Slide 1

Slide 1 text

#事業成長と個人情報保護両立のポイント 事業成長と個人情報保護両立のポイント 2024.10.17 於 弁護士ドットコム

Slide 2

Slide 2 text

#事業成長と個人情報保護両立のポイント 「法律事務所LEACT」と「インターネット企業」で兼業をしています 2 世古 修平(せこ しゅうへい) ◼ 法律事務所LEACT(パートナー弁護士) ◼ インターネット企業(インハウス・正社員) ◼ IPA(試験委員) ◼ 経済産業省(電子商取引及び情報財取 引等に関する準則 研究会委員)

Slide 3

Slide 3 text

#事業成長と個人情報保護両立のポイント 感想はぜひ、随時X(旧Twitter)でハッシュタグを付けて教えてください 3 #事業成長と個人情報保護両立のポイント

Slide 4

Slide 4 text

#事業成長と個人情報保護両立のポイント こちら、私の執務環境なのですが… 4

Slide 5

Slide 5 text

#事業成長と個人情報保護両立のポイント マルチモニターで確認しながら進めるつもりではおります 5 セミナー用 X(旧Twitter)用

Slide 6

Slide 6 text

#事業成長と個人情報保護両立のポイント マルチモニターで確認しながら進めるつもりではおります 6 セミナー用 X(旧Twitter)用 こちらでセミナーを 進めながら

Slide 7

Slide 7 text

#事業成長と個人情報保護両立のポイント マルチモニターで確認しながら進めるつもりではおります 7 セミナー用 X(旧Twitter)用 こちらでタイムライン を追いかけます こちらでセミナーを 進めながら

Slide 8

Slide 8 text

#事業成長と個人情報保護両立のポイント 本日のお品書きはこんな感じです ◼ 1.イントロダクション ◼ 2.社内教育 ➢ 総論 ➢ 各論 ◼ 3.インシデント対応 ➢ 総論 ➢ 各論

Slide 9

Slide 9 text

#事業成長と個人情報保護両立のポイント まずは最初のイントロダクションから ◼ 1.イントロダクション ◼ 2.社内教育 ➢ 総論 ➢ 各論 ◼ 3.インシデント対応 ➢ 総論 ➢ 各論

Slide 10

Slide 10 text

#事業成長と個人情報保護両立のポイント 私の中では、個情法の学習ルートにはある程度答えが出た感があります 10 おすすめの学習ルート

Slide 11

Slide 11 text

#事業成長と個人情報保護両立のポイント 私の中では、個情法の学習ルートにはある程度答えが出た感があります 11 おすすめの学習ルート 出所:https://gihyo.jp/book/2022/978-4-297-12715-2 【初級】

Slide 12

Slide 12 text

#事業成長と個人情報保護両立のポイント 私の中では、個情法の学習ルートにはある程度答えが出た感があります 12 おすすめの学習ルート 出所:https://www.shojihomu.co.jp/publishing/details?publish_id=5456&cd=3072 【初級】 【中級】

Slide 13

Slide 13 text

#事業成長と個人情報保護両立のポイント 私の中では、個情法の学習ルートにはある程度答えが出た感があります 13 おすすめの学習ルート 出所:https://www.shojihomu.co.jp/publishing/details?publish_id=5469&cd=3099&state=new_and_already 【初級】 【中級】 【上級】

Slide 14

Slide 14 text

#事業成長と個人情報保護両立のポイント とはいえ個情法を使いこなす上で学ぶべき領域は非常に広いですよね 14 個情法解釈

Slide 15

Slide 15 text

#事業成長と個人情報保護両立のポイント とはいえ個情法を使いこなす上で学ぶべき領域は非常に広いですよね 15 個情法解釈 セキュリティ 技術理解

Slide 16

Slide 16 text

#事業成長と個人情報保護両立のポイント とはいえ個情法を使いこなす上で学ぶべき領域は非常に広いですよね 16 個情法解釈 セキュリティ 技術理解 対外対応 (官公庁/ユーザー/ プラットフォーマーetc.)

Slide 17

Slide 17 text

#事業成長と個人情報保護両立のポイント とはいえ個情法を使いこなす上で学ぶべき領域は非常に広いですよね 17 個情法解釈 海外法 セキュリティ 技術理解 対外対応 (官公庁/ユーザー/ プラットフォーマーetc.)

Slide 18

Slide 18 text

#事業成長と個人情報保護両立のポイント とはいえ個情法を使いこなす上で学ぶべき領域は非常に広いですよね 18 個情法解釈 海外法 セキュリティ 技術理解 対内対応 (事業理解、社内教育etc) 対外対応 (官公庁/ユーザー/ プラットフォーマーetc.)

Slide 19

Slide 19 text

#事業成長と個人情報保護両立のポイント そこで、今日のテーマは何にしようかな…とアンケートを取りました 19

Slide 20

Slide 20 text

#事業成長と個人情報保護両立のポイント というわけで、今日は「インシデント対応」と「社内教育」を取り上げます 20

Slide 21

Slide 21 text

#事業成長と個人情報保護両立のポイント 「明確な正解がない」というのが悩ましいところですよね 21 テーマ1:社内教育

Slide 22

Slide 22 text

#事業成長と個人情報保護両立のポイント 「明確な正解がない」というのが悩ましいところですよね 22 どこまでや れば十分か わからない テーマ1:社内教育

Slide 23

Slide 23 text

#事業成長と個人情報保護両立のポイント 「明確な正解がない」というのが悩ましいところですよね 23 どこまでや れば十分か わからない 受講率が 上がらない テーマ1:社内教育

Slide 24

Slide 24 text

#事業成長と個人情報保護両立のポイント 「明確な正解がない」というのが悩ましいところですよね 24 オンライン 主体で手応 えが無い どこまでや れば十分か わからない 受講率が 上がらない テーマ1:社内教育

Slide 25

Slide 25 text

#事業成長と個人情報保護両立のポイント 「明確な正解がない」というのが悩ましいところですよね 25 オンライン 主体で手応 えが無い 伝えた内容 が浸透しない どこまでや れば十分か わからない 受講率が 上がらない テーマ1:社内教育

Slide 26

Slide 26 text

#事業成長と個人情報保護両立のポイント 想像もしたくないと思いますが、その日は突然やってきます 26 テーマ2:インシデント対応

Slide 27

Slide 27 text

#事業成長と個人情報保護両立のポイント 想像もしたくないと思いますが、その日は突然やってきます 27 経験がなく イメージが 沸かない テーマ2:インシデント対応

Slide 28

Slide 28 text

#事業成長と個人情報保護両立のポイント 想像もしたくないと思いますが、その日は突然やってきます 28 経験がなく イメージが 沸かない PPC対応や ユーザー対応 が怖い テーマ2:インシデント対応

Slide 29

Slide 29 text

#事業成長と個人情報保護両立のポイント 想像もしたくないと思いますが、その日は突然やってきます 29 時間制限が シビアで仕事 が回らない 経験がなく イメージが 沸かない PPC対応や ユーザー対応 が怖い テーマ2:インシデント対応

Slide 30

Slide 30 text

#事業成長と個人情報保護両立のポイント 想像もしたくないと思いますが、その日は突然やってきます 30 時間制限が シビアで仕事 が回らない 炎上が怖い 経験がなく イメージが 沸かない PPC対応や ユーザー対応 が怖い テーマ2:インシデント対応

Slide 31

Slide 31 text

#事業成長と個人情報保護両立のポイント それでは早速、社内教育から入っていきましょう ◼ 1.イントロダクション ◼ 2.社内教育 ➢ 総論 ➢ 各論 ◼ 3.インシデント対応 ➢ 総論 ➢ 各論

Slide 32

Slide 32 text

#事業成長と個人情報保護両立のポイント 「総論」部分で、実運用における留意点や落とし穴について解説した上で ◼ 1.イントロダクション ◼ 2.社内教育 ➢ 総論 ➢ 各論 ◼ 3.インシデント対応 ➢ 総論 ➢ 各論

Slide 33

Slide 33 text

#事業成長と個人情報保護両立のポイント 「各論」部分で、個別の論点的な内容を解説していきます ◼ 1.イントロダクション ◼ 2.社内教育 ➢ 総論 ➢ 各論 ◼ 3.インシデント対応 ➢ 総論 ➢ 各論

Slide 34

Slide 34 text

#事業成長と個人情報保護両立のポイント まずは総論からです ◼ 1.イントロダクション ◼ 2.社内教育 ➢ 総論 ➢ 各論 ◼ 3.インシデント対応 ➢ 総論 ➢ 各論

Slide 35

Slide 35 text

#事業成長と個人情報保護両立のポイント 皆さんきっと年に何回かは、社内研修を実施されていますよね 35

Slide 36

Slide 36 text

#事業成長と個人情報保護両立のポイント これは最低限のベースラインを担保する上で、とても重要な活動です 出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ 36

Slide 37

Slide 37 text

#事業成長と個人情報保護両立のポイント これは最低限のベースラインを担保する上で、とても重要な活動です 出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ 37

Slide 38

Slide 38 text

#事業成長と個人情報保護両立のポイント が、どうでしょう…正直なところ実感としての効果のほどは? 38

Slide 39

Slide 39 text

#事業成長と個人情報保護両立のポイント どうやっても”次へ”連打からの理解度クイズ総当たりは防げませんしね 次へ 次へ 次へ 次へ 39

Slide 40

Slide 40 text

#事業成長と個人情報保護両立のポイント でもこれは、ご自身の学習経験に置き換えれば当然のことだと思うのです 40

Slide 41

Slide 41 text

#事業成長と個人情報保護両立のポイント 日常業務におけるOn the Job Trainingこそ最も効果的な教育だったのでは? 41

Slide 42

Slide 42 text

#事業成長と個人情報保護両立のポイント 【提案】事業部門との日常業務を、教育の機会として捉えなおしませんか 42

Slide 43

Slide 43 text

#事業成長と個人情報保護両立のポイント 私は、むしろ日常業務こそが「従業者の教育」の根幹だと考えています 43

Slide 44

Slide 44 text

#事業成長と個人情報保護両立のポイント 日常業務を「教育の機会」と捉える上で、私がしている工夫を共有します 社内研修 法律相談 理由説明 適法 / 妥当 理解 ① ② ③ ④ ⑤ 44

Slide 45

Slide 45 text

#事業成長と個人情報保護両立のポイント キースライドには何度でも立ち戻り、丁寧に説明しましょう 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 45

Slide 46

Slide 46 text

#事業成長と個人情報保護両立のポイント キースライドには何度でも立ち戻り、丁寧に説明しましょう 個人情報の定義 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 46

Slide 47

Slide 47 text

#事業成長と個人情報保護両立のポイント キースライドには何度でも立ち戻り、丁寧に説明しましょう 個人情報の定義 インシデント対応 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 47

Slide 48

Slide 48 text

#事業成長と個人情報保護両立のポイント キースライドには何度でも立ち戻り、丁寧に説明しましょう 個人情報の定義 インシデント対応 提供元基準 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 48

Slide 49

Slide 49 text

#事業成長と個人情報保護両立のポイント N年目 1年目の研修では、十分に理解してもらうことができなかったとしても 社内研修 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 49

Slide 50

Slide 50 text

#事業成長と個人情報保護両立のポイント N年目 N+1年目 翌年の業務経験によって、同じ研修をより深く理解できることもあります 社内研修 社内研修 業務経験 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 50

Slide 51

Slide 51 text

#事業成長と個人情報保護両立のポイント 同じ内容でもキースライドは翌年も活用し、何度でも説明しましょう 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 51

Slide 52

Slide 52 text

#事業成長と個人情報保護両立のポイント 同じ内容でもキースライドは翌年も活用し、何度でも説明しましょう 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 去年と同じで学びがない。 評価1 52

Slide 53

Slide 53 text

#事業成長と個人情報保護両立のポイント 折角作った教育資料は普段の法律相談でも活用し、実務に浸透させましょう ユーザーのメールアドレスをハッシュ化し てFacebookに送信したいのですが ケース1 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 53

Slide 54

Slide 54 text

#事業成長と個人情報保護両立のポイント 折角作った教育資料は普段の法律相談でも活用し、実務に浸透させましょう ケース1 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ (あ、混ぜるな危険のやつだ…) 54

