2017年8月25日金曜日

『はじめての個人情報保護法 ~シンプルレッスン~』の解説と活用法8-保管に関するルール

中小企業向け
『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行) 

P5 4.(2)保管に関するルール です。


最初に書きましたが、保管ではなく「管理」です。

あえて保管を管理に変えて記載します。


!個人情報の「管理」に当たって守るべきこと
● 漏えい等が生じないよう、安全に管理する。
● 従業者・委託先にも安全管理を徹底する。

表題としてはよいですね。
具体的には以下に書いてあります。


?「安全に管理」するための手法とは?

☑取り扱う個人情報の性質及び量等によりますが、例えば、以下のような手法が考えられます。
  ・取扱いの基本的なルールを決める。
  ・従業者を教育する。
  ・紙で管理している場合は、鍵のかかる引き出しで保管する。
  ・パソコン等で管理している場合は、ファイルにパスワードを設定する。
   また、セキュリティ対策ソフトウェアを導入する。  等

これは、ちゃんと、組織的、人的、物理的、技術的安全管理の4つの視点で書いてあり、イメージはしやすいですね。


☑個人情報の委託をする場合は適切な委託先を選択し、安全管理措置に関する契約を締結する等、委託先にも適切な管理を求めましょう。

委託先にも安全管理対応を求めることは大事ですね。


☑なお、ガイドラインでは、小規模事業者向けの手法例を掲載していますので、併せてご参照下さい。

結局、参照しなければならないのか。
個人情報保護委員会のガイドライン(通則編)に、小規模事業者の緩和された内容が記載されていますが、その説明は、小規模事業者ではない一般事業者の対応を理解していないとわかりにくい書き方がされています。
つまり、結局、小規模でない事業者のルールを全部読めと言っていることにつながってしまいます。

ここは、「顧客の信用・信頼を損なわないため、どのような管理をすればよいか、社内で4つの視点で、しっかり考え、ルールを決めて、社員やパートナーと共有しましょう。」
という感じがよいと思います。

2017年8月24日木曜日

『はじめての個人情報保護法 ~シンプルレッスン~』の解説と活用法7-取得・利用に関するルール2

中小企業向け
『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行) 

P4の④(1)取得・利用に関するルール のページ下半分に進みます。


4.(1)取得・利用に関するルール(補足:要配慮個人情報)

!「要配慮個人情報」の「取得」に当たって守るべきこと

●「要配慮個人情報」を取得する場合は、あらかじめ本人の同意が必要。

悪くはないですが、説明の順番が逆で、すーっと入ってくる表現ではないですね。

(※)なお、法令に基づいて取得する場合等は同意は不要です。
(例)労働安全衛生法に基づき健康診断を実施し、これにより従業員の身体状況、病状、治療等の情報を健康診断実施機関から取得する場合

細かいですが、「なお、」は不要ですね。
例は、現実的にある例であり、わかりやすいですね。

(※)また、本人から直接書面や口頭で取得する場合は、同意があったものとみなされるため、あらためて同意をとる必要はありません。

現実的なシーンを考えると、「同意があったものとみなされます。」でよいでしょうね。

?「要配慮個人情報」とは?

不当な差別、偏見その他の不利益が生じないように取扱いに配慮を要する情報として、法律・政令に定められた情報。

でましたまたこの表現。正しいことが書いてありますが、「法律・政令に定められた情報」であることを知っても意味がなく、そこに何が書いてあるのか調べろというのかという感じです。

(例)人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、身体障害等の障害があること等

例が書いてあることはわかりやすいですが、他には何があるのか、配慮しなければならない個人情報ですから、しっかり把握しておきたいと思うのが一般的でしょう。

「等」で略されているものは、施行令、施行規則で以下が示されています。

心身の機能の障害、健康診断等の結果、医師等の指導、診療、調剤、刑事事件に関する手続、少年の保護事件に関する手続

ここでも、「健康診断の結果」が省略されていることは大きなミスでしょう。
法令に基づいて取得する場合の例として、健保機関から取得する場合と書いてあるので、その取得した健康診断結果が要配慮個人情報であることは推測できるといえばそうですが、どの企業でも所有している情報でしょうから、そんな隠し玉のようなことはする必要なく、はっきり書いておくべきでしょう。



2017年8月23日水曜日

『はじめての個人情報保護法 ~シンプルレッスン~』の解説と活用法6-取得・利用に関するルール

中小企業向け
『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行) 

3ページめ、P4の④(1)取得・利用に関するルールです。



ここから、法律で定められている個人情報取扱事業者の義務である、具体的な義務内容が始まっています。

まず最初は、事業者が守るべき4つのルールの一つめ、

「取得・利用に関するルール」です。

!個人情報の「取得・利用」に当たって守るべきこと

● 利用目的を特定して、その範囲内で利用する。
● 利用目的を通知又は公表する。

「利用目的の特定」とは、何のために個人情報を利用するのか具体的に決めることです。

わかりやすいですね。

(※)利用目的の通知・公表方法は、特に定めはありません。通知であれば、本人に口頭・書面・メール等で通知することが考えられ、公表であれば、HPの分かりやすい場所や店舗等の事業所への掲示、申込書等への記載等が考えられます。

これもわかりやすいですね。
そして、

なお、同意までの義務はありません。

確かに法律ではそうですが、あえて書く必要があるのかという疑問がわきますね。
JIS Q 15001では、同意が必要とされていますので、プライバシーマーク取得企業では、同意は必要となります。
その場合、口頭での同意は、記録に残りませんので、実質的には口頭での通知方法は適切ではないことになります。
書面や申込書、Webページでは、同意しましたというチェックボックスを設け、それにチェックしてもらうことで同意が得られたことが証せます。


?利用目的はどのように特定すればよいですか?

☑例えば、以下のように特定することが考えられます。
  「当社の新商品のご案内の送付のため」
  「当社の商品の配送及びアフターサービスのご案内のため」

☑なお、取得の状況から、利用目的が明らかであれば、利用目的の通知又は公表は不要です。
  (例:配送伝票の記入内容を配送のために利用することは明らか)

まずまずわかりやすいですね。

☑また、利用目的を変更(追加)する場合は、原則本人の同意が必要です。

これもしっかり覚えておく必要がありますね。

ただ、
  (関連性のある範囲内での変更なら通知又は公表のみで可)

これでは、法律ではそう書かれていますが、「関連性」がわかりにくいですね。

「本人が想定できる範囲の変更は通知や公表で済ませられますが、想定できるかどうか不明確な場合は、同意を得なおしましょう。」くらいがわかりやすいかなと思います。



2017年8月22日火曜日

『はじめての個人情報保護法 ~シンプルレッスン~』の解説と活用法5-事業者が守るべき4つのルール

中小企業向け
『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行) 

2ページめ、P3の続きです。


③ 事業者が守るべき4つのルール

事業者が守るべき4つのルールとして、以下の4つにまとめられています。
①取得・利用
②保管
③提供
④開示請求等への対応

個人情報保護法15条から35条までに書かれている個人情報取扱事業者の義務をシンプルにまとめることは大事ですね。
私は当初から5つとしてきましたが、まぁ4つの方が覚えやすいかも知れませんので、4つにしてみますと、以下となります。
①取得・利用
②管理
③提供
④対応

ほとんど同じですが、ちょっと違うところに意味があります。


②保管ではなく、管理が大事です。

保管というと、確かに大事に扱う感じはしますが、古美術品のように大事にしまっておく感じもします。

個人情報は、日々活用するために預かっているものですから、しっかりとした管理が必要です。法律で管理と言っているものをあえて保管と言い換える必要はないでしょう。

事業者としては④開示請求等の対応が重要ですが、一般社員が開示請求に対応することはまずないと思われます。どちらかといえば、本人から信用信頼のためには、苦情への対応の方が重要でしょう。
なので、あえて「開示請求等」と修飾する必要はないでしょう。
「顧客の対応」が重要と感じてもらうことが大事です。

①取得・利用
②管理
③提供
④対応
これらを「しっかり意識しましょう」ということはすべての社員に必要なことです。

ちなみに、これらのルールに対し、個人データに該当するか、保有個人データに該当するか、ということを一般社員に意識させることは極論、不要です。
法律ではその対象が定められているということは知っておいてもよいですが、「当社では、これらの個人情報に対してそれらのルールを意識しなさい」ということが大事で、基本すべての個人情報に対してこれらを意識するとともに、「これらの個人情報」を明確にして、特にそれらはしっかり意識しなさい、という方が現実的でしょう。

2017年8月21日月曜日

『はじめての個人情報保護法 ~シンプルレッスン~』の解説と活用法4-「個人識別符号」とは?

