2023.07.27

マイナンバーカード登録のトラブルからみるリスク管理について

依然としてトラブルが相次いでいるマイナンバーカード。 公金受取口座に別の人の口座が紐付けされた問題で、個人情報保護委員会は7月19日にデジタル庁への立ち入り検査を実施しました。 他にも、医療情報や年金、銀行口座といった個人情報の漏洩も相次いでいます。 こうしたトラブルを踏まえて、個人情報保護委員会は、デジタル庁の「リスク管理及び対策ができていなかった」ことを指摘しました。   なぜミスは起こったのか？ そもそも、なぜ別の人の公金受取口座が紐づけられていたのでしょうか。 全部で940件余りにものぼるようですが、こうした一連のミスは、住民の手続きを支援する自治体の窓口で起きました。 具体的には、前の登録者のログアウトが完了しないまま、次の登録者の手続きを行ってしまったことで、前の登録者のアカウントに後の登録者の口座が紐づけされてしまったことが原因のようです。 現状、このようなミスはどれだけ注意しようとも、人間がかかわっている以上起こりうる問題ではあります。 しかし、大切な情報を取り扱う以上、可能な限りこのようなミスはなくさなければいけません。 そこで重要になってくるのが、リスク管理です。 このようなミスを事前にどれだけ想定できるか、そのミスに対してどのように対応するのかを事前にしっかりと決めておくことが、とても大切になります。 個人情報保護委員会がデジタル庁に立ち入り検査したのも、デジタル庁が自治体に対して、正確なシステムの操作手順を徹底せず、リスク管理や対策を講じていなかったからでした。   ※口座の紐付けが正確にされているかを自分自身で確認する手順 ①「マイナポータル」にログイン ②「注目の情報」の「公金受取口座の登録・変更」をクリック ③ 公金受取口座の登録状況ページを確認 もし誤りがあった場合は、登録口座をすぐに削除し、居住する市区町村に連絡してください。   個人情報保護におけるリスク管理とは （参照）プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針 https://privacymark.jp/system/guideline/pdf/pm_shishin2022.pdf   では、個人情報保護におけるリスク管理の方法とは具体的にどのようなものを指すのでしょうか？   まずは、取り扱う全ての個人情報を特定することから始まります。 そもそも個人情報を具体的に特定できなければ、それに対するリスク管理対策もできません。 具体的には、個人情報保護管理者（個人情報を取り扱う責任者を指します）が、取り扱う個人情報を漏れなく洗い出し、それらを全て記入した台帳を作成します。 例えば以下の項目を台帳に記します。 ・個人情報の項目 ・利用目的 ・保管場所 ・保管方法 ・アクセス権を有する者 ・利用期限 ・保管期限 台帳が完成したら、社長などのトップが承認します。 この台帳は、少なくとも年一回、あるいは必要に応じて適宜に確認し、最新の状態に維持しなければなりません。   個人情報の特定ができたら、次はリスクの特定です。 各方面におけるリスクを特定し、その分析をします。 このリスク分析も多岐に渡ります。 サーバー関連から業務委託関連、人事関連に至るまで、一つ一つ細かく分析する必要があります。 このブログで取り上げたマイナンバー情報や口座情報についても、取扱いの際どのようなリスクがあるのかを分析する必要があります。 そして、それらを分析するだけでなく、一覧にしたリスク管理表を作成します。 例えば以下の項目を記します。 ・個人情報の項目 ・媒体 ・ライフサイクル（個人情報の取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄等） ・リスク ・対応策 ・残留リスク（現時点では困難であるが、短期的若しくは中長期的に対応していくリスクのこと）   個人情報保護管理者は、リスク管理表を社長等のトップに提出し、承認を得ます。 そして、策定した管理策は、従業者や委託先への教育内容等に反映します。 こちらも台帳同様、少なくとも年一回、及び必要に応じて適宜に確認し、最新の状態に維持しなければいけません。   このように個人情報を保護するためのリスク管理方法は徹底して行う必要があります。 ただし、形式的なものにとどまることなく、一人一人が個人情報の保護に対して意識をしていくことこそが一番大事といえるでしょう。

