<   2005年 12月 ( 16 )   > この月の画像一覧

2005年 12月 28日
誰でもわかる!簡単【個人情報保護法】41 プライバシーマークの広がり
少し更新の間隔があいてしまいました。
年末の忙しい時期に、難しい話をするのもなんなので、「ガイドライン」解説はお休みして、少しプライバシーマークの動向でも見てみましょう。

プライバシーマークの取得事業者は、12月26日時点で2687社となっています。ちょうど先月の今頃、2500社を超えたという話をしていましたから、認定社数の伸びは衰える気配がありません。

取得している事業者を見てみると
 印刷・出版業(289社)
 生活関連サービス業(21社)
 その他の事業サービス業(305社)
 各種製造業(34社)
 情報サービス・調査業(1370社)
 労働者派遣業(85社)
 運輸・通信(103社)
 広告業(78社)
 医療業・社会福祉・介護事業(40社)
 卸売業・小売業(105社)
 専門サービス業(94社)
 教育(10社)
 金融・保険・不動産業(60社)
 学習塾(31社)
 その他(59社)
となっています。

やはり、日本情報処理開発協会が運営している制度だけあって、情報系の企業が約半数を占めています。以前は、その次に印刷業や、人材派遣業、学習塾などの割合が多かったのですが、現在では幅広い業界での取得が進んでいるようです。

意外と取得が進んでいないように見えるのが、小売業や運送業といった、一般の人々の情報を取り扱う業界です。ポイントカードを作ったり、宅配便の伝票記入などで、住所などの個人情報の提供を行う場面が多い業界で、取得が進めば、プライバシーマークの認知度も更に上がるかもしれません。

そう思いながら、有名な企業のホームページをチェックしていると、プライバシーマーク取得に既に取り組まれていることを発表している企業がありました。
物流業界最大手の日本通運です。
2005年の6月に既に申請していると発表されていますので、もう認定も近いのではないでしょうか。

このような大手企業の取得が、ライバル企業を刺激し、業界全体に一気に取得が進むことも考えられます。個人への配送を行う物流業の企業は、対策を迫られるかもしれませんね。

最後に、日本通運の取組みで気が付いた点を一つ。
個人情報保護についてのページに「個人情報相談窓口」の連絡先が記載されています。そちらの電話番号が、フリーダイヤルの専用番号を使われているのです。その番号の選び方に、担当の方の真面目に取り組む姿勢とユーモアを感じます。
[PR]

by office-izutani | 2005-12-28 11:40 | 誰でも簡単【個人情報保護】
2005年 12月 20日
誰でもわかる!簡単【個人情報保護法】40 ~ガイドライン解説24:保有個人データの利用停止~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の24回目です。
今回は、保有個人データの利用停止について見ていきます。

個人情報保護法では、保有個人データの利用停止以下のように定めています。
少し長いのですが、引用します。

法第27条第1項
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第16条の規定に違反して取り扱われているという理由又は第17条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

法第27条第2項
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第23条第1項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

法第27条第3項
個人情報取扱事業者は、第1項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

少しわかりにくいのですが、内容はそれほど難しいくありません。

簡単にまとめると、
個人情報取扱事業者は、本人から、以下の理由により保有個人データの利用停止等を求められた場合には応じなければならない。
 
 ・同意のない目的外利用
 ・不正な取得
 ・同意のない第三者提供

但し、本人が申し出た利用停止等の理由が正しく無い場合は、利用停止に応じる必要はありません。

この利用停止についてのポイントは・同意のない目的外利用・不正な取得・同意のない第三者提供の場合にだけ応じればよいとされていることです。つまり、利用目的の範囲内であれば、利用停止の要請があっても応じる必要が無いということになります。
ちなみに、プライバシーマークの認定基準であるJISQ15001では、利用停止についてこのような条件は無く、原則どのような場合でも応じることになります。

社内の仕組みをどちらの基準にするかは、企業の業種や取り扱う個人情報の種類にもよりますが、

 原則:理由を問わず利用停止には応じる
 例外:利用停止に応じることが難しい場合は、目的外利用等が無いかを確認した上で、対応する。

といった形をとるのも良いかもしれません。
[PR]

by office-izutani | 2005-12-20 12:03 | 誰でも簡単【個人情報保護】
2005年 12月 19日
誰でもわかる!簡単【個人情報保護法】39 ~個人情報漏えい事件 JR西日本の対応~
JR西日本が12万人の個人情報漏えい事件を起こしました。
 JR西日本は16日、年配者向けの会員制旅行サービス「ジパング倶楽部」の会員約12万人の個人情報が外部に流出し、高額な仏像の電話セールスに使用されたと発表した。流出ルートは不明で、同社は大阪府警天満署に通報した。
Excite エキサイト : 社会ニュース

