2015年12月19日土曜日

個人情報について Vol.08

今回は「公表」についてです。

個人情報の保護に関する法律 第18条第1項
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
*****************************************
その他、法第18条第3項・第4項第1号~第3号等に記述がある。

「公表」とは、広く一般に自己の意思を知らせること(国民一般その他不特定多数の人々が知ることができるように発表すること)をいう。ただし、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない。
特に雇用管理情報は、機微に触れる情報を含むため、事業者は、自らの置かれた状況に応じ、労働者等に内容が確実に伝わる媒体を選択する等の配慮を行うものとする。

【公表に該当する事例】
事例1)自社のウェブ画面中のトップページから1回程度の操作で到達できる場所への掲載、自社の店舗・事務所内におけるポスター等の掲示、パンフレット等の備置き・配布等
事例2)店舗販売においては、店舗の見やすい場所への掲示によること。
事例3)通信販売においては、通信販売用のパンフレット等への記載によること。
投稿者 時刻:
ラベル: ,

2015年12月18日金曜日

個人情報について Vol.07

今回は「本人」関連についてです。

個人情報の保護に関する法律施行

個人情報の保護に関する法律 第2条第6項関連
法第2条第6項
この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
法第18条第1項
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
*****************************************
その他、法第18条第3項・第4項第1号~第3号等に記述がある。
「本人に通知」とは、本人に直接知らしめることをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。

【本人への通知に該当する事例】
事例1)面談においては、口頭又はちらし等の文書を渡すこと。
事例2)電話においては、口頭又は自動応答装置等で知らせること。
事例3)隔地者間においては、電子メール、ファックス等により送信すること、又は文書を郵便等で送付すること。
事例4)電話勧誘販売において、勧誘の電話において口頭の方法によること。
事例5)電子商取引において、取引の確認を行うための自動応答の電子メールに記載して送信すること。

投稿者 時刻:
ラベル: ,

2015年12月17日木曜日

個人情報について Vol.06

今回は「個人情報取扱事業者」についてです。




個人情報の保護に関する法律 第2条第3項
この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
1国の機関
2地方公共団体
3独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条第1項に規定する独立行政法人等をいう。以下同じ。)
4地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。以下同じ。)
5その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
個人情報の保護に関する法律施行令 第2条
法第2条第3項第5号の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等であって、次の各号のいずれかに該当するものを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。)の合計が過去6月以内のいずれの日においても5000を超えない者とする。
1個人情報として次に掲げるもののみが含まれるもの
イ氏名
ロ住所又は居所(地図上又は電子計算機の映像面上において住所又は居所の所在の場所を示す表示を含む。)
ハ電話番号
2不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができるもの又はできたもの

*****************************************
「個人情報取扱事業者」とは、国の機関、地方公共団体、独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)で定める独立行政法人等、地方独立行政法人法(平成15年法律第118号)で定める地方独立行政法人並びにその取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者を除いた、個人情報データベース等を事業の用に供している者をいう。
ここでいう「取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者」とは、政令第2条では、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6か月以内のいずれの日においても5000人を超えない者とする。5000人を超えるか否かは、当該事業者の管理するすべての個人情報データベース等を構成する個人情報によって識別される特定の個人の数の総和により判断する。ただし、同一個人の重複分は除くものとする。
ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ一般社会通念上事業と認められるものをいい、営利事業のみを対象とするものではない。
法人格のない、権利能力のない社団(任意団体)又は個人であっても個人情報取扱事業者に該当し得る。

※「特定の個人の数」について個人情報データベース等が、以下の要件のすべてに該当する場合は、その個人情報データベース等を構成する個人情報によって識別される特定の個人の数は、上記の「特定の個人の数」には算入しない。
  • 個人情報データベース等の全部又は一部が他人の作成によるものであること。
  • 氏名、住所・居所、電話番号のみが掲載された個人情報データベース等(例えば、電話帳やカーナビゲーション)であること、又は、不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができる又はできた個人情報データベース等(例えば、自治体職員録、弁護士会名簿等)であること。
  • 事業者自らが、その個人情報データベース等を事業の用に供するに当たり、新たに個人情報を加えることで特定の個人を増やしたり、他の個人情報を付加したりして、個人情報データベース等そのものを編集・加工していないこと。

