個人情報保護法の本筋と企業のとるべき道
なセミナーに参加してきました。内容は、後で書きます(汗)
えーっと、別にIRCとかメールとかやりながら聞いてたので、メモが十分にとれてない、というわじゃないですぅ。ちゃんと内容を整理しないと、blogにアップできる程におさまらないんですー(涙)
以下、2004/8/31に追記
◆プログラム
◆個人情報保護法の本質と企業の取るべき道
()内に記述されている*条は、個人情報保護に関する法律の条文です。
◆第1講 個人情報保護 よるべき基準は何か◆
●個人情報保護法
・民間企業が個人情報保護法に対応するにあたり、
原理となることは3つ。
利用目的の特定、安全管理措置、情報主体への対応。
・個人情報をどのように取り扱うかの一時判断は会社。
最終的には裁判で行われる形になる。
・よい法律は「要件と効果」しか書かれていない。
法律を読むときは、要件と効果をわけて読むと分かりやすくなる。
・損害賠償等は、民法、商法に基づいて行われる。
「人の権利を損害した場合は賠償することができる」という内容の
記述が民法にある(民法709条)。
この民法の条項に基づき、さし止めを請求できる。
民法709条「故意又ハ過失ニ因リテ他人ノ権利ヲ侵害シタル者ハ
之ニ因リ生シタル損害ヲ賠償スル責ニ任ス」。
●情報とデータについて
・情報とデータは違う
- 情報:JISの中に定義がある。情報そのもの。
- データ:情報を加工したもの
(JISハンドブックを持っていたほうがよい)
・情報は誰のもの?
情報は情報主体(その人個人)のもの
・データは誰のもの?
データは、その会社システムにあったように加工したもの。
ではデータは、会社の物?情報主体の物?あるいは両方のもの?
→結局は、情報主体の物、と解釈できる。
これはプライバシーの本質。
・個人情報保護法に遵守する意義は何か?
「個人情報保護法を遵守することで、社会に認められ、
会社として存在し続けるため」
●第1原理:目的拘束
・目的拘束の原則
- 取扱が可能な範囲(15条、16条ⅠとⅡ)
o あらかじめ本人の同意がある範囲(同意基準)
o 利用目的の達成に必要な範囲(客観基準)
- 変更可能な範囲
o 相当の関連性を有すると合理的に認められる範囲
・目的拘束の原則の例外(4つある。18条Ⅳ)
1)利用目的を通知または公表することで、本人の権利利益を
害するまた害する恐れがある場合
2)利用目的を通知または公表することで、個人情報取扱事業者の
権利また利益が不正に損害を受ける場合
3)利用目的を通知または公表することで、国や自治体に協力して
行う当該事務の遂行に支障を及ぼすおそれがあるとき
4)取得の状況から見て、利用目的が明らかであると
認められる場合
・例外について
「利用目的を通知または公表することで、個人情報取扱事業者の
権利また利益が不正に損害を受ける場合」と定義されているが、
「コストがかかるので対応できません!」という理論は
通用しない。→コストがかかるのはあたりまえ。
そもそも、例外にはのらないように。
・これなら個人情報保護法にしなくても良いかもしれないケース
会社としての方針が以下のケース。
「資本調達は全て自分で行います。銀行からお金を
借りたりしません。個人情報は一切持ちません。
株式?関係ありません!」
→実質、個人情報保護法に対応する必要性はなくなる
可能性があるかもしれない。
・普通の会社のケース
個人情報を保護するのは当たり前。
・コンプライアンス
監査した場合に証明できるだけの根拠が必要。
方針だけ公表し、実体がないのはだめ。
●第2原理:情報セキュリティ
・セキュリティ対策の義務
- 努力義務
1)正確性の保持(19条)
正確最新の内容に保つように努めなければならない
- 具体的義務
1)安全管理措置(20条)
安全管のために必要かつ適切な措置を講じなければならない
2)従事者の監督(21条)
従事者に対する必要かつ適切な監督を行わなければならい
3)委託先の監督(22条)
委託を受けたものに対する必要かつ適切な監督を
行わなければならない
・第三者提供の禁止と許容
- 事前の同意なくして第三者提供負荷(23条Ⅰ)
- 例外あり(23条本文)
- オプトアウトの例外(23条2項)
- 外部委託等の例外(第三者にあたらず)(23条4項)
●第3原理:権利者対応
・権利主体に対する対応1
- 保有個人データ関連事項の公表義務(24条)
- 利用目的の通知義務(24条Ⅱ)
- 通知しない旨の決定通知(24条Ⅲ)
- データの開示義務(25条Ⅰ,Ⅲ)
(個人情報取扱事業者の業務の適正な実施に著しい支障を
及ぼす恐れがある場合は例外(人事データ等))
- 開示しない旨の決定通知(25条Ⅱ)
・権利主体に対する対応2
- 時事相違を理由とする訂正・追加・削除請求・応諾義務(26条)
- 目的外利用・不正取得を理由とする利用停止請求・
応諾義務(27条Ⅰ)
・権利主体に対する対応3
- 第三者提供の利用請求と応諾義務(27条Ⅱ)
- 利用停止等の際の通知(27条Ⅲ)
- 理由の説明(28条)
・権利主体に対する対応4
- 開示などに手続きに応じる義務(29条)
- 手数料(30条)
- 苦情処理の手続きの義務(31条)
●個人情報の保護に関する基本方針(閣議決定(平成16年4月2日))
