September 2019  |  01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

先ず「個人情報の定義」より始めよ!

個人情報保護を語る上で
もっとも大事な用語である「個人情報」

あまりに誤解の多い用語でもあります。

ここは、弁護士さんであっても
間違えている人がおられます。

立派な書籍を書かれている人でも
間違えていることもあります。

そして、
今、改正個人情報保護法に関する書籍を
執筆しているのですが、
そのためにいろいろ情報収集する中で、
とんでもないことに行き当たりました。。

恐ろしいと思う感覚とともに、
だんだん腹立たしく思ってきました。

何が問題?

個人情報の定義です。

昨日も書きましたように、
個人情報は、
『個人を特定するための情報』
ではありません。

個人識別性は、
その情報が個人情報である条件の一つなだけです。
誤解している人は、
その条件そのものを個人情報だと勘違いしている
のです。

たとえば、
弁護士とは、弁護士名簿に登録されている者であって、
弁護士となる資格を得るために司法試験に合格した者である。

という文章があったときに、
司法試験の合格は条件の一つであって、
司法試験に合格した人を弁護士と呼ぶわけではない、

何かちょっと違うような気もしますが、
まぁざっくりそんな感じで、
ずれているのです。

別の例ではなく、
直接「個人情報」で例を考えてみます。

 

 

 

JUGEMテーマ:個人情報保護

「個人情報の定義」を正しく理解しているか?

改正個人情報保護法に対応するための注意点
に戻ります。
またか、とお思いの方のおられるかと思いますが、
今回は特に超重要なことを書きます。

「正しく理解していない人の話を聞いてはいけない」
ということです。

あたり前のことですが、 実は少なからずいるのです。

私も講演やセミナー、企業研修などを実施させていただいて
おりますが、だから他者つぶしのために言いたい、
ということではありません。

一人でも多くのそれらをされている人たちに、
正しい理解をしていただかねば、と感じているところです。
外部で話を聞いてきて、
社内に展開される社内講師やご担当者さんなども、
もちろん対象です。では、正しく理解している人かどうか、
どうすればわかるのか?

これはなかなか難しいところではありますが、
「正しく理解をしているかどうか」は、
実は、冒頭で見分けられる可能性があります。

それは、
「個人情報の定義」です。

特に今回、法改正によって
個人情報の定義が明確化されたことは
ご存じの方も多いと思います。

しかも今回、
個人情報にはあたらないながら、
「匿名加工情報」
という用語が定義され、

それに対する義務が規定されました。

これを理解するためにも、
「個人情報」の定義が重要となります。

個人情報保護法が全面施行されてから
12年が経ちます。
しかし、
個人情報保護はいまだに正しく理解されず
迷走しているように思います。
施行当時は、過剰反応も多数起こりました。

これらの根源は、
10年を超えて個人情報保護教育に携わってきて
「個人情報とは」の定義が正しく理解されていない
からだと感じていいます。

そして、今回、法改正を期に、あらためて
「個人情報とは」
が、正しく浸透してほしいなぁと思っています。

そんな中、
改正個人情報保護法の説明やセミナーを
実施している人の中には、
改正前からの「個人情報」の定義を
間違えたまま、法改正の話をしている人が
おられます。

正しく理解していても、
その説明が誤解を招く表現になっていることが
とても多いように思います。

これは忌々しき状態だと思います。

今回から小規模事業者も対象となりました。
今回、個人情報保護法を
今回はじめてちゃんと学ぼうとされる人たちも
多数おられます。

そのような人たちに
「ウソ」を教えて欲しくない!

このブログをご覧いただいている皆さんは、
ご自身は正しく理解されている方が多い
と思いますが、
ぜひこのウソが広まることに
一緒にブレーキをかけて欲しい。
そんな思いでもあります。

まだご自身に自信がない方は、
今あらためてご理解いただければと思います。


「個人情報」は、
「特定の個人を識別するための情報」
ではありません!!!

