スライドタイトルなし

Size: px

Start display at page:

Download "スライドタイトルなし"

しまなこうじょう
5 years ago
Views:

1 日本経営倫理士協会 (ACBEE) 特別シンポジウム 2017 < 第 Ⅰ 部 > 基調講演 2017 年 7 月 7 日改正個人情報保護法 GDPR の概要と企業における課題関西大学社会安全学部教授博士 ( 法学 ) 髙野一彦

2 (1) 情報流出事件と不正取得者への法的対応 2

3 過去の主な情報流出事件 2004 年ヤフー BB 顧客情報流出事件 460 万件 ( 内部者の窃取 ) 2006 年防衛庁 / 自衛隊秘扱い情報流出事件 ( ウイニー ) 2007 年大日本印刷個人情報流出事件 863 万件 ( 委託先社員の窃取 ) 2007 年デンソー技術データ流出事件 13 万点の図面 ( 従業員の窃取 ) 2009 年三菱 UFJ 証券顧客情報流出事件 148 万件 ( 部長代理の窃取 ) 2011 年ソニー PSNから7000 万人を超える個人情報が流出 ( ハッキング ) 2012 年新日鐵営業秘密の不正取得でパスコなどを提訴 ( 元従業員 ) 2013 年東芝フラッシュメモリー技術情報の不正取得 ( 元委託先社員 ) 2014 年ベネッセコーポレーション顧客情報流出事件 ( 委託先社員の窃取 ) 2015 年年金機構事件 ( 標的型メールによるウイルス感染 ) 2016 年 JTB 顧客情報流出事件約 679 万件 ( 標的型メールによるウイルス感染 ) 2017 年 JINSオンラインショップ約 118 万件流出の可能性 ( 不正アクセス ) 内部者による犯行近年はウイルス不正アクセスが目立つ 3

4 情報流出の発生頻度技術情報の流出明らかに漏えい事案があったおそらくあったの 2 項目で合計 13.5% 個人情報の流出個人情報の漏洩 ( 含む紛失 ) があったと答えた事業者は 11.1% 出典 : 平成 24 年度経済産業省委託調査人材を通じた技術流出に関する実態調査 (2013 年 ) 出典 : 消費者庁個人情報の保護に関する事業者の取組実態調査 (2012 年 ) 情報流出は他のリスクに比べて発生頻度が極めて高い 4

Y 社 = 450 万人顧客情報流出 (2004) 損失 29 億円 A 社 = 13 万件顧客情報流出 (2009) 損失 69 億円 B 社 = 3504 万件

5 情報漏えいと企業のリスク個人情報漏えいと損害 1 訴訟リスク = 本人のプライバシー侵害 2 罰則リスク = 個人情報保護法違反 3 損害賠償リスク = 契約違反により取引先より請求 3 株主代表訴訟リスク = 管理体制の不備による損害 4 その他 = 被害者への補償業務ストップ信用喪失など近年の情報漏えい事件 Y 社 = 450 万人顧客情報流出 (2004) 損失 29 億円 A 社 = 13 万件顧客情報流出 (2009) 損失 69 億円 B 社 = 3504 万件 (2014) 特別損失 260 億円を計上損失額 :Y 社は経産省資料 A 社 B 社は報道による大きな損害 = 企業の情報セキュリティーは経営上の重要マター 5

6 不正取得行為への法的制裁営業秘密の定義 1 秘密管理性 : 2 有用性 : 3 非公知性 : 争点は秘密管理性客観的認識可能性アクセス制限秘密として管理している営業秘密の秘密管理性が争点になった経済的に有用な情報であること 81 件の裁判で秘密管理性を認めた 6 公に知られていない情報であること判例は23 件 (28.4%) 営業秘密管理指針頁

7 情報法の間隙の補完アメリカ 1996 年経済スパイ法 (Economic Espionage Act) 成立経済スパイ罪 ( 連邦法典 18 編第 1831 条 ) 外国政府等の利益のためのレードシークレットの窃取日本人が逮捕された事件 U.S. v. Okamoto, Serizawa (2001 年 ) トレードシークレット窃盗罪 ( 同第 1832 条 ) 民間におけるトレードシークレットの窃盗全般わが国の不正競争防止法 ( 営業秘密侵害罪 ) との違い 1. 秘密管理性の違い日本客観的認識可能性アクセス制限アメリカ秘密としての合理的な管理合理性は本人が秘密と認識していたか? 2. 親告罪非親告罪日本私人 ( 民間 ) が訴えを起こす必要があるアメリカ法律の適用は検察の裁量に委ねられるイギリスの個人データの不正取得行為への処罰 UK 98 年データ保護法 (Data Protection Act 1998) 第 55 条個人データの違法な取得等への刑事罰 ) U.S. v. Zhu, Kimbara (2002 年 ) 法改正の論点営業秘密管理指針で秘密管理措置へ ( 改訂 ) 改正不正競争防止法で非親告罪化 ( 成立 ) 改正個人情報保護法で刑事罰を新設 ( 成立 )

営業秘密管理指針 (2015 年 1 月 28 日全部改訂 ) 不正競争防止法における秘密管理性要件の明確化を目的とした法解釈に特化したものとして全面改訂従前の秘密管理性は 2 つの要件が必要であった 1 アクセス制限 : 情報にアクセスできる者を特定すること 2 客観的認識可能性 : 情報にアクセスした者が

8 営業秘密管理指針 (2015 年 1 月 28 日全部改訂 ) 不正競争防止法における秘密管理性要件の明確化を目的とした法解釈に特化したものとして全面改訂従前の秘密管理性は 2 つの要件が必要であった 1 アクセス制限 : 情報にアクセスできる者を特定すること 2 客観的認識可能性 : 情報にアクセスした者がそれが秘密と認識できること新たな営業秘密管理指針 (2015 年 1 月 28 日全部改訂 ) 図の出所 : 経済産業省営業秘密の保護活用に関する小委員会概要説明資料 2015 年秘密管理措置 1 営業秘密が一般情報から合理的に区分されていること 2 当該情報について営業秘密であることを明らかにする措置秘密管理意思に対する従業員の認識可能性 8

9 営業秘密管理指針からの抜粋秘密管理措置 (= 従業員の予見可能性確保 ) の具体例紙媒体の管理方法ファイルの利用等により一般情報からの合理的な区分を行ったうえで ( 略 ) 当該文書にマル秘など秘密であることを表示施錠可能なキャビネットや金庫等に保管するなど電子媒体の管理方法記録媒体へのマル秘表示の貼付電子ファイル名フォルダ名へのマル秘の付記電子ファイルを開いた場合に端末画面上にマル秘である旨が表示されるように当該電子ファイルの電子データ上にマル秘を付記など媒体が利用されない場合従業員が体得した無形のノウハウや従業員が職務として記憶した顧客情報等については内容を紙その他の媒体に可視化する営業秘密のカテゴリーをリストにすること営業秘密を具体的に文書等に記載することただし営業秘密の範囲が従業員に明らかな場合は ( 略 ) 当該情報の範囲カテゴリーを口頭ないし書面で伝達するなどただし本指針には法的拘束力はない 9

重要な情報は法的保護を受けられるように管理どのような情報管理を行えば良いか? 民事 : 不正競争防止法営業秘密の不正取得 ( 差止請求権損害賠償請求権等 ) 刑事 : 不正競争防止法営業秘密侵害罪改正個人情報保護法個人情報データベース等不正提供罪 1. 社内の情報を棚卸し重要な情報とそうでない情報に峻別 2.

10 重要な情報は法的保護を受けられるように管理どのような情報管理を行えば良いか? 民事 : 不正競争防止法営業秘密の不正取得 ( 差止請求権損害賠償請求権等 ) 刑事 : 不正競争防止法営業秘密侵害罪改正個人情報保護法個人情報データベース等不正提供罪 1. 社内の情報を棚卸し重要な情報とそうでない情報に峻別 2. 重要な情報は営業秘密としての法的な保護をうけられるような管理を行う秘密管理措置 1 営業秘密が一般情報から合理的に区分されていること 2 当該情報について営業秘密であることを明らかにする措置 3. グループ横断的な責任者 (CIO 又は CPO) と専任管轄部署を設置し 1 役員従業員研修 2 秘密保持契約競業避止義務契約の締結 3 従業者の監視 ( 内部通報業務監査メールモニタリングなど ) 4 見直しの PDCA サイクル (Plan/Do/Check/Action) を運用する

11 (2) わが国の経済政策と情報法の国際的整合 11

情報法の国際的整合 2001 年 Okamoto, Serizawa 事件 2003

国際的整合 1996 年米経済スパイ法成立 1998 年 EU データ保護指令施行

12 情報法の国際的整合 2001 年 Okamoto, Serizawa 事件 2003 年営業秘密侵害罪創設 2003 年個人情報保護法成立新しい法律の成立 ICT 発展に伴って顕在化した様々な課題 2013 年行政手続番号法成立 2015 年 9 月改正個人情報保護法の成立 2017 年 5 月 30 日改正個人情報保護法の施行国際的整合 1996 年米経済スパイ法成立 1998 年 EU データ保護指令施行 2012 年 EU 一般データ保護規則提案米国消費者プライバシー権利憲章 2018 年 5 月 EU 一般データ保護規則施行 12