・個人情報取扱事業者等が構ずべき個人情報の保護のための
措置に関する基本的な事項(個人情報取扱事業者に関する事項)
1)事業者が行う措置の対外的明確化
- 会社がやることを明確にし、公表すること。
(プライバシーポリシーを作って公表すること、等)
→プライバシーポリシーは「宣言」
だからといって「考えかたなだけで責任はとらない」
という議論は成り立たない。
これからは、「個人情報保護を遵守します」と
書きたくなるが、監査して実態を証明できるものを
作る必要がある。
実態がないままポリシーを作っても、ポリシーに対して
責任を取る必要がある。責任をとらない、とは
公の場では言えない。
2)責任体制の確保
3)従事者の啓発
・個人情報の保護に関する基本方針に基づくプライバシー
ポリシー策定時の留意点
1)プライバシーポリシーの策定は、遵法経営の問題
2)プライバシーポリシーの策定は責任を伴う
3)プライバシーポリシーの内容に盛り込むべきこと
個人情報保護法の遵守、関連法案の遵守、など。
4)プライバシーポリシー策定に際しての留意点
◆第2講 情報漏洩の責任とリスクへの対処◆
●情報漏洩の責任とリスク
・情報漏洩は、経済原則のもと、事件が発生する。
「お金になるから」
・最終的には、人間系のセキュリティが大切。
情報漏洩が発生すると、会社の経営戦略に影響を与える。
◆第3講 全面施行までに企業がなすべきこと◆
●ウオレン・ブランダイスの提訴した課題
・基本思想
人はもともとどう関係してきたか。
個人情報・個人データのオーナは本人。
本人のコントロールが確保されるべき。
・現在も、ブランダンス氏が1890年に提訴したプライバシーの
問題と基本思想は同じ。
●社内体制
・体制整備の前提作業
- 個人情報をイメージ
- 個人情報を把握する
- 個人除法取扱業務を洗い出す
- 業務の根拠と責任者を洗い出す
- 個人データとするか保有個人データとするかを峻別
- リスクアセスメント
・整備すべき体制
- 個人情報を一元的に把握できる
- 利用目的の通知・公表・明示ができる
- 第3者提供が禁止される
- 保有個人データの利用目的・請求手数料、その他政令規定
事項の公表(24条Ⅰ)
- 請求受理・決定・通知ができる
- 本人の特定と同定ができる。
o 間違えば、情報漏洩事件に発展
o 本人=情報主体
o 請求者が本人であることの同定
o 特定方法を紛失した場合の再発行手順を定める必要がある
- 保有期間・削除・破棄時期の明確化と事前通知は
紛争を予防する
・情報セキュリティとコンプライアンスの確保(なにをなすべきか)
- 情報セキュリティに関する個人情報保護法の定め
- 情報セキュリティマネジメント
- 情報セキュリティ対策の客観化
- フォレンジック
- 情報管理の適法性確保
- 例外判断の体制
●安全対策の構築
・安全対策
- 安全対策にできることを考える
o プライバシーマークをとっても事故はおきる
o 安全対策には限界がある
→安全対策の目的をどう捉えるか?
o 実態をもってポリシーを公表するべき
- どう構築するか
目的は、「必要性」と「合理性」を「立証」し、想定しうる
脅威に対するリスクと責任の統制を確実に行うこと。
考えられる枠組み:
o セキュリティマネジメント:ISMS等
o セキュリティ技術・システム:ISO15408
・自社員、外部委託先の監督
- 自社員に対する管理・監督義務をどのように果たすか?
→監査の実施
- 個人情報処理の外部委託において、どこまで監査等を
行うべきか?
o 契約時のチェック
→自社のISMS、リスクレベルとの関係で契約内容は決まる
o 契約途上の監査
→何をすべきかは自社と同じで、どのようにすべきかが
異なる。
先方をチェックする、同時に自社のチェックが完全に
行われる環境を作る(監査チェックリスト・簡易型)
◆個人情報保護に関する効果的な管理の仕組み
〜プライバシーマーク取得方法〜
◆プライバシーマーク制度とは?◆
●プライバシーマーク制度
・個人情報保護法と同じような対策基準
・情報主体の権利を確保しなければならない、というのがポイント。
●法制化の背景
・OECD8原則(1980年)がベース
・日本では、1988年に「行政機関の保有する電子機器処理に
関わる個人情報の保護に関する法律」が制定。
・民間では、1989年に指針、1997年にガイドライン、
1998年にプライバシーマーク制度、1999年にJIS化(JIS Q 15001)。
・2003年に、民官ともに「個人情報保護に関する法律」に統一。
●プライバシーマーク制度
・個人情報に対して適切な処置(収集、利用、管理、権限の保護)
をしている企業に対して認定。8/25現在854件。
●コンプライアンスプログラムの概要
・Plan(体制の確立)、Do(適切な運用)、
Check(定期的な確認)、Act(常に最良の状態を維持)の
ライフサイクル。
●プライバシーマーク制度の使用許諾事業者の分類
1)お客様(消費者)が情報主体であり、主となる事業活動に
個人情報の利用が直接関連する事業者(直接収集)
2)お客様(企業)より、業務委託のために個人情報を預託される
事業者(間接収集)
3)お客様(企業)より業務委託のために、消費者から個人情報を
収集する事業者(直接収集)
●プライバシーマークの認定を受けるためには?
