2017年6月30日金曜日

ブログ移行のお知らせ

改正個人情報保護法が5/30に
全面施行されました。

小規模事業者も対象となった今回、
まだまだ多くの事業者さまが
対応にあぐねられている今、
少しでもお手伝いができればと
6月頭から、毎日思うところを書き綴ってきました。
しっかりとシナリオを作って何日分か書き溜めて、
と、できればよかったのですが、
結局、その日に書きたかったことをそのまま書いて
きましたので、読みずらかったかと思います。
申し訳ありません。

今年も半分が終わり、明日から後半になります。

ここで、気持ちをあらたに、
7月から、少しは整理して、
結局、何を勉強し、どう対応すればよいのか
という現実的なことを、小規模事業者さんでも、
わかっていただけるように、
どちらかといえば、それらの皆様向けに、
書かせていただこうと考えております。

あわせて、諸事情により、
7月からは、こちらのGoogleさんのブログで
書かせていただくこととしました。

6月分の内容も移行元からこちらへ移行しております。
(一部修正もしております)

あらためて、
「改正個人情報保護法 事業者の取り組み方」
ブログをよろしくお願いいたします。



2017年6月29日木曜日

「個人情報の定義」の正しい理解から

「個人情報の定義」について、
ここを間違えていては、
個人情報保護法への対応の根本を間違えて
しまいます。

今回の法改正で、
小規模事業者も対象となりました。
安全管理措置については、
多少の緩和措置がありますが、
それでも、
個人情報の定義を間違えていては
いけません。

私も、中小規模企業様のサポートを
よりしっかり尽力させていただこう
と考えております中で、
今回、法改正を期に作成された公式的な
資料も探し、目を通していました。

そんな中で、
独立行政法人 中小企業基盤整備機構さんが、
日本商工会議所とJIPDECとの共催で、
弁護士さんを講師とした半日セミナーを
昨年10月末に開催された記録がありました。

中小企業経営者、管理者、従業員、
小規模事業者等、中小企業支援担当者を
対象とされていて、
まさに、今回あらたに法対象となった
前提知識が少ない人向けです。

これに参加された方は、かなり意識の高い
方々だと思います。
130人規模で実施されたようで、
とてもすばらしい取り組みだと思いました。

そして、その講座動画が公開されています。
これもとてもすばらしいことだと感心しました。

そしてそして、
個人情報の定義の重要性も話されています。
OK!

しかし、
「個人情報=特定の個人を識別することができる情報」
という説明。
そして、
「特定の個人を識別することができるとか?」
という項目がありながら、そこにはふれず、
結局、よくある誤解を導く説明になっています。
とても残念。

しっかり聞かれた方も、
結局、個人情報って何だ?
自社で取り扱っている個人情報はどれだ?
と、混乱されたままではないかと。
とても残念に思います。

そのあたりは、ちゃんとJIPDECも
内容を監修しているのかと思い、
JIPDECの関連資料を調べている中で、
JIPDECの問題に行き当たったのです。

個人情報は、
「特定の個人を識別できる情報」
と覚えると、わけがわからなくなります。

「特定の個人の情報だと識別できる情報」
なら、誤解は少ないかも知れません。

もっと簡単にいうと、
ある特定の個人のものとわかる情報、
誰の情報かがわかる情報は、
その人の個人情報であるということですね。

個人側から言うと、
特定の個人に関する情報はすべて個人情報、
と解釈することが、事業者における
対応の検討に、ふさわしいと考えます。

結局、
「識別できる」とか、「識別することができる」
という言葉が、わかるようでわかりにくい
表現なんだろうなぁと思います。

ここを今一度、
わかりやすく誤解のない説明をすることに
しっかり取り組み、
一人でも多くの方が、個人情報について、
誤解なく正しく理解し、それぞれが
それぞれの立場で、しっかり対応をして
いただきたいという思いで、
その志をもとに活動をしていこうと思います。

ご賛同いただける皆様、ぜひご協力を
よろしくお願いいたします。

2017年6月28日水曜日

とんでもない個人情報の定義の間違い

「個人情報の定義」の重要性と
多くの人が誤解していることを、
6/9~12の4日間にわたって書きました。

その中の、6/10、
『先ず「個人情報の定義」より始めよ! 』
http://kojinjohohogoho.blogspot.jp/2017/06/blog-post_10.html
の回で、
「とんでもないことに行き当たりました。。」
と書きました。

具体的に何?ということを
書いていませんでした。

あらためて確認ですが、

個人情報は、
『個人を特定するための情報』
ではありません。


そして、
個人情報保護といえば、
プライバシーマーク制度が有名ですね。
取得されている企業の皆さんもおられると
思います。

その運営母体はご存じJIPDEC。

なんとそのJIPDECが、
個人情報の定義を間違えていたのです。


JIPDECが公表している
「よくわかるプライバシーマーク制度」
というページがありますが、
その1時間目『「個人情報」の基礎知識』に
『「個人情報」と「プライバシー」の違い』
というページがあります。
https://privacymark.jp/wakaru/kouza/theme1_03.html

その中で、まず先に個人情報の説明がありますが、
そこについ最近まで、
『これまで学んできた通り、「個人情報」とは、
個人の氏名、生年月日、住所などの個人を特定する

情報のことです。』
と記載されていたのです。

今は、
『これまで学んできた通り、「個人情報」とは、
本人の氏名、生年月日、住所などの記述等により
特定の個人を識別できる情報のことです。』

と、修正されています。

今、修正されているから一応よいものの、
訂正記録や訂正記事などがありませんから、
以前に見た人は、誤解のままかも。
いけません。。



2017年6月27日火曜日

法律の「現実的な解釈」

今週は、今月ここまでのレビューと、
書き漏れや書き加えなどの続きを含めて、
書かせていただきます。


『法律の「解釈」の注意点と重要性』
https://kojinjohohogoho.blogspot.jp/2017/06/blog-post_4.html
として、改正法を
事業者に反映、展開していくためには、
法令等の規定条文そのものではなく、
まずはその法令等の「解釈」を
しっかりしないといけないことを書きました。












まずはこの「解釈」に注意が必要で、
古い情報や、制定過程の情報などに
まどわされてはいけないということでした。

あわせて、
これはまだ書いていませんでしたが、
自社に反映するために、
もう一段、「現実的な解釈」を
しっかりすべしということです

法律で求められていることギリギリで
社内規程を作ってはいけない
ということでもあります。

法律で求められていることを、
自社の事業に照らして、
どう解釈し、どう反映するか、
さらに、自主規定をどう作るか
大事な点になります。

その時に重要なのは、
個人情報保護は、
国を向いて意識するのではなく、
顧客を向くこと
です。

社内規程は、
まずは従業者、そして顧客・パートナーに
目を向けて、しっかりと目的意識をもって
策定しなければなりません。

2017年6月26日月曜日

個人情報保護のバイブル書籍

6月も最終週となりました。

5月30日の改正法が全面施行された後、
少しでも多くの事業者さまが、
正しく対応できるようにと、
後先考えずにとりあえず
このブログをスタートさせました。

今、私は書籍を執筆中で、
それに関連したり、毎日思いついたことを
そのまま書いてきましたので、
あっちとんだりこっちとんだりと、かえって
ややこしく思わせてしまったかも知れません。
すみません。
ただ、どれも重要なことで
優先順位は皆高いみたいな感じです。
7月から、具体的な内容を、
正しい内容をお伝えすることはもちろん、
ちゃんと順番を意識して書いて行こうと
考えています。

