個人 情報 取扱 事業 者 - 個人情報取扱事業者

者 事業 情報 個人 取扱 個人情報取扱事業者の義務

個人情報取扱事業者の義務

者 事業 情報 個人 取扱 個人情報取扱事業者の安全管理措置について

者 事業 情報 個人 取扱 【用語集】個人情報取扱事業者とは何ですか?

【令和2年改正対応】個人情報の漏えい等、滅失、毀損とは 企業が取るべき対応は

者 事業 情報 個人 取扱 個人情報取扱事業者の義務

者 事業 情報 個人 取扱 4つの安全管理措置の概要と押さえておくべきポイント

【用語集】個人情報取扱事業者とは何ですか?

者 事業 情報 個人 取扱 【令和2年改正対応】個人情報の漏えい等、滅失、毀損とは 企業が取るべき対応は

者 事業 情報 個人 取扱 個人情報取扱事業者の義務(「適正な取得」編)

個人情報取扱事業者

者 事業 情報 個人 取扱 個人情報取扱事業者の義務

個人情報取扱事業者の義務(「適正な取得」編)

者 事業 情報 個人 取扱 個人情報の保護に関する法律についてのガイドライン(通則編) |個人情報保護委員会

者 事業 情報 個人 取扱 個人情報取扱事業者の義務

個人情報保護法における「個人情報取扱事業者」とは誰を指すのでしょ・・・

A 個人番号を利用することができる事務の範囲 a 個人番号利用事務(番号法第9条第1項及び第2項) 個人番号利用事務とは、主として、行政機関等が、社会保障、税及び災害対策に関する特定の事務において、保有している個人情報の検索、管理のために個人番号を利用することをいう。 3-4 個人データの第三者への提供(法第23条~第26条関係) 3-4-1 第三者提供の制限の原則(法第23条第1項関係) 法第23条(第1項)• B 利用目的の通知等(個人情報保護法第18条) a 利用目的の通知等(第1項) 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。 【従業者に対して必要かつ適切な監督を行っていない事例】 事例1)従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを確認しなかった結果、個人データが漏えいした場合 事例2)内部規程等に違反して個人データが入ったノート型パソコン又は外部記録媒体が繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、当該パソコン又は当該記録媒体が紛失し、個人データが漏えいした場合 3-3-4 委託先の監督(法第22条関係) 法第22条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 3 個人情報取扱事業者等の義務 3-1 個人情報の利用目的(法第15条~第16条、第18条第3項関係) 3-1-1 利用目的の特定(法第15条第1項関係) 法第15条(第1項) 1 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。 「共同利用」……特定の事業者間で個人データを提供して利用すること (共同利用の事前本人通知等があれば、個人データの提供は第三者提供にあたりません なお、各事業者が個人情報取扱事業者として安全管理措置義務等を負うことになります) 【事例1・ダイレクトメール発送業務】 ・事例1 顧客aらへダイレクトメールを発送する業務について、事業者Aは事業者Bへ委託することとしました 事業者Aは顧客aらの住所氏名等の個人情報をデータベース化しており、事業者Aから事業者Bへ顧客情報データベースを提供することにしました 事業者Bは、上記データベースにアクセスして、顧客aらの住所氏名をシールに印刷して、そのシールを郵便物へ貼り付けて、発送することにしました ・事業者「A」の個人情報保護法上の義務1(安全管理措置、従業者の監督等) 上記データベースは「個人情報データベース等」にあたり、事業者Aは上記データベースを事業に利用する者として「個人情報取扱事業者」にあたり、事業者Aにおけるデータベースを構成する顧客aらの個人情報は「個人データ」にあたります したがって、事業者Aは、上記データベースを構成する顧客aらの個人情報について、安全管理措置、従業者の監督等、適切な保管・管理の義務を負います なお、講ずべき安全管理措置の内容について、事業者Aが中小企業であれば、一定程度軽減されています(個人情報保護法ガイドライン(通則編)別添10参照) ・事業者「A」の個人情報保護法上の義務2(委託先の監督) 事業者Aから事業者Bへの業務委託は「個人データの取扱いの委託」にあたります (個人情報取扱事業者である事業者Aが、他の者である事業者Bへ、「個人データの取扱い」として個人データの「出力等」の処理を行うことを委託するものと言えます) したがって、委託元である事業者Aは、委託先である事業者Bに対し、適切な保管・管理が図られるよう、監督義務を負います (具体的な義務としては、適切な委託先の選定、委託契約の締結、委託先における個人データ取扱状況の把握の3つです、詳細は個人情報保護法ガイドライン(通則編)3-4-4参照) ・事業者「B」の個人情報保護法上の義務 