<   2005年 12月 ( 16 )   > この月の画像一覧

2005年 12月 08日
誰でもわかる!簡単【個人情報保護法】32 ~ガイドライン解説19:共同利用~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の19回目です。
今回は、個人情報を第三者への提供する場合の例外である「第三者に該当しない」ケースについて、その中でも特に『共同利用』について見ていきます。

「第三者に提供する場合は、事前に同意が必要」というのが原則ですが、

 第三者にあたらない。(だから事前に同意は必要ない)

という例外があります。
この第三者に当たらないケースというのが次の3つです。

1 委託
個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合。

2 事業の承継
合併その他の事由による事業の承継に伴って個人データが提供される場合

3 共同利用
個人データを特定の者との間で共同して利用する場合

1 委託のケースとは以下のような場合を指します。

事例1) データの打ち込み等、情報処理を委託するために個人データを渡す場合
事例2) 百貨店が注文を受けた商品の配送のために、宅配業者に個人データを渡す場合

これはイメージを掴みやすい事例ですね。

また、2 事業の承継とは以下のような場合を指します。

事例1) 合併、分社化により、新会社に個人データを渡す場合
事例2) 営業譲渡により、譲渡先企業に個人データを渡す場合

この事業の承継のケースは、それほど頻繁に起こることでは無いので、あまり気にすることは無いかもしれません。

最後の共同利用のケースですが、次のような場合を指します。

事例1) グループ企業で総合的なサービスを提供するために利用目的の範囲内で情報を共同利用する場合
事例2) 親子兄弟会社の間で利用目的の範囲内で個人データを共同利用する場合
事例3) 外国の会社と利用目的の範囲内で個人データを共同利用する場合

これは中小企業であっても十分にありえるケースですね。
このようなグループ企業や親子会社間での個人情報の共同利用を実施する場合は、以下のア)~エ)の情報を
あらかじめ本人に通知し、
又は本人が容易に知り得る状態に置いておくとともに、
共同して利用することを明らかにすれば、

「共同利用する企業を第三者とみなさない」としています。

ア) 共同して利用される個人データの項目
  事例1) 氏名、住所、電話番号
  事例2) 氏名、商品購入履歴
イ) 共同利用者の範囲(本人からみてその範囲が明確であることを要するが、範囲が明確である限りは、必ずしも個別列挙が必要ない場合もある。)
ウ) 利用する者の利用目的(共同して利用する個人データのすべての利用目的)
エ) 開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者の氏名又は名称(共同利用者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する事業者を、「責任を有する者」といい、共同利用者の内部の担当責任者をいうのではない。)

ここでポイントになるのは、「共同利用」する場合は、必ずしも上記を要件を見たさなければならない、というわけではないということです。上記の要件は、「第三者提供の例外」のための要件であって、第三者提供時の原則である「本人からの事前同意」を取ることができるのなら必要ありません。
企業の規模や、取り扱う情報の内容によって、原則どおりに「本人からの事前同意」をとるか、「共同利用」とするかを選択すれば良いのです。
[PR]

by office-izutani | 2005-12-08 10:49 | 誰でも簡単【個人情報保護】
2005年 12月 07日
誰でもわかる!簡単【個人情報保護法】31 ~ガイドライン解説18:オプトアウト~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の18回目です。
今回は、個人情報を第三者への提供する場合の例外の一つ、『オプトアウト』について見ていきます。
「第三者に提供する場合は、事前に同意が必要」というのが原則ですが、

第三者だけれど一定の条件を満たせば同意は必要ない。

という例外があり、その一定の条件というのが、『オプトアウト』になります。

「オプトアウト」とは、事前に承諾を得ずに情報の「利用」や「提供」を行い、「利用停止」「提供停止」の要請があった場合に応じて事後対応をすることをいいます。
未承諾広告メールが送られてくると、メールの最後に

「今後、このメールの配信を希望されない場合は、ご連絡下さい。速やかに配信を停止いたします。」

などと書いてありますが、これも『オプトアウト』です。
逆に事前に同意を得るのを『オプトイン』といいます。

ここで注意していただきたいのが、ガイドラインで定めている『オプトアウト』は「第三者提供」の例外として定めている点です。

「利用」については、必ずしも「利用停止」の要請があった場合でも応じる必要がないとされているからです。
(この点については、別の記事でご説明いたします。)

ガイドラインではオプトアウトの以下のように定めています。

「第三者提供におけるオプトアウト」とは、提供に当たりあらかじめ、以下のⅰ.~ⅳ.の情報を、

 ・本人に通知し、又は
 ・本人が容易に知り得る状態

に置いておくとともに、本人の求めに応じて第三者への提供を停止することをいう。

ⅰ.第三者への提供を利用目的とすること。
ⅱ.第三者に提供される個人データの項目
  事例1) 氏名、住所、電話番号
  事例2) 氏名、商品購入履歴
ⅲ.第三者への提供の手段又は方法
  事例1) 書籍として出版
  事例2) インターネットに掲載
  事例3) プリントアウトして交付等
ⅳ.本人の求めに応じて第三者への提供を停止すること。

