2017年8月25日金曜日

『はじめての個人情報保護法 ~シンプルレッスン~』の解説と活用法8-保管に関するルール

中小企業向け
『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行) 

P5 4.(2)保管に関するルール です。


最初に書きましたが、保管ではなく「管理」です。

あえて保管を管理に変えて記載します。


!個人情報の「管理」に当たって守るべきこと
● 漏えい等が生じないよう、安全に管理する。
● 従業者・委託先にも安全管理を徹底する。

表題としてはよいですね。
具体的には以下に書いてあります。


?「安全に管理」するための手法とは?

☑取り扱う個人情報の性質及び量等によりますが、例えば、以下のような手法が考えられます。
  ・取扱いの基本的なルールを決める。
  ・従業者を教育する。
  ・紙で管理している場合は、鍵のかかる引き出しで保管する。
  ・パソコン等で管理している場合は、ファイルにパスワードを設定する。
   また、セキュリティ対策ソフトウェアを導入する。  等

これは、ちゃんと、組織的、人的、物理的、技術的安全管理の4つの視点で書いてあり、イメージはしやすいですね。


☑個人情報の委託をする場合は適切な委託先を選択し、安全管理措置に関する契約を締結する等、委託先にも適切な管理を求めましょう。

委託先にも安全管理対応を求めることは大事ですね。


☑なお、ガイドラインでは、小規模事業者向けの手法例を掲載していますので、併せてご参照下さい。

結局、参照しなければならないのか。
個人情報保護委員会のガイドライン(通則編)に、小規模事業者の緩和された内容が記載されていますが、その説明は、小規模事業者ではない一般事業者の対応を理解していないとわかりにくい書き方がされています。
つまり、結局、小規模でない事業者のルールを全部読めと言っていることにつながってしまいます。

ここは、「顧客の信用・信頼を損なわないため、どのような管理をすればよいか、社内で4つの視点で、しっかり考え、ルールを決めて、社員やパートナーと共有しましょう。」
という感じがよいと思います。

2017年8月24日木曜日

『はじめての個人情報保護法 ~シンプルレッスン~』の解説と活用法7-取得・利用に関するルール2

中小企業向け
『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行) 

P4の④(1)取得・利用に関するルール のページ下半分に進みます。


4.(1)取得・利用に関するルール(補足:要配慮個人情報)

!「要配慮個人情報」の「取得」に当たって守るべきこと

●「要配慮個人情報」を取得する場合は、あらかじめ本人の同意が必要。

悪くはないですが、説明の順番が逆で、すーっと入ってくる表現ではないですね。

(※)なお、法令に基づいて取得する場合等は同意は不要です。
(例)労働安全衛生法に基づき健康診断を実施し、これにより従業員の身体状況、病状、治療等の情報を健康診断実施機関から取得する場合

細かいですが、「なお、」は不要ですね。
例は、現実的にある例であり、わかりやすいですね。

(※)また、本人から直接書面や口頭で取得する場合は、同意があったものとみなされるため、あらためて同意をとる必要はありません。

現実的なシーンを考えると、「同意があったものとみなされます。」でよいでしょうね。

?「要配慮個人情報」とは?

不当な差別、偏見その他の不利益が生じないように取扱いに配慮を要する情報として、法律・政令に定められた情報。

でましたまたこの表現。正しいことが書いてありますが、「法律・政令に定められた情報」であることを知っても意味がなく、そこに何が書いてあるのか調べろというのかという感じです。

(例)人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、身体障害等の障害があること等

例が書いてあることはわかりやすいですが、他には何があるのか、配慮しなければならない個人情報ですから、しっかり把握しておきたいと思うのが一般的でしょう。

「等」で略されているものは、施行令、施行規則で以下が示されています。

心身の機能の障害、健康診断等の結果、医師等の指導、診療、調剤、刑事事件に関する手続、少年の保護事件に関する手続

ここでも、「健康診断の結果」が省略されていることは大きなミスでしょう。
法令に基づいて取得する場合の例として、健保機関から取得する場合と書いてあるので、その取得した健康診断結果が要配慮個人情報であることは推測できるといえばそうですが、どの企業でも所有している情報でしょうから、そんな隠し玉のようなことはする必要なく、はっきり書いておくべきでしょう。



2017年8月23日水曜日

『はじめての個人情報保護法 ~シンプルレッスン~』の解説と活用法6-取得・利用に関するルール

中小企業向け
『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行) 

3ページめ、P4の④(1)取得・利用に関するルールです。



ここから、法律で定められている個人情報取扱事業者の義務である、具体的な義務内容が始まっています。

まず最初は、事業者が守るべき4つのルールの一つめ、

「取得・利用に関するルール」です。

!個人情報の「取得・利用」に当たって守るべきこと

● 利用目的を特定して、その範囲内で利用する。
● 利用目的を通知又は公表する。

「利用目的の特定」とは、何のために個人情報を利用するのか具体的に決めることです。

わかりやすいですね。

(※)利用目的の通知・公表方法は、特に定めはありません。通知であれば、本人に口頭・書面・メール等で通知することが考えられ、公表であれば、HPの分かりやすい場所や店舗等の事業所への掲示、申込書等への記載等が考えられます。

これもわかりやすいですね。
そして、

なお、同意までの義務はありません。

確かに法律ではそうですが、あえて書く必要があるのかという疑問がわきますね。
JIS Q 15001では、同意が必要とされていますので、プライバシーマーク取得企業では、同意は必要となります。
その場合、口頭での同意は、記録に残りませんので、実質的には口頭での通知方法は適切ではないことになります。
書面や申込書、Webページでは、同意しましたというチェックボックスを設け、それにチェックしてもらうことで同意が得られたことが証せます。


?利用目的はどのように特定すればよいですか?

☑例えば、以下のように特定することが考えられます。
  「当社の新商品のご案内の送付のため」
  「当社の商品の配送及びアフターサービスのご案内のため」

☑なお、取得の状況から、利用目的が明らかであれば、利用目的の通知又は公表は不要です。
  (例:配送伝票の記入内容を配送のために利用することは明らか)

まずまずわかりやすいですね。

☑また、利用目的を変更(追加)する場合は、原則本人の同意が必要です。

これもしっかり覚えておく必要がありますね。

ただ、
  (関連性のある範囲内での変更なら通知又は公表のみで可)

これでは、法律ではそう書かれていますが、「関連性」がわかりにくいですね。

「本人が想定できる範囲の変更は通知や公表で済ませられますが、想定できるかどうか不明確な場合は、同意を得なおしましょう。」くらいがわかりやすいかなと思います。



2017年8月22日火曜日

『はじめての個人情報保護法 ~シンプルレッスン~』の解説と活用法5-事業者が守るべき4つのルール

中小企業向け
『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行) 

2ページめ、P3の続きです。


③ 事業者が守るべき4つのルール

事業者が守るべき4つのルールとして、以下の4つにまとめられています。
①取得・利用
②保管
③提供
④開示請求等への対応

個人情報保護法15条から35条までに書かれている個人情報取扱事業者の義務をシンプルにまとめることは大事ですね。
私は当初から5つとしてきましたが、まぁ4つの方が覚えやすいかも知れませんので、4つにしてみますと、以下となります。
①取得・利用
②管理
③提供
④対応

ほとんど同じですが、ちょっと違うところに意味があります。


②保管ではなく、管理が大事です。

保管というと、確かに大事に扱う感じはしますが、古美術品のように大事にしまっておく感じもします。

個人情報は、日々活用するために預かっているものですから、しっかりとした管理が必要です。法律で管理と言っているものをあえて保管と言い換える必要はないでしょう。

事業者としては④開示請求等の対応が重要ですが、一般社員が開示請求に対応することはまずないと思われます。どちらかといえば、本人から信用信頼のためには、苦情への対応の方が重要でしょう。
なので、あえて「開示請求等」と修飾する必要はないでしょう。
「顧客の対応」が重要と感じてもらうことが大事です。

①取得・利用
②管理
③提供
④対応
これらを「しっかり意識しましょう」ということはすべての社員に必要なことです。

ちなみに、これらのルールに対し、個人データに該当するか、保有個人データに該当するか、ということを一般社員に意識させることは極論、不要です。
法律ではその対象が定められているということは知っておいてもよいですが、「当社では、これらの個人情報に対してそれらのルールを意識しなさい」ということが大事で、基本すべての個人情報に対してこれらを意識するとともに、「これらの個人情報」を明確にして、特にそれらはしっかり意識しなさい、という方が現実的でしょう。

2017年8月21日月曜日

『はじめての個人情報保護法 ~シンプルレッスン~』の解説と活用法4-「個人識別符号」とは?

中小企業向け
『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行) 


2ページめ、P3の続きです。


「個人識別符号」とは?

以下の説明が書いてあります。

・以下①②のいずれかに該当するものであり、政令・規則で個別に指定されています

①身体の一部の特徴を電子計算機のために変換した符号

⇒DNA、顔認証データ、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋

②サービス利用や書類において対象者ごとに割り振られる符号(公的な番号)

⇒旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー等


少し不親切な説明ですね。表現もあまりよくないです。
「政令・規則で指定されている」と言われると、
それを見ないとわからないのか、
下に挙げられているのは一例にすぎないのか、
他にどんなものがあるのだろう?
と思いませんか?

実は、①については、個人情報保護委員会規則で挙げられているものは、ここに書かれている7つと、これらを組み合わせたものです。

逆に②については、これら以外に、健康保険証関連の番号が含まれます。これは書いておくべきでしょう。社員の健康保険証番号を管理することもあるでしょうし。

あわせて、
2つの項目の説明がちょっとわかりにくいですね。例を見ればわかるという感じでしょうか。

どうせなら、①は「身体の特徴をコンピュータで利用するための生体認証データ」
とでもした方がわかりやすいかも知れませんね。

②は、個人ごとにふられたり割りあてられた番号や文字そのもののことで、誰の番号かがわかるものであり、よくカード等に印字されていますが、コンピュータで利用するかどうかは関係ありません。

で、「個人識別符号」が何かがわかったところで、
そこまでだけだと実は意味がありません。
今回の法改正により、これらの個人識別符号は個人情報であたることが定められました。これら個人識別符号に対する取得や管理等の義務があるということが重要なことです。

2017年8月4日金曜日

『はじめての個人情報保護法 ~シンプルレッスン~』 の解説と活用法3-「個人情報」とは

中小企業向け
『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行)

さて2ページめ、P3です。



②「個人情報」とは

「個人情報」
『生存する個人に関する情報で、
 特定の個人を識別することができるもの』

でました!
これでわかる人はいるのでしょうか、という
定義です。

ポイントは、「で」「識別」です。

「生存する個人に関する情報、」の「で」
は、文章として「&」なんでしょうが、
そうだと思うから、結局、
「個人情報は特定の個人を識別するための情報」
と思っている人が多いのです。誤解です。

個人情報は、まず、
「生存する個人に関する情報」です。
これを生存性を呼びます。

そして、それらの情報の中で、
「特定の個人を識別することができるもの」
であるという条件があるわけです。
この条件を個人識別性と呼びます。

つまり、
「生存性があり、
 個人識別性のある個人に関する情報」
が個人情報なのです。

といっても余計にわかりにくいかもですね^^;

それは、
「識別」という言葉が聞きなれないから
ではないでしょうか。

行政機関の資料では、
「識別」を使わずに、こう書かれています。

「個人情報とは、生存する個人に関する情報であっ
て、氏名、生年月日などにより、その情報の本人が
誰であるかを特定できる情報のこと。」

わかりやすくないですか?