委託先である事業者Bも、上記データベースを事業に利用する者として「個人情報取扱事業者」にあたるものと考えられます したがって、上記データベースを構成する顧客aらの個人情報について、安全管理措置、従業者の監督等、適切な保管・管理の義務を負うものと考えられます なお、講ずべき安全管理措置の内容について、(仮に中小企業であっても)事業者Bのような委託を受けて個人データを取り扱う者は軽減されていない点は、注意が必要です ・「第三者提供」に関する義務について 「個人データの取扱いの委託」に伴い、個人データの提供がなされても、個人データの「第三者提供」にあたりません したがって、事業者Aも事業者Bも事前の本人の同意を得る必要はありませんし、「第三者提供」に関する義務(記録義務等)も負いません 【事例2・不動産販売代理業務(モデルルーム運営業務)】 ・事例2 事業者Aは不特定多数の消費者へマンションの販売活動を行いたいと考えています 来客aらへのマンションのモデルルームにおける案内、接客、アンケート回収、購入申込受付等について、事業者Aが事業者Bへ業務委託することにしました 事業者Bが来客aらからアンケート回収や購入申込受付等を通じて来客aらの住所氏名等の個人情報を取得して、事業者Bにおいて来客aらの個人情報をデータベース化して、事業者Bから事業者Aへ提供することとしました ・「個人データの取扱いの委託」にあたるか(私見) 事例2は、事例1と異なり、委託元である事業者Aが委託先である事業者Bへ「個人データ」を提供されておらず、委託先である事業者Bから委託元である事業者Aへ「個人データ」を提供しています そのため、当然には「個人データの取扱いの委託」にあたらないようにも思われます (「個人データの取扱いの委託」という言葉からは、委託元から委託先へ個人データを提供する場面を念頭に置くのが素直なようにも思われます) しかしながら、個人情報保護法上、「個人データの委託」ではなく「個人データの取扱いの委託」と規定されています そして、個人情報保護法ガイドライン(通則編)3-4-4において、「個人データの取扱いの委託」とは「個人データの入力(本人からの取得を含む。 このため、例えば、患者が医療機関の受付等で、問診票に患者自身の身体状況や病状 などを記載し、保険証とともに受診を申し出ることは、患者自身が自己の要配慮個人情 報を含めた個人情報を医療機関等に取得されることを前提としていると考えられるため、医療機関等が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合 は、患者の当該行為をもって、当該医療機関等が当該情報を取得することについて本人 の同意があったものと解される。 【委託を受けた者に対して必要かつ適切な監督を行っていない事例】 事例1)個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合 事例2)個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合 事例3)再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合 事例4)契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合• 児童虐待のおそれのある家庭情報のうち被害を被った事実に係る情報を、児童相談所、警察、学校、病院等の関係機関が、他の関係機関から取得する場合 「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」 2項4号 本号が適用される例は、次のとおりです 前記ガイドラインp34。 個人情報の保護に関する法律についてのガイドライン 1 目的及び適用対象 1-1 目的 本ガイドラインは、事業者が個人情報の適正な取扱いの確保に関して行う活動を支援すること、及び当該支援により事業者が講ずる措置が適切かつ有効に実施されることを目的として、個人情報の保護に関する法律(平成15年法律第57号。 【個人データについて利用する必要がなくなったときに該当する事例】 事例) キャンペーンの懸賞品送付のため、当該キャンペーンの応募者の個人データを保有していたところ、懸賞品の発送が終わり、不着対応等のための合理的な期間が経過した場合 法第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。 F 開示(個人情報保護法第28条、個人情報保護法施行令第9条) a 開示の請求(第1項) 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。 