PowerPoint プレゼンテーション - PDF 無料ダウンロード

個人情報保護法の改正に伴う事業規模の小さな事業者への対応について TM 2016 年 1 月個人情報保護委員会事務局

目次 1. 改正個人情報保護法の概要 2. 事業規模の小さな事業者への対応 3. 今後のスケジュール等 4. 対応の具体例 5. マイナンバーの取扱いに関するお知らせ参考資料

1. 改正個人情報保護法の概要個人情報保護法個人情報の保護と有用性の確保に関する制度改正個人情報の取扱いの監督権限を有する第三者機関 ( 個人情報保護委員会 ) を特定個人情報保護委員会を改組して設置など番号利用法個人情報保護法の改正のポイント 1. 定義の明確化等 2. 適切な規律の下で個人情報等の有用性を確保 3. 個人情報の流通の適正さを確保 4. 個人情報保護委員会の新設及びその権限 5. 個人情報の取扱いのグローバル化特定個人情報 ( マイナンバー ) の利用の推進に係る制度改正金融分野医療等分野等における利用範囲の拡充預貯金口座への付番特定健診保健指導に関する事務における利用予防接種に関する事務における接種履歴の連携等個人情報の定義の明確化 ( 身体的特徴等が該当 ) 要配慮個人情報 ( いわゆる機微情報 ) に関する規定の整備個人情報データベース等から権利利益を害するおそれが少ないものを除外取り扱う個人情報が 5,000 人分以下の事業者に対しても法を適用利用目的の変更を可能とする規定の整備匿名加工情報に関する加工方法や取扱い等の規定の整備個人情報保護指針の作成や届出公表等の規定の整備本人同意を得ない第三者提供 ( オプトアウト規定 ) の届出公表等厳格化トレーサビリティの確保 ( 第三者提供に係る確認及び記録の作成義務 ) 不正な利益を図る目的による個人情報データベース等提供罪の新設個人情報保護委員会を新設し現行の主務大臣の権限を一元化国境を越えた適用と外国執行当局への情報提供に関する規定の整備外国にある第三者への個人データの提供に関する規定の整備本人の開示訂正等利用停止等の求めは請求権であることを明確化 6. 請求権 1

1. 改正個人情報保護法の概要背景課題監督対象主務大臣小規模取扱事業者 5,000 人分以下の個人情報を取り扱う事業者に対しては法律の適用を除外 ( 現行法第 2 条第 3 項第 5 号施行令第 2 条 ) : 5,000 人分を超える ( 1) 個人情報をデータベース化 ( 2) してその事業活動に利用している者 ( 3) ( 1) 過去 6 か月間に一度でも超えていれば該当する ( ただし市販の電話帳カーナビ等に掲載されている個人情報は除く ) ( 2) 個人情報データベース等 : 特定の個人情報を検索できるよう体系的に構成した個人情報の集合物紙媒体電子媒体を問わない ( 3) 営利非営利の別を問わない個人事業主も含まれるしかし 5,000 人分以下の個人情報を取り扱う事業者であってもその不適切な取扱いによって個人の権利利益が侵害される危険性は生じうる個人情報保護委員会監督対象 5,000 人分以下の個人情報を取り扱う事業者に対しても法律の適用を開始 : 個人情報をデータベース化 ( 2) してその事業活動に利用している者 ( 3) 2

2. 事業規模の小さな事業者への対応個人情報保護委員会事業規模や個人情報の利用形態等に応じた適切な取扱いであれば足りる大量の個人情報参考公表ガイドライン ( 法律上の各義務について具体的な履行方法が示されたもの ) 参考ガイドラインの内容大規模事業者と同様のやり方で個人情報を取り扱わなければならないの? 負担大量の個人情報を取り扱っている大規模事業者がとるべき措置は少量の個人情報を取り扱っている小規模事業者がとるべき措置は附則第 11 条個人情報保護委員会は新個人情報保護法第 8 条に規定する事業者等が講ずべき措置の適切かつ有効な実施を図るための指針を策定するに当たってはこの法律の施行により旧個人情報保護法第 2 条第 3 項第 5 号に掲げる者が新たにとなることに鑑み特に小規模の事業者の事業活動が円滑に行われるよう配慮するものとする 3

3. 今後のスケジュール等安心今回の改正で新たにとなる者が全面施行前に個人情報をどのように取り扱っていたとしてもその行為について個人情報保護法の違反を問われることはありません今回の改正で新たにとなる者は全面施行後には施行後に取得した個人情報に加え従前から取り扱っていた個人情報についても利用目的を特定したり安全管理措置をとったりする等法律上の各義務を守らなければなりません学校や自治会においても法律上の各義務を守れば緊急連絡網を作成配布することができます改正法公布個人情報保護委員会設置平成 28 年 1 月 1 日全面施行公布の日から起算して 2 年を超えない範囲内において政令で定める日 4

