個人情報について Vol.08

今回は「公表」についてです。

個人情報の保護に関する法律　第１８条第１項

個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

*****************************************
その他、法第１８条第３項・第４項第１号～第３号等に記述がある。

「公表」とは、広く一般に自己の意思を知らせること（国民一般その他不特定多数の人々が知ることができるように発表すること）をいう。ただし、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない。
特に雇用管理情報は、機微に触れる情報を含むため、事業者は、自らの置かれた状況に応じ、労働者等に内容が確実に伝わる媒体を選択する等の配慮を行うものとする。

【公表に該当する事例】

事例１）自社のウェブ画面中のトップページから１回程度の操作で到達できる場所への掲載、自社の店舗・事務所内におけるポスター等の掲示、パンフレット等の備置き・配布等
事例２）店舗販売においては、店舗の見やすい場所への掲示によること。
事例３）通信販売においては、通信販売用のパンフレット等への記載によること。

個人情報について Vol.07

今回は「本人」関連についてです。

個人情報の保護に関する法律施行

個人情報の保護に関する法律　第２条第６項関連
法第２条第６項

この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

法第１８条第１項

個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

*****************************************
その他、法第１８条第３項・第４項第１号～第３号等に記述がある。
「本人に通知」とは、本人に直接知らしめることをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。

【本人への通知に該当する事例】

事例１）面談においては、口頭又はちらし等の文書を渡すこと。
事例２）電話においては、口頭又は自動応答装置等で知らせること。
事例３）隔地者間においては、電子メール、ファックス等により送信すること、又は文書を郵便等で送付すること。
事例４）電話勧誘販売において、勧誘の電話において口頭の方法によること。
事例５）電子商取引において、取引の確認を行うための自動応答の電子メールに記載して送信すること。

個人情報について Vol.06

今回は「個人情報取扱事業者」についてです。




個人情報の保護に関する法律　第２条第３項

この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
１国の機関
２地方公共団体
３独立行政法人等（独立行政法人等の保有する個人情報の保護に関する法律（平成１５年法律第５９号）第２条第１項に規定する独立行政法人等をいう。以下同じ。）
４地方独立行政法人（地方独立行政法人法（平成１５年法律第１１８号）第２条第１項に規定する地方独立行政法人をいう。以下同じ。）
５その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者

個人情報の保護に関する法律施行令　第２条

法第２条第３項第５号の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数（当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等であって、次の各号のいずれかに該当するものを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。）の合計が過去６月以内のいずれの日においても５０００を超えない者とする。
１個人情報として次に掲げるもののみが含まれるもの

イ氏名
ロ住所又は居所（地図上又は電子計算機の映像面上において住所又は居所の所在の場所を示す表示を含む。）
ハ電話番号

２不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができるもの又はできたもの

*****************************************
「個人情報取扱事業者」とは、国の機関、地方公共団体、独立行政法人等の保有する個人情報の保護に関する法律（平成１５年法律第５９号）で定める独立行政法人等、地方独立行政法人法（平成１５年法律第１１８号）で定める地方独立行政法人並びにその取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者を除いた、個人情報データベース等を事業の用に供している者をいう。
ここでいう「取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者」とは、政令第２条では、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去６か月以内のいずれの日においても５０００人を超えない者とする。５０００人を超えるか否かは、当該事業者の管理するすべての個人情報データベース等を構成する個人情報によって識別される特定の個人の数の総和により判断する。ただし、同一個人の重複分は除くものとする。
ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ一般社会通念上事業と認められるものをいい、営利事業のみを対象とするものではない。
法人格のない、権利能力のない社団（任意団体）又は個人であっても個人情報取扱事業者に該当し得る。

※「特定の個人の数」について個人情報データベース等が、以下の要件のすべてに該当する場合は、その個人情報データベース等を構成する個人情報によって識別される特定の個人の数は、上記の「特定の個人の数」には算入しない。

• 個人情報データベース等の全部又は一部が他人の作成によるものであること。
• 氏名、住所・居所、電話番号のみが掲載された個人情報データベース等（例えば、電話帳やカーナビゲーション）であること、又は、不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができる又はできた個人情報データベース等（例えば、自治体職員録、弁護士会名簿等）であること。
• 事業者自らが、その個人情報データベース等を事業の用に供するに当たり、新たに個人情報を加えることで特定の個人を増やしたり、他の個人情報を付加したりして、個人情報データベース等そのものを編集・加工していないこと。