ここで定められた本人に通知する項目には、提供先は含まれていません。プライバシーマークの認定基準であるJISQ15001では、収集時点で本人からに同意を取る項目に

c)個人情報の提供を行うことが予定されている場合には、その目的、当該情報の受領者又は受領者の組織の種類、属性及び個人情報の取り扱いに関する契約の有無。

という項目が含まれているのを見ると、かなり基準に差を感じます。

個人情報保護法は、様々な業種に対応できるよう幅の広い基準で定められているためですが、将来的にプライバシーマーク取得を目指す企業では、注意が必要です。
また、「オプトアウト」は顧客満足といった観点から見ても、あまりお勧めできませんね。
[PR]

by office-izutani | 2005-12-07 11:33 | 誰でも簡単【個人情報保護】
2005年 12月 06日
誰でもわかる!簡単【個人情報保護法】30 ~ガイドライン解説17:第三者提供の例外~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の17回目です。
第三者への提供の原則については、「第三者に提供する場合は、事前に同意が必要」ということをご説明しました。この原則に対し、例外があるのが個人情報保護法のややこしいところです。

ここで、例外として考えられるケースは、

 ①第三者だけれど、特別な場合は同意の必要が無い。
 ②第三者だけれど一定の条件を満たせば(オプトアウト)同意は必要ない。
 ③第三者にあたらない。(だから事前に同意は必要ない)

という3つのケースがあります。

今回は①の「第三者だけれど、特別な場合は同意の必要が無い。」ケースについてご説明します。

個人情報保護法では、以下の事項に該当するときは、本人からの事前同意の必要が無いと定めています。
1 法令に基づく場合
2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって本人の同意を得ることが困難であるとき。
4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

これらの事項については、「目的外利用」をする場合の例外と同じです。
ここでは、それぞれの事項について照らし合わせながら見ていきましょう。

1 法令に基づく場合
事例)所得税法第225条第1項等による税務署長に対する支払調書等の提出
事例)法第42条第2項に基づき認定個人情報保護団体が対象事業者に資料提出等を求め、対象事業者がそれに応じて資料提出をする場合

2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
事例1) 急病その他の事態時に、本人について、その血液型や家族の連絡先等を医師や看護師に提供する場合
事例2) 私企業間において、意図的に業務妨害を行う者の情報について情報交換される場合

3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって本人の同意を得ることが困難であるとき。
事例1) 健康保険組合等の保険者等が実施する健康診断やがん検診等の保健事業について、精密検査の結果や受診状況等の情報を、健康増進施策の立案や事業の効果の向上を目的として疫学研究又は統計調査のために、個人名を伏せて研究者等に提供する場合
事例2) 不登校や不良行為等児童生徒の問題行動について、児童相談所、学校、医療行為等の関係機関が連携して対応するために、当該関係機関等の間で当該児童生徒の情報を交換する場合

4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
事例1) 事業者等が、税務署の職員等の任意調査に対し、個人情報を提出する場合
事例2) 事業者等が警察の任意の求めに応じて個人情報を提出する場合

一般の企業が、通常の業務において該当するケースとは「1 法令に基づく場合」ぐらいでしょう。
社会保険、労働保険の資格取得等の書類提出もこれに該当します。

次回はオプトアウトについてみていくことにします。
[PR]

by office-izutani | 2005-12-06 10:47 | 誰でも簡単【個人情報保護】
2005年 12月 05日
誰でもわかる!簡単【個人情報保護法】29 ~ガイドライン解説16:第三者とは?~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の16回目です。
前回、第三者への提供の原則についてご説明いたしました。
重要なのでもう一度書きますが、

 個人情報を第三者に提供する場合は、事前に同意が必要

ということでしたね。
ここは十分にご理解いただけたかと思います。では、「第三者」とはどこまでを言うのでしょう?
ガイドラインでは第三者提供とされる事例を具体的をあげています。

【第三者提供とされる事例】(ただし、法第23条第4項各号の場合を除く。)
事例1) 親子兄弟会社、グループ会社の間で個人データを交換する場合
事例2) フランチャイズ組織の本部と加盟店の間で個人データを交換する場合
事例3) 同業者間で、特定の個人データを交換する場合
事例4) 外国の会社に国内に居住している個人の個人データを提供する場合

これを見ると、別法人であれば、全て第三者にあたるといって差し支えないと思います。
これだけならシンプルですし、わかりやすいですね。
しかし、括弧書きの「(ただし、法第23条第4項各号の場合を除く。)」が注意してください。

法第23条第4項各号を見てみると、

1 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合。
2 合併その他の事由による事業の承継に伴って個人データが提供される場合
3 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。


とあります。

「1.委託」「2.事業の承継」「3.共同利用」の場合は第三者に当たらないというのです。
ただし、第三者に当たらないからといって、個人情報を企業間で自由に利用できるわけではありません。
「1.委託」の場合は、「利用目的の達成に必要な範囲内」でないといけません。
また、「2.事業の承継」の場合も事業承継後も利用目的の範囲内で利用しなければなりません。
最後の「3.共同利用」の場合については、「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置く」必要があります。

