May 2019  |  01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

個人情報保護法の趣旨、制定背景

改正個人情報保護法への対応を急ぎたいところですが。

そもそも個人情報保護法はなぜ制定され
なぜ改正されたのか
その制定背景、改正背景を理解しておくと
条文がよく理解できたり、
自社で行うべき対応が見えてきます。

2003年、法制定されたとき、
大規模な個人情報漏洩が起こったり、
住基ネットのスタートが待ち受けていたり、
OECDやEU指令といった世界からのプレッシャーなど
複合的な要因があったと学んだ皆さんも多いかと
思います。

確かにそのような状況がありました。

しかし、それらとは別に、
実は第1条(目的)に制定背景が書いてあります。

『この法律は、高度情報通信社会の進展に伴い
個人情報の利用が著しく拡大していることに鑑み、』

「高度情報通信社会」
最近ではあまりもう使われなくなった言葉ですが、
要は、IT社会、ネットワーク社会ということですね。

1995年に、Windows95が発売されて以降、
パソコンやインターネットは、企業や個人に
劇的に浸透しました。

それまで、パソコンは「おたく」、
パソコン通信なんかはもっと一部のおたくのもの的な
イメージでした。

それが、どんどん進展し、
今や、一人1台どころか、みんなのポケットに
インターネットにつながった端末が1台。
一人何台も持っている時代です。

そして、個人情報がそのネットワーク上に
飛び交うようになりました。

怖いという感覚もありますが、
スマホでタップ一つで、買い物ができる
便利な時代でもあります。

このように、ITやネットワークのおかげで
いろいろとても便利になりました。

その黎明期に、
この便利さを拡大させていくとともに、
あわせて「怖さ」を払拭するためにも、
事業者は、しっかり個人の権利利益を
保護しなさい、
という趣旨だったわけです。

「保護」と「活用」のバランス
とよく言われますが、
この背景を考えると、その意味と、
平衡的なバランスではなく、
活用のためにしっかり保護、
という主従関係もあることが
見えてくると思います。

これは、
IT、ネットワークの普及の黎明期の話
でしたが、今も、これから、
クラウドやビッグデータ、IoTなど、
ますます「高度情報通信社会」が
進展していく
ことを考えると、
同じですよね。

それらの活用によって
新たな産業の創出や、
活力ある経済社会、
豊かな国民生活の実現
に寄与させるためにも、
個人の権利利益をしっかり保護

しなさい、
ということが、
改正法の目的に書かれています。

 

 

 

JUGEMテーマ:個人情報保護

個人情報保護は何のため?

2003年に制定された個人情報保護法。

この法律は、事業者に対する規制法です。
個人の権利を定めたものではないのですよね。

これは、改正後も変わっていません。

あれ?
個人にとって、
自分の情報が守られるためのもの
ではなかったの?

と思われる方も少なくないのですが、

それも実は正しいです。
ただ、個人情報保護法は、個人に対して、
個人を保護するものではありません。
さらに、
一般的に個人情報保護法と略されますが、
個人情報を保護しなさい、
とも書いてありません。

あくまでも、
事業者に対して、
個人の権利利益を保護しなさい、
と言っています。

要は、個人の権利利益を、
事業者を通して保護する、

というものなのですよね。

いわゆる
「自己情報コントロール権」を
うたおうとしている法律ではありますが、
直接的にその権利を保護しているのではなく、
事業者に対して、
自己情報コントロール権に配慮しなさい、
と言っています。

そして実は、
自己情報コントロール権も
法律の軸になっているのではなく、
事業者寄りの規定となっていて
個人よりも事業者保護的な部分もあります。
そのあたりが、「ザル法」とも呼ばれる所以
の一つにもなっているのですが、
そこにもこの法律の趣旨が垣間見れます。

いずれにしても、
個人情報保護法は、

事業者に対して、
個人情報の取り扱いを通して、
「お客様の信頼に応える」

ことを求めている法律なのですよね。

 

 

JUGEMテーマ:個人情報保護

そもそも、個人情報保護って何?

改正個人情報保護法への対応を急がねば
というところですが、

そもそも、
個人情報保護は何のためでしょうか。

さらに、
そもそもなぜ個人情報保護法が制定され、
なぜ改正された
のでしょうか。

私は弁護士や法律家ではありませんので、
厳密な定義ではなく、
現実的な「解釈」ですが、
法律というものは、
国が、国民や事業者等が豊かになるために、
何かをしてほしいから、
あるいは、何かをしてほしくないから、
制定していると考えています。

では、個人情報保護法は?