【特定の個人の数に算入しない事例】

事例１）電話会社から提供された電話帳及び市販の電話帳CD-ROM等に掲載されている氏名及び電話番号
事例２）市販のカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名、住所又は居所の所在場所を示すデータ（ナビゲーションシステム等が当初から備えている機能を用いて、運行経路等新たな情報等を記録する場合があったとしても、「特定の個人の数」には算入しないものとする。）
事例３）氏名又は住所から検索できるよう体系的に構成された、市販の住所地図上の氏名及び住所又は居所の所在場所を示す情報

【事業の用に供しないため特定の個人の数に算入しない事例】

事例）倉庫業、データセンター（ハウジング、ホスティング）等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合に、その情報中に含まれる個人情報（ただし、委託元の指示等によって個人情報を含む情報と認識できる場合は算入する。）

【個人情報取扱事業者に該当する事例】

事例）電子媒体及び紙媒体（以下「媒体」という。）の個人情報データベース等を構成する個人情報によって識別される特定の個人の数の総和が５０００人を超えている事業者

個人情報について Vol.05

今回は保有個人データについてです。

情報の保護に関する法律　第２条第５項

この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は１年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。

個人情報の保護に関する法律施行令　第３条

法第２条第５項の政令で定めるものは、次に掲げるものとする。
１当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
２当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
３当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
４当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

個人情報の保護に関する法律施行令　第４条

法第２条第５項の政令で定める期間は、６月とする。

***********************************************************
6か月を超えて利用予定の個人情報は、取得直後でも保有個人データに該当し、保有個人データにに対する義務が発生します。







「保有個人データ」とは、個人情報取扱事業者が、本人又はその代理人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止のすべてに応じることができる権限を有する「個人データ」をいう。

個人情報取扱事業者が個人データを受託処理している場合で、その個人データについて、何ら取決めがなく、自らの判断では本人に開示等をすることができないときは、本人に開示等の権限を有しているのは委託元であって、委託先ではない。

ただし、次の①又は②の場合は、「保有個人データ」ではない。
①その存否が明らかになることにより、公益その他の利益が害されるもの。
②６か月以内に消去する（更新することは除く。）こととなるもの。

「その存否が明らかになることにより、公益その他の利益が害されるもの」とは、
以下の場合を指す。
①その個人データの存否が明らかになることで、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの。

事例）家庭内暴力、児童虐待の被害者の支援団体が、加害者（配偶者又は親権者）及び被害者(配偶者又は子)を本人とする個人データを持っている場合

②その個人データの存否が明らかになることで、違法又は不当な行為を助長し、又は誘発するおそれがあるもの。

事例１）いわゆる総会屋等による不当要求被害を防止するため、事業者が総会屋等を本人とする個人データを持っている場合
事例２）いわゆる不審者、悪質なクレーマー等からの不当要求被害を防止するため、当該行為を繰り返す者を本人とする個人データを保有している場合

③その個人データの存否が明らかになることで、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの。

事例１）製造業者、情報サービス事業者等が、防衛に関連する兵器・設備・機器・ソフトウェア等の設計、開発担当者名が記録された個人データを保有している場合
事例２）要人の訪問先やその警備会社が、当該要人を本人とする行動予定や記録等を保有している場合

④その個人データの存否が明らかになることで、犯罪の予防、鎮圧又は捜査その他の公共の安全
と秩序の維持に支障が及ぶおそれがあるもの。

事例１）警察からの捜査関係事項照会や捜索差押令状の対象となった事業者がその対応の過程で捜査対象者又は被疑者を本人とする個人データを保有している場合
事例２）犯罪収益との関係が疑わしい取引（以下「疑わしい取引」という。）の届出の対象情報

個人情報について Vol.04

監視カメラの映像について

下記は個人情報保護法の目的が消費庁の説明文です。

監視カメラで撮影された映像も、それによって特定の個人が識別できる場合は「個人情報」に該当します。

しかしながら、そのような映像の記録が「個人情報データベース等」に該当するためには、当該映像記録が、録画された特定の個人をコンピュータを使って検索できるように体系的に構成されているか、または録画された個人の映像を一定の規則にしたがって整理することにより個人情報を容易に検索できるように体系的に構成されている必要があります。

