Share
Embed
Slide 1
Slide 1 text
##基礎から学び直す個情法と最新実務対応
【弁護士向け】基礎から学び直す
個人情報保護法と最新の実務対応
2025.3.17 於 GVA TECH株式会社
Slide 2
Slide 2 text
##基礎から学び直す個情法と最新実務対応
「インターネット企業」 と「法律事務所LEACT」で兼業をしています
2
世古 修平(せこ しゅうへい)
◼ インターネット企業(インハウス・正社員)
◼ 法律事務所LEACT(弁護士 66期)
◼ IPA 独立行政法人 情報処理推進機構(試験委員)
◼ 経済産業省(電子商取引及び情報財取
引等に関する準則 研究会委員)
Slide 3
Slide 3 text
##基礎から学び直す個情法と最新実務対応
【@ インターネット企業】
法務部門ではなく、プライバシー部門でインハウスとして働いています
3
投影のみ
Slide 4
Slide 4 text
##基礎から学び直す個情法と最新実務対応
【@ 法律事務所LEACT】
企業の法務部と、事務所の弁護士の先生方にサービスを提供しています
4
法務部向けサービス 弁護士向けサービス
出所:https://www.leact.law/
Slide 5
Slide 5 text
##基礎から学び直す個情法と最新実務対応
【近刊】
先月、シティライツ法律事務所の伊藤先生・倉﨑先生と本を出しました
5
出所:https://www.daiichihoki.co.jp/store/products/detail/105046.html
Slide 6
Slide 6 text
##基礎から学び直す個情法と最新実務対応
感想はぜひ、随時X(旧Twitter)でハッシュタグを付けて教えてください
6
#基礎から学び直す個情法と最新実務対応
Slide 7
Slide 7 text
##基礎から学び直す個情法と最新実務対応
そういえば、2025年からデスクに設置している画面が少し増えました
7
Slide 8
Slide 8 text
##基礎から学び直す個情法と最新実務対応
本日はお忙しい中、本セミナーにご参加いただきありがとうございます
8
Slide 9
Slide 9 text
##基礎から学び直す個情法と最新実務対応
本日のセミナーは、二弁でご好評いただいた研修のダイジェスト版です
9
Slide 10
Slide 10 text
##基礎から学び直す個情法と最新実務対応
私が今年、この研修の講師に呼んでいただいた理由は何だろう?
10
過去の講師陣
Slide 11
Slide 11 text
##基礎から学び直す個情法と最新実務対応
私が今年、この研修の講師に呼んでいただいた理由は何だろう?
11
過去の講師陣
Slide 12
Slide 12 text
##基礎から学び直す個情法と最新実務対応
きっと、よりベーシックな部分のわかりやすさが求められているんだろう
12
公開している過去セミナー資料
出所:https://speakerdeck.com/seko_shuhei
Slide 13
Slide 13 text
##基礎から学び直す個情法と最新実務対応
わかりやすさ・企業内実務の生っぽさに振り切ってお届けしようと思います
13
Slide 14
Slide 14 text
##基礎から学び直す個情法と最新実務対応
わかりやすさ・企業内実務の生っぽさに振り切ってお届けしようと思います
14
Slide 15
Slide 15 text
##基礎から学び直す個情法と最新実務対応
わかりやすさ・企業内実務の生っぽさに振り切ってお届けしようと思います
15
Slide 16
Slide 16 text
##基礎から学び直す個情法と最新実務対応
ここからの内容は、講師(世古)が普段の研修で用いている内容を含みます
16
◼ 「基礎から振り返る個人情報保護法の実務対応」とはいえ、
弁護士の皆さん相手には少し簡単すぎるかもしれません
◼ 簡単だなと感じた場合
➢ 顧問先・勤務先で自分が研修をするとしたら…といった視
点で見ていただけると嬉しいです
➢ 非法律家向けの説明では一定の単純化もしています
◼ 難しいなと感じた場合
➢ 個人情報保護法は難しく不親切な法律だと思います
➢ ぜひ資料も復習いただき理解を深めてください
Slide 17
Slide 17 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 18
Slide 18 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 19
Slide 19 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 20
Slide 20 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 21
Slide 21 text
##基礎から学び直す個情法と最新実務対応
個人情報保護法が難しい理由は、大きく4つあると考えています
21
日常用語との乖離
1
技術理解の必要性
2
余白の広さ
3
裁判例の少なさ
4
Slide 22
Slide 22 text
##基礎から学び直す個情法と最新実務対応
【理由①】日常用語との乖離がある
22
日常用語
技術理解
①
②
余白
裁判例
③
④
Slide 23
Slide 23 text
##基礎から学び直す個情法と最新実務対応
日常用語として使う「個人情報」との間で定義に差異があるために
23
日常用語
技術理解
①
②
余白
裁判例
③
④
氏名や住所のことですよね
Slide 24
Slide 24 text
##基礎から学び直す個情法と最新実務対応
非法律家の方の、このような誤解を防ぎ切ることが難しいと感じます
氏名や住所のことですよね
個人情報(=氏名や住所)
は含まれていません
24
日常用語
技術理解
①
②
余白
裁判例
③
④
Slide 25
Slide 25 text
##基礎から学び直す個情法と最新実務対応
【理由②】技術理解が求められる
25
日常用語
技術理解
①
②
余白
裁判例
③
④
Slide 26
Slide 26 text
##基礎から学び直す個情法と最新実務対応
とりわけ「データベース」についての理解は、この法律の根幹に関わります
26
出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-6
日常用語
技術理解
①
②
余白
裁判例
③
④
Slide 27
Slide 27 text
##基礎から学び直す個情法と最新実務対応
【ご参考】
この辺りの本は、技術の初学者にもわかりやすくてお勧めです
27
出所:https://amzn.asia/d/gn7mqLf, https://amzn.asia/d/2FLEJ7j
Web一般 データベース
日常用語
技術理解
①
②
余白
裁判例
③
④
Slide 28
Slide 28 text
##基礎から学び直す個情法と最新実務対応
広告領域では、この技術理解を前提にビジネスを理解することになります
28
Cookie
出所:https://www.ebis.ne.jp/column/conversion-api-tools/, https://bruceclay.jpn.com/column/customer-match/
https://www.lycbiz.com/jp/column/yahoo-ads/marketing/cookiecookie-ads/
日常用語
技術理解
①
②
余白
裁判例
③
④
Slide 29
Slide 29 text
##基礎から学び直す個情法と最新実務対応
広告領域では、この技術理解を前提にビジネスを理解することになります
29
Cookie
カスタマーマッチ
出所:https://www.ebis.ne.jp/column/conversion-api-tools/, https://bruceclay.jpn.com/column/customer-match/
https://www.lycbiz.com/jp/column/yahoo-ads/marketing/cookiecookie-ads/
日常用語
技術理解
①
②
余白
裁判例
③
④
Slide 30
Slide 30 text
##基礎から学び直す個情法と最新実務対応
広告領域では、この技術理解を前提にビジネスを理解することになります
30
Cookie
カスタマーマッチ
コンバージョンAPI
出所:https://www.ebis.ne.jp/column/conversion-api-tools/, https://bruceclay.jpn.com/column/customer-match/
https://www.lycbiz.com/jp/column/yahoo-ads/marketing/cookiecookie-ads/
日常用語
技術理解
①
②
余白
裁判例
③
④
Slide 31
Slide 31 text
##基礎から学び直す個情法と最新実務対応
【理由③】余白の広さ
31
日常用語
技術理解
①
②
余白
裁判例
③
④
Slide 32
Slide 32 text
##基礎から学び直す個情法と最新実務対応
海外法、社会情勢
パブコメ
ガイドライン、Q&A
超重要な情報が「個人情報保護法」には何も書いてないことがままあります
32
個人情報保護法
日常用語
技術理解
①
②
余白
裁判例
③
④
Slide 33
Slide 33 text
##基礎から学び直す個情法と最新実務対応
【理由④】裁判例の少なさ
33
日常用語
技術理解
①
②
余白
裁判例
③
④
Slide 34
Slide 34 text
##基礎から学び直す個情法と最新実務対応
実務的にあり得ないような主張が、是正される機会が少ないような気も…
34
畢竟独自の見解
日常用語
技術理解
①
②
余白
裁判例
③
④
Slide 35
Slide 35 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 36
Slide 36 text
##基礎から学び直す個情法と最新実務対応
法律は、個人情報について階層的に定義を置いています
36
個人情報
個人データ
保有個人
データ
Slide 37
Slide 37 text
##基礎から学び直す個情法と最新実務対応
まずは一番外側の、個人情報の定義について説明していきます
37
個人情報
個人データ
保有個人
データ
Slide 38
Slide 38 text
##基礎から学び直す個情法と最新実務対応
難しさの主たる原因は、日常用語と法律用語で定義に乖離があることです
38
法律用語での
「個人情報」
日常用語での
「個人情報」
Slide 39
Slide 39 text
##基礎から学び直す個情法と最新実務対応
条文を読んでみましょう
39
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
Slide 40
Slide 40 text
##基礎から学び直す個情法と最新実務対応
40
まずは「生存する個人に関する情報」であることが個人情報の要件です
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
Slide 41
Slide 41 text
##基礎から学び直す個情法と最新実務対応
41
この点について、ガイドラインの解説を読んでみると…
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限
られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全て
の情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も
含まれ、暗号化等によって秘匿化されているかどうかを問わない。
ガイドライン
重要ポイント①
Slide 42
Slide 42 text
##基礎から学び直す個情法と最新実務対応
42
この点について、ガイドラインの解説を読んでみると…
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限
られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全て
の情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も
含まれ、暗号化等によって秘匿化されているかどうかを問わない。
ガイドライン
重要ポイント②
Slide 43
Slide 43 text
##基礎から学び直す個情法と最新実務対応
43
この点について、ガイドラインの解説を読んでみると…
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限
られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全て
の情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も
含まれ、暗号化等によって秘匿化されているかどうかを問わない。
ガイドライン
重要ポイント③
Slide 44
Slide 44 text
##基礎から学び直す個情法と最新実務対応
44
このように、生存する個人に関する情報は非常に範囲が広いです
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
アクセスログ
推定属性情報
写真
基本4情報
(氏名・住所・生年月日・性別)
デモグラ情報(年齢、居住地域、所
得、職業、家族構成)
注文履歴
Slide 45
Slide 45 text
##基礎から学び直す個情法と最新実務対応
45
日常用語では、基本4情報だけを個人情報と呼んだりもしますが
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
アクセスログ
推定属性情報
写真
基本4情報
(氏名・住所・生年月日・性別)
デモグラ情報(年齢、居住地域、所
得、職業、家族構成)
注文履歴
Slide 46
Slide 46 text
##基礎から学び直す個情法と最新実務対応
46
法律上はこれら全てが個人情報になり得ます
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
アクセスログ
推定属性情報
写真
基本4情報
(氏名・住所・生年月日・性別)
デモグラ情報(年齢、居住地域、所
得、職業、家族構成)
注文履歴
Slide 47
Slide 47 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
47
その上で、条文は個人情報に「次の各号」への該当性を求めています
Slide 48
Slide 48 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
48
つまり、ここの条件を満たした上で
Slide 49
Slide 49 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
49
かつ、
かつ
Slide 50
Slide 50 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
50
こちらも同時に満たしたものが、法律上の「個人情報」になるわけです
かつ
Slide 51
Slide 51 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
51
一号と二号がありますが、今日は一号について掘り下げて説明します
Slide 52
Slide 52 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
52
一号は、
Slide 53
Slide 53 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