Slide 55

Slide 55 text

#事業成長と個人情報保護両立のポイント こういうとき、結論と簡単な理由だけで済ませてしまいがちですが 同意を取得していないのでNGです ケース1 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 55

Slide 56

Slide 56 text

#事業成長と個人情報保護両立のポイント これだと、どうしても法務部門にヘイトが向きがちです (…法務に案件を潰された) ケース1 同意を取得していないのでNGです 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 56

Slide 57

Slide 57 text

#事業成長と個人情報保護両立のポイント でも、事業部門と対立するのは法であって法務部門ではないはずですよね 同意を取得していないのでNGです ケース1 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 57

Slide 58

Slide 58 text

#事業成長と個人情報保護両立のポイント 折角作った教育資料は普段の法律相談でも活用し、実務に浸透させましょう ユーザーのメールアドレスをハッシュ化し てFacebookに送信したいのですが ケース2 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 58

Slide 59

Slide 59 text

#事業成長と個人情報保護両立のポイント ケース2 ・ハッシュ化していたとしても引き続き個 人情報なんです ・個人情報(データ)を第三者提供するに は原則として同意が必要です 折角作った教育資料は普段の法律相談でも活用し、実務に浸透させましょう 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 59

Slide 60

Slide 60 text

#事業成長と個人情報保護両立のポイント ケース2 ・ハッシュ化していたとしても引き続き個 人情報なんです ・個人情報(データ)を第三者提供するに は原則として同意が必要です 個人情報の定義 のスライド 折角作った教育資料は普段の法律相談でも活用し、実務に浸透させましょう 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 60

Slide 61

Slide 61 text

#事業成長と個人情報保護両立のポイント ケース2 ・ハッシュ化していたとしても引き続き個 人情報なんです ・個人情報(データ)を第三者提供するに は原則として同意が必要です 折角作った教育資料は普段の法律相談でも活用し、実務に浸透させましょう 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 61

Slide 62

Slide 62 text

#事業成長と個人情報保護両立のポイント ケース2 ・ハッシュ化していたとしても引き続き個 人情報なんです ・個人情報(データ)を第三者提供するに は原則として同意が必要です 提供元基準 折角作った教育資料は普段の法律相談でも活用し、実務に浸透させましょう 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 62

Slide 63

Slide 63 text

#事業成長と個人情報保護両立のポイント (…そういえば研修で見たな) ケース2 提供元基準 提供元基準 折角作った教育資料は普段の法律相談でも活用し、実務に浸透させましょう 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 63

Slide 64

Slide 64 text

#事業成長と個人情報保護両立のポイント (まぁそういう法律なら仕方ないか) ケース2 提供元基準 提供元基準 折角作った教育資料は普段の法律相談でも活用し、実務に浸透させましょう 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 64

Slide 65

Slide 65 text

#事業成長と個人情報保護両立のポイント 先ほども少し言及しましたが、理由を丁寧に説明しようという話です 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 65

Slide 66

Slide 66 text

#事業成長と個人情報保護両立のポイント 法務部門は「法の代弁者」という性質も無い訳ではないですが… 結論 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 66

Slide 67

Slide 67 text

#事業成長と個人情報保護両立のポイント 事業部門には「法を攻略する為の協力者」と見てもらう方が絶対に楽です 理由 結論 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 67

Slide 68

Slide 68 text

#事業成長と個人情報保護両立のポイント 「代案を出せ」はある意味で正しく、ある意味で間違っていると感じます 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 68

Slide 69

Slide 69 text

#事業成長と個人情報保護両立のポイント 適法性についての話と妥当性についての話は分けて説明しましょう 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 69

Slide 70

Slide 70 text

#事業成長と個人情報保護両立のポイント グレーな部分は、短期と中長期で分けて対策を提案するのも良い方法です 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 70

Slide 71

Slide 71 text

#事業成長と個人情報保護両立のポイント また、ご自身の法律の理解度を上げておくことも当然重要ですよね 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 71

Slide 72

Slide 72 text

#事業成長と個人情報保護両立のポイント 自社/自業界にあてはめて説明できるレベルで理解しておくことが重要です 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 72

Slide 73

Slide 73 text

#事業成長と個人情報保護両立のポイント 他社での「事例」が事業部門に対して持つ説得力は、やはりとても高いです 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 理由 結論 事例 73

Slide 74

Slide 74 text

#事業成長と個人情報保護両立のポイント 「事例」をまとめて解説した本を出しますのでご期待ください 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 出所:https://amzn.asia/d/fxfkExd 74

Slide 75

Slide 75 text

#事業成長と個人情報保護両立のポイント 続いて、社内教育の具体的な内容に話を移します ◼ 1.イントロダクション ◼ 2.社内教育 ➢ 総論 ➢ 各論 ◼ 3.インシデント対応 ➢ ケース演習 ➢ 落とし穴 ➢ 時間を巻き戻せるなら

Slide 76

Slide 76 text

#事業成長と個人情報保護両立のポイント 日常業務で典型的に出てくるケースについて、ポイントを絞って説明します 個人情報の定義 海外SaaS / AI 委託データの分析 混ぜるな危険 チェックシート ① ② ③ ④ ⑤ 76

Slide 77

Slide 77 text

#事業成長と個人情報保護両立のポイント 日常用語の感覚から来る「個人情報」の定義の壁は本っ当に高いです 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 77

Slide 78

Slide 78 text

#事業成長と個人情報保護両立のポイント 日常用語の感覚から来る「個人情報」の定義の壁は本っ当に高いです 氏名や住所のことですよね 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 78

Slide 79

Slide 79 text

#事業成長と個人情報保護両立のポイント 日常用語の感覚から来る「個人情報」の定義の壁は本っ当に高いです 氏名や住所のことですよね 個人情報(=氏名や住所) は含まれていません 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 79

Slide 80

Slide 80 text

#事業成長と個人情報保護両立のポイント 転職が当たり前になった現代では従業員の入れ替わりも定期的に発生します 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 教育 教育 80

Slide 81

Slide 81 text

#事業成長と個人情報保護両立のポイント 「自社を用いた具体例で」 「何度でも」説明しましょう 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを いう。 一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 81