監視カメラの映像の記録を、そのような個人情報の検索性を備えた形で保存することは一般的ではないと考えられます。

映像自体が個人情報ですから、それを画像の情報を検索しやすくすれば個人情報データベース等に該当することになります。
取り扱いは気をつけましょう。

個人情報について Vol.03

今回は個人情報データベース等についてです。

 「個人情報データベース等」とは、個人情報を含む情報の集合物のうち、以下の２つを指します。

(1)　コンピュータを用いて特定の個人情報を検索することができるように体系的に構成されたもの（法第２条第２項第１号）
(2)　(1)以外のもので、個人情報を一定の規則に従って整理することで個人情報を容易に検索することができるように体系的に構成され、さらに目次や索引など個人情報の検索を容易にするためのものを有しているもの（個人情報の保護に関する法律施行令第１条）

　すなわち、コンピュータで処理されたデータベースだけでなく、紙に記録されたものであっても、(2)の条件を満たすものは、「個人情報データベース等」に該当します。

整理をしないことや、検索するのが難しい場合(他人が容易にできない)は該当いたしません。
ノートに名前を書いて整理をすると、対象になりますので要注意です。

個人情報について Vol.02

個人情報保護法で保護される個人情報についてです。
「個人情報」を詳細に見てみましょう。

•  「個人に関する情報」（法第２条第１項）とは、氏名、性別、生年月日、職業、家族関係などの事実に係る情報のみではなく、個人の判断・評価に関する情報も含め、個人と関連付けられる全ての情報を意味します。
• 個人の氏名等を含んだリストがあり、その１項目としてメールアドレスが含まれている場合、リストは全体として、また、メールアドレスはその一部として、個人情報に該当します。
  また、メールアドレスのみであって、ユーザー名及びドメイン名から特定の個人を識別することができる場合、そのメールアドレスは、それ自体が単独で、個人情報に該当します。
  一方、記号や文字がランダムに並べられているものなど、特定の個人を識別することができない場合には、別に取り扱う名簿などとのマッチングにより個人を特定することができない限り、個人情報には該当しません。
• 個人情報保護法は、「個人情報」を生存する個人に関する情報に限っており、死者に関する情報については保護の対象とはなりません。
  ただし、死者に関する情報が、同時に生存する遺族などに関する情報である場合（例：死者の家族関係に関する情報は、死者に関する情報であると同時に、生存する遺族に関する情報である場合がある）には、その遺族などに関する「個人情報」となります。
• 法人名等、法人その他の団体の情報は、「個人情報」に該当しません。ただし、法人の情報の中に、役員の氏名などの個人に関する情報が含まれている場合には、その部分については、「個人情報」に該当します。
• 映像や音声であっても、それによって特定の個人が識別できる場合には、「個人情報」に該当します。
• 顧客情報だけではなく、従業員に関する情報も、「個人情報」に該当します。
• 従業員番号によって特定の個人が識別できるのであれば、「個人情報」に該当します。また、従業員番号それ自体によっては特定の個人が識別できない場合でも、別に管理する名簿などと事業者が容易に照合することができるのであれば、その事業者にとっては「個人情報」に該当します。学籍番号やパソコンIDなども同様です。
• 公知の情報であっても、その利用目的や他の個人情報との照合など取扱いの態様によっては個人の権利利益の侵害につながるおそれがあることから、個人情報保護法では、既に公表されている情報も他の個人情報と区別せず、保護の対象としています。

個人が特定されるものは個人情報に該当するということになります。

個人情報について Vol.01

個人情報については個人情報保護法の規定があります。
と言って法律用語の集団、一般人にとって個人情報の取り扱いは気になりますね。

では個人情報は何でしょう？
下記は個人情報保護法の目的が消費庁の説明文です。

個人情報保護法は、個人情報取扱事業者が個人情報の適正な取扱いのルールを遵守することにより、プライバシーを含む個人の権利利益の侵害を未然に防止することを狙いとしています。したがって、個人情報の取扱いとは関係のないプライバシーの問題などは、この法律の対象とはなりません。プライバシー侵害などが実際に発生した後の個人の権利利益の救済については、従来どおり、民法上の不法行為や刑法上の名誉毀損罪などによって図られることになります。

個人情報より範囲の広いプライバシーは個人情報保護法では保護されておりませんし、個人情報に関係のないプライバシーに問題が生じた場合は、民法と刑法とで保護されますが、これを証明するのが大変です。お金がかかかります。。。

