データ漏洩の際の報告義務が追加されていますが、
これは今回の改正により「第26条」となるようです。
ご注意ください。


参議院・デジタル社会の形成を図るための関係法律の整備に関する法律案
https://www.sangiin.go.jp/japanese/joho1/kousei/gian/204/meisai/m204080204028.htm
提出法律案
https://www.sangiin.go.jp/japanese/joho1/kousei/gian/204/pdf/t0802040282040.pdf

(既存の法律)
個人情報保護法→改正
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
行政機関個人情報保護法→廃止
https://elaws.e-gov.go.jp/document?lawid=415AC0000000058
独立行政法人等個人情報保護法→廃止
https://elaws.e-gov.go.jp/document?lawid=415AC0000000059

(参考記事)
次の改正個人情報保護法の施行日が2022年4月1日に決まりました。〜法人向け1億円の罰金は施行済み〜
https://www.pmarknews.info/kojin_joho_hogo_ho/52140607.html

個人情報保護法一元化法案が出てきました〜今の国会で成立→えっ来春施行?〜
https://www.pmarknews.info/kojin_joho_hogo_ho/52138278.html

個人情報保護法の民間/行政一元化法案が固まったようです〜2021年通常国会に提出の見込み〜
https://www.pmarknews.info/kojin_joho_hogo_ho/52136865.html

2020年改正個人情報保護法が成立、2022年までに施行の見込み
https://www.pmarknews.info/kojin_joho_hogo_ho/52124828.html


(私のコメント)
改正が二重に行われるとは思いませんでしたが、
まあ一気に色々なことがシンプルになっていくのかなと思います。
このあたりのことは、施行までの一年間の中で、
私からも情報発信していきたいと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