【特定の個人の数に算入しない事例】
事例1)電話会社から提供された電話帳及び市販の電話帳CD-ROM等に掲載されている氏名及び電話番号
事例2)市販のカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名、住所又は居所の所在場所を示すデータ(ナビゲーションシステム等が当初から備えている機能を用いて、運行経路等新たな情報等を記録する場合があったとしても、「特定の個人の数」には算入しないものとする。)
事例3)氏名又は住所から検索できるよう体系的に構成された、市販の住所地図上の氏名及び住所又は居所の所在場所を示す情報

【事業の用に供しないため特定の個人の数に算入しない事例】
事例)倉庫業、データセンター(ハウジング、ホスティング)等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合に、その情報中に含まれる個人情報(ただし、委託元の指示等によって個人情報を含む情報と認識できる場合は算入する。

【個人情報取扱事業者に該当する事例】
事例)電子媒体及び紙媒体(以下「媒体」という。)の個人情報データベース等を構成する個人情報によって識別される特定の個人の数の総和が5000人を超えている事業者


投稿者 時刻:
ラベル: ,

2015年12月16日水曜日

個人情報について Vol.05

今回は保有個人データについてです。

情報の保護に関する法律 第2条第5項
この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は1年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。

個人情報の保護に関する法律施行令 第3条
法第2条第5項の政令で定めるものは、次に掲げるものとする。
1当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
2当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
3当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
4当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

個人情報の保護に関する法律施行令 第4条
法第2条第5項の政令で定める期間は、6月とする。
***********************************************************
6か月を超えて利用予定の個人情報は、取得直後でも保有個人データに該当し、保有個人データにに対する義務が発生します。







「保有個人データ」とは、個人情報取扱事業者が、本人又はその代理人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止のすべてに応じることができる権限を有する「個人データ」をいう。

個人情報取扱事業者が個人データを受託処理している場合で、その個人データについて、何ら取決めがなく、自らの判断では本人に開示等をすることができないときは、本人に開示等の権限を有しているのは委託元であって、委託先ではない。

ただし、次の①又は②の場合は、「保有個人データ」ではない。
①その存否が明らかになることにより、公益その他の利益が害されるもの。
②6か月以内に消去する(更新することは除く。)こととなるもの。

「その存否が明らかになることにより、公益その他の利益が害されるもの」とは、
以下の場合を指す。
①その個人データの存否が明らかになることで、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの。
事例)家庭内暴力、児童虐待の被害者の支援団体が、加害者(配偶者又は親権者)及び被害者(配偶者又は子)を本人とする個人データを持っている場合
②その個人データの存否が明らかになることで、違法又は不当な行為を助長し、又は誘発するおそれがあるもの。
事例1)いわゆる総会屋等による不当要求被害を防止するため、事業者が総会屋等を本人とする個人データを持っている場合
事例2)いわゆる不審者、悪質なクレーマー等からの不当要求被害を防止するため、当該行為を繰り返す者を本人とする個人データを保有している場合
③その個人データの存否が明らかになることで、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの。
事例1)製造業者、情報サービス事業者等が、防衛に関連する兵器・設備・機器・ソフトウェア等の設計、開発担当者名が記録された個人データを保有している場合
事例2)要人の訪問先やその警備会社が、当該要人を本人とする行動予定や記録等を保有している場合
④その個人データの存否が明らかになることで、犯罪の予防、鎮圧又は捜査その他の公共の安全
と秩序の維持に支障が及ぶおそれがあるもの。
事例1)警察からの捜査関係事項照会や捜索差押令状の対象となった事業者がその対応の過程で捜査対象者又は被疑者を本人とする個人データを保有している場合
事例2)犯罪収益との関係が疑わしい取引(以下「疑わしい取引」という。)の届出の対象情報
投稿者 時刻:
ラベル: ,