中小企業向け
『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行) 


2ページめ、P3の続きです。


「個人識別符号」とは?

以下の説明が書いてあります。

・以下①②のいずれかに該当するものであり、政令・規則で個別に指定されています

①身体の一部の特徴を電子計算機のために変換した符号

⇒DNA、顔認証データ、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋

②サービス利用や書類において対象者ごとに割り振られる符号(公的な番号)

⇒旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー等


少し不親切な説明ですね。表現もあまりよくないです。
「政令・規則で指定されている」と言われると、
それを見ないとわからないのか、
下に挙げられているのは一例にすぎないのか、
他にどんなものがあるのだろう?
と思いませんか?

実は、①については、個人情報保護委員会規則で挙げられているものは、ここに書かれている7つと、これらを組み合わせたものです。

逆に②については、これら以外に、健康保険証関連の番号が含まれます。これは書いておくべきでしょう。社員の健康保険証番号を管理することもあるでしょうし。

あわせて、
2つの項目の説明がちょっとわかりにくいですね。例を見ればわかるという感じでしょうか。

どうせなら、①は「身体の特徴をコンピュータで利用するための生体認証データ」
とでもした方がわかりやすいかも知れませんね。

②は、個人ごとにふられたり割りあてられた番号や文字そのもののことで、誰の番号かがわかるものであり、よくカード等に印字されていますが、コンピュータで利用するかどうかは関係ありません。

で、「個人識別符号」が何かがわかったところで、
そこまでだけだと実は意味がありません。
今回の法改正により、これらの個人識別符号は個人情報であたることが定められました。これら個人識別符号に対する取得や管理等の義務があるということが重要なことです。

2017年8月4日金曜日

『はじめての個人情報保護法 ~シンプルレッスン~』 の解説と活用法3-「個人情報」とは

中小企業向け
『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行)

さて2ページめ、P3です。



②「個人情報」とは

「個人情報」
『生存する個人に関する情報で、
 特定の個人を識別することができるもの』

でました!
これでわかる人はいるのでしょうか、という
定義です。

ポイントは、「で」「識別」です。

「生存する個人に関する情報、」の「で」
は、文章として「&」なんでしょうが、
そうだと思うから、結局、
「個人情報は特定の個人を識別するための情報」
と思っている人が多いのです。誤解です。

個人情報は、まず、
「生存する個人に関する情報」です。
これを生存性を呼びます。

そして、それらの情報の中で、
「特定の個人を識別することができるもの」
であるという条件があるわけです。
この条件を個人識別性と呼びます。

つまり、
「生存性があり、
 個人識別性のある個人に関する情報」
が個人情報なのです。

といっても余計にわかりにくいかもですね^^;

それは、
「識別」という言葉が聞きなれないから
ではないでしょうか。

行政機関の資料では、
「識別」を使わずに、こう書かれています。

「個人情報とは、生存する個人に関する情報であっ
て、氏名、生年月日などにより、その情報の本人が
誰であるかを特定できる情報のこと。」

わかりやすくないですか?

「その情報の本人が誰であるかを特定できる情報」
これが「個人識別性」です。

誰の情報かがわかる情報ということです。

逆に個人からみれば、
その個人に関する情報は全部個人情報である
ということです。

それが職業であろうが、趣味であろうが、
会社名であろうが、嗜好であろうが、
です。

そして、吹き出しにあるように
『顧客情報だけでなく、従業員情報や取引先の
 名刺といったものも個人情報です。』
は、もちろんそうだとわかりますよね。

だとして、
(例)「氏名」「生年月日と氏名の組合せ」「顔写真」等
これはいけませんね。

「氏名」は、それだけでも個人情報にあたると
個人情報保護委員会のガイドラインにも
明記されていますが、これを言うからわかりにくさを
助長しているように思います。
論理的にはそうかも知れませんが、これが個人情報で
あるという説明をすればするほど、本質からはずれて
しまう気がします。