「その情報の本人が誰であるかを特定できる情報」
これが「個人識別性」です。

誰の情報かがわかる情報ということです。

逆に個人からみれば、
その個人に関する情報は全部個人情報である
ということです。

それが職業であろうが、趣味であろうが、
会社名であろうが、嗜好であろうが、
です。

そして、吹き出しにあるように
『顧客情報だけでなく、従業員情報や取引先の
 名刺といったものも個人情報です。』
は、もちろんそうだとわかりますよね。

だとして、
(例)「氏名」「生年月日と氏名の組合せ」「顔写真」等
これはいけませんね。

「氏名」は、それだけでも個人情報にあたると
個人情報保護委員会のガイドラインにも
明記されていますが、これを言うからわかりにくさを
助長しているように思います。
論理的にはそうかも知れませんが、これが個人情報で
あるという説明をすればするほど、本質からはずれて
しまう気がします。

だって、氏名だけにどれだけの意味があるかということを
考えればわかりますよね。名前だけのリストに関しての
安全管理措置も意味がわかりません。
自社の社員リストとか、もらった名刺の中から、
特定企業の社員だけをリスト化した、というようなものは
意味がありそうですが、それは企業名という属性情報が
あってこそです。「氏名だけ」ではありません。

ということで、
個人情報の例として「氏名」をあげてはいません
混乱のもとです。

あわせて、生年月日と氏名の組合せ」
これは、識別性の例なのか、組み合わせの例なのか、
わかりませんが、いずれにしても、例としては不適です。

唯一、意味があるのは、「顔写真」
これは、文字だけではく、写真や動画なども対象である
ということは重要なことですね。

そしてカッコで※印付きで、
注意書き的に書かれているこれ。
(※その情報単体でも個人情報に該当することとした
 「個人識別符号」も個人情報に該当します。)

ここで注意書きで書くことかなぁ。
その下に「個人識別符号」とは? が書かれていますが、
それをもとからわかっている人は、そうそう、と
思えるかもですが、初めて読む人はさっぱりわからず、
その下の「個人識別符号」とは?を読んでも、
「個人情報に該当することとした」と書かれても、
わからないですよね。

何よりまずは、
「個人識別符号」も個人情報にあたります。
と言わないと、わかりませんね。

2017年8月3日木曜日

『はじめての個人情報保護法 ~シンプルレッスン~』の解説と活用法2-「個人情報保護法」とは

中小企業向け
『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行)

具体的な内容の解説をはじめます。
まず1ページめです。P2ですね。



①「個人情報保護法」とは『平成29年5月30日から、すべての事業者に「個人情報保護法」が適用されています!』

これはご存じの方が多数だと思いますが、
個人情報保護法は、2003年に公布され、
2005年に全面施行されました。
そこから10年以上経った2015年、改正法が成立し、
2017年(平成29年)5月30日に全面施行されました。

以前は、小規模事業者はその義務の対象から
はずされていましたが、今回の改正により、
その除外措置がなくなり、
すべての事業者に適用されたということです。

[?]「個人情報保護法」とは?

『個人の権利・利益の保護と個人情報の有用性
(社会生活やビジネス等への活用)とのバランス
を図るための法律』

そうなんですが、バランスって何だ?
ということですね。

ビッグデータがますます活用されていく時代、
自分が入力したものだけでなく、IoTと呼ばれる
さまざまな機器から自動的に各種情報が集められる中、
自分の情報だとわからない情報や、
加工されたりして、統計データとして使われるものは、
まぁいいでしょうが、自分の情報だとわかる情報は、
その取扱いにはしっかり注意してほしいものです。

企業からすると、誰の情報かわかるものは、
その本人の人権にも配慮して、
しっかり管理すべし、ということです。

それが、個人情報保護法の目的として
書かれている、「個人情報の有用性に配慮しつつ、
個人の権利利益の保護する」ということです。


『民間事業者の個人情報の取扱いについて規定』

個人情報保護法は、個人情報保護に関して、
その理念や国など公的部門の施策を定めるとともに、
個人情報を取り扱う事業者や、匿名加工情報を
取り扱う事業者に対して、個人情報の取り扱いに
関しての義務が定められています。

ただし、あくまでも最低限の義務が書かれている
だけで、書かれている内容を守ればそれでよい
ということではありません

「お客様の信頼に応える」
という目的のために、このラインを下回れば、
「明らかにお客様の信頼を損なう」、
ということが書かれいていると考えれば
わかりやすいかと思います。

法律で求められている義務内容を包含し、
さらに事業内容等によって異なる
顧客へのサービスレベルを反映した
社内規程や社内ルールの実践によって、
お客様の信頼に応え、維持できるものです

一般社員は、国を向いてビクビクしながら
仕事をするのではなく、自社の事業内容に
応じて、お客様を向いてしっかり仕事をせよ、
ということが、個人情報保護法においても、
求められていることなのです。

2017年8月2日水曜日

『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行) の解説と活用法1

『はじめての個人情報保護法 ~シンプルレッスン~』の解説と活用法1

 『中小企業向け「これだけは!」10のチェックリスト付 はじめての個人情報保護法 ~シンプルレッスン~』

は、ダウンロードされましたでしょうか。


ファイルはこちらです。
https://www.ppc.go.jp/files/pdf/1706_simplelesson.pdf

この資料にもとづいてご説明と、
この資料の使い方をあわせて解説していきますね。

何回になるかは、、、

わかりません^^;
すみません。

でも最終的には、皆さんこれをベースに、
個人情報保護法に関して、社内展開についてなど、
さまざまなことが見えてくるとともに、
何をしなければならないか、などがかなり
見えてくると思います。ご期待くださいませ。

さて今日は、その第1回です。

12ページの資料ですが、
トップページは、???
これは裏表紙なのでしょうね。

・本資料は、改正個人情報保護法の概要を
 まとめたものであり、事業者の義務や例外規定の
 全てを記載したものではありません。
・より詳細な内容については、
 個人情報保護委員会のガイドライン等をご参照下さい。

とあり、以下のURLが記載されています。

○ 個人情報保護委員会ホームページ
○ 中小企業サポートページ(個人情報保護法)
○ ガイドライン等

はい、よくまとめられていると思います。
そして、もちろん義務はいっぱいあり、
各規定について例外事項もいっぱいあります。
それらは記載されていません、そして、
詳細はガイドライン等を参照しろ、とのこと。

まぁ現実的には、この表現が適切かと思いますが、
でも、何が不足していて、どこを見ればよいか
それがわからないと、結局わからないままに
なってしまうのも現実かと思います。

やはりこの資料を補完する「何か」
必要なんだろうと強く思います。

それを目指します!

2ページ目が表紙ですね。

タイトルが、

 『中小企業向け「これだけは!」10のチェックリスト付 はじめての個人情報保護法   ~シンプルレッスン~』

「10のチェックリスト付」これはいいですね。
以前のものにはついていませんでしたが、
学んだ内容と、現実的に現場を照らし合わせて
その確認をする、学びの資料としては的を射て
ますね。内容とも連動しています。すばらしい!

ただちょっと内容は??
補足がかなり必要そうです。
これはまたあとでお伝えします。

次のページは、上半分が目次で、
下半分からコンテンツが始まっています。

目次
1.「個人情報保護法」とは
2.「個人情報」とは
3.事業者が守るべき4つのルール
4.(1)取得・利用に関するルール
 (2)保管に関するルール
 (3)提供に関するルール
 (4)本人からの開示請求等に関するルール
 (参考1) 罰則
     匿名加工情報
 (参考2) 認定個人情報保護団体
 (参考3) 個人情報保護法相談ダイヤル等
【巻末資料】中小企業向け「これだけは!」チェックリスト10

よくでてきていると思いますが、
とても残念なのは、
1.「個人情報保護法」とは
に、基本理念と、制定背景・改正背景
書かれていないこと。

これらは、個人情報保護や個人情報保護法を
正しく理解する上で、必須の内容です。
これがないと、表面的な対処だけになってしまい、
誤解が重なっていく原因となってしまいます。

ここを学び始める前に、
このブログで書きました以下の内容をぜひおさらい
されてください。

「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習
◆そもそも何のための個人情報保護?◆
https://kojinjohohogoho.blogspot.jp/2017/07/3_20.html
◆個人情報保護の本質的な目的◆
https://kojinjohohogoho.blogspot.jp/2017/07/3_21.html


そもそも、個人情報保護って何?
https://kojinjohohogoho.blogspot.jp/2017/06/blog-post_18.html
個人情報保護は何のため?
https://kojinjohohogoho.blogspot.jp/2017/06/blog-post_19.html
個人情報保護法の趣旨、制定背景
https://kojinjohohogoho.blogspot.jp/2017/06/blog-post_20.html
個人情報保護法の改正背景
https://kojinjohohogoho.blogspot.jp/2017/06/blog-post_21.html



2017年8月1日火曜日

『はじめての個人情報保護法 ~シンプルレッスン~』(個人情報保護委員会 発行) の解説と活用法

■『はじめての個人情報保護法 ~シンプルレッスン~』■

個人情報保護委員会では、
中小企業向けに「中小企業サポートページ」を開設し
さまざまな資料がそちらに用意されています。
https://www.ppc.go.jp/personal/chusho_support/

そのページの ■説明資料 に
「個人情報保護法をはじめて学ぶ方のための説明資料です」
と書かれた

『はじめての個人情報保護法 ~シンプルレッスン~』

というPDFが用意されています。
https://www.ppc.go.jp/files/pdf/simple_lesson.pdf

本日(2017年8月1日)現在、
(平成29年6月)(全19ページ) (PDF:399KB) が
掲載されていますが、
この改訂版が作成されています。

それは、
■参考資料・説明会等 ページに、
https://www.ppc.go.jp/personal/pr/

□中小規模の事業者の皆様向け として

 『中小企業向け「これだけは!」10のチェックリスト付 はじめての個人情報保護法 ~シンプルレッスン~』

が、ダウンロードできます。
(平成29年6月) (PDF:2082KB) とのことです。
12ページです。
https://www.ppc.go.jp/files/pdf/1706_simplelesson.pdf

まさか、
「中小企業」と「中小規模の事業者」をわけている
わけではないと思いますので、
要は、「中小企業サポートページ」の更新を忘れている
のでしょう^^;

これをご覧になっている時には、更新されているかも
知れません。

違いはざっくり言うと、
前の19ページものは「国の資料」という感じのもので、
新しい12ページのものは、少しデザインもいれてあり、
見やすくなっているかなというところです。

前のもののリンクがなくなっていて、前のを見たい!
と思われる方は、ご連絡くださいませ。

さて、この資料、
まぁよくまとまっていると思います。

ただ、全体像と内容をよく知っている人が見たら、
ということで、要はとても難解でボリューミーな
改正個人情報保護法をよくまとめたなという感じ
です。

なので、これまでほとんど知らなかった人が、
ここから入る、としたら、ちょっと補足というか、
説明が必要かなと感じるところであります。

社員にこれを配布したり、社内Web等で共有し、
見ておけ、ということもありだと思いますが、
やはりその際も、補足等があった方がより浸透
するものと思います。

個人的にまだこの資料を使って、研修をしたり、
説明会をしたり、あるいは社内配布等のアドバイス
をしたりしていませんので、どのように使ったら
よいか、確信が持てているわけではありません。

なので、私もこの資料を研究しつつ、
この資料の解説や使い方を書いて行こうと思います。

ご期待いただければ幸いです。

2017年7月31日月曜日

「改正個人情報保護法対応レッスン」 (6)安全管理措置

◆最低限対応すべき安全管理措置◆

「改正個人情報保護法対応レッスン」、
今回で最後となりました。

もちろん、もっといろいろ知っていくべきことは
ありますが、企業の規模に関わらず、
どの企業も現実的に最低限対応すべきことを
できる限り絞りました中での最後の1点です。

それは、安全管理措置です。
ちょっと堅苦しい言葉のようですが、
要は、ちゃんと管理しましょう、ということです。

対応としては、組織的、人的、技術的、物理的、の
4つ視点から安全管理措置をとりなさいということ
なのですが、組織的、人的に関しては、ここまでで
書いてきました。

残るは、技術的、物理的、ですが、
物理的というのは、
オフィスへの入室チェックや、PCなどの持ち出しなど、
まさに物理的な対策です。

これらは、情報が漏洩しないようにするための
目に見える対応なので、わりとわかりやすく、
対応もしやすいのではないかと思います。

◆中小企業でも対応すべき技術的安全管理措置◆

それに対し、技術的安全管理措置、
これは、ちょっと大変です。

いわゆる情報セキュリティと呼ばれるものが
それだと考えていただいてよいです。

技術的にとても明るい社員がいれば、
その対応や最新情報の入手など、
責任をしっかりもってもらって任せれば
よいかも知れませんが、
なかなかそうもいかないかと思います。

でも、ITはよくわからない、と
言っている場合ではありません。

まず第一にもっておかなければならない
考え方として、「うちの会社は大丈夫」
思わないことです。

自社が持っている情報は漏洩しても
たいしたものはないので大丈夫、とか、
有名な会社ではないので、狙われることはない。

経営者の方からそんな声をお聞きすることが
よくあります。

確かに、そんなに重要と思われるような情報は
お持ちでなかったり、
知名度がそれほど高くなかったり、
一部の人だけ知る会社だったりすることが
よくあります。

そんな皆さんにもさらに
「念のために」ということではないのです。

◆あなたの会社が加害者になる◆

まず、最近の攻撃は、
皆さんの会社が被害者になるだけでなく
加害者にさせてしまうものもあるということです。

ある有名な会社に同時に多数のサイトから
攻撃をするという手口がありますが、
それは、多数の悪い人たちが集まってやっている
わけではないのです。
悪さをするプログラムを、一般企業のPCに
忍び込ませ、特定の有名な企業の攻撃をさせる
というものもあるのです。

自社には何の直接被害はないかも知れませんが、
有名な企業を攻撃してしまうのです。
どこの会社が攻撃したかということがわかる
ことも多いですから、
犯罪者にさせられることがあるのです。
共犯です。
こういうのを「踏み台」と言います。
自社が踏み台にならないようにしないと
いけません。

さらに、
特定の会社を狙った攻撃を
「標的型攻撃」と呼びますが、
その標的は、「有名な会社」である場合もありますが
「セキュリティが甘い会社」の場合もあります。

今、セキュリティの甘さをついて、
事業に利用しているファイルすべてを圧縮し、
それにパスワードをつけ、そのパスワードを
知りたければお金を払え、という攻撃が蔓延しています。
「ランサムウェア」身代金攻撃というものです。
これは、事業の大小にかからわず、仕事上で利用する
すべてのファイルがアクセスできなくなってしまうので
その瞬間からPCを使った仕事が全くできなくなります。

さらに最近は、大きな問題があります。
一昔前は、これらの悪意のあるプログラムは、
あやしいメールを開いたり、アプリをインストール
したり、Webサイトを開いたりしたときに、
忍び込んでくるというものでした。

しかし、最近の脅威は、何もしなくても、
PCをインターネットに接続しているだけで
侵入してきます
しかもその行為はほとんど見抜けません。

要は、知らない間に被害者になったり、
加害者になったりしてしまうということです。

これでは対処もできないということになりますが、
現状の可能な対応は、
OSやアプリを最新の状況に保つということです。

何もしなくてもネットワークにつながれたPCに
侵入されるのは、いわゆる脆弱性があるから
なのです。脆弱性がある、あるいは既知の脆弱性
の対応をしていないPCを見つけることは容易です。

それを探して、悪さをするプログラムを入れ込む
わけです。これは、会社の規模や事業の内容とは
全く関係ありません

となると、
その脆弱性をなくす対応をしておく必要性
よくわかりますよね。

アップデートサービスが終了したOSをネットワーク
につないで使い続けたり、更新プログラムが
でているのに適用しないと、これらのターゲットに
なってしまうということです。


もちろんそれをしていれば万全ということでは
ありませんが、最低限、それらを意識し、対応を
しておくことが求められているわけです。

こういったことも、全社員で共有し、
意識を高く持ちましょう、ということがとても
重要となります。



さて、ここまでご覧いただきましてありがとう
ござました。
正しい知識をもち、自ら高い意識で、全社で
取り組んでいく意識と最低限の対応をせねばと
思い、実際、少しずつでも対応を始めていただ
ければ、これを書いてきました価値を感じます。

ぜひ、心技体を鍛えて、お客様の信頼に応えて
くださいませ。


2017年7月28日金曜日

「改正個人情報保護法対応レッスン」 (5) 漏洩時の対応

◆個人情報の漏洩が発覚した際の対応◆

これから、個人情報保護に関してしっかり対応していこう
というところですが、そんな途中にも、情報漏洩をしてしまう
可能性は否めません。

その原因は、ミスや故意、あるいは外部からの攻撃など、
さまざまですが、どれでも自社でも可能性はある
想定しておいた方がよいですね。

個人情報保護の目的は、
お客様の信頼に応える、顧客の信頼を維持するため
であることを何度も書いてきました。

漏洩時にも、まずはここに立ち返ることが大事です。

対応が遅れたり、発表が遅れたり、
それが「何とかごまかそう」としてなら論外ですが、
「慎重を期して」という場合もあると思います。
そんな場合も、顧客は何を期待しているか
ということを基本に、対応内容やその優先順位を
考えると、おのずと見えてくるものです。

これまで、実際、漏洩してしまったことより、
そのあとの対応についてバッシングを受けた企業も
少なくありません。

漏洩してしまった時の対応は、
どんな対応をすべきかという知識と、
落ち着いてしっかり対応できるよう、
シミュレーションや訓練をしておくことが好ましいです。

対応すべき内容については、
個人情報保護委員会から、
「漏洩等が発覚した場合の対応」が、6項目で示されています。

『漏洩等が発覚した場合の対応』
として、以前にこのブログに書いていますので、
ご参照ください。
https://kojinjohohogoho.blogspot.jp/2017/06/blog-post_22.html

これらとともに、
全社員に、漏洩の疑いがあるときにすぐに報告してもらう体制
皆で対応するという姿勢など、
全社一丸となって真摯に対応することがとても大事なことですね。




2017年7月27日木曜日

「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習6

◆全社で知っておくべき内容を共有する◆

昨日、最低限これだけは知っておくべきという内容をあげました。

これらは、経営トップや経営陣の全員が知っておくべき内容ですが、
では、社員はどうでしょうか?

実は同じです。

もちろんまずは、
「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習4
で書きましたとおり、
・個人情報って何?
・そもそも個人情報保護って何のため?
を浸透させることが先です。

そして、より具体的な内容として、
「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習5
で記載した内容の概要か、
自社特有の社内規程や業務マニュアルができていれば、
その内容の要点を伝えることになります。

これらは、少人数であれば、勉強会など顔をあわせて実施することが理想です。
この方が、結局、効率的になります。

eラーニングを利用することも考えられますが、
ここで一般的なコンテンツを、延々見せるのは効果的ではありません。
自社ならではの内容を、15~20分以内で学んでもらうことが効果をあげます。
きれいなものより、手作りあふれたものの方が結果的によい場合も多いです。

◆全社でマインドを共有する◆

いずれにしても、
まずは、経営陣が本気で取り組んでいることを全社内に浸透させ、上から目線ではなく、一緒に取り組んでいこうという姿勢を見せることが、とても大事です。

これらは、正社員だけでなく、パートやアルバイト、さらに派遣社員やパートナー、そして、委託先、取引先など、事業に関係するすべての人とマインド共有をする意識がとても大事です。


2017年7月26日水曜日

「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習5

◆個人情報保護に関し、中小企業が対応すべきこと◆


「個人情報保護規程」の策定にともなって、実際の現場で、どのような対応をしないといけないか、それらを学んでおきましょう。
ここについては、あちこちで情報があふれていますが、どれも情報過多で、ポイントが見えにくいかと思います。

そこで、中小規模の企業だと、まぁこれくらいは知っておきましょうということに限定して書きます。


1.個人情報の利用目的の特定、取得の制限等

・利用目的を決めておく

個人情報を、
本人に入力してもらったり、書いてもらったりして直接取得する場合も、
ネットで公開されていたり、名簿を購入したりして間接的に入手する場合も、
ともに、その利用目的を決めておかなければなりません

後に追加や変更することもできますが、その際は指定された手続きが必要となるので、あらかじめできる限り決めておいた方がよいのです。

・利用目的を示す

直接的に取得する場合は、その際にその利用目的を示してください。
そして、できる限り同意を得ておいた方が好ましいでしょう。
同意はたとえばチェックボックスを作っておくなどしておくことで対応できます。
これは法律上では義務ではありませんが、後でもめないようにするためにそうしておくに越したことはないということです。

間接的に取得した場合は、利用目的を本人に通知するか、Webサイトで公表しておきます。

示した利用目的がウソであったり、あとで勝手に変えることは、顧客の信用を失いますから、してはいけないことは明らかですよね。

変更する場合、
その本人が想定内となりそうな内容なら、連絡するか公表すればOKです。
いやいや、そんなことに使われるとは、と想定外となりそうな変更の場合は、あらためて、同意を取り直してください。

2.要配慮個人情報の対応

今回の改正で、思想、信条、人種、社会的身分、犯罪歴、病歴等の不当な差別や偏見の原因になりうる個人情報を要配慮個人情報として新しく定義されました。
機微情報やセンシティブ情報とも呼ばれるものです。

これらは直接取り扱う企業は少なくようにも思いますが、健康診断結果も含まれますので、社員の個人情報の取り扱い時にはどの企業もあてはまりそうですので注意が必要です。

どのような注意をするかというと、
同意なく取得してはいけない、ということと、
事前同意なく第三者提供してはいけないということです。
委託はOKですが、厳格な管理が必要です。

3.安全管理措置(組織的、人的、技術的、物理的)

漏洩等をしないように、しっかりと対策をとっておくことも求められています。
漏洩時の報告ラインなど組織的な対応、全社員への教育啓蒙、そして、外部からの不正アクセスや人為的ミスをカバーする技術的な対策、さらに、情報の保管場所やPC上のアクセス権管理など、しっかりと対策をとっておくことが必要です。
対策は万全とはなかなかいきませんが、ズサンな管理では顧客の信頼を失ってしまいます

4.第三者提供、記録簿等

自社が入手した個人情報をむやみに誰かに渡してしまうのはご法度なのは簡単に理解できると思います。でも、禁止ではありません。人の紹介など、もらった名刺を見せたり、コピーを渡すとかもよくあると思います。社外に人にだと、それらも第三者にあたる人への提供にあたりますが、そんなことまで法律で規制されているわけではありません。
自社が持っている名簿をごっそり他社に渡したり、名簿屋に売ったりする際には、さまざまな義務が発生します。そういうことをしようと思った際は、その前にしっかり勉強しなおしてください。

5.保有個人データの対応

営業マーケティング等に利用するために保有している個人情報について、本人から、自分の情報がどうなっているのかという問い合わせに対応しなければなりません。これも義務としてではなく、真摯な態度で快く対応しましょう。
修正してくれとか削除してくれという依頼については、これは法律がどうのこうのではなく、ふつうに企業として対応しますよね。原則それでOKです。
変なクレーマーには対応しなくてもよいです。

6.苦情対応

苦情に対しても、法律がどうのということに関係なく、また個人情報に関することでなくても、きちんと対応することが企業価値を高めますよね。基本それでOKです。


7.組織体制

社内規程や現場の業務マニュアルなどは、一度作ったら終わりではなく、きちんと運用し、定期的にそれらがうまく機能しているかを確認することが必要です。
そして必要に応じて変更、改訂を行いましょう。
「責任者」も名前だけでなく、しっかり自負し、定期的に自分が責任者である意識をリマインドすることが好ましいですね。


あと個人情報をベースにした統計情報を入手したり、他社に提供したりすることがあれば、「匿名加工情報」に関して学んでおく必要があります。


まぁこんなところかなと思います。
これくらいなら、しっかり覚えておけそうですよね。
はい、ぜひ覚えておいてください。

2017年7月25日火曜日

「改正個人情報保護法対応レッスン」 (4) 個人情報取扱規程の策定

◆個人情報保護規程を作る!◆


さて、いよいよ実作業に入ります。
規程類を作成していくことになりますが、
ここは、経営者や経営陣自身が
実作業を行う必要はないでしょう。

しかし、規程類の体系を理解し、
担当者が作成したものをしっかり目を通すことは
必要です。

担当者がいない場合は、自身で作成するしかないですが、
「個人情報保護規程」については、
実はそんなに大変なことではないので、
がんばって作ってみてください。

◆個人情報取扱規程類の体系◆


個人情報取扱規程類は、
一旦作成した「個人情報保護方針」にもとづき
実際の行動基準となる「個人情報保護規程」
そして、
それらにもとづいた現実的な手順書や様式
などを用意します。

これらはトップダウンのピラミッド型の文書体系
となります。



この下位にあたる現実的な手順書や様式を作る
ところは、自社ならではの中身になるので、
ちょっと時間がかかって面倒かも知れません。

それに対し「個人情報保護規程」は、
ざっくり言うと、個人情報保護法の条文体系と
同じで、その深さ感というか、どこまで書くか
というものも、法律と同じレベル感でよいです。

具体的には、
個人情報保護方針とにらめっこしながら、
・目的、定義、理念等
・個人情報の利用目的の特定、取得の制限等
・要配慮個人情報の対応
・安全管理措置(組織的、人的、技術的、物理的)
・第三者提供、記録簿等
・保有個人データの対応
・苦情対応
・組織体制
あたりが含まれた形にすればよく、
匿名加工情報の取り扱いがある場合はそれも
加わる程度かと思います。

「個人情報保護規程」に関しては、
専門家に作成依頼することもよいですが、
個人情報保護規程の雛形サンプルを
インタネットで検索して、それをもとに
作成することでも、それほど変わらないと
思いますのでそれでもよいかと思います。
ただし、法改正前のものは情報不足になる
可能性があるのでご注意ください。

業務マニュアルや、様式等がすでにある場合は
それらと整合性がとれているかを確認して
ください。

まだ作成されていない場合は、
こちらも雛形を入手して、それらをベースに
することもよいですが、
必ず、先に洗い出した自社の取り扱う個人情報や
自社の業務内容にあわせたものになるよう
しっかり修正をしてください。