4. 対応の具体例 1- 本人から個人情報を取得し保有する場合本人から取得し保有する場合に生じる義務 1 安全管理措置従業者の監督措置個人データの取扱いに関して漏えい等の防止のため必要かつ適切な措置を講じなければならない電話帳や住宅地図など市販の名簿等をそのまま活用する場合は改正により除外 (5 についても同じ ) 講ずべき措置は取り扱う個人情報の量や内容事業者における利用態様等によって異なる具体例 ( 酒屋等の中小企業が配達のために個人情報を取り扱うケース ) 顧客名簿をカギのかかる引き出しで管理 ( なお書面で少数の個人情報を管理し自社内で用いるのみである場合と大量の個人情報をデータベース化し外部にも送信しているような場合とでは必要な措置の程度が異なる ) 2 適正な取得偽りその他不正の手段により個人情報を取得してはならない 3 取得時の利用目的の通知等配達のため等の利用目的が明白な場合を除き個人情報を取得する場合には利用目的を本人に通知 ( 電子メール電話郵便など ) 又は公表 ( ホームページへの掲載店先での掲示など ) しなければならない 4 利用目的の特定目的外利用の禁止利用目的をできるだけ特定しその目的の範囲内で個人情報を利用しなければならない 5 保有個人データの公表開示訂正利用目的等について公表 ( 遅滞なく回答でも可 ) し本人の請求に応じて個人データを開示訂正等しなければならない偽りその他不正の手段により取得しない顧客の氏名住所の取得が配達のためであることが明白であれば特段の通知は要しない配達のため以外に個人情報を利用しない聞かれた場合にどのような目的で本人のどのような個人情報を取り扱っているかを回答できるようにしておく 5

4. 対応の具体例 2- 個人情報を他者に提供する場合他者に提供する場合等のケースでは不正流通の危険があるため一定の義務が追加的に課されている他者に提供する場合等に生じる義務 1 委託先の監督個人データを委託する場合は必要かつ適切な監督を行わなければならない 2 第三者提供する際の制限個人データを第三者に提供する場合は一定の場合を除き原則として本人の同意を得なければならない個人データを第三者に提供する場合は提供の年月日及び第三者の氏名等を記録しなければならない 3 第三者提供を受ける際の確認記録第三者から個人データの提供を受ける場合は提供者による取得経緯等を確認し提供を受けた年月日等を記録しなければならない具体例ダイレクトメールの宛名書きを委託する場合個人情報を適切に管理する委託先を選定し適切な管理を求める契約を締結し委託先の個人データの取扱いを把握する顧客に関する情報を他の事業者に提供する場合は原則として本人の同意を得なければならないまた提供の年月日等を記録しておく他の事業者から顧客に関する情報を得てダイレクトメールを送る場合は当該事業者の個人情報の取得経緯等を確認し提供を受けた年月日等を記録しておく 6

5. マイナンバーの取扱いに関するお知らせ事業者における特定個人情報の漏えい事案等が発生した場合の対応事業者における特定個人情報の漏えい事案等が発生した場合の対応について ( 平成 27 年特定個人情報保護委員会告示第 2 号 ) 特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則 ( 平成 27 年特定個人情報保護委員会規則第 5 号 ) 1. 漏えい事案等が発覚した場合に講ずることが望まれる措置 (1) 事業者内部における報告被害の拡大防止 (2) 事実関係の調査原因の究明 (3) 影響範囲の特定 (4) 再発防止策の検討実施 (5) 影響を受ける可能性のある本人への連絡等 (6) 事実関係再発防止策等の公表 2. 本告示に基づく報告事業者は番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には事実関係及び再発防止策等について次ページの事業者における特定個人情報の漏えい事案等が発生した場合の報告概念図 ( 重大事態の報告を除く ) のとおり事業所管の主務大臣等又は個人情報保護委員会 ( 注 ) に報告するよう努めてください ( 注 ) に該当するか等で報告先が異なります 3. 個人情報保護委員会規則に規定する重大事態等の関する報告事業者は右記の個人情報保護委員会規則における重大事態に該当する事案又はそのおそれのある事案が発覚した時点で直ちにその旨を個人情報保護委員会に報告するよう努めてください第一報事業者は特定個人情報ファイルに記録された特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態 ( 重大事態 ) が生じたときは個人情報保護委員会に報告するものとする確報重大事態 1 情報提供ネットワークシステム等又は個人番号利用事務を処理するために使用する情報システムで管理される特定個人情報が漏えい等した事態 2 漏えい等した特定個人情報に係る本人の数が100 人を超える事態 3 特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となりかつ閲覧された事態 4 従業員等が不正の目的をもって特定個人情報を利用し又は提供した事態報告内容 1 概要及び原因 2 特定個人情報の内容 3 再発防止のためにとった措置 4 1~3のほか個人情報保護委員会が定める事項個人情報保護委員会へ報告する様式については個人情報保護委員会ウェブサイトに掲載しています 7