Slide 82

Slide 82 text

#事業成長と個人情報保護両立のポイント 「自社を用いた具体例で」 「何度でも」説明しましょう 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを いう。 一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 82

Slide 83

Slide 83 text

#事業成長と個人情報保護両立のポイント 「自社を用いた具体例で」 「何度でも」説明しましょう 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを いう。 一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 83 出所:https://form.run/@r-recruit-1656055372

Slide 84

Slide 84 text

#事業成長と個人情報保護両立のポイント 「自社を用いた具体例で」 「何度でも」説明しましょう 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを いう。 一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 当該情報 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 84

Slide 85

Slide 85 text

#事業成長と個人情報保護両立のポイント 「自社を用いた具体例で」 「何度でも」説明しましょう 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを いう。 一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 含まれる氏名、生年月日その他の記述等 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 85

Slide 86

Slide 86 text

#事業成長と個人情報保護両立のポイント 「自社を用いた具体例で」 「何度でも」説明しましょう 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを いう。 一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) ここが個人情報な訳ではなく 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 86

Slide 87

Slide 87 text

#事業成長と個人情報保護両立のポイント 「自社を用いた具体例で」 「何度でも」説明しましょう 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを いう。 一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) こちらが個人情報 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 87

Slide 88

Slide 88 text

#事業成長と個人情報保護両立のポイント 「自社を用いた具体例で」 「何度でも」説明しましょう ユーザーID 電話番号 氏名 メールアドレス 00001 00002 ユーザーID Aサービス 利用履歴情報 00001 00002 ユーザー登録情報 利用履歴情報 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを いう。 一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 88

Slide 89

Slide 89 text

#事業成長と個人情報保護両立のポイント 「自社を用いた具体例で」 「何度でも」説明しましょう ユーザーID 電話番号 氏名 メールアドレス 00001 00002 ユーザーID Aサービス 利用履歴情報 00001 00002 ユーザー登録情報 利用履歴情報 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを いう。 一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 89

Slide 90

Slide 90 text

#事業成長と個人情報保護両立のポイント 「自社を用いた具体例で」 「何度でも」説明しましょう ユーザーID 電話番号 氏名 メールアドレス 00001 00002 ユーザーID Aサービス 利用履歴情報 00001 00002 ユーザー登録情報 利用履歴情報 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを いう。 一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 90

Slide 91

Slide 91 text

#事業成長と個人情報保護両立のポイント 「自社を用いた具体例で」 「何度でも」説明しましょう ユーザーID 電話番号 氏名 メールアドレス 00001 00002 ユーザーID Aサービス 利用履歴情報 00001 00002 ユーザー登録情報 利用履歴情報 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを いう。 一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 91

Slide 92

Slide 92 text

#事業成長と個人情報保護両立のポイント 「自社を用いた具体例で」 「何度でも」説明しましょう ユーザーID 電話番号 氏名 メールアドレス 00001 00002 ユーザーID Aサービス 利用履歴情報 00001 00002 ユーザー登録情報 利用履歴情報 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを いう。 一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) IDで容易に照合 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 92

Slide 93

Slide 93 text

#事業成長と個人情報保護両立のポイント 「自社を用いた具体例で」 「何度でも」説明しましょう ユーザーID 電話番号 氏名 メールアドレス 00001 00002 ユーザーID Aサービス 利用履歴情報 00001 00002 ユーザー登録情報 利用履歴情報 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを いう。 一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ こちらだけでなく 93

Slide 94

Slide 94 text

#事業成長と個人情報保護両立のポイント 「自社を用いた具体例で」 「何度でも」説明しましょう ユーザーID 電話番号 氏名 メールアドレス 00001 00002 ユーザーID Aサービス 利用履歴情報 00001 00002 ユーザー登録情報 利用履歴情報 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを いう。 一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ こちらも個人情報 94

Slide 95

Slide 95 text

#事業成長と個人情報保護両立のポイント 海外SaaSやAIを使いたいという相談は、定期的に来ますよね 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 95

Slide 96

Slide 96 text

#事業成長と個人情報保護両立のポイント 従業員がSaaS等を報告せずに使用してしまう問題をシャドーITと呼びますが 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 96

Slide 97

Slide 97 text

#事業成長と個人情報保護両立のポイント 個人情報の定義が浸透していないと、意図せず同じことが起こります 個人情報(氏名や住所) は送信しません 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 97

Slide 98

Slide 98 text

#事業成長と個人情報保護両立のポイント 利用時には、主としてこれら2つの観点からのチェックを行うのが通例です 委託先の監督(25条) 基準適合体制(28条) 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 98 出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/, https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/

Slide 99

Slide 99 text

#事業成長と個人情報保護両立のポイント 委託は「委託元の利用目的の達成に必要な範囲内」で行われるものですよね 出所: 委託元 委託先 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 99

Slide 100

Slide 100 text

#事業成長と個人情報保護両立のポイント 委託は「委託元の利用目的の達成に必要な範囲内」で行われるものですよね 委託元 委託先 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 100 出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/

Slide 101

Slide 101 text

#事業成長と個人情報保護両立のポイント よって、委託先では「委託された業務の範囲内でのみ」取扱いが許されます 出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-38 委託元 委託先 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 101

Slide 102

Slide 102 text

#事業成長と個人情報保護両立のポイント 委託先は、委託された業務の範囲外で加工することはできません 出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-38 委託元 委託先 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 102

Slide 103

Slide 103 text

#事業成長と個人情報保護両立のポイント 他方で、委託された業務の範囲内なのであれば… 出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-39 委託元 委託先 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 103

Slide 104

Slide 104 text

#事業成長と個人情報保護両立のポイント 自社の分析技術の改善等に利用することができます 出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-39 委託元 委託先 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 104

Slide 105

Slide 105 text

#事業成長と個人情報保護両立のポイント こうなると、気になるのはどこまでが利用目的の達成に必要な範囲内かです 既存機能の改善? 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 105

Slide 106

Slide 106 text

#事業成長と個人情報保護両立のポイント 委託元に提供しているプロダクトの、新機能の開発はどうでしょうか? 既存機能の改善? 新機能の開発? 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 106

Slide 107

Slide 107 text

#事業成長と個人情報保護両立のポイント さらに進んで、委託元が潜在ユーザーである別プロダクトの開発は? 既存機能の改善? 新機能の開発? 別プロダクトの開発? 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 107