これは事業者が対応する上で
とても大事なところです。

要は、この法律の趣旨は何か。

法律の趣旨を理解するためには、
まず、第1条に書かれている
「目的」を読むことから始まります。

そして、基本理念
さらに、制定背景、改定背景
知ることで趣旨が明らかになってきます。

ということで、
それらを理解せずに
義務規定の条文だけ読もうとするから
よくわからない、
という人が多いのが現実だと
ずっと感じているところです。

今回の改正を期に、
そこから入ってみましょう。
そしたら、
そのあとは加速的に対応方法が
見えてきます。

 

 

JUGEMテーマ:個人情報保護

「公表」等をしておく情報

個人情報保護方針やプライバシーポリシー
ページで「公表」または、
「本人の容易に知り得る状態におく情報」
についてですが、どんなものがあるのか。

今回の法改正によって、その対象が増えました。
でも、自社の事業がそれに該当するかどうか、
その確認が必要ですね。

個人情報保護方針やプライバシーポリシーに
記載しておく情報、まずは、利用目的です。

これは、法改正前からありました。
定常的に同じ利用目的で個人情報を直接取得
されている事業者さんには、記載をお勧め
していました。

また、
利用目的が変更可能な範囲で変更した場合
公表で対応可能です。
ただ、この変更可能な範囲というのが
かなりグレーな感じなので、現実的には、
この規定を適用する機会は少ないかと思います。

そして、
保有個人データに対する開示等の対応方法や、
各種情報。こちらも以前から対応されている
事業者は多いかと思います。
大きくは変わっていませんが、法条文は少し
変更されていますので、確認しておきましょう。

あとは、
共同利用をする場合、
これも以前から義務がありました。

そして、今回の法改正で、
オプトアウト方式で第三者提供をする事業者
対する義務が強化されています。
同時に、本人の容易に知り得る状態におく情報
も追加されていますので、確認が必要です。
また、匿名加工情報を取り扱う場合にも
「公表」の対応をすることになります。

これらの2つについては、
多くの事業者が対象となるという感じではない
と思いますが、可能性がある事業者は、
実質、個人情報保護方針ページを必ず修正・更新
することになりますね。

 

 

JUGEMテーマ:個人情報保護

公表または本人の容易に知り得る状態におく場所

個人情報保護法では、
事業者が、通知または公表
あるいは本人の容易に知り得る状態に
おかなければならない

という事項が定められています。

これらは、
自社のWebサイト(ホームページ)に
掲載することで対応が可能です。

本人に通知することが容易にできる場合は、
それでよいと思いますが、
漏れなどの可能性を低減するためにも、
Webサイトの活用を検討することが現実的か
と思います。

個人情報保護委員会のガイドラインによると、
公表は、
「自社のホームページのトップページから
 1回程度の操作で到達できる場所への掲載」
本人の容易に知り得る状態は、
「ホームページのトップページから1回程度の
 操作で到達できる場所に法に定められた事項を
 分かりやすく継続的に掲載」

と書かれています。

多くの皆さんのトップページには
個人情報保護方針やプライバシーポリシーへの
リンク
があると思います。

これらは、そこに掲載することが自然であり、
適切であると言えます。

ということで、
現実的には、
個人情報保護方針やプライバシーポリシー
ページに、公表や
本人の容易に知り得る状態におくべき情報を
記載しておく、

という対応をすることになります。

 

 

JUGEMテーマ:個人情報保護

個人情報保護方針ページの重要性

個人情報保護方針、プライバシーポリシーの公表は、
個人情報保護法では、政府の基本方針で求められていますが
個人情報取扱事業者の義務ではありません。

しかし、今や、個人情報を取り扱う事業者のWebサイト
(ホームページ)には、必ずあるという印象が誰しもある
と思います。

プライバシーマーク取得企業でなくても、
2005年の法全面施行時ごろから、
多くの事業者で整備されてきました。

ただ、多くの事業者が、
どこかからのコピペですませている感覚が否めません。
その意味でも、自分の情報を預ける側の個人としても、
そのページをあまり重視しない状況があろうかと思います。

逆に、このページを重視し、適宜更新している事業者も
あります。

少なくとも、少し前の話になりますが、
JIS Q 15001 が、1999 から 2006 に変わったとき、
いくつかポイントがあったのですが、
それを反映した事業者と、そうでない事業者がありました。

