2005年 12月 15日
地域新規産業創造技術開発費補助事業の公募
会社経営を行うにあたっての重要事項の代表的なものといえば、資金調達です。
新分野進出や人材の確保、日々の運転資金をいかにしてまかなうかなど、オカネに関することで頭を悩ませている経営者の方もたくさんおられるかと思います。
ここでは、そんな方々のために助成金等の資金調達に関する情報を随時お届けしたいと思います。
また、これから起業を考えておられる方もいかにして開業資金を確保するのかといった問題を抱えておられるかと思います。そういった方のために起業家向けの情報についてもお届けしていきたいと思います。

さっそくですが、最初にお届けする情報は経済産業省による提案公募型の地域新規産業創造技術開発費補助事業の公募のご紹介です。
この補助金制度のキーワードは、技術開発、事業化、地域経済への波及効果といえるでしょう。
地域においてこれらのキーワードを踏まえた事業を行おうとする企業に対して実用化技術開発を支援するもので、概要は下記のとおりとなっています。
【補助の対象】
・民間企業等であること。
・技術開発終了後、1年以内に実用化された製品等の販売を開始できること。

【補助金額等】
・補助金額 年間3000万円~1億円
・補助率 1/2以内
・技術開発期間 2年以内

【公募期間】
・平成18年1月16日~平成18年2月8日

事業の概要については上記のとおりですが、この補助金の対象になる技術開発が大学発ベンチャーによる技術開発や産学連携による技術開発、リサイクル技術等の循環型社会に貢献する技術開発である場合には補助率を2/3以内とすることができます。

詳細については、下記にてご確認ください。
http://www.kansai.meti.go.jp/5gisin/kobo18/kouboyouryou/h18kouboi.html
[PR]

# by office-izutani | 2005-12-15 11:07 | 資金調達情報
2005年 12月 15日
誰でもわかる!簡単【個人情報保護法】37 ~JIS Q 15001の改定に関する意見募集~
経済産業省のホームページで、プライバシーマークの認証基準となるJIS Q 15001の改定について意見募集が始まっています。

これに伴い、改定試案が公表されています。
この改定試案に、意見募集の結果が反映され、来年、正式に発表されることになるでしょう。

JIS Q 15001 2006の原案となる改定試案を見てみると、やはり個人情報保護法との整合性をとるといった意味で、使われる「言葉」が変わっているようです。
気がついた点をいくつか挙げます。

コンプライアンス・プログラム
    ↓
個人情報保護マネジメントシステム

情報主体
 ↓
本人

収集
 ↓
取得

収集目的
 ↓
利用目的

他にも、「本人にアクセスする場合」や「開示対象個人情報」といったちょっと聞きなれない言葉が新たに登場していたりします。

また、個人情報保護法で定義されている、「個人データ」「保有個人データ」「個人情報データベース」といった概念は、反映されていません。

全体的には、ページ数も倍に増え、具体性のある記述が増えていますので、理解しやすくなったのではないでしょうか。新たに追加、又は強化された事項についても、現在プライバシーマークの審査において求められる
レベルの事項が明記されたというような内容で、特に厳しくなったという印象はありません。

ただ、プライバシーマークの審査レベルは、この1年ほどで、かなり厳しくなっています。それ以前にプライバシーマークを取得された企業は、コンプライアンス・プログラム(個人情報保護マネジメントシステム)がJIS Q 15001 2006のレベルに達していない可能性があります。更新審査の時にあわてないように、準備が必要ですね。
[PR]

# by office-izutani | 2005-12-15 10:11 | 誰でも簡単【個人情報保護】
2005年 12月 14日
誰でもわかる!簡単【個人情報保護法】36 ~ガイドライン解説22:保有個人データの開示~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の22回目です。
今回は、保有個人データの本人への開示について見ていきます。

個人情報保護法では、以下のように定めています。

第25条第1項
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
1 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
2 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
3 他の法令に違反することとなる場合

政令第6条
法第25条第1項の政令で定める方法は、書面の交付による方法(開示の求めを行った者が同意した方法があるときは、当該方法)とする。

ガイドラインでは、

個人情報取扱事業者は、本人から、自己が識別される保有個人データの開示を求められたときは、本人に対し、書面の交付による方法により、遅滞なく、当該保有個人データを開示しなければならない。

ということを定めています。
ここでいう開示とは、「存在しないときにはその旨を知らせること」を含みます。また、開示の方法については、原則「書面の交付」となっていますが、「開示の求めを行った者が同意した方法があるときはその方法」でも構わないとなっています。

この「開示請求」において、一般の企業で気になるのは、従業員からの雇用管理情報の開示請求対応ではないでしょうか。
多くの企業では、人事考課等の情報については従業員に開示していないのが現状でしょう。このような状態で、突然、安易に開示に応じてしまうのは問題です。
そのため、雇用管理情報の開示については、

2 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

に該当するケースとして、非開示にすることも可能です。

その場合には、

あらかじめ、労働組合等と必要に応じ協議した上で、
非開示とすることが想定される保有個人データの開示に関する事項を定め、
労働者等に周知させるための措置を講ずる

といったことに努める事が求められます。

開示への対応手続については、別の回で詳しくご説明いたします。
[PR]

# by office-izutani | 2005-12-14 10:45 | 誰でも簡単【個人情報保護】
2005年 12月 13日
誰でもわかる!簡単【個人情報保護法】35 ~ガイドライン解説21:本人への周知~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の21回目です。
今回は、保有個人データに関する事項の本人への周知について見ていきます。