個人情報保護法における用語にある
  「個人情報」、「個人データ」、「保有個人データ」とは何でしょう？
下記は消費庁の説明文です。

　 「個人情報」とは、生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別することができるものをいいます。その情報自体によって特定の個人を識別できるもののほか、他の情報と容易に照合することができ、それによって特定の個人が識別できるものも含みます（法第２条第１項）。
 　 「個人データ」とは、「個人情報データベース等」（＝個人情報を含む情報の集合物で、特定の個人情報を電子計算機を用いて検索できるように体系的に構成したもの又はこれに準ずるもの（法第２条第２項）。
 　 「保有個人データ」とは、個人情報取扱事業者が開示等の権限を有する個人データで、その存否が明らかになることにより公益その他の利益が害されるもの又は６か月以内に消去することになるもの以外のものをいいます（法第２条第５項）。 

 ここから理解するのは難しいと思います。
簡単に言えば、検索しやすいように個人情報を並べて、検索をすれば個人情報が見つかるといういうものが該当します。
個人の年賀状ソフトなどの住所録のようなものです。
ただし、この法文から詳細なことはうかがえませんので、後日、細かく見てみましょう。

ISMSとPマークの違い

ISMSとPマークがあるが違いは何だろう。
参考になるものがあったが、理解には難しい。
国レベルや、信用度からいえば、ISMSはPマークの部分を包括し、個人情報の安全性は上になる。
企業にとっては両方を充足するには費用面が多いが、両方を取得している企業は格が違うのは確かだ。
現在はIT、個人情報の漏えいを考えると両方を持っている企業の信頼度は高い。

制　　度	ＩＳＯ２７００１／ＩＳＭＳ	プライバシーマーク
規　　格	国際標準規格 ISO/IEC27001：2005 日本工業規格 JISQ27001：2006	日本工業規格 JISQ15001:2006
対　　象	適用範囲内の全ての情報資産全般 （ハードやソフト、当然に個人情報も含まれる）	企業内のすべての個人情報 （従業員の個人情報も含まれる）
	事業所単位、部門単位、事業単位も可	企業全体
要　　求	情報の機密性・完全性・可用性の維持　（情報資産の重要性、リスクに応じた適切な情報セキュリティ） ※個人情報については、個人情報保護法および契約上の要求事項の順守が求められる。	適切な個人情報の取り扱い　（個人情報の取得、利用、共同利用、委託、提供、安全管理（情報セキュリティ）、開示等要求対応、苦情対応など） ※個人情報保護法を包括する厳格な取り扱いが求められる。
更　　新	３年毎、および、毎年の継続審査	２年毎
セキュリ ティ対策	133項目の詳細管理策	合理的な安全対策

今後、当ブログで個人情報や情報セキュリティについて述べさせていただきます。

派遣ビジネスは終わった

特定派遣については、今後廃止になる。
3年間はいいとして、今後、一般派遣ができない企業は、派遣ビジネスから撤退を余儀なくされる。
派遣で設ける企業が多すぎ、教育などをせず、単に使いまわす企業が多すぎるのが要因だ。

今後はあたらなビジネスチャンスがありそう。
この3年が勝負です。

アプリ開発中

アプリの開発中。
製造と設計、品質面の強化のためにAndroid Studioを利用して開発中。
簡単に作成しながら、パッケージの構成変更やアプリ開発がしやすいように日々変更中。
2週間ほどで大幅に変更し、アプリ側の形ができてきた。

今度はサーバ側の開発も併せて行う予定。
いろいろと経験したことが役に立ち、今年中にはver1.0を製造を完了したい。

さらに来年からは本格的にアプリ開発に参入予定です。

Android studioの感想

Android Studioは最初環境構築やエミュレーターの設定などに戸惑う。
利用していると、使いやすくなってくる。ただメモリーを使用するので、自分の開発環境に合わせるのは大変かもしれない。
現在、正誤の問題集アプリアプリを開発している。

まだ使いこなせないのはデバック環境だ。いろいろと設定があるが資料が少ない。
今後、さらに深化させて開発することにする。

Android studioの設定

【Android Stadio備忘記録】
◆インストールおよび実行は管理権限で行うこと
◆Android StadioでADBなどが起動しない　→　セキュリティソフトが邪魔をするのでブロック解除
◆
SDK＞extras＞intel＞Hardware_Accelerated_Execution_Managerで、
その中にある「intelhaxm-android.exe.exe」を実行してインストールをする。
　1024MBなど変更可能

◆インストール方法
1.JAVAのSDKのダウンロードとインストール
2.JAVA_HOMEとPATHの設定
3.Android Stadioのダウンロード
4.Android Stadioを管理者権限でインストール
　インストール先　C:\Program Files\Android\Android Studio
　SDK　C:\Android\sdk
　エミュレーターの設定画面　1024MB