「正しい内容」については、
ちょうど、最高最適なバイブルを手に入れる
ことができました。

個人情報保護に関する第一人者は、
やはり堀部政男先生。
言わずとしれた、個人情報保護委員会の
委員長です。
終身委員長でもよいかと思っていますが、
全面施行を終え、生前譲位!?される
という噂もありますが。

その超人的天才である堀部先生に対し、
その教えを受けた上で、
現場の知識と意識を持ち、
情報学博士であり、
情報セキュリティの見識も高く、
法解釈と実際の現場対応の掛け算では、
ダントツの第一人である
岡村久道弁護士が書かれた大作であります。

法制定時から出版され、ガイドライン等の
改正にあわせ、改訂されたものが、
今回、5月30日時点で公表されている、
施行令、施行規則、ガイドライン、Q&Aなど
すべて網羅し、大改訂されたものです。

7月頭には書店に並ぶと思います。




プロ向けな感じなので、
一般の人には、辞書的な使い方になるのかな
と思いますが、一般の人である私ながら、
がんばって読み、重要なポイントを
こちらで書いて行こうと思います。

ということで、
そちらは、7月以降ご期待いただきまして、
今週は、これまでに書いたことを振り返って
落としてきたこともひろっていきたいと
思っています。

6月30日は、早いもので、
今年のちょうど半分が終わります。
「夏越し(なごし)の祓い」といいまして、
半年でついたケガレを払うということで、
最近では多くの神社で茅の輪が用意されて
いますね。

今年後半のスタートから
個人情報保護に関して
しっかり対応していくために、
誤解をしっかりはらっておきましょう♪


2017年6月25日日曜日

新しく定義された匿名加工情報

改正法で新たしく定義された用語として、
「匿名加工情報」があります。
これも3つの種類の個人情報とは
また違う新しい視点での分類なので、
少しややこしいですが、
整理して理解すると、
わりとわかりやすいと思いますので
ぜひお読みください。
新設された背景としては、
皆さんご存じの「ビッグデータ」です。
統計情報をマーケティングに活用できる
とても有用なデータで、収集する情報の
種類や数が増えるほど、
よりその活用方法等が増えていき、
これからの時代、ますます利用数や、
活用範囲が莫大に大きくなっていくものと
思われます。

それらの収集するデータが統計データ、
要は、個人情報に該当しなければ問題はない
はずです。

しかし、情報が簡単に復元できたり、
容易に推測できたりすると、問題が
起こります


そこで、匿名化の基準や、その利用方法
について、規定が定められたということです。

具体的には、
個人情報取扱事業者が匿名加工情報を
自ら作成する場合の義務
と、
匿名加工情報を事業に利用する事業者
「匿名加工情報取扱事業者」の義務

定められています。

匿名加工情報取扱事業者は、
個人情報取扱事業者が前提ではありません。

個人情報取扱事業者に該当しない
匿名加工情報取扱事業者もいる、
ということです。

そこで、
改正個人情報保護法では、
第4章第1節に、個人情報取扱事業の義務、
第2節に、匿名加工情報取扱事業者の義務
と分かれています。

両事業者ともに、
安全管理措置、第三者提供をする際の義務、
さらに、再識別化の防止のため、識別行為の禁止
が定められています。

加えて、匿名加工をする事業者に対しては、
個人情報から、個人識別性をなくし、
復元できないようにする匿名加工の基準、
および匿名加工情報作成時の公表義務

定められています。

詳細は、このあとまた別途書いていきます。


2017年6月24日土曜日

個人情報の種類と要配慮個人情報

個人情報の種類として
個人情報、個人データ、保有個人データ
3つの種類があり、
積み重ね的に義務が課されていることは
ご存じの方が多いかと思います。

今回の法改正によって、
その義務の階層がちょっとややこしくなりました。

もう一つの種類ができたとも言えますが、
3つの階層との関係とは異なる感じで、
図としては表しにくくなっています。

3つの階層とは別のものと考えた方が無難かも
知れません。

具体的には、改正法では、
「要配慮個人情報」が定義されました

これは、個人情報、個人データ、保有個人データ
のいずれにもあたる可能性があります。

そしてその要配慮個人情報」に対する義務は
・取得の制限(第17条2項)
・オプトアプトの適応排除(第23条2項)

となります。

要配慮個人情報は、
原則的に取得に対し、事前に同意が必要です。
また、オプトアウトによる第三者提供が許されて
いません。

社員の要配慮個人情報にあたる個人情報も、
もちろん対象となります
ので、
注意が必要です。


2017年6月23日金曜日

個人情報データベース等不正提供罪

佐賀銀行の元行員が犯罪組織に顧客情報を
漏洩したという事件がありました。

2014年に発覚したベネッセの個人情報流出事件が
個人情報保護法の改正に大きな影響を与えたことは
多くの方がご存じかと思います。

改正個人情報保護法では、
個人情報データベース等不正提供罪が新設されました

これは、
個人情報取扱事業者、その従業者、
さらに、それらであった者が対象です。

それらの対象が、
その業務で取り扱った個人情報データベース等を
自分か第三者の不正な利益を図る目的で提供か
盗用したときに1年以下の懲役または50万円の罰金
に処する
ことが定められました。

この解釈としては、
個人情報データベース等について、
その一部を複製したり加工したものも含まれる
ので、実質的には個人データが対象となります。

そして、「利益を図る目的」となると
不正競争防止法の営業秘密侵害では対象と
なっている「加害目的」は除かれている
ことになります。
事業者の信用を落とし込むいやがらせ行為など
がそれにあたります。

しかし、個人データを外部に持ち出す時点で、
「盗用」にあたる可能性は高いので、
それらも対象と考えられます。

ちなみに、
報道機関や著述家、宗教団体などの
個人情報取扱事業者の義務が適用除外と
されている事業者も、対象となります。

2017年6月22日木曜日

漏洩等が発覚した場合の対応

◆個人情報の漏洩が発覚した際の対応◆

6/19、佐賀銀行の元行員による
とんでもない情報漏洩事件が報道されました。

預金残高1億円以上の個人情報を
犯罪組織に漏らしたとのことですが、
実は、自銀行への窃盗事件に際し、
「行員専用出入り口の暗証番号などを提供」
「同僚宅から支店の鍵を盗んで渡した」
とのこと。

こんな社員もいるという前提で、
安全管理措置をとらないといけないわけです。

その内容は別途考察するとしまして、
改正個人情報保護法の全面施行にあわせて、
個人情報保護委員会から、
「漏洩等が発覚した場合の対応」が
示されています

以前から示されていたものですが少し
詳しくなっています。

これらは講ずることが「望ましい」
事項ではありますが、
抑えておき、対応できるようにしておく
ことが好ましいですね。

以下の6つの項目が挙げられています。
(1)事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、
漏洩等事案による被害が発覚時よりも
拡大しないよう必要な措置を講ずる。