個人情報保護法では、以下のように定めています。

法第24条第1項
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
1 当該個人情報取扱事業者の氏名又は名称
2 すべての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。)
3 次項、次条第1項、第26条第1項又は第27条第1項若しくは第2項の規定による求めに応じる手続(第30条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
4 前3号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
政令第5条
法第24条第1項第4号の政令で定めるものは、次に掲げるものとする。
1 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
2 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先

つまり、以下の事項について、本人が知りえる状態にしておきなさいということです。

 1.会社名
 2.利用目的
 3.開示請求の手続について
 4.苦情相談の受付の申出先

ここで注意していただきたいのが、「2.利用目的」です。
過去の記事をお読みになった方なら、個人情報を取得した場合は、「利用目的」を、本人に通知するか公表するということを覚えていらっしゃると思います。取得時に「利用目的」を通知した場合でも、その後、本人が知りえる状態(本人への周知)にしておかなければいけないということです。

では、具体的にはどうするのでしょう?
「利用目的」を本人に「通知」ではなく公表する場合、よく使われる手法が、ホームページへの掲載です。
今回ご紹介する事項は「本人への周知」です。
言葉は違いますが、実際に使われる手法は同じで、ホームページへの掲載される事が多いのです。

実際にどのような内容を掲載するかですが、他社のホームページを見てみると参考になります。いろいろ検索してみてください。
ちなみに個人的にきれいにまとまっているなと感じたのは、ソニーのページです。
http://www.sony.co.jp/privacy/public.html
[PR]

# by office-izutani | 2005-12-13 10:30 | 誰でも簡単【個人情報保護】
2005年 12月 12日
誰でもわかる!簡単【個人情報保護法】34 ~不要な個人情報は求めない~
経済産業省の主催の情報セキュリティガバナンスシンポジウム」が東京で開催されました。
残念ながら参加できなかったのですが、インプレスウォッチに講演概要の記事が出ています。
「不要な個人情報は求めない」ヤフー井上社長、情報セキュリティを語る

興味深いのが去年個人情報漏えい事件で話題になったソフトバンクグループのヤフーの井上社長の講演です。

ヤフーが運営する「Yahoo! JAPAN」では、2005年9月時点で約4,000万人強のユーザーIDを発行しており、実際にこのIDでログインするユーザー数は1,400万人に上る。多数の個人情報を保有するヤフーでは、情報セキュリティの重点ポイントとして顧客情報の保護を最優先にしているという。

 これを実現するために最も重要としているのは、「必要以上に情報を収集しない、蓄積しない」ということだ。例えば、ある年齢層に向けた広告を出すために個人情報を取得する際は、わざわざ生年月日を求めるのではなく、生年のみを要求する。エリアを絞った広告を出す場合には、郵便番号で十分なため住所を要求しない。井上社長は、「持っていない個人情報は絶対に漏洩しない」と語る。

やはり、漏えい事件の経験から出る言葉には、説得力があります。
また、セキュリティ対策については次のように述べられています。

最後に井上社長は、「さらなるセキュリティ強化のためには、業界をあげての取り組みが重要」と語り、他社の優れたセキュリティ対策は自社にも取り入れるべき、「自己満足はセキュリティ対策を後退させる」との考えを示した。さらに、明確な目標と現状認識が重要だとして、最終的には「普通に仕事をしていれば、意識をしていなくてもルールが守られているという状況が目標」と語り講演を締めくくった。

セキュリティ対策における「自己満足」は積極的に取り組んだ企業ほど陥りやすいといえます。個人情報保護法が施行され、対策が一通り終わり安心している担当者の皆さん、安心はできません。世の中の動きや他社の動向に目を配り、自社の対策を見直すことを忘れずに。
[PR]

# by office-izutani | 2005-12-12 10:27 | 誰でも簡単【個人情報保護】
2005年 12月 09日
誰でもわかる!簡単【個人情報保護法】33 ~ガイドライン解説20:雇用管理に関する個人情報の提供~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の20回目です。
今回は、雇用管理に関する個人情報をを第三者への提供する場合について見ていきます。

この項目は、個人情報保護法には特に規定がありませんが、ガイドラインでは努力義務という形で定められています。
雇用管理に関する個人情報をを第三者への提供する場合というのは、具体的にどのようなものかというと、

1.従業員の子会社への出向に際して、出向先に当該従業員の人事考課情報等の雇用管理に関する個人データを提供する場合
2.労働者を派遣する際に技術者の能力に関する情報等の雇用管理に関する個人データを提供する場合

といったケースを指すとされています。

1.のケースは、グループ会社間の出向など、中小企業でも頻繁に行われれています。また、2.のケースは労働者派遣事業者を対象にしたものだけでなく、発注元企業内において、受託企業の社員が仕事をするようなケースも含まれます。(ソフト開発業界などではよくあるケースですね)

これらのケースでは

次に掲げる事項に留意することが望ましい。

とされています。

・提供先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。
・当該個人データの再提供を行うに当たっては、あらかじめ文書をもって事業者の了承を得ること。
・提供先における保管期間等を明確化すること。
・利用目的達成後の個人データを返却し、又は破棄し若しくは削除し、これと併せてその処理が適切かつ確実になされていることを事業者において確認すること。
・提供先における個人データの複写及び複製(安全管理上必要なバックアップを目的とするものを除く。)を禁止すること。

努力義務ですので、強制力はありませんが、基本的なことばかりです。
出向や派遣によって得た個人情報は、一緒に働いている人の情報なので、出向先や派遣先では自社の社員情報との区別をつける感覚が薄くなりがちです。
情報を提供する場合は、この点に注意して、情報を提供することが重要です。
[PR]