13 個人情報保護法の成立から改正までの経緯 1995 年 EU データ保護指令採択 1998 年発効指令 25 条 1 項 : 第三国が十分なレベルの保護 (adequate level of protection) を確保している場合に限りデータ移転を行うことができる日本 1997 年通商産業省個人情報保護に関するガイドライン 1998 年プライバシーマーク制度創設 1999 年高度情報通信社会推進本部個人情報保護検討部会 ( 座長堀部政男先生 ) 10 月 20 日個人情報の保護について ( 堀部私案 ) 2000 年 10 月 11 日 ~ IT 戦略本部個人情報保護法制化専門委員会国際的整合 EU 指令にとって保護の十分性を考慮利用と保護のバランス憲法上の権利表現の自由学問の自由〇本人の権利開示訂正利用などの請求権罰則刑事罰等の制裁措置個別法信用医療電気通信分野の個別法 2001 年個人情報の保護に関する法律案国会提出継続審議 155 回国会で廃案 2003 年第 156 回国会に修正法案の提出 2003 年 5 月 23 日可決成立 13

14 わが国の方針 2013 年 6 月 14 日世界最先端 IT 国家創造宣言が閣議決定 (1) オープンデータビッグデータの活用の推進の中の 2 ビッグデータ利活用による新事業新サービス創出の促進の中でプライバシーや情報セキュリティ等に関するルールの標準化や国際的な仕組み作りを通じた利便性向上及び国境を越えた円滑な情報移転が重要と指摘 (1) ビッグデータとしての個人情報の利用時の適法性の判断基準の不存在が多くの企業にデータ利用を躊躇させているビッグデータを通じて次世代産業を創出するためには企業が本人の同意なく個人情報を匿名データに加工して利用する際の適法性の判断基準及びこれを担保する制度の定立が欠かせない (2) わが国のデータ保護が不十分なため世界からの個人データ移転に制限がかかっておりビックデータを通じた次世代産業創出の障害になっている国際水準のプライバシー個人情報保護法制を定立しデータ移転制限を排することがわが国の成長戦略に欠かせない

グローバルな視点での企業の情報法コンプライアンスの確立 (1)EU データ保護指令の規範としての効果 (1995 年 10 月 24 日採択,98 年 10 月 24 日発効 ) 指令 25 条 1 項 : 第三国が十分なレベルの保護 (adequate level of protection) を確保している場合に限りデータ移転を行うことができる同指令は EU 加盟国 28

15 グローバルな視点での企業の情報法コンプライアンスの確立 (1)EU データ保護指令の規範としての効果 (1995 年 10 月 24 日採択,98 年 10 月 24 日発効 ) 指令 25 条 1 項 : 第三国が十分なレベルの保護 (adequate level of protection) を確保している場合に限りデータ移転を行うことができる同指令は EU 加盟国 28 か国および欧州経済領域 (EEA) 構成国であるノルウェイリヒテンシュタインアイスランドに対して同指令に従った国内法の整備を求める EU によりプライバシー保護の十分性を承認された 11 の国地域からの日本への個人データの移転が原則として禁止されている ( スイスアメリカセーフハーバースキームカナダアルゼンチンガーンジーマン島ジャージーフェロー諸島アンドライスラエルウルグアイニュージーランド韓国は現在申請中 ) 日本企業の対応 EU データ保護指令 26 条 1 項 2 項及び 4 項の例外的措置 1 情報主体の明確な同意 2 標準契約条項 (SCC) データ保護当局の承認 3 拘束的企業準則 (BCR) 域内 3 当局の承認 4データを移転せずEU 域内で完結煩雑な手続きと多大な費用が必要で実質的な経済障壁として機能

16 EU データ保護指令とわが国の個人情報保護法の相違個人データの第三国への移転:EUデータ保護指令 25 条及び26 条の適用の実務文書などをもとに類推 Working Document: Transfers of personal data to third countries: Applying Articles 25 and 26 of the EU data protection directive, 24 July 1998 監督機関 EU データ保護指令独立した監視機関が官民双方を監視独立性要件日本の個人情報保護法主務大臣が民間を監督行政機関の監督機関はない刑事罰指令違反への法的制裁事業者への行政行為情報の種類特別な種類のデータの取扱いを制限人種民族政治的見解宗教又は思想信条労働組合への加入健康又は性生活に関するデータの処理を禁止情報の質による法律上の義務の違いはない個人情報 = 特定の個人を識別することができる情報等開示請求等アクセス権異議申立権など権利 (rights) として規定事業者の義務第三国移転十分なレベルの保護でない第三国への個人データの移転を禁止適用の対象個人法人公的機関等 5000 超の個人データを保有する事業者コンプライアンス法令が事業者にとって有効に機能しているかなし - 16

グリーンリーフ報告 - 日本の個人情報保護法制の評価 - グリーンリーフ報告におけるコンプライアンスの記載 2012 年 1 月 20 日欧州委員会 ECプライバシー報告におけるニューサウスウエールズ大学のグレアムクリーンリーフ教授の調査結果 Country Studies B.