・付与指定機関の団体に所属する事業者の場合:
1)事業者から付与指定機関に申請
2)付与指定機関で書類審査
3)付与指定機関が事業者で現地調査
4)付与指定機関で評価
5)付与機関(JIPDEC)に付与審査合格報告
6)付与機関から事業者へ付与・契約
・上記以外の事業者の場合:
1)事業者から付与機関(JIPDEC)に申請
2)付与機関で書類審査
3)付与機関が事業者で現地調査
4)付与機関で評価
5)付与機関から事業者へ付与・契約
・書類審査の対象
- 役割、責任・権限および体制の確立
- 教育の実施
- 監査の実施
- 消費者窓口の設置
- 情報セキュリティ対策の実施
- 委託先管理の実施
・現地調査の対象
- 代表者へのインタビュー
- 運用状況の確認
- 現場での実施状況の確認
◆JISQ15001とは?◆
●JISQ15001
・規格の概要
「個人情報保護に関するコンプライアンス・プログラムの要求事項」
- 国内標準規格(日本工業規格)
- 個人情報保護に関するマネジメントシステム規格
- 規格の狙いは「信頼の獲得・安心の提供」
・規格の要求項目
- 要求事項は25項目
o 個人情報保護に関する体制面に関する要求事項:13項目
o 個人情報に特化した要求事項:7項目
o 個人情報データ書類に特化した要求事項:3項目
o 情報主体の権利に関する要求事項:2項目
- 個人情報保護法とマッピングできる。ないものは、以下の2つ。
o 個人情報保護法28条:開示しない理由について
o 個人情報保護法30条:開示する手数料に関する
◆コンプライアンス・プログラム構築の成功のポイント◆
●個人情報の特定
・規格の要求事項
「事業者は、自ら保有する全ての個人情報を特定するための手順を
確立し、維持しなければならない」
・ポイント
1)自社で取り扱う「個人情報」ごとに、入手〜破棄までの一連の
流れを明確にし、どのような「データ」や「書類」が含まれて
いるかを明確にする。
2)調査の結果に基づいて、個人情報取扱業務の適切性確認を
行うことが重要。
●リスク評価
・規格の要求事項
「事業者は、特定した個人情報に関するリスク(個人情報への
不正アクセス、個人情報の紛失、破壊、改ざんおよび
漏洩など)を確認しなければならない」
・ポイント
1)各「個人情報データ」や「個人情報書類」にどのような
リスクが存在するかを明確する。
●要求事項の実現
・規格の要求事項
1)個人情報の収集に関する措置
2)個人情報利用及び提供に関する措置
・ポイント
1)ギャップ分析
各「個人情報」の現状と規格が要求している事項の
現実度合いをチェックする。
●コンプライアンス・プログラム文書の作成
・規格の要求事項
「事業者は、個人情報を保護するための内部規格を策定し、
維持しなければならない。内部規格は次の事項を含まなければ
ならない(6項目)」
・ポイント
1)要求事項の解釈が重要(規格は、WhatがあってHowがない)
規格は、何をしなさい、しか要求していない。
したがって、“どのように”を組織で決め実施することが
ポイント。
2)単に形式的な「規定」ではく、従業員がその手順に規定された
業務に直面したとき具体的に「何をしなければならないのか」
「何をしてはいけないのか」を理解して実行できるように
内容を作成する。
●導入教育の実施
・規格の要求事項
「事業者は役員及び従業員に、適切な教育を行わなければならない。
事業者は、関連する各部門及び階層において、その従業員に
次のことを自覚させる手順を確立し、維持しなければならない。」
・ポイント
1)手順の理解も重要!
規格は、如何に自覚させるかを要求(自覚も重要!)。
- 自覚させる対象の検討(組織が決めること)
- 自覚させる手段の検討(組織が決めること)
●まとめ
1)規格を作ることだけが目的ではない
如何に従業員が理解しやすい手順を策定するか、
また、その策定した手順を認識させるかが重要。
2)プライバシーマークの取得がゴールではない
コンプライアンスプログラムの本質を全従業員が理解し
(そもそも、個人情報は情報主体のもの)、
(ライフサイクルに基づいて)継続的に改善し続けることが重要。