53
本文部分(一行目)と
Slide 54
Slide 54 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
54
かっこがき部分(二行目)に分かれます
Slide 55
Slide 55 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
55
まずは一号の本文部分から読んでいきましょう
Slide 56
Slide 56 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
56
出所:https://doctorstretch.com/reserve/contact/
具体のイメージを持ってもらうため、実際の申し込みフォームで見てみます
Slide 57
Slide 57 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
57
前提として、これらの項目は全て「生存する個人に関する情報」ですよね
Slide 58
Slide 58 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
58
その上で、これらの情報が一号本文「にも」該当するかを検討します
Slide 59
Slide 59 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
59
この時、どうしても「氏名」に注目してしまいがちなのですが
氏名
Slide 60
Slide 60 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
60
条文には、「もの」全体が個人情報に該当すると書いてあります
もの
Slide 61
Slide 61 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
61
むしろ「氏名、生年月日その他の」を消す方が読みやすいかもしれません
もの
Slide 62
Slide 62 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
62
つまり、この「氏名」の部分が個人情報なのではなく
氏名
Slide 63
Slide 63 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
63
「もの」全体が個人情報に該当すると読まなければいけない訳です
もの
Slide 64
Slide 64 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
64
その結果、「もの」に含まれるのであれば構成要素も個人情報に該当します
希望コース
希望日
希望店舗
Slide 65
Slide 65 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
65
【中間まとめ】
氏名、生年月日と同じまとまりの中にある情報は個人情報に該当します
アクセスログ
推定属性情報
写真
基本4情報
(氏名・住所・生年月日・性別)
デモグラ情報(年齢、居住地域、所
得、職業、家族構成)
注文履歴
氏名、生年月日
個人情報
Slide 66
Slide 66 text
##基礎から学び直す個情法と最新実務対応
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
66
続いて、一号のかっこがきを読んでいきましょう
Slide 67
Slide 67 text
##基礎から学び直す個情法と最新実務対応
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザーID
Aサービス
利用履歴情報
00001
00002
ユーザー登録情報 利用履歴情報
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
67
ここで「ユーザー登録情報」と「利用履歴情報」のテーブルを想定します
Slide 68
Slide 68 text
##基礎から学び直す個情法と最新実務対応
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザー登録情報
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
68
ユーザー登録情報は氏名を含み、先ほどの説明の通り全体が個人情報ですが
アクセスログ
推定属性情報
写真
基本4情報
(氏名・住所・生年月日・性別)
デモグラ情報(年齢、居住地域、所
得、職業、家族構成)
注文履歴
氏名、生年月日
個人情報
Slide 69
Slide 69 text
##基礎から学び直す個情法と最新実務対応
ユーザーID
Aサービス
利用履歴情報
00001
00002
利用履歴情報
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
69
利用履歴情報のテーブルには、氏名が含まれていないのが注目ポイントです
アクセスログ
推定属性情報
写真
基本4情報
(氏名・住所・生年月日・性別)
デモグラ情報(年齢、居住地域、所
得、職業、家族構成)
注文履歴
氏名、生年月日
個人情報
Slide 70
Slide 70 text
##基礎から学び直す個情法と最新実務対応
ユーザーID
Aサービス
利用履歴情報
00001
00002
利用履歴情報
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
70
ここで、利用履歴情報は「個人情報」になるのでしょうか?
アクセスログ
推定属性情報
写真
基本4情報
(氏名・住所・生年月日・性別)
デモグラ情報(年齢、居住地域、所
得、職業、家族構成)
注文履歴
氏名、生年月日
個人情報
Slide 71
Slide 71 text
##基礎から学び直す個情法と最新実務対応
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザーID
Aサービス
利用履歴情報
00001
00002
ユーザー登録情報 利用履歴情報
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
71
かっこがきは、「容易に照合」できるものは個人情報に含むといっています
Slide 72
Slide 72 text
##基礎から学び直す個情法と最新実務対応
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザーID
Aサービス
利用履歴情報
00001
00002
ユーザー登録情報 利用履歴情報
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
72
企業は一般に、データを活用する上でユーザーに対してIDを割り振りますが
Slide 73
Slide 73 text
##基礎から学び直す個情法と最新実務対応
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザーID
Aサービス
利用履歴情報
00001
00002
ユーザー登録情報 利用履歴情報
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
73
ユーザーIDはテーブル間での照合を容易にする機能を果たしています
ユーザーIDで容易に照合
Slide 74
Slide 74 text
##基礎から学び直す個情法と最新実務対応
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザーID
Aサービス
利用履歴情報
00001
00002
ユーザー登録情報 利用履歴情報
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
74
そのため、「ユーザー登録情報」が個人情報であることは当然の前提として
こちらだけでなく
Slide 75
Slide 75 text
##基礎から学び直す個情法と最新実務対応
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザーID
Aサービス
利用履歴情報
00001
00002
ユーザー登録情報 利用履歴情報
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
75
「利用履歴情報」も、かっこがきにより個人情報に該当することになります
こちらも個人情報
Slide 76
Slide 76 text
##基礎から学び直す個情法と最新実務対応
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザー登録情報
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。
一当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二個人識別符号が含まれるもの
76
ユーザーIDに紐づく個人に関する情報は、基本的に全て個人情報です
Slide 77
Slide 77 text
##基礎から学び直す個情法と最新実務対応
続いて、個人情報の一部である「個人データ」について説明します
77
個人情報
個人データ
保有個人
データ
Slide 78
Slide 78 text
##基礎から学び直す個情法と最新実務対応
少し読みにくいので間引いてみます
78
第十六条
(略)「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて
個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政
令で定めるもの
(略)
3 この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
Slide 79
Slide 79 text
##基礎から学び直す個情法と最新実務対応
少し読みにくいので間引いてみます
79
第十六条
(略)「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて
個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政
令で定めるもの
(略)
3 この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
Slide 80
Slide 80 text
##基礎から学び直す個情法と最新実務対応
この区別を知っていると何が嬉しいの?
80
Slide 81
Slide 81 text
##基礎から学び直す個情法と最新実務対応
最後に、保有個人データについて説明します
81
個人情報
個人データ
保有個人
データ
Slide 82
Slide 82 text
##基礎から学び直す個情法と最新実務対応
こちらも少し文言を間引いてみます
82
第十六条
4 この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停
止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかにな
ることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。
Slide 83
Slide 83 text
##基礎から学び直す個情法と最新実務対応
こちらも少し文言を間引いてみます
83
第十六条
4 この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停
止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかにな
ることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。
Slide 84
Slide 84 text
##基礎から学び直す個情法と最新実務対応
日常用語との差異を意識しつつ、定義を正確に理解しましょう
84
個人情報
個人データ
保有個人
データ
Slide 85
Slide 85 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 86
Slide 86 text
##基礎から学び直す個情法と最新実務対応
よく寄せられるクライアントからの相談を、ケースごとに解説します
86
Slide 87
Slide 87 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 88
Slide 88 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 89
Slide 89 text
##基礎から学び直す個情法と最新実務対応
プライバシーポリシーは、結構気軽にご依頼いただく印象があります
89
「同業他社のコピペでいけますよね」 「特商法と合わせて5万円でお願いします」
Slide 90
Slide 90 text
##基礎から学び直す個情法と最新実務対応
そういったニーズも否定しませんが、今日は「そもそも」の話から始めます
90
Slide 91
Slide 91 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
• なぜプライバシーポリシーを作るのか
• 何をプライバシーポリシーに書けばいいのか
• 落としがちな内容って?
➢ SaaSにデータ入れていいですか
➢ 漏えいしちゃいました
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 92
Slide 92 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
• なぜプライバシーポリシーを作るのか
• 何をプライバシーポリシーに書けばいいのか
• 落としがちな内容って?
➢ SaaSにデータ入れていいですか
➢ 漏えいしちゃいました
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 93
Slide 93 text
##基礎から学び直す個情法と最新実務対応
日本には、プライバシーポリシーの作成を義務付ける法律はありません*
93
*「金融分野における個人情報保護に関するガイドライン」などでは若干の言及あり
Slide 94
Slide 94 text
##基礎から学び直す個情法と最新実務対応
それでもなぜ、事業者がプライバシーポリシーを作成するかというと…
94
第三十二条
1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態
(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者
の氏名
2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を
除く。)
3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34
条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38
条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし
て政令で定めるもの
知り得る状態に置かなければならない
Slide 95
Slide 95 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
• なぜプライバシーポリシーを作るのか
• 何をプライバシーポリシーに書けばいいのか
• 落としがちな内容って?