# by office-izutani | 2005-12-09 10:54 | 誰でも簡単【個人情報保護】
2005年 12月 08日
誰でもわかる!簡単【個人情報保護法】32 ~ガイドライン解説19:共同利用~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の19回目です。
今回は、個人情報を第三者への提供する場合の例外である「第三者に該当しない」ケースについて、その中でも特に『共同利用』について見ていきます。

「第三者に提供する場合は、事前に同意が必要」というのが原則ですが、

 第三者にあたらない。(だから事前に同意は必要ない)

という例外があります。
この第三者に当たらないケースというのが次の3つです。

1 委託
個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合。

2 事業の承継
合併その他の事由による事業の承継に伴って個人データが提供される場合

3 共同利用
個人データを特定の者との間で共同して利用する場合

1 委託のケースとは以下のような場合を指します。

事例1) データの打ち込み等、情報処理を委託するために個人データを渡す場合
事例2) 百貨店が注文を受けた商品の配送のために、宅配業者に個人データを渡す場合

これはイメージを掴みやすい事例ですね。

また、2 事業の承継とは以下のような場合を指します。

事例1) 合併、分社化により、新会社に個人データを渡す場合
事例2) 営業譲渡により、譲渡先企業に個人データを渡す場合

この事業の承継のケースは、それほど頻繁に起こることでは無いので、あまり気にすることは無いかもしれません。

最後の共同利用のケースですが、次のような場合を指します。

事例1) グループ企業で総合的なサービスを提供するために利用目的の範囲内で情報を共同利用する場合
事例2) 親子兄弟会社の間で利用目的の範囲内で個人データを共同利用する場合
事例3) 外国の会社と利用目的の範囲内で個人データを共同利用する場合

これは中小企業であっても十分にありえるケースですね。
このようなグループ企業や親子会社間での個人情報の共同利用を実施する場合は、以下のア)~エ)の情報を
あらかじめ本人に通知し、
又は本人が容易に知り得る状態に置いておくとともに、
共同して利用することを明らかにすれば、

「共同利用する企業を第三者とみなさない」としています。

ア) 共同して利用される個人データの項目
  事例1) 氏名、住所、電話番号
  事例2) 氏名、商品購入履歴
イ) 共同利用者の範囲(本人からみてその範囲が明確であることを要するが、範囲が明確である限りは、必ずしも個別列挙が必要ない場合もある。)
ウ) 利用する者の利用目的(共同して利用する個人データのすべての利用目的)
エ) 開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者の氏名又は名称(共同利用者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する事業者を、「責任を有する者」といい、共同利用者の内部の担当責任者をいうのではない。)

ここでポイントになるのは、「共同利用」する場合は、必ずしも上記を要件を見たさなければならない、というわけではないということです。上記の要件は、「第三者提供の例外」のための要件であって、第三者提供時の原則である「本人からの事前同意」を取ることができるのなら必要ありません。
企業の規模や、取り扱う情報の内容によって、原則どおりに「本人からの事前同意」をとるか、「共同利用」とするかを選択すれば良いのです。
[PR]

# by office-izutani | 2005-12-08 10:49 | 誰でも簡単【個人情報保護】
2005年 12月 07日
誰でもわかる!簡単【個人情報保護法】31 ~ガイドライン解説18:オプトアウト~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の18回目です。
今回は、個人情報を第三者への提供する場合の例外の一つ、『オプトアウト』について見ていきます。
「第三者に提供する場合は、事前に同意が必要」というのが原則ですが、

第三者だけれど一定の条件を満たせば同意は必要ない。

という例外があり、その一定の条件というのが、『オプトアウト』になります。

「オプトアウト」とは、事前に承諾を得ずに情報の「利用」や「提供」を行い、「利用停止」「提供停止」の要請があった場合に応じて事後対応をすることをいいます。
未承諾広告メールが送られてくると、メールの最後に

「今後、このメールの配信を希望されない場合は、ご連絡下さい。速やかに配信を停止いたします。」

などと書いてありますが、これも『オプトアウト』です。
逆に事前に同意を得るのを『オプトイン』といいます。

ここで注意していただきたいのが、ガイドラインで定めている『オプトアウト』は「第三者提供」の例外として定めている点です。

「利用」については、必ずしも「利用停止」の要請があった場合でも応じる必要がないとされているからです。
(この点については、別の記事でご説明いたします。)

ガイドラインではオプトアウトの以下のように定めています。

「第三者提供におけるオプトアウト」とは、提供に当たりあらかじめ、以下のⅰ.~ⅳ.の情報を、

 ・本人に通知し、又は
 ・本人が容易に知り得る状態

に置いておくとともに、本人の求めに応じて第三者への提供を停止することをいう。

ⅰ.第三者への提供を利用目的とすること。
ⅱ.第三者に提供される個人データの項目
  事例1) 氏名、住所、電話番号
  事例2) 氏名、商品購入履歴
ⅲ.第三者への提供の手段又は方法
  事例1) 書籍として出版
  事例2) インターネットに掲載
  事例3) プリントアウトして交付等
ⅳ.本人の求めに応じて第三者への提供を停止すること。

ここで定められた本人に通知する項目には、提供先は含まれていません。プライバシーマークの認定基準であるJISQ15001では、収集時点で本人からに同意を取る項目に

c)個人情報の提供を行うことが予定されている場合には、その目的、当該情報の受領者又は受領者の組織の種類、属性及び個人情報の取り扱いに関する契約の有無。

という項目が含まれているのを見ると、かなり基準に差を感じます。

個人情報保護法は、様々な業種に対応できるよう幅の広い基準で定められているためですが、将来的にプライバシーマーク取得を目指す企業では、注意が必要です。
また、「オプトアウト」は顧客満足といった観点から見ても、あまりお勧めできませんね。
[PR]