個人を特定する情報でもありません。

個人情報は、
「生存する個人に関する情報」
です。

それに、
誰の情報かわかる(個人識別性)
という条件がついていて、
それが、
「特定の個人を識別することができる情報」
という言葉になっています。


個人情報は、
「特定の個人を識別することができる情報」
と説明している人の話は、
その本質を理解しているかどうか、

しっかり確認してから聞きましょう。

今回、新しく定義された
個人識別符号や匿名加工情報、
さらに、要配慮個人情報など、
重要なキーワードの定義が
根底から崩れてしまう
ので
それらに対する義務等を理解しても、
意味が半減してしまい、
正しく対応できなくなる可能性が
高くなります。

皆様は大丈夫でしょうか?

 

 

 

JUGEMテーマ:個人情報保護

改正法に対応し、すぐに取り組みはじめるべき項目

改正個人情報保護法の対応について
すべての事業者がすぐに取り組みはじめるべき項目
あげてみます。

(1)社内規程の見直し
(2)取り扱っている個人情報の洗い出し
(3)個人情報の管理状況の確認
(4)個人情報保護方針の見直し
(5)従業者教育の根本的見直し
(6)従業者の個人情報の取り扱い状況の確認
(7)情報セキュリティ状況の確認
(8)経営者を含む全従業者の意識改革
(9)従業者への丁寧な対応

結構大変ですね。


でも、今大変でも、
これらをしっかり対応するとあとで楽になる
というより、今しっかり対応しておかないと
あとでもっと大変なことになる、
といった感じでしょうか。

このあと一つひとつ書いていきたいと思います。

 

 

JUGEMテーマ:個人情報保護

改正法に至急対応すべき事業者と内容

改正個人情報保護法の対応をするにあたり
注意すべきことを書いていますが、

いやもう全面施行されて1週間を超えたし、
早く対応をしたい!
とお思いの皆さんも少なくないと思います。

はい、
できるだけ早く対応を始めていただきたいと
考えております。
でも、間違えた対応をしないように、
注意点を書かせていただいています。。

と、その間をとる感じで!?
今回は、
至急対応が必要なのは、どんな事業者か
を書きます。

今回の改正で、
実質、すべての事業者が
対象となりましたので
もちろんすべての事業者が
至急対応すべきですが、
特に新しく加わった概念の
義務の対象となる事業者は、
早めに準備を進めた方が
よいと思います。

具体的には、
・要配慮個人情報
・匿名加工情報

が、新しく定義され、
・第三者提供
について、義務が強化されています。

そこで、
(1)要配慮個人情報を取扱う事業者
(2)第三者提供をしている事業者
(3)匿名加工情報を取扱う事業者

は、すぐに対応を始めるべきですね。

(1)要配慮個人情報とは、
センシティブ情報、機微な情報として、
プライバシーマーク認定を取得している企業は
すでに対応されていると思いますが、
顧客のそれらの情報を取扱っている事業者は、
至急対応すべき対象です。

さらに、取扱っていないという事業者も
自社の社員のそれらの情報を取り扱っている
はずです。
健康診断結果や、病歴などがそれにあたります。
だとすると、実質すべての事業者が対象ですね

まず、要配慮個人情報に関する対応については、
「現状把握」が至急課題です。
どのような要配慮個人情報を取扱っているかを
洗い出し、リストアップすること。
そして、同意を得ないで取得していないか、
第三者提供していないか、

を確認してください。

(2)第三者提供をしている事業者は、
その旨を公表し、記録の作成・保存
が必要となりました。
さらに、
オプトアプト方式を用いている場合は、
個人情報保護委員会へ届け出する
ことに
なっています。

(3)匿名加工情報については、
ビッグデータだけでなく、
自社で統計情報を取扱っている場合、
それが、
自社が作成する場合と
他者が作成した情報を取り扱う場合ともに
対応が必要です。

まずはこれらに該当するかどうかを確認し
至急対応しなければならないことを
意識されてください。

 

 

JUGEMテーマ:個人情報保護

 

注意点《2》 「2つの解釈を混同しない」

改正個人情報保護法に対応する際の注意点。
じわじわと書いている感じですが、
結構大事だと思っていますので、
ぜひ面倒くさがらずに
お読みいただければ幸いです。

2つ目の注意点は、
∨[疆の解釈と8充妥な解釈を混同しない、
ということです。

 

 