(2)事実関係の調査及び原因の究明
漏洩等事案の事実関係の調査及び原因の究明に
必要な措置を講ずる。

(3)影響範囲の特定
2で把握した事実関係による影響の範囲を特定する。

(4)再発防止策の検討及び実施
2の結果を踏まえ、
漏洩等事案の再発防止策の検討
及び実施に必要な措置を速やかに講ずる。

(5)影響を受ける可能性のある本人への連絡
漏洩等事案の内容等に応じて、
二次被害の防止、類似事案の発生防止等の観点から、
事実関係等について、速やかに本人へ連絡し、
または本人が容易に知り得る状態に置く。

(6)事実関係及び再発防止策等の公表
漏洩等事案の内容等に応じて、
二次被害の防止、類似事案の発生防止等の観点から、
事実関係及び再発防止策等について、
速やかに公表する。

事案発生を想定をして、
訓練とまではいかなくても、
行動を想定しておくことがよいでしょうね。

2017年6月21日水曜日

個人情報保護法の改正背景

10年以上経ってはじめて改正された
個人情報保護法


その間にも、改正論議が何度か高まった
ことがありましたが、ちょうど佳境のときに、
2度の政権交代の影響などで、立ち消えに
なっていました。

そんな中、IT、ICTがさらに進展し、
そして、大規模な個人情報漏洩事件
起こりました。

その事件は、故意によるものであったにも
関わらず、個人情報保護法では直接罰する
ことができませんでした。

また、IT/ICTの進展により、
ビッグデータの取り扱いが拡大し、
さらにそれらを含めて、経済のグローバル化
が加速
しました。

これらにより、
もともとよく理解されていなかった
個人情報の定義について、
ガイドラインまで含めて何度読んでも
あてはまるかどうか、わからない
いわゆるグレーゾーンが拡大しました。

これらを背景に改正が検討されたわけですが、
罰則の強化以外は、規則を厳しくしたという
よりは、ビッグデータの活用など、
より産業の発展等に寄与するよう、
その環境の整備が図られた
というものです。

これらのために、しっかり時間をかけて
議論され、改正に至ったわけですが、
議論の数だけ、難解さ、複雑さが助長された
といってもよいような感覚が否めません。

改正された個人情報保護法は、
理解するのは以前に比べてかなり大変には
なりましたが、やはりここは、
国が求めている趣旨や目的、そして基本理念
をもとに、正しく理解し、対応
していかねば
なりません。

 

2017年6月20日火曜日

個人情報保護法の趣旨、制定背景

改正個人情報保護法への対応を急ぎたいところですが。
そもそも個人情報保護法はなぜ制定され
なぜ改正されたのか
その制定背景、改正背景を理解しておくと
条文がよく理解できたり、
自社で行うべき対応が見えてきます。
2003年、法制定されたとき、
大規模な個人情報漏洩が起こったり、
住基ネットのスタートが待ち受けていたり、
OECDやEU指令といった世界からのプレッシャーなど
複合的な要因があったと学んだ皆さんも多いかと
思います。
確かにそのような状況がありました。
しかし、それらとは別に、
実は第1条(目的)に制定背景が書いてあります。
『この法律は、高度情報通信社会の進展に伴い
個人情報の利用が著しく拡大していることに鑑み、』

「高度情報通信社会」
最近ではあまりもう使われなくなった言葉ですが、
要は、IT社会、ネットワーク社会ということですね。
1995年に、Windows95が発売されて以降、
パソコンやインターネットは、企業や個人に
劇的に浸透しました。
それまで、パソコンは「おたく」、
パソコン通信なんかはもっと一部のおたくのもの的な
イメージでした。

それが、どんどん進展し、
今や、一人1台どころか、みんなのポケットに
インターネットにつながった端末が1台。
一人何台も持っている時代です。

そして、個人情報がそのネットワーク上に
飛び交うようになりました。

怖いという感覚もありますが、
スマホでタップ一つで、買い物ができる
便利な時代でもあります。

このように、ITやネットワークのおかげで
いろいろとても便利になりました。


その黎明期に、
この便利さを拡大させていくとともに、
あわせて「怖さ」を払拭するためにも、
事業者は、しっかり個人の権利利益を
保護しなさい、
という趣旨だったわけです。

「保護」と「活用」のバランス
とよく言われますが、
この背景を考えると、その意味と、
平衡的なバランスではなく、
活用のためにしっかり保護、
という主従関係もあることが
見えてくると思います。

これは、
IT、ネットワークの普及の黎明期の話
でしたが、今も、これから、
クラウドやビッグデータ、IoTなど、
ますます「高度情報通信社会」が
進展していく
ことを考えると、
同じですよね。

それらの活用によって
新たな産業の創出や、
活力ある経済社会、
豊かな国民生活の実現
に寄与させるためにも、
個人の権利利益をしっかり保護

しなさい、
ということが、
改正法の目的に書かれています。

2017年6月19日月曜日

個人情報保護は何のため?

2003年に制定された個人情報保護法。

この法律は、事業者に対する規制法です。
個人の権利を定めたものではないのですよね。

これは、改正後も変わっていません。

あれ?
個人にとって、
自分の情報が守られるためのもの
ではなかったの?

と思われる方も少なくないのですが、

それも実は正しいです。
ただ、個人情報保護法は、個人に対して、
個人を保護するものではありません。
さらに、
一般的に個人情報保護法と略されますが、
個人情報を保護しなさい、
とも書いてありません。


あくまでも、
事業者に対して、
個人の権利利益を保護しなさい、
と言っています。

要は、個人の権利利益を、
事業者を通して保護する、

というものなのですよね。

いわゆる
「自己情報コントロール権」を
うたおうとしている法律ではありますが、
直接的にその権利を保護しているのではなく、
事業者に対して、
自己情報コントロール権に配慮しなさい、
と言っています。

そして実は、
自己情報コントロール権も
法律の軸になっているのではなく、
事業者寄りの規定となっていて
個人よりも事業者保護的な部分もあります。
そのあたりが、「ザル法」とも呼ばれる所以
の一つにもなっているのですが、
そこにもこの法律の趣旨が垣間見れます。

いずれにしても、
個人情報保護法は、

事業者に対して、
個人情報の取り扱いを通して、
「お客様の信頼に応える」

ことを求めている法律なのですよね。

2017年6月18日日曜日

そもそも、個人情報保護って何?

改正個人情報保護法への対応を急がねば
というところですが、

そもそも、
個人情報保護は何のためでしょうか。

さらに、
そもそもなぜ個人情報保護法が制定され、
なぜ改正された
のでしょうか。

私は弁護士や法律家ではありませんので、
厳密な定義ではなく、
現実的な「解釈」ですが、
法律というものは、
国が、国民や事業者等が豊かになるために、
何かをしてほしいから、
あるいは、何かをしてほしくないから、
制定していると考えています。

では、個人情報保護法は?

これは事業者が対応する上で
とても大事なところです。

要は、この法律の趣旨は何か。

法律の趣旨を理解するためには、
まず、第1条に書かれている
「目的」を読むことから始まります。

そして、基本理念
さらに、制定背景、改定背景
知ることで趣旨が明らかになってきます。

ということで、
それらを理解せずに
義務規定の条文だけ読もうとするから
よくわからない、
という人が多いのが現実だと
ずっと感じているところです。

今回の改正を期に、
そこから入ってみましょう。
そしたら、
そのあとは加速的に対応方法が
見えてきます。

2017年6月17日土曜日

「公表」等をしておく情報

個人情報保護方針やプライバシーポリシー
ページで「公表」または、
「本人の容易に知り得る状態におく情報」
についてですが、どんなものがあるのか。


今回の法改正によって、その対象が増えました。
でも、自社の事業がそれに該当するかどうか、
その確認が必要ですね。

個人情報保護方針やプライバシーポリシーに
記載しておく情報、まずは、利用目的です。

これは、法改正前からありました。
定常的に同じ利用目的で個人情報を直接取得
されている事業者さんには、記載をお勧め
していました。

また、
利用目的が変更可能な範囲で変更した場合
公表で対応可能です。
ただ、この変更可能な範囲というのが
かなりグレーな感じなので、現実的には、
この規定を適用する機会は少ないかと思います。

そして、
保有個人データに対する開示等の対応方法や、
各種情報。こちらも以前から対応されている
事業者は多いかと思います。
大きくは変わっていませんが、法条文は少し
変更されていますので、確認しておきましょう。

あとは、
共同利用をする場合、
これも以前から義務がありました。

そして、今回の法改正で、
オプトアウト方式で第三者提供をする事業者
対する義務が強化されています。
同時に、本人の容易に知り得る状態におく情報
も追加されていますので、確認が必要です。
また、匿名加工情報を取り扱う場合にも
「公表」の対応をすることになります。

これらの2つについては、
多くの事業者が対象となるという感じではない
と思いますが、可能性がある事業者は、
実質、個人情報保護方針ページを必ず修正・更新
することになりますね。

2017年6月16日金曜日

公表または本人の容易に知り得る状態におく場所

改正個人情報保護法への対応を急がねば
というところですが、

そもそも、
個人情報保護は何のためでしょうか。

さらに、
そもそもなぜ個人情報保護法が制定され、
なぜ改正された
のでしょうか。

私は弁護士や法律家ではありませんので、
厳密な定義ではなく、
現実的な「解釈」ですが、
法律というものは、
国が、国民や事業者等が豊かになるために、
何かをしてほしいから、
あるいは、何かをしてほしくないから、
制定していると考えています。

では、個人情報保護法は?

これは事業者が対応する上で
とても大事なところです。

要は、この法律の趣旨は何か。

法律の趣旨を理解するためには、
まず、第1条に書かれている
「目的」を読むことから始まります。

そして、基本理念
さらに、制定背景、改定背景
知ることで趣旨が明らかになってきます。

ということで、
それらを理解せずに
義務規定の条文だけ読もうとするから
よくわからない、
という人が多いのが現実だと
ずっと感じているところです。

今回の改正を期に、
そこから入ってみましょう。
そしたら、
そのあとは加速的に対応方法が
見えてきます。

2017年6月15日木曜日

個人情報保護方針ページの重要性

個人情報保護方針、プライバシーポリシーの公表は、
個人情報保護法では、政府の基本方針で求められていますが
個人情報取扱事業者の義務ではありません。

しかし、今や、個人情報を取り扱う事業者のWebサイト
(ホームページ)には、必ずあるという印象が誰しもある
と思います。

プライバシーマーク取得企業でなくても、
2005年の法全面施行時ごろから、
多くの事業者で整備されてきました。

ただ、多くの事業者が、
どこかからのコピペですませている感覚が否めません。
その意味でも、自分の情報を預ける側の個人としても、
そのページをあまり重視しない状況があろうかと思います。

逆に、このページを重視し、適宜更新している事業者も
あります。

少なくとも、少し前の話になりますが、
JIS Q 15001 が、1999 から 2006 に変わったとき、
いくつかポイントがあったのですが、
それを反映した事業者と、そうでない事業者がありました。

私、個人的には、2006年ごろから、
新しく取引をさせていただく企業や、
研修やコンサルティング等のサポートを
させていただく企業様については、
必ず、このページを見ます。
もう10年を超えますが、
大きな傾向があることがわかっています。

このページが、
しっかり作ってあったり、更新をしている企業は
個人情報保護に関する取り組みがしっかりしている。


もちろん、しっかりしているけど、
このページはズサンという企業もありましたが。
個人情報保護についてしっかり取り組んでいる企業は
個人情報保護方針や、その公表の意義をちゃんと理解
されている
ことが多いということです。

実際、かなりの時間と費用をかけて、
このページをしっかり作りたいというご要望をいただき
他社とはケタ違いの対応をさせていただいたことが
ありました。

個人情報保護方針のページは、
単に基本方針を記載するだけでなく、
本来は、宣言を公表するものであり、
さらに、個人情報保護上の公表義務を包含することも
できるページである
ことから、
要は、自社の個人情報保護の取り組みそのものを
対外的に示すことができる
のです。
ご依頼いただいた企業様は、それをされたかった
ということです。気合いが入りました。

今回、改正法の全面施行で、
事業者によっては、公表すべき項目が増えました。

今、改正法に対応した取り組みを対外的に示せる
チャンス
でもあります。

そんな意味でも、
個人情報保護方針、プライバシーポリシーのページ
の見直しをお勧めします。

2017年6月14日水曜日

荒尾市職員の懲戒免職処分に学ぶ

昨日(6月13日)、熊本県荒尾市の市職員を、
ストーカー行為で懲戒免職処分したニュースが
流れました。

NHKの報道によると、
市役所の住民情報システムを不正に使って
同じ課の女性職員の住所などの個人情報を入手し、
外出先でつきまとうなどのストーカー行為
していたということです。

女性職員の髪を触ったり
乗用車にGPSの機器を取り付けたりしていた
ということで、女性職員が上司に相談して発覚、
当職員は謝罪したが、その後の市の調査で、
市の職員の男女48人分の住所などの個人情報を
まとめたリストなどが業務用のパソコンから
見つかった
とのこと。

荒尾市の浅田敏彦市長は、
公務員の信用を失墜させる行為
市民の皆様に深くおわびします。
同様のことが二度と無いよう、
職員の教育や研修を強化します」
と謝罪した、とのことですが、

まずは、
「同様のこと」とは
何を指しているのか。


ストーカー行為か、
住民情報システムの不正利用か、
髪を触ったりGPSをつけるような行為か、
あるいは、
公務員の信用を失墜させる行為か。
それとも、それら全部?

どれもあってはならないことですが、
同様のことを無くすために行う教育や研修とは
どんなの?