2017年7月24日月曜日

「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習4

◆経営陣全員が個人情報保護の目的を理解すること◆


ここまで何度も、
「個人情報保護」の目的と、
「個人情報保護法の基本理念」が
大事であるとお伝えしてきました。

もうわかった、と思われるかと思いますが、
それらを経営者がまずしっかり理解し
そして経営陣全員が、同じレベルで理解している
状態にするところから対応が始まります。

これを読んでいただいている皆様は、
もうしっかり頭に入ったと思いますが、
経営陣すべてにぜひ伝達し、
しっかり理解してもらってください。

この
「改正個人情報保護法対応レッスン」
読んでもらうことがよいかも知れません。

企業によっては、勉強会を開くのもよいと
思います。
顔をあわせて、しっかり向き合うことで
いろんな好要素が生まれます。
細かい内容に踏み込む前に、これだけに
フォーカスして話し合うことにとても
意義があるのです。

実際、私も勉強会にオブザーブ参加させて
いただいたり、ファシリテーションしたり、
主催したり、いろんな形で関わらせていただ
いたりしますが、どれも皆、
ほんの1時間でも皆さん大きく意識が変わられます

本格的な対応を始めるのは、そこから
ということを確信しています。
そのあとの効率も、成果もまったく違うことを
体感しています。

◆社員や従業者全員が個人情報保護の目的を理解する◆


そして、企業の人数規模にもよりますが、
これらを全社員、全従業者にも伝達、共有する
ことが大事です。

細かい法律条文や社内規程を勉強させる前に
これらをしっかり浸透させておくと、
二度手間になってしまいますが、結果、本当に
成果のある、意義のある社員教育となります。

社員教育は、まずプレ教育として、
・個人情報って何?
・そもそも個人情報保護って何のため?
これらを浸透させてください。

そうすれば、多くの人に
もっと「具体的に知りたい」という欲が
でてきます。




2017年7月21日金曜日

「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習3

◆個人情報保護の本質的な目的◆


「個人情報保護」の目的と、
「個人情報保護法の基本理念」
個人情報保護への対応に際し、
とても大事であることを書きました。

そして、個人情報保護の目的は、
お客様の信用・信頼を維持すること、
と書きました。

これに対し、「そうそう」と思えるようで
あればOKです。

「ん?」と思った方は、そこから勉強です。

個人情報保護法は、2003年に初めて公布されました。
そのころから「個人情報保護」という概念と対応が
必要になってきたということです。

そして、2005年には全面施行され、多くの事業者が
対応をすることになりました。

基本的に、法に触れることはしてはいけない
という意識は誰しもあるものですが、
もともと、個人情報保護法は、事業者に対し、
法を定めたのでそれに抵触することをするな
という趣旨ではありません

今回の改正で、少しだけそのような内容が
付け加わりました。
でも、「要配慮個人情報」と定義されている
センシティブな情報の取り扱い方と、
名簿屋やそこから得た情報の取り扱い方くらいです。

それ以外は、基本的には、
「国が定めた縛りに事業者は従え」というものではなく、
国は、事業者に対し、「顧客の個人情報を適正に取扱い、
個人からの信頼のもと、事業をますます発展させなさい」
そのためには、「最低これだけのことを守りなさい」
と言っているのです。

極端な話、違法状態であっても、顧客からの信頼が保て、
顧客が喜ぶようであれば、特にとがめることはない、
と解釈できる条文もあります。

要は、個人情報保護法は、
事業者を取り締まるための法律ではなく
事業者に、このIT社会、ネットワーク社会において
その進展を国や社会の発展につなげるために、顧客との
信頼関係を保ちなさいと注意を呼びかけてくれている
法律なのです。

もちろん、悪徳業者は取り締まられることになります。
そのための罰則もあり、改正法では強化されました。
しかし、悪徳業者でない限り、そして顧客の信頼を
損なう行動でない限り、罰則は適用されません。

個人情報は、顧客から預かっているものです。
自分の情報を「このように使ってくれ」と事業者に
託してくれているものです。

その期待の応えつつ、自社の事業の発展に利用する。
これがあるべき姿です。

顧客の信頼に応えられるよう、
しっかりとした取扱い体制を作り、
すべての社員がその意識を持ち、
情報セキュリティ対策もしっかりする。

これらが、個人情報保護法で求められていることであり
そもそもの「個人情報保護」の目的なのです。

2017年7月20日木曜日

「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習2

◆そもそも何のための個人情報保護?◆


個人情報保護に関して対応していくにあたって、
まずは、会社の代表者か、少なくとも経営陣の
誰かが、個人情報保護についてしっかり理解
しておくべきということを昨日書きました。

社長をはじめ、すべての経営メンバーが
そうであるのが理想ですが、
まずは、先鋒隊だけでもよいです。

その内容は、
「個人情報保護」の目的と、
「個人情報保護法の基本理念」
しっかり理解すべしということです。

それらの理解ができれば、
どのような社内体制をとればよいか、
どんな社員教育をすればよいか、
そして、情報セキュリティ対策の重要性も
見えてくると思います。

個人情報保護の目的は、
お客様の信用・信頼を維持することです。

そして、
個人情報保護法の基本理念は、
個人情報は、個人の人格尊重の理念の下に
慎重に取り扱われるべきものであるので、
適正な取扱いを図れ
ということです。

これは、そもそも憲法で示されている内容から
きているものです。
それほど、基本的なことなのです。



2017年7月19日水曜日

「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習

◆規程類を策定する前に◆


さて、
規程類を整備していくことになりますが、
その前に、まずは会社の誰かが、
自社では、何をすべきで、どう策定すべきかを、
ちゃんと理解していないといけません。

多くの企業で、
外部に任せるか、結局何もしないか、
という状況に陥ってしまっていますが、
それは、社内の人で、
最低限の知識をもっている人がいない
ということが一番の課題でしょう。

要は、外部に任せるにも、
何をどう任せればよいのか、
あるいは何をアドバイスしてもらっているのか
それらを聞ける・わかる人が必要だということです。

これは、過不足のない「適正な対応」
するためにも必要なのです。

以前に対応させていただいた企業様の中には
「なんでここまでやるの?」と思えたり、
これは何のためにやっているの?という質問に
「自分たちではよくわからないけど、
 とりあえずやれと言われたから」
という返答をいただいたこともありました。

高いコンサルティング料を払って、
それではもったいないし、しかも成果につながらない。

やはり、聞く力、理解できる知識が必要ですね。

それらを備えた人が、社内にすでにいる場合は
基本OKですが、それでも、経営陣、できれば
代表者がそうであってほしいです。


◆代表者が知っておくべきこと◆


では、何を学べばいいのか?

そこに時間や労力がかかりすぎては、
意味がありませんね。

でも、個人情報保護法は難しそうだし。。
はい。で、そこで止まってしまうのですよね。

でも、解決法はとてもシンプルです。

「個人情報保護」の目的と、
「個人情報保護法の基本理念」を
しっかり理解することです。

それらを本質的に理解していれば、
コンサルタント等のアドバイスも理解でき、
そのアドバイスどおりの対応が自社に必要か
どうかも、わかるようになります。

2017年7月18日火曜日

「改正個人情報保護法対応レッスン」 (2) 個人情報の洗い出し

◆そもそも個人情報って何?の理解◆


さて、
個人情報保護方針が一旦作れたところで、
実作業に入りますが、まず行うことは、
自社で取り扱っている個人情報の洗い出しです。

でも、それを行う前に、
そもそも個人情報って何?ということを
正しく理解していないとせっかくの作業の
意味が薄れてしまいます。

個人情報は、
個人情報保護法第2条に書かれていて、
個人情報保護委員会のガイドラインに説明が
書かれていますが、
おそらくこれを何度読んでも、理解しにくい
でしょう。

なぜなら、「識別」なんていう
ふだんはあまり使うことのない単語が、
とても重要な意味をもっているからです。
そして、その識別の意味を、法律のプロですら
誤解していることがあり、
まして、個人情報保護について教えている講師
の多くが間違えているからです。

断言調で偉そうに言ってしまってますが、
本当に、ウソを教えるなよぉ、と思う講師が
あまりに多いことを残念に思うとともに、
それらの人の教えてもらって、結局誤解した
ままの人があまりに多いことに嘆きがでる
とともに、何とかせねばと考え、活動をして
いるところです。

◆結局、個人情報とは、こういうこと◆


ここは、法律条文や法の解釈がどうであれ、
自社の解釈として、
「誰の情報がわかる情報はすべて個人情報」
と考えてください。

テーブルがあって、それと突き合せれば
結局、誰の情報がわかるという情報も
個人情報です。

写真も、映像も、誰かわかるようであれば
個人情報です。


◆個人情報の洗い出しの際に重要なこと◆


そして、その上で、
それらの情報は、いつどのように取得したか
何に使っているかこのあと何に使う可能性が
あるか。ということもあわせて洗い出しを
することが重要です。
結構大変です。

本来なら、いつどのように取得したか
については、その際、どのような利用目的
取得すると、言っていたか、書いてあったか、
も、法律的には重要です。

これは重要であるにもかからわず、
現実的には、実質ムリという感じの企業が
多いのではと思います。

現実的な対応としては、
顧客が想定できる範囲で利用しているようで
あればまぁOKとして、
そうでない可能性が少しでもあれば、
同意を求め直すべしと考えることかが良いかと
思います。

これらの作業をしっかりすれば、
これから取得する際に、何をしておくとよいか
が見えてきますよね。

これらもできればプロのアドバイスをうけた方が
安心で、結局、効率的になると思います。
そのプロを選ぶことも大事ですけどね。

2017年7月14日金曜日

「改正個人情報保護法対応レッスン」 (1)個人情報保護方針の策定3

◆なぜ先にとりあえず個人情報保護方針なのか?◆


個人情報保護方針は、
規程類などを整備してから作成する
というのが一般的な手順のように
書かれていることが多いと思いますが、

実際、時間も余裕もない小規模事業者では
現実的には、それが高いハードルとなって、
結局、何もしないままになっている、
という現状を打破する策として、
この方法をお勧めし、推進しています。

個人情報保護方針だけでもとても重要で、
実はそこにすべてが含まれているのです。

◆個人情報保護方針策定の際の2つの重要なこと◆

そして、このあと進めて行く上で、
2点重要なことがありますので、
理解しておいてください。

●1つ目は、

この個人情報保護方針を、
コピペベースで作るにしても、
必ず、経営陣/取締役が参画し、
その人の責任で策定すということです。

現場の担当者が決め、
決済(ハンコ)だけもらうという形式
ではダメです。

そこに書いてあることについて、
せめて概要だけでもわかっている、
ということが重要です。

これを機会に、役員と一緒に勉強会を
実施することもよいでしょう。

そもそも、「方針」は、経営方針であり、
一般的にも取締役決済事項ですよね。

個人情報の取り扱いについて、
詳細はわからないにしても、
この方針については、
知らない、わからない、という状態では
③ 企業価値向上
顧客からの信頼なんて維持できるわけがない
ということです。

●2つ目は、

法律を守っていれば良いということではない
ということです。

昨日にも書きましたが、
まず、コンプライアンスというのは、
法律遵守ではなく、法令等の遵守です。

そして、そもそも個人情報保護法は、
事業者が対応すべき事項について、
すべてが明確に書かれているわけでは
ありません。

そこには「解釈」が入ってきます。
これはどの法律でもそうで、
今、憲法でもその議論がありますね。

その部分は、法律家や弁護士など、
法律のプロが行う部分ではありますが、
個人情報保護法に関しては、
個人情報保護委員会の解釈がその基準に
なります。
しかし、それでもすべてが網羅できて
いるわけではありません。

さらに、
これらの法律側の解釈だけでなく、
自社ではどうとらえるかという、
「自社における解釈」が重要となります。

違法でない範囲であければ、
自社での解釈が優先されるということです。

「解釈」については、
以前にこのブログで書いた内容もご参照ください。

『法律の「解釈」の注意点と重要性』
『注意点(2)2つの解釈を混同しない』



簡単に言えば、
個人情報保護に関し、
「国を向いて取り扱う」のではなく、
「顧客を向いて取り扱え」
ということです。

弁護士さんの法解釈がどうであれ、
自社の顧客の信用・信頼の維持・向上を
考えたときに、どう対応するか、
ということを優先して考えることです。

違法すれすれの対応ではダメなことは
明確ですよね。

ということになれば、
経営陣が対応すべきことであることも
理解できますよね。

法律条文や弁護士の解釈がどうだという
ことを理解してください、
ということではなく、
顧客からの信用・信頼や、企業価値向上
について、自ら積極的に考え、関与して
ください、ということです。