2023.05.31

匿名加工情報、仮名加工情報、個人関連情報、違いって何？その違い説明します！

個人情報保護法の改訂やPマークの基準が改訂され、様々な情報の種類が定義化されその線引きが難しくなってきました。また、昨今のビジネス事情からも個人情報を利用しながらも、その情報を匿名化する方法も注目されています。今回は、個人情報、個人関連情報、匿名加工情報、仮名加工情報のそれぞれの概念と、その違いについて詳しく解説します。 個人情報： 個人情報は、個別の人物を識別するための情報です。氏名、住所、電話番号、メールアドレス、生年月日、銀行口座番号など、特定の個人に関連する識別可能な情報が含まれます。これらの情報は、そのままでは個人のプライバシーを侵害する可能性があるため、慎重に取り扱う必要があります。個人情報は、法的に保護され、第三者による不正アクセスや悪用から保護されるべきです。 個人関連情報： 個人関連情報は、個別の人物を直接的に識別することはできないが、他の情報と組み合わせることで特定の個人を特定できる情報です。たとえば、個人の職業、趣味、購買履歴、ウェブサイトの閲覧履歴などが個人関連情報に含まれます。単体では個人を特定することはできませんが、他の情報と組み合わせることで個人の特定が可能になるため、個人情報と同様に適切な管理が求められます。 匿名加工情報： 匿名加工情報は、個人情報や個人関連情報を匿名化するプロセスを経て生成された情報です。匿名化によって、個人を特定するための情報が削除され、一般的な統計や調査目的で利用されます。匿名加工情報は、個人のプライバシーを保護しながら、データ分析やトレンドの把握などの目的で広く利用されます。ただし、十分な匿名化が行われていない場合には、再識別が可能となり、個人情報の保護が侵害される恐れがあるため、注意が必要です。 仮名加工情報： 仮名加工情報は、個人情報や個人関連情報を、本人を識別できないように変換した情報です。匿名加工情報とは異なり、個人を特定できないように情報を加工する際に、識別子や擬似識別子（仮名）が使用されます。この方法は、個人のプライバシーを保護しながら、データの利活用や研究などに使用されます。仮名加工情報の場合、個人を再識別するためには元の個人情報にアクセスする必要があり、情報の保護が図られています。 まとめ： 個人情報、個人関連情報、匿名加工情報、仮名加工情報は、データ保護やプライバシーの観点から重要な概念です。個人情報は、直接的に個人を特定するための情報であり、慎重な管理が必要です。個人関連情報は、単体では個人を特定できないが、他の情報と組み合わせることで個人を特定できる情報です。匿名加工情報は、個人情報や個人関連情報を匿名化するプロセスを経て生成され、広範な分析や調査目的で利用されます。仮名加工情報は、個人情報や個人関連情報を本人を特定できないように変換し、データ利活用や研究に使用されます。これらの情報の適切な管理と保護は、個人のプライバシーを守るために不可欠です。

2023.05.31

MEDISでのPマーク取得で注意・重要とすべきこと3つのポイント

医療機関及び医療情報を取り扱う事業者がプライバシーマークを取得する際には一般財団法人 医療情報システム開発センター（以下、MEDIS）に申請を行い、審査を受ける必要があります。   必ず、MEDISに申請が必要で別の審査機関に申請を行うことが出来ません。 MEDISは独自の指針を確立しており、単なるPマークの取り組みとは異なってきます。   ただ、MEDISでのPマーク取得はハードルが高く挫折されるお客様も多々拝見しています。 2023年5月23日時点でMEDISでのPマーク認証は646組織とのことです。 当社ではこれまでMEDIS対応のコンサル支援実績が60件を超えています。 単純にMEDISでPマークを取得されている組織の10%に当社が関わらせて頂いています。   Pマークの支援会社が数多くいる中でこれは決して少なくない数字です。   今回は15年の支援実績、MEDIS対応のコンサル支援実績が60件を超える当社がMEDISでのPマークを取得・維持される方向けに落としてはいけない3つのポイントをお伝えしていきます。     【リスクアセスメント】 Pマークを取得する上で絶対に行わないといけないリスク分析ですが、MEDIS対応の場合リスク分析の仕方が普通のPマークとは異なってきます。   MEDISの指針にも記載がありますが、個人情報の取扱いのフロー図を作成し、そのフロー内で対象となる個人情報を明確にし、フロー内で想定されるリスクを認識・対策を検討する必要があります。   これが思いのほか手間と知識が必要となり、MEDISでPマークを取得される皆さんが躓かれます。   細かすぎると作り切れなくなりますし、ざっくり過ぎると審査に適合できないとなり、医療系の業務知識とPマークに関する知識と両方が必要となる分野になります。   【同意文書の取扱い】 Pマーク上は、個人情報を直接取得するときに同意書を本人からもらう必要があります。   MEDIS対応を行う場合でも同様な対応が必要です。   ただ、MEDIS対応の場合に面倒はことがあります。 それは一度同意と言う考え方です。   要配慮個人情報と言う法律上でも取扱いが厳格に定められている個人情報をある種日常的に取扱う医療保健分野の事業者では、指針上同意をない事項を明示することで提示している同意文書の内容の一部に拒否する権利が設けられています。   Pマークは同意文書については同意を得ることだけを要求しているので、MEDISでの支援実績がない、もしくはケースが少ないコンサルタントですと一部同意の内容を勘違いした支援を行い、審査時や万が一の際に支援・助言が行えない状況が発生してしまいます。   医療分野の事業者様はその分野のエキスパートではありますが、やはり個人情報保護に関する専門家ではないので専門家の助言はやはり重要です。 当社のコンサルタントはPマークの専門家だけではなく行政書士と言う法的な資格を活用したビジネスