個人情報保護制度を知ろう

Transcript

1. 個人情報保護制度を知ろう 坂ラッシュ(@sakaiine)

2. はじめに • 名前：坂ラッシュ (@sakaiine) • B3で専攻は電電、興味は情報と法学 • 最近はKotlinを書いていた Minecraftのサーバーを頑張って作っていました、この前Betaテストをしました •

   ちょっとBeatbox Gameを見るのが好きになった • 正確には個人情報保護委員会の資料等を参照 このスライドでは、多くの内容や具体的な基準を省いて、概念の理解につとめています 特に、⾏政法人などに係るものは殆ど省き、民間向けの法規に重きをおいています 2

3. 個人情報に関するニュース • Suica事件 (2013/07） JR東日本が、Suicaの利用者情報を日立に販売していた問題 平成27年個人情報保護法の改正につながる • LINE事件 (2021/03) LINE社が利用者の個人情報やトーク履歴を中国からアクセス可能にしていた問題

   • JR東日本 顔識別問題 ← now! (2021/09) JR東日本が、利用者の顔を識別し、不審者や指名手配犯、 出所者を検知して駅員に伝える仕組みが話題に 報道を受け、出所者に関しては登録しないこととなった 3

4. 個人情報保護制度の基礎づけ Section 1

5. 個人情報はなぜ守られる？ • プライバシー権があるから • 憲法13条「幸福追求権」より導かれる 「すべて国民は、個人として尊重される。⽣命、自由及び幸福追求に対する国民の権利については、 公共の福祉に反しない限り、立法その他の国政の上で、最大の尊重を必要とする。」 • プライバシー権とは、どのような権利だろう？ 憲法13条

   「幸福追及権」 プライバシー権 5

6. 自己情報コントロール権説 • プライバシーの権利は、自己の情報をコントロール する権利であるとする立場 なお、この立場は古典的なプライバシーの権利（私⽣活をみだりに公開されない権利等）を 否定するわけではない • 個人情報を「開示」「訂正」「削除」させる権利 しかし、このような請求権は具体的な法律や条例無しには認めにくい •

   これを法的に具体的にしたのが、個人情報保護制度 ただし、個人情報保護法に直接この権利が明記されているわけではない 憲法13条 「幸福追及権」 プライバシー権 自己情報 コントロール権 個人情報 保護制度 6

7. 個人情報保護法の歩み • 一部自治体で個人情報保護条例が成立 • 平成15年 個人情報保護法制定 • 平成27年 改正（大改正） •

   令和2年 改正（3年ごと見直し） 令和4年4月から全面施⾏ • 令和3年 改正（予定、2000個問題解消等） 7

8. 個人情報保護法における定義 Section 2

9. 「個人情報」の定義 • 「個人情報」 ⽣存する個人に関する情報で、以下のいずれかに該当するもの 1. 氏名、⽣年月日その他の記述等により特定の個人を識別することができるもの 2. 個人識別符号が含まれるもの • 「個人識別符号」

   以下のいずれかに該当するものであり、政令・規則で個別に指定される 1. 身体の一部の特徴を電子計算機のために変換した符号 例：DNA、顔、虹彩、歩⾏の様態、静脈、指紋、掌紋 2. サービス利用などで対象者に割り振られる符号、公的な番号 例：旅券番号、マイナンバー、年⾦番号、保険証番号、住民票コード 9

10. 「個人データ」の定義 • 「個人データ」 個人情報のうち、特定の個人情報を検索できるよう体系的に構成したもの 個人情報データベース等を構成する個人情報 • 「保有個人データ」 個人データのうち、事業者に開示・訂正・消去等の権限があるもの 委託された等で権限が無い場合は、義務も課されない •

    個人情報 ⊇ 個人データ ⊇ 保有個人データ 個人情報 個人データ 保有個人データ 個人識別符号 データベース化 保有している 厳しい規制 10

11. その他の定義 • 「個人情報取扱事業者」（以下「事業者」） 個人情報データベース等を事業のために使う者、だいたいみんなそう • 「要配慮個人情報」 個人情報の中で、特に扱いに配慮が必要なもの 例：人種、信条、社会的身分、病歴、犯罪歴、犯罪被害等 • 「個人情報保護委員会」（以下「委員会」）

    個人情報の取扱いに関する強い監視、監督権限を持つ独立機関 11

12. 事業者の義務 Section 3

13. 事業者が守るべきルール • 取得、利用 • 保管 • 第三者提供（国内、国外） • 開示、訂正、利用停止等 13

14. 取得・利用 • 適正な方法で取得する • 目的を事前に、具体的に公表・通知する • 個人情報は目的の範囲内で利用 or 同意をとりなおす •

    要配慮個人情報の取得は同意が必須 JR東日本の顔識別問題では、犯罪歴を本人の同意なく取得していて、法の趣旨に反している と指摘されました。（他の法律の制度を利用した取得で、例外規定に当てはまる可能性があ るかもしれないが、趣旨から大きく外れていると指摘されています。） 14