私、個人的には、2006年ごろから、
新しく取引をさせていただく企業や、
研修やコンサルティング等のサポートを
させていただく企業様については、
必ず、このページを見ます。
もう10年を超えますが、
大きな傾向があることがわかっています。

このページが、
しっかり作ってあったり、更新をしている企業は
個人情報保護に関する取り組みがしっかりしている。

もちろん、しっかりしているけど、
このページはズサンという企業もありましたが。

個人情報保護についてしっかり取り組んでいる企業は
個人情報保護方針や、その公表の意義をちゃんと理解
されている
ことが多いということです。

実際、かなりの時間と費用をかけて、
このページをしっかり作りたいというご要望をいただき
他社とはケタ違いの対応をさせていただいたことが
ありました。

個人情報保護方針のページは、
単に基本方針を記載するだけでなく、
本来は、宣言を公表するものであり、
さらに、個人情報保護上の公表義務を包含することも
できるページである
ことから、
要は、自社の個人情報保護の取り組みそのものを
対外的に示すことができる
のです。
ご依頼いただいた企業様は、それをされたかった
ということです。気合いが入りました。

今回、改正法の全面施行で、
事業者によっては、公表すべき項目が増えました。

今、改正法に対応した取り組みを対外的に示せる
チャンス
でもあります。

そんな意味でも、
個人情報保護方針、プライバシーポリシーのページ
の見直しをお勧めします。

 

 

JUGEMテーマ:個人情報保護

荒尾市職員の懲戒免職処分に学ぶ

昨日(6月13日)、熊本県荒尾市の市職員を、
ストーカー行為で懲戒免職処分したニュースが
流れました。

NHKの報道によると、
市役所の住民情報システムを不正に使って
同じ課の女性職員の住所などの個人情報を入手し、
外出先でつきまとうなどのストーカー行為
していたということです。

女性職員の髪を触ったり
乗用車にGPSの機器を取り付けたりしていた
ということで、女性職員が上司に相談して発覚、
当職員は謝罪したが、その後の市の調査で、
市の職員の男女48人分の住所などの個人情報を
まとめたリストなどが業務用のパソコンから
見つかった
とのこと。

荒尾市の浅田敏彦市長は、
公務員の信用を失墜させる行為
市民の皆様に深くおわびします。
同様のことが二度と無いよう、
職員の教育や研修を強化します」
と謝罪した、とのことですが、

まずは、
「同様のこと」とは
何を指しているのか。

ストーカー行為か、
住民情報システムの不正利用か、
髪を触ったりGPSをつけるような行為か、
あるいは、
公務員の信用を失墜させる行為か。
それとも、それら全部?

どれもあってはならないことですが、
同様のことを無くすために行う教育や研修とは
どんなの?

「教育」そのものを甘く見ているのか
軽んじているのか、これだけでは
本気度が見えません。

総務省は今年1月に全国の市区町村に対して
通知を出すなどして、個人情報の不正閲覧の
防止等について徹底を図るよう求めていた、
とのこと。

ちゃんとやっていたのだろうか、
やったとして、どんなことをやったのだろうか。
回覧やメール一本くらいで済ませていたのでは
と思ったりします。

そもそも、
懲戒免職は、何に対してか?
ありえない行為なので、その処分は適当だと
思いますが、合わせ技一本なのか。

住民情報システムの不正利用に対しては、
罰則はないのだろうか。

荒尾市のWebサイトで
個人情報保護条例を探してみました。
「個人情報保護制度」として、
説明が書かれていました。

「この条例では、市が保有する個人情報について、
適正に取り扱い、保護するためのルールを定める
とともに、自己情報の開示、訂正および利用停止
を求める権利を、その本人に保障し、市民の皆さん
と市政との信頼関係を強めていくことを目指して
います。」

罰則:
「職員または委託を受けた者(再委託を受けた者を
含む。)が個人情報の不正な提供や収集を行ったとき
は、最高2年以下の懲役または100万円以下の罰金が
課せられます。 」

罰則は定められているようです。
しかし、個人情報の不正な提供や収集のみ?
利用は???