【本人が容易に知り得る状態に該当する事例】 事例1)本人が閲覧することが合理的に予測される個人情報取扱事業者のホームページにおいて、本人が分かりやすい場所(例:ホームページのトップページから1回程度の操作で到達できる場所等)に法に定められた事項を分かりやすく継続的に掲載する場合 事例2)本人が来訪することが合理的に予測される事務所の窓口等への掲示、備付け等が継続的に行われている場合 事例3)本人に頒布されている定期刊行物への定期的掲載を行っている場合 事例4)電子商取引において、商品を紹介するホームページにリンク先を継続的に表示する場合• 旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証の番号等の公的機関が割り振る番号 【政令第1条第2号~第8号、規則第3条、第4条】 3-2-3 情報を相互に連結する符号の削除 規則第19条(第3号)• K 手数料(個人情報保護法第33条) a 手数料の徴収(第1項) 個人情報取扱事業者は、Ebの規定による利用目的の通知を求められたとき、又はFaの規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。 )(法第 2 条第 5 項第 4 号関係)• 3-3 匿名加工情報等の安全管理措置等(法第36条第2項、第6項、第39条関係) 3-3-1 加工方法等情報の安全管理措置 法第36条(第2項)• 記録の作成方法の別 保存期間 契約書等の代替手段による方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 一括して記録を作成する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 上記以外の場合 3年 8.第三者提供を受ける際の確認等(法第26条) 詳細は、別途定める「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年個人情報保護委員会告示第8号)を参照のこと。 個人情報保護法第2条 略 2 略 3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。 ) 事例2)児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、当該関係機関等の間で当該児童生徒の情報を交換する場合 事例3)児童虐待のおそれのある家庭情報を、児童相談所、警察、学校、病院等が共有する必要がある場合 (4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(法第16条第3項第4号関係) 国の機関等(地方公共団体又はその委託を受けた者を含む。 )第21条において、法第40条第 1 項に規定する個人情報保護委員会の権限及び法第44条第1 項の規定により事業所管大臣に委任された権限に属する事務は、個人情報取扱事業者が行う事業であって事業所管大臣が所管するものについての報告徴収及び立入検査に係る権限に属する事務の全部又は一部が、他の法令の規定により地方公共団体の長その他の執行機関が行うこととされているとき は、当該地方公共団体の長等が法に基づく報告徴収及び立入検査を行うことがある。 事例1)事業者が税務署又は税関の職員等の任意の求めに応じて個人情報を提出する場合 事例2)事業者が警察の任意の求めに応じて個人情報を提出する場合 事例3)一般統計調査や地方公共団体が行う統計調査に回答する場合 3-2 個人情報の取得(法第17条・第18条関係) 3-2-1 適正取得(法第17条第1項関係) 法第17条(第1項) 1 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。 三 令第一条第七号ハに掲げる証明書 同号ハに掲げる証明書の番号及び保険者番号 規則第四条 令第一条第八号の個人情報保護委員会規則で定める文字、番号、記号その他の符号は、次に掲げるものとする。 【個人情報取扱事業者が不正の手段により個人情報を取得している事例】 事例1)十分な判断能力を有していない子供や障害者から、取得状況から考えて関係のない家族の収入事情などの家族の個人情報を、家族の同意なく取得する場合 事例2)法第23条第1項に規定する第三者提供制限違反をするよう強要して個人情報を取得する場合 事例3)個人情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して、本人から個人情報を取得する場合 事例4)他の事業者に指示して不正の手段で個人情報を取得させ、当該他の事業者から個人情報を取得する場合 事例5)法第23条第1項に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合 事例6)不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合 法第17条(第2項)• F 技術的安全管理措置 1 安全管理措置の検討手順 事業者は、特定個人情報等の取扱いを検討するに当たって、個人番号を取り扱う事務の範囲及び特定個人情報等の範囲を明確にした上で、事務取扱担当者を明確にしておく必要がある。 」 A3-9 「法令に基づく場合」 2項1号 で述べた場合と基本的には同様です。 