# by office-izutani | 2005-12-07 11:33 | 誰でも簡単【個人情報保護】
2005年 12月 06日
誰でもわかる!簡単【個人情報保護法】30 ~ガイドライン解説17:第三者提供の例外~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の17回目です。
第三者への提供の原則については、「第三者に提供する場合は、事前に同意が必要」ということをご説明しました。この原則に対し、例外があるのが個人情報保護法のややこしいところです。

ここで、例外として考えられるケースは、

 ①第三者だけれど、特別な場合は同意の必要が無い。
 ②第三者だけれど一定の条件を満たせば(オプトアウト)同意は必要ない。
 ③第三者にあたらない。(だから事前に同意は必要ない)

という3つのケースがあります。

今回は①の「第三者だけれど、特別な場合は同意の必要が無い。」ケースについてご説明します。

個人情報保護法では、以下の事項に該当するときは、本人からの事前同意の必要が無いと定めています。
1 法令に基づく場合
2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって本人の同意を得ることが困難であるとき。
4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

これらの事項については、「目的外利用」をする場合の例外と同じです。
ここでは、それぞれの事項について照らし合わせながら見ていきましょう。

1 法令に基づく場合
事例)所得税法第225条第1項等による税務署長に対する支払調書等の提出
事例)法第42条第2項に基づき認定個人情報保護団体が対象事業者に資料提出等を求め、対象事業者がそれに応じて資料提出をする場合

2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
事例1) 急病その他の事態時に、本人について、その血液型や家族の連絡先等を医師や看護師に提供する場合
事例2) 私企業間において、意図的に業務妨害を行う者の情報について情報交換される場合

3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって本人の同意を得ることが困難であるとき。
事例1) 健康保険組合等の保険者等が実施する健康診断やがん検診等の保健事業について、精密検査の結果や受診状況等の情報を、健康増進施策の立案や事業の効果の向上を目的として疫学研究又は統計調査のために、個人名を伏せて研究者等に提供する場合
事例2) 不登校や不良行為等児童生徒の問題行動について、児童相談所、学校、医療行為等の関係機関が連携して対応するために、当該関係機関等の間で当該児童生徒の情報を交換する場合

4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
事例1) 事業者等が、税務署の職員等の任意調査に対し、個人情報を提出する場合
事例2) 事業者等が警察の任意の求めに応じて個人情報を提出する場合

一般の企業が、通常の業務において該当するケースとは「1 法令に基づく場合」ぐらいでしょう。
社会保険、労働保険の資格取得等の書類提出もこれに該当します。

次回はオプトアウトについてみていくことにします。
[PR]

# by office-izutani | 2005-12-06 10:47 | 誰でも簡単【個人情報保護】
2005年 12月 05日
誰でもわかる!簡単【個人情報保護法】29 ~ガイドライン解説16:第三者とは?~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の16回目です。
前回、第三者への提供の原則についてご説明いたしました。
重要なのでもう一度書きますが、

 個人情報を第三者に提供する場合は、事前に同意が必要

ということでしたね。
ここは十分にご理解いただけたかと思います。では、「第三者」とはどこまでを言うのでしょう?
ガイドラインでは第三者提供とされる事例を具体的をあげています。

【第三者提供とされる事例】(ただし、法第23条第4項各号の場合を除く。)
事例1) 親子兄弟会社、グループ会社の間で個人データを交換する場合
事例2) フランチャイズ組織の本部と加盟店の間で個人データを交換する場合
事例3) 同業者間で、特定の個人データを交換する場合
事例4) 外国の会社に国内に居住している個人の個人データを提供する場合

これを見ると、別法人であれば、全て第三者にあたるといって差し支えないと思います。
これだけならシンプルですし、わかりやすいですね。
しかし、括弧書きの「(ただし、法第23条第4項各号の場合を除く。)」が注意してください。

法第23条第4項各号を見てみると、

1 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合。
2 合併その他の事由による事業の承継に伴って個人データが提供される場合
3 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。


とあります。

「1.委託」「2.事業の承継」「3.共同利用」の場合は第三者に当たらないというのです。
ただし、第三者に当たらないからといって、個人情報を企業間で自由に利用できるわけではありません。
「1.委託」の場合は、「利用目的の達成に必要な範囲内」でないといけません。
また、「2.事業の承継」の場合も事業承継後も利用目的の範囲内で利用しなければなりません。
最後の「3.共同利用」の場合については、「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置く」必要があります。

事前の同意は必要ありませんが、一定の制限があることはわかります。

このような、第三者提供の例外については次回、詳しく見ていくことにしましょう。
[PR]

# by office-izutani | 2005-12-05 10:53 | 誰でも簡単【個人情報保護】
2005年 12月 02日
誰でもわかる!簡単【個人情報保護法】28 ~ガイドライン解説15:第三者への提供の原則~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の15回目です。
ここまで、「個人データの管理」についてご説明していきましたが、今回は「第三者への提供」についてです。

この「第三者への提供」は例外がたくさんあって、非常にわかりにくい部分です。個人情報保護法でも問題になりやすい部分です。
第三者への提供をする場合、どのような措置をとらなければいけないのか、整理しながら、見ていきましょう。

個人情報保護法では「第三者への提供について」以下のように定めています。

法第23条第1項
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
1 法令に基づく場合
2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって本人の同意を得ることが困難であるとき。
4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