15. 保管 • 個人データに適用される • 安全に管理するための措置を取る（安全管理義務） • 最新の内容に保ち、必要でない場合は削除する • 従業員に対して、必要かつ適切な監督を⾏う •

    委託先に対して、必要かつ適切な監督を⾏う 15

16. 漏えい時の報告・通知の義務 • 以下の場合は委員会への報告と本人への通知が義務 • 要配慮個人情報の漏えい • 不正アクセス等による漏えい • 財産的被害のおそれがある漏えい（クレカなど） •

    一定件数以上の漏えい（1000件以上） 16

17. 第三者提供（国内） • 委託は第三者提供にあたらない • 第三者提供が出来るのは以下の場合 • 本人の事前同意が得られている（オプトイン原則） • オプトアウト規定（後述）の手続きを経ている •

    次のいずれかの事情 1. 法令に基づく場合 2. 人の⽣命、身体または財産の保護に必要だが、本人の同意を得るのが困難な場合 3. 公衆衛⽣や児童の健全な育成のために必要だが、本人の同意を得るのが困難な場合 4. 公共機関が法令に定める事務を遂⾏するにあたり、本人の同意を得ては事務の遂⾏に 支障を及ぼすおそれがある場合 17

18. オプトアウト規定 • 以下の手続きを経ると、第三者提供が可能 1. 本人の請求があれば、その本人のデータの提供を停止しなければならない 2. 提供の目的や停止の請求方法などを、予め本人に通知または公表する 3. 通知した事項を予め委員会に届け出る •

    ただし不正取得されたデータや、要配慮個人情報、 オプトアウト規定により入手したデータについては 適用不可 ← new! 18

19. 第三者提供（国外） • 第三者が国外にある場合はより厳しい • 以下のいずれか場合のみ 1. 第三者への提供について明確な事前同意を得ている 2. 外国の第三者が十分な体制を整備している 3.

    外国の第三者が委員会が認めた国に所在する EU加盟国、イギリスなどのGDPR（後述）の制度下の国 19

20. 第三者提供の記録 • 第三者に提供した場合は記録する、ただし次は例外 • 本人を当事者とする提供 • 個人データでない場合 • 個人データが単体の場合 •

    本人の同意がある場合 • 記録は原則3年保管 • 本人による開示の対象、開示の媒体は 本人が指定可能 ← new! 20 １枚の名刺の提供などはセーフ

21. 開示、訂正、利用停止等 • 保有個人データのみに適用される • 本人の請求に応じて⾏う • 苦情への対応の手続きを用意し、以下を掲示する 1. 事業者の名称 2.

    利用目的 3. 請求手続の方法 4. 苦情の申出先 5. 加入している場合のみ、個人情報保護団体の名称と苦情申出先 21

22. 個人情報の加工 Section 4

23. 「加工情報」の定義 • 個人情報は安全に加工することで、規制が緩和され る • 「匿名加工情報」 ← 平成27年改正法 特定の個人が識別できないように個人情報に以下の加工をしたもの 1.

    個人を特定出来る記述、特異な記述の一部等を削除、置換する 2. 個人識別符号を、全て削除する • 「仮名加工情報」 ← new! 令和2年改正法 他の情報と照合しない限り特定の個人が識別できないように、個人情報に加工をしたもの 匿名加工情報と違い、特異な記述の削除は必要ない 23

24. 匿名加工情報に関する義務 • 個人を特定出来ず、復元出来ないくらいに加工する ただし、完全に特定出来ず、復元出来ないのは難しいので、一般人レベルを基準に判断 • 作成するときは項目を公表する • 照合、識別をしてはいけない • 加工方法の情報は安全管理義務がある

    • 匿名加工情報の安全管理義務は努力義務 24

25. 匿名加工情報の利用 • 項目や提供方法を公表すると第三者提供できる • 第三者提供の、本人同意は不要 • 第三者には、匿名加工情報であることを伝える • 目的外利用してもOK 25

26. 匿名加工情報のための加工 • k-匿名性 同一属性のデータレコードがk件以上になるようにすること • 詳しくはガイドライン参照 (クレカ番号) 学士太郎 20歳 181cm

    きのこの山 20~24歳 180cm以上 きのこの山 個人情報 匿名加工情報 匿名化 26

27. 仮名加工情報に関する義務 • 個人を特定出来ない程度に加工する 他の情報（対照表等）と照合すれば本人が分かる程度 • 作成するときは項目を公表する • 照合、識別をしてはいけない • 対照表、仮名加工情報には安全管理義務

    • 利用目的には制限がある（変更可能） 27

28. 仮名加工情報の利用 • 第三者提供は原則禁止 ただし、委託・共同利用は可能 • 内部での分析などを想定 • 必要がなくなったら消去の努力義務 • 本人への到達⾏為には使えない