17 グリーンリーフ報告 - 日本の個人情報保護法制の評価 - グリーンリーフ報告におけるコンプライアンスの記載 2012 年 1 月 20 日欧州委員会 ECプライバシー報告におけるニューサウスウエールズ大学のグレアムクリーンリーフ教授の調査結果 Country Studies B.5-Japan におけるわが国の評価 Graham Greenleaf, Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments, Country Studies, B.5 JAPAN, 13 (European Commission) May データ保護の十分性 (adequacy) を充足していると判断することは困難その根拠として私企業にとっては法律違反による多額の罰金や集団訴訟よりも風評リスクによる損害 (risk of reputational damage) のほうが重要でありわが国の法律が有効であるとの根拠を見いだせないと指摘している EU データ保護指令の十分性に関する基準におけるコンプライアンスの記載 1 前掲実務文書ではルールへの優れたレベルのコンプライアンス (good level of compliance with the rules) が要件となっているが詳細の規定はない 2 オーストラリアへの第 29 条作業部会意見書では主に法制度の外形的要件と執行状況を評価しているが有効性 (effectiveness) の評価は見当たらない企業コンプライアンスの視点から有効性 (effectiveness) を検証し立法提言を行う必要がある

18 行政手続番号法 ( マイナンバー法 ) 改正個人情報保護法成立の経緯 2013 年 5 月 24 日番号法成立マイナンバー法に採用された世界レベルのプライバシー保護独立性が高い監視機関の設置特定個人情報保護委員会情報の不正取得への刑事罰プライバシー影響評価の実施と運用マイポータルなど 2013 年 9 月 2 日高度情報通信ネットワーク社会推進戦略本部第 1 回パーソナルデータに関する検討会 2014 年 12 月 19 日までに 13 回開催 2014 年 6 月 24 日パーソナルデータの利活用に関する制度改正大綱 2015 年 9 月 3 日個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案衆院本会議で可決成立 2016 年 1 月 1 日個人情報保護委員会の設置 2017 年 5 月 30 日改正個人情報保護法の施行 18

19 (3) 改正個人情報保護法と企業のコンプライアンス 19

個人情報保護法の改正ポイント個情報保護法の改正のポイント個情報の定義の明確化 ( 体的特徴等が該当 ) 要配慮個人情報 ( いわゆる機微情報 ) に関する規定の整備定義の明確化

匿名加工情報に関する加工方法や取扱い等の規定の整備個人情報保護指針の作成や届出公表等の規定の整備個情報流通の適正を確保その他改正事項個情報保護委員会の新設及びその権限個

不正な利益を図る目的による個人情報データベース等提供罪の新設個人情報保護委員会を新設し現行の主務大臣の権限を一元化国境を越えた適用と外国執行当局への情報提供に関する規定の整備

20 個人情報保護法の改正ポイント個情報保護法の改正のポイント個情報の定義の明確化 ( 体的特徴等が該当 ) 要配慮個人情報 ( いわゆる機微情報 ) に関する規定の整備定義の明確化個人情報データベース等から権利利益侵害の少ないものを除外取り扱う個人情報が5,000 以下の規模取扱事業者への対応適切な規律の下で個情報等の有性を確保利用目的の変更を可能とする規定の整備匿名加工情報に関する加工方法や取扱い等の規定の整備個人情報保護指針の作成や届出公表等の規定の整備個情報流通の適正を確保その他改正事項個情報保護委員会の新設及びその権限個情報の取扱いのグローバル化請求権本人同意を得ない第三者提供 ( オプトアウト規定 ) の届出公表等厳格化トレーサビリティの確保 ( 第三者提供に係る確認及び記録の作成義務 ) 不正な利益を図る目的による個人情報データベース等提供罪の新設個人情報保護委員会を新設し現行の主務大臣の権限を一元化国境を越えた適用と外国執行当局への情報提供に関する規定の整備外国にある第三者への個人データの提供に関する規定の整備開示訂正及び利用停止等請求権があることを明確化出典 : 個人情報保護委員会個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律個人情報保護法の改正のポイント