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 96
Slide 96 text
##基礎から学び直す個情法と最新実務対応
それでは具体的に「次に掲げる事項」を見てみましょう
96
第三十二条
1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態
(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者
の氏名
2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を
除く。)
3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34
条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38
条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし
て政令で定めるもの
Slide 97
Slide 97 text
##基礎から学び直す個情法と最新実務対応
対応が必要な事項は「1号」から「4号」に分かれており
97
第三十二条
1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状
態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者
の氏名
2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を
除く。)
3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34
条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38
条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし
て政令で定めるもの
Slide 98
Slide 98 text
##基礎から学び直す個情法と最新実務対応
4号ではさらに、詳細を政令に飛ばしています
98
次頁詳細
第三十二条
1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状
態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者
の氏名
2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を
除く。)
3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34
条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38
条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし
て政令で定めるもの
Slide 99
Slide 99 text
##基礎から学び直す個情法と最新実務対応
そして「政令で定めるもの」は、具体的にいうと…
99
政令第十条
法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。
1. 法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状
態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該保有個人デー
タの安全管理に支障を及ぼすおそれがあるものを除く。)
2. 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
3. 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、
当該認定個人情報保護団体の名称及び苦情の解決の申出先
政令の定め
Slide 100
Slide 100 text
##基礎から学び直す個情法と最新実務対応
うーんと、なるほど…?
100
Slide 101
Slide 101 text
##基礎から学び直す個情法と最新実務対応
プライバシーポリシーとは「何か」を定めていないので、理解が定着しない
101
えーっと、なんか…
利用目的とか安全管理措置
を定めた文書ですよね。
Slide 102
Slide 102 text
##基礎から学び直す個情法と最新実務対応
【ボトムアップ】ではなく、【トップダウン】で俯瞰的に考えてみましょう
102
Slide 103
Slide 103 text
##基礎から学び直す個情法と最新実務対応
そこで、Privacy policyの作成が義務付けられている国の法律を見てみます
103
Slide 104
Slide 104 text
##基礎から学び直す個情法と最新実務対応
アメリカ(カリフォルニア州)での位置付けを見てみましょう
104
CCPA / CPRA
§ 7011. Privacy Policy.
(e) The privacy policy shall include the following information:
1.the business’s online and offline practices regarding the collection, use, sale, sharing, and
retention of personal information
2.An explanation of the rights that the CCPA confers on consumers regarding their personal
information
3.An explanation of how consumers can exercise their CCPA rights and consumers can
expect from that process
4.Date the privacy policy was last updated.
Slide 105
Slide 105 text
##基礎から学び直す個情法と最新実務対応
§ 7011. Privacy Policy.
(e) The privacy policy shall include the following information:
1.the business’s online and offline practices regarding the collection, use, sale, sharing, and
retention of personal information
2.An explanation of the rights that the CCPA confers on consumers regarding their personal
information
3.An explanation of how consumers can exercise their CCPA rights and consumers can
expect from that process
4.Date the privacy policy was last updated.
単純化すると、「データの取扱い」と「権利」の記載を求めています
105
CCPA / CPRA
プライバシーポリシーには、以下の情報を含めるものとする:
・個人情報の取得、利用、販売、共有、および保持に関する事業者のオンラインおよびオフラインでの慣行
・CCPAが消費者に与える個人情報に関する権利の説明
・消費者がCCPAの権利を行使する方法と、そのプロセスから消費者が期待できることの説明
・プライバシー・ポリシーの最終更新日
Slide 106
Slide 106 text
##基礎から学び直す個情法と最新実務対応
なるほど、そうだとすると翻って…
106
Slide 107
Slide 107 text
##基礎から学び直す個情法と最新実務対応
日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです
107
法第三十二条
1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回
答する場合を含む。)に置かなければならない。
1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。)
3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、
第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料
の額を含む。)
4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
政令第十条
法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。
•法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す
る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
•当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
•当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び
苦情の解決の申出先
Slide 108
Slide 108 text
##基礎から学び直す個情法と最新実務対応
日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです
108
法第三十二条
1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回
答する場合を含む。)に置かなければならない。
1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。)
3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、
第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料
の額を含む。)
4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
政令第十条
法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。
•法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す
る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
•当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
•当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び
苦情の解決の申出先
①「データの取扱い」についての記載
Slide 109
Slide 109 text
##基礎から学び直す個情法と最新実務対応
日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです
109
②「権利」についての記載
法第三十二条
1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回
答する場合を含む。)に置かなければならない。
1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。)
3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、
第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料
の額を含む。)
4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
政令第十条
法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。
•法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す
る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
•当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
•当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び
苦情の解決の申出先
Slide 110
Slide 110 text
##基礎から学び直す個情法と最新実務対応
日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです
110
③その他の事務的な記載
法第三十二条
1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回
答する場合を含む。)に置かなければならない。
1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。)
3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、
第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料
の額を含む。)
4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
政令第十条
法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。
•法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す
る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
•当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
•当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び
苦情の解決の申出先
Slide 111
Slide 111 text
##基礎から学び直す個情法と最新実務対応
【まとめ】結局、プライバシーポリシーには何を書けばいいのか
111
プライバシーポリシーの要素
1.事業者のデータの取扱い
2.本人の権利
3.その他事務的なこと
Slide 112
Slide 112 text
##基礎から学び直す個情法と最新実務対応
まずは、事業者における取得〜消去までのデータの取扱いを書きます
112
1.事業者のデータの取扱い
2.本人の権利
3.その他事務的なこと
◼ 個人情報保護法
➢ 保有個人データの適正な取扱いの確保に関
し必要な事項
◼ CCPA / CPRA
➢ 個人情報の取得、利用、販売、共有、およ
び保持に関する事業者のオンラインおよび
オフラインでの慣行
取得
利用
安全
管理
提供
消去
Slide 113
Slide 113 text
##基礎から学び直す個情法と最新実務対応
つづいて、本人に法律上認められた権利とその行使方法を書きます
113
1.事業者のデータの取扱い
3.その他事務的なこと
2.本人の権利
What How
◼ 個人情報保護法
➢ 請求に応じる手続
◼ CCPA / CPRA
➢ CCPAが消費者に与える個人情報に関する
権利の説明
➢ 消費者がCCPAの権利を行使する方法と、
そのプロセスから消費者が期待できること
の説明
Slide 114
Slide 114 text
##基礎から学び直す個情法と最新実務対応
最後に、その他の事務的な(けれども大事な)ことを書きます
114
1.事業者のデータの取扱い
2.本人の権利
3.その他事務的なこと
◼ 個人情報保護法
➢ 当該個人情報取扱事業者の氏名又は名称及
び住所並びに法人にあっては、その代表者
の氏名
◼ CCPA / CPRA
➢ プライバシー・ポリシーの最終更新日
Slide 115
Slide 115 text
##基礎から学び直す個情法と最新実務対応
プライバシーポリシーには何を書けばいいか、ざっくり理解できましたか?
115
プライバシーポリシーの要素
1.事業者のデータの取扱い
2.本人の権利
3.その他事務的なこと
Slide 116
Slide 116 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 117
Slide 117 text
##基礎から学び直す個情法と最新実務対応
インシデントについての相談は、ある日突然やってきます
117
Slide 118
Slide 118 text
##基礎から学び直す個情法と最新実務対応
しかもなぜか、「こと」はGWなどの長期休暇前や年末年始に起こりがち…
118
Slide 119
Slide 119 text
##基礎から学び直す個情法と最新実務対応
満足度の振れ幅は大きく、外部専門家としての頑張りどころだと感じます
119
Slide 120
Slide 120 text
##基礎から学び直す個情法と最新実務対応
【役割①】冷静にインシデント対応の全体像を描いてあげる
120
【個人情報保護委員会への報告】
法第 二十六 条
1 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損(中略)が生じたときは、個人
情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければ
ならない。
【確報】
規則第 八 条
2 前項の場合において、個人情報取扱事業者は、当該事態を知った日から30 日以内(当該事態が前条第 3
号に定めるものである場合にあっては、60 日以内)に、当該事態に関する前項各号に定める事項を報告し
なければならない。
Slide 121
Slide 121 text
##基礎から学び直す個情法と最新実務対応
【役割②】 官公庁とのコミュニケーションをサポートする
121
Slide 122
Slide 122 text
##基礎から学び直す個情法と最新実務対応
【役割③】社内担当者間のコミュニケーションをとりもつ
122
Slide 123
Slide 123 text
##基礎から学び直す個情法と最新実務対応
【役割③】社内担当者間のコミュニケーションをとりもつ
123
法務
技術
広報・渉外
経営・事業
Slide 124
Slide 124 text
##基礎から学び直す個情法と最新実務対応
一方で、インシデント対応の何が辛いかというと…
124
法律についての誤解 実務上の落とし穴
個人情報の定義
1
漏えいの定義
2
漏えい元基準
3
おそれの定義
4
経営層の反対
1
技術理解の不足
2
グループ間共有
3
部署間連携
4
Slide 125
Slide 125 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
• 法律についての誤解
• 実務上の落とし穴
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 126
Slide 126 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
• 法律についての誤解
• 実務上の落とし穴
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 127
Slide 127 text
##基礎から学び直す個情法と最新実務対応
個人情報の定義がブレていると、永遠に前提事実を確定できません
127
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
Slide 128
Slide 128 text
##基礎から学び直す個情法と最新実務対応
個人情報の定義がブレていると、永遠に前提事実を確定できません
128
(法律用語での)
個人情報は
漏えいしていないですか?
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
Slide 129
Slide 129 text
##基礎から学び直す個情法と最新実務対応
個人情報の定義がブレていると、永遠に前提事実を確定できません
(日常用語での)
個人情報は
漏えいしていません
129
(法律用語での)
個人情報は
漏えいしていないですか?
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
Slide 130
Slide 130 text
##基礎から学び直す個情法と最新実務対応
やはり普段から、定義の浸透を図っておいてもらうことが重要です
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
130
Slide 131
Slide 131 text
##基礎から学び直す個情法と最新実務対応
「漏えい」の定義は結構シンプルです
131
出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-1
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
Slide 132
Slide 132 text
##基礎から学び直す個情法と最新実務対応
例えばこんなケースは「漏えい」に該当するでしょうか
設定ミスにより、ユーザーの情報が意図せず公開され、
Googleにクローリングされて検索可能な状態になってしまったが、
それ以上のアクセスは確認されていない
132
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
Slide 133
Slide 133 text
##基礎から学び直す個情法と最新実務対応
これは漏えいに該当します
133
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-1
Slide 134
Slide 134 text
##基礎から学び直す個情法と最新実務対応
先ほどの「ユーザー登録情報」と「利用履歴情報」を思い出してください
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザーID
Aサービス
利用履歴情報
00001
00002
ユーザー登録情報 利用履歴情報
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
134
Slide 135
Slide 135 text
##基礎から学び直す個情法と最新実務対応
ここで「ユーザー登録情報」が被害にあった場合…
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザー登録情報
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
135
Slide 136
Slide 136 text
##基礎から学び直す個情法と最新実務対応
個人データの「漏えい」に該当するという結論に違和感はないと思います
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザー登録情報
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
136
Slide 137
Slide 137 text
##基礎から学び直す個情法と最新実務対応
それでは、「利用履歴情報」が被害にあった場合はどうでしょうか?
ユーザーID
Aサービス
利用履歴情報
00001
00002
利用履歴情報
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
137
Slide 138
Slide 138 text
##基礎から学び直す個情法と最新実務対応
ここについては、個人情報保護委員会から答えが出ています
ユーザーID
Aサービス
利用履歴情報
00001
00002
利用履歴情報
”対象となった情報が個人データに該当するかどうかは、
当該個人データを漏えい等した個人情報取扱事業者を基
準に考えることになります。”
出所:「個人情報の保護に関する法律についてのガイドライン(通則編)の一部を改正する告示案」に関する意見募集結果( https://public-comment.e-
gov.go.jp/servlet/PcmFileDownload?seqNo=0000223334 )
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
138
Slide 139
Slide 139 text
##基礎から学び直す個情法と最新実務対応
つまり、「漏えい先」にとってその情報が個人データか否かは関係なく
ユーザーID
Aサービス
利用履歴情報
00001
00002
利用履歴情報
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
139
Slide 140
Slide 140 text
##基礎から学び直す個情法と最新実務対応
「漏えい元」が個人データとして管理するデータが漏れたら漏えいなのです
ユーザーID
Aサービス
利用履歴情報
00001
00002
利用履歴情報
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザー登録情報
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
140
Slide 141
Slide 141 text
##基礎から学び直す個情法と最新実務対応
よって、「利用履歴情報」が単独で被害にあった場合も漏えいに該当します
ユーザーID
Aサービス
利用履歴情報
00001
00002
利用履歴情報
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
141
Slide 142
Slide 142 text
##基礎から学び直す個情法と最新実務対応
漏えいは、「おそれ」があれば個人情報保護委員会への報告が必要です
142
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
Slide 143
Slide 143 text
##基礎から学び直す個情法と最新実務対応
この「おそれ」は、中身があるようでない定義にいつも悩まされます
143
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
Slide 144
Slide 144 text
##基礎から学び直す個情法と最新実務対応
PPCと交渉する上では、技術系コンサル企業のレポート等も結構役立ちます
144
法律の誤解
実務上の落とし穴
個人情報の定義
漏えいの定義
①
②
漏えい元基準
おそれの定義
③
④
Slide 145
Slide 145 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
• 法律についての誤解
• 実務上の落とし穴
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 146
Slide 146 text
##基礎から学び直す個情法と最新実務対応
続いて実務上の落とし穴をご説明します
146
法律についての誤解 実務上の落とし穴
個人情報の定義
1
漏えいの定義
2
漏えい元基準
3
おそれの定義
4
経営層の反対
1
技術理解の不足
2
グループ間共有
3
部署間連携
4
Slide 147
Slide 147 text
##基礎から学び直す個情法と最新実務対応
「これ本当に報告しなきゃいけないの」
147
法律の誤解
実務上の落とし穴
経営層の反対
技術理解の不足
①
②
グループ間共有
部署間連携
③
④
Slide 148
Slide 148 text
##基礎から学び直す個情法と最新実務対応
インシデント対応訓練で「報告」を現実感を持って認識してもらいましょう
148
法律の誤解
実務上の落とし穴
経営層の反対
技術理解の不足
①
②
グループ間共有
部署間連携
③
④
Slide 149
Slide 149 text
##基礎から学び直す個情法と最新実務対応
技術部門の説明が理解できない
149
法律の誤解
実務上の落とし穴
経営層の反対
技術理解の不足
①
②
グループ間共有
部署間連携
③
④
Slide 150
Slide 150 text
##基礎から学び直す個情法と最新実務対応
広く浅く知識を得るため、資格試験を勉強してみるのはいかがでしょうか
150
法律の誤解
実務上の落とし穴
経営層の反対
技術理解の不足
①
②
グループ間共有
部署間連携
③
④
出所:https://www.ipa.go.jp/shiken/kubun/sg/about.html
Slide 151
Slide 151 text
##基礎から学び直す個情法と最新実務対応
相手の土俵で会話ができると、本音の情報を引き出すことができます
151
法律の誤解
実務上の落とし穴
経営層の反対
技術理解の不足
①
②
グループ間共有
部署間連携
③
④
Slide 152
Slide 152 text
##基礎から学び直す個情法と最新実務対応
グループ会社を形成する親会社で、漏えい等が発生したと想像してください
152
法律の誤解
実務上の落とし穴
経営層の反対
技術理解の不足
①
②
グループ間共有
部署間連携
③
④
Slide 153
Slide 153 text
##基礎から学び直す個情法と最新実務対応
グループ間では大抵、相互に個人データの受委託関係が発生しています
委託
153
法律の誤解
実務上の落とし穴
経営層の反対
技術理解の不足
①
②
グループ間共有
部署間連携
③
④
Slide 154
Slide 154 text
##基礎から学び直す個情法と最新実務対応
またその上で、共同利用の定めがあったり
委託
共同利用
154
法律の誤解
実務上の落とし穴
経営層の反対
技術理解の不足
①
②
グループ間共有
部署間連携
③
④
Slide 155
Slide 155 text
##基礎から学び直す個情法と最新実務対応
グループ外との受委託関係がある場合もあり、こうなると…
委託
共同利用
155
法律の誤解
実務上の落とし穴
経営層の反対
技術理解の不足
①
②
グループ間共有
部署間連携
③
④
Slide 156
Slide 156 text
##基礎から学び直す個情法と最新実務対応
被害にあったのは、どこの保有個人データなのかが不明確になりがちです
委託
共同利用
156
法律の誤解
実務上の落とし穴
経営層の反対
技術理解の不足
①
②
グループ間共有
部署間連携
③
④
Slide 157
Slide 157 text
##基礎から学び直す個情法と最新実務対応
普段から、データフローを把握しておいてもらいましょう
157
法律の誤解
実務上の落とし穴
経営層の反対
技術理解の不足
①
②
グループ間共有
部署間連携
③
④
Slide 158
Slide 158 text
##基礎から学び直す個情法と最新実務対応
緊急事態では、部署間での利害対立が表面化しがちです
158
法律の誤解
実務上の落とし穴
経営層の反対
技術理解の不足
①
②
グループ間共有
部署間連携
③
④
Slide 159
Slide 159 text
##基礎から学び直す個情法と最新実務対応
時間枠を抑えて定例会議を設けてしまい、関係者に情報共有しましょう
159
法律の誤解
実務上の落とし穴
経営層の反対
技術理解の不足
①
②
グループ間共有
部署間連携
③
④
Slide 160
Slide 160 text
##基礎から学び直す個情法と最新実務対応
主要なステークホルダーはバイネームで意識しておくことも重要です
160
法律の誤解
実務上の落とし穴
経営層の反対
技術理解の不足
①
②
グループ間共有
部署間連携
③
④
法務
技術
広報・渉外
経営・事業
Slide 161
Slide 161 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 162
Slide 162 text
##基礎から学び直す個情法と最新実務対応
SaaSや生成AIサービスを使いたいという相談は、定期的に来ますよね
162
Slide 163
Slide 163 text
##基礎から学び直す個情法と最新実務対応
データは自社内で完結することが減り、社外に連携することが増えました
163
出所:https://corp.freee.co.jp/news/0717bundle_by_freee.html
Slide 164
Slide 164 text
##基礎から学び直す個情法と最新実務対応
この際、社外に個人データを「提供」するには法的な根拠が必要になります
164
Slide 165
Slide 165 text
##基礎から学び直す個情法と最新実務対応
なお先ほどの「漏えい元基準」と同じく「提供元基準」が採用されています
ユーザーID
Aサービス
利用履歴情報
00001
00002
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザー登録情報 利用履歴情報
Slide 166
Slide 166 text
##基礎から学び直す個情法と最新実務対応
つまり、氏名自体をSaaSに入れないとしても
ユーザーID
Aサービス
利用履歴情報
00001
00002
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザー登録情報 利用履歴情報
こちらだけでなく
Slide 167
Slide 167 text
##基礎から学び直す個情法と最新実務対応
自社にとって個人データであれば、提供には法的根拠が必要ということです
ユーザーID
Aサービス
利用履歴情報
00001
00002
ユーザーID 氏名 電話番号 メールアドレス
00001
00002
ユーザー登録情報 利用履歴情報
こちらも個人データ
Slide 168
Slide 168 text
##基礎から学び直す個情法と最新実務対応
この「提供」の段階で選択しうる法的根拠は、主として3つあります
168
1
◼ 第三者提供
提供先にデータをあげてしまう(=管理権限が提供先に移る)
その後の適用プラポリは、提供先
同意取得が必要だが、提供元に監督義務は残らない
2
◼ 委託
提供先にデータを預ける(=管理権限は提供元に残る)
その後の適用プラポリは、提供元
同意取得は不要だが、提供元に監督義務が残る
3
◼ 「取り扱わないこととなっている場合」(クラウド例外)
提供先にデータを預ける(=管理権限が提供元に残る)
その後の適用プラポリは、提供元
同意取得等は不要だが、提供元に監督義務は残らない
同意取得
同意取得
同意取得
自社プラポリ
自社プラポリ
自社プラポリ
監督義務
監督義務
監督義務
Slide 169
Slide 169 text
##基礎から学び直す個情法と最新実務対応
第三者提供は、提供先にデータをあげてしまうことです
169
1
◼ 第三者提供
提供先にデータをあげてしまう(=管理権限が提供先に移る)
その後の適用プラポリは、提供先
同意取得が必要だが、提供元に監督義務は残らない
2
◼ 委託
提供先にデータを預ける(=管理権限は提供元に残る)
その後の適用プラポリは、提供元
同意取得は不要だが、提供元に監督義務が残る
3
◼ 「取り扱わないこととなっている場合」(クラウド例外)
提供先にデータを預ける(=管理権限が提供元に残る)
その後の適用プラポリは、提供元
同意取得等は不要だが、提供元に監督義務は残らない
同意取得
同意取得
同意取得
自社プラポリ
自社プラポリ
自社プラポリ
監督義務
監督義務
監督義務
第三者提供 委託 クラウド例外
Slide 170
Slide 170 text
##基礎から学び直す個情法と最新実務対応
第三者提供では、同意を「漏れなく」「適法に」取得できるかが鍵です
170
漏れなく
同意 取得 提供
第三者提供 委託 クラウド例外
Slide 171
Slide 171 text
##基礎から学び直す個情法と最新実務対応
第三者提供では、同意を「漏れなく」「適法に」取得できるかが鍵です
171
漏れなく
同意 取得 提供
取得 同意 提供
第三者提供 委託 クラウド例外
Slide 172
Slide 172 text
##基礎から学び直す個情法と最新実務対応
第三者提供では、同意を「漏れなく」「適法に」取得できるかが鍵です
172
漏れなく 適法に
本人が同意に係る判断を行うために必要と考えら
れる合理的かつ適切な範囲の内容を明確に示さな
ければならない。(ガイドライン通則編)
同意 取得 提供
取得 同意 提供
第三者提供 委託 クラウド例外
Slide 173
Slide 173 text
##基礎から学び直す個情法と最新実務対応
第三者提供では、同意を「漏れなく」「適法に」取得できるかが鍵です
173
漏れなく 適法に
本人が同意に係る判断を行うために必要と考えら
れる合理的かつ適切な範囲の内容を明確に示さな
ければならない。(ガイドライン通則編)
次章詳細
同意 取得 提供
取得 同意 提供
第三者提供 委託 クラウド例外
Slide 174
Slide 174 text
##基礎から学び直す個情法と最新実務対応
第三者提供は、提供先にデータをあげてしまうことです
174
1
◼ 第三者提供
提供先にデータをあげてしまう(=管理権限が提供先に移る)
その後の適用プラポリは、提供先
同意取得が必要だが、提供元に監督義務は残らない
2
◼ 委託
提供先にデータを預ける(=管理権限は提供元に残る)
その後の適用プラポリは、提供元
同意取得は不要だが、提供元に監督義務が残る
3
◼ 「取り扱わないこととなっている場合」(クラウド例外)
提供先にデータを預ける(=管理権限が提供元に残る)
その後の適用プラポリは、提供元
同意取得等は不要だが、提供元に監督義務は残らない
同意取得
同意取得
同意取得
自社プラポリ
自社プラポリ
自社プラポリ
監督義務
監督義務
監督義務
Slide 175
Slide 175 text
##基礎から学び直す個情法と最新実務対応
委託は、自社の責任の下で提供先にデータを預けることです
175
1
◼ 第三者提供
提供先にデータをあげてしまう(=管理権限が提供先に移る)
その後の適用プラポリは、提供先
同意取得が必要だが、提供元に監督義務は残らない
2
◼ 委託
提供先にデータを預ける(=管理権限は提供元に残る)
その後の適用プラポリは、提供元
同意取得は不要だが、提供元に監督義務が残る
3
◼ 「取り扱わないこととなっている場合」(クラウド例外)
提供先にデータを預ける(=管理権限が提供元に残る)
その後の適用プラポリは、提供元
同意取得等は不要だが、提供元に監督義務は残らない
同意取得
同意取得
同意取得
自社プラポリ
自社プラポリ
自社プラポリ
監督義務
監督義務
監督義務
第三者提供 委託 クラウド例外
Slide 176
Slide 176 text
##基礎から学び直す個情法と最新実務対応
ここでいう個人データの取扱いの「委託」は、個人情報保護法独自の概念なので
176
出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4
第三者提供 委託 クラウド例外
Slide 177
Slide 177 text
##基礎から学び直す個情法と最新実務対応
SaaS利用契約など、民法上の業務委託契約以外でも該当し得ます
177
個人情報保護法上の
「個人データの取扱いの委託」
民法上の
業務委託
出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4
第三者提供 委託 クラウド例外
Slide 178
Slide 178 text
##基礎から学び直す個情法と最新実務対応
委託は、自社の責任の下で提供先にデータを預けることです
178
1
◼ 第三者提供
提供先にデータをあげてしまう(=管理権限が提供先に移る)
その後の適用プラポリは、提供先
同意取得が必要だが、提供元に監督義務は残らない
2
◼ 委託
提供先にデータを預ける(=管理権限は提供元に残る)
その後の適用プラポリは、提供元
同意取得は不要だが、提供元に監督義務が残る
3
◼ 「取り扱わないこととなっている場合」(クラウド例外)
提供先にデータを預ける(=管理権限が提供元に残る)
その後の適用プラポリは、提供元
同意取得等は不要だが、提供元に監督義務は残らない
同意取得
同意取得
同意取得
自社プラポリ
自社プラポリ
自社プラポリ
監督義務
監督義務
監督義務
第三者提供 委託 クラウド例外
Slide 179
Slide 179 text
##基礎から学び直す個情法と最新実務対応
クラウド例外は、委託の特殊パターンだと理解するのが良いと思います
179
1
◼ 第三者提供
提供先にデータをあげてしまう(=管理権限が提供先に移る)
その後の適用プラポリは、提供先
同意取得が必要だが、提供元に監督義務は残らない
2
◼ 委託
提供先にデータを預ける(=管理権限は提供元に残る)
その後の適用プラポリは、提供元
同意取得は不要だが、提供元に監督義務が残る
3
◼ 「取り扱わないこととなっている場合」(クラウド例外)
提供先にデータを預ける(=管理権限が提供元に残る)
その後の適用プラポリは、提供元
同意取得等は不要だが、提供元に監督義務は残らない
同意取得
同意取得
同意取得
自社プラポリ
自社プラポリ
自社プラポリ
監督義務
監督義務
監督義務
第三者提供 委託 クラウド例外
Slide 180
Slide 180 text
##基礎から学び直す個情法と最新実務対応
提供先が個人データを取り扱わないときは「提供」に該当しません
180
FAQの記載
出所: https://www.ppc.go.jp/all_faq_index/faq1-q7-53/
第三者提供 委託 クラウド例外
Slide 181
Slide 181 text
##基礎から学び直す個情法と最新実務対応
クラウド例外は、自社環境の拡張であると理解するのもいいかもしれません
181
出所:https://www.ppc.go.jp/all_faq_index/faq1-q7-54/
FAQの記載
第三者提供 委託 クラウド例外
Slide 182
Slide 182 text
##基礎から学び直す個情法と最新実務対応
クラウド例外は、委託の特殊パターンだと理解するのが良いと思います
182
1
◼ 第三者提供
提供先にデータをあげてしまう(=管理権限が提供先に移る)
その後の適用プラポリは、提供先
同意取得が必要だが、提供元に監督義務は残らない
2
◼ 委託
提供先にデータを預ける(=管理権限は提供元に残る)
その後の適用プラポリは、提供元
同意取得は不要だが、提供元に監督義務が残る
3
◼ 「取り扱わないこととなっている場合」(クラウド例外)
提供先にデータを預ける(=管理権限が提供元に残る)
その後の適用プラポリは、提供元
同意取得等は不要だが、提供元に監督義務は残らない
同意取得
同意取得
同意取得
自社プラポリ
自社プラポリ
自社プラポリ
監督義務
監督義務
監督義務
第三者提供 委託 クラウド例外
Slide 183
Slide 183 text
##基礎から学び直す個情法と最新実務対応
データに対する、提供元/提供先それぞれの影響力の度合いが異なります
183
提供元の影響力
提供先の影響力
オプション3
クラウド例外
オプション2
委託
オプション1
第三者提供
提供元 提供先
Slide 184
Slide 184 text
##基礎から学び直す個情法と最新実務対応
クラウド例外は、提供元の影響力が一番強いオプションです
184
提供元の影響力
提供先の影響力
オプション3
クラウド例外
オプション2
委託
オプション1
第三者提供
提供元 提供先
Slide 185
Slide 185 text
##基礎から学び直す個情法と最新実務対応
委託は、3つのオプションの中でちょうど中間地点に位置します
185
提供元の影響力
提供先の影響力
オプション3
クラウド例外
オプション2
委託
オプション1
第三者提供
提供元 提供先
Slide 186
Slide 186 text
##基礎から学び直す個情法と最新実務対応
第三者提供は、提供先の影響力が一番強いオプションです
186
提供元の影響力
提供先の影響力
オプション3
クラウド例外
オプション2
委託
オプション1
第三者提供
提供元 提供先
Slide 187
Slide 187 text
##基礎から学び直す個情法と最新実務対応
現状は混迷を深めていますが…
187
出所:https://www.ppc.go.jp/files/pdf/241217_sankoushiryou-1-2.pdf
個人情報保護委員会ヒアリング(板倉先生)
Slide 188
Slide 188 text
##基礎から学び直す個情法と最新実務対応
基本的には、SaaS利用は委託であると整理するのをお勧めします
188
1
◼ 第三者提供
提供先にデータをあげてしまう(=管理権限が提供先に移る)
その後の適用プラポリは、提供先
同意取得が必要だが、提供元に監督義務は残らない
2
◼ 委託
提供先にデータを預ける(=管理権限は提供元に残る)
その後の適用プラポリは、提供元
同意取得は不要だが、提供元に監督義務が残る
3
◼ 「取り扱わないこととなっている場合」(クラウド例外)
提供先にデータを預ける(=管理権限が提供元に残る)
その後の適用プラポリは、提供元
同意取得等は不要だが、提供元に監督義務は残らない
同意取得
同意取得
同意取得
自社プラポリ
自社プラポリ
自社プラポリ
監督義務
監督義務
監督義務
Slide 189
Slide 189 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 190
Slide 190 text
##基礎から学び直す個情法と最新実務対応
先ほど、個人データを「提供」するには法的な根拠が必要であることと
190
Slide 191
Slide 191 text
##基礎から学び直す個情法と最新実務対応
選択しうる法的根拠は、主として3つあることを説明しました
191
1
◼ 第三者提供
提供先にデータをあげてしまう(=管理権限が提供先に移る)
その後の適用プラポリは、提供先
同意取得が必要だが、提供元に監督義務は残らない
2
◼ 委託
提供先にデータを預ける(=管理権限は提供元に残る)
その後の適用プラポリは、提供元
同意取得は不要だが、提供元に監督義務が残る
3
◼ 「取り扱わないこととなっている場合」(クラウド例外)
提供先にデータを預ける(=管理権限が提供元に残る)
その後の適用プラポリは、提供元
同意取得等は不要だが、提供元に監督義務は残らない
同意取得
同意取得
同意取得
自社プラポリ
自社プラポリ
自社プラポリ
監督義務
監督義務
監督義務
Slide 192
Slide 192 text
##基礎から学び直す個情法と最新実務対応
ここで、「第三者提供」で整理する必要がある典型ケースを紹介します
192
1
◼ 第三者提供
提供先にデータをあげてしまう(=管理権限が提供先に移る)
その後の適用プラポリは、提供先
同意取得が必要だが、提供元に監督義務は残らない
2
◼ 委託
提供先にデータを預ける(=管理権限は提供元に残る)
その後の適用プラポリは、提供元
同意取得は不要だが、提供元に監督義務が残る
3
◼ 「取り扱わないこととなっている場合」(クラウド例外)
提供先にデータを預ける(=管理権限が提供元に残る)
その後の適用プラポリは、提供元
同意取得等は不要だが、提供元に監督義務は残らない
同意取得
同意取得
同意取得
自社プラポリ
自社プラポリ
自社プラポリ
監督義務
監督義務
監督義務
Slide 193
Slide 193 text
##基礎から学び直す個情法と最新実務対応
まずは提供先での独自利用が想定され、委託で整理できないケース
193
①提供先での独自利用が想定されるケース ②提供先での突合が想定されるケース
出所:https://www.ppc.go.jp/all_faq_index/faq1-q7-38/
Slide 194
Slide 194 text
##基礎から学び直す個情法と最新実務対応
続いて提供先での突合が予想され、同じく委託と整理できないケースです
194
①提供先での独自利用が想定されるケース ②提供先での突合が想定されるケース
出所:https://www.ppc.go.jp/all_faq_index/faq1-q7-41/
Slide 195
Slide 195 text
##基礎から学び直す個情法と最新実務対応
【再掲】
これらのケースで必要な、適法な第三者提供同意の取得方法について検討します
195
漏れなく 適法に
本人が同意に係る判断を行うために必要と考えら
れる合理的かつ適切な範囲の内容を明確に示さな
ければならない。(ガイドライン通則編)
次章詳細
同意 取得 提供
取得 同意 提供
Slide 196
Slide 196 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
• どこで取得すればいいの
• どうやって取得すればいいの
➢ 広告配信にメールアドレスを使っていいですか
Slide 197
Slide 197 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
• どこで取得すればいいの
• どうやって取得すればいいの
➢ 広告配信にメールアドレスを使っていいですか
Slide 198
Slide 198 text
##基礎から学び直す個情法と最新実務対応
【ケース①】プライバシーポリシー
多くの企業が、プライバシーポリシーの中で同意を取得しています
198
出所:https://www.kodansha.co.jp/privacy/index.html
Slide 199
Slide 199 text
##基礎から学び直す個情法と最新実務対応
【ケース②】フォーム末尾
個別の案件で取得する場合、フォームの末尾等で取得することもあります
199
出所:https://seminar.nikkei.co.jp/registration
Slide 200
Slide 200 text
##基礎から学び直す個情法と最新実務対応
より理想的な同意取得の方法は、例えば以下の資料が参考になります
200
GDPR 電気通信事業法
出所:https://www.ppc.go.jp/files/pdf/doui_guideline.pdf,https://www.soumu.go.jp/main_content/000734726.pdf
Slide 201
Slide 201 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
• どこで取得すればいいの
• どうやって取得すればいいの
➢ 広告配信にメールアドレスを使っていいですか
Slide 202
Slide 202 text
##基礎から学び直す個情法と最新実務対応
202
出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-6-1
これは「必要と考えられる合理的かつ適切な範囲の内容」の解釈の問題です
Slide 203
Slide 203 text
##基礎から学び直す個情法と最新実務対応
講師個人としては、①目的②主体③客体を示すのがフェアだと考えています
203
何のために第三者提供をするのか
目的
誰に対して第三者提供をするのか
主体
何の情報を第三者提供するのか
客体
Slide 204
Slide 204 text
##基礎から学び直す個情法と最新実務対応
例えばこちらのプライバシーポリシーでは
204
出所:https://www.coca-cola.com/jp/ja/legal/privacy-policy
Slide 205
Slide 205 text
##基礎から学び直す個情法と最新実務対応
広告を配信するために、という①目的と
205
Slide 206
Slide 206 text
##基礎から学び直す個情法と最新実務対応
ハッシュ化したメールアドレス等をという②客体と
206
Slide 207
Slide 207 text
##基礎から学び直す個情法と最新実務対応
広告配信事業者に、という③主体を明示しています
207
Slide 208
Slide 208 text
##基礎から学び直す個情法と最新実務対応
よく「利用目的の記載のみで同意と評価できないか」と相談がありますが…
208
出所:https://privacy.rakuten.co.jp/
Slide 209
Slide 209 text
##基礎から学び直す個情法と最新実務対応
同意の対象を確定できないので、さすがにそれは無理だと考えています
209
出所:https://privacy.rakuten.co.jp/
Slide 210
Slide 210 text
##基礎から学び直す個情法と最新実務対応
同意の対象を確定できないので、さすがにそれは無理だと考えています
210
出所:https://privacy.rakuten.co.jp/
なお例示している楽天グループ株式会社さんは、
後続の章できちんと第三者提供同意を
取得されています
Slide 211
Slide 211 text
##基礎から学び直す個情法と最新実務対応
ここからは、実際に見られるプラポリの記載を一緒に見てみましょう
211
Slide 212
Slide 212 text
##基礎から学び直す個情法と最新実務対応
【事例1】
212
弊社グループは、以下に定める場合、取得情報を第三者に提供します。
• 本サービスを提供するために弊社グループが必要と判断した、本サービス上での情報の提供の
場
お客様は、提供された他のお客様の情報を、本サービスの利用規約に従った本サービスの利
用に必要な範囲でのみ利用するものとし、それぞれのお客様の事前の同意なく、他のお客様の
情報を第三者に提供してはなりません。また、取得情報は、本サービス上で弊社グループが定
める期間、公開されます。
• 弊社グループがサービスの運営および提供において必要と判断した場合
①目的: ②主体: ③客体:
Slide 213
Slide 213 text
##基礎から学び直す個情法と最新実務対応
【事例2】
213
当社は、利用者の同意を得ることなく、各アプリ及び各サービスにて利用者から取得・保
存した利用者情報を第三者に開示又は提供することはありません。ただし、以下の場合
は除きます。
1. 法令に基づく場合
2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得
ることが困難であるとき
3. 国の機関若しくは地方公共団体又はその委託を受けたものが、法令の定めにより遂
行することに協力する必要がある場合であって、本人の同意を得ることによりその遂