同じ市職員の情報とはいえ、
業務目的で閲覧する可能性はありそうだから
ここでいう不正な収集や取得にはあたらないと
思われます。

業務用PCとはいえ、説明ができない48名分のリスト
が保存されていたとのことなので、これは不正な
収集(取得)ではなく、個人的な不正な「入手」
として、別に罰則対象にすべきではないかと。

あわせて、それを利用して迷惑行為をした
わけですが、迷惑行為の前に、利用した時点で
罰則対象にすべきではないかと思います。

目的外どころか、業務外利用なので、
そこで縛りをつけておくべきでしょう。

これらが、条例でどうなっているのか、
荒尾市個人情報保護条例と、
荒尾市個人情報保護条例施行規則が制定
されているようなので、
それらの条文を見ようと荒尾市Webサイトで
項目をクリックすると、
「ログイン情報が失われました。
ログインし直してください。(ErrNo=926)」
と表示され、読めず。。

直接検索したらPDFがヒットしました。
おぉ、罰則ありました。

市役所職員が「実施機関」の職員である
という前提ですが
「第53条 業務に関して知り得た保有個人情報を
自己若しくは第三者の不正な利益を図る目的
提供し、又は盗用したとき、
1年以下の懲役又は50万円以下の罰金」

「第54条 実施機関の職員がその職権を濫用して
専らその職務の用以外の用に供する目的
個人の秘密に属する事項が記録された文書、
図画、写真又は電磁的記録を収集したときは、
1年以下の懲役又は50万円以下の罰金」

でも、懲戒免職処分にしたら、
これらには該当しない??

いずれにしても、
この事件からの学びとして、
一般事業者でも「同様のこと」が
起こる可能性があります。

お互い信頼しあった作成している
従業者名簿は別としても、
少なくとも顧客名簿は、
業務目的外の閲覧自体も禁止事項とし、
厳重注意等の処分の可能性と、
その情報を利用した時点で、
懲戒免職となりうることを規定し、
それらの伝達を含めて、
顧客の信頼を維持することの重要性を
しっかり「教育」することが重要
ですね。

 

 

 

JUGEMテーマ:個人情報保護

上場企業も「何もしていない」というデマ

昨日(2017.6.12)こんなデマが流れました。
『深刻、上場企業も「何もしていない」
改正個人情報保護法に未対応97.8%』

J-CASTニュースが取り上げたトピックで、
Yahoo!JAPAN ニュースでも掲載されましたので、
ご覧になられた方もおられるかと思います。
https://www.j-cast.com/2017/06/12300190.html

『改正個人情報保護法が2017年5月30日に全面施行されたが、
東証一部上場企業のほとんどが改正法に対応していない実態が
明らかになった。』

なんか、腑に落ちないなと思いながら
読み進めたら、
上場企業にアンケートしたのではなく、
Webのプライバシーポリシーをチェック

したとのこと。

つまり、『上場企業が、何もしていない』
というのはウソです。

Webサイトでの発表か
プレスリリース等にもとづいて書かれているのだと
思いますが、ニュースではなく、
あえてデマと言わせていただきます。

こんな表題で人の気を引こうとしていることに
とても腹立たしく思いました。

「プライバシーポリシー実態調査」を行ったとされる
牧野総合法律事務所さんのサイトへ行くと、

『「上場企業プライバシーポリシー実態調査結果」の公表』
と題して、
『東証一部上場企業の改正個人情報保護法対応は2.2%
97.8%が対応不十分』
と書いてあります。

若干誤解を生みそうな表現ではありますが、
わかっている人が読むと、
プライバシーポリシーの対応が不十分で、
そこから、改正法対応も不十分であろうと推測される
と読めます。
それは正しい。まっとうです。


J-CASTさんの記者がよくわかっていないのか、
あるいは、ニュースが目につきやすいように
あえて煽るような表現にしたのか。

法施行時に起こった過剰反応も
こういうところから起きたものです。

まぁ今回の記事は、
全面施行後の今、
上場企業ですら対応状況が悪くてヤバし!
と警告して煽ってくれているととれば、
よいことなのかも知れませんが、
逆に、他の企業もやってないなら、
うちもまだいいか、とならないとも限りません。

いずれにしても、
ウソから煽ることは良い結果を生みません。

賢明な皆さんは、騙されなかったと思いますが
やはり、今回、新たに多くの企業や団体が対象に
なっているので、なおさら、こういう報道の仕方は
ぜひやめてほしいのと思うばかりで、
読む側もしっかり読みこみましょう、
ともお伝えしたいです。