それなら、あたり前ですよね♪

2017年7月13日木曜日

「改正個人情報保護法対応レッスン」(1) 個人情報保護方針の策定2

◆とりあえずまず個人情報保護方針を作る意味◆


前回は、何よりもとりあえず、
「個人情報保護方針」を策定して
Webサイトに掲げましょう、
というお話をしました。

まずはそこに書いてある内容について、
自身が理解することが大事だからです。

他社のものを見てみると、
よく似ているものの、
結構いろんなパターンがあることにも
気づくと思います。

その中からしっくりくるものがあれば
それをもとに自社のものを作ることが
まずはよいでしょう。

その判断すらできない、あるいは、
どれもしっくりこないという皆さんは、
とりあえずこちらをご覧になってみてください。

http://expert-promo.com/privacy.html
(私が携わっている仕事の中で、
これは個人事業として実施しているものです)

さて、もととなるテンプレートができた上で、
これってそもそも何なのか?何のため?
という理解をしておきましょう。

これらは極論、Webサイトに出しておけばよい、
というものではありますが、
そこに、経営者の思いが入っているかどうかで、
そこから派生する違いが大きくなることも
あります。

この中に、思いを入れましょう
ということです。


◆個人情報保護方針に盛り込む思い◆

ではその思いは何かというと、

今、大きな企業では義務であり、
小さな企業でも、努力義務である
「コーポレート・ガバナンス」

売上を向上させることだけが主眼だった時代は
終わり、企業としての取り組み姿勢が問われる
時代となっています。

重要な「取り組み」は、以下の3点です。
① 法令等遵守
② リスク管理体制
③ 企業価値向上

それぞれ説明します。
① 法令等遵守
「コンプライアンス」と言われるものですが。
コンプライアンスは「法令遵守」と
訳されることが多いですが、正確には間違い
です。
法律だけを守っていればよいということではなく、
業界ルールや、一般常識的なモラルなども含まれます。

自社が決めた方針や社内規程についても、
しっかり遵守する姿勢があるかということも
含まれると考えるべきでしょう。

そして、
② リスク管理体制
ウィルスや標的型攻撃など無差別に広がる攻撃が
蔓延しており、今や他人事では済まされません。
自社の事業規模に応じて、
しっかり安全管理措置に取り組んでいる姿勢を
示めすことが大事です。

それらの上で
③ 企業価値向上
これはさまざまな要素がありますが、
少なくとも、顧客からの信頼
どの企業でも第一となるでしょう。
個人情報の取り扱い一つで、一瞬にして信頼を
無くしてしまうこともあり得ます。
逆に、一つひとつの積み重ねが顧客からの信用、
信頼を築いていけます。

「個人情報保護」の主な目的は顧客からの信用、
信頼を維持することです。

これらを個人情報保護方針で、
それらを示すのだと考えて作成してみましょう。

2017年7月12日水曜日

「改正個人情報保護法対応レッスン」(1) 個人情報保護方針の策定

◆個人情報保護方針を策定する◆


まず、
(1)個人情報保護方針を策定しましょう。



実はこの方針はとても大事です。
なのに、どこかからのコピペでそれでよし
としている事業者がたくさんおられます。

これは、対外的に自社の取り組みを示すもの
ですから、そこが安易に作ってあると、
顧客の信頼を損ないかねません

個人情報保護方針は自社の事業の内容
しっかり反映したものでないといけません。

であれば、
個人情報の洗い出しなどをしっかり行い、
個人情報保護関連の規程類を整備してから
でないといけないじゃないか、とお思いの
皆さんが多いと思います。

そのとおりです。
最終的に、Webサイト等で公表する内容は、
それらを反映したものでないといけません。

しかし、元来、「方針」は最後に出来上がる
ものではありません。
最初に決めるものです。

ではどうやって決めるのか?
まずは、コピペでもいいです。
一旦、作成してみることです。

もしすでに作成してあって、
Webサイトに掲載している場合は、
それをしっかり読んでみてください。

そこに書いてあることをちゃんと実践
しているか、
その内容で今でもことが足りているのか、
まずは、法改正をまだ意識せず、
現状の把握をすることです。

まだ、作成したことのない事業者さんは、
他社の掲示しているそれらなどを参考に
とりあえず作成してみてください。

一つの基準として、
プライバシーマーク認証基準である
JIS Q 15001や、
それらを参考に作成されていた
以前の経済産業分野のガイドラインでは、
以下のように示されています。

『事業者の代表者は,個人情報保護の理念を明確にした上で,次の事項を含む個人情報保護方針を定めるとともに,これを実行し維持しなければならない。
a) 事業の内容および規模を考慮した適切な個人情報の取得,利用および提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱いを行わないことおよびそのための措置を講じることを含む)。
b) 個人情報への不正アクセス,個人情報の漏洩,滅失またはき損の防止ならびに是正に関すること。
c) 苦情対応に関すること。
d) 個人情報の取扱いに関する法令,国が定める指針およびその他の規範を遵守すること。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
f) 代表者の氏名  』

最低限、これらが網羅されているかどうかを
意識しながら、見よう見まねでいいので、
作成してみてください。


(今、毎月社数限定で
「個人情報保護方針」無料簡易診断
というサービスをご提供しています。
おかげさまで、個人情報保護関連の
書籍の執筆も、先週に脱稿しましたので
今月の対応も開始いたします。
ただ、宣伝的なものは、土日に書かせて
いただくことにしますので、
次の土日まで、少々お待ちください。)

2017年7月11日火曜日

「改正個人情報保護法対応レッスン」学習内容

◆「改正個人情報保護法対応レッスン」目次 ◆

「改正個人情報保護法対応レッスン」
を、予定では今月いっぱいかけて、
以下の内容で書いていきます。

■目次■
(1)個人情報保護方針の策定
(2)個人情報の洗い出し
(3)対応のための事前学習
(4)個人情報取扱規程の策定
(5)漏洩時の対応
(6)安全管理措置

実際の対応について、
これらはどれも重要で、
重要度や優先度は、
すべて「高」です。

では、順番はというと、
同時が一番ですね^^;

でもさすがに一瞬で実施するのは
難しいですから、
あえて、流れのシナリオを考えると
上のような順番かなと思います。
一般的なものとは違うかと思いますが
いろんな現実的なことを勘案すると、
このようになります。

まずは、概要をお話します。

何よりもまず、
「個人情報保護方針」を策定しましょう。
多くの事業者さんは、Webサイトに掲載されて
いると思います。
そうだとしても、まずはそこからです。
まだ作成されていない皆さんはここからです。
なぜここからか、ということもお話します。

次に、
自社で取り扱っている「個人情報の洗い出し」
これで結構大変な作業となります。
しかも、そのためにまずは個人情報って何
ということも明確でないといけません。

そして、社内ルールを作ることになりますが、
その前に、責任者や担当者がちゃんと勉強
してからでないといけません。

さらに、何かあったときに対応も想定しておく
ことが必要です。これをしておくことによって
かなり現実感がでてきます。

あわせて、
日々、PCやネットワークを利用している事業者は
最低限の情報セキュリティの知識と最低限の対策
を施る必要があります。
やろうと思えばいくらでも深い世界ですが、
だから何もしないということではいけません。
最低限の対応と維持が必要です。

結局、ちょっと重たい感じがしてきますが、
でも、机上の理想ではなく、
現実的な視点で進めていきますので、
ぜひご対応されてください。


2017年7月10日月曜日

「改正個人情報保護法対応レッスン」

◆「改正個人情報保護法対応レッスン」をスタートします◆

すでに今年5月30日から
中小企業や小規模な店舗・ショップなども
対象となっている改正個人情報保護法

しっかり対応されている皆さんも
おられると思いますが、
「よくわからない」
「結局、何をすればよいの?」
という皆さんも多くおられると思います。

できるだけシンプルにお伝えしようと思い、
これだけは最低必要だなぁと思うものだけ
にそぎ落とそうとしましたが、
結局、これだけが残りました。



7月の平日はこのあと15日あります。
今月いっぱいかけて、
必要内容の掲示ではなく、
読んでいくと自然に、
学んでいただけるように書いていきたいと
思います。

ぜひご参考にされつつ、
しっかり学んでいただければと思います。

題して、
「改正個人情報保護法対応レッスン」
略して
「個情法対応レッスン」

ご期待いただければと思います。
よろしくお願いいたします。

2017年7月7日金曜日

責任者の作り方

中小規模事業者の個人情報保護対応として
まずは責任者を明確にするということを
書きました。
http://kojinjohohogoho.blogspot.jp/2017/07/blog-post_5.html

そして、誰が適任かというと、
「個人情報保護のことをよく理解している
 取締役」
であるとお伝えしました。
http://kojinjohohogoho.blogspot.jp/2017/07/blog-post_6.html

そんなのがいれば理想的だ、
ということかも知れませんが、
であれば、その理想を求めましょう♪

「個人情報保護のことをよく理解している」
と「取締役」
どっちが大事かというと、
両方です^^;

でも、一般社員が取締役には、
そう簡単には任命できません。
ということでは、
取締役が、
個人情報保護のことをよく理解する
しかないですね。

はい。
これをお読みいただいている皆さんが
取締役、つまり経営メンバーなら、
あなたが、責任者として立候補し、
個人情報保護のことをよく理解しましょう

もし経営メンバーでないなら、
あなたの属する組織の上司か、
あなたがが思う適任者を選び
個人情報保護のことをよく理解して
いただきましょう。

いずれにしても、
ここを読んでいただければ、
個人情報保護のことがよく理解できるように
なります。

それらの皆さんがよく理解できるように
書き進めて行きます。

あとで考える、ではなくて、
いま考えて、すぐに行動してくださいね。

2017年7月6日木曜日

個人情報保護責任者として最適なのは誰?

さて、小規模事業者においては、
まずは責任者を明確にしましょう
ということでしたが、

では責任者は誰?

そりゃ社長でしょう、
いやいや管理部長だろう、
それなら情報セキュリティに詳しい主任か、
など、たらい回しになりそうです^^;

そこがまず問題です。

よし自分が!
という人が複数現れるような組織でないと
なかなか漏洩事故はなくなりませんし、
お客様からの信頼を維持できません。

とはいっても、
そんな理想めいたこと、
無理だよなぁと思われる企業も
少なくないかと思います。

でも、単なる理想ではありません。
実際、複数の企業がそうなりました。
しっかりとした教育とコンサルをすれば
可能なんです。
ここは宣伝ぽくなるので、
興味のある皆様にだけお伝えすることにして
話を戻します。

責任者として最適なのは誰か
それは、
「個人情報保護のことをよく理解している
 取締役」です。

もちろん代表取締役でもよいです。

さてそれはあなたですか?
あなたの会社にいますか?

2017年7月5日水曜日

中小規模事業者がまず最初にすべきこと

改正個人情報保護法での
小規模事業者への緩和措置については、
以下のように書かれています。

政府の基本方針で、
「個人情報取扱事業者等が講ずべき
 個人情報の保護のための措置に関する
 基本的な事項」として、

個人情報の保護及び適正かつ効果的な活用
 について主体的に取り組むことが期待されて
 いるところであり、体制の整備等に積極的に
 取り組んでいくことが求められている。
 その際、事業の規模及び性質、個人データの
 取扱状況等に応じて、各事業者において適切な
 取組が実施されることが重要である。』
と書かれています。

そして、
個人情報保護委員会のガイドライン(通則編)」
の「(別添)講ずべき安全管理措置の内容」
において、

『具体的に講じなければならない措置や
 実践するための手法例等』が示されていて、
そこで、個人情報取扱事業者が講ずべき
安全管理措置とともに、中小規模企業では
『取り扱う個人データの数量』や、
『個人データを取り扱う従業者数』
が少ないことなどを踏まえ、
円滑にその義務履行し得るような手法の例』
が示されています。

いろいろ書いてありますが、
何より重要であり、第一歩目にすべきことは
「個人データを取り扱う従業者が複数いる場合、
 責任ある立場の者とその他を区分する」
でしょう。

「従業者」とは、社員だけでなく、
経営者や他の役員、さらにアルバイト等も
含みますので、個人データを取り扱う従業者が
複数いるという条件は、個人事業主以外は、
実質的にはすべての企業や団体が該当するでしょう。

つまり、重要なことは、
「責任者を明確にしなさい」
ということです。

全員役員の少人数企業などでは、
全員が責任者という状況があるかも
知れませんが、
個人情報保護に関しては、
それでも、責任者を決めましょう
ということです。

2017年7月4日火曜日

事業規模に応じたリスク管理が求められています

改正個人情報保護法で、
新たに対象となった小規模事業者に対して、
特別な配慮がなされています。

個人情報保護委員会のガイドラインに
「事業が円滑に行われるよう配慮する」
と書かれています。

もともと、政府の基本方針の中で、
「事業規模に応じた対応をすること」
と書かれており、
法律としては、一律の規定を課しているが
その対応レベルは、各社によって
その事業規模に応じて検討せよ
ということです。