21 改正個人情報保護法における個人情報の定義の明確化第 2 条 1 項この法律において個人情報とは生存する個人に関する情報であって次の各号のいずれかに該当するものをいう一当該情報に含まれる氏名生年月日その他の記述等 ( 文書図面若しくは電磁的記録 ( 電磁的方式 ( 電子的方式, 磁気的方式その他人の知覚によっては認識することができない方式をいう次項第 2 号において同じ ) で作られる記録をいう第 18 条第 2 項において同じ ) に記載され, 若しくは記録され, 又は音声, 動作その他の方法を用いて表された一切の事項 ( 個人識別符号を除く ) をいう以下同じ ) により 1 特定の個人を識別することができるもの (2 他の情報と容易に照合することができそれにより特定の個人を識別することができることとなるものを含む ) 二個人識別符号が含まれるもの 1 特定個人の識別とは当該情報と特定の個人との間に一般人の判断力や理解力を基準として社会通念上同一性を認めることができるまたは個人識別符号が含まれている 2 容易に照合とは提供元において当該情報 ( 提供データ ) と他の情報 ( 元データ ) の間に 1 対 1 の対応関係 ( 単射性 ) があるかどうか ( 提供元基準 ) 出典 : 鈴木正朝 BERC 資料改正個人情報保護法 Ver 年 6 月 3 日

22 個人情報該当性の判断基準の議論現行法における解釈 ( 判断基準 ) 個人情報の識別性は一般人を基準に容易照合性は当該情報を取り扱う事業者を基準に判断される ( 理由 ) 識別性が一般人の判断能力を基準とするのは個人情報概念の相対性を認めないため容易照合性については事業者ごとに保有する情報や管理状況が異なり得るため ( 第三者提供時の容易照合性判断基準 ) 提供元 ( 情報を取り扱う事業者 ) を基準に判断する ( 理由 ) 提供先において特定個人を識別できるか否かは本人同意を得る等義務を負う提供元においては判断ができない出典 : 第 7 回パーソナルデータに関する検討会資料個人情報等の定義と個人情報取扱事業者等の義務について ( 事務局案 )< 詳細編 > 2014 年 4 月 16 日 2 頁

23 匿名加工情報の利用に関する国際的動向アメリカ FTC( 連邦取引委員会 ) が 2012 年 3 月に公表した急激に変化する時代の消費者プライバシー保護企業と政策決定者への推奨では匿名化情報の取扱いに関する指針を示し合理的に連結 (reasonably linkable) できないデータは利用可能としている 1 非識別化 (de-identify) のための合理的な措置 (reasonable measures) を施し 2 再識別化 (re-identify) しないことの約束を公表し 3データの受領者が再識別することを契約上禁止している場合 Protecting Consumer Privacy in an Era of Rapid Change Recommendations for Businesses and Policymakers (March2012), ⅳ. EU 一般データ保護規則提案の前文第 23 条に匿名情報 (anonymous data) の定義を置きデータ主体が識別できないような方法で匿名化されたデータについてデータ保護の原則を適用せず利用が可能であるとしているが定義と方法論は明記されていないイギリスでは ICO(Information Commissioner s Office) がガイダンス anonymisationcode UK Guidance big-data-and-data-protection を示し業界がそれぞれ匿名化のルールを策定するように指導 ICO, Anonymisation: managing data protection risk code of practice 日本 2015 年 9 月 3 日に成立した改正個人情報保護法 36 条個人情報保護委員会規則で定める基準の順守加工方法などの漏えい防止作成した情報の項目の公表義務匿名加工情報の識別禁止安全管理措置

24 改正個人情報保護法における匿名加工情報第 2 条 9 項この法律において匿名加工情報とは次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって当該個人情報を復元することができないようにしたものをいう一第 1 項第 1 号に該当する個人情報当該個人情報に含まれる記述等の一部を削除すること ( 当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む ) 二第 1 項第 2 号に該当する個人情報当該個人情報に含まれる個人識別符号の全部を削除すること ( 当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む ) 第 36 条 1 個人情報取扱事業者は匿名加工情報 ( 匿名加工情報データベース等を構成するものに限る以下同じ ) を作成するときは特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い当該個人情報を加工しなければならない

25 第 36 条 2 個人情報取扱事業者は匿名加工情報を作成したときはその作成に用いた個人情報から削除した記述等及び個人識別符号並びに前号の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従いこれらの情報の安全管理のための措置を講じなければならない 3 個人情報取扱事業者は匿名加工情報を作成したときは個人情報保護委員会規則で定めるところにより当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない 4 個人情報取扱事業者は匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは個人情報保護委員会規則で定めるところによりあらかじめ第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに当該第三者に対して当該提供に係る情報が匿名加工情報である旨を明示しなければならない 5 個人情報取扱事業者は匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために当該匿名加工情報を他の情報と照合してはならない 6 個人情報取扱事業者は匿名加工情報を作成したときは当該匿名加工情報の安全管理のために必要かつ適切な措置当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じかつ当該措置の内容を公表するよう努めなければならない