行に支障を及ぼすおそれがあるとき
4. 上記各号のほか、社会通念上、当社が必要と判断した場合であって、本人の同意を
得ることが困難であるとき
①目的: ②主体: ③客体:
Slide 214
Slide 214 text
##基礎から学び直す個情法と最新実務対応
【事例3】
214
(前略)
以下の場合においては、氏名や住所など直接特定の個人を識別することができる情報を
除外した上で、当社は第三者に対して、必要な範囲でパーソナルデータを提供いたしま
す。
1. 当社のサービス等の提供に必要な場合
(当社のサービス等に関する広告、プロモー ション活動等に必要な場合を含みます)
2. 当社のサービス等の品質向上のために必要な場合
3. 当社の新たなサービス等の検討のために必要な場合
4. 調査・研究・分析のために研究機関に提供する場合
①目的: ②主体: ③客体:
3
1
Slide 215
Slide 215 text
##基礎から学び直す個情法と最新実務対応
【事例4】
215
当社は、お客様が商品を購入された際、お客様に関する情報、購入した商品に
関する情報および商品の配送が伴う場合は配送先に関する情報(以下「購入情
報」と総称します。)を、商品の提供に必要な範囲で販売者に提供します。
①目的: ②主体: ③客体:
3
1 2
Slide 216
Slide 216 text
##基礎から学び直す個情法と最新実務対応
【事例5】
216
ご注文時におけるクレジットカードを利用された決済時において、お客様がご利用契約さ
れているクレジットカード会社からの依頼に基づき、ご登録いただいている以下のお客様
の情報を提供する場合がございます。
(提供の目的)
クレジットカード番号などの情報の盗用による不正利用を防ぎ、安全にクレジットカードを
ご利用いただくため。
(提供する項目)
・カード名義人、ご登録の郵便番号、ご住所、E-mailアドレス
(提供方法)
・電子データ
①目的: ②主体: ③客体:
3
1
2
Slide 217
Slide 217 text
##基礎から学び直す個情法と最新実務対応
【事例6】
217
当社は、よりお客さまに関連性の強い広告を配信するため、広告配信、効果測定、分析等を行なうために
お客さまの同意の上、以下のとおり広告配信事業者(外国にある場合を含みます。)に個人データを提供
することがあります。
提供先の広告配信事業者:以下を含みます(リストは随時更新します。)
• A社
• B社
• …
提供する個人データ:ハッシュ化したメールアドレス等
(上記2.(1)のとおり当社が自ら取得したものであって、元のメールアドレス等に戻せない形式に加工し
たものです。)
上記のほか、当社は、次に掲げる場合を除き、本人の同意を得ることなく個人データを第三者へ提供しま
せん。(後略)
①目的: ②主体: ③客体:
3
1
2
Slide 218
Slide 218 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
Slide 219
Slide 219 text
##基礎から学び直す個情法と最新実務対応
資料冒頭で言及した、広告領域におけるカスタマーマッチの話です
219
Cookie
カスタマーマッチ
コンバージョンAPI
Slide 220
Slide 220 text
##基礎から学び直す個情法と最新実務対応
相談が多いにも関わらず、誤解が多い領域なので少し掘り下げて説明します
220
Slide 221
Slide 221 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
• カスタマーマッチの仕組み
• ハッシュ化の位置付け
• 混ぜるな危険
Slide 222
Slide 222 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
• カスタマーマッチの仕組み
• ハッシュ化の位置付け
• 混ぜるな危険
Slide 223
Slide 223 text
##基礎から学び直す個情法と最新実務対応
まず自社で保有する、ユーザーのメールアドレス等をハッシュ化します
223
自社
個人情報
データベース等
ハッシュ化
個人データ
【凡例】 :メールアドレスなど
:ハッシュ化したメールアドレスなど
:ターゲットユーザーの情報
カスタマーマッチの仕組み
Slide 224
Slide 224 text
##基礎から学び直す個情法と最新実務対応
ハッシュ化した個人データを、他社(プラットフォーマー)に提供します
224
提供
自社 他社
(プラットフォーマー)
個人情報
データベース等
ハッシュ化
個人データ
【凡例】 :メールアドレスなど
:ハッシュ化したメールアドレスなど
:ターゲットユーザーの情報
カスタマーマッチの仕組み
Slide 225
Slide 225 text
##基礎から学び直す個情法と最新実務対応
他社は、受け取ったデータを、個人情報データベース等にぶつけます
225
提供
自社 他社
(プラットフォーマー)
個人情報
データベース等
個人情報
データベース等
ハッシュ化
個人データ
【凡例】 :メールアドレスなど
:ハッシュ化したメールアドレスなど
:ターゲットユーザーの情報
カスタマーマッチの仕組み
Slide 226
Slide 226 text
##基礎から学び直す個情法と最新実務対応
浮かび上がったターゲットユーザーに対して効率的に広告等を配信できます
226
提供 広告配信
自社 他社
(プラットフォーマー)
個人情報
データベース等
個人情報
データベース等
ハッシュ化
個人データ 個人情報
データベース等
他社
(広告ネットワーク)
【凡例】 :メールアドレスなど
:ハッシュ化したメールアドレスなど
:ターゲットユーザーの情報
カスタマーマッチの仕組み
Slide 227
Slide 227 text
##基礎から学び直す個情法と最新実務対応
この提供が委託ですか?第三者提供ですか?というのが後に議論になります
227
他社
(プラットフォーマー)
【凡例】 :メールアドレスなど
:ハッシュ化したメールアドレスなど
:ターゲットユーザーの情報
「混ぜるな危険」って何だっけ
提供
自社
個人情報
データベース等
ハッシュ化
個人データ
Slide 228
Slide 228 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
• カスタマーマッチの仕組み
• ハッシュ化の位置付け
• 混ぜるな危険
Slide 229
Slide 229 text
##基礎から学び直す個情法と最新実務対応
【再掲】
先ほど「ハッシュ化」した個人データを他社に提供することを説明しました
229
提供
自社 他社
(プラットフォーマー)
個人情報
データベース等
ハッシュ化
個人データ
【凡例】 :メールアドレスなど
:ハッシュ化したメールアドレスなど
:ターゲットユーザーの情報
カスタマーマッチの仕組み
ハッシュ化とは 個人情報該当性
Slide 230
Slide 230 text
##基礎から学び直す個情法と最新実務対応
難しい部分なので、「ハッシュ化」について少し説明を補足します
230
ハッシュ化とは 個人情報該当性
Slide 231
Slide 231 text
##基礎から学び直す個情法と最新実務対応
ハッシュ化は、入力情報を別のランダムなデータに変換する関数・機構です
氏名
山田太郎
田中次郎
仮ID
gfaw42
fa923fd
ハッシュ化とは 個人情報該当性
231
Slide 232
Slide 232 text
##基礎から学び直す個情法と最新実務対応
ハッシュ化後データをハッシュ関数に入れても元データには戻りません
氏名
山田太郎
田中次郎
仮ID
gfaw42
fa923fd
ハッシュ化とは 個人情報該当性
232
Slide 233
Slide 233 text
##基礎から学び直す個情法と最新実務対応
しかし、入力が同じなら「今日の出力」と「明日の出力」は同じになります
2025/2/19
氏名
山田太郎
田中次郎
仮ID
gfaw42
fa923fd
2025/2/20
氏名
山田太郎
田中次郎
仮ID
gfaw42
fa923fd
ハッシュ化とは 個人情報該当性
233
Slide 234
Slide 234 text
##基礎から学び直す個情法と最新実務対応
続いて、「ハッシュ化をしても引き続き個人情報ですよ」という話をします
ハッシュ化とは 個人情報該当性
氏名
山田太郎
田中次郎
仮ID
gfaw42
fa923fd
個人情報 個人情報
234
Slide 235
Slide 235 text
##基礎から学び直す個情法と最新実務対応
本件について説明したQ&Aがあるので、これに沿ってご説明します*
* Q&Aは匿名加工情報の話ですが、「匿名加工情報」を「ハッシュ化データ」と読み替えてみてください
出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q15-14
ハッシュ化とは 個人情報該当性
235
Slide 236
Slide 236 text
##基礎から学び直す個情法と最新実務対応
個人に関する情報を、個人情報と非個人情報に分けたときに
個人に関する情報
個人情報 非個人情報
ハッシュ化とは 個人情報該当性
236
Slide 237
Slide 237 text
##基礎から学び直す個情法と最新実務対応
非個人情報の特別な類型として、匿名加工情報があります
個人に関する情報
個人情報 非個人情報
匿名加工情報
ハッシュ化とは 個人情報該当性
237
Slide 238
Slide 238 text
##基礎から学び直す個情法と最新実務対応
先ほどのQ&Aは、この匿名加工情報を作るときの説明でしたが
個人に関する情報
個人情報 非個人情報
匿名加工情報
ハッシュ化とは 個人情報該当性
238
Slide 239
Slide 239 text
##基礎から学び直す個情法と最新実務対応
当該議論は、匿名加工情報ではない非個人情報を作る時にも妥当します
個人に関する情報
個人情報 非個人情報
匿名加工情報
ハッシュ化とは 個人情報該当性
239
Slide 240
Slide 240 text
##基礎から学び直す個情法と最新実務対応
そして、Q15-14の前半部分では氏名と仮IDの対応表が問題になっていますが
ハッシュ化とは 個人情報該当性
240
Slide 241
Slide 241 text
##基礎から学び直す個情法と最新実務対応
まずはそもそも、なぜ仮IDの対応表が問題になるのかの説明から入ります
ハッシュ化とは 個人情報該当性
241
Slide 242
Slide 242 text
##基礎から学び直す個情法と最新実務対応
氏名とそれに紐づいた利用履歴情報は当然個人情報に該当しますが
氏名 利用履歴情報
山田太郎 XXXXXX
田中次郎 YYYYYY
個人情報
ハッシュ化とは 個人情報該当性
242
Slide 243
Slide 243 text
##基礎から学び直す個情法と最新実務対応
この「氏名」をハッシュ化するなどして仮IDに置き換えたら
氏名 利用履歴情報
山田太郎 XXXXXX
田中次郎 YYYYYY
仮ID 利用履歴情報
gfaw42 XXXXX
fa923fd YYYYY
個人情報
氏名をハッシュ化して仮IDに
ハッシュ化とは 個人情報該当性
243
Slide 244
Slide 244 text
##基礎から学び直す個情法と最新実務対応
こっちの情報は、ひょっとして非個人情報になりますか?という話です
仮ID 利用履歴情報
gfaw42 XXXXX
fa923fd YYYYY
氏名 利用履歴情報
山田太郎 XXXXXX
田中次郎 YYYYYY
個人情報 非個人情報?