「教育」そのものを甘く見ているのか
軽んじているのか、これだけでは
本気度が見えません。

総務省は今年1月に全国の市区町村に対して
通知を出すなどして、個人情報の不正閲覧の
防止等について徹底を図るよう求めていた、
とのこと。

ちゃんとやっていたのだろうか、
やったとして、どんなことをやったのだろうか。
回覧やメール一本くらいで済ませていたのでは
と思ったりします。

そもそも、
懲戒免職は、何に対してか?
ありえない行為なので、その処分は適当だと
思いますが、合わせ技一本なのか。

住民情報システムの不正利用に対しては、
罰則はないのだろうか。


荒尾市のWebサイトで
個人情報保護条例を探してみました。
「個人情報保護制度」として、
説明が書かれていました。

「この条例では、市が保有する個人情報について、
適正に取り扱い、保護するためのルールを定める
とともに、自己情報の開示、訂正および利用停止
を求める権利を、その本人に保障し、市民の皆さん
と市政との信頼関係を強めていくことを目指して
います。」

罰則:
「職員または委託を受けた者(再委託を受けた者を
含む。)が個人情報の不正な提供や収集を行ったとき
は、最高2年以下の懲役または100万円以下の罰金が
課せられます。 」

罰則は定められているようです。
しかし、個人情報の不正な提供や収集のみ?
利用は???

同じ市職員の情報とはいえ、
業務目的で閲覧する可能性はありそうだから
ここでいう不正な収集や取得にはあたらないと
思われます。

業務用PCとはいえ、説明ができない48名分のリスト
が保存されていたとのことなので、これは不正な
収集(取得)ではなく、個人的な不正な「入手」
として、別に罰則対象にすべきではないかと。

あわせて、それを利用して迷惑行為をした
わけですが、迷惑行為の前に、利用した時点で
罰則対象にすべきではないかと思います。

目的外どころか、業務外利用なので、
そこで縛りをつけておくべきでしょう。

これらが、条例でどうなっているのか、
荒尾市個人情報保護条例と、
荒尾市個人情報保護条例施行規則が制定
されているようなので、
それらの条文を見ようと荒尾市Webサイトで
項目をクリックすると、
「ログイン情報が失われました。
ログインし直してください。(ErrNo=926)」
と表示され、読めず。。

直接検索したらPDFがヒットしました。
おぉ、罰則ありました。

市役所職員が「実施機関」の職員である
という前提ですが
「第53条 業務に関して知り得た保有個人情報を
自己若しくは第三者の不正な利益を図る目的
提供し、又は盗用したとき、
1年以下の懲役又は50万円以下の罰金」

「第54条 実施機関の職員がその職権を濫用して
専らその職務の用以外の用に供する目的
個人の秘密に属する事項が記録された文書、
図画、写真又は電磁的記録を収集したときは、
1年以下の懲役又は50万円以下の罰金」

でも、懲戒免職処分にしたら、
これらには該当しない??

いずれにしても、
この事件からの学びとして、
一般事業者でも「同様のこと」が
起こる可能性があります。

お互い信頼しあった作成している
従業者名簿は別としても、
少なくとも顧客名簿は、
業務目的外の閲覧自体も禁止事項とし、
厳重注意等の処分の可能性と、
その情報を利用した時点で、
懲戒免職となりうることを規定し、
それらの伝達を含めて、
顧客の信頼を維持することの重要性を
しっかり「教育」することが重要
ですね。


2017年6月13日火曜日

上場企業も「何もしていない」というデマ

昨日(2017.6.12)こんなデマが流れました。
『深刻、上場企業も「何もしていない」
改正個人情報保護法に未対応97.8%』


J-CASTニュースが取り上げたトピックで、
Yahoo!JAPAN ニュースでも掲載されましたので、
ご覧になられた方もおられるかと思います。
https://www.j-cast.com/2017/06/12300190.html

『改正個人情報保護法が2017年5月30日に全面施行されたが、
東証一部上場企業のほとんどが改正法に対応していない実態が
明らかになった。』

なんか、腑に落ちないなと思いながら
読み進めたら、
上場企業にアンケートしたのではなく、
Webのプライバシーポリシーをチェック

したとのこと。

つまり、『上場企業が、何もしていない』
というのはウソです。


Webサイトでの発表か
プレスリリース等にもとづいて書かれているのだと
思いますが、ニュースではなく、
あえてデマと言わせていただきます。

こんな表題で人の気を引こうとしていることに
とても腹立たしく思いました。

「プライバシーポリシー実態調査」を行ったとされる
牧野総合法律事務所さんのサイトへ行くと、

『「上場企業プライバシーポリシー実態調査結果」の公表』
と題して、
『東証一部上場企業の改正個人情報保護法対応は2.2%
97.8%が対応不十分』
と書いてあります。

若干誤解を生みそうな表現ではありますが、
わかっている人が読むと、
プライバシーポリシーの対応が不十分で、
そこから、改正法対応も不十分であろうと推測される
と読めます。
それは正しい。まっとうです。


J-CASTさんの記者がよくわかっていないのか、
あるいは、ニュースが目につきやすいように
あえて煽るような表現にしたのか。

法施行時に起こった過剰反応も
こういうところから起きたものです。

まぁ今回の記事は、
全面施行後の今、
上場企業ですら対応状況が悪くてヤバし!
と警告して煽ってくれているととれば、
よいことなのかも知れませんが、
逆に、他の企業もやってないなら、
うちもまだいいか、とならないとも限りません。

いずれにしても、
ウソから煽ることは良い結果を生みません。

賢明な皆さんは、騙されなかったと思いますが
やはり、今回、新たに多くの企業や団体が対象に
なっているので、なおさら、こういう報道の仕方は
ぜひやめてほしいのと思うばかりで、
読む側もしっかり読みこみましょう、
ともお伝えしたいです。

ちなみに、
牧野総合法律事務所さんの
プライバシーポリシーから対応状況を推測する

という考え方は、とても賛同します。
私も法施行時からその考えをもっていて、
実は、JIS Q 15001が2006に改定された後、
その視点でのサービスを提供しています。


5月30日から、
「個人情報保護方針」無料診断キャンペーン
というのも実施しています。
なぜ、そういうサービスしているのか、
どんなサービスかについては、
ちょっと今日の論旨と異なりますので、
こちらについては別途ご紹介させていただきます。

2017年6月12日月曜日

個人情報の定義の理解の重要性

昨日、履歴書を例に、
「個人情報とは」
という説明を書かせていただきました。

「個人を特定する情報」が個人情報ではない、
ということをご理解いただいていますでしょうか。

では、
その履歴書の氏名欄を墨塗りにしたら、
個人情報ではなくなるでしょうか?

まず、写真が貼ってあれば同じですね。
では、写真も消せば個人情報ではなくなる
のでしょうか?