26 匿名加工情報の概要第 36 条 1 項個人情報保護委員会規則の定める加工基準に従い 1 特定個人の識別不可加工 2 作成に用いた個人情報への復元不可加工 * 匿名加工情報データベース等を構成するもの第 36 条 2~5 項法的義務 12 項 : 削除した記述等及び個人識別符号加工方法情報の安全管理 23 項 : 作成時の情報項目の公表 34 項 : 第三者提供時の情報項目提供方法の公表匿名加工情報であることの第三者への明示 55 項 : 本人識別のための照合禁止の義務第 36 条 6 項努力義務 1 匿名加工情報の安全管理措置 2 匿名加工情報の苦情処理 3 その他の適正取扱い確保措置 4 上記の措置の内容の公表

27 第 40 条 ( 報告及び立入検査 ) 個人情報保護委員会は個人情報取扱事業者等に対して 1 報告資料の提出を求め 2 職員に立ち入り検査させることができるトレーサビリティの確保第 25 条 ( 第三者提供に係る記録の作成等 ) 1 個人情報取扱事業者は個人データを第三者 ( 第 2 条第 5 項各号に掲げる者を除く以下この条及び次条において同じ ) に提供したときは個人情報保護委員会規則で定めるところにより当該個人データを提供した年月日当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならないただし当該個人データの提供が第 23 条第 1 項各号又は第 5 項各号のいずれか ( 前条の規定による個人データの提供にあっては第 23 条第 1 項各号のいずれか ) に該当する場合はこの限りでない 2 ( 保存義務 ) 第 26 条 ( 第三者提供を受ける際の確認等 ) 1 個人情報取扱事業者は第三者から個人データの提供を受けるに際しては個人情報保護委員会規則で定めるところにより次に掲げる事項の確認を行わなければならないただし当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合はこの限りでない (1) 当該第三者の氏名又は名称及び住所並びに法人にあってはその代表者 ( 法人でない団体で代表者又は管理人の定めのあるものにあってはその代表者又は管理人 ) の氏名 (2) 当該第三者による当該個人データの取得の経緯 2 ( 虚偽告知禁止 ) 3 ( 確認記録作成義務 ) 4 ( 保存義務 )

28 第三者提供するとき 1. 個人情報取扱事業者は個人データを第三者に提供したときは以下の記録を作成し保存する 1 提供した年月日 2 第三者の氏名名称 3そのデータによって識別される本人の氏名項目等 4 本人の同意を得て第三者又は外国にある第三者に個人データを提供する場合は上記に加えて本人の同意を得ている旨第三者提供を受けるとき 1. 確認事項 1 提供元である第三者の氏名名称住所法人の代表者の氏名 2 提供元におけるデータ取得の経緯 2. 記録 1 提供を受けた年月日 2 上記確認事項 3 そのデータによって識別される本人の氏名項目等 4 本人の同意を得て第三者又は外国にある第三者に個人データを提供する場合は上記に加えて本人の同意を得ている旨記録の保存委員会規則において提供元提供先双方に 1~3 年の期間を規定 28

29 不正取得者への刑事罰の新設第 83 条個人情報取扱事業者 ( その者が法人 ( 法人でない団体で代表者又は管理人の定めのあるものを含む第 87 条第 1 項において同じ ) である場合にあってはその役員代表者又は管理人 ) 若しくはその従業員又はこれらであった者がその業務に関して取り扱った個人情報データベース等 ( その全部又は一部を複製し又は加工したものを含む ) を自己若しくは第三者の不正な利益を図る目的で提供し又は盗用したときは 1 年以下の懲役又は 50 万円以下の罰金に処する本来名簿は利活用するものでアクセス制限をかけない場合が多い 2003 年施行の個人情報保護法では不正取得者への罰則規定はなく営業秘密における秘密管理性を充足しない管理を行っていた場合 USB メモリなどの媒体を介さず情報を取得した場合などは不可罰となった本条項の加入により不正取得者の刑事的処罰が可能になった

個人情報保護委員会と事業者との関係オンタリオ州 IPC イギリス ICO Information and Privacy Commissioner of Ontario(2014.7 退任 ) Dr.