    電子メールの送付など • 柔軟な利用目的の変更と他社との共同利用が利点？ 28

29. 仮名加工情報のための加工 • ガイドラインが見つからないので自作例 (クレカ番号) 学士太郎 20歳 181cm きのこの山 個人情報 仮名化

    0001 181cm きのこの山 仮名加工情報 学士太郎 20歳 0001 対照表 照合は禁止！ 29

30. 加工情報のまとめ • 個人情報から加工をするほど規制が弱まる • 個人情報 > 仮名加工情報 > 匿名加工情報 •

    加工や利用に際してはガイドラインを読もう 30

31. まとめ、今後の展望など Section 5

32. 原則 • 個人情報に関することは、 本人への「通知」「公表」「同意」が原則 • 利用目的を定め、信頼されるように • 漏えいしたら委員会へ報告する • 加工すればよりビッグデータとして扱いやすく

    • 罰則も段々大きく（令和2年改正で最大1億円） 32

33. 世界の話 (EUなど) • 1980年 OECD8原則 これ以前にもドイツの一部やフランス、スウェーデンなどで先進的な立法 • 1995年 EUデータ保護指令 •

    2016年 EU一般データ保護規則（通称「GDPR」） • EUの十分性認定とオムニバス形式 日本は2019年に十分性認定（国が十分な保護水準を満たしているとみなされること） オムニバス形式は、一つの法律で公的機関と民間双方を対象にする • GDPRはEU住人の個人情報を扱う日本企業にも 数百億円の罰⾦も… 33

34. 他国の話 (US) • アメリカはセグメント方式で自由主義 セグメント形式は、公民などを個別の法律で規定する • 十分性認定を巡ってEUと対立 • 1990年 セーフハーバー・アレンジメント

    プログラムに加入した企業のみ十分だとして移転を認める妥協案 • 2016年 プライバシー・シールド 米政府機関による情報収集のリークが物議を醸し、より制限が強くなる • カリフォルニア州、バージニア州などが先進的 カリフォルニア州消費者プライバシー法、プライバシー権利法 バージニア州消費者データ保護法など 34

35. 令和3年改正について • 3年ごと見直しとは別の見直し改正 平成27年改正で、法令を3年ごとに見直そうという規定が出来た • 2000個問題の解消 国、独立⾏政法人、民間、地方自治体などで2000個にも及ぶ法規が乱立 それぞれの相互利用の困難さや、保護の水準の差異が問題に • 大学などの独立⾏政法人を民間レベルに緩和

    • 現在審議中? 35

36. 参考文献

37. • 「個人情報に関するニュース」 • 小川崇 赤田康和. “「駅で出所者を顔認識」とりやめ JR東「社会的合意まだ得られず」”. 朝日新聞DIGITAL. 2021/09/21更新. https://www.asahi.com/articles/ASP9P64GLP9PUTIL02D.html

    (2021/09/25) • Suicaに関するデータの社外への提供についての有識者会議. “Suica に関するデータの社外への提供について”. 2015/11/26更新 https://www.jreast.co.jp/information/aas/20151126_torimatome.pdf (2021/09/25) • Section1「個人情報保護制度の基礎づけ」 • 曽我部真裕ら. 情報法概説. 初版, 弘文堂, 2016年, 404ページ • 個人情報保護委員会.個人情報保護法 令和２年改正及び令和３年改正案について. 2021/05/07 更新 https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science/pd f/001_03_02.pdf (2021/09/25) 37

38. • Section2「個人情報保護法における定義」 • 曽我部真裕ら. 情報法概説. 初版, 弘文堂, 2016年, 404ページ •

    個人情報保護委員会.個人情報保護法 令和２年改正及び令和３年改正案について. 2021/05/07 https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science/pd f/001_03_02.pdf (2021/09/25) • Section3「事業者の義務」 • 曽我部真裕ら. 情報法概説. 初版, 弘文堂, 2016年, 404ページ • 個人情報保護委員会. 平成31年個人情報保護委員会告示第１号. https://www.ppc.go.jp/files/pdf/210101_h31iinkaikokuji01.pdf (2021/09/25) • 個人情報保護委員会事務局. 個人情報保護法の基本. https://www.ppc.go.jp/files/pdf/28_setsumeikai_siryou.pdf (2021/09/25) 38

39. • Section4「個人情報の加工」 • 個人情報保護委員会.個人情報保護法 令和２年改正及び令和３年改正案について. 2021/05/07 https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science/pd f/001_03_02.pdf (2021/09/25) •

    個人情報保護委員会事務局. 個人情報保護法の基本. https://www.ppc.go.jp/files/pdf/28_setsumeikai_siryou.pdf (2021/09/25) • Section5「まとめ、今後の展望など」 • 宮下紘. EU一般データ保護規則. 初版, 勁草書房, 2018年, 総381ページ • 個人情報保護委員会.個人情報保護法 令和２年改正及び令和３年改正案について. 2021/05/07 https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science/pd f/001_03_02.pdf (2021/09/25) • 須田祐子. “米EU間のプライバシー外交の新展開”. 成蹊大学一般研究報告. 2018年, 51巻, https://www.taf.or.jp/files/items/1078/File/須田祐子.pdf (2021/09/25) 39