Slide 108

Slide 108 text

#事業成長と個人情報保護両立のポイント 新機能の開発までが、適法性を説明しやすい限界ラインかなと考えています 既存機能の改善 新機能の開発 別プロダクトの開発 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 108

Slide 109

Slide 109 text

#事業成長と個人情報保護両立のポイント 一般に「混ぜるな危険」と呼ばれている論点の話をしましょう 出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-41 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 109

Slide 110

Slide 110 text

#事業成長と個人情報保護両立のポイント 解決方法が2つ示されています 出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-41 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 110

Slide 111

Slide 111 text

#事業成長と個人情報保護両立のポイント ひとつめは第三者提供と整理した上で、提供元で同意を取得するパターン 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 解決方法① 111

Slide 112

Slide 112 text

#事業成長と個人情報保護両立のポイント ひとつめは第三者提供と整理した上で、提供元で同意を取得するパターン 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 提供 自社 (提供元) 他社 (提供先) 個人データ 同意取得 解決方法① 112

Slide 113

Slide 113 text

#事業成長と個人情報保護両立のポイント ひとつめは第三者提供と整理した上で、提供元で同意を取得するパターン 出所:https://www.coca-cola.com/jp/ja/legal/privacy-policy 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 解決方法① 113

Slide 114

Slide 114 text

#事業成長と個人情報保護両立のポイント ふたつめは委託と整理した上で、提供先で同意を取得するパターンです 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 解決方法② 114

Slide 115

Slide 115 text

#事業成長と個人情報保護両立のポイント ふたつめは委託と整理した上で、提供先で同意を取得するパターンです 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 提供 個人データ 同意取得 解決方法② 自社 (委託元) 他社 (委託先) 115

Slide 116

Slide 116 text

#事業成長と個人情報保護両立のポイント ふたつめは委託と整理した上で、提供先で同意を取得するパターンです 出所:https://policies.google.com/privacy?hl=ja%22+%5Cl+%22footnote-other-sites#footnote-link-info 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 解決方法② 116

Slide 117

Slide 117 text

#事業成長と個人情報保護両立のポイント でも、今までプラットフォーマーから再同意取られたことってあったっけ? 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 疑問① 117

Slide 118

Slide 118 text

#事業成長と個人情報保護両立のポイント 渡したデータって、本当に委託の範囲でしか使われないんだっけ? 既存機能の改善? 新機能の開発 別プロダクトの開発 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 疑問② 118

Slide 119

Slide 119 text

#事業成長と個人情報保護両立のポイント 本当に委託でいけるかは、リスク踏まえて判断すべきことだと思います 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 結論 119

Slide 120

Slide 120 text

#事業成長と個人情報保護両立のポイント SaaS事業者の皆さんはチェックシートの記入依頼を受けることありますよね 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 120

Slide 121

Slide 121 text

#事業成長と個人情報保護両立のポイント とりわけ金融業界では、チェックシートの量が膨大になりがちです 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 121

Slide 122

Slide 122 text

#事業成長と個人情報保護両立のポイント 作業負担を軽減したいのなら、事前に自社で用意してしまうのが良いです チェックシート DPA 出所:https://www.sakura.ad.jp/corporate/wp-content/themes/sakura-corporate/assets/pdf/security_checksheet.pdf https://cloud.google.com/terms/data-processing-addendum?hl=ja 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 122

Slide 123

Slide 123 text

#事業成長と個人情報保護両立のポイント それでもチェックシート記入を要求された場合には… チェックシート 出所:https://bcart.jp/faq/detail/276/ 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤ 123

Slide 124

Slide 124 text

#事業成長と個人情報保護両立のポイント 続いて大きなテーマの2つ目、インシデント対応に入ります ◼ 1.イントロダクション ◼ 2.社内教育 ➢ 総論 ➢ 各論 ◼ 3.インシデント対応 ➢ 総論 ➢ 各論

Slide 125

Slide 125 text

#事業成長と個人情報保護両立のポイント まずは総論として、実務上のあるあるを見てみましょう ◼ 1.イントロダクション ◼ 2.社内教育 ➢ 総論 ➢ 各論 ◼ 3.インシデント対応 ➢ 総論 ➢ 各論

Slide 126

Slide 126 text

#事業成長と個人情報保護両立のポイント インシデント対応におけるマイルストーンとして 126

Slide 127

Slide 127 text

#事業成長と個人情報保護両立のポイント 漏えい等の発覚と 発覚 127

Slide 128

Slide 128 text

#事業成長と個人情報保護両立のポイント 3-5日以内における速報の実施 発覚 速報 128

Slide 129

Slide 129 text

#事業成長と個人情報保護両立のポイント そして原則30日以内における確報や、通知・公表があります 発覚 速報 確報・通知・公表 129

Slide 130

Slide 130 text

#事業成長と個人情報保護両立のポイント ここで、実務上の「あるある」な落とし穴をみていきます 発覚 速報 確報・通知・公表 130

Slide 131

Slide 131 text

#事業成長と個人情報保護両立のポイント ここで、実務上の「あるある」な落とし穴をみていきます 発覚 速報 ①個人情報は 漏れていません 確報・通知・公表 131

Slide 132

Slide 132 text

#事業成長と個人情報保護両立のポイント ここで、実務上の「あるある」な落とし穴をみていきます 発覚 速報 ①個人情報は 漏れていません ②これ本当に報告 しなきゃいけないの 確報・通知・公表 132

Slide 133

Slide 133 text

#事業成長と個人情報保護両立のポイント ここで、実務上の「あるある」な落とし穴をみていきます 発覚 速報 ①個人情報は 漏れていません ②これ本当に報告 しなきゃいけないの ③被害の全体像 がわからない 確報・通知・公表 133

Slide 134

Slide 134 text

#事業成長と個人情報保護両立のポイント ここで、実務上の「あるある」な落とし穴をみていきます 発覚 速報 ①個人情報は 漏れていません ②これ本当に報告 しなきゃいけないの ③被害の全体像 がわからない ④技術部門の説明 がわからない 確報・通知・公表 134