これは、
たとえば、その人が一人住まいであれば、
住所だけで、誰の情報か推測がつきます。

家族と一緒に住んでいたとしても、
年齢が書いてあれば推測がつきます。

学歴や職歴でも推測がつきます。

大多数の人が推測がつくようであれば、
それは特定の個人を識別することができる
と言えてしまいます。

JR東日本のSuicaデータの利用が問題と
なった点の一つはそこです。

氏名を削除し、生年月日の日を削除した
と言っても、たとえば、
ある駅を毎日利用する明治40年生まれの人
といえば、近隣の人なら、あの人ねとすぐ
わかるでしょう。

それやこれやで、
今回、法改正で「匿名加工情報」が定義され、
加工方法や、してはいけないこと
が定められました。

個人情報を腫れ物扱いしていると、
ビッグデータの時代、有効活用ができません。

さりとて、個人情報を正しく理解し、
「本人」に配慮をしなければ
バッシングにあうことにもなりかねません。

やはりまずは、
個人情報保護法の趣旨とともに、
個人情報の定義を
しっかり理解し把握しておくことが重要です。


2017年6月11日日曜日

個人情報の定義の正しい理解

改正個人情報保護法への対応のために、
まず、これを期に「個人情報」の定義
正しく理解する必要があります。

いまさら?
とお考えの人も多いかと思いますが、
これを理解しておかないと、
今回、改正法で新しく定義された
個人識別符号や、匿名加工情報、
さらに要配慮個人情報の定義もあいまいになり

それらに対する義務が正しく理解できず、
間違えた対応となる可能性もでてきます。

早速ですが質問です。
「特定のある人の趣味は個人情報でしょうか?」

私の講義やセミナーを受講していただいた皆様は
自信をもってお答えいただけると思いますが、

答えは、もちろん
趣味も個人情報です。

趣味そのものが個人情報というよりも、
その人の趣味が記載された紙などが
個人情報と考えた方がわかりやすいかもですね。

ん?
と思われた方は特に
このあと注意深くお読みください。

「個人情報」とは、生存する個人に関する情報です。
その当該情報に含まれる氏名、生年月日その他の記述等により
特定の個人を識別することができるものです。


たとえば、
ある人の履歴書を考えてください。
とりあえず紙の方がイメージしやすいでしょう。

生存する人の履歴書であれば、
個人情報にあたりそうです。

ここで、
「当該情報」とは、履歴書のことです。

履歴書に含まれる「氏名、生年月日その他の記述等」
一般的に履歴書には、氏名、生年月日が書いてありますね。
住所や電話番号、メールアドレスなども書いてあります。

それらの記載によって
「特定の個人を識別すること」ができます。

なので、履歴書の中身は、個人情報なのです。

特定の個人を識別することができる情報が
個人情報ではありません。

履歴書の中身には、
学歴や職歴、
さらに、特技や趣味が書いてあることもあります。
当然それらも、個人情報です。

履歴書の中の、
氏名、生年月日、住所、電話番号だけが
個人情報だということではありません。


病歴が書いてあった場合、
それは、要配慮個人情報にもなりえます。

「特定の個人を識別することができる」
というのは、
「誰の情報かがわかる」
という意味です。


誰のものか、わかるための情報が
個人情報ではなく、
誰のものか、わかる情報は、
すべて個人情報なのです。

2017年6月10日土曜日

先ず「個人情報の定義」より始めよ!

個人情報保護を語る上で
もっとも大事な用語である「個人情報」
あまりに誤解の多い用語でもあります。
ここは、弁護士さんであっても
間違えている人がおられます。

立派な書籍を書かれている人でも
間違えていることもあります。

そして、
今、改正個人情報保護法に関する書籍を
執筆しているのですが、
そのためにいろいろ情報収集する中で、
とんでもないことに行き当たりました。。

恐ろしいと思う感覚とともに、
だんだん腹立たしく思ってきました。

何が問題?
個人情報の定義です。

昨日も書きましたように、
個人情報は、
『個人を特定するための情報』
ではありません。


個人識別性は、
その情報が個人情報である条件の一つなだけです。
誤解している人は、
その条件そのものを個人情報だと勘違いしているのです。

たとえば、
弁護士とは、弁護士名簿に登録されている者であって、
弁護士となる資格を得るために司法試験に合格した者である。

という文章があったときに、
司法試験の合格は条件の一つであって、
司法試験に合格した人を弁護士と呼ぶわけではない、

何かちょっと違うような気もしますが、
まぁざっくりそんな感じで、
ずれているのです。

別の例ではなく、
直接「個人情報」で例を考えてみます。


2017年6月9日金曜日

「個人情報の定義」を正しく理解していますか?

改正個人情報保護法に対応するための注意点
に戻ります。
またか、とお思いの方のおられるかと思いますが、
今回は特に超重要なことを書きます。

「正しく理解していない人の話を聞いてはいけない」
ということです。

あたり前のことですが、実は少なからずいるのです。

私も講演やセミナー、企業研修などを実施させていただいて
おりますが、だから他者つぶしのために言いたい、
ということではありません。

一人でも多くのそれらをされている人たちに、
正しい理解をしていただかねば、と感じているところです。
外部で話を聞いてきて、
社内に展開される社内講師やご担当者さんなども、
もちろん対象です。では、正しく理解している人かどうか、
どうすればわかるのか?

これはなかなか難しいところではありますが、
「正しく理解をしているかどうか」は、
実は、冒頭で見分けられる可能性があります。

それは、
「個人情報の定義」です。

特に今回、法改正によって
個人情報の定義が明確化されたことは
ご存じの方も多いと思います。

しかも、今回
個人情報にはあたらないながら、
「匿名加工情報」
という用語が定義され、

それに対する義務が規定されました。

これを理解するためにも、
「個人情報」の定義が重要となります。


個人情報保護法が全面施行されてから
12年が経ちます。
しかし、
個人情報保護はいまだに正しく理解されず
迷走しているように思います。
施行当時は、過剰反応も多数起こりました。

これらの根源は、
10年を超えて個人情報保護教育に携わってきて
「個人情報とは」という定義が正しく理解されて
いない からだと感じています。

そして、今回、法改正を期に、あらためて
「個人情報とは」
が、正しく浸透してほしいなぁと思っています。

そんな中、
改正個人情報保護法の説明やセミナーを
実施している人の中には、
改正前からの「個人情報」の定義を
間違えたまま、法改正の話をしている人が
おられます。


正しく理解していても、
その説明が誤解を招く表現になっていることが
とても多いように思います。

これは忌々しき状態だと思います。

今回から小規模事業者も対象となりました。
今回、個人情報保護法を
今回はじめてちゃんと学ぼうとされる人たちも
多数おられます。


そのような人たちに
「ウソ」を教えて欲しくない!

このブログをご覧いただいている皆さんは、
ご自身は正しく理解されている方が多い
と思いますが、
ぜひこのウソが広まることに
一緒にブレーキをかけて欲しい。
そんな思いでもあります。

まだご自身に自信がない方は、
今あらためてご理解いただければと思います。

「個人情報」は、
「特定の個人を識別するための情報」
ではありません!!!
個人を特定する情報でもありません。

個人情報は、
「生存する個人に関する情報」
です。

それに、
誰の情報かわかる(個人識別性)
という条件がついていて、
それが、
「特定の個人を識別することができる情報」
という言葉になっています。

個人情報を、
「特定の個人を識別することができる情報」
とだけ説明している人の話は、
その本質を理解しているかどうか、

しっかり確認してから聞きましょう。

今回、新しく定義された
個人識別符号や匿名加工情報、
さらに、要配慮個人情報など、
重要なキーワードの定義が
根底から崩れてしまう
ので
それらに対する義務等を理解しても、
意味が半減してしまい、
正しく対応できなくなる可能性が
高くなります。

皆様は大丈夫でしょうか?