◆設定
1.Welcom to Android Studio から「Configure」を選択、「SDK Manager」を更に選択
　Android SDK の画面から、4.4以上を選択し、インストール
2.「Launch Standalone SDK Manager」をクリック
　Extras　
　　Android support Repository
　　Android support Library
　　Google Play Service
　　Google Play Repository
　　Google USB Driver
　　Intel Hardware Accelerated Execution manager
　をインストール
3.PATHの追加
　sdk/platform-toolsとsdk/toolsを追加

android studio

android studioをインストールをして最初の関門をクリアしたと思ったら、Updateをすると、またエミュレーターが起動しない。
難しい設定だ。慣れるといいのだが、慣れる前にUpdateが行われるために・・・
今後は、Updateをせずに利用することにしてみる。

設定で若手組が混乱するのがわかる。
この辺の説明がないので、なおさら混乱しそう。

備忘として記録

設計書の品質を高めるには-2

次に基本設計について

• 入出力の確定(必要とするものは網羅）
• 処理概要
• 処理方式(あくまで概要)
  システム方式、ネットワーク方式、運用方式、システム障害、共通処理
• ハードウェアの全体概要
• 共通アプリケーション処理(概要)

全体構成をまず考えて、概要全般をかき、あとから詳細化。
整合性から、全体像から部分を構成

さらに性能などの諸要件は、総合テスト仕様書全般の概要を記載しておく。
要は設計書に具体的な処理内容に触れるものや例文は総合テスト仕様書に記載し、品質管理面の強化を図ることが重要です。

設計書はあくまで対顧客、そして総合テスト仕様書の結果が全てです。
これを忘れると、単なる言葉遊びではないですが、顧客側の思いとシステムを作る側の思いが整合していない場合が多いです。
顧客によっては、例文のほうが理解しやすいし、システムを作る側の品質も向上します。

設計書の品質を高めるには-1

設計書をかくことが下手な人が多い。ベンダーなどによってさまざまな書式があるが、なぜ必要とする設計書なのかを理解していない人が多い。
各工程は連続にあり、それぞれが独立しているのではない。

また要件定義などで未確定事項が多い、また新技術で、どのように設計書をかくか悩むことも多いだろう。
基本を忘れないでほしいことがある。

要件定義で必要なのは、何をするのか、どのように行うのかを明確にする。
単なる要望書でもなく、希望的憶測でもないのは確かであるが、多くのものは憶測や、希望的見解を述べて、技術的根拠がないものも見受けられる。
技術的検証などの工程があれば問題はないが、これがない場合はどうするのか。

ベンダーによっては、
1)予算などが豊富なベンダはパイロットチームが、先に技術的検証をしながら、工程単位に確認を行う。
2)予算のなし、や製造で何とかしようとするベンダーは確認をせずに設計書を固める
圧倒的に多いのは、2)のほうで、1)を行うベンダが少ないのが実情
品質が悪くなったり、手戻りが多く、工数が激増するのはこのことも一つの要因。

基本的には小さくともパイロットを作成し、確認を行うことが重要である。

Spring - 01

DIについて、
基本的な事項は省略

DIの目的について
①POJOの利用
②DIコンテナからnew演算子を消す
　⇒FactoryMethodなどのデザインパターンの排除
③DIコンテナから渡されるインスタンスをインタフェースで受け取る
　⇒インタフェースのコンポーネント化
　⇒クラス(インタフェースの実装)が変更・拡張されても、それを利用しているクラスのへの影響範囲を極小化できる。
　⇒利用しているクラス(インタフェースの実装)を置き換えてもテストが可能。

DIの利用範囲
①コントローラとサービスとの依存関係
②サービスとDAOとの依存関係

アノテーションとDI
①インスタンス変数の前に@Autowiredをつけると、DIコンテナがそのインスタンス変数の型に代入できるクラスを@Componentがついているクラスの中から見つける
　⇒インジェクションをする
　⇒インスタンス変数以外にメソッド宣言前でも可能
②DI方法はXML定義
　⇒Bean定義ファイルが必要
　
　　@Autowired、@Resourceを利用する場合の宣言

　　@Conpmnent、@Serviceなどのコンポーネントを利用する場合の宣言
③インジェクション可能なクラスは1個
　⇒複数名がある場合、@Qualifierを使用する(@Componentに名前を使用する)
　⇒Bean定義ファイルを利用する