Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
改正個人情報保護法実務ガイドブック輪読会_20220316
Search
Hiroaki ONO
March 16, 2022
Technology
440
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
改正個人情報保護法実務ガイドブック輪読会_20220316
Hiroaki ONO
March 16, 2022
More Decks by Hiroaki ONO
See All by Hiroaki ONO
実践的データ基盤への処方箋輪読会_20220203
hihihiroro
0
850
Kubernetesに入門したい
hihihiroro
47
16k
Dockerコマンド
hihihiroro
2
960
20170602_sqlstudy
hihihiroro
2
720
Other Decks in Technology
See All in Technology
IaC コードを資産へ:AWS CDK 社内ライブラリと横断展開 / aws-summit-japan-2026
gotok365
10
1.6k
Deep Data Security 機能解説
oracle4engineer
PRO
2
170
AIに障害切り分けを全部やってもらった。 。 。 。
estie
0
170
フルAIで個人開発して学んだあれこれ / yuruai vol.1
isaoshimizu
0
130
AWS Security Agent といっしょに脅威モデリングをやってみよう
amarelo_n24
1
210
GitHub Copilot 最新アップデート – 「一歩先」の実践活用術
moulongzhang
5
1.9k
Comment regagner la souveraineté de vos données tout en étant payé grâce à Nostr !
rlifchitz
0
200
iOS アプリの「これって不具合ですか?」を AI に調べてもらう
miichan
0
140
MUSUBI 田中裕一『AIと共に行う「しごとのリデザイン」- スモールバックオフィス編』AI Ops Lab #4
musubi
0
320
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」紹介資料
laysakura
2
7.6k
徹底討論!ECS vs EKS!
daitak
3
1.7k
作る力から、見極める力へ — AI時代に広がるエンジニアの価値と役割
rince
0
340
Featured
See All Featured
How to Ace a Technical Interview
jacobian
281
24k
Docker and Python
trallard
47
3.9k
Git: the NoSQL Database
bkeepers
PRO
432
67k
Un-Boring Meetings
codingconduct
0
320
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
240
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
3.2k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
kimpetersen
PRO
0
370
First, design no harm
axbom
PRO
2
1.2k
Site-Speed That Sticks
csswizardry
13
1.2k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
17k
Automating Front-end Workflow
addyosmani
1370
210k
The Invisible Side of Design
smashingmag
301
52k
Transcript
個人データ戦略活用 ステップで分かる 改正個人情報保護法実務ガイドブック 3-7(STEP7) Hiroaki ONO slack : @hihihiroro,
twitter : @hihihiroro
STEP7-1 第三者提供する場合の記録・確認義務の概要 STEP7-2 記録・確認の必要がない場合 STEP7-3 提供を受ける場合の確認 STEP7-4 記録事項 STEP7-5 記録の作成方法
STEP7-6 記録の保存期間 STEP7-7 記録の開示請求 STEP7
STEP7-1 第三者提供する場合の記録・確認義務の概要 • 適用除外、記録の方法が多数あり、提供側には罰則規定もある ◦ 個人データの第三者提供:記録を残すことが義務化 ▪ 提供者:提供年月日・受領者の氏名等を記録
▪ 受領者:提供者の氏名・取得経緯・提供を受けた年月日・確認に係る事項等を記録 • 外国の事業者に提供する場合は、規律が異なる ◦ 個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編) • 提供側、受領側とも本人からの開示請求に対応しなければならない ◦ 個人データ流通把握、事業者に対する権利行使の容易化 New!! P.130-131
• 確認・記録義務の全体図 STEP7-1 第三者提供する場合の記録・確認義務の概要 https://www.ppc.go.jp/personalinfo/legal/guidelines_thirdparty/ P.130-131
STEP7-1 第三者提供する場合の記録・確認義務の概要 • 適用除外、記録の方法が多数あり、提供側には罰則規定もある ◦ 個人データの第三者提供:記録を残すことが義務化 ▪ 提供者:提供年月日・受領者の氏名等を記録
▪ 受領者:提供者の氏名・取得経緯・提供を受けた年月日・確認に係る事項等を記録 • 外国の事業者に提供する場合は、規律が異なる ◦ 個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編) • 提供側、受領側とも本人からの開示請求に対応しなければならない ◦ 個人データ流通把握、事業者に対する権利行使の容易化 New!! P.130-131
STEP7-2 記録・確認の必要がない場合 • 過度な規制とならないよう、明文化されたもの以外に解釈上、 義務がかからない場合が多数ある • 提供データが「個人データ」「個人情報」に該当しない、 「個人データの提供を受ける」も該当しない場合 受領者は確認・記録の義務はない P.131-136
STEP7-2 記録・確認の必要がない場合 提供者の 記録義務 受領者の 確認・記録義務 明文上、適用除外 ✕ ✕ 解釈上、適用除外
✕ ✕ 提供者にとって「個人データ」に該当しない ✕ ✕ 受領者にとって「個人データ」に該当しない ◯ ✕ 受領者にとって「個人データの提供を受ける」に該当しない ◯ ✕ P.131-136 P.131-136
• 明文上、適用除外 ◦ 個人データが転々流通することが想定されにくいもの ▪ 法令に基づく場合 ▪ 人命や財産の保護に必要がある場合で、本人の同意を取るのが困難な場合
▪ 公衆衛生の向上又は児童の健全な育成の推進のため必要がある場合で、 本人の同意を取るのが困難な場合 ▪ 国の機関若しくは地方公共団体又はその委託を受けた者が事務の遂行に支障を及ぼす場合 ◦ 第三者に該当しないとしたもの (外国に提供する場合は基本的に同意取得が必要) ▪ 利用目的の達成に必要な範囲内において個人データの取扱いの全部又は 一部を委託することに伴って当該個人データが提供される場合 ▪ 合併その他の事由による事業の承継に伴って個人データが提供される場合 ▪ 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合 ◦ 第三者の例外 ▪ 国の機関、地方公共団体、独立行政法人、地方独立行政法人 STEP7-2 記録・確認の必要がない場合 P.131-136
• 解釈上、適用除外 ◦ 本人による提供 ▪ SNS等に本人が入力した内容が、自動的に個人データとして 不特定多数の第三者が取得できる状態に置かれている場合 ◦
本人に代わって提供 ▪ 本人からの委託等に基づき当該本人の個人データを第三者提供する場合 ▪ 銀行から銀行への振り込み、販売事業者がメーカに修理依頼 など ◦ 本人と一体と評価できる関係にある者に提供 ▪ 家族や代理人などが該当 ▪ 提供者が、最終的に本人に提供することを意図した上で、 受領者を介在して第三者提供を行い、本人がそれを明確に認識できる場合 ◦ 公開情報 ▪ ホームページ等で公表されている情報、報道機関により報道されている情報 など STEP7-2 記録・確認の必要がない場合 P.131-136
• 受領者にとって「個人データ」に該当しない ◦ 個人データに該当しない場合 ▪ 個人情報データベースから一人だけの情報を渡す場合 など ▪
確認・記録義務を免れる目的のためあえて分断して提供するのは法の潜脱 ◦ 個人情報に該当しない場合 ▪ 提供者が加工などして受領者にとっては個人情報に該当しない場合 • 氏名を削除するなどして個人を特定できないようにしたデータ • 提供者で管理しているID番号のみが付されたデータ ▪ 提供者側で特定の個人を識別できる場合は、提供者側は同意取得と記録義務がある STEP7-2 記録・確認の必要がない場合 P.131-136
• 受領者にとって「個人データの提供を受ける」に該当しない ◦ 単に閲覧する場合 ▪ 免許者やパスポートを見る など ▪ 口頭、FAX、メール、電話等で、受領者の意思とは関係なく、
一方的に個人データを提供された場合 STEP7-2 記録・確認の必要がない場合 P.131-136
STEP7-3 提供を受ける場合の確認 • 受領者は、提供者が適正に個人データを取得しているかの確認が必要 ◦ 提供者の氏名または名称と住所、提供者が法人の場合は代表者の氏名 ▪ 口頭、書類での申告 など
◦ 取得先の別、取得行為の態様 ▪ 誰から、どの経路で取得したか ▪ オプトアウト手続きの場合は、オプトアウト手続きが適正にされているか • 提供者が個人情報保護法を遵守しているか確認することが望ましい ◦ 利用目的、開示手続、問合せ・苦情の受付窓口の公表 など ◦ 疑わしいと思ったら提供を受けないようにすべき P.136-138
提供者 提供 年月日 提供先の 氏名など 本人の 氏名など 個人データ の項目
本人の同意 オプトアウト ◯ ◯ ◯ ◯ 本人同意 ◯ ◯ ◯ ◯ 受領者 受領 年月日 提供元の 氏名など 本人の 氏名など 個人データ の項目 本人の同意 取得の経緯 個人情報保護 委員会による公表 オプトアウト ◯ ◯ ◯ ◯ ◯ ◯ 本人同意 ◯ ◯ ◯ ◯ ◯ 私人 ◯ ◯ ◯ ◯ STEP7-4 記録事項 P.138-142
提供者 提供 年月日 提供先の 氏名など 本人の 氏名など 個人データ の項目
本人の同意 オプトアウト ◯ ◯ ◯ ◯ 本人同意 ◯ ◯ ◯ ◯ 受領者 受領 年月日 提供元の 氏名など 本人の 氏名など 個人データ の項目 本人の同意 取得の経緯 個人情報保護 委員会による公表 オプトアウト ◯ ◯ ◯ ◯ ◯ ◯ 本人同意 ◯ ◯ ◯ ◯ ◯ 私人 ◯ ◯ ◯ ◯ STEP7-4 記録事項 P.138-142
STEP7-4 記録事項 • 共通する記録事項 ◦ 誰から誰に提供されたか ▪ 提供者:当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項
(不特定かつ多数の者に対して提供したときは、その旨) ▪ 受領者:当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者氏名 ◦ 誰のどのようなデータか ▪ 本人の氏名など • 個人識別符号、本人を特定できるID など ▪ 個人データの項目 • 実際に提供されたデータ • 「当社が有するいずれかの情報」等の記載では該当しないと解される P.138-142
提供者 提供 年月日 提供先の 氏名など 本人の 氏名など 個人データ の項目
本人の同意 オプトアウト ◯ ◯ ◯ ◯ 本人同意 ◯ ◯ ◯ ◯ 受領者 受領 年月日 提供元の 氏名など 本人の 氏名など 個人データ の項目 本人の同意 取得の経緯 個人情報保護 委員会による公表 オプトアウト ◯ ◯ ◯ ◯ ◯ ◯ 本人同意 ◯ ◯ ◯ ◯ ◯ 私人 ◯ ◯ ◯ ◯ STEP7-4 記録事項 P.138-142
• オプトアウト ◦ 提供者、受領者 ▪ 提供及び受領の年月日 • 同意取得がないため本人の同意記録は不要
• 送信ログ、受信ログに年月日が出るならログを記録とできる ◦ 受領者 ▪ 個人情報保護委員会による公表 • 提供元のオプトアウト手続きが適正と判断 STEP7-4 記録事項 P.138-142
提供者 提供 年月日 提供先の 氏名など 本人の 氏名など 個人データ の項目