2015年12月15日火曜日

個人情報について Vol.04

監視カメラの映像について

下記は個人情報保護法の目的が消費庁の説明文です。

監視カメラで撮影された映像も、それによって特定の個人が識別できる場合は「個人情報」に該当します。

しかしながら、そのような映像の記録が「個人情報データベース等」に該当するためには、当該映像記録が、録画された特定の個人をコンピュータを使って検索できるように体系的に構成されているか、または録画された個人の映像を一定の規則にしたがって整理することにより個人情報を容易に検索できるように体系的に構成されている必要があります。

監視カメラの映像の記録を、そのような個人情報の検索性を備えた形で保存することは一般的ではないと考えられます。
映像自体が個人情報ですから、それを画像の情報を検索しやすくすれば個人情報データベース等に該当することになります。
取り扱いは気をつけましょう。


投稿者 時刻:
ラベル: ,

2015年12月14日月曜日

個人情報について Vol.03

今回は個人情報データベース等についてです。

 「個人情報データベース等」とは、個人情報を含む情報の集合物のうち、以下の2つを指します。

(1) コンピュータを用いて特定の個人情報を検索することができるように体系的に構成されたもの(法第2条第2項第1号)
(2) (1)以外のもので、個人情報を一定の規則に従って整理することで個人情報を容易に検索することができるように体系的に構成され、さらに目次や索引など個人情報の検索を容易にするためのものを有しているもの(個人情報の保護に関する法律施行令第1条)

 すなわち、コンピュータで処理されたデータベースだけでなく、紙に記録されたものであっても、(2)の条件を満たすものは、「個人情報データベース等」に該当します。

整理をしないことや、検索するのが難しい場合(他人が容易にできない)は該当いたしません。
ノートに名前を書いて整理をすると、対象になりますので要注意です。


投稿者 時刻:
ラベル: ,

2015年12月11日金曜日

個人情報について Vol.02

個人情報保護法で保護される個人情報についてです。
「個人情報」を詳細に見てみましょう。


  •  「個人に関する情報」(法第2条第1項)とは、氏名、性別、生年月日、職業、家族関係などの事実に係る情報のみではなく、個人の判断・評価に関する情報も含め、個人と関連付けられる全ての情報を意味します。
  • 個人の氏名等を含んだリストがあり、その1項目としてメールアドレスが含まれている場合、リストは全体として、また、メールアドレスはその一部として、個人情報に該当します。
    また、メールアドレスのみであって、ユーザー名及びドメイン名から特定の個人を識別することができる場合、そのメールアドレスは、それ自体が単独で、個人情報に該当します。
    一方、記号や文字がランダムに並べられているものなど、特定の個人を識別することができない場合には、別に取り扱う名簿などとのマッチングにより個人を特定することができない限り、個人情報には該当しません。
  • 個人情報保護法は、「個人情報」を生存する個人に関する情報に限っており、死者に関する情報については保護の対象とはなりません。
    ただし、死者に関する情報が、同時に生存する遺族などに関する情報である場合(例:死者の家族関係に関する情報は、死者に関する情報であると同時に、生存する遺族に関する情報である場合がある)には、その遺族などに関する「個人情報」となります。
  • 法人名等、法人その他の団体の情報は、「個人情報」に該当しません。ただし、法人の情報の中に、役員の氏名などの個人に関する情報が含まれている場合には、その部分については、「個人情報」に該当します。
  • 映像や音声であっても、それによって特定の個人が識別できる場合には、「個人情報」に該当します。
  • 顧客情報だけではなく、従業員に関する情報も、「個人情報」に該当します。
  • 従業員番号によって特定の個人が識別できるのであれば、「個人情報」に該当します。また、従業員番号それ自体によっては特定の個人が識別できない場合でも、別に管理する名簿などと事業者が容易に照合することができるのであれば、その事業者にとっては「個人情報」に該当します。学籍番号やパソコンIDなども同様です。
  • 公知の情報であっても、その利用目的や他の個人情報との照合など取扱いの態様によっては個人の権利利益の侵害につながるおそれがあることから、個人情報保護法では、既に公表されている情報も他の個人情報と区別せず、保護の対象としています。
個人が特定されるものは個人情報に該当するということになります。