あわせて、誰の解釈を信じるか
ということにもなります。

まず大事なことは、
まだ自分が法令等の規定を
ちゃんと理解していない状態で、

∨[疆の解釈 と、
8充妥な解釈 を
混同している説明は、読まない、
聞かない方がよいということ
です。

8充妥な解釈とは、
法令等で求められていることを
社内規程等に反映させるために、
自社ではどうするか
ということを決めるための法律の解釈
ということです。

こちらは別途また詳しく書きますが、
極論、
「法律がどうであれ、自社ではこうする」

という決める内容も出てきます。

少なくとも、
8充妥な解釈は、
一般的には、法律に違反しないよう、
広めの解釈をすることになります。

それに対し、
∨[疆の解釈は、
法令等で求められていることを
正確に理解するためのもの
なので、
目的が違うわけです。

∨[疆の解釈は、正確な理解が目的なので、
そこにプロでない人の個人的な解釈が
入ってはいけないのです。

プロとは誰か?

法の背景や行間を知っていて、
法で求められていることを
論理的に理解している人です。

一般的には、弁護士さんが
それにあたりますが、
現時点でいうと、
まだすべての弁護士さんが
正確な理解をしているわけでは
ないようにも思います。

また、法の解釈の違いを論点に
議論する仕事でもありますから、
その人の解釈が必ずいつも正確で
あるとも限りません。

実は、2003年の法施行時に、
ここに苦労しました。

あとで考えると、
解釈を間違えていた弁護士さんも
少なからずいて、
いろんな弁護士さんの話を
あちこちで聞いていると、
つじつまが合わなくなってきたのです。

そんなだから、
過剰反応が多数起こったのだとも思います。
さらに10年たっても、個人情報保護法を
正しく理解している人が少ない。
もちろんそれらすべてを弁護士さんのせいに
したいわけではありませんが、
でも、それが現状です。

このときの教訓として、
信頼できる弁護士さんをしっかり見定めて
浮気せず一途になることも大事なこと
だと感じました。

そして、
自分がちゃんと正しく理解したあとでは、
たとえ弁護士さんが書かれているものであっても、
間違いは間違いであるとわかるようになりました。

早く自分が法令等の正確な理解をすることが
やっぱり理想ですね。

自社のためだけでなく、
人に教えたり、伝えたり、
コンサルティング等を行う人は
それが必須ですね。

注意点《2》は、
)[疆の解釈と、
社内規程に反映させるための
現実的な解釈を
混同しないこと、
混同して説明しているサイトや書籍を
参考にしないこと、

です。

 

 

 

 

JUGEMテーマ:個人情報保護

注意点《1》 「その内容が書かれた時期」

少し概念的な話を続けましたので、
お伝えしたかった趣旨やご注意いただきたいことを
具体的にまとめていきますね。

まず、
改正個人情報保護法は、
その条文や政令、委員会規則は、
その全文が公表されているので、
誰でもそれを読むことができます。

ただ、事業者にとっては、
それだけでは具体的な対応がしにくいため、
法の「解釈」が書かれた公式な文書である
ガイドラインやQ&Aが公表されています。

それらの文書は、
その最新版が個人情報保護委員会のWebサイトから、
ダウンロードできますので、間違いの余地はなく
もちろん信用してよいものであることは、
皆さんご存じのとおりですね。

ここで注意することがあるとすれば、
以前にダウンロードしてあったものは、
更新されているかもしれないので、
最新のものをダウンロードしましょう、
ということですね。

ちなみにガイドラインについては、
これまで多くの事業者のよりどころであった
経済産業分野のガイドラインは廃止され、
個人情報保護委員会のガイドラインに移行しています。

次に、
これらの文書を全部読むのは大変であったり、
わかりにくいということで、
委員会から公表されている以外の、
弁護士さんや一般の人が書いた
Webサイトや書籍を参考にすることもあるでしょう。

その際に、
まず注意《1》として、
執筆時期に特に注意してください、
ということです。
古いものは、今では間違いであることが
書かれている場合があるということです。