ここで一番大事なのは、

 あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

という部分です。
原則、第三者提供する場合は、「本人の同意」が必要だということです。
どのような同意が必要か?ということですが、
ガイドラインでは、

同意の取得に当たっては、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示す

ように定めています。
つまり本人が納得できる内容を事前に示して、同意を得なさいということです。
ただ、どのような内容を事前に明示するかについては具体的に記載されていません。
そこで、次の、プライバシーマークの認定基準であるJISQ15001に規定を参考にしてみてください。

c)個人情報の提供を行うことが予定されている場合には、その目的、当該情報の受領者又は受領者の組織の種類、属性及び個人情報の取り扱いに関する契約の有無。

を事前に明示することとされています。
つまり、「個人情報の提供を行うことを予定されている場合」については、提供の目的、当該情報の受領者などに関する情報を、情報主体に懸念を抱かせないよう具体的に明らかにすることとしています。
“組織の種類、属性”とは個人情報の受領者たる組織の業種と提供もとである企業との関係(関連会社、持株会社など)を指します。

個人情報を第三者に提供する場合の、本人からの事前同意というのは非常に重要になります。しっかり押さえておいてください。
[PR]

# by office-izutani | 2005-12-02 10:30 | 誰でも簡単【個人情報保護】
2005年 12月 01日
誰でもわかる!簡単【個人情報保護法】27 ~委託先選定とプライバシーマーク~
前回、経済産業省のガイドライン解説で「委託先の監督」についてご説明しました。今回は「委託先の監督」の前に行われる「委託先の選定」について補足したいと思います。

個人情報を取り扱う業務を委託する場合、委託先と契約締結や、契約後の監督といった方法で委託先の管理をすることになります。

ただ、この委託契約の前に、個人情報を管理できる企業であるかを判断し、「委託先を選定」するということをする必要があります。
いくら厳しい条件で契約を締結したり、委託先を監督する仕組みやルールを決めても、それをきちんと守れる企業であるかを、事前に選定する義務があるのです。

委託先を選定にあたっては、事前に委託先の選定基準を定めます。どのような企業が委託先として適切か?を判断する基準を設けるのです。

委託先の選定基準は、委託業務の内容や、情報の内容、形態によって、選定のポイントが異なるため、あまり画一的なものにしないほうが良いでしょう。基本的な事項だけでもあげておくと、

・管理者が決まっているか?
・管理体制は整備されているか?
・社内規定があるか?
・個人情報を取り扱う従業者を特定し、従業者に教育をしているか?
・社内監査をおこなっているか?
・安全管理策を実施しているか?

などを項目によっては詳細まで、事前に確認し、基準を満たしているかを判断します。

この選定基準でよく出てくるのが、

・プライバシーマークを取得している。

というものです。この基準を満たしていれば、他の詳細項目については、満たしているものとみなす、という仕組みです。
プライバシーマークを取得している企業の全てが、個人情報の管理について万全であるとはいえません。しかし、業務を委託する企業からすると、一番わかりやすい基準であることは間違いありません。
さらに、実際に個人情報を取り扱う業務を委託する現場では、担当者は、プライバシーマーク取得企業に対し、仕事を出しやすいのです。上に挙げた基準を満たしているかを、チェックリストやヒアリングシートで確認し、不足してる点については、指導をおこなって改善させる、といった手間が省けるからです。

プライバシーマークを取得している企業は、必ず委託先の選定基準を持っています。その選定基準には

・プライバシーマークを取得している。

という項目があるケースが多いのです。そのためプライバシーマーク取得企業は、取引先に、プライバシーマーク取得を求めることになります。特に取引先の多い大手企業が取得すると、その輪はどんどん大きくなります。このことが、プライバシーマーク取得数激増の要因の一つになっているかもしれません。
[PR]

# by office-izutani | 2005-12-01 10:45 | 誰でも簡単【個人情報保護】
2005年 11月 30日
誰でもわかる!簡単【個人情報保護法】26 ~ガイドライン解説14:委託先の監督~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の14回目です。
今回は委託先の監督についてです。

個人情報保護法には

法第22条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

と規定されています。

「適切な監督」の方法としては具体的に明記されているわけではありませんが、ガイドラインでは、【受託者に必要かつ適切な監督を行っていない場合】の事例があるので見ておきましょう。

【受託者に必要かつ適切な監督を行っていない場合】
事例1) 個人データの安全管理措置の状況を契約締結時及びそれ以後も定期的に把握せず外部の事業者に委託した場合で、受託者が個人データを漏えいした場合
事例2) 個人データの取扱いに関して定めた安全管理措置の内容を受託者に指示せず、結果、受託者が個人データを漏えいした場合
事例3) 再委託の条件に関する指示を受託者に行わず、かつ受託者の個人データの取扱状況の確認を怠り、受託者が個人データの処理を再委託し、結果、再委託先が個人データを漏えいした場合

事例1)では「個人データの安全管理措置の状況を契約締結時及びそれ以後も定期的に把握せず」となっていますので、契約締結後に委託先の安全管理状況を把握する措置が必要だということがわかります。どのように安全管理措置の状況を把握するか?という事については規定がありませんが、
 ・委託先に安全管理状況の報告書の提出を求める
 ・実際に委託先に行って安全管理状況を確認する
といった方法で実施するべきでしょう。この「安全管理措置状況の把握」は定期的に実施する必要がありますが、委託先の管理者が変更されたようなケースでは、随時報告を受けるようにしておきましょう。

事例2)では「安全管理措置の内容を受託者に指示せず」となっています。事例1)にあった安全管理措置は、委託先に委ねるのではなく、委託元の企業が実施事項を決め、指示しなければならないということです。

事例3)は再委託についてで、「再委託の条件に関する指示を受託者に行わず、かつ受託者の個人データの取扱状況の確認を怠り」となっています。委託先が別の企業に再委託する際の条件を決め、指示をすること、委託先と再委託先のデータの受け渡し方法や、再委託先へ提供されるデータの内容などの確認をとること、が必要ということです。