事業規模とは、
企業の規模だけでなく、
取り扱う個人情報の数や、
それらが漏洩した際の影響などのこと
をいいます。

社員数が数千人という会社でも、
顧客情報はほとんど取り扱わない
という会社や、
数名の会社ながら、何万人という
顧客情報や、センシティブ情報を
取り扱うという会社もあるでしょう。

「事業規模」による勘案の際は、
まずは、自社が取り扱っている
個人情報や、今回定義された
要配慮個人情報をどれだけの規模で
取り扱っているかを洗い出すことが
大事であることもここでわかります。

これらは、
一般的な「リスク管理」と同様なので
その一環や一部として作業することが
好ましいと考えられます。

2017年7月3日月曜日

中小規模事業者には緩和措置が、でも・・

本日より正式にこちらで書いていきます。
よろしくお願いいたします。

2003年に公布された個人情報保護法は、
過去6ヶ月以内に取り扱う個人情報が
5,000件を超えない事業者は、
義務規定の対象からはずされていました。

2017年5月30日に全面施行された
改正個人情報保護法では
その措置がなくなり、
中小企業や自治会や同窓会などを含めて、
実質すべての事業者が
義務を負うことになりました。

しかし、個人情報保護委員会が作成した
「個人情報保護法ガイドライン(通則編)」
において、
「中小規模事業者」は、
安全管理措置について、特例的に
緩和された内容の対応が許容されています。

安全管理措置とは、
事業者が実質的に対応すべき内容ともいえる
とても重要なことです。

そして「中小規模事業者」とは、
従業員数が100人以下の個人情報取扱事業者で、
①以前から対象外ではなかった、取り扱う
個人情報の数が過去6ヶ月以内に5,000を超える者
と、
②委託を受けて個人データを取り扱う者
以外のことを指します。

これはマイナンバー法と同様です。

つまり、
改正前まで、この除外規定にあてはまっていた
中小規模事業者は、安全管理措置については、
委員会のガイドラインに示されているとおりの
緩和措置レベルで対応すればよい、
ということになります。

というのが、一般的なよくある説明。


では、現実的にどう対応すればよいのか
というと、

結局、ガイドラインをしっかり読まないと
いけないわけです。
そして、緩和内容に関しても、
何となく、引き算的な記載がされているように
思えますので、実質的には、
本来求められている対応内容を理解した上で、
中小だからこの程度でよいのだ、
という理解をしないと、
結局、わかりにくいように思います。

そのあたりも考慮して、
できるだけわかりやすいように
ボチボチ書いて行こうと思います。

2017年6月30日金曜日

ブログ移行のお知らせ

改正個人情報保護法が5/30に
全面施行されました。

小規模事業者も対象となった今回、
まだまだ多くの事業者さまが
対応にあぐねられている今、
少しでもお手伝いができればと
6月頭から、毎日思うところを書き綴ってきました。
しっかりとシナリオを作って何日分か書き溜めて、
と、できればよかったのですが、
結局、その日に書きたかったことをそのまま書いて
きましたので、読みずらかったかと思います。
申し訳ありません。

今年も半分が終わり、明日から後半になります。

ここで、気持ちをあらたに、
7月から、少しは整理して、
結局、何を勉強し、どう対応すればよいのか
という現実的なことを、小規模事業者さんでも、
わかっていただけるように、
どちらかといえば、それらの皆様向けに、
書かせていただこうと考えております。

あわせて、諸事情により、
7月からは、こちらのGoogleさんのブログで
書かせていただくこととしました。

6月分の内容も移行元からこちらへ移行しております。
(一部修正もしております)

あらためて、
「改正個人情報保護法 事業者の取り組み方」
ブログをよろしくお願いいたします。



2017年6月29日木曜日

「個人情報の定義」の正しい理解から

「個人情報の定義」について、
ここを間違えていては、
個人情報保護法への対応の根本を間違えて
しまいます。

今回の法改正で、
小規模事業者も対象となりました。
安全管理措置については、
多少の緩和措置がありますが、
それでも、
個人情報の定義を間違えていては
いけません。

私も、中小規模企業様のサポートを
よりしっかり尽力させていただこう
と考えております中で、
今回、法改正を期に作成された公式的な
資料も探し、目を通していました。

そんな中で、
独立行政法人 中小企業基盤整備機構さんが、
日本商工会議所とJIPDECとの共催で、
弁護士さんを講師とした半日セミナーを
昨年10月末に開催された記録がありました。

中小企業経営者、管理者、従業員、
小規模事業者等、中小企業支援担当者を
対象とされていて、
まさに、今回あらたに法対象となった
前提知識が少ない人向けです。

これに参加された方は、かなり意識の高い
方々だと思います。
130人規模で実施されたようで、
とてもすばらしい取り組みだと思いました。

そして、その講座動画が公開されています。
これもとてもすばらしいことだと感心しました。

そしてそして、
個人情報の定義の重要性も話されています。
OK!

しかし、
「個人情報=特定の個人を識別することができる情報」
という説明。
そして、
「特定の個人を識別することができるとか?」
という項目がありながら、そこにはふれず、
結局、よくある誤解を導く説明になっています。
とても残念。

しっかり聞かれた方も、
結局、個人情報って何だ?
自社で取り扱っている個人情報はどれだ?
と、混乱されたままではないかと。
とても残念に思います。

そのあたりは、ちゃんとJIPDECも
内容を監修しているのかと思い、
JIPDECの関連資料を調べている中で、
JIPDECの問題に行き当たったのです。

個人情報は、
「特定の個人を識別できる情報」
と覚えると、わけがわからなくなります。

「特定の個人の情報だと識別できる情報」
なら、誤解は少ないかも知れません。

もっと簡単にいうと、
ある特定の個人のものとわかる情報、
誰の情報かがわかる情報は、
その人の個人情報であるということですね。

個人側から言うと、
特定の個人に関する情報はすべて個人情報、
と解釈することが、事業者における
対応の検討に、ふさわしいと考えます。

結局、
「識別できる」とか、「識別することができる」
という言葉が、わかるようでわかりにくい
表現なんだろうなぁと思います。

ここを今一度、
わかりやすく誤解のない説明をすることに
しっかり取り組み、
一人でも多くの方が、個人情報について、
誤解なく正しく理解し、それぞれが
それぞれの立場で、しっかり対応をして
いただきたいという思いで、
その志をもとに活動をしていこうと思います。

ご賛同いただける皆様、ぜひご協力を
よろしくお願いいたします。

2017年6月28日水曜日

とんでもない個人情報の定義の間違い

「個人情報の定義」の重要性と
多くの人が誤解していることを、
6/9~12の4日間にわたって書きました。

その中の、6/10、
『先ず「個人情報の定義」より始めよ! 』
http://kojinjohohogoho.blogspot.jp/2017/06/blog-post_10.html
の回で、
「とんでもないことに行き当たりました。。」
と書きました。

具体的に何?ということを
書いていませんでした。

あらためて確認ですが、

個人情報は、
『個人を特定するための情報』
ではありません。


そして、
個人情報保護といえば、
プライバシーマーク制度が有名ですね。
取得されている企業の皆さんもおられると
思います。

その運営母体はご存じJIPDEC。

なんとそのJIPDECが、
個人情報の定義を間違えていたのです。


JIPDECが公表している
「よくわかるプライバシーマーク制度」
というページがありますが、
その1時間目『「個人情報」の基礎知識』に
『「個人情報」と「プライバシー」の違い』
というページがあります。
https://privacymark.jp/wakaru/kouza/theme1_03.html

その中で、まず先に個人情報の説明がありますが、
そこについ最近まで、
『これまで学んできた通り、「個人情報」とは、
個人の氏名、生年月日、住所などの個人を特定する

情報のことです。』
と記載されていたのです。

今は、
『これまで学んできた通り、「個人情報」とは、
本人の氏名、生年月日、住所などの記述等により
特定の個人を識別できる情報のことです。』

と、修正されています。

今、修正されているから一応よいものの、
訂正記録や訂正記事などがありませんから、
以前に見た人は、誤解のままかも。
いけません。。



2017年6月27日火曜日

法律の「現実的な解釈」

今週は、今月ここまでのレビューと、
書き漏れや書き加えなどの続きを含めて、
書かせていただきます。


『法律の「解釈」の注意点と重要性』
https://kojinjohohogoho.blogspot.jp/2017/06/blog-post_4.html
として、改正法を
事業者に反映、展開していくためには、
法令等の規定条文そのものではなく、
まずはその法令等の「解釈」を
しっかりしないといけないことを書きました。












まずはこの「解釈」に注意が必要で、
古い情報や、制定過程の情報などに
まどわされてはいけないということでした。

あわせて、
これはまだ書いていませんでしたが、
自社に反映するために、
もう一段、「現実的な解釈」を
しっかりすべしということです

法律で求められていることギリギリで
社内規程を作ってはいけない
ということでもあります。

法律で求められていることを、
自社の事業に照らして、
どう解釈し、どう反映するか、
さらに、自主規定をどう作るか
大事な点になります。

その時に重要なのは、
個人情報保護は、
国を向いて意識するのではなく、
顧客を向くこと
です。

社内規程は、
まずは従業者、そして顧客・パートナーに
目を向けて、しっかりと目的意識をもって
策定しなければなりません。

2017年6月26日月曜日

個人情報保護のバイブル書籍

6月も最終週となりました。

5月30日の改正法が全面施行された後、
少しでも多くの事業者さまが、
正しく対応できるようにと、
後先考えずにとりあえず
このブログをスタートさせました。

今、私は書籍を執筆中で、
それに関連したり、毎日思いついたことを
そのまま書いてきましたので、
あっちとんだりこっちとんだりと、かえって
ややこしく思わせてしまったかも知れません。
すみません。
ただ、どれも重要なことで
優先順位は皆高いみたいな感じです。
7月から、具体的な内容を、
正しい内容をお伝えすることはもちろん、
ちゃんと順番を意識して書いて行こうと
考えています。

「正しい内容」については、
ちょうど、最高最適なバイブルを手に入れる
ことができました。

個人情報保護に関する第一人者は、
やはり堀部政男先生。
言わずとしれた、個人情報保護委員会の
委員長です。
終身委員長でもよいかと思っていますが、
全面施行を終え、生前譲位!?される
という噂もありますが。

その超人的天才である堀部先生に対し、
その教えを受けた上で、
現場の知識と意識を持ち、
情報学博士であり、
情報セキュリティの見識も高く、
法解釈と実際の現場対応の掛け算では、
ダントツの第一人である
岡村久道弁護士が書かれた大作であります。

法制定時から出版され、ガイドライン等の
改正にあわせ、改訂されたものが、
今回、5月30日時点で公表されている、
施行令、施行規則、ガイドライン、Q&Aなど
すべて網羅し、大改訂されたものです。

7月頭には書店に並ぶと思います。




プロ向けな感じなので、
一般の人には、辞書的な使い方になるのかな
と思いますが、一般の人である私ながら、
がんばって読み、重要なポイントを
こちらで書いて行こうと思います。

ということで、
そちらは、7月以降ご期待いただきまして、
今週は、これまでに書いたことを振り返って
落としてきたこともひろっていきたいと
思っています。

6月30日は、早いもので、
今年のちょうど半分が終わります。
「夏越し(なごし)の祓い」といいまして、
半年でついたケガレを払うということで、
最近では多くの神社で茅の輪が用意されて
いますね。

今年後半のスタートから
個人情報保護に関して
しっかり対応していくために、
誤解をしっかりはらっておきましょう♪


2017年6月25日日曜日

新しく定義された匿名加工情報

改正法で新たしく定義された用語として、
「匿名加工情報」があります。
これも3つの種類の個人情報とは
また違う新しい視点での分類なので、
少しややこしいですが、
整理して理解すると、
わりとわかりやすいと思いますので
ぜひお読みください。
新設された背景としては、
皆さんご存じの「ビッグデータ」です。
統計情報をマーケティングに活用できる
とても有用なデータで、収集する情報の
種類や数が増えるほど、
よりその活用方法等が増えていき、
これからの時代、ますます利用数や、
活用範囲が莫大に大きくなっていくものと
思われます。