一つの目安として、
政令と委員会規則が公布されたのが、
2016年10月5日です。
これ以前のものは、
原則参考にしない方がよい
と思います。

たとえば、
東京弁護士会から、
主に弁護士向けに「LIBRA」という月刊雑誌が
発行されています。その、2016年5月号で
「個人情報保護法改正・マイナンバー」
と題して、巻頭特集が組まれていました。

その前年9月に公布された改正法と、
その後の国会答弁等を参考に書かれていて、
個人情報保護法制に精通している弁護士が
解説しているので、実務において参考にせよ、
と書かれていますが、
実際、とてもわかりやすくまとめられており、
当時は私もとても参考になりました。

しかし、法改正概要の説明の中に、
「個人情報データベース等の定義において、
政令で除外されるものとして、電話帳、カーナビ、
同窓会名簿、自治会名簿等が予定されている。
そうすると、・・自治会名簿だけ取り扱う自治会
は、・・・個人情報取扱事業者に該当しないと
考えられる。」
と記載されています。

ところが、
その「予定」が変わりました。
電話帳、カーナビは除外項目とされましたが、
同窓会名簿、自治会名簿は除外されませんでした。

逆に、今、
個人情報保護委員会の中小企業サポートページの冒頭には、
「事業者には営利・非営利を問わず、個人情報を
データベース化して事業活動に利用していれば
該当します。
このため、企業だけでなく、個人事業主・NPO法人・
自治会・同窓会等も該当し得ます。」
と、注意が書かれています。

議論の末、除外対象から除外されたので、
より明確に記載されたのではないかと思います。

このように、
国会答弁や委員会議事録など、
詳細にウォッチされたいた方ほど、
状況をよくご存じで、
そしてそれを少しでも早く多くの人に伝えよう
と尽力された方ほど、
今では裏目にでてしまっているという
皮肉な結果になってしまっています。

どれだけすごい人が書いたものであっても、
すべての公式な文書が公布、公表される前のものは、
参考にするのは危険ということです。

あと、
委員会のガイドラインが公表されたのは、
2016年11月30日です。
これで事業者の対応方法がやっとわかる
という項目もあります。
さらに、そのQ&Aが公表されたのは、
2017年2月16日です。
細かく言うと、ここでやっとはっきりした
という項目もあります。
これらが「時期」確認のヒントになりますね。


注意点《1》は「その内容が書かれた時期」です。
委員会規則等の公式文書は最新のものか確認すること
参考にする書籍やWebサイトは執筆時期を確認すること
「その内容の書かれた時期」に注意しましょう
ということです。
ご参考まで。

 

 

JUGEMテーマ:個人情報保護

法律の「解釈」の注意点と重要性

改正個人情報保護法が全面施行された今、
実質すべての事業者が
自社の個人情報保護規程
変更し対応しなければなりません。

これまで、どこかから入手した規程や、
プライバシーマークを取得している企業では、
その取得サポートを行うコンサル企業からもらった
規程のテンプレートを少し修正しているだけのものを
お使いの企業も少なくないかと思います。

それらの企業も、今回を期に、
自社の事業の様態、内容、そして、
個人情報の取扱い状況等にあわせて、
しっかり見直すことをお勧めします

ではそれは、何をもとにすればよいか?

法律条文や関連法令文書とともに、
さまざまな資料をもとに作成することになるかと
思いますが、ここで注意が必要です。

まず大前提として、
社内規程は、法律そのものを焼き替えても
意味がないことは言うまでもありませんが、

 

その間に、「解釈」が入ります。

 

そして、その解釈は、2階層あります。
一つは、
法律の解釈
もう一つは、
自社の社内規程に反映させるための解釈です。

 

この法解釈にも2種類あって、
一つは、
個人情報保護委員会から出されているガイドラインやQ&A、
もう一つは、
学者さんや弁護士さん、
あるいは一般各社や一般の人が出している見解です。

この二つは大きく性格が異なりますので、
整理のために、
個人情報保護委員会のガイドライン等の公式文書は、
法律条文とあわせて、法令等の規定とします。

 

その上で、
)[疆の規定∨[疆の解釈
しっかり区別することがとても重要であるとともに、
∨[疆の解釈を参考に、
8充妥な解釈を作り、
それをぜ卞盖程に反映させる
という作業が必要となってきます。

要は、
‐鯤犬筌イドライン等だけでは、
ぜ卞盖程は作りにくい。
そこで、
他の人たちの ↓「解釈」が
大きなヒントになるけど、
そこの判断を間違えば、

おかしな社内規程を作ってしまうことになる
ということです。

この「解釈」についてはとても大事なので、
別途、書いていきます。

 

 

 

JUGEMテーマ:個人情報保護

 

何を拠りどころに対応すればよいのか?