委託先と契約を結ぶ際にも、契約書に盛り込む項目が決まっています。

【個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】
●委託者及び受託者の責任の明確化
●個人データの安全管理に関する事項
●個人データの漏えい防止、盗用禁止に関する事項
 ・委託契約範囲外の加工、利用の禁止
 ・委託契約範囲外の複写、複製の禁止
 ・委託契約期間
 ・委託契約終了後の個人データの返還・消去・廃棄に関する事項
●再委託に関する事項
 ・再委託を行うに当たっての委託者への文書による報告
●個人データの取扱状況に関する委託者への報告の内容及び頻度
●契約内容が遵守されていることの確認(例えば、情報セキュリティ監査なども含まれる。)
●契約内容が遵守されなかった場合の措置
●セキュリティ事件・事故が発生した場合の報告・連絡に関する事項

これらの項目については、最低限決めておいた方が良いでしょうし、これらの事項について明確な回答が出来ない企業は委託先としては失格といえるかもしれません。
[PR]

# by office-izutani | 2005-11-30 11:39 | 誰でも簡単【個人情報保護】
2005年 11月 29日
誰でもわかる!簡単【個人情報保護法】25 ~ガイドライン解説13:従業者の監督~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の13回目です。
今回は従業者の監督についてです。

個人情報保護法には
法第21条
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

と規定されています。

従業者の管理は「組織的安全管理」「人的安全管理」でも記載されていましたが、ここで規定されているのは「監督」についてです。
規程を策定するなど社内ルールを作り(組織的安全管理)、教育を実施(人的安全管理」しても、実際に個人情報を取り扱う従業者が教育研修で理解し、社内ルールを守っているかを監督しなければいけないとされています。

なお、「従業者」とは、

従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等

とされています。社内で個人情報を取り扱う人、全てだと考えてよいでしょう。

具体的にどのような方法で監督をするべきか?ということですが、ガイドラインでは、残念ながらその方法は規定されていません。ただ、その反対の例として、【従業者に対して必要かつ適切な監督を行っていない場合】が挙げられています。

事例1) 従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを、あらかじめ定めた間隔で定期的に確認せず、結果、個人データが漏えいした場合
事例2) 内部規程等に違反して個人データが入ったノート型パソコンを繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、紛失し、個人データが漏えいした場合

事例1)では 「あらかじめ定めた間隔で定期的に確認せず」とありますので、個人情報の取り扱い状況を定期的に確認する仕組みが必要だということです。社内監査以外にも、定期的な「自主点検」が必要ということでしょう。

事例2)では「その行為を放置した結果」とありますので、ノート型パソコンを持ち出す際に、個人情報が含まれていないかを確認する仕組み等が必要だといえます。

このような仕組み・ルールを導入する方法以外にも、その他安全管理措置の一環として従業者を対象とするビデオ及びオンラインによるモニタリングを実施する方法もあります。

モニタリングの実施は、経営者の立場からすると、「安心感」を得るための有効な手法ですが、反面、モニタリングされる従業者の立場に立つと「不信感」の要因になりかねません。

「社長は私たち社員を信用していないのか?」

と思われ、労使の信頼関係にヒビが入る可能性が高いのです。

ガイドラインではモニタリング実施する際に留意する点として、以下の事項が挙げています。

・モニタリングの目的、すなわち取得する個人情報の利用目的をあらかじめ特定し、社内規程に定めるとともに、従業者に明示すること。
・モニタリングの実施に関する責任者とその権限を定めること。
・モニタリングを実施する場合には、あらかじめモニタリングの実施について定めた社内規程案を策定するものとし、事前に社内に徹底すること。
・モニタリングの実施状況については、適正に行われているか監査又は確認を行うこと。

これらの事項を定めるとともに、モニタリングの導入の際に、労使できちんと話し合いをしておく事が重要でしょう。
[PR]

# by office-izutani | 2005-11-29 12:32 | 誰でも簡単【個人情報保護】
2005年 11月 28日
誰でもわかる!簡単【個人情報保護法】24 ~ガイドライン解説12:安全管理措置まとめ~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の12回目です。
先週から見てきた「安全管理措置」ですが、ボリュームが多かったので少し整理しておきたいと思います。

まず安全管理措置は

 ・組織的安全管理措置
 ・人的安全管理措置
 ・物理的安全管理措置
 ・技術的安全管理措置

の4つ項目にわかれています。
それぞれの項目ごとに
「講じなければならない事項」として更に詳細項目が決められています。具体的には

【組織的安全管理措置として講じなければならない事項】
 ①個人データの安全管理措置を講じるための組織体制の整備
 ②個人データの安全管理措置を定める規程等の整備と規程等に従った運用
 ③個人データの取扱い状況を一覧できる手段の整備
 ④個人データの安全管理措置の評価、見直し及び改善
 ⑤事故又は違反への対処

【人的安全管理措置として講じなければならない事項】
 ①雇用契約時及び委託契約時における非開示契約の締結
 ②従業者に対する教育・訓練の実施

【物理的安全管理措置として講じなければならない事項】
 ①入退館(室)管理の実施
 ②盗難等の防止

【技術的安全管理措置として講じなければならない事項】
 ①個人データへのアクセスにおける識別と認証
 ②個人データへのアクセス制御
 ③個人データへのアクセス権限の管理
 ④個人データのアクセスの記録
 ⑤個人データを取り扱う情報システムについての不正ソフトウェア対策
 ⑥個人データの移送・送信時の対策
 ⑦個人データを取り扱う情報システムの動作確認時の対策