外国において法第76条第1項各号に掲げる者に相当する者 「その他前各号に掲げる場合に準ずるものとして政令で定める場合」 2項6号、施行令7条 個人情報取扱事業者は、その外形上明らかな要配慮個人情報を構成する記述等 身体障害等 を取得する場合、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができます 施行令7条1号。 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき(法第 23 条第 5 項第 3 号関係)• 合併その他の事由による事業の承継に伴って個人データが提供される場合 (法第23条第 5 項第 2 号関係)• 前二号以外の場合 3年 3-5 保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等(法第27条~第34条関係) 3-5-1 保有個人データに関する事項の公表等(法第27条関係)• )(法第 2 条第 5 項第 3 号関係)• 【公表に該当する事例】 事例1)自社のホームページのトップページから1回程度の操作で到達できる場所への掲載 事例2)自社の店舗や事務所等、顧客が訪れることが想定される場所におけるポスター等の掲示、パンフレット等の備置き・配布 事例3)(通信販売の場合)通信販売用のパンフレット・カタログ等への掲載 2-12 「本人の同意」 法第16条(第1項)• 【個人情報保護法第2条第5項】 第3 総論 第3-1 目的 個人情報保護委員会(以下「委員会」という。 )の表計算ソフト等を用いて入力・整理している場合 事例4)人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合 【個人情報データベース等に該当しない事例】 事例1)従業者が、自己の名刺入れについて他人が自由に閲覧できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合 事例2)アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合 事例3)市販の電話帳、住宅地図、職員録、カーナビゲーションシステム等 2-5 個人情報取扱事業者(法第2条第5項関係) 法第2条(第5項)• 四 取得の状況からみて利用目的が明らかであると認められる場合 「個人情報を取得した場合は」 1項 「個人情報取扱事業者」とは「個人データ」を取り扱っているすべての民間事業主体であると考えて差し支えないと前述しました。 地方公共団体(法第 2 条第 5 項第 2 号関係)• 事例1)警察の捜査関係事項照会に対応する場合(刑事訴訟法(昭和23年法律第131号)第197条第2項) 事例2)裁判官の発する令状に基づく捜査に対応する場合(刑事訴訟法第218条) 事例3)税務署の所得税等に関する調査に対応する場合(国税通則法(昭和37年法律第66号)第74条の2他) 事例4)製造・輸入事業者が消費生活用製品安全法(昭和48年法律第31号)第39条第1項の規定による命令(危害防止命令)を受けて製品の回収等の措置をとる際に、販売事業者が、同法第38条第3項の規定に基づき製品の購入者等の情報を当該製造・輸入事業者に提供する場合 事例5)弁護士会からの照会に対応する場合(弁護士法(昭和24年法律第205号)第23条の2) 事例6)保健所が行う積極的疫学調査に対応する場合(感染症の予防及び感染症の患者に対する医療に関する法律(平成10年法律第114号)第15条第1項) 事例7)災害発生時の停電復旧対応の迅速化等のため、経済産業大臣の求めに応じて、一般送配電事業者が、関係行政機関又は地方公共団体の長に対して必要な情報を提供する場合(電気事業法(昭和39年法律第170号)第34条第1項) (2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(法第16条第3項第2号関係) 人(法人を含む。 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律 (平成15年法律第59号)第2条第 1 項 に規定する独立行政法人等をいう。 【個人データの漏えいに該当する事例】 事例 1 個人データが記載された書類を第三者に誤送付した場合 事例 2 個人データを含むメールを第三者に誤送信した場合 事例3 システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合 事例4 個人データが記載または記録された書類・媒体等が盗難された場合 事例5 不正アクセス等により第三者に個人データを含む情報が窃取された場合 なお、「個人データを第三者に閲覧されないうちに全てを回収した場合」は、漏えいに該当しません。 2 再委託(番号法第10条、第11条) A 再委託の要件(第10条第1項) 個人番号関係事務又は個人番号利用事務の全部又は一部の「委託を受けた者」は、委託者の許諾を得た場合に限り、再委託をすることができる。 