それらの収集するデータが統計データ、
要は、個人情報に該当しなければ問題はない
はずです。

しかし、情報が簡単に復元できたり、
容易に推測できたりすると、問題が
起こります


そこで、匿名化の基準や、その利用方法
について、規定が定められたということです。

具体的には、
個人情報取扱事業者が匿名加工情報を
自ら作成する場合の義務
と、
匿名加工情報を事業に利用する事業者
「匿名加工情報取扱事業者」の義務

定められています。

匿名加工情報取扱事業者は、
個人情報取扱事業者が前提ではありません。

個人情報取扱事業者に該当しない
匿名加工情報取扱事業者もいる、
ということです。

そこで、
改正個人情報保護法では、
第4章第1節に、個人情報取扱事業の義務、
第2節に、匿名加工情報取扱事業者の義務
と分かれています。

両事業者ともに、
安全管理措置、第三者提供をする際の義務、
さらに、再識別化の防止のため、識別行為の禁止
が定められています。

加えて、匿名加工をする事業者に対しては、
個人情報から、個人識別性をなくし、
復元できないようにする匿名加工の基準、
および匿名加工情報作成時の公表義務

定められています。

詳細は、このあとまた別途書いていきます。


2017年6月24日土曜日

個人情報の種類と要配慮個人情報

個人情報の種類として
個人情報、個人データ、保有個人データ
3つの種類があり、
積み重ね的に義務が課されていることは
ご存じの方が多いかと思います。

今回の法改正によって、
その義務の階層がちょっとややこしくなりました。

もう一つの種類ができたとも言えますが、
3つの階層との関係とは異なる感じで、
図としては表しにくくなっています。

3つの階層とは別のものと考えた方が無難かも
知れません。

具体的には、改正法では、
「要配慮個人情報」が定義されました

これは、個人情報、個人データ、保有個人データ
のいずれにもあたる可能性があります。

そしてその要配慮個人情報」に対する義務は
・取得の制限(第17条2項)
・オプトアプトの適応排除(第23条2項)

となります。

要配慮個人情報は、
原則的に取得に対し、事前に同意が必要です。
また、オプトアウトによる第三者提供が許されて
いません。

社員の要配慮個人情報にあたる個人情報も、
もちろん対象となります
ので、
注意が必要です。


2017年6月23日金曜日

個人情報データベース等不正提供罪

佐賀銀行の元行員が犯罪組織に顧客情報を
漏洩したという事件がありました。

2014年に発覚したベネッセの個人情報流出事件が
個人情報保護法の改正に大きな影響を与えたことは
多くの方がご存じかと思います。

改正個人情報保護法では、
個人情報データベース等不正提供罪が新設されました

これは、
個人情報取扱事業者、その従業者、
さらに、それらであった者が対象です。

それらの対象が、
その業務で取り扱った個人情報データベース等を
自分か第三者の不正な利益を図る目的で提供か
盗用したときに1年以下の懲役または50万円の罰金
に処する
ことが定められました。

この解釈としては、
個人情報データベース等について、
その一部を複製したり加工したものも含まれる
ので、実質的には個人データが対象となります。

そして、「利益を図る目的」となると
不正競争防止法の営業秘密侵害では対象と
なっている「加害目的」は除かれている
ことになります。
事業者の信用を落とし込むいやがらせ行為など
がそれにあたります。

しかし、個人データを外部に持ち出す時点で、
「盗用」にあたる可能性は高いので、
それらも対象と考えられます。

ちなみに、
報道機関や著述家、宗教団体などの
個人情報取扱事業者の義務が適用除外と
されている事業者も、対象となります。

2017年6月22日木曜日

漏洩等が発覚した場合の対応

◆個人情報の漏洩が発覚した際の対応◆

6/19、佐賀銀行の元行員による
とんでもない情報漏洩事件が報道されました。

預金残高1億円以上の個人情報を
犯罪組織に漏らしたとのことですが、
実は、自銀行への窃盗事件に際し、
「行員専用出入り口の暗証番号などを提供」
「同僚宅から支店の鍵を盗んで渡した」
とのこと。

こんな社員もいるという前提で、
安全管理措置をとらないといけないわけです。

その内容は別途考察するとしまして、
改正個人情報保護法の全面施行にあわせて、
個人情報保護委員会から、
「漏洩等が発覚した場合の対応」が
示されています

以前から示されていたものですが少し
詳しくなっています。

これらは講ずることが「望ましい」
事項ではありますが、
抑えておき、対応できるようにしておく
ことが好ましいですね。

以下の6つの項目が挙げられています。
(1)事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、
漏洩等事案による被害が発覚時よりも
拡大しないよう必要な措置を講ずる。

(2)事実関係の調査及び原因の究明
漏洩等事案の事実関係の調査及び原因の究明に
必要な措置を講ずる。

(3)影響範囲の特定
2で把握した事実関係による影響の範囲を特定する。

(4)再発防止策の検討及び実施
2の結果を踏まえ、
漏洩等事案の再発防止策の検討
及び実施に必要な措置を速やかに講ずる。

(5)影響を受ける可能性のある本人への連絡
漏洩等事案の内容等に応じて、
二次被害の防止、類似事案の発生防止等の観点から、
事実関係等について、速やかに本人へ連絡し、
または本人が容易に知り得る状態に置く。

(6)事実関係及び再発防止策等の公表
漏洩等事案の内容等に応じて、
二次被害の防止、類似事案の発生防止等の観点から、
事実関係及び再発防止策等について、
速やかに公表する。

事案発生を想定をして、
訓練とまではいかなくても、
行動を想定しておくことがよいでしょうね。

2017年6月21日水曜日

個人情報保護法の改正背景

10年以上経ってはじめて改正された
個人情報保護法


その間にも、改正論議が何度か高まった
ことがありましたが、ちょうど佳境のときに、
2度の政権交代の影響などで、立ち消えに
なっていました。

そんな中、IT、ICTがさらに進展し、
そして、大規模な個人情報漏洩事件
起こりました。

その事件は、故意によるものであったにも
関わらず、個人情報保護法では直接罰する
ことができませんでした。

また、IT/ICTの進展により、
ビッグデータの取り扱いが拡大し、
さらにそれらを含めて、経済のグローバル化
が加速
しました。

これらにより、
もともとよく理解されていなかった
個人情報の定義について、
ガイドラインまで含めて何度読んでも
あてはまるかどうか、わからない
いわゆるグレーゾーンが拡大しました。

これらを背景に改正が検討されたわけですが、
罰則の強化以外は、規則を厳しくしたという
よりは、ビッグデータの活用など、
より産業の発展等に寄与するよう、
その環境の整備が図られた
というものです。

これらのために、しっかり時間をかけて
議論され、改正に至ったわけですが、
議論の数だけ、難解さ、複雑さが助長された
といってもよいような感覚が否めません。

改正された個人情報保護法は、
理解するのは以前に比べてかなり大変には
なりましたが、やはりここは、
国が求めている趣旨や目的、そして基本理念
をもとに、正しく理解し、対応
していかねば
なりません。

 

2017年6月20日火曜日

個人情報保護法の趣旨、制定背景

改正個人情報保護法への対応を急ぎたいところですが。
そもそも個人情報保護法はなぜ制定され
なぜ改正されたのか
その制定背景、改正背景を理解しておくと
条文がよく理解できたり、
自社で行うべき対応が見えてきます。
2003年、法制定されたとき、
大規模な個人情報漏洩が起こったり、
住基ネットのスタートが待ち受けていたり、
OECDやEU指令といった世界からのプレッシャーなど
複合的な要因があったと学んだ皆さんも多いかと
思います。
確かにそのような状況がありました。
しかし、それらとは別に、
実は第1条(目的)に制定背景が書いてあります。
『この法律は、高度情報通信社会の進展に伴い
個人情報の利用が著しく拡大していることに鑑み、』

「高度情報通信社会」
最近ではあまりもう使われなくなった言葉ですが、
要は、IT社会、ネットワーク社会ということですね。
1995年に、Windows95が発売されて以降、
パソコンやインターネットは、企業や個人に
劇的に浸透しました。
それまで、パソコンは「おたく」、
パソコン通信なんかはもっと一部のおたくのもの的な
イメージでした。

それが、どんどん進展し、
今や、一人1台どころか、みんなのポケットに
インターネットにつながった端末が1台。
一人何台も持っている時代です。

そして、個人情報がそのネットワーク上に
飛び交うようになりました。

怖いという感覚もありますが、
スマホでタップ一つで、買い物ができる
便利な時代でもあります。

このように、ITやネットワークのおかげで
いろいろとても便利になりました。


その黎明期に、
この便利さを拡大させていくとともに、
あわせて「怖さ」を払拭するためにも、
事業者は、しっかり個人の権利利益を
保護しなさい、
という趣旨だったわけです。

「保護」と「活用」のバランス
とよく言われますが、
この背景を考えると、その意味と、
平衡的なバランスではなく、
活用のためにしっかり保護、
という主従関係もあることが
見えてくると思います。

これは、
IT、ネットワークの普及の黎明期の話
でしたが、今も、これから、
クラウドやビッグデータ、IoTなど、
ますます「高度情報通信社会」が
進展していく
ことを考えると、
同じですよね。

それらの活用によって
新たな産業の創出や、
活力ある経済社会、
豊かな国民生活の実現
に寄与させるためにも、
個人の権利利益をしっかり保護

しなさい、
ということが、
改正法の目的に書かれています。

2017年6月19日月曜日

個人情報保護は何のため?

2003年に制定された個人情報保護法。

この法律は、事業者に対する規制法です。
個人の権利を定めたものではないのですよね。

これは、改正後も変わっていません。

あれ?
個人にとって、
自分の情報が守られるためのもの
ではなかったの?

と思われる方も少なくないのですが、

それも実は正しいです。
ただ、個人情報保護法は、個人に対して、
個人を保護するものではありません。
さらに、
一般的に個人情報保護法と略されますが、
個人情報を保護しなさい、
とも書いてありません。


あくまでも、
事業者に対して、
個人の権利利益を保護しなさい、
と言っています。

要は、個人の権利利益を、
事業者を通して保護する、

というものなのですよね。

いわゆる
「自己情報コントロール権」を
うたおうとしている法律ではありますが、
直接的にその権利を保護しているのではなく、
事業者に対して、
自己情報コントロール権に配慮しなさい、
と言っています。

そして実は、
自己情報コントロール権も
法律の軸になっているのではなく、
事業者寄りの規定となっていて
個人よりも事業者保護的な部分もあります。
そのあたりが、「ザル法」とも呼ばれる所以
の一つにもなっているのですが、
そこにもこの法律の趣旨が垣間見れます。

いずれにしても、
個人情報保護法は、

事業者に対して、
個人情報の取り扱いを通して、
「お客様の信頼に応える」

ことを求めている法律なのですよね。

2017年6月18日日曜日

そもそも、個人情報保護って何?

改正個人情報保護法への対応を急がねば
というところですが、

そもそも、
個人情報保護は何のためでしょうか。

さらに、
そもそもなぜ個人情報保護法が制定され、
なぜ改正された
のでしょうか。

私は弁護士や法律家ではありませんので、
厳密な定義ではなく、
現実的な「解釈」ですが、
法律というものは、
国が、国民や事業者等が豊かになるために、
何かをしてほしいから、
あるいは、何かをしてほしくないから、
制定していると考えています。

では、個人情報保護法は?

これは事業者が対応する上で
とても大事なところです。

要は、この法律の趣旨は何か。

法律の趣旨を理解するためには、
まず、第1条に書かれている
「目的」を読むことから始まります。

そして、基本理念
さらに、制定背景、改定背景
知ることで趣旨が明らかになってきます。

ということで、
それらを理解せずに
義務規定の条文だけ読もうとするから
よくわからない、
という人が多いのが現実だと
ずっと感じているところです。

今回の改正を期に、
そこから入ってみましょう。
そしたら、
そのあとは加速的に対応方法が
見えてきます。

2017年6月17日土曜日

「公表」等をしておく情報

個人情報保護方針やプライバシーポリシー
ページで「公表」または、
「本人の容易に知り得る状態におく情報」
についてですが、どんなものがあるのか。


今回の法改正によって、その対象が増えました。
でも、自社の事業がそれに該当するかどうか、
その確認が必要ですね。

個人情報保護方針やプライバシーポリシーに
記載しておく情報、まずは、利用目的です。

これは、法改正前からありました。
定常的に同じ利用目的で個人情報を直接取得
されている事業者さんには、記載をお勧め
していました。

また、
利用目的が変更可能な範囲で変更した場合
公表で対応可能です。
ただ、この変更可能な範囲というのが
かなりグレーな感じなので、現実的には、
この規定を適用する機会は少ないかと思います。

そして、
保有個人データに対する開示等の対応方法や、
各種情報。こちらも以前から対応されている
事業者は多いかと思います。
大きくは変わっていませんが、法条文は少し
変更されていますので、確認しておきましょう。

あとは、
共同利用をする場合、
これも以前から義務がありました。

そして、今回の法改正で、
オプトアウト方式で第三者提供をする事業者
対する義務が強化されています。
同時に、本人の容易に知り得る状態におく情報
も追加されていますので、確認が必要です。
また、匿名加工情報を取り扱う場合にも
「公表」の対応をすることになります。

これらの2つについては、
多くの事業者が対象となるという感じではない
と思いますが、可能性がある事業者は、
実質、個人情報保護方針ページを必ず修正・更新
することになりますね。

2017年6月16日金曜日

公表または本人の容易に知り得る状態におく場所

改正個人情報保護法への対応を急がねば
というところですが、

そもそも、
個人情報保護は何のためでしょうか。

さらに、
そもそもなぜ個人情報保護法が制定され、
なぜ改正された
のでしょうか。

私は弁護士や法律家ではありませんので、
厳密な定義ではなく、
現実的な「解釈」ですが、
法律というものは、
国が、国民や事業者等が豊かになるために、
何かをしてほしいから、
あるいは、何かをしてほしくないから、
制定していると考えています。

では、個人情報保護法は?