2017年6月8日木曜日

改正法に対応し、すぐに取り組みはじめるべき項目

改正個人情報保護法の対応について
すべての事業者がすぐに取り組みはじめるべき項目
あげてみます。

(1)社内規程の見直し
(2)取り扱っている個人情報の洗い出し
(3)個人情報の管理状況の確認
(4)個人情報保護方針の見直し
(5)従業者教育の根本的見直し
(6)従業者の個人情報の取り扱い状況の確認
(7)情報セキュリティ状況の確認
(8)経営者を含む全従業者の意識改革
(9)従業者への丁寧な対応

結構大変ですね。

でも、今大変でも、
これらをしっかり対応するとあとで楽になる
というより、今しっかり対応しておかないと
あとでもっと大変なことになる、
といった感じでしょうか。

このあと一つひとつ書いていきたいと思います。



2017年6月7日水曜日

改正法に至急対応すべき事業者と内容

改正個人情報保護法の対応をするにあたり
注意すべきことを書いていますが、

いやもう全面施行されて1週間を超えたし、
早く対応をしたい!
とお思いの皆さんも少なくないと思います。

はい、
できるだけ早く対応を始めていただきたいと
考えております。
でも、間違えた対応をしないように、
注意点を書かせていただいています。。

と、その間をとる感じで!?
今回は、
至急対応が必要なのは、どんな事業者か
を書きます。

今回の改正で、
実質、すべての事業者が
対象となりましたので
もちろんすべての事業者が
至急対応すべきですが、
特に新しく加わった概念の
義務の対象となる事業者は、
早めに準備を進めた方が
よいと思います。

具体的には、
・要配慮個人情報
・匿名加工情報

が、新しく定義され、
・第三者提供
について、義務が強化されています。

そこで、
(1)要配慮個人情報を取扱う事業者
(2)第三者提供をしている事業者
(3)匿名加工情報を取扱う事業者

は、すぐに対応を始めるべきですね。

(1)要配慮個人情報とは、
センシティブ情報、機微な情報として、
プライバシーマーク認定を取得している企業は
すでに対応されていると思いますが、
顧客のそれらの情報を取扱っている事業者は、
至急対応すべき対象です。

さらに、取扱っていないという事業者も
自社の社員のそれらの情報を取り扱っている
はずです。
健康診断結果や、病歴などがそれにあたります。
だとすると、実質すべての事業者が対象ですね。

まず、要配慮個人情報に関する対応については、
「現状把握」が至急課題です。
どのような要配慮個人情報を取扱っているかを
洗い出し、リストアップすること。
そして、同意を得ないで取得していないか、
第三者提供していないか、

を確認してください。

(2)第三者提供をしている事業者は、
その旨を公表し、記録の作成・保存
が必要となりました。
さらに、
オプトアプト方式を用いている場合は、
個人情報保護委員会へ届け出する
ことに
なっています。

(3)匿名加工情報については、
ビッグデータだけでなく、
自社で統計情報を取扱っている場合、
それが、
自社が作成する場合と
他者が作成した情報を取り扱う場合ともに
対応が必要です。
まずはこれらに該当するかどうかを確認し
至急対応しなければならないことを
意識されてください。



2017年6月6日火曜日

注意点(2)2つの解釈を混同しない

改正個人情報保護法に対応する際の注意点。
じわじわと書いている感じですが、
結構大事だと思っていますので、
ぜひ面倒くさがらずに
お読みいただければ幸いです。

2つ目の注意点は、
②法令等の解釈と③現実的な解釈を混同しない、
ということです。












あわせて、誰の解釈を信じるか
ということにもなります。

まず大事なことは、
まだ自分が法令等の規定を
ちゃんと理解していない状態で、

②法令等の解釈 と、
③現実的な解釈 を
混同している説明は、読まない、
聞かない方がよいということ
です。

③現実的な解釈とは、
法令等で求められていることを
社内規程等に反映させるために、
自社ではどうするか
ということを決めるための法律の解釈
ということです。

こちらは別途また詳しく書きますが、
極論、
「法律がどうであれ、自社ではこうする」

という決める内容も出てきます。

少なくとも、
③現実的な解釈は、
一般的には、法律に違反しないよう、
広めの解釈をすることになります。


それに対し、
②法令等の解釈は、
法令等で求められていることを
正確に理解するためのもの
なので、
目的が違うわけです。

②法令等の解釈は、正確な理解が目的なので、
そこにプロでない人の個人的な解釈が
入ってはいけないのです。

プロとは誰か?

法の背景や行間を知っていて、
法で求められていることを
論理的に理解している人です。

一般的には、弁護士さんが
それにあたりますが、
現時点でいうと、
まだすべての弁護士さんが
正確な理解をしているわけでは
ないようにも思います。

また、法の解釈の違いを論点に
議論する仕事でもありますから、
その人の解釈が必ずいつも正確で
あるとも限りません。

実は、2003年の法施行時に、
ここに苦労しました。

あとで考えると、
解釈を間違えていた弁護士さんも
少なからずいて、
いろんな弁護士さんの話を
あちこちで聞いていると、
つじつまが合わなくなってきたのです。

そんなだから、
過剰反応が多数起こったのだとも思います。
さらに10年たっても、個人情報保護法を
正しく理解している人が少ない。
もちろんそれらすべてを弁護士さんのせいに
したいわけではありませんが、
でも、それが現状です。

このときの教訓として、
信頼できる弁護士さんをしっかり見定めて
浮気せず一途になることも大事なこと
だと感じました。

そして、
自分がちゃんと正しく理解したあとでは、
たとえ弁護士さんが書かれているものであっても、
間違いは間違いであるとわかるようになりました。

早く自分が法令等の正確な理解をすることが
やっぱり理想ですね。

自社のためだけでなく、
人に教えたり、伝えたり、
コンサルティング等を行う人は
それが必須ですね。

注意点《2》は、
①法令等の解釈と、
社内規程に反映させるための
②現実的な解釈を
混同しないこと、
混同して説明しているサイトや書籍を
参考にしないこと、

です。



2017年6月5日月曜日

注意点(1)その内容が書かれた時期

少し概念的な話を続けましたので、
お伝えしたかった趣旨やご注意いただきたいことを
具体的にまとめていきますね。

まず、
改正個人情報保護法は、
その条文や政令、委員会規則は、
その全文が公表されているので、
誰でもそれを読むことができます。

ただ、事業者にとっては、
それだけでは具体的な対応がしにくいため、
法の「解釈」が書かれた公式な文書である
ガイドラインやQ&Aが公表されています。

それらの文書は、
その最新版が個人情報保護委員会のWebサイトから、
ダウンロードできますので、間違いの余地はなく
もちろん信用してよいものであることは、
皆さんご存じのとおりですね。

ここで注意することがあるとすれば、
以前にダウンロードしてあったものは、
更新されているかもしれないので、
最新のものをダウンロードしましょう、
ということですね。

ちなみにガイドラインについては、
これまで多くの事業者のよりどころであった
経済産業分野のガイドラインは廃止され、
個人情報保護委員会のガイドラインに移行しています。

次に、
これらの文書を全部読むのは大変であったり、
わかりにくいということで、
委員会から公表されている以外の、
弁護士さんや一般の人が書いた
Webサイトや書籍を参考にすることもあるでしょう。

その際に、
まず注意《1》として、
執筆時期に特に注意してください、
ということです。
古いものは、今では間違いであることが
書かれている場合があるということです。

一つの目安として、
政令と委員会規則が公布されたのが、
2016年10月5日です。
これ以前のものは、
原則参考にしない方がよい
と思います。

たとえば、
東京弁護士会から、
主に弁護士向けに「LIBRA」という月刊雑誌が
発行されています。その、2016年5月号で
「個人情報保護法改正・マイナンバー」
と題して、巻頭特集が組まれていました。

その前年9月に公布された改正法と、
その後の国会答弁等を参考に書かれていて、
個人情報保護法制に精通している弁護士が
解説しているので、実務において参考にせよ、
と書かれていますが、
実際、とてもわかりやすくまとめられており、
当時は私もとても参考になりました。

しかし、法改正概要の説明の中に、
「個人情報データベース等の定義において、
政令で除外されるものとして、電話帳、カーナビ、
同窓会名簿、自治会名簿等が予定されている。
そうすると、・・自治会名簿だけ取り扱う自治会
は、・・・個人情報取扱事業者に該当しないと
考えられる。」
と記載されています。

ところが、
その「予定」が変わりました。
電話帳、カーナビは除外項目とされましたが、
同窓会名簿、自治会名簿は除外されませんでした。

逆に、今、
個人情報保護委員会の中小企業サポートページの冒頭には、
「事業者には営利・非営利を問わず、個人情報を
データベース化して事業活動に利用していれば
該当します。
このため、企業だけでなく、個人事業主・NPO法人・
自治会・同窓会等も該当し得ます。」
と、注意が書かれています。

議論の末、除外対象から除外されたので、
より明確に記載されたのではないかと思います。

このように、
国会答弁や委員会議事録など、
詳細にウォッチされたいた方ほど、
状況をよくご存じで、
そしてそれを少しでも早く多くの人に伝えよう
と尽力された方ほど、
今では裏目にでてしまっているという
皮肉な結果になってしまっています。

どれだけすごい人が書いたものであっても、
すべての公式な文書が公布、公表される前のものは、
参考にするのは危険ということです。

あと、
委員会のガイドラインが公表されたのは、
2016年11月30日です。
これで事業者の対応方法がやっとわかる
という項目もあります。
さらに、そのQ&Aが公表されたのは、
2017年2月16日です。
細かく言うと、ここでやっとはっきりした
という項目もあります。
これらが「時期」確認のヒントになりますね。

注意点《1》は「その内容が書かれた時期」です。
委員会規則等の公式文書は最新のものか確認すること
参考にする書籍やWebサイトは執筆時期を確認すること
「その内容の書かれた時期」に注意しましょう
ということです。
ご参考まで。



2017年6月4日日曜日

法律の「解釈」の注意点と重要性

改正個人情報保護法が全面施行された今、
実質すべての事業者が
自社の個人情報保護規程
変更し対応しなければなりません。

これまで、どこかから入手した規程や、
プライバシーマークを取得している企業では、
その取得サポートを行うコンサル企業からもらった
規程のテンプレートを少し修正しているだけのものを
お使いの企業も少なくないかと思います。

それらの企業も、今回を期に、
自社の事業の様態、内容、そして、
個人情報の取扱い状況等にあわせて、
しっかり見直すことをお勧めします


ではそれは、何をもとにすればよいか?

法律条文や関連法令文書とともに、
さまざまな資料をもとに作成することになるかと
思いますが、ここで注意が必要です。

まず大前提として、
社内規程は、法律そのものを焼き替えても
意味がないことは言うまでもありませんが、












その間に、「解釈」が入ります。












そして、その解釈は、2階層あります。
一つは、
法律の解釈
もう一つは、
自社の社内規程に反映させるための解釈です。












この法解釈にも2種類あって、
一つは、
個人情報保護委員会から出されているガイドラインやQ&A、
もう一つは、
学者さんや弁護士さん、
あるいは一般各社や一般の人が出している見解です。

この二つは大きく性格が異なりますので、
整理のために、
個人情報保護委員会のガイドライン等の公式文書は、
法律条文とあわせて、①法令等の規定とします。












その上で、
①法令等の規定②法令等の解釈
しっかり区別することがとても重要であるとともに、
②法令等の解釈を参考に、
③現実的な解釈を作り、
それを④社内規程に反映させる
という作業が必要となってきます。

要は、
①条文やガイドライン等だけでは、
④社内規程は作りにくい。
そこで、
他の人たちの ②③「解釈」が
大きなヒントになるけど、
そこの判断を間違えば、

おかしな社内規程を作ってしまうことになる
ということです。

この「解釈」についてはとても大事なので、
別途、書いていきます。



2017年6月3日土曜日

何を拠りどころに対応すればよいのか?

5/30から、実質すべての事業者が
改正個人情報保護法に対応しなければならなくなりました。

では、何を拠りどころに対応すればよいのでしょうか。

これを間違えると、
意味がなくなったり、時間の無駄になりかねません。

まずはなんといっても、
個人情報保護委員会が公表している文書ですね。
http://www.ppc.go.jp/personalinfo/

法律、施行規則、施行令、ガイドライン、Q&A等とともに、
中小企業向けの文書も用意されています。

各文書は、
当初の公表以降に、全面施行に向け、
更新されているものも少なくありませんので、
早くからダウンロードして準備されていた皆さんは、
あらためて更新されていないか確認が必要です。

たとえば、
個人情報保護法ガイドライン(通則編)は、
平成28年11月に公表されましたが、
平成29年3月に一部改正されています。
Q&Aも平成29年2月に公表されたあと、
全面施行された5月30日に更新されています。

これらの文書は一般事業者の、
特に今回から対象になった事業者には、
熟読して理解するのは、
かなりなハードルの高さかと思います。

だからと言って、
一般のWebページや書籍にたよるには、
危険がともなうことに注意が必要です。

少なくとも、
まずはそれらが書かれた時期がいつか
ということでたよってはいけないものの
判断ができます。



2017年6月2日金曜日

プライバシーマーク付与を受けた事業者もすぐに改正法対応が必要です。

JIS Q 15001は、まだ改正されておらず、
プライバシーマークの認定基準も
まだまだ先になりそうなので、
対応はまだ先でよい
と考えられている企業もおられるようですが、

要求事項として
「法令遵守」が盛り込まれていますので、
実質的には、
改正個人情報保護法 全面施行と同時に
それらにあわせた対応が
求められていることになります。

プライバシーマーク付与を受けた事業者
の皆さんも、
Pマークのガイドラインの改訂を待っているのではなく、
改正個人情報保護法を
しっかりお勉強していただくことが好ましいですね。



2017年6月1日木曜日

改正個人情報保護法にしっかり対応する事業者を増やすために頑張ります!

5/30 改正個人情報保護法が全面施行されました。

改正内容とともに、
結局、事業者は何をどう対応すればよいのかが、
とても見えにくく、
これは、教育事業者やコンサルティング事業者などの
情報・サービス提供側もかなり大変だと思います。

真面目であればあるほど慎重にならざるを得ない状況
のように思います。

いまいち早く情報提供されている事業者の中には、
「わかっていない」と思われるものも少なくないです。

前回のように過剰反応を起こさないためにも、
また、せっかく法改正されたのに、
ほったらかしにならないためにも、
しっかりと正しい情報提供をし、
共有していきたいと考えています。

よろしくお願いいたします。