1. 1. 個人情報保護法の本質と企業の取るべき道（講師：稲垣隆一弁護士）
   2. 個人情報保護に関する効果的な管理の仕組み〜プライバシーマーク取得手法〜（講師：(株)JMC 打川和男様）

◆個人情報保護法の本質と企業の取るべき道
　（）内に記述されている＊条は、個人情報保護に関する法律の条文です。

　◆第１講　個人情報保護　よるべき基準は何か◆
　　●個人情報保護法
　　　・民間企業が個人情報保護法に対応するにあたり、
　　　　原理となることは３つ。
　　　　利用目的の特定、安全管理措置、情報主体への対応。

　　　・個人情報をどのように取り扱うかの一時判断は会社。
　　　　最終的には裁判で行われる形になる。

　　　・よい法律は「要件と効果」しか書かれていない。
　　　　法律を読むときは、要件と効果をわけて読むと分かりやすくなる。

　　　・損害賠償等は、民法、商法に基づいて行われる。
　　　　「人の権利を損害した場合は賠償することができる」という内容の
　　　　記述が民法にある（民法709条）。
　　　　この民法の条項に基づき、さし止めを請求できる。
　　　　民法709条「故意又ハ過失ニ因リテ他人ノ権利ヲ侵害シタル者ハ
　　　　之ニ因リ生シタル損害ヲ賠償スル責ニ任ス」。

　　●情報とデータについて
　　　・情報とデータは違う
　　　　- 情報：JISの中に定義がある。情報そのもの。
　　　　- データ：情報を加工したもの
　　　　　（JISハンドブックを持っていたほうがよい）

　　　・情報は誰のもの？
　　　　情報は情報主体（その人個人）のもの

　　　・データは誰のもの？
　　　　データは、その会社システムにあったように加工したもの。
　　　　ではデータは、会社の物？情報主体の物？あるいは両方のもの？
　　　　→結局は、情報主体の物、と解釈できる。
　　　　　これはプライバシーの本質。

　　　・個人情報保護法に遵守する意義は何か？
　　　「個人情報保護法を遵守することで、社会に認められ、
　　　　会社として存在し続けるため」

　　●第１原理：目的拘束
　　　・目的拘束の原則
　　　　　- 取扱が可能な範囲（15条、16条ⅠとⅡ）
　　　　　　　o あらかじめ本人の同意がある範囲（同意基準）
　　　　　　　o 利用目的の達成に必要な範囲（客観基準）
　　　　　- 変更可能な範囲
　　　　　　　o 相当の関連性を有すると合理的に認められる範囲

　　　・目的拘束の原則の例外（４つある。18条Ⅳ）
　　　　　1)利用目的を通知または公表することで、本人の権利利益を
　　　　　　害するまた害する恐れがある場合
　　　　　2)利用目的を通知または公表することで、個人情報取扱事業者の
　　　　　　権利また利益が不正に損害を受ける場合
　　　　　3)利用目的を通知または公表することで、国や自治体に協力して
　　　　　　行う当該事務の遂行に支障を及ぼすおそれがあるとき
　　　　　4)取得の状況から見て、利用目的が明らかであると
　　　　　　認められる場合

　　　・例外について
　　　　　「利用目的を通知または公表することで、個人情報取扱事業者の
　　　　　権利また利益が不正に損害を受ける場合」と定義されているが、
　　　　　「コストがかかるので対応できません！」という理論は
　　　　　通用しない。→コストがかかるのはあたりまえ。
　　　　　そもそも、例外にはのらないように。

　　　・これなら個人情報保護法にしなくても良いかもしれないケース
　　　　　会社としての方針が以下のケース。
　　　　　「資本調達は全て自分で行います。銀行からお金を
　　　　　　借りたりしません。個人情報は一切持ちません。
　　　　　　株式？関係ありません！」
　　　　　→実質、個人情報保護法に対応する必要性はなくなる
　　　　　　可能性があるかもしれない。

　　　・普通の会社のケース
　　　　個人情報を保護するのは当たり前。

　　　・コンプライアンス
　　　　監査した場合に証明できるだけの根拠が必要。
　　　　方針だけ公表し、実体がないのはだめ。

　　●第２原理：情報セキュリティ
　　　・セキュリティ対策の義務
　　　　　- 努力義務
　　　　　　　1)正確性の保持（19条）
　　　　　　　　正確最新の内容に保つように努めなければならない
　　　　　- 具体的義務
　　　　　　　1)安全管理措置（20条）
　　　　　　　　安全管のために必要かつ適切な措置を講じなければならない
　　　　　　　2)従事者の監督（21条）
　　　　　　　　従事者に対する必要かつ適切な監督を行わなければならい
　　　　　　　3)委託先の監督（22条）
　　　　　　　　委託を受けたものに対する必要かつ適切な監督を
　　　　　　　　行わなければならない

　　　・第三者提供の禁止と許容
　　　　　- 事前の同意なくして第三者提供負荷（23条Ⅰ）
　　　　　- 例外あり（23条本文）
　　　　　- オプトアウトの例外（23条2項）
　　　　　- 外部委託等の例外（第三者にあたらず）（23条4項）

　　●第３原理：権利者対応
　　　・権利主体に対する対応１
　　　　　- 保有個人データ関連事項の公表義務（24条）
　　　　　- 利用目的の通知義務（24条Ⅱ）
　　　　　- 通知しない旨の決定通知（24条Ⅲ）
　　　　　- データの開示義務（25条Ⅰ,Ⅲ）
　　　　　　（個人情報取扱事業者の業務の適正な実施に著しい支障を
　　　　　　　及ぼす恐れがある場合は例外（人事データ等））
　　　　　- 開示しない旨の決定通知（25条Ⅱ）

　　　・権利主体に対する対応２
　　　　　- 時事相違を理由とする訂正・追加・削除請求・応諾義務（26条）
　　　　　- 目的外利用・不正取得を理由とする利用停止請求・
　　　　　　応諾義務（27条Ⅰ）

　　　・権利主体に対する対応３
　　　　　- 第三者提供の利用請求と応諾義務（27条Ⅱ）
　　　　　- 利用停止等の際の通知（27条Ⅲ）
　　　　　- 理由の説明（28条）

　　　・権利主体に対する対応４
　　　　　- 開示などに手続きに応じる義務（29条）
　　　　　- 手数料（30条）
　　　　　- 苦情処理の手続きの義務（31条）

　　●個人情報の保護に関する基本方針（閣議決定（平成16年4月2日））
　　　・個人情報取扱事業者等が構ずべき個人情報の保護のための
　　　　措置に関する基本的な事項（個人情報取扱事業者に関する事項）
　　　　　1)事業者が行う措置の対外的明確化
　　　　　　　- 会社がやることを明確にし、公表すること。
　　　　　　　　（プライバシーポリシーを作って公表すること、等）
　　　　　　　　→プライバシーポリシーは「宣言」
　　　　　　　　　だからといって「考えかたなだけで責任はとらない」
　　　　　　　　　という議論は成り立たない。
　　　　　　　　　これからは、「個人情報保護を遵守します」と
　　　　　　　　　書きたくなるが、監査して実態を証明できるものを
　　　　　　　　　作る必要がある。
　　　　　　　　　実態がないままポリシーを作っても、ポリシーに対して
　　　　　　　　　責任を取る必要がある。責任をとらない、とは
　　　　　　　　　公の場では言えない。

　　　　　2)責任体制の確保
　　　　　3)従事者の啓発

　　　・個人情報の保護に関する基本方針に基づくプライバシー
　　　　ポリシー策定時の留意点
　　　　　1)プライバシーポリシーの策定は、遵法経営の問題
　　　　　2)プライバシーポリシーの策定は責任を伴う
　　　　　3)プライバシーポリシーの内容に盛り込むべきこと
　　　　　　個人情報保護法の遵守、関連法案の遵守、など。
　　　　　4)プライバシーポリシー策定に際しての留意点

　◆第２講　情報漏洩の責任とリスクへの対処◆
　　●情報漏洩の責任とリスク
　　　・情報漏洩は、経済原則のもと、事件が発生する。
　　　　「お金になるから」
　　　・最終的には、人間系のセキュリティが大切。
　　　　情報漏洩が発生すると、会社の経営戦略に影響を与える。

　◆第３講　全面施行までに企業がなすべきこと◆
　　●ウオレン・ブランダイスの提訴した課題
　　　・基本思想
　　　　人はもともとどう関係してきたか。
　　　　個人情報・個人データのオーナは本人。
　　　　本人のコントロールが確保されるべき。
　　　・現在も、ブランダンス氏が1890年に提訴したプライバシーの
　　　　問題と基本思想は同じ。

　　●社内体制
　　　・体制整備の前提作業
　　　　　- 個人情報をイメージ
　　　　　- 個人情報を把握する
　　　　　- 個人除法取扱業務を洗い出す
　　　　　- 業務の根拠と責任者を洗い出す
　　　　　- 個人データとするか保有個人データとするかを峻別
　　　　　- リスクアセスメント