これは事業者が対応する上で
とても大事なところです。

要は、この法律の趣旨は何か。

法律の趣旨を理解するためには、
まず、第1条に書かれている
「目的」を読むことから始まります。

そして、基本理念
さらに、制定背景、改定背景
知ることで趣旨が明らかになってきます。

ということで、
それらを理解せずに
義務規定の条文だけ読もうとするから
よくわからない、
という人が多いのが現実だと
ずっと感じているところです。

今回の改正を期に、
そこから入ってみましょう。
そしたら、
そのあとは加速的に対応方法が
見えてきます。

2017年6月15日木曜日

個人情報保護方針ページの重要性

個人情報保護方針、プライバシーポリシーの公表は、
個人情報保護法では、政府の基本方針で求められていますが
個人情報取扱事業者の義務ではありません。

しかし、今や、個人情報を取り扱う事業者のWebサイト
(ホームページ)には、必ずあるという印象が誰しもある
と思います。

プライバシーマーク取得企業でなくても、
2005年の法全面施行時ごろから、
多くの事業者で整備されてきました。

ただ、多くの事業者が、
どこかからのコピペですませている感覚が否めません。
その意味でも、自分の情報を預ける側の個人としても、
そのページをあまり重視しない状況があろうかと思います。

逆に、このページを重視し、適宜更新している事業者も
あります。

少なくとも、少し前の話になりますが、
JIS Q 15001 が、1999 から 2006 に変わったとき、
いくつかポイントがあったのですが、
それを反映した事業者と、そうでない事業者がありました。

私、個人的には、2006年ごろから、
新しく取引をさせていただく企業や、
研修やコンサルティング等のサポートを
させていただく企業様については、
必ず、このページを見ます。
もう10年を超えますが、
大きな傾向があることがわかっています。

このページが、
しっかり作ってあったり、更新をしている企業は
個人情報保護に関する取り組みがしっかりしている。


もちろん、しっかりしているけど、
このページはズサンという企業もありましたが。
個人情報保護についてしっかり取り組んでいる企業は
個人情報保護方針や、その公表の意義をちゃんと理解
されている
ことが多いということです。

実際、かなりの時間と費用をかけて、
このページをしっかり作りたいというご要望をいただき
他社とはケタ違いの対応をさせていただいたことが
ありました。

個人情報保護方針のページは、
単に基本方針を記載するだけでなく、
本来は、宣言を公表するものであり、
さらに、個人情報保護上の公表義務を包含することも
できるページである
ことから、
要は、自社の個人情報保護の取り組みそのものを
対外的に示すことができる
のです。
ご依頼いただいた企業様は、それをされたかった
ということです。気合いが入りました。

今回、改正法の全面施行で、
事業者によっては、公表すべき項目が増えました。

今、改正法に対応した取り組みを対外的に示せる
チャンス
でもあります。

そんな意味でも、
個人情報保護方針、プライバシーポリシーのページ
の見直しをお勧めします。

2017年6月14日水曜日

荒尾市職員の懲戒免職処分に学ぶ

昨日(6月13日)、熊本県荒尾市の市職員を、
ストーカー行為で懲戒免職処分したニュースが
流れました。

NHKの報道によると、
市役所の住民情報システムを不正に使って
同じ課の女性職員の住所などの個人情報を入手し、
外出先でつきまとうなどのストーカー行為
していたということです。

女性職員の髪を触ったり
乗用車にGPSの機器を取り付けたりしていた
ということで、女性職員が上司に相談して発覚、
当職員は謝罪したが、その後の市の調査で、
市の職員の男女48人分の住所などの個人情報を
まとめたリストなどが業務用のパソコンから
見つかった
とのこと。

荒尾市の浅田敏彦市長は、
公務員の信用を失墜させる行為
市民の皆様に深くおわびします。
同様のことが二度と無いよう、
職員の教育や研修を強化します」
と謝罪した、とのことですが、

まずは、
「同様のこと」とは
何を指しているのか。


ストーカー行為か、
住民情報システムの不正利用か、
髪を触ったりGPSをつけるような行為か、
あるいは、
公務員の信用を失墜させる行為か。
それとも、それら全部?

どれもあってはならないことですが、
同様のことを無くすために行う教育や研修とは
どんなの?


「教育」そのものを甘く見ているのか
軽んじているのか、これだけでは
本気度が見えません。

総務省は今年1月に全国の市区町村に対して
通知を出すなどして、個人情報の不正閲覧の
防止等について徹底を図るよう求めていた、
とのこと。

ちゃんとやっていたのだろうか、
やったとして、どんなことをやったのだろうか。
回覧やメール一本くらいで済ませていたのでは
と思ったりします。

そもそも、
懲戒免職は、何に対してか?
ありえない行為なので、その処分は適当だと
思いますが、合わせ技一本なのか。

住民情報システムの不正利用に対しては、
罰則はないのだろうか。


荒尾市のWebサイトで
個人情報保護条例を探してみました。
「個人情報保護制度」として、
説明が書かれていました。

「この条例では、市が保有する個人情報について、
適正に取り扱い、保護するためのルールを定める
とともに、自己情報の開示、訂正および利用停止
を求める権利を、その本人に保障し、市民の皆さん
と市政との信頼関係を強めていくことを目指して
います。」

罰則:
「職員または委託を受けた者(再委託を受けた者を
含む。)が個人情報の不正な提供や収集を行ったとき
は、最高2年以下の懲役または100万円以下の罰金が
課せられます。 」

罰則は定められているようです。
しかし、個人情報の不正な提供や収集のみ?
利用は???

同じ市職員の情報とはいえ、
業務目的で閲覧する可能性はありそうだから
ここでいう不正な収集や取得にはあたらないと
思われます。

業務用PCとはいえ、説明ができない48名分のリスト
が保存されていたとのことなので、これは不正な
収集(取得)ではなく、個人的な不正な「入手」
として、別に罰則対象にすべきではないかと。

あわせて、それを利用して迷惑行為をした
わけですが、迷惑行為の前に、利用した時点で
罰則対象にすべきではないかと思います。

目的外どころか、業務外利用なので、
そこで縛りをつけておくべきでしょう。

これらが、条例でどうなっているのか、
荒尾市個人情報保護条例と、
荒尾市個人情報保護条例施行規則が制定
されているようなので、
それらの条文を見ようと荒尾市Webサイトで
項目をクリックすると、
「ログイン情報が失われました。
ログインし直してください。(ErrNo=926)」
と表示され、読めず。。

直接検索したらPDFがヒットしました。
おぉ、罰則ありました。

市役所職員が「実施機関」の職員である
という前提ですが
「第53条 業務に関して知り得た保有個人情報を
自己若しくは第三者の不正な利益を図る目的
提供し、又は盗用したとき、
1年以下の懲役又は50万円以下の罰金」

「第54条 実施機関の職員がその職権を濫用して
専らその職務の用以外の用に供する目的
個人の秘密に属する事項が記録された文書、
図画、写真又は電磁的記録を収集したときは、
1年以下の懲役又は50万円以下の罰金」

でも、懲戒免職処分にしたら、
これらには該当しない??

いずれにしても、
この事件からの学びとして、
一般事業者でも「同様のこと」が
起こる可能性があります。

お互い信頼しあった作成している
従業者名簿は別としても、
少なくとも顧客名簿は、
業務目的外の閲覧自体も禁止事項とし、
厳重注意等の処分の可能性と、
その情報を利用した時点で、
懲戒免職となりうることを規定し、
それらの伝達を含めて、
顧客の信頼を維持することの重要性を
しっかり「教育」することが重要
ですね。


2017年6月13日火曜日

上場企業も「何もしていない」というデマ

昨日(2017.6.12)こんなデマが流れました。
『深刻、上場企業も「何もしていない」
改正個人情報保護法に未対応97.8%』


J-CASTニュースが取り上げたトピックで、
Yahoo!JAPAN ニュースでも掲載されましたので、
ご覧になられた方もおられるかと思います。
https://www.j-cast.com/2017/06/12300190.html

『改正個人情報保護法が2017年5月30日に全面施行されたが、
東証一部上場企業のほとんどが改正法に対応していない実態が
明らかになった。』

なんか、腑に落ちないなと思いながら
読み進めたら、
上場企業にアンケートしたのではなく、
Webのプライバシーポリシーをチェック

したとのこと。

つまり、『上場企業が、何もしていない』
というのはウソです。


Webサイトでの発表か
プレスリリース等にもとづいて書かれているのだと
思いますが、ニュースではなく、
あえてデマと言わせていただきます。

こんな表題で人の気を引こうとしていることに
とても腹立たしく思いました。

「プライバシーポリシー実態調査」を行ったとされる
牧野総合法律事務所さんのサイトへ行くと、

『「上場企業プライバシーポリシー実態調査結果」の公表』
と題して、
『東証一部上場企業の改正個人情報保護法対応は2.2%
97.8%が対応不十分』
と書いてあります。

若干誤解を生みそうな表現ではありますが、
わかっている人が読むと、
プライバシーポリシーの対応が不十分で、
そこから、改正法対応も不十分であろうと推測される
と読めます。
それは正しい。まっとうです。


J-CASTさんの記者がよくわかっていないのか、
あるいは、ニュースが目につきやすいように
あえて煽るような表現にしたのか。

法施行時に起こった過剰反応も
こういうところから起きたものです。

まぁ今回の記事は、
全面施行後の今、
上場企業ですら対応状況が悪くてヤバし!
と警告して煽ってくれているととれば、
よいことなのかも知れませんが、
逆に、他の企業もやってないなら、
うちもまだいいか、とならないとも限りません。

いずれにしても、
ウソから煽ることは良い結果を生みません。

賢明な皆さんは、騙されなかったと思いますが
やはり、今回、新たに多くの企業や団体が対象に
なっているので、なおさら、こういう報道の仕方は
ぜひやめてほしいのと思うばかりで、
読む側もしっかり読みこみましょう、
ともお伝えしたいです。

ちなみに、
牧野総合法律事務所さんの
プライバシーポリシーから対応状況を推測する

という考え方は、とても賛同します。
私も法施行時からその考えをもっていて、
実は、JIS Q 15001が2006に改定された後、
その視点でのサービスを提供しています。


5月30日から、
「個人情報保護方針」無料診断キャンペーン
というのも実施しています。
なぜ、そういうサービスしているのか、
どんなサービスかについては、
ちょっと今日の論旨と異なりますので、
こちらについては別途ご紹介させていただきます。

2017年6月12日月曜日

個人情報の定義の理解の重要性

昨日、履歴書を例に、
「個人情報とは」
という説明を書かせていただきました。

「個人を特定する情報」が個人情報ではない、
ということをご理解いただいていますでしょうか。

では、
その履歴書の氏名欄を墨塗りにしたら、
個人情報ではなくなるでしょうか?

まず、写真が貼ってあれば同じですね。
では、写真も消せば個人情報ではなくなる
のでしょうか?

これは、
たとえば、その人が一人住まいであれば、
住所だけで、誰の情報か推測がつきます。

家族と一緒に住んでいたとしても、
年齢が書いてあれば推測がつきます。

学歴や職歴でも推測がつきます。

大多数の人が推測がつくようであれば、
それは特定の個人を識別することができる
と言えてしまいます。

JR東日本のSuicaデータの利用が問題と
なった点の一つはそこです。

氏名を削除し、生年月日の日を削除した
と言っても、たとえば、
ある駅を毎日利用する明治40年生まれの人
といえば、近隣の人なら、あの人ねとすぐ
わかるでしょう。

それやこれやで、
今回、法改正で「匿名加工情報」が定義され、
加工方法や、してはいけないこと
が定められました。

個人情報を腫れ物扱いしていると、
ビッグデータの時代、有効活用ができません。

さりとて、個人情報を正しく理解し、
「本人」に配慮をしなければ
バッシングにあうことにもなりかねません。

やはりまずは、
個人情報保護法の趣旨とともに、
個人情報の定義を
しっかり理解し把握しておくことが重要です。