漏えいした個人情報の件数は、12万人とかなりの量です。また、流出した情報が電話セールスで利用されるといった2次利用が行われています。

しかし、JR西日本の対応をホームページから見ると、
 お知らせのページ 
 お詫びのページ

があるだけです。
もちろん、ホームページへの掲載文だけで企業の対応を判断することは出来ません。しかし、流出経緯が確認されていない状況で、新規入会を受け付けている事は問題です。
今後、申込をする人がJR西日本に提供した情報が、今回の事件と同様の原因で漏えいすることは無いのでしょうか?もし、無いのであれば、なぜ、そう言えるのかをきちんと発表しておくべきでしょう。
社内調査段階の情報をむやみに発表できないという点を差し引いても顧客に対する説明が足りないのではないか?と思ってしまいます。
[PR]

by office-izutani | 2005-12-19 10:20 | 誰でも簡単【個人情報保護】
2005年 12月 16日
誰でもわかる!簡単【個人情報保護法】38 ~ガイドライン解説23:保有個人データの訂正~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の23回目です。
今回は、保有個人データの訂正について見ていきます。

個人情報保護法では、以下のように定めています。

第26条第1項
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

法第26条第2項
個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
ガイドラインではあまり詳しく解説されていませんが、個人データの「訂正」というのは、意外と一般の企業の業務の中にもあるものです。
例えば、申し込みフォームに入力間違いをした事に後から気が付いて訂正を求めるケース。引越し等により個人情報の内容が変わったのに個人データが更新されていないケースなどです。

このようなケースでは、

遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない

とされています。
訂正の受付と対応の方法についてですが、開示請求と同様の所定の書類で受け付けるといった規定を定める企業も多いようです。しかし、「訂正」の受付方法については、特段決められていません。業務や情報の種類によっては、書類での受付だけでは、適切な時期が遅れ、本人の不利益となる場合があります。規定の内容が現実の業務に沿った内容であるか、確認しておくことが重要です。
[PR]

by office-izutani | 2005-12-16 12:14 | 誰でも簡単【個人情報保護】
2005年 12月 15日
地域新規産業創造技術開発費補助事業の公募
会社経営を行うにあたっての重要事項の代表的なものといえば、資金調達です。
新分野進出や人材の確保、日々の運転資金をいかにしてまかなうかなど、オカネに関することで頭を悩ませている経営者の方もたくさんおられるかと思います。
ここでは、そんな方々のために助成金等の資金調達に関する情報を随時お届けしたいと思います。
また、これから起業を考えておられる方もいかにして開業資金を確保するのかといった問題を抱えておられるかと思います。そういった方のために起業家向けの情報についてもお届けしていきたいと思います。

さっそくですが、最初にお届けする情報は経済産業省による提案公募型の地域新規産業創造技術開発費補助事業の公募のご紹介です。
この補助金制度のキーワードは、技術開発、事業化、地域経済への波及効果といえるでしょう。
地域においてこれらのキーワードを踏まえた事業を行おうとする企業に対して実用化技術開発を支援するもので、概要は下記のとおりとなっています。
【補助の対象】
・民間企業等であること。
・技術開発終了後、1年以内に実用化された製品等の販売を開始できること。

【補助金額等】
・補助金額 年間3000万円~1億円
・補助率 1/2以内
・技術開発期間 2年以内

【公募期間】
・平成18年1月16日~平成18年2月8日

事業の概要については上記のとおりですが、この補助金の対象になる技術開発が大学発ベンチャーによる技術開発や産学連携による技術開発、リサイクル技術等の循環型社会に貢献する技術開発である場合には補助率を2/3以内とすることができます。

詳細については、下記にてご確認ください。
http://www.kansai.meti.go.jp/5gisin/kobo18/kouboyouryou/h18kouboi.html
[PR]

by office-izutani | 2005-12-15 11:07 | 資金調達情報
2005年 12月 15日
誰でもわかる!簡単【個人情報保護法】37 ~JIS Q 15001の改定に関する意見募集~
経済産業省のホームページで、プライバシーマークの認証基準となるJIS Q 15001の改定について意見募集が始まっています。

これに伴い、改定試案が公表されています。
この改定試案に、意見募集の結果が反映され、来年、正式に発表されることになるでしょう。

JIS Q 15001 2006の原案となる改定試案を見てみると、やはり個人情報保護法との整合性をとるといった意味で、使われる「言葉」が変わっているようです。
気がついた点をいくつか挙げます。

コンプライアンス・プログラム
    ↓
個人情報保護マネジメントシステム

情報主体
 ↓
本人

収集
 ↓
取得

収集目的
 ↓
利用目的

他にも、「本人にアクセスする場合」や「開示対象個人情報」といったちょっと聞きなれない言葉が新たに登場していたりします。

また、個人情報保護法で定義されている、「個人データ」「保有個人データ」「個人情報データベース」といった概念は、反映されていません。

全体的には、ページ数も倍に増え、具体性のある記述が増えていますので、理解しやすくなったのではないでしょうか。新たに追加、又は強化された事項についても、現在プライバシーマークの審査において求められる
レベルの事項が明記されたというような内容で、特に厳しくなったという印象はありません。

ただ、プライバシーマークの審査レベルは、この1年ほどで、かなり厳しくなっています。それ以前にプライバシーマークを取得された企業は、コンプライアンス・プログラム(個人情報保護マネジメントシステム)がJIS Q 15001 2006のレベルに達していない可能性があります。更新審査の時にあわてないように、準備が必要ですね。
[PR]

by office-izutani | 2005-12-15 10:11 | 誰でも簡単【個人情報保護】
2005年 12月 14日
誰でもわかる!簡単【個人情報保護法】36 ~ガイドライン解説22:保有個人データの開示~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の22回目です。
今回は、保有個人データの本人への開示について見ていきます。

個人情報保護法では、以下のように定めています。

第25条第1項
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
1 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
2 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
3 他の法令に違反することとなる場合

政令第6条
法第25条第1項の政令で定める方法は、書面の交付による方法(開示の求めを行った者が同意した方法があるときは、当該方法)とする。

ガイドラインでは、

個人情報取扱事業者は、本人から、自己が識別される保有個人データの開示を求められたときは、本人に対し、書面の交付による方法により、遅滞なく、当該保有個人データを開示しなければならない。

ということを定めています。
ここでいう開示とは、「存在しないときにはその旨を知らせること」を含みます。また、開示の方法については、原則「書面の交付」となっていますが、「開示の求めを行った者が同意した方法があるときはその方法」でも構わないとなっています。

この「開示請求」において、一般の企業で気になるのは、従業員からの雇用管理情報の開示請求対応ではないでしょうか。
多くの企業では、人事考課等の情報については従業員に開示していないのが現状でしょう。このような状態で、突然、安易に開示に応じてしまうのは問題です。
そのため、雇用管理情報の開示については、

2 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

に該当するケースとして、非開示にすることも可能です。

その場合には、

あらかじめ、労働組合等と必要に応じ協議した上で、
非開示とすることが想定される保有個人データの開示に関する事項を定め、
労働者等に周知させるための措置を講ずる

といったことに努める事が求められます。

開示への対応手続については、別の回で詳しくご説明いたします。
[PR]

by office-izutani | 2005-12-14 10:45 | 誰でも簡単【個人情報保護】
2005年 12月 13日
誰でもわかる!簡単【個人情報保護法】35 ~ガイドライン解説21:本人への周知~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の21回目です。
今回は、保有個人データに関する事項の本人への周知について見ていきます。

個人情報保護法では、以下のように定めています。

法第24条第1項
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
1 当該個人情報取扱事業者の氏名又は名称
2 すべての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。)
3 次項、次条第1項、第26条第1項又は第27条第1項若しくは第2項の規定による求めに応じる手続(第30条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
4 前3号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
政令第5条
法第24条第1項第4号の政令で定めるものは、次に掲げるものとする。
1 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
2 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先

つまり、以下の事項について、本人が知りえる状態にしておきなさいということです。

 1.会社名
 2.利用目的
 3.開示請求の手続について
 4.苦情相談の受付の申出先

ここで注意していただきたいのが、「2.利用目的」です。
過去の記事をお読みになった方なら、個人情報を取得した場合は、「利用目的」を、本人に通知するか公表するということを覚えていらっしゃると思います。取得時に「利用目的」を通知した場合でも、その後、本人が知りえる状態(本人への周知)にしておかなければいけないということです。

では、具体的にはどうするのでしょう?
「利用目的」を本人に「通知」ではなく公表する場合、よく使われる手法が、ホームページへの掲載です。
今回ご紹介する事項は「本人への周知」です。
言葉は違いますが、実際に使われる手法は同じで、ホームページへの掲載される事が多いのです。

