2017年5月30日に全面施行された改正個人情報保護法について、事業者が取り組むべき内容と従業者教育について、「心技体」を鍛えるために書き綴ります。
改正個人情報保護法が全面施行されました。
小規模事業者も対象となった今回、
まだまだ多くの事業者さまが
対応にあぐねられている今、
少しでもお手伝いができればと
6月頭から、毎日思うところを書き綴ってきました。
しっかりとシナリオを作って何日分か書き溜めて、
と、できればよかったのですが、
結局、その日に書きたかったことをそのまま書いて
きましたので、読みずらかったかと思います。
申し訳ありません。
今年も半分が終わり、明日から後半になります。
ここで、気持ちをあらたに、
7月から、少しは整理して、
結局、何を勉強し、どう対応すればよいのか
という現実的なことを、小規模事業者さんでも、
わかっていただけるように、
どちらかといえば、それらの皆様向けに、
書かせていただこうと考えております。
あわせて、諸事情により、
こちらのブログの更新は本日限りとさせていただき、
7月からは、Googleさんのブログで書かせていただく
こととしました。
http://kojinjohohogoho.blogspot.jp/
移行先には6月分の内容も移行しております。
(一部修正もしております)
あらためて、
「改正個人情報保護法 事業者の取り組み方」
ブログをよろしくお願いいたします。
JUGEMテーマ:個人情報保護
「個人情報の定義」について、
ここを間違えていては、
個人情報保護法への対応の根本を間違えて
しまいます。
今回の法改正で、
小規模事業者も対象となりました。
安全管理措置については、
多少の緩和措置がありますが、
それでも、
個人情報の定義を間違えていては
いけません。
私も、中小規模企業様のサポートを
よりしっかり尽力させていただこう
と考えております中で、
今回、法改正を期に作成された公式的な
資料も探し、目を通していました。
そんな中で、
独立行政法人 中小企業基盤整備機構さんが、
日本商工会議所とJIPDECとの共催で、
弁護士さんを講師とした半日セミナーを
昨年10月末に開催された記録がありました。
中小企業経営者、管理者、従業員、
小規模事業者等、中小企業支援担当者を
対象とされていて、
まさに、今回あらたに法対象となった
前提知識が少ない人向けです。
これに参加された方は、かなり意識の高い
方々だと思います。
130人規模で実施されたようで、
とてもすばらしい取り組みだと思いました。
そして、その講座動画が公開されています。
これもとてもすばらしいことだと感心しました。
そしてそして、
個人情報の定義の重要性も話されています。
OK!
しかし、
「個人情報=特定の個人を識別することができる情報」
という説明。そして、
「特定の個人を識別することができるとは?」
という項目がありながら、そこにふれず。
結局、よくある誤解を導く説明に
なっています。とても残念。しっかり聞かれた方も、
結局、個人情報って何だ?
自社で取り扱っている個人情報はどれだ?
と、混乱されたままではないかと。
とても残念に思います。
そのあたりは、ちゃんとJIPDECも
内容を監修しているのかと思い、
JIPDECの関連資料を調べている中で、
JIPDECの問題に行き当たったのです。
「特定の個人を識別できる情報」
と覚えると、わけがわからなくなります。
「特定の個人の情報だと識別できる情報」
なら、誤解は少ないかも知れません。
もっと簡単にいうと、
ある特定の個人のものとわかる情報、
誰の情報かがわかる情報は、
その人の個人情報であるということですね。
個人側から言うと、
特定の個人に関する情報はすべて個人情報、
と解釈することが、事業者における
対応の検討に、ふさわしいと考えます。
結局、
「識別できる」とか、「識別することができる」
という言葉が、わかるようでわかりにくい
表現なんだろうなぁと思います。
ここを今一度、
わかりやすく誤解のない説明をすることに
しっかり取り組み、
一人でも多くの方が、個人情報について、
誤解なく正しく理解し、それぞれが
それぞれの立場で、しっかり対応をして
いただきたいという思いで、
その志をもとに活動をしていこうと思います。
ご賛同いただける皆様、
ぜひご協力をよろしくお願い致します。
JUGEMテーマ:個人情報保護
「個人情報の定義」の重要性と