 ⑧個人データを取り扱う情報システムの監視
 ③機器・装置等の物理的な保護

この詳細項目については具体的な対応策として「各項目について講じることが望まれる事項」が定められています。この事項については、「努力義務」でのので、必ずしも全てに対応する必要はありません。
ただ、実際に対策を実施する際の判断基準としては、非常に参考になるので、目を通してください。
これまで作成したチェックリストを一つにまとめました。是非ご活用ください。
[PR]

# by office-izutani | 2005-11-28 11:21 | 誰でも簡単【個人情報保護】
2005年 11月 26日
誰でもわかる!簡単【個人情報保護法】23 ~プライバシーマークの取得と維持~
今週プライバシーマーク取得社数が2500社を超えました。
2000社を超えたのが9月ですから、この3ヶ月弱で500社の認定が決まったことになります。

個人情報保護法施行に合わせた形で、プライバシーマーク取得を目指し、今年の春に申請していた企業の認定が次々決まっているのでしょう。認定機関の審査もかなりの時間がかかっているようです。

この取得ラッシュの影に、プライバシーマークの使用を中止する事業者が77社もあるという事実もあります。主な理由は

・組織変更のため
・更新辞退

となっています。

前者は、最近多い企業同士の合併を理由にしたものが多いようです。プライバシーマーク認定企業同士が合併し、一つが必要なくなったというわけです。また、以前事業部単位で認定を取っていた企業が、会社全体で取り直したため、事業部単位の認定の使用を止めたケースもあります。(以前は、事業部単位でのプライバシーマーク認定が認められていたのです。)

後者は、更新を機にプライバシーマークの使用を自ら辞退するということです。この主な理由は2種類あると思われます。

一つは、プライバシーマークのメリットが無かったということ。個人情報の取り扱いがあまり無い企業が取得し、上手く事業に生かせなかったのではないかと思います。

もう一つはプライバシーマークを維持できなかったケース。
プライバシーマーク制度では更新時にも審査があります。この審査も年々厳しくなっていますので、当然、取得した2年前よりも厳しい基準を要求されます。また、プライバシーマークの認定基準であるJISQ15001は、マネジメントシステムの規格ですので、社内の仕組みをスパイラルアップしていくことが求められます。
ですから、プライバシーマークを取得する際に、きちんとした仕組みづくりが出来なかった企業は、維持が難しくなるのです。

企業に必要なのは
「プライバシーマークを取得するための仕組み」
ではなく
「プライバシーマークを維持し継続的に運用出来る仕組み」
なのです。
[PR]

# by office-izutani | 2005-11-26 14:41 | 誰でも簡単【個人情報保護】
2005年 11月 25日
誰でもわかる!簡単【個人情報保護法】22 ~ガイドライン解説11:技術的安全管理措置~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の11回目です。今回は、ガイドラインで安全管理措置として定められた4項目の最後の項目、「技術的安全管理措置」についてです。

この項目では、
個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等
について定められています。
コンピュータや情報記録媒体、ネットワークに関するセキュリティについての情報セキュリティの分野です。
ここでは以下の8項目について要求されています。

①個人データへのアクセスにおける識別と認証
②個人データへのアクセス制御
③個人データへのアクセス権限の管理
④個人データのアクセスの記録
⑤個人データを取り扱う情報システムについての不正ソフトウェア対策
⑥個人データの移送・送信時の対策
⑦個人データを取り扱う情報システムの動作確認時の対策
⑧個人データを取り扱う情報システムの監視

ここで要求された項目については、

 「言葉の意味はなんとなくわかるけど、じゃあ、いったいどうしたら良いの?」

という方が多いのではないでしょうか。

ということについて定められています。

ここでも、具体的な事例を【各項目について講じることが望まれる事項】として挙げられています。(同様のチェックリストを作成しましたので、参考にしてください。)
しかし、この事例についても、どのような機器が必要なのか?どのようなソフトを活用すれば良いのか?といったことまでは、記載されていません。
やはり、リスクに応じた対策を選定して実施する必要があるのです。
そのためには、社内の個人情報の洗い出しを行い、個人情報や重要な機密情報を取り扱う機器やネットワークの環境を把握する必要があります。
重要な情報を取り扱わない機器等に過剰なセキュリティ機器を導入しても仕方ないのです。
チェックリストなどを上手く活用してみてください。

また、この分野については、専門的技術の知識が必要とされる分野です。

ITベンダーの言われるがままに過剰な機器を導入したり、
聞きかじった知識から、対策が偏ってしまったり、

といったことがおこりがちです。
信頼できるベンダーから適切な情報を得て、社内で十分に検討しながら、進めていくことが重要です。
[PR]

# by office-izutani | 2005-11-25 12:16 | 誰でも簡単【個人情報保護】
2005年 11月 24日
誰でもわかる!簡単【個人情報保護法】21 ~ガイドライン解説10:物理的安全管理措置~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の10回目です。今回は、ガイドラインで安全管理措置として定められた4項目の3つ目の項目、「物理的安全管理措置」についてです。

この項目では、入退室管理や、盗難防止策等の、個人情報が記録された媒体や、取り扱う機器を物理的に守る方法について定められています。
ここで要求されることも、前回見た「人的安全管理措置」と同様、少なく、3つだけです。

①入退館(室)管理の実施
②盗難等の防止
③機器・装置等の物理的な保護

つまり、

・個人情報を取り扱う建物や部屋の人の出入りを管理すること。
・その部屋に入った人が情報を持ち出せないようにすること。
・天災や事故から機器を情報を守ること

ということについて定められています。

ここでも、具体的な事例を【各項目について講じることが望まれる事項】として挙げられています。
(同様のチェックリストを作成しましたので、参考にしてください。)