だって、氏名だけにどれだけの意味があるかということを
考えればわかりますよね。名前だけのリストに関しての
安全管理措置も意味がわかりません。
自社の社員リストとか、もらった名刺の中から、
特定企業の社員だけをリスト化した、というようなものは
意味がありそうですが、それは企業名という属性情報が
あってこそです。「氏名だけ」ではありません。

ということで、
個人情報の例として「氏名」をあげてはいません
混乱のもとです。

あわせて、生年月日と氏名の組合せ」
これは、識別性の例なのか、組み合わせの例なのか、
わかりませんが、いずれにしても、例としては不適です。

唯一、意味があるのは、「顔写真」
これは、文字だけではく、写真や動画なども対象である
ということは重要なことですね。

そしてカッコで※印付きで、
注意書き的に書かれているこれ。
(※その情報単体でも個人情報に該当することとした
 「個人識別符号」も個人情報に該当します。)

ここで注意書きで書くことかなぁ。
その下に「個人識別符号」とは? が書かれていますが、
それをもとからわかっている人は、そうそう、と
思えるかもですが、初めて読む人はさっぱりわからず、
その下の「個人識別符号」とは?を読んでも、
「個人情報に該当することとした」と書かれても、
わからないですよね。

何よりまずは、
「個人識別符号」も個人情報にあたります。
と言わないと、わかりませんね。

2017年8月3日木曜日

『はじめての個人情報保護法 ~シンプルレッスン~』の解説と活用法2-「個人情報保護法」とは

中小企業向け
『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行)

具体的な内容の解説をはじめます。
まず1ページめです。P2ですね。



①「個人情報保護法」とは『平成29年5月30日から、すべての事業者に「個人情報保護法」が適用されています!』

これはご存じの方が多数だと思いますが、
個人情報保護法は、2003年に公布され、
2005年に全面施行されました。
そこから10年以上経った2015年、改正法が成立し、
2017年(平成29年)5月30日に全面施行されました。

以前は、小規模事業者はその義務の対象から
はずされていましたが、今回の改正により、
その除外措置がなくなり、
すべての事業者に適用されたということです。

[?]「個人情報保護法」とは?

『個人の権利・利益の保護と個人情報の有用性
(社会生活やビジネス等への活用)とのバランス
を図るための法律』

そうなんですが、バランスって何だ?
ということですね。

ビッグデータがますます活用されていく時代、
自分が入力したものだけでなく、IoTと呼ばれる
さまざまな機器から自動的に各種情報が集められる中、
自分の情報だとわからない情報や、
加工されたりして、統計データとして使われるものは、
まぁいいでしょうが、自分の情報だとわかる情報は、
その取扱いにはしっかり注意してほしいものです。

企業からすると、誰の情報かわかるものは、
その本人の人権にも配慮して、
しっかり管理すべし、ということです。

それが、個人情報保護法の目的として
書かれている、「個人情報の有用性に配慮しつつ、
個人の権利利益の保護する」ということです。


『民間事業者の個人情報の取扱いについて規定』

個人情報保護法は、個人情報保護に関して、
その理念や国など公的部門の施策を定めるとともに、
個人情報を取り扱う事業者や、匿名加工情報を
取り扱う事業者に対して、個人情報の取り扱いに
関しての義務が定められています。

ただし、あくまでも最低限の義務が書かれている
だけで、書かれている内容を守ればそれでよい
ということではありません

「お客様の信頼に応える」
という目的のために、このラインを下回れば、
「明らかにお客様の信頼を損なう」、
ということが書かれいていると考えれば
わかりやすいかと思います。

法律で求められている義務内容を包含し、
さらに事業内容等によって異なる
顧客へのサービスレベルを反映した
社内規程や社内ルールの実践によって、
お客様の信頼に応え、維持できるものです

一般社員は、国を向いてビクビクしながら
仕事をするのではなく、自社の事業内容に
応じて、お客様を向いてしっかり仕事をせよ、
ということが、個人情報保護法においても、
求められていることなのです。