5. マイナンバーの取扱いに関するお知らせ事業者における特定個人情報の漏えい事案等が発生した場合の報告概念図 ( 重大事態の報告を除く ) 委員会告示 : 事業者における特定個人情報の漏えい事案等が発生した場合の対応について ( 平成 27 年特定個人情報保護委員会告示第 2 号 ) 委員会規則 : 特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則 ( 平成 27 年特定個人情報保護委員会規則第 5 号 ) 事業者は番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には事実関係及び再発防止策等について次のとおり事業所管の主務大臣等又は個人情報保護委員会に報告するよう努めてください A. (C 以外の場合 ) 主務大臣のガイドライン等の規定に従って報告委員会告示 2.(1) ア B. 以外の事業者主務大臣のガイドライン等に従う場合主務大臣 ( 認定個人情報保護団体 ) 又は地方公共団体の長等 ( 主務大臣のガイドライン等に報告先として規定されている場合 ) 通知委員会告示 2.(1) イ C. 主務大臣が明らかでない場合又は報告する主務大臣等を直ちに特定できない場合 D. 以外の事業者 (B 以外の場合 ) 速やかに報告速やかに報告 ( ) 個人情報保護委員会委員会告示 2.(1) ウ E. 番号法固有の規定に関する事案速やかに報告 D. 以外の事業者 (B 以外の場合 ) は次の 1~4 全てに当てはまる場合は個人情報保護委員会への報告は要しません 1 影響を受ける可能性のある本人全てに連絡した場合 ( 本人への連絡が困難な場合には本人が容易に知り得る状態に置くことを含む ) 2 外部に漏えいしていないと判断される場合 3 事実関係の調査を了し再発防止策を決定している場合 4 委員会規則に規定する重大事態に該当しない場合個人情報保護委員会へ直接報告する事案が発生した場合は郵送で報告してください個人情報保護委員会ウェブサイトに報告様式や Q&A を掲載しています http://www.ppc.go.jp/legal/policy/rouei/ 8

参考個人情報とは保護対象生存する個人に関する情報であって (1) 氏名生年月日その他の記述等により特定の個人を識別することができるもの ( 他の情報と容易に照合することができそれにより特定の個人を識別することができることとなるものも含む ) (2)(1 又は 2 の ) 個人識別符号が含まれるもの 1 特定の個人の身体の一部の特徴を電子計算機のために変換した符号 < 例 > 個人情報 < 例 >データベース化されていない書面写真音声等に記録されているもの氏名住所生年月日指紋認識データ顔認識データ 2 対象者ごとに異なるものとなるように役務の利用商品の購入又は書類に付される符号個人情報データベース等 ( ) を構成する個人情報 < 例 > 委託を受けて入力編集加工等のみを行っているもの < 例 > 個人データ保有個人データ旅券番号免許証番号 ( ) 個人情報を含む情報の集合物であって電子媒体紙媒体を問わず特定の個人情報を検索することができるように体系的に構成したもの ( 例 : 名簿連絡帳 ) 利用方法から個人の権利利益を害するおそれが少ないもの ( 例 : 市販の電話帳 ) を除くが開示訂正削除等の権限を有する個人データ (6 月以内に消去することとなるものを除く ) < 例 > 自社の事業活動に用いている顧客情報従業員等の人事管理情報 ( 注 ) このほかにも要配慮個人情報及び匿名加工情報という類型があります要配慮個人情報は人種信条社会的身分病歴等その取扱いによっては差別や偏見を生じるおそれがあるため特に慎重な取扱いが求められる個人情報を類型化したものです匿名加工情報は個人情報に適正な加工を施し特定の個人を識別できず復元できないようにしたものです適正な加工を施すこと等法律上の一定の規律を守っていただければ本人同意なく自由な流通利活用が認められます 9