物理的安全対策の項目は、【各項目について講じることが望まれる事項】を見てもわかるように、実際に目に見える対策がほとんどですので、イメージが掴みやすいと思います。
この事項を実施することで、会社が個人情報保護に取り組む姿勢を社員に見せることで、全体の意識向上へとつながります。
是非、積極的に取り組んでいただきたい項目です。
[PR]

# by office-izutani | 2005-11-24 10:21 | 誰でも簡単【個人情報保護】
2005年 11月 23日
誰でもわかる!簡単【個人情報保護法】20 ~個人情報漏えい事件に学ぶ2~
土曜日の記事でワコールの個人情報漏えいについてお伝えしました。ワコールでは、この事件発生後、専用のホームページを設けて、被害内容や調査状況、問い合わせ窓口等について公表しました。
今回はその後の経過を見てみることにしましょう。

ワコールが設けた「お客様情報の流出に関するお詫びとご説明」というホームページでは、事件発表からの最新情報を随時公表しています。
最新情報のページを見ると、
 事件を発表した19日に、データが流出した顧客に対し、お詫びのメールを送った。
 その後、22日には郵送でもお詫び状を出した。
といった、顧客への対応の状況を知ることができます。

また、「よくいただくご質問」というFAQのページをつくっています。
内容は、以下のような項目です。(11月23日現在)


状況・経緯について
Q. 今回起こったデータ流出の内容はどのようなものか?
Q. データ流出がわかったのはいつか?またどうして気づいたのか?
Q. 最初に問い合わせがあったのは7日なのに、発表が19日になったのはなぜ?
Q. 対象となるお客様の人数は?
Q. 流出したデータには、オンラインショップのお客様という以外に、何か共通するものはあるか?
Q. 流出が生じたのはNECネクサソリューションズ株式会社のサーバーからだけか?
Q. サーバーにあったデータは、オンラインショップのお客様のものだけか?
Q. 氏名のデータは流出していないのか?
Q. 不正使用があったのは具体的にどこのサイトか?
Q. 対象となっているデータの具体的なカード会社名は?
Q. お客様から流出データを不正使用されたとの連絡や問い合わせはないのか?また不正使用された件数は?
Q. クレジットカード不正使用の被害総額はどのくらいか?
お客様対応について
Q. クレジットカードでお客様が被害を受けた場合、被害額はどこが補填するのか?
Q. データ流出が判明しているお客様への連絡・対応はどのようにしているのか?
Q. カード会社のお客様への対応はどのようになっているか?
原因究明、今後の対策、届け出について
Q. 不正アクセスとは、具体的にどんなことが起こったのか?
Q. 不正アクセスの原因は何か?またいつ頃までに究明するのか?
Q. 今後の防止策は?
Q. 相談した警察はどこの警察か?被害届は提出したのか?
Q. 監督官庁への個人情報流出の届け出はおこなったか?
Q. オンラインショップはいつから再開の予定か?
Q. 問い合わせ窓口の電話の回線数は?
Q. 問い合わせ窓口はいつまで設置する予定か?


これを見ると顧客の不安が少しでも減るような、幅が広く、細やかな情報公開をしています。

このようなFAQのページを作る効果は、顧客の不安を減らすだけではありません。
顧客からの電話、メールなどの問い合わせ数を減らしたり、問い合わせの対応の手間を減らす効果があります。

ただ、これは今回の事件がネットショッピングサイトでの情報漏えいという事件であったため、顧客の多くがインターネットを使える環境にあるという前提で、このような対応がされたのだと思われます。
顧客対応には、顧客の属性にあった対応が重要ですね。
[PR]

# by office-izutani | 2005-11-23 11:41 | 誰でも簡単【個人情報保護】
2005年 11月 22日
誰でもわかる!簡単【個人情報保護法】19 ~ガイドライン解説9:人的安全管理措置~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の9回目です。今回は、ガイドラインで安全管理措置として定められた4項目の2番目のの項目、「人的安全管理措置」についてです。

この項目では、社内で個人情報を取り扱う従業者に対する機密保持契約や、教育・訓練について定められています。
この項目は約1ページ分ほどでボリュームも少なく、書かれてあることもシンプルです。

この項目で規定されている義務事項は2つだけです。

【人的安全管理措置として講じなければならない事項】
①雇用契約時及び委託契約時における非開示契約の締結
②従業者に対する教育・訓練の実施


ここでも、具体的な事例を【各項目についてこじることが望まれる事項】として挙げられています。組織的安全管理措置の項目と同様のチェックリストを作成しましたので、参考にしてください。

人的安全管理措置は項目数が少ないので、読みとばしがちですが、従業者の「教育」という重要な内容が含まれています。
いくら良い仕組みを作ったとしても、効果的な「教育」を実施しなければ、個人情報の漏えいリスクは減りません。

【各項目についてこじることが望まれる事項】で挙げられている

・個人データ及び情報システムの安全管理に関する従業者の役割及び責任を定めた内部規程等についての周知
・個人データ及び情報システムの安全管理に関する従業者の役割及び責任についての教育・訓練の実施
・従業者に対する必要かつ適切な教育・訓練が実施されていることの確認

は実施すべきでしょう。

教育の手法ですが、イーラーニングや研修など様々な方法があります。教育は「一度やったらおしまい」ではなく、定期的に実施することが必要になります。教育ツールを選択される場合も、少なくとも年一回以上のフォローアップの仕組みがあるということをポイントに選ばれると良いでしょう。
[PR]

# by office-izutani | 2005-11-22 09:47 | 誰でも簡単【個人情報保護】