　　　・整備すべき体制
　　　　　- 個人情報を一元的に把握できる
　　　　　- 利用目的の通知・公表・明示ができる
　　　　　- 第３者提供が禁止される
　　　　　- 保有個人データの利用目的・請求手数料、その他政令規定
　　　　　　事項の公表（24条Ⅰ）
　　　　　- 請求受理・決定・通知ができる
　　　　　- 本人の特定と同定ができる。
　　　　　　　o 間違えば、情報漏洩事件に発展
　　　　　　　o 本人＝情報主体
　　　　　　　o 請求者が本人であることの同定
　　　　　　　o 特定方法を紛失した場合の再発行手順を定める必要がある
　　　　　- 保有期間・削除・破棄時期の明確化と事前通知は
　　　　　　紛争を予防する

　　　・情報セキュリティとコンプライアンスの確保（なにをなすべきか）
　　　　　- 情報セキュリティに関する個人情報保護法の定め
　　　　　- 情報セキュリティマネジメント
　　　　　- 情報セキュリティ対策の客観化
　　　　　- フォレンジック
　　　　　- 情報管理の適法性確保
　　　　　- 例外判断の体制

　　●安全対策の構築
　　　・安全対策
　　　　　- 安全対策にできることを考える
　　　　　　　o プライバシーマークをとっても事故はおきる
　　　　　　　o 安全対策には限界がある
　　　　　　　　→安全対策の目的をどう捉えるか？
　　　　　　　o 実態をもってポリシーを公表するべき
　　　　　- どう構築するか
　　　　　　目的は、「必要性」と「合理性」を「立証」し、想定しうる
　　　　　　脅威に対するリスクと責任の統制を確実に行うこと。
　　　　　　考えられる枠組み：
　　　　　　　o セキュリティマネジメント：ISMS等
　　　　　　　o セキュリティ技術・システム：ISO15408

　　　・自社員、外部委託先の監督
　　　　　- 自社員に対する管理・監督義務をどのように果たすか？
　　　　　　→監査の実施
　　　　　- 個人情報処理の外部委託において、どこまで監査等を
　　　　　　行うべきか？
　　　　　　　o 契約時のチェック
　　　　　　　　→自社のISMS、リスクレベルとの関係で契約内容は決まる
　　　　　　　o 契約途上の監査
　　　　　　　　→何をすべきかは自社と同じで、どのようにすべきかが
　　　　　　　　　異なる。
　　　　　　　　　先方をチェックする、同時に自社のチェックが完全に
　　　　　　　　　行われる環境を作る（監査チェックリスト・簡易型）

◆個人情報保護に関する効果的な管理の仕組み
　〜プライバシーマーク取得方法〜

　◆プライバシーマーク制度とは？◆
　　●プライバシーマーク制度
　　　・個人情報保護法と同じような対策基準
　　　・情報主体の権利を確保しなければならない、というのがポイント。

　　●法制化の背景
　　　・OECD８原則（1980年）がベース
　　　・日本では、1988年に「行政機関の保有する電子機器処理に
　　　　関わる個人情報の保護に関する法律」が制定。
　　　・民間では、1989年に指針、1997年にガイドライン、
　　　　1998年にプライバシーマーク制度、1999年にJIS化(JIS Q 15001)。
　　　・2003年に、民官ともに「個人情報保護に関する法律」に統一。

　　●プライバシーマーク制度
　　　・個人情報に対して適切な処置（収集、利用、管理、権限の保護）
　　　　をしている企業に対して認定。8/25現在854件。

　　●コンプライアンスプログラムの概要
　　　・Plan（体制の確立）、Do（適切な運用）、
　　　　Check（定期的な確認）、Act（常に最良の状態を維持）の
　　　　ライフサイクル。

　　●プライバシーマーク制度の使用許諾事業者の分類
　　　　1)お客様（消費者）が情報主体であり、主となる事業活動に
　　　　　個人情報の利用が直接関連する事業者（直接収集）
　　　　2)お客様（企業）より、業務委託のために個人情報を預託される
　　　　　事業者（間接収集）
　　　　3)お客様（企業）より業務委託のために、消費者から個人情報を
　　　　　収集する事業者（直接収集）

　　●プライバシーマークの認定を受けるためには？
　　　・付与指定機関の団体に所属する事業者の場合：
　　　　　1)事業者から付与指定機関に申請
　　　　　2)付与指定機関で書類審査
　　　　　3)付与指定機関が事業者で現地調査
　　　　　4)付与指定機関で評価
　　　　　5)付与機関(JIPDEC)に付与審査合格報告
　　　　　6)付与機関から事業者へ付与・契約

　　　・上記以外の事業者の場合：
　　　　　1)事業者から付与機関(JIPDEC)に申請
　　　　　2)付与機関で書類審査
　　　　　3)付与機関が事業者で現地調査
　　　　　4)付与機関で評価
　　　　　5)付与機関から事業者へ付与・契約

　　　・書類審査の対象
　　　　　- 役割、責任・権限および体制の確立
　　　　　- 教育の実施
　　　　　- 監査の実施
　　　　　- 消費者窓口の設置
　　　　　- 情報セキュリティ対策の実施
　　　　　- 委託先管理の実施

　　　・現地調査の対象
　　　　　- 代表者へのインタビュー
　　　　　- 運用状況の確認
　　　　　- 現場での実施状況の確認

　◆JISQ15001とは？◆
　　●JISQ15001
　　　・規格の概要
　　　　「個人情報保護に関するコンプライアンス・プログラムの要求事項」
　　　　　- 国内標準規格（日本工業規格）
　　　　　- 個人情報保護に関するマネジメントシステム規格
　　　　　- 規格の狙いは「信頼の獲得・安心の提供」
　　　・規格の要求項目
　　　　　- 要求事項は25項目
　　　　　　　o 個人情報保護に関する体制面に関する要求事項：13項目
　　　　　　　o 個人情報に特化した要求事項：7項目
　　　　　　　o 個人情報データ書類に特化した要求事項：3項目
　　　　　　　o 情報主体の権利に関する要求事項：2項目
　　　　　- 個人情報保護法とマッピングできる。ないものは、以下の２つ。
　　　　　　　o 個人情報保護法28条：開示しない理由について
　　　　　　　o 個人情報保護法30条：開示する手数料に関する

　◆コンプライアンス・プログラム構築の成功のポイント◆
　　●個人情報の特定
　　　・規格の要求事項
　　　　「事業者は、自ら保有する全ての個人情報を特定するための手順を
　　　　　確立し、維持しなければならない」
　　　・ポイント
　　　　　1)自社で取り扱う「個人情報」ごとに、入手〜破棄までの一連の
　　　　　　流れを明確にし、どのような「データ」や「書類」が含まれて
　　　　　　いるかを明確にする。
　　　　　2)調査の結果に基づいて、個人情報取扱業務の適切性確認を
　　　　　　行うことが重要。

　　●リスク評価
　　　・規格の要求事項
　　　　「事業者は、特定した個人情報に関するリスク（個人情報への
　　　　　不正アクセス、個人情報の紛失、破壊、改ざんおよび
　　　　　漏洩など）を確認しなければならない」
　　　・ポイント
　　　　　1)各「個人情報データ」や「個人情報書類」にどのような
　　　　　　リスクが存在するかを明確する。

　　●要求事項の実現
　　　・規格の要求事項
　　　　　1)個人情報の収集に関する措置
　　　　　2)個人情報利用及び提供に関する措置
　　　・ポイント
　　　　　1)ギャップ分析
　　　　　　各「個人情報」の現状と規格が要求している事項の
　　　　　　現実度合いをチェックする。
　　　　
　　●コンプライアンス・プログラム文書の作成
　　　・規格の要求事項
　　　　「事業者は、個人情報を保護するための内部規格を策定し、
　　　　　維持しなければならない。内部規格は次の事項を含まなければ
　　　　　ならない（６項目）」
　　　・ポイント
　　　　　1)要求事項の解釈が重要（規格は、WhatがあってHowがない）
　　　　　　規格は、何をしなさい、しか要求していない。
　　　　　　したがって、“どのように”を組織で決め実施することが
　　　　　　ポイント。
　　　　　2)単に形式的な「規定」ではく、従業員がその手順に規定された
　　　　　　業務に直面したとき具体的に「何をしなければならないのか」
　　　　　　「何をしてはいけないのか」を理解して実行できるように
　　　　　　内容を作成する。

　　●導入教育の実施
　　　・規格の要求事項
　　　　「事業者は役員及び従業員に、適切な教育を行わなければならない。
　　　　　事業者は、関連する各部門及び階層において、その従業員に
　　　　　次のことを自覚させる手順を確立し、維持しなければならない。」
　　　・ポイント
　　　　　1)手順の理解も重要！
　　　　　　規格は、如何に自覚させるかを要求（自覚も重要！）。
　　　　　　　- 自覚させる対象の検討（組織が決めること）
　　　　　　　- 自覚させる手段の検討（組織が決めること）

　　●まとめ
　　　1)規格を作ることだけが目的ではない
　　　　如何に従業員が理解しやすい手順を策定するか、
　　　　また、その策定した手順を認識させるかが重要。

　　　2)プライバシーマークの取得がゴールではない
　　　　コンプライアンスプログラムの本質を全従業員が理解し
　　　　（そもそも、個人情報は情報主体のもの）、
　　　　（ライフサイクルに基づいて）継続的に改善し続けることが重要。