ちなみに、
牧野総合法律事務所さんの
プライバシーポリシーから対応状況を推測する

という考え方は、とても賛同します。
私も法施行時からその考えをもっていて、
実は、JIS Q 15001が2006に改定された後、
その視点でのサービスを提供しています。

5月30日から、
「個人情報保護方針」無料診断キャンペーン
というのも実施しています。
なぜ、そういうサービスしているのか、
どんなサービスかについては、
ちょっと今日の論旨と異なりますので、
こちらについては別途ご紹介させていただきます。

 

 

JUGEMテーマ:個人情報保護

個人情報の定義の理解の重要性

昨日、履歴書を例に、
「個人情報とは」
という説明を書かせていただきました。

「個人を特定する情報」が個人情報ではない、
ということをご理解いただいていますでしょうか。

では、
その履歴書の氏名欄を墨塗りにしたら、
個人情報ではなくなるでしょうか?

まず、写真が貼ってあれば同じですね。
では、写真も消せば個人情報ではなくなる
のでしょうか?

これは、
たとえば、その人が一人住まいであれば、
住所だけで、誰の情報か推測がつきます。

家族と一緒に住んでいたとしても、
年齢が書いてあれば推測がつきます。

学歴や職歴でも推測がつきます。

大多数の人が推測がつくようであれば、
それは特定の個人を識別することができる
と言えてしまいます。

JR東日本のSuicaデータの利用が問題と
なった点の一つはそこです。

氏名を削除し、生年月日の日を削除した
と言っても、たとえば、
ある駅を毎日利用する明治40年生まれの人
といえば、近隣の人なら、あの人ねとすぐ
わかるでしょう。

それやこれやで、
今回、法改正で「匿名加工情報」が定義され、
加工方法や、してはいけないこと
が定められました。

個人情報を腫れ物扱いしていると、
ビッグデータの時代、有効活用ができません。

さりとて、個人情報を正しく理解し、
「本人」に配慮をしなければ
バッシングにあうことにもなりかねません。

やはりまずは、
個人情報保護法の趣旨とともに、
個人情報の定義を
しっかり理解し把握しておくことが重要です。

 

 

JUGEMテーマ:個人情報保護

 

 

個人情報の定義の正しい理解

改正個人情報保護法への対応のために、
まず、これを期に「個人情報」の定義
正しく理解する必要があります。

いまさら?
とお考えの人も多いかと思いますが、
これを理解しておかないと、
今回、改正法で新しく定義された
個人識別符号や、匿名加工情報、
さらに要配慮個人情報の定義もあいまいになり

それらに対する義務が正しく理解できず、
間違えた対応となる可能性もでてきます。

早速ですが質問です。
「特定のある人の趣味は個人情報でしょうか?」

私の講義やセミナーを受講していただいた皆様は
自信をもってお答えいただけると思いますが、

答えは、もちろん
趣味も個人情報です。
趣味そのものが個人情報というよりも、
その人の趣味が記載された紙などが
個人情報と考えた方がわかりやすいかもですね。

ん?
と思われた方は特に
このあと注意深くお読みください。

「個人情報」とは、生存する個人に関する情報です。
その当該情報に含まれる氏名、生年月日その他の記述等により
特定の個人を識別することができるものです。

たとえば、
ある人の履歴書を考えてください。
とりあえず紙の方がイメージしやすいでしょう。

生存する人の履歴書であれば、
個人情報にあたりそうです。

ここで、
「当該情報」とは、履歴書のことです。

履歴書に含まれる「氏名、生年月日その他の記述等」
一般的に履歴書には、氏名、生年月日が書いてありますね。
住所や電話番号、メールアドレスなども書いてあります。

それらの記載によって
「特定の個人を識別すること」ができます。

なので、履歴書の中身は、個人情報なのです。

特定の個人を識別することができる情報が
個人情報ではありません。

履歴書の中身には、
学歴や職歴、
さらに、特技や趣味が書いてあることもあります。
当然それらも、個人情報です。

履歴書の中の、
氏名、生年月日、住所、電話番号だけが
個人情報だということではありません。

病歴が書いてあった場合、
それは、要配慮個人情報にもなりえます。

「特定の個人を識別することができる」
というのは、
「誰の情報かがわかる」
という意味です。

誰のものか、わかるための情報が
個人情報ではなく、
誰のものか、わかる情報は、
すべて個人情報なのです。

 

 

JUGEMテーマ:個人情報保護

<<back|<123>|next>>
pagetop