多くの人が誤解していることを、
6/9〜12の4日間にわたって書きました。
その中の、6/10、
『先ず「個人情報の定義」より始めよ! 』
http://kojinjohohogo.expert-promo.com/?day=20170610
の回で、
「とんでもないことに行き当たりました。。」
と書きました。
具体的に何?ということを
書いていませんでした。
あらためて確認ですが、
個人情報は、
『個人を特定するための情報』
ではありません。
そして、
個人情報保護といえば、
プライバシーマーク制度が有名ですね。
取得されている企業の皆さんもおられると
思います。
その運営母体はご存じJIPDEC。
なんとそのJIPDECが、
個人情報の定義を間違えていたのです。
JIPDECが公表している
「よくわかるプライバシーマーク制度」
というページがありますが、
その1時間目『「個人情報」の基礎知識』に
『「個人情報」と「プライバシー」の違い』
というページがあります。
https://privacymark.jp/wakaru/kouza/theme1_03.html
その中で、まず先に個人情報の説明がありますが、
そこについ最近まで、
『これまで学んできた通り、「個人情報」とは、
個人の氏名、生年月日、住所などの
個人を特定する情報のことです。』
と記載されていたのです。。
今は、
『これまで学んできた通り、「個人情報」とは、
本人の氏名、生年月日、住所などの記述等により
特定の個人を識別できる情報のことです。』
と修正されています。
今、修正されているから一応よいものの
訂正記録や訂正記事などがありませんから、
以前に見た人は、誤解のままかも。
いけません。。
JUGEMテーマ:個人情報保護
今週は、今月ここまでのレビューと、
書き漏れや書き加えなどの続きを含めて、
書かせていただきます。
『法律の「解釈」の注意点と重要性』
http://kojinjohohogo.expert-promo.com/?eid=4
として、改正法を
事業者に反映、展開していくためには、
法令等の規定条文そのものではなく、
まずはその法令等の「解釈」を
しっかりしないといけないことを書きました。
まずはこの「解釈」に注意が必要で、
古い情報や、制定過程の情報などに
まどわされてはいけないということでした。
あわせて、
これはまだ書いていませんでしたが、
自社に反映するために、
もう一段、「現実的な解釈」を
しっかりすべしということです。
法律で求められていることギリギリで
社内規程を作ってはいけない、
ということでもあります。
法律で求められていることを、
自社の事業に照らして、
どう解釈し、どう反映するか、
さらに、自主規定をどう作るかが
大事な点になります。
その時に重要なのは、
個人情報保護は、
国を向いて意識するのではなく、
顧客を向くこと
です。
社内規程は、
まずは従業者、そして顧客・パートナーに
目を向けて、しっかりと目的意識をもって
策定しなければなりません。
JUGEMテーマ:個人情報保護
6月も最終週となりました。
5月30日の改正法が全面施行された後、
少しでも多くの事業者さまが、
正しく対応できるようにと、
後先考えずにとりあえず
このブログをスタートさせました。
今、私は書籍を執筆中で、
それに関連したり、毎日思いついたことを
そのまま書いてきましたので、
あっちとんだりこっちとんだりと、かえって
ややこしく思わせてしまったかも知れません。
すみません。
ただ、どれも重要なことで
優先順位は皆高いみたいな感じです。
7月から、具体的な内容を、
正しい内容をお伝えすることはもちろん、
ちゃんと順番を意識して書いて行こうと
考えています。
「正しい内容」については、
ちょうど、最高最適なバイブルを手に入れる
ことができました。
個人情報保護に関する第一人者は、
やはり堀部政男先生。
言わずとしれた、個人情報保護委員会の
委員長です。
終身委員長でもよいかと思っていますが、
全面施行を終え、生前譲位!?される
という噂もありますが。
その超人的天才である堀部先生に対し、
その教えを受けた上で、
現場の知識と意識を持ち、
情報学博士であり、
情報セキュリティの見識も高く、
法解釈と実際の現場対応の掛け算では、
ダントツの第一人である
岡村久道弁護士が書かれた大作であります。
法制定時から出版され、ガイドライン等の