ハッシュ化とは 個人情報該当性
244
Slide 245
Slide 245 text
##基礎から学び直す個情法と最新実務対応
そして、仮IDの対応表を破棄する必要がありますか?という部分ですが
ハッシュ化とは 個人情報該当性
245
Slide 246
Slide 246 text
##基礎から学び直す個情法と最新実務対応
絵で表すとこのような話です
氏名 仮ID
山田太郎 abcde
山田次郎 fghij
氏名 利用履歴情報
山田太郎 XXXXXX
田中次郎 YYYYYY
仮ID 利用履歴情報
gfaw42 XXXXX
fa923fd YYYYY
個人情報 非個人情報?
対応表
ハッシュ化とは 個人情報該当性
246
Slide 247
Slide 247 text
##基礎から学び直す個情法と最新実務対応
対応表は「破棄する必要がある」というのがA15-14の答えです
ハッシュ化とは 個人情報該当性
247
Slide 248
Slide 248 text
##基礎から学び直す個情法と最新実務対応
なぜなら、左のテーブルから対応表を容易に照合することができますし
氏名 仮ID
山田太郎 abcde
山田次郎 fghij
氏名 利用履歴情報
山田太郎 XXXXXX
田中次郎 YYYYYY
仮ID 利用履歴情報
gfaw42 XXXXX
fa923fd YYYYY
個人情報 非個人情報?
対応表
ハッシュ化とは 個人情報該当性
248
Slide 249
Slide 249 text
##基礎から学び直す個情法と最新実務対応
対応表から、右のテーブルも容易に照合することができてしまいます
氏名 仮ID
山田太郎 abcde
山田次郎 fghij
氏名 利用履歴情報
山田太郎 XXXXXX
田中次郎 YYYYYY
仮ID 利用履歴情報
gfaw42 XXXXX
fa923fd YYYYY
個人情報 非個人情報?
対応表
ハッシュ化とは 個人情報該当性
249
Slide 250
Slide 250 text
##基礎から学び直す個情法と最新実務対応
よって、対応表を削除しないと容易照合性を否定することができません
氏名 仮ID
山田太郎 abcde
山田次郎 fghij
氏名 利用履歴情報
山田太郎 XXXXXX
田中次郎 YYYYYY
仮ID 利用履歴情報
gfaw42 XXXXX
fa923fd YYYYY
個人情報 非個人情報?
個人情報
ハッシュ化とは 個人情報該当性
対応表
250
Slide 251
Slide 251 text
##基礎から学び直す個情法と最新実務対応
続いて後半、「乱数等のパラメータ」は破棄する必要があるでしょうか
ハッシュ化とは 個人情報該当性
251
Slide 252
Slide 252 text
##基礎から学び直す個情法と最新実務対応
先ほどまでの検討結果から、対応表が残っているとよくないので
氏名 仮ID
山田太郎 abcde
山田次郎 fghij
氏名 利用履歴情報
山田太郎 XXXXXX
田中次郎 YYYYYY
仮ID 利用履歴情報
gfaw42 XXXXX
fa923fd YYYYY
個人情報 非個人情報?
対応表
ハッシュ化とは 個人情報該当性
252
Slide 253
Slide 253 text
##基礎から学び直す個情法と最新実務対応
対応表は破棄することにしました
氏名 仮ID
山田太郎 abcde
山田次郎 fghij
氏名 利用履歴情報
山田太郎 XXXXXX
田中次郎 YYYYYY
仮ID 利用履歴情報
gfaw42 XXXXX
fa923fd YYYYY
個人情報 非個人情報?
対応表
ハッシュ化とは 個人情報該当性
253
Slide 254
Slide 254 text
##基礎から学び直す個情法と最新実務対応
対応表の元になった「乱数等のパラメータ」は残していいかという問いです
氏名 仮ID
山田太郎 abcde
山田次郎 fghij
氏名 利用履歴情報
山田太郎 XXXXXX
田中次郎 YYYYYY
仮ID 利用履歴情報
gfaw42 XXXXX
fa923fd YYYYY
個人情報 非個人情報?
ハッシュ化とは 個人情報該当性
254
Slide 255
Slide 255 text
##基礎から学び直す個情法と最新実務対応
そして、 A15-14の答えは「破棄する必要があります」というものです
ハッシュ化とは 個人情報該当性
255
Slide 256
Slide 256 text
##基礎から学び直す個情法と最新実務対応
何故なら、 「乱数等のパラメータ」を残しているのであれば
氏名 利用履歴情報
山田太郎 XXXXXX
田中次郎 YYYYYY
仮ID 利用履歴情報
gfaw42 XXXXX
fa923fd YYYYY
個人情報 非個人情報?
ハッシュ化とは 個人情報該当性
256
Slide 257
Slide 257 text
##基礎から学び直す個情法と最新実務対応
それは対応表を残していることと実質的には変わりませんよね
氏名 利用履歴情報
山田太郎 XXXXXX
田中次郎 YYYYYY
仮ID 利用履歴情報
gfaw42 XXXXX
fa923fd YYYYY
個人情報
氏名 仮ID
山田太郎 abcde
山田次郎 fghij
非個人情報?
個人情報
ハッシュ化とは 個人情報該当性
257
Slide 258
Slide 258 text
##基礎から学び直す個情法と最新実務対応
なぜなら、入力が同じなら「今日の出力」と「明日の出力」は同じですから
2024/10/17
氏名
山田太郎
田中次郎
仮ID
gfaw42
fa923fd
2024/10/18
氏名
山田太郎
田中次郎
仮ID
gfaw42
fa923fd
ハッシュ化とは 個人情報該当性
258
Slide 259
Slide 259 text
##基礎から学び直す個情法と最新実務対応
「乱数等のパラメータ」があれば、対応表があるのと同じです
氏名 利用履歴情報
山田太郎 XXXXXX
田中次郎 YYYYYY
仮ID 利用履歴情報
gfaw42 XXXXX
fa923fd YYYYY
個人情報
氏名 仮ID
山田太郎 abcde
山田次郎 fghij
非個人情報?
個人情報
ハッシュ化とは 個人情報該当性
259
Slide 260
Slide 260 text
##基礎から学び直す個情法と最新実務対応
よって、非個人情報にしたいのであれば破棄する必要があります
ハッシュ化とは 個人情報該当性
260
Slide 261
Slide 261 text
##基礎から学び直す個情法と最新実務対応
本日のお品書き
◼ 個人情報保護法の基礎
➢ 個人情報保護法はなぜ難しい?
➢ 個人情報の定義を正確に理解しよう
◼ 実務対応
➢ プラポリ作ってください
➢ 漏えいしちゃいました
➢ SaaSにデータ入れていいですか
➢ 今のプラポリで、協力会社に個人データを提供できますか
➢ 広告配信にメールアドレスを使っていいですか
• カスタマーマッチの仕組み
• ハッシュ化の位置付け
• 混ぜるな危険
Slide 262
Slide 262 text
##基礎から学び直す個情法と最新実務対応
【再掲】
この提供が委託ですか?第三者提供ですか?というのが後に議論になります
262
他社
(プラットフォーマー)
【凡例】 :メールアドレスなど
:ハッシュ化したメールアドレスなど
:ターゲットユーザーの情報
「混ぜるな危険」って何だっけ
提供
自社
個人情報
データベース等
ハッシュ化
個人データ
Slide 263
Slide 263 text
##基礎から学び直す個情法と最新実務対応
一般に「混ぜるな危険」と呼ばれている論点です
出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-41
263
Slide 264
Slide 264 text
##基礎から学び直す個情法と最新実務対応
解決方法が2つ示されています
264
Slide 265
Slide 265 text
##基礎から学び直す個情法と最新実務対応
ひとつめは第三者提供と整理した上で、提供元で同意を取得するパターン
解決方法①
265
Slide 266
Slide 266 text
##基礎から学び直す個情法と最新実務対応
ひとつめは第三者提供と整理した上で、提供元で同意を取得するパターン
提供
自社
(提供元)
他社
(提供先)
個人データ
同意取得
解決方法①
266
Slide 267
Slide 267 text
##基礎から学び直す個情法と最新実務対応
ひとつめは第三者提供と整理した上で、提供元で同意を取得するパターン
出所:https://www.coca-cola.com/jp/ja/legal/privacy-policy
解決方法①
267
Slide 268
Slide 268 text
##基礎から学び直す個情法と最新実務対応
ふたつめは委託と整理した上で、提供先で同意を取得するパターンです
解決方法②
268
Slide 269
Slide 269 text
##基礎から学び直す個情法と最新実務対応
ふたつめは委託と整理した上で、提供先で同意を取得するパターンです
提供
個人データ
同意取得
解決方法②
自社
(委託元)
他社
(委託先)
269
Slide 270
Slide 270 text
##基礎から学び直す個情法と最新実務対応
ふたつめは委託と整理した上で、提供先で同意を取得するパターンです
出所:https://policies.google.com/privacy?hl=ja%22+%5Cl+%22footnote-other-sites#footnote-link-info
解決方法②
270
Slide 271
Slide 271 text
##基礎から学び直す個情法と最新実務対応
でも、今までプラットフォーマーから再同意取られたことってあったっけ?
疑問①
271
Slide 272
Slide 272 text
##基礎から学び直す個情法と最新実務対応
渡したデータって、本当に委託の範囲でしか使われないんだっけ?
既存機能の改善? 新機能の開発 別プロダクトの開発
疑問②
272
Slide 273
Slide 273 text
##基礎から学び直す個情法と最新実務対応
本当に委託でいけるかは、リスク踏まえて判断すべきことだと思います
結論
273
Slide 274
Slide 274 text
##基礎から学び直す個情法と最新実務対応
以上、大変な長時間お付き合いいただきありがとうございました
274
Slide 275
Slide 275 text
##基礎から学び直す個情法と最新実務対応
ご清聴いただきありがとうございました!
世古修平(せこしゅうへい)
Website(事務所) :https://www.leact.law/
Website(個人) :https://www.seko-law.info/
X(旧Twitter) :@seko_law
Mail :[email protected]
275