ただし、個別の事例ごとに判断することとなりますが、例えば、当該情報の取得が、「法令に基づく場合」 法第17条第2項第1号 、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」 法第17条第2項第2号 等に該当する場合や、本人や報道機関等により公開されている場合 法第17条第2項第5号 は、取得に際してあらかじめ本人の同意を得る必要はありません。 国の機関(法第 2 条第 5 項第 1 号関係)• 五 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合 六 その他前各号に掲げる場合に準ずるものとして政令で定める場合 同法施行規則第6条 法第17条第2項第5号の個人情報保護委員会規則で定める者は、次の各号のいずれかに該当する者とする。 )として出版 事例2)インターネットに掲載 事例3)プリントアウトして交付 事例4)各種通信手段による配信 事例5)その他外部記録媒体の形式での交付 (4)本人の求めに応じて第三者への提供を停止すること。 また、 個人情報取扱事業者が要配慮個人情報を第三者提供の方法により取得した場合、提供元が法第17条第2項及び法第23条第1項に基づいて本人から必要な同意 要配慮個人情報の取得及び第三者提供に関する同意 を取得していることが前提となるため、 提供を受けた当該個人情報取扱事業者が、改めて本人から法第17条第2項に基づく同意を得る必要はないものと解される。 3-3 個人データの管理(法第19条~第22条関係) 3-3-1 データ内容の正確性の確保等(法第19条関係) 法第19条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。 B 利用目的を超えた個人番号の利用禁止 a 利用目的を超えた個人番号の利用禁止(番号法第30条第3項により読み替えて適用される個人情報保護法第16条第1項) 個人情報取扱事業者は、個人番号の利用目的をできる限り特定しなければならない(個人情報保護法第15条第1項)が、その特定の程度としては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報と同様に、本人が、自らの個人番号がどのような目的で利用されるのかを一般的かつ合理的に予想できる程度に具体的に特定することが望ましい。 3-4-2 オプトアウトによる第三者提供(法第23条第2項~第4項関係) 3-4-2-1 オプトアウトに関する原則(法第23条第2項関係) 法第23条(第2項)• M 苦情の処理(個人情報保護法第35条) a 苦情の処理(第1項) 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。 J 開示等の請求等に応じる手続(個人情報保護法第32条、個人情報保護法施行令第10条、第11条) a 開示等の請求の受付方法(第1項) 個人情報取扱事業者は、Ebの規定による求め又はFa、Ga若しくはHa若しくは第4-4(第三者提供の停止に関する取扱い)の規定による請求(以下J及び個人情報保護法第53条第1項において「開示等の請求等」という。 3-6 【凡例】 「法」 個人情報の保護に関する法律(平成15年法律第57号) 「政令」 個人情報の保護に関する法律施行令(平成15年政令第507号) 「規則」 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号) 「通則ガイドライン」 個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年個人情報保護委員会告示第6号) 「改正法」 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年法律第65号) 個人情報の保護に関する法律についてのガイドライン(匿名加工情報編) 1 本ガイドラインの位置付け及び適用対象 1-1 本ガイドラインの位置付け 個人情報保護委員会は、事業者が個人情報の適正な取扱いの確保に関して行う活動を支援すること、及び当該支援により事業者が講ずる措置が適切かつ有効に実施されることを目的として、個人情報の保護に関する法律(平成15年法律第57号。 【中小規模事業者における安全管理のために講じた措置として本人の知り得る状態に置く内容の事例(通則編ガイドライン3-8-1)】 (基本方針の策定) 事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様) (個人データの取扱いに係る規律の整備) 事例)個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備 (組織的安全管理措置) 事例1)整備した取扱方法に従って個人データが取り扱われていることを責任者が確認 事例2)従業者から責任者に対する報告連絡体制を整備 (人的安全管理措置) 事例1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様) 事例2)個人データについての秘密保持に関する事項を就業規則に記載(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様) (物理的安全管理措置) 