5/30から、実質すべての事業者が

改正個人情報保護法に対応しなければならなくなりました。

 

では、何を拠りどころに対応すればよいのでしょうか。

 

これを間違えると、

意味がなくなったり、時間の無駄になりかねません。

 

まずはなんといっても、

個人情報保護委員会が公表している文書ですね。

http://www.ppc.go.jp/personalinfo/

 

法律、施行規則、施行令、ガイドライン、Q&A等とともに、
中小企業向けの文書も用意されています。

 

各文書は、

当初の公表以降に、全面施行に向け、

更新されているものも少なくありませんので、

早くからダウンロードして準備されていた皆さんは、

あらためて更新されていないか確認が必要です。

 

たとえば、

個人情報保護法ガイドライン(通則編)は、

平成28年11月に公表されましたが、

平成29年3月に一部改正されています。

Q&Aも平成29年2月に公表されたあと、

全面施行された5月30日に更新されています。

 

これらの文書は一般事業者の、

特に今回から対象になった事業者には、

熟読して理解するのは、

かなりなハードルの高さかと思います。

 

だからと言って、

一般のWebページや書籍にたよるには、

危険がともなうことに注意が必要です。

 

少なくとも、

まずはそれらが書かれた時期がいつか

ということでたよってはいけないものの

判断ができます。

 

政令や施行規則が発表される以前のものは、

今では、はっきり言って意味がないです。

 

法改正の趣旨や概要はわかっても、

「で?」

というところです。


「政令で定められることになっています」

ということがわかっても、

実際、何をすればよいのかまではわからないので、

今では意味がないということです。

 

では、

最近に書かれたWebページは信頼できるのかというと、

残念ながらそうでもありません。

 

法で規定されていることに、

「解釈」が入っていることがある

ということです。

 

解釈はとても大事ですが、

そこにも危険性が含まれています。
解釈については、本当に大事なので、

別途こちらで書かせていただこうと思います。

 

ちなみに、

全面施行の日にアップされたページにも

間違いがあるものがありました。

 

何を信じればいいの?
これらについても、

とても大事なので

こちらであらためて書いていきたいと思います。

 

 

JUGEMテーマ:個人情報保護

プライバシーマーク付与を受けた事業者もすぐに改正法対応が必要です。

JIS Q 15001は、まだ改正されておらず、

プライバシーマークの認定基準も

まだまだ先になりそうなので、

対応はまだ先でよい

と考えられている企業もおられるようですが、

 

要求事項として

「法令遵守」が盛り込まれていますので、

実質的には、

改正個人情報保護法 全面施行と同時に

それらにあわせた対応が

求められていることになります。

 

プライバシーマーク付与を受けた事業者

の皆さんも、

Pマークのガイドラインの改訂を待っているのではなく、

改正個人情報保護法を

しっかりお勉強していただくことが好ましいですね。

 

JUGEMテーマ:個人情報保護

改正個人情報保護法にしっかり対応する事業者を増やすために頑張ります!

5/30 改正個人情報保護法が全面施行されました。

 

改正内容とともに、

結局、事業者は何をどう対応すればよいのかが、

とても見えにくく、

これは、教育事業者やコンサルティング事業者などの

情報・サービス提供側もかなり大変だと思います。

 

真面目であればあるほど慎重にならざるを得ない状況

のように思います。

 

いまいち早く情報提供されている事業者の中には、

「わかっていない」と思われるものも少なくないです。

 

前回のように過剰反応を起こさないためにも、

また、せっかく法改正されたのに、

ほったらかしにならないためにも、

しっかりと正しい情報提供をし、

共有していきたいと考えています。

 

よろしくお願いいたします。

 

JUGEMテーマ:個人情報保護

<<back|<123
pagetop