本人の同意 オプトアウト ◯ ◯ ◯ ◯ 本人同意 ◯ ◯ ◯ ◯ 受領者 受領 年月日 提供元の 氏名など 本人の 氏名など 個人データ の項目 本人の同意 取得の経緯 個人情報保護 委員会による公表 オプトアウト ◯ ◯ ◯ ◯ ◯ ◯ 本人同意 ◯ ◯ ◯ ◯ ◯ 私人 ◯ ◯ ◯ ◯ STEP7-4 記録事項 P.138-142
• 本人同意 ◦ 同意を取得した証拠 ▪ 契約書の当該部分 ▪ Webやアプリケーションの記載内容と同意取得方法
STEP7-4 記録事項 P.138-142
提供者 提供 年月日 提供先の 氏名など 本人の 氏名など 個人データ の項目
本人の同意 オプトアウト ◯ ◯ ◯ ◯ 本人同意 ◯ ◯ ◯ ◯ 受領者 受領 年月日 提供元の 氏名など 本人の 氏名など 個人データ の項目 本人の同意 取得の経緯 個人情報保護 委員会による公表 オプトアウト ◯ ◯ ◯ ◯ ◯ ◯ 本人同意 ◯ ◯ ◯ ◯ ◯ 私人 ◯ ◯ ◯ ◯ STEP7-4 記録事項 P.138-142
• 私人 ◦ 個人情報取扱事業者ではないため、同意取得は義務なし ◦ 個人情報取扱事業者ではないため、オプトアウト手続きはできない STEP7-4 記録事項
P.138-142
提供者 提供 年月日 提供先の 氏名など 本人の 氏名など 個人データ の項目
本人の同意 オプトアウト ◯ ◯ ◯ ◯ 本人同意 ◯ ◯ ◯ ◯ 受領者 受領 年月日 提供元の 氏名など 本人の 氏名など 個人データ の項目 本人の同意 取得の経緯 個人情報保護 委員会による公表 オプトアウト ◯ ◯ ◯ ◯ ◯ ◯ 本人同意 ◯ ◯ ◯ ◯ ◯ 私人 ◯ ◯ ◯ ◯ STEP7-4 記録事項 P.138-142
• 受領者のみに課される記録 ◦ 取得の経緯 ▪ 取得先の別、取得行為の態様 • 提供者が別の者から個人データを買い取っている場合には売買契約書などを
確認する方法 • 提供者が本人から書面等で当該個人データを直接取得している場合に 当該書面等を確認する方法 • 提供者による取得の経緯が明示的又は黙示的に示されている、 提供者と受領者間の契約書面を確認する方法 • 提供者が本人の同意を得ていることを誓約する書面を受け入れる方法 • 提供者のホームページで公表されている利用目的、規約等の中に、 取得の経緯が記載されている場合において、その記載内容を確認する方法 • 本人による同意書面を確認する方法 STEP7-4 記録事項 P.138-142
• 個人データの授受の都度、すみやかに記録を作成(原則) ◦ 提供者と受領者を明らかにする ◦ 流通する本人と個人データを明らかにする ◦ 取得や第三者提供の手続きを明らかにする
◦ 授受されているかを証明する STEP7-5 記録の作成方法 P.142-145
STEP7-5 記録の作成方法 • 一括して記録を作成 ◦ 一定の期間内に特定の事業者との間で継続的にまたは反復して授受する場合 ◦ 継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれる場合
◦ オプトアウトによる第三者提供は対象外 • 代替手段による方法 ◦ 本人との間で個人データを第三者に提供することを含む契約書や確認書 など ◦ オプトアウトによる第三者提供は対象外 • 記録事項の省略 ◦ 複数回にわたって同一「本人」の個人データの授受をする場合において、 同一の内容である事項を重複して記録する必要はない P.142-145
STEP7-6 記録の保存期間 • 基本は3年 ◦ 契約書やこれに準じる書類を記録の代替手段とした場合は1年 • 一体として記録している場合、保存期間は各記録ごとに異なる ◦
保存期間は個人データごとに3年 • データベースを記録とする場合、消去義務との関係に注意 ◦ 消去:データが利用できないようにする ◦ データ消去すると記録が残らない可能性があるので利用不可フラグなどで対策 P.145-146
STEP7-7 記録の開示請求 • 2022年施行の改正で本人からの開示請求対応が義務化 ◦ これまでは確認と記録のみ義務 • 開示対応について検討が必要 ◦
個人データを分散して保存 ◦ サーバログをデータに紐付けている ◦ 紙の書類で記録・保存 • 回答期限や方法など一定の制約が課されている • 開示のための書式は未規定 • 保存期間を過ぎたデータに関しては請求に応じる必要なし P.147