事例1)個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧できないような措置を実施 事例2)個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様) (技術的安全管理措置) 事例1)個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止 事例2)個人データを取り扱う機器を外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入 (外的環境の把握) 事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様) 「外的環境の把握」について 上記4-1のとおり、「安全管理のために講じた措置として本人の知り得る状態に置く内容の事例」(通則編ガイドライン3-8-1)の1つとして「外的環境の把握」が掲げられています。 )、 ウ 保有個人データの利用目的の通知、開示、訂正、利用停止等の手続の方法、及び保有個人データの利用目的の通知又は開示に係る手数料の額、 エ 苦情の申出先等について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。 ネットワーク上において、利用目的を、本人がアクセスした自社のホームページ上に明示し、又は本人の端末装置上に表示する場合 前記ガイドラインp38 なお、 ネットワーク上において個人情報を取得する場合は、本人が送信ボタン等をクリックする前等にその利用目的 利用目的の内容が示された画面に1回程度の操作でページ遷移するよう設定したリンクやボタンを含む。 事例1)急病その他の事態が生じたときに、本人について、その血液型や家族の連絡先等を医師や看護師に提供する場合 事例2)大規模災害や事故等の緊急時に、被災者情報・負傷者情報等を家族、行政機関、地方自治体等に提供する場合 事例3)事業者間において、暴力団等の反社会的勢力情報、振り込め詐欺に利用された口座に関する情報、意図的に業務妨害を行う者の情報について共有する場合 事例4)製造した商品に関連して事故が生じたため、又は、事故は生じていないが、人の生命若しくは身体に危害を及ぼす急迫した危険が存在するため、当該商品の製造事業者等が当該商品をリコールする場合で、販売事業者、修理事業者又は設置工事事業者等が当該製造事業者等に対して、当該商品の購入者等の情報を提供する場合 事例5)上記事例4のほか、商品に重大な欠陥があり人の生命、身体又は財産の保護が必要となるような緊急時に、製造事業者から顧客情報の提供を求められ、これに応じる必要がある場合 事例6)不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者に提供する場合 (3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(法第16条第3項第3号関係) 公衆衛生の向上又は心身の発達途上にある児童の健全な育成のために特に必要があり、かつ、本人の同意を得ることが困難である場合は、法第16条第1項又は第2項の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。 L 事前の請求(個人情報保護法第34条) a 事前の請求(第1項) 本人は、Fa、Ga又はHa若しくは第4-4(第三者提供の停止に関する取扱い)の規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から2週間を経過した後でなければ、その訴えを提起することができない。 開示等の請求等に応じる手続 同法32条 そもそも「個人情報取扱事業者」とは 「個人情報取扱事業者」 個人情報保護法2条5項 とは、「個人情報データベース等を事業の用に供している者」をいいます。 苦情の内容等の記録【特別養護老人ホームの設備及び運営に関する基準第29条第2項】 別表2 医療・介護関係事業者の通常の業務で想定される利用目的 (医療機関等の場合) 【患者への医療の提供に必要な利用目的】 〔医療機関等の内部での利用に係る事例〕• A 利用目的の特定(個人情報保護法第15条) a 利用目的の特定(第1項) 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない。 質問及び苦情処理の窓口 等 B 取扱規程等の策定 1A~Cで明確化した事務において事務の流れを整理し、 特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければならない。 不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者から取得する場合 「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」 2項3号 本号が適用される例は、次のとおりです 前記ガイドラインp34。 