30 個人情報保護委員会と事業者との関係オンタリオ州 IPC イギリス ICO Information and Privacy Commissioner of Ontario( 退任 ) Dr. Ann Cavoukian Privacy by Design 提唱者 (1)Commissioner の職責プライバシー保護と情報公開の両分野について独立した法執行機関として官民双方を監視法の遵守監視と執行国民への情報提供教育啓発事業者の相談プライバシー影響評価と検査 ( 官民双方 ) など (2)Commissioner の権限強制調査権 = 市民からの不服申立に関する調査自己付託による調査勧告命令訴訟提起と参加 (3)Commissioner Office 約 140 人のスタッフ中約 70 名はプライバシー約 70 名は情報公開行政機関との人事交流あり ( 情報公開担当の副委員長は行政出身 ) 年間予算は約 14 億円 ( 年度 ) ほとんどは職員の人件費イギリスインフォメーションコミッショナー制度ウイルムズローに所在人員 327 人 (IOC が独自採用 ) 年間予算は約 30 億 (2017 万年 ) 出典 : 石井夏生利英国におけるインフォメーションコミッショナーの組織と権限 2010 年 8 月 21 日 17 頁

31 コンサルテーションを受けた事業者の意見東オンタリオ小児病院 (CHEO) のエルイーマム博士 (Dr. Khaled El Emam) オンタリオ州の新生児の登録情報のデータベースを新薬や治療後術の開発に利用データベース構築にあたって患者からの情報取得から研究者への情報提供の一連のスキームについて IPC に相談してプライバシー保護の仕組みを導入し PIA と数回の検査を経て運用事業者にとっても時間と経費の低減につながり相談は有益であったコミッショナーによる監視と執行はオンタリオの事業者の意識を高めているその他子ども向け優良サイトの認証を行っている Kids Media Cente の Ms. Gordonr も同意見グリーンリーフ報告でコンプライアンスの視点からデータ保護の有効性 (effectiveness) を指摘されたわが国において IPC( 監督機関 ) カナダオンタリオ州の事例は示唆に富んでいる監督機関による権限の執行国際協力及び事業者へのコンサルテーションは小規模事業者やインターネットビジネスにコンプライアンス経営を促すプレッシャーが低いわが国において法の有効性を高めるのではないか

32 グローバルな視点での企業の情報法コンプライアンス (1) 企業内での情報法の専門家の養成企業グループ内に情報管理の責任者 (CPO CIO CISO DPO) と専任管轄部署を設置し情報法の専門家を養成するとともに個々の事案についてグループ内で統一的な適法性社会受容性判断を行う ( 新規開発案件は個人情報保護委員会とプライバシー保護に関する相談ができる専門性 ) (2) 新たな情報取扱規程の定立と運用改正個人情報保護法と EU 一般データ保護規則提案の双方に準拠して情報の取扱いに関する新たな規程を定立しグループ横断的に運用を行う例 :HP 社のグローバルな判断基準お客さまが嫌がることはしない = 納得感を判断基準 (3) 従業員等のモチベーションを高める経営企業は従業者への監視を強化する必要に迫られるが企業秩序定立権と従業者のプライバシー権の利益衡量の問題があり行き過ぎた監視は従業者のモチベーションを低減させる場合もある企業はプライバシーに配慮した監視を行うとともに従業員等がこの会社で働き続けたいと思うモチベーションを高めるための経営努力を行う必要があるない 1. 従業者の専門性の養成モチベーションアップは長期的視座に立った経営が必要 2. 本人の納得感を高めるために丁寧に本人同意を得て本人の信頼を得る必要

33 (4) 参考 GDPR のポイント 33

34 参考欧州とアメリカ - プライバシー外交年セーフハーバー協定合意米国商務省が認証した企業の枠組みセーフハーバーについて EU はデータ保護の十分性を認めた 2013 年 6 月スノーデン事件 NSA 等の米国政府機関が Facebook Inc 等の IT 企業が保有するデータを監視していたことが発覚 Max Schrems 氏がアイルランドのデータ保護コミッショナー Facebook が十分な保護措置がない米国に対して自身の個人データを移転させたと申立コミッショナーは本件調査を拒否 2015 年 10 月欧州司法裁判所はアメリカのセーフハーバー協定は無効であると判示 Google Facebook など約 4500 の米国企業は例外規定 ( 指令 26 条 ) を使わざるを得ず影響は甚大アメリカは新たなデータ保護の枠組み EU-U.S. Privacy Shield を提案 EU データ保護指令 26 条 1 項 2 項及び 4 項の例外的措置 1 情報主体の明確な同意 2 標準契約条項 (SCC) データ保護当局の承認 3 拘束的企業準則 (BCR) 域内 3 当局の承認煩雑な手続きと多大な費用が必要で実質的な経済障壁として機能 2016 年 2 月 29 日欧州委員会は一定の条件のもとで EU-U.S. Privacy Shield のデータ保護の十分性を認めた