Slide 135

Slide 135 text

#事業成長と個人情報保護両立のポイント ここで、実務上の「あるある」な落とし穴をみていきます 発覚 速報 ①個人情報は 漏れていません ②これ本当に報告 しなきゃいけないの ③被害の全体像 がわからない ④技術部門の説明 がわからない ⑤これ誰が報告 するの 確報・通知・公表 135

Slide 136

Slide 136 text

#事業成長と個人情報保護両立のポイント ここで、実務上の「あるある」な落とし穴をみていきます 発覚 速報 ①個人情報は 漏れていません ②これ本当に報告 しなきゃいけないの ③被害の全体像 がわからない ④技術部門の説明 がわからない ⑤これ誰が報告 するの 確報・通知・公表 ⑥そんな話は 私は聞いていない 136

Slide 137

Slide 137 text

#事業成長と個人情報保護両立のポイント 先ほどご紹介した落とし穴を順番に解説していきます ◼ 1.イントロダクション ◼ 2.社内教育 ➢ 総論 ➢ 各論 ◼ 3.インシデント対応 ➢ 総論 • 落とし穴 • 時間を巻き戻せるなら ➢ 各論

Slide 138

Slide 138 text

#事業成長と個人情報保護両立のポイント 「個人情報は漏れていません」 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 138

Slide 139

Slide 139 text

#事業成長と個人情報保護両立のポイント 「これ本当に報告しなきゃいけないの」 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 139

Slide 140

Slide 140 text

#事業成長と個人情報保護両立のポイント 被害の全体像がわからない 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 140

Slide 141

Slide 141 text

#事業成長と個人情報保護両立のポイント 技術部門の説明が理解できない 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 141

Slide 142

Slide 142 text

#事業成長と個人情報保護両立のポイント 「これ誰が報告するの」 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 142

Slide 143

Slide 143 text

#事業成長と個人情報保護両立のポイント 「これ誰が報告するの」 委託 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 143

Slide 144

Slide 144 text

#事業成長と個人情報保護両立のポイント 「これ誰が報告するの」 委託 共同利用 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 144

Slide 145

Slide 145 text

#事業成長と個人情報保護両立のポイント 「そんな話は私は聞いていない」 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 145

Slide 146

Slide 146 text

#事業成長と個人情報保護両立のポイント それでは、時間を巻き戻せるならどうすれば良いかを考えてみます ◼ 1.イントロダクション ◼ 2.社内教育 ➢ 総論 ➢ 各論 ◼ 3.インシデント対応 ➢ 総論 • 落とし穴 • 時間を巻き戻せるなら ➢ 各論

Slide 147

Slide 147 text

#事業成長と個人情報保護両立のポイント 「個人情報は漏れていません」 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 147

Slide 148

Slide 148 text

#事業成長と個人情報保護両立のポイント やはり普段から個人情報の定義の浸透を図っておくことが重要です 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 148

Slide 149

Slide 149 text

#事業成長と個人情報保護両立のポイント 「これ本当に報告しなきゃいけないの」 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 149

Slide 150

Slide 150 text

#事業成長と個人情報保護両立のポイント インシデント対応訓練で「報告」を現実感を持って認識してもらいましょう 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 150

Slide 151

Slide 151 text

#事業成長と個人情報保護両立のポイント 被害の全体像がわからない 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 151

Slide 152

Slide 152 text

#事業成長と個人情報保護両立のポイント 平時のうちに、サービスの全体像と担当者を把握しておきたいです 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 152

Slide 153

Slide 153 text

#事業成長と個人情報保護両立のポイント 技術部門の説明が理解できない 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 153

Slide 154

Slide 154 text

#事業成長と個人情報保護両立のポイント 技術系の資格試験で勉強してみるのはいかがでしょうか 出所:https://www.ipa.go.jp/shiken/kubun/sg/about.html 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 154

Slide 155

Slide 155 text

#事業成長と個人情報保護両立のポイント 「これ誰が報告するの」 委託 共同利用 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 155

Slide 156

Slide 156 text

#事業成長と個人情報保護両立のポイント データフローを把握しておきましょう 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 156

Slide 157

Slide 157 text

#事業成長と個人情報保護両立のポイント 「そんな話は私は聞いていない」 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 157

Slide 158

Slide 158 text

#事業成長と個人情報保護両立のポイント 時間枠を抑えて定例会議を設けてしまい、関係者に情報共有しましょう 個人情報の定義 報告要否 ① ② 被害の全体像 技術理解 ③ ④ 報告主体 社内連携 ⑤ ⑥ 158

Slide 159

Slide 159 text

#事業成長と個人情報保護両立のポイント 続いて各論です ◼ 1.イントロダクション ◼ 2.社内教育 ➢ 総論 ➢ 各論 ◼ 3.インシデント対応 ➢ 総論 ➢ 各論

Slide 160

Slide 160 text

#事業成長と個人情報保護両立のポイント 今日は最後に、インシデント対応における論点を拾って終わりましょう 漏えいの定義 提供との区別 本人の数 発生したおそれ 報告 ① ② ③ ④ ⑤ 160

Slide 161

Slide 161 text

#事業成長と個人情報保護両立のポイント 「漏えい」の定義は読んだことがあると思いますが 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 161 出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-1

Slide 162

Slide 162 text

#事業成長と個人情報保護両立のポイント 例えばこんなケースは「漏えい」に該当するでしょうか 設定ミスにより、ユーザーの情報が意図せず公開され、 Googleにクローリングされて検索可能な状態になってしまったが、 それ以上のアクセスは確認されていない 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 162

Slide 163

Slide 163 text

#事業成長と個人情報保護両立のポイント これは漏えいに該当します 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 163

Slide 164

Slide 164 text

#事業成長と個人情報保護両立のポイント 「漏えい」と「違法な第三者提供」の違いも、最近クローズアップされます 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 164

Slide 165

Slide 165 text

#事業成長と個人情報保護両立のポイント 「漏えい」と「違法な第三者提供」の違いも、最近クローズアップされます 出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-1 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 165

Slide 166

Slide 166 text

#事業成長と個人情報保護両立のポイント 「漏えい」と「違法な第三者提供」の違いも、最近クローズアップされます 実務問答 個人情報保護法 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 166 出所:https://www.shojihomu.co.jp/publishing/subscription_now?category=2&sub_category=7

Slide 167

Slide 167 text

#事業成長と個人情報保護両立のポイント 「漏えい」と「違法な第三者提供」の違いも、最近クローズアップされます 出所:https://www.ppc.go.jp/news/press/2024/240627_02/ いわゆる3年ごと見直しに係る検討の中間整理 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 167

Slide 168

Slide 168 text

#事業成長と個人情報保護両立のポイント 現行法でも「意図に基づく」かは主観と客観から判断するべきだと思います 出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-1 これは仕様です! 意図に基づいています! 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 168

Slide 169

Slide 169 text

#事業成長と個人情報保護両立のポイント 漏えい等に該当する場合、別途規則7条の下で報告要否の判断が必要ですが 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 169

Slide 170

Slide 170 text

#事業成長と個人情報保護両立のポイント 漏えい等に該当する場合、別途規則7条の下で報告要否の判断が必要ですが 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 170

Slide 171

Slide 171 text

#事業成長と個人情報保護両立のポイント 漏えい等に該当する場合、別途規則7条の下で報告要否の判断が必要ですが 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 171

Slide 172

Slide 172 text

#事業成長と個人情報保護両立のポイント 4番目の要件は「千件」ではなく「千人」であることに注意です 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 172

Slide 173

Slide 173 text

#事業成長と個人情報保護両立のポイント 社内ともPPCとも揉めがちな「発生したおそれがある事態」って? 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 173

Slide 174

Slide 174 text

#事業成長と個人情報保護両立のポイント 中身があるようでない定義に悩まされます 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 174

Slide 175

Slide 175 text

#事業成長と個人情報保護両立のポイント ここまできて不安になった方もおられると思いますが、サンプルがあります 出所:https://www.ppc.go.jp/personalinfo/legal/leakAction/ 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 175

Slide 176

Slide 176 text

#事業成長と個人情報保護両立のポイント ここまできて不安になった方もおられると思いますが、サンプルがあります 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 176

Slide 177

Slide 177 text

#事業成長と個人情報保護両立のポイント もちろんご相談いただければフルサポートいたします 出所:https://www.leact.law/service/incident 漏えいの定義 提供との区別 ① ② 本人の数 発生したおそれ ③ ④ 報告 ⑤ 177

Slide 178

Slide 178 text

#事業成長と個人情報保護両立のポイント ご清聴いただきありがとうございました! 世古修平(せこしゅうへい) Website(事務所) :https://www.leact.law/ Website(個人) :https://www.seko-law.info/ X(旧Twitter) :@seko_law Mail :[email protected] 178

Slide 179

Slide 179 text

#事業成長と個人情報保護両立のポイント 【おまけ①】ハッシュ化と個人情報

Slide 180

Slide 180 text

#事業成長と個人情報保護両立のポイント 今日はハッシュ化をしても引き続き個人情報ですよ、という話をします * Q&Aは匿名加工情報の話ですが、「匿名加工情報」を「ハッシュ化データ」と読み替えてみてください ハッシュ化データと容易照合性* 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q15-14

Slide 181

Slide 181 text

#事業成長と個人情報保護両立のポイント 個人に関する情報を、個人情報と非個人情報に分けたときに ハッシュ化データと容易照合性* 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 個人に関する情報 個人情報 非個人情報

Slide 182

Slide 182 text

#事業成長と個人情報保護両立のポイント 非個人情報の特別な類型として、匿名加工情報があります ハッシュ化データと容易照合性* 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 個人に関する情報 個人情報 非個人情報 匿名加工情報

Slide 183

Slide 183 text

#事業成長と個人情報保護両立のポイント 先ほどのQ&Aは、この匿名加工情報を作るときの説明でしたが ハッシュ化データと容易照合性* 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 個人に関する情報 個人情報 非個人情報 匿名加工情報

Slide 184

Slide 184 text

#事業成長と個人情報保護両立のポイント 当該議論は、匿名加工情報ではない非個人情報を作る時にも妥当します ハッシュ化データと容易照合性* 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 個人に関する情報 個人情報 非個人情報 匿名加工情報

Slide 185

Slide 185 text

#事業成長と個人情報保護両立のポイント まずはそもそも、なぜ仮IDの対応表が問題になるのかの説明から入ります * Q&Aは匿名加工情報の話ですが、「匿名加工情報」を「ハッシュ化データ」と読み替えてみてください ハッシュ化データと容易照合性* 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q15-14

Slide 186

Slide 186 text

#事業成長と個人情報保護両立のポイント まず、氏名とそれに紐づいた利用履歴情報は当然個人情報に該当します ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 氏名 利用履歴情報 山田太郎 XXXXXX 田中次郎 YYYYYY 個人情報

Slide 187

Slide 187 text

#事業成長と個人情報保護両立のポイント そして、この「氏名」をハッシュ化するなどして仮IDに置き換えたら ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 氏名 利用履歴情報 山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 個人情報 氏名をハッシュ化して仮IDに

Slide 188

Slide 188 text

#事業成長と個人情報保護両立のポイント こっちの情報は、ひょっとして非個人情報になりますか?という話です ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 氏名 利用履歴情報 山田太郎 XXXXXX 田中次郎 YYYYYY 個人情報 非個人情報?

Slide 189

Slide 189 text

#事業成長と個人情報保護両立のポイント ハッシュ化は、入力情報を別のランダムなデータに変換する関数・機構です ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 氏名 山田太郎 田中次郎 仮ID gfaw42 fa923fd

Slide 190

Slide 190 text

#事業成長と個人情報保護両立のポイント ハッシュ化後データをハッシュ関数に入れても元データには戻りません ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 氏名 山田太郎 田中次郎 仮ID gfaw42 fa923fd

Slide 191

Slide 191 text

#事業成長と個人情報保護両立のポイント しかし、入力が同じなら「今日の出力」と「明日の出力」は同じになります 2024/10/17 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 氏名 山田太郎 田中次郎 仮ID gfaw42 fa923fd 2024/10/18 氏名 山田太郎 田中次郎 仮ID gfaw42 fa923fd

