個人情報について Vol.11

今回は「本人が容易に知り得る状態」についていです。

法第２３条第２項
個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
法第２３条第４項第３号
次に掲げる場合において、当該個人データの提供を受ける者は、前３項の規定の適用については、第三者に該当しないものとする。
３ 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称につい て、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
その他法第２３条第３項等に記述がある。

「本人が容易に知り得る状態」とは、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態に置いていることをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。

特に雇用管理情報は、機微に触れる情報を含み、第三者に容易に提供しないことを前提に収集されている可能性が高いことから、本人が定期的に閲覧すると想定されるウェブサイトへの継続的な掲載、事業所内において広く頒布されている刊行物における定期的な掲載等により、本人が確実に知り得ると想定される状態に置くものとする。

【本人が容易に知り得る状態に該当する事例】
事例１）ウェブ画面中のトップページから１回程度の操作で到達できる場所への掲載等が継続的に行われていること。

事例２）事務所の窓口等への掲示、備付け等が継続的に行われていること。

事例３）広く頒布されている定期刊行物への定期的掲載を行っていること。

事例４）電子商取引において、商品を紹介するウェブ画面にリンク先を継続的に掲示すること。

本文と事例で理解されやすい。

個人情報について Vol.10

今回は「本人の同意」についてです。

法第１６条第１項
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

法第２３条第１項
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
１ 法令に基づく場合
２ 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
３ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって本人の同意を得ることが困難であるとき。
４ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
その他、法第１６条第２項・第３項第２号～第４号等に記述がある。

「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう（当該本人であることを確認できていることが前提。）。

また「本人の同意を得（る）」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。
なお、個人情報の取扱いに関して同意したことによって生ずる結果について、子どもが判断能力を有していないなどの場合は、法定代理人等から同意を得る必要がある。

【本人の同意を得ている事例】
事例１）同意する旨を本人から口頭又は書面（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。）で確認すること。

事例２）本人が署名又は記名押印した同意する旨の申込書等文書を受領し確認すること。

事例３）本人からの同意する旨のメールを受信すること。

事例４）本人による同意する旨の確認欄へのチェック

事例５）本人による同意する旨のウェブ画面上のボタンのクリック

事例６）本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

条文通りで、事例を参照するとよくわかります。
同意を得ていないと責任が問われます。

個人情報について Vol.09

今回は、「本人に対し、その利用目的を明示」についてです。

法第１８条第２項
個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

「本人に対し、その利用目的を明示」とは、
本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。

【利用目的の明示に該当する事例】
事例１）
利用目的を明記した契約書その他の書面を相手方である本人に手渡し、又は送付すること（契約約款又は利用条件等の書面（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。）中に利用目的条項を記載する場合は、
例えば、裏面約款に利用目的が記載されていることを伝える、又は裏面約款等に記載されている利用目的条項を表面にも記述する等本人が実際に利用目的を目にできるよう留意する必要がある。）

事例２）ネットワーク上においては、本人がアクセスした自社のウェブ画面上、又は本人の端末装置上にその利用目的を明記すること
（ネットワーク上において個人情報を取得する場合は、本人が送信ボタン等をクリックする前等にその利用目的（利用目的の内容が示された画面に１回程度の操作でページ遷移するよう設定したリンクやボタンを含む。）が本人の目にとまるようその配置に留意する必要がある。）
　→Web上では利用目的に関するページがクリックできていれば、よいということになる。

あけましておめでとうございます。

あけましておめでとうございます。
本年もよろしくお願いいたします。

今年の目標は

• 個人情報やマイナンバー対応に対するセキュリティ対策に重点を置くこと
• マルチデバイスに対応したWebサーバの運用を春から開始すること
• 趣味の範囲を広げること

どれだけ実現できるかではなく、今年は1個でも多く実現することに重点を置きたい。