事前の同意は必要ありませんが、一定の制限があることはわかります。

このような、第三者提供の例外については次回、詳しく見ていくことにしましょう。
[PR]

by office-izutani | 2005-12-05 10:53 | 誰でも簡単【個人情報保護】
2005年 12月 02日
誰でもわかる!簡単【個人情報保護法】28 ~ガイドライン解説15:第三者への提供の原則~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の15回目です。
ここまで、「個人データの管理」についてご説明していきましたが、今回は「第三者への提供」についてです。

この「第三者への提供」は例外がたくさんあって、非常にわかりにくい部分です。個人情報保護法でも問題になりやすい部分です。
第三者への提供をする場合、どのような措置をとらなければいけないのか、整理しながら、見ていきましょう。

個人情報保護法では「第三者への提供について」以下のように定めています。

法第23条第1項
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
1 法令に基づく場合
2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって本人の同意を得ることが困難であるとき。
4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

ここで一番大事なのは、

 あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

という部分です。
原則、第三者提供する場合は、「本人の同意」が必要だということです。
どのような同意が必要か?ということですが、
ガイドラインでは、

同意の取得に当たっては、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示す

ように定めています。
つまり本人が納得できる内容を事前に示して、同意を得なさいということです。
ただ、どのような内容を事前に明示するかについては具体的に記載されていません。
そこで、次の、プライバシーマークの認定基準であるJISQ15001に規定を参考にしてみてください。

c)個人情報の提供を行うことが予定されている場合には、その目的、当該情報の受領者又は受領者の組織の種類、属性及び個人情報の取り扱いに関する契約の有無。

を事前に明示することとされています。
つまり、「個人情報の提供を行うことを予定されている場合」については、提供の目的、当該情報の受領者などに関する情報を、情報主体に懸念を抱かせないよう具体的に明らかにすることとしています。
“組織の種類、属性”とは個人情報の受領者たる組織の業種と提供もとである企業との関係(関連会社、持株会社など)を指します。

個人情報を第三者に提供する場合の、本人からの事前同意というのは非常に重要になります。しっかり押さえておいてください。
[PR]

by office-izutani | 2005-12-02 10:30 | 誰でも簡単【個人情報保護】
2005年 12月 01日
誰でもわかる!簡単【個人情報保護法】27 ~委託先選定とプライバシーマーク~
前回、経済産業省のガイドライン解説で「委託先の監督」についてご説明しました。今回は「委託先の監督」の前に行われる「委託先の選定」について補足したいと思います。

個人情報を取り扱う業務を委託する場合、委託先と契約締結や、契約後の監督といった方法で委託先の管理をすることになります。

ただ、この委託契約の前に、個人情報を管理できる企業であるかを判断し、「委託先を選定」するということをする必要があります。
いくら厳しい条件で契約を締結したり、委託先を監督する仕組みやルールを決めても、それをきちんと守れる企業であるかを、事前に選定する義務があるのです。

委託先を選定にあたっては、事前に委託先の選定基準を定めます。どのような企業が委託先として適切か?を判断する基準を設けるのです。

委託先の選定基準は、委託業務の内容や、情報の内容、形態によって、選定のポイントが異なるため、あまり画一的なものにしないほうが良いでしょう。基本的な事項だけでもあげておくと、

・管理者が決まっているか?
・管理体制は整備されているか?
・社内規定があるか?
・個人情報を取り扱う従業者を特定し、従業者に教育をしているか?
・社内監査をおこなっているか?
・安全管理策を実施しているか?

などを項目によっては詳細まで、事前に確認し、基準を満たしているかを判断します。

この選定基準でよく出てくるのが、

・プライバシーマークを取得している。

というものです。この基準を満たしていれば、他の詳細項目については、満たしているものとみなす、という仕組みです。
プライバシーマークを取得している企業の全てが、個人情報の管理について万全であるとはいえません。しかし、業務を委託する企業からすると、一番わかりやすい基準であることは間違いありません。
さらに、実際に個人情報を取り扱う業務を委託する現場では、担当者は、プライバシーマーク取得企業に対し、仕事を出しやすいのです。上に挙げた基準を満たしているかを、チェックリストやヒアリングシートで確認し、不足してる点については、指導をおこなって改善させる、といった手間が省けるからです。

プライバシーマークを取得している企業は、必ず委託先の選定基準を持っています。その選定基準には

・プライバシーマークを取得している。

という項目があるケースが多いのです。そのためプライバシーマーク取得企業は、取引先に、プライバシーマーク取得を求めることになります。特に取引先の多い大手企業が取得すると、その輪はどんどん大きくなります。このことが、プライバシーマーク取得数激増の要因の一つになっているかもしれません。
[PR]

by office-izutani | 2005-12-01 10:45 | 誰でも簡単【個人情報保護】