Slide 192

Slide 192 text

#事業成長と個人情報保護両立のポイント そして、仮IDの対応表を破棄する必要がありますか?という議論ですが * Q&Aは匿名加工情報の話ですが、「匿名加工情報」を「ハッシュ化データ」と読み替えてみてください ハッシュ化データと容易照合性* 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q15-14

Slide 193

Slide 193 text

#事業成長と個人情報保護両立のポイント 絵で表すとこのような話です ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 氏名 仮ID 山田太郎 abcde 山田次郎 fghij 氏名 利用履歴情報 山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 個人情報 非個人情報? 対応表

Slide 194

Slide 194 text

#事業成長と個人情報保護両立のポイント 対応表は「破棄する必要がある」というのがQ&Aの答えでした * Q&Aは匿名加工情報の話ですが、「匿名加工情報」を「ハッシュ化データ」と読み替えてみてください ハッシュ化データと容易照合性* 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q15-14

Slide 195

Slide 195 text

#事業成長と個人情報保護両立のポイント なぜなら、左のテーブルから対応表を容易に照合することができますし ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 氏名 仮ID 山田太郎 abcde 山田次郎 fghij 氏名 利用履歴情報 山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 個人情報 非個人情報? 対応表

Slide 196

Slide 196 text

#事業成長と個人情報保護両立のポイント 対応表から、右のテーブルも容易に照合することができてしまいます ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 氏名 仮ID 山田太郎 abcde 山田次郎 fghij 氏名 利用履歴情報 山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 個人情報 非個人情報? 対応表

Slide 197

Slide 197 text

#事業成長と個人情報保護両立のポイント よって、対応表を削除しないと用意照合性を排除することができません ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 氏名 仮ID 山田太郎 abcde 山田次郎 fghij 氏名 利用履歴情報 山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 個人情報 非個人情報? 個人情報

Slide 198

Slide 198 text

#事業成長と個人情報保護両立のポイント 続いて後半、「乱数等のパラメータ」は破棄する必要があるでしょうか 出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q15-14 ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤

Slide 199

Slide 199 text

#事業成長と個人情報保護両立のポイント 先ほどまでの検討結果から、対応表が残っているとよくないので ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 氏名 仮ID 山田太郎 abcde 山田次郎 fghij 氏名 利用履歴情報 山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 個人情報 非個人情報? 対応表

Slide 200

Slide 200 text

#事業成長と個人情報保護両立のポイント 対応表は破棄することにしました ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 氏名 仮ID 山田太郎 abcde 山田次郎 fghij 氏名 利用履歴情報 山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 個人情報 非個人情報? 対応表

Slide 201

Slide 201 text

#事業成長と個人情報保護両立のポイント 対応表の元になった「乱数等のパラメータ」は残していいかという問いです ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 氏名 仮ID 山田太郎 abcde 山田次郎 fghij 氏名 利用履歴情報 山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 個人情報 非個人情報?

Slide 202

Slide 202 text

#事業成長と個人情報保護両立のポイント そして、Q&Aの答えは「破棄する必要があります」というものです 出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q15-14 ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤

Slide 203

Slide 203 text

#事業成長と個人情報保護両立のポイント 何故なら、 「乱数等のパラメータ」を残しているのであれば ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 氏名 利用履歴情報 山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 個人情報 非個人情報?

Slide 204

Slide 204 text

#事業成長と個人情報保護両立のポイント それは対応表を残していることと実質的には変わりませんよね ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤ 氏名 利用履歴情報 山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 個人情報 氏名 仮ID 山田太郎 abcde 山田次郎 fghij 非個人情報? 個人情報

Slide 205

Slide 205 text

#事業成長と個人情報保護両立のポイント よって、非個人情報にしたいのであれば破棄する必要があります 出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q15-14 ハッシュ化データと容易照合性 社内研修 法律相談 ① ② 理由説明 適法/妥当 ③ ④ 理解 ⑤

Slide 206

Slide 206 text

#事業成長と個人情報保護両立のポイント 【おまけ②】カスタマーマッチの仕組み

Slide 207

Slide 207 text

#事業成長と個人情報保護両立のポイント まず自社で保有する、ユーザーのメールアドレス等をハッシュ化します 207 自社 個人情報 データベース等 ハッシュ化 個人データ 【凡例】 :メールアドレスなど :ハッシュ化したメールアドレスなど :ターゲットユーザーの情報 カスタマーマッチの仕組み 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤

Slide 208

Slide 208 text

#事業成長と個人情報保護両立のポイント ハッシュ化した個人データを、他社に提供します 208 提供 自社 他社 (プラットフォーマー) 個人情報 データベース等 ハッシュ化 個人データ 【凡例】 :メールアドレスなど :ハッシュ化したメールアドレスなど :ターゲットユーザーの情報 カスタマーマッチの仕組み 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤

Slide 209

Slide 209 text

#事業成長と個人情報保護両立のポイント 他社は、受け取った個人データを、個人情報データベース等にぶつけます 209 提供 自社 他社 (プラットフォーマー) 個人情報 データベース等 個人情報 データベース等 ハッシュ化 個人データ 【凡例】 :メールアドレスなど :ハッシュ化したメールアドレスなど :ターゲットユーザーの情報 カスタマーマッチの仕組み 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤

Slide 210

Slide 210 text

#事業成長と個人情報保護両立のポイント 浮かび上がったターゲットユーザーに対して効率的に広告等を配信できます 210 提供 広告配信 自社 他社 (プラットフォーマー) 個人情報 データベース等 個人情報 データベース等 ハッシュ化 個人データ 個人情報 データベース等 他社 (広告ネットワーク) 【凡例】 :メールアドレスなど :ハッシュ化したメールアドレスなど :ターゲットユーザーの情報 カスタマーマッチの仕組み 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤

Slide 211

Slide 211 text

#事業成長と個人情報保護両立のポイント ここでいう提供が、委託ですか?第三者提供ですか?という議論でした 211 他社 (プラットフォーマー) 【凡例】 :メールアドレスなど :ハッシュ化したメールアドレスなど :ターゲットユーザーの情報 「混ぜるな危険」って何だっけ 提供 自社 個人情報 データベース等 ハッシュ化 個人データ 個人情報の定義 海外SaaS / AI ① ② 委託データの分析 混ぜるな危険 ③ ④ チェックシート ⑤