参考が守らなければならない義務個人情報の取得時利用目的の特定通知等利用目的の特定 ( 15) 目的外利用の禁止( 16) 個人情報を取り扱うに当たっては利用目的をできるだけ特定しその目的を変更する場合には変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならないまた原則としてあらかじめ本人の同意を得ないで特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない取得時の利用目的の通知等 ( 18) 個人情報を取得するに当たっては取得前にあらかじめ利用目的を公表し又は取得した後に速やかに本人へ利用目的を通知し若しくは公表しなければならないまた本人から直接書面で取得する場合はあらかじめ本人に利用目的を明示しなければならない利用目的を変更した場合は変更された目的を本人に通知し又は公表しなければならないなお取得の状況からみて利用目的が明らかな場合等の一定の場合にはこれらの利用目的の通知又は公表は必要ない適正な取得適正な取得 ( 17) 偽りその他不正な手段によって個人情報を取得してはならず人種信条病歴等を含む個人情報 ( 要配慮個人情報 ) を取得する時には必ず本人に同意をとらなければならない本人公表通知明示利用目的個人情報の取得当初の利用目的本人の同意が必要変更可能下記の範囲を超えた利用目的関連性を有すると合理的に認められる範囲の利用目的 10

参考が守らなければならない義務個人データの保管管理時事故防止のための対策データ内容の正確性の確保 ( 19) データは正確かつ最新の内容に保つとともに利用する必要がなくなったときはデータを消去するよう努めなければならない安全管理措置 ( 20) 従業者委託先の監督 ( 21 22) データの漏えいや滅失を防ぐため安全管理のための必要かつ適切な技術的組織的な措置をとらなければならないまた従業者 ( ) や委託先においても安全にデータが管理されるよう必要かつ適切な監督を行わなければならない ( ) 従業員とは正社員のほか役員契約社員アルバイト等も含まれる苦情の処理 ( 35) 苦情の処理個人情報の取扱いに関する苦情の適切かつ迅速な処理そのために必要な体制の整備に努めなければならない苦情の申出パスワードセキュリティソフトの使用個人情報や苦情対応に関する研修等消去委託契約の遵守状況を確認委託契約書データ持ち出し禁止データの返却適切な消去対応本人正確最新個人データの入力等を委託委託先 11

参考が守らなければならない義務保有個人データの保管管理時本人からの求め請求への対応利用目的の通知個人情報の開示訂正利用停止等 ( 27 34) 保有しているすべてのデータの利用目的や事業者の名称等の一定の事項を本人の知りうる状態に置き本人の求めに応じて当該本人が識別されるデータの利用目的を本人に通知しなければならないまた本人からの請求に応じてデータを開示しデータ内容に誤りのある場合には訂正又は削除を事業者が法律上の義務 ( 16 17 23Ⅰ ) に違反している場合にはデータの利用の停止又は消去を行わなければならない利用目的事業者名開示等に必要な手続裁判所本人の知りうる状態 ( 公表 ) 拒否決定に不満 3 申立て 4 棄却 4 認容 ( 開示等命令 ) 利用目的を通知 2 拒否決定通知本人利用目的を知りたい本人 2 開示等 1 データを開示等してほしい 12

参考が守らなければならない義務個人データの提供時第三者提供の制限第三者提供の制限 ( 23) 法令に基づく場合等の一定の場合を除きあらかじめ本人の同意を得ないで個人データを第三者に提供してはならないただし本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって本人の求めを受け付ける方法等の一定の事項をあらかじめ本人に通知し又は本人が容易に知り得る状態に置くとともに個人情報保護委員会に届け出たときは本人の同意を得ないで当該個人データを第三者に提供することができる ( 要配慮個人情報を除く ) なお委託事業承継共同利用に伴う提供の場合には第三者提供に該当しない外国の第三者へ個人データを提供する場合には 24 参照確認記録の作成保存個人データを第三者に提供した際の記録等 ( 25) 個人データを第三者に提供したときは提供年月日第三者の氏名名称等の一定の事項を記録し一定の期間その記録を保存しなければならない個人データを第三者から提供を受ける際の確認記録等 ( 26) 個人データを第三者から提供を受けるときは第三者の氏名名称等当該第三者がその個人データを取得した経緯について確認するとともに受領年月日確認した事項等の一定の事項を記録し一定の期間その記録を保存しなければならない本人同意本人の知りうる状態 ( 公表 ) 又はデータの項目求めの受付方法等通知第三者提供してもよいか? 2015.8.17 B に顧客に関する情報を提供記録保存第三者提供事業者名は? 取得の経緯は? 2015.8.17 A から顧客に関する情報を受領記録保存 ( 販売無償譲渡 ) 13