改正にあわせ、改訂されたものが、
今回、5月30日時点で公表されている、
施行令、施行規則、ガイドライン、Q&Aなど
すべて網羅し、大改訂されたものです。
7月頭には書店に並ぶと思います。
プロ向けな感じなので、
一般の人には、辞書的な使い方になるのかな
と思いますが、一般の人である私ながら、
がんばって読み、重要なポイントを
こちらで書いて行こうと思います。
ということで、
そちらは、7月以降ご期待いただきまして、
今週は、これまでに書いたことを振り返って
落としてきたこともひろっていきたいと
思っています。
6月30日は、早いもので、
今年のちょうど半分が終わります。
「夏越し(なごし)の祓い」といいまして、
半年でついたケガレを払うということで、
最近では多くの神社で茅の輪が用意されて
いますね。
今年後半のスタートから
個人情報保護に関して
しっかり対応していくために、
誤解をしっかりはらっておきましょう♪
JUGEMテーマ:個人情報保護
改正法で新たしく定義された用語として、
「匿名加工情報」があります。
これも3つの種類の個人情報とは
また違う新しい視点での分類なので、
少しややこしいですが、
整理して理解すると、
わりとわかりやすいと思いますので
ぜひお読みください。
新設された背景としては、
皆さんご存じの「ビッグデータ」です。
統計情報をマーケティングに活用できる
とても有用なデータで、収集する情報の
種類や数が増えるほど、
よりその活用方法等が増えていき、
これからの時代、ますます利用数や、
活用範囲が莫大に大きくなっていくものと
思われます。
それらの収集するデータが統計データ、
要は、個人情報に該当しなければ問題はない
はずです。
しかし、情報が簡単に復元できたり、
容易に推測できたりすると、問題が
起こります。
そこで、匿名化の基準や、その利用方法
について、規定が定められたということです。
具体的には、
個人情報取扱事業者が匿名加工情報を
自ら作成する場合の義務と、
匿名加工情報を事業に利用する事業者
「匿名加工情報取扱事業者」の義務が
定められています。
匿名加工情報取扱事業者は、
個人情報取扱事業者が前提ではありません。
個人情報取扱事業者に該当しない
匿名加工情報取扱事業者もいる、
ということです。
そこで、
改正個人情報保護法では、
第4章第1節に、個人情報取扱事業の義務、
第2節に、匿名加工情報取扱事業者の義務
と分かれています。
両事業者ともに、
安全管理措置、第三者提供をする際の義務、
さらに、再識別化の防止のため、識別行為の禁止
が定められています。
加えて、匿名加工をする事業者に対しては、
個人情報から、個人識別性をなくし、
復元できないようにする匿名加工の基準、
および匿名加工情報作成時の公表義務が
定められています。
詳細は、このあとまた別途書いていきます。
JUGEMテーマ:個人情報保護
個人情報の種類として
個人情報、個人データ、保有個人データと
3つの種類があり、
積み重ね的に義務が課されていることは
ご存じの方が多いかと思います。
今回の法改正によって、
その義務の階層がちょっとややこしくなりました。
もう一つの種類ができたとも言えますが、
3つの階層との関係とは異なる感じで、
図としては表しにくくなっています。
3つの階層とは別のものと考えた方が無難かも
知れません。
具体的には、改正法では、
「要配慮個人情報」が定義されました。
これは、個人情報、個人データ、保有個人データ
のいずれにもあたる可能性があります。
そしてその「要配慮個人情報」に対する義務は
・取得の制限(第17条2項)
・オプトアプトの適応排除(第23条2項)
となります。
要配慮個人情報は、
原則的に取得に対し、事前に同意が必要です。
また、オプトアウトによる第三者提供が許されて
いません。
社員の要配慮個人情報にあたる個人情報も、
もちろん対象となりますので、
注意が必要です。
JUGEMテーマ:個人情報保護
佐賀銀行の元行員が犯罪組織に顧客情報を
漏洩したという事件がありました。
2014年に発覚したベネッセの個人情報流出事件が
個人情報保護法の改正に大きな影響を与えたことは
多くの方がご存じかと思います。
改正個人情報保護法では、
個人情報データベース等不正提供罪が新設されました
これは、
個人情報取扱事業者、その従業者、
さらに、それらであった者が対象です。
それらの対象が、
その業務で取り扱った個人情報データベース等を
自分か第三者の不正な利益を図る目的で提供か
盗用したときに1年以下の懲役または50万円の罰金
に処することが定められました。
この解釈としては、
個人情報データベース等について、
その一部を複製したり加工したものも含まれる
ので、実質的には個人データが対象となります。
そして、「利益を図る目的」となると
不正競争防止法の営業秘密侵害では対象と
なっている「加害目的」は除かれている
ことになります。
事業者の信用を落とし込むいやがらせ行為など
がそれにあたります。
しかし、個人データを外部に持ち出す時点で、
「盗用」にあたる可能性は高いので、
それらも対象と考えられます。
ちなみに、
報道機関や著述家、宗教団体などの
個人情報取扱事業者の義務が適用除外と
されている事業者も、対象となります。
JUGEMテーマ:個人情報保護
6/19、佐賀銀行の元行員による
とんでもない情報漏洩事件が報道されました。
預金残高1億円以上の個人情報を
犯罪組織に漏らしたとのことですが、
実は、自銀行への窃盗事件に際し、
「行員専用出入り口の暗証番号などを提供」
「同僚宅から支店の鍵を盗んで渡した」
とのこと。
こんな社員もいるという前提で、
安全管理措置をとらないといけないわけです。
その内容は別途考察するとしまして、
改正個人情報保護法の全面施行にあわせて、
個人情報保護委員会から、
「漏洩等が発覚した場合の対応」が
示されています。
以前から示されていたものですが少し
詳しくなっています。
これらは講ずることが「望ましい」
事項ではありますが、
抑えておき、対応できるようにしておく
ことが好ましいですね。
以下の6つの項目が挙げられています。
(1)事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、
漏洩等事案による被害が発覚時よりも
拡大しないよう必要な措置を講ずる。
(2)事実関係の調査及び原因の究明
漏洩等事案の事実関係の調査及び原因の究明に
必要な措置を講ずる。
(3)影響範囲の特定
2で把握した事実関係による影響の範囲を特定する。
(4)再発防止策の検討及び実施
2の結果を踏まえ、
漏洩等事案の再発防止策の検討
及び実施に必要な措置を速やかに講ずる。
(5)影響を受ける可能性のある本人への連絡
漏洩等事案の内容等に応じて、
二次被害の防止、類似事案の発生防止等の観点から、
事実関係等について、速やかに本人へ連絡し、
または本人が容易に知り得る状態に置く。
(6)事実関係及び再発防止策等の公表
漏洩等事案の内容等に応じて、
二次被害の防止、類似事案の発生防止等の観点から、
事実関係及び再発防止策等について、
速やかに公表する。
事案発生を想定をして、
訓練とまではいかなくても、
行動を想定しておくことがよいでしょうね。
JUGEMテーマ:個人情報保護
10年以上経ってはじめて改正された
個人情報保護法。
その間にも、改正論議が何度か高まった
ことがありましたが、ちょうど佳境のときに、
2度の政権交代の影響などで、立ち消えに
なっていました。
そんな中、IT、ICTがさらに進展し、
そして、大規模な個人情報漏洩事件も
起こりました。
その事件は、故意によるものであったにも
関わらず、個人情報保護法では直接罰する
ことができませんでした。
また、IT/ICTの進展により、
ビッグデータの取り扱いが拡大し、
さらにそれらを含めて、経済のグローバル化
が加速しました。
これらにより、
もともとよく理解されていなかった
個人情報の定義について、
ガイドラインまで含めて何度読んでも
あてはまるかどうか、わからない
いわゆるグレーゾーンが拡大しました。
これらを背景に改正が検討されたわけですが、
罰則の強化以外は、規則を厳しくしたという
よりは、ビッグデータの活用など、
より産業の発展等に寄与するよう、
その環境の整備が図られたというものです。
これらのために、しっかり時間をかけて
議論され、改正に至ったわけですが、
議論の数だけ、難解さ、複雑さが助長された
といってもよいような感覚が否めません。
改正された個人情報保護法は、
理解するのは以前に比べてかなり大変には
なりましたが、やはりここは、
国が求めている趣旨や目的、そして基本理念
をもとに、正しく理解し、対応していかねば
なりません。
JUGEMテーマ:個人情報保護