実際にどのような内容を掲載するかですが、他社のホームページを見てみると参考になります。いろいろ検索してみてください。
ちなみに個人的にきれいにまとまっているなと感じたのは、ソニーのページです。
http://www.sony.co.jp/privacy/public.html
[PR]

by office-izutani | 2005-12-13 10:30 | 誰でも簡単【個人情報保護】
2005年 12月 12日
誰でもわかる!簡単【個人情報保護法】34 ~不要な個人情報は求めない~
経済産業省の主催の情報セキュリティガバナンスシンポジウム」が東京で開催されました。
残念ながら参加できなかったのですが、インプレスウォッチに講演概要の記事が出ています。
「不要な個人情報は求めない」ヤフー井上社長、情報セキュリティを語る

興味深いのが去年個人情報漏えい事件で話題になったソフトバンクグループのヤフーの井上社長の講演です。

ヤフーが運営する「Yahoo! JAPAN」では、2005年9月時点で約4,000万人強のユーザーIDを発行しており、実際にこのIDでログインするユーザー数は1,400万人に上る。多数の個人情報を保有するヤフーでは、情報セキュリティの重点ポイントとして顧客情報の保護を最優先にしているという。

 これを実現するために最も重要としているのは、「必要以上に情報を収集しない、蓄積しない」ということだ。例えば、ある年齢層に向けた広告を出すために個人情報を取得する際は、わざわざ生年月日を求めるのではなく、生年のみを要求する。エリアを絞った広告を出す場合には、郵便番号で十分なため住所を要求しない。井上社長は、「持っていない個人情報は絶対に漏洩しない」と語る。

やはり、漏えい事件の経験から出る言葉には、説得力があります。
また、セキュリティ対策については次のように述べられています。

最後に井上社長は、「さらなるセキュリティ強化のためには、業界をあげての取り組みが重要」と語り、他社の優れたセキュリティ対策は自社にも取り入れるべき、「自己満足はセキュリティ対策を後退させる」との考えを示した。さらに、明確な目標と現状認識が重要だとして、最終的には「普通に仕事をしていれば、意識をしていなくてもルールが守られているという状況が目標」と語り講演を締めくくった。

セキュリティ対策における「自己満足」は積極的に取り組んだ企業ほど陥りやすいといえます。個人情報保護法が施行され、対策が一通り終わり安心している担当者の皆さん、安心はできません。世の中の動きや他社の動向に目を配り、自社の対策を見直すことを忘れずに。
[PR]

by office-izutani | 2005-12-12 10:27 | 誰でも簡単【個人情報保護】
2005年 12月 09日
誰でもわかる!簡単【個人情報保護法】33 ~ガイドライン解説20:雇用管理に関する個人情報の提供~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の20回目です。
今回は、雇用管理に関する個人情報をを第三者への提供する場合について見ていきます。

この項目は、個人情報保護法には特に規定がありませんが、ガイドラインでは努力義務という形で定められています。
雇用管理に関する個人情報をを第三者への提供する場合というのは、具体的にどのようなものかというと、

1.従業員の子会社への出向に際して、出向先に当該従業員の人事考課情報等の雇用管理に関する個人データを提供する場合
2.労働者を派遣する際に技術者の能力に関する情報等の雇用管理に関する個人データを提供する場合

といったケースを指すとされています。

1.のケースは、グループ会社間の出向など、中小企業でも頻繁に行われれています。また、2.のケースは労働者派遣事業者を対象にしたものだけでなく、発注元企業内において、受託企業の社員が仕事をするようなケースも含まれます。(ソフト開発業界などではよくあるケースですね)

これらのケースでは

次に掲げる事項に留意することが望ましい。

とされています。

・提供先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。
・当該個人データの再提供を行うに当たっては、あらかじめ文書をもって事業者の了承を得ること。
・提供先における保管期間等を明確化すること。
・利用目的達成後の個人データを返却し、又は破棄し若しくは削除し、これと併せてその処理が適切かつ確実になされていることを事業者において確認すること。
・提供先における個人データの複写及び複製(安全管理上必要なバックアップを目的とするものを除く。)を禁止すること。

努力義務ですので、強制力はありませんが、基本的なことばかりです。
出向や派遣によって得た個人情報は、一緒に働いている人の情報なので、出向先や派遣先では自社の社員情報との区別をつける感覚が薄くなりがちです。
情報を提供する場合は、この点に注意して、情報を提供することが重要です。
[PR]

by office-izutani | 2005-12-09 10:54 | 誰でも簡単【個人情報保護】