投稿者 時刻:
ラベル: ,

2015年12月10日木曜日

個人情報について Vol.01

個人情報については個人情報保護法の規定があります。
と言って法律用語の集団、一般人にとって個人情報の取り扱いは気になりますね。

では個人情報は何でしょう?
下記は個人情報保護法の目的が消費庁の説明文です。
個人情報保護法は、個人情報取扱事業者が個人情報の適正な取扱いのルールを遵守することにより、プライバシーを含む個人の権利利益の侵害を未然に防止することを狙いとしています。したがって、個人情報の取扱いとは関係のないプライバシーの問題などは、この法律の対象とはなりません。プライバシー侵害などが実際に発生した後の個人の権利利益の救済については、従来どおり、民法上の不法行為や刑法上の名誉毀損罪などによって図られることになります。
個人情報より範囲の広いプライバシーは個人情報保護法では保護されておりませんし、個人情報に関係のないプライバシーに問題が生じた場合は、民法と刑法とで保護されますが、これを証明するのが大変です。お金がかかかります。。。

個人情報保護法における用語にある
  「個人情報」、「個人データ」、「保有個人データ」とは何でしょう?
下記は消費庁の説明文です。
  「個人情報」とは、生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別することができるものをいいます。その情報自体によって特定の個人を識別できるもののほか、他の情報と容易に照合することができ、それによって特定の個人が識別できるものも含みます(法第2条第1項)。
   「個人データ」とは、「個人情報データベース等」(=個人情報を含む情報の集合物で、特定の個人情報を電子計算機を用いて検索できるように体系的に構成したもの又はこれに準ずるもの(法第2条第2項)。
   「保有個人データ」とは、個人情報取扱事業者が開示等の権限を有する個人データで、その存否が明らかになることにより公益その他の利益が害されるもの又は6か月以内に消去することになるもの以外のものをいいます(法第2条第5項)。 
 ここから理解するのは難しいと思います。
簡単に言えば、検索しやすいように個人情報を並べて、検索をすれば個人情報が見つかるといういうものが該当します。
個人の年賀状ソフトなどの住所録のようなものです。
ただし、この法文から詳細なことはうかがえませんので、後日、細かく見てみましょう。




投稿者 時刻:
ラベル: ,

2015年12月9日水曜日

ISMSとPマークの違い

ISMSとPマークがあるが違いは何だろう。
参考になるものがあったが、理解には難しい。
国レベルや、信用度からいえば、ISMSはPマークの部分を包括し、個人情報の安全性は上になる。
企業にとっては両方を充足するには費用面が多いが、両方を取得している企業は格が違うのは確かだ。
現在はIT、個人情報の漏えいを考えると両方を持っている企業の信頼度は高い。

制  度 ISO27001/ISMS プライバシーマーク
規  格 国際標準規格 ISO/IEC27001:2005
日本工業規格 JISQ27001:2006		 日本工業規格 JISQ15001:2006
対  象 適用範囲内の全ての情報資産全般
(ハードやソフト、当然に個人情報も含まれる)		 企業内のすべての個人情報
(従業員の個人情報も含まれる)
事業所単位、部門単位、事業単位も可 企業全体
要  求 情報の機密性・完全性・可用性の維持 (情報資産の重要性、リスクに応じた適切な情報セキュリティ)
※個人情報については、個人情報保護法および契約上の要求事項の順守が求められる		 適切な個人情報の取り扱い (個人情報の取得、利用、共同利用、委託、提供、安全管理(情報セキュリティ)、開示等要求対応、苦情対応など)
※個人情報保護法を包括する厳格な取り扱いが求められる。
更  新 3年毎、および、毎年の継続審査 2年毎
セキュリ
ティ対策		 133項目の詳細管理策 合理的な安全対策

今後、当ブログで個人情報や情報セキュリティについて述べさせていただきます。




投稿者 時刻:
ラベル: , , ,
登録: 投稿 (Atom)