参考が守らなければならない義務不適正な取扱いの是正罰則個人情報保護委員会の監督個人情報保護委員会による報告徴収立入検査指導助言勧告命令 ( 40 42) 委員会は必要な限度においてに対し個人情報の取扱いに関して報告の徴収事務所への立入検査必要な指導及び助言をすることができる委員会はが法律上の義務に違反した場合にに対し違反行為の中止や違反を是正するために必要な措置をとるべき旨を勧告することができ勧告を受けたが正当な理由がなく勧告に従わなかった場合にその勧告に係る措置をとるべきことを命ずることができる罰則の適用 ( 83 88) データベース提供罪罰則個人情報データベース等を取り扱う事務に従事する者又は従事していた者が不正な利益を図る目的で個人情報データベース等を提供し又は盗用する行為を処罰 (1 年以下の懲役又は50 万円以下の罰金 ) が 1 委員会の命令に違反した場合 2 委員会に対して虚偽の報告や検査拒否等をした場合を処罰 (16 月以下の懲役又は30 万円以下の罰金 230 万円以下の罰金 ) 法律違反が発覚報告徴収立入検査勧告命令命令違反法律の義務に違反? 個人情報保護委員会通報本人不正な持ち出し不正な提供従事者司法機関 14

参考匿名加工情報とは匿名加工情報本人個人情報事業者 A ( 加工提供 ) 取得 2 個人情報保護指針に基づき特定の個人を識別することができる記述等を削除 1 匿名加工情報を作成したことを公表公表匿名加工情報 2 第三者提供をする旨を公表特定の個人を識別することができる記述等を削除第三者提供をする旨を公表削除した記述等や加工方法の漏えい防止特定の個人を識別することができないように個人情報を加工したものを匿名加工情報と定義しその加工方法を定めるとともに事業者による公表などその取扱いについての規律を設ける 4 第三者提供をする旨を公表 3 提供匿名加工情報 3 匿名加工情報であることを明示 5 匿名加工情報で5 提供あることを明示本人を識別するための以下の行為を禁止作成者が削除した記述等や加工方法の取得他の情報と照合事業者 B ( 受領提供 ) 個人情報保護指針匿名加工情報指針の提供個人情報保護委員会規則で定める基準に従う匿名加工基準個人情報保護指針 (1) 消費者意見を代表するもの等から意見を聴いて作成個人情報保護委員会 (2) 届出 ( 変更 ) 個人情報保護指針 (3) 届け出事項の公表個人情報保護指針認定個人情報保護団体公表本人を識別するための以下の行為を禁止作成者が削除した記述等や加工方法の取得他の情報と照合事業者 C ( 受領 ) 15

参考個人情報保護委員会の新設及びその権限事業者個人情報保護指針認定個人情報保護団体個人情報保護指針 (1) 消費者意見を代表するもの等から意見を聴いて作成機能権限報告徴収立入検査指導 / 助言勧告命令報告徴収立入検査事業所管大臣権限の委任認定認定取消報告徴収命令指針の提供個人情報保護指針 (2) 届出 ( 変更 ) 個人情報保護委員会内閣府の外局 ( 特定個人情報保護委員会を改組 ) H28 年 1 月 1 日設置内閣府の外局として個人情報保護委員会を新設し現行の主務大臣の有する権限を集約するとともに立入検査の権限等を追加 ( 報告徴収及び立入検査の権限は事業所管大臣等に委任可 ) 個人情報保護指針 (3) 届出事項の公表公表 16

参考認定個人情報保護団体制度業界事業分野ごとの民間による個人情報の保護の推進を図るために個人情報の適切な取扱いに関する苦情の処理情報の提供等の活動を行う民間団体等を個人情報保護委員会 ( 改正前は主務大臣 ) が認定することにより当該団体を支援する制度〇認定の対象となる業務 ( 47) 業務の対象となる ( 対象事業者 ) の個人情報又は匿名加工情報の取扱いに関する苦情の処理個人情報保護指針の作成など個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供その他対象事業者の個人情報の適正な取扱いの確保に関し必要な業務〇認定基準 ( 49) 認定業務 ( 苦情処理情報提供等 ) を適正かつ確実に行うために必要な務の実施の方法が定められていること認定業務を適正かつ確実に行うに足りる知識能力経理的基礎を有すること認定業務以外の業務を行っている場合にはその業務を行うことによって認定業務が不公正になるおそれがないこと〇努力義務 ( 53) 個人情報保護指針 ( 対象事業者による個人情報の適正な取扱いを確保するための法律に沿った指針 ) の作成 ( 作成後は個人情報保護委員会への届出義務同委員会による公表あり ) 対象事業者に対して指針を遵守させるために指導勧告等の必要な措置をとること 17