35 参考 EU 一般データ保護規則提案改定案を公表 LIBE 委員会で修正案可決 (Committee on Civil Liberties, Justice and Home Affairs) 欧州議会本会議で可決 2018 年春施行クラウドコンピューティング (EU 域外へのアウトソーシング ) SNS におけるデータ保護のあり方多国籍企業への過度な負担の軽減などを目的とした改訂指令 (Directive) から規則 (Regulation) へ規則 (regulation) は自動的に加盟国の国内法の一部となり指令 (directive) は加盟国が指令に基づき国内法として立法義務を有する規則への格上げにより加盟国へ直接適用し EU 域内でのデータ保護ルールの一元化を図る現データ保護指令 26 条 1 2 及び 4 項の例外規定新規則案では 1 標準契約条項 (SCC) データ保護当局の承認不要 2 拘束的企業準則 (BCR) 域内一当局の承認で OK など多国籍企業の負担軽減地域的な範囲における EU 域外適用 (3 条 2 項 ) EU データ保護規則提案は EU 域外企業であっても 1 EU 居住者への商品サービスの提供 2 EU 居住者の行動の監視を行っている管理者に対して適用される EU 域内に設立していない管理者は域内に代理人を設立する義務 (25 条 ) データ保護バイデザインバイデフォルト 1 新サービスの導入時にデータ保護への考慮の義務 ( 第 23 条 ) 2 個人データの取扱いを行うに当たってデータ保護影響評価を実施する必要がある旨の規定 ( 第 33 条 ) など 35

36 参考 EU 一般データ保護規則提案で企業活動に影響が大きいと思われる項目同意の条件 (Conditions for Consent) ( 第 7 条 ) 明確な同意取得のスキームの確立データ主体の同意に関して規約やポリシーなどの文書の中で示される場合はその他の内容と区別して明示される必要がある (7 条 2 項 ) またデータ主体による同意の撤回の権利 (7 条 3 項 ) データ主体と管理者の重要な立場のアンバランスがある場合に同意は法的な根拠を有しない事 (7 条 4 項 ) が規定されている現在わが国の企業は契約や約款の一部として同意を取得する場合があるが EU 一般データ保護規則提案においては明確な同意を求めておりこのような取得方法では要件を充足しないと思われる忘れられる権利及び消去権 (Right to be forgotten and to erasure)( 第 17 条 ) 忘れられる権利及び削除権への対応体制の確立目的に照らして個人データが必要でなくなった場合データ主体が同意を取り下げた場合など自らの個人データを管理者に削除させる権利 (17 条 1 項 ) と規定している管理者は当該データが公表されていた場合そのデータを取扱う第三者に対してそのリンクや複製などを削除するための合理的な措置を講ずることを義務づけている (17 条 2 項 ) 企業は個人データの削除依頼の受付削除対応及び第三者への削除要請の通知などの一連のプロセスを構築する必要がある 36

37 参考 EU 一般データ保護規則提案で企業活動に影響が大きいと思われる項目監督機関への報告 (31 条 ) クライシス対応の組織及びルールの確立個人データ違反 (personal data breach) を発見した場合不当に遅れることなく可能な範囲で2472 時間以内に監督機関に報告する義務があり 2472 時間を超えて報告を行う場合は正当な理由が求められる (31 条 1 項 ) また個人データ違反がデータ主体のプライバシー保護等への有害な影響が予測される場合に不当に遅れることなくデータ主体に個人データ侵害の通知を行う (32 条 ) ことを規定している企業は漏えいや不正使用などのネガティブ情報の収集と管理経営者への報告監督機関への報告及び本人への連絡などの一連の対応を行う組織を確立し手続きに関するルールを定立する必要がある行政制裁 ( 第 79 条 ) 罰則と域外適用本規則に違反した管理者や処理者に対して最大 1 億 2000 万ユーロまたは年間世界売上高の 5% 4% のいずれか大きい額の課徴金が科される (79 条 ) また EU 域内に設立されていなくとも域内のデータ主体の個人データを取扱う管理者が EU 域内のデータ主体に商品やサービスを提供する場合または彼らの行動をモニタリングする場合に適用される (3 条 2 項 ) ( 当初案では最大 100 万ユーロ又は年間世界売上の 2% の課徴金が規定されていたが LIBE 委員会で修正 ) EU 域内に所在し事業を行う企業 EU 域外からインターネットを介して商品サービスを提供する事業やクラウドなどの事業を行う企業も対象になる 37

38 ご清聴ありがとうございました

議題 1. 個人情報保護委員会とは 2. 個人情報保護法の改正について 1

個人情報保護法の改正等について個人情報保護委員会事務局議題 1. 個人情報保護委員会とは 2. 個人情報保護法の改正について 1 1. 個人情報保護委員会とは沿革平成 26 年 1 月 1 日特定個人情報保護委員会設置 ( 行政手続における特定の個人を識別するための番号の利用等に関する法律第 36 条 ) 任務平成 28 年 1 月 1 日特定個人情報保護委員会から改組 ( 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律第

スライド タイトルなし

スライドタイトルなし