医療・介護関係事業者は、保有個人データに関し、 ア 当該個人情報取扱事業者の氏名又は名称、 イ 全ての保有個人データの利用目的(法第18条第4項第1号から第3号までに規定された例外の場合を除く。 この場合、 ア 、 イ については変更することができず、 ウ 、 エ については、本人が想定することが困難でない範囲内で変更することができ、変更する場合は、本人に通知又は本人の容易に知り得る状態におかなければならない。 【個人データに該当する事例】 事例1)個人情報データベース等から外部記録媒体に保存された個人情報 事例2)個人情報データベース等から紙面に出力された帳票等に印字された個人情報 【個人データに該当しない事例】 事例) 個人情報データベース等を構成する前の入力用の帳票等に記載されている個人情報 2-7 保有個人データ(法第2条第7項関係) 法第2条(第7項)• 前二号以外の場合 3年 3-4-6 第三者提供を受ける際の確認等(法第26条関係) 第三者提供を受ける際の確認等については、別途定める「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」を参照のこと。 個人情報の第三者提供を受けた場合 直接書面等による取得 2項 1項の規定の例外として、 本人に書面や電磁的記録に記載等をさせることによって当該本人の個人情報を取得する場合には、事後的な通知等ではなく、あらかじめ、本人に対して利用目的を明示しなければなりません。 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合(法第23条第 5 項第 1 号関係) (例)• 2 定義 2-1 個人情報(法第2条第1項関係) 法第2条(第1項)• 一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合 三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。 【本人の権利利益を保護するため必要なこれに代わるべき措置として考えられる事例(通則編ガイドライン3-8-5-3)】 事例1)既に市販されている名簿の刷り直し及び回収作業に多額の費用を要するとして、名簿の増刷時の訂正を約束する場合や必要に応じて金銭の支払いをする場合 事例2)個人情報保護委員会への報告の対象となる重大な漏えい等が発生した場合において、当該本人との契約が存続しているため、利用停止等が困難であるとして、以後漏えい等の事態が生じることがないよう、必要かつ適切な再発防止策を講じる場合 事例3)他の法令の規定により保存が義務付けられている保有個人データを直ちに消去する代わりに、当該法令の規定による保存期間の終了後に消去することを約束する場合 個人情報取扱事業者は、上記により、利用停止等を行ったときもしくは利用停止等を行わない旨の決定をしたとき、または、第三者提供の停止を行ったときもしくは第三者提供を停止しない旨の決定をしたときは、遅滞なく、その旨を本人に通知しなければなりません。 また、医療機関等が要配慮個人情報を第三者提供の方法により取得した場合、提供元が法第17条第 2 項及び第23条第 1 項の規定に基づいて本人から必要な同意(要配慮個人情報の取得及び第三者提供に関する同意)を取得していることが前提となるため、提供を受けた当該医療機関等が、改めて本人から法第17条第 2 項の規定に基づく同意を得る必要はないものと解される。 記録の作成方法の別 保存期間 契約書等の代替手段による方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 一括して記録を作成する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 上記以外の場合 3年 9.保有個人データに関する事項の公表等(法第27条) (保有個人データに関する事項の公表等) 法第二十七条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。 【あらかじめ、本人に対し、その利用目的を明示しなければならない事例】 事例1)本人の個人情報が記載された申込書・契約書等を本人から直接取得する場合 事例2)アンケートに記載された個人情報を直接本人から取得する場合 事例3)自社が主催するキャンペーンへの参加希望者が、参加申込みのために自社のホームページの入力画面に入力した個人情報を直接本人から取得する場合 【利用目的の明示に該当する事例】 事例1)利用目的を明記した契約書その他の書面を相手方である本人に手渡し、又は送付する場合 なお、契約約款又は利用条件等の書面(電磁的記録を含む。 1 外国政府、外国の政府機関、外国の地方公共団体又は国際機関 2 外国において法第76条第1項各号に掲げる者に相当する者 同法施行令第7条 法第17条第2項第6号の政令で定める場合は、次に掲げる場合とする。 四 治療方法が確立していない疾病その他の特殊の疾病であって障害者の日常生活及び社会生活を総合的に支援するための法律(平成17年法律第123号)第四条第一項の政令で定めるものによる障害の程度が同項の厚生労働大臣が定める程度であるもの 「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法第2条第3項、令第 2 条及び規則第5条で定める記述等が含まれる個人情報をいう。 3 匿名加工情報取扱事業者等の義務 3-1 匿名加工情報の取扱いに係る義務の考え方 法第4章第2節においては、匿名加工情報を作成する個人情報取扱事業者及び匿名加工情報データベース等を事業の用に供している匿名加工情報取扱事業者が、匿名加工情報を取り扱う場合等に遵守すべき義務を規定している。 地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第 2 条第 1 項に規定する地方独立行政法人をいう。 四 法第三十三条第一項の手数料の徴収方法 (開示等の請求等をすることができる代理人) 令第十一条 法第三十二条第三項の規定により開示等の請求等をすることができる代理人は、次に掲げる代理人とする• 【本人の権利または正当な利益が害されるおそれがあるとして利用停止等または第三者提供の停止が 認められると考えられる事例(通則編ガイドライン3-8-5-3)】 事例1)ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合 事例2)電話勧誘を受けた本人が、電話勧誘の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者が本人に対する電話勧誘を繰り返し行っていることから、本人が利用停止等を請求する場合 事例3)個人情報取扱事業者が、安全管理措置を十分に講じておらず、本人を識別する保有個人データが漏えい等するおそれがあることから、本人が利用停止等を請求する場合 事例4)個人情報取扱事業者が、法23条【27条】1項に違反して第三者提供を行っており、本人を識別する保有個人データについても本人の同意なく提供されるおそれがあることから、本人が利用停止等を請求する場合 事例5)個人情報取扱事業者が、退職した従業員の情報を現在も自社の従業員であるようにホームページ等に掲載し、これによって本人に不利益が生じていることから、本人が利用停止等を請求する場合 ダイレクトメールについては、事例1)の場合のほか、「ダイレクトメールを送付するために個人情報取扱事業者が保有していた情報について、当該個人情報取扱事業者がダイレクトメールの送付を停止した後、本人が消去を請求した場合」が「当該本人の権利または正当な利益が害されるおそれがある場合」に該当するものと考えられます。 1 委託先の監督(番号法第11条、個人情報保護法第22条) A 委託先における安全管理措置 個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする者(以下「委託者」という。 )、編集、分析、出力等の処理を行うこと」を一体として実施すれば足りるものと思われます 言い換えれば、委託元が委託先へ「個人情報」の「取得」を委託して、委託先が個人から「個人情報」を取得して、委託先においてこれをデータベース化して、委託先から委託元へ「個人データ」を提供することも、「個人データの取扱いの委託」に含むものと考えてよいように思われます 事例2は、委託元である事業者Aが委託先である事業者Bへ「個人情報」の「取得」を委託したものですが、事業者Bが個人から「個人情報」を取得して、事業者Bにおいてこれをデータベース化して、事業者Bから事業者Aへ「個人データ」を提供することも委託されていることから、「個人データの取扱いの委託」にあたると言ってよいものと考えられます なお、事業者Aと事業者Bの間の契約内容や個人データの利用状況により、「個人データの取扱いの委託」ではなく「個人データの共同利用」として整理すべき場合もあります (「個人データの共同利用」として整理する場合、委託元の委託先に対する監督義務は問題となりませんが、共同利用目的の事前本人通知または公表等が必要になります もっとも、個人情報保護法ガイドライン(通則編)3-4-3において、「共同利用か委託かは、個人データの取扱いの形態によって判断されるものであって、共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先との関係は、共同利用となるわけではなく、委託元は委託先の監督義務を免れるわけではない。 G 訂正等(個人情報保護法第29条) a 訂正等の請求(第1項) 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下Gにおいて「訂正等」という。 開示等の請求等に応じる手続 同法32条 そもそも「個人情報取扱事業者」とは 「個人情報取扱事業者」 個人情報保護法2条5項 とは、「個人情報データベース等を事業の用に供している者」をいいます。.

  • .

  • .

4つの安全管理措置の概要と押さえておくべきポイント

.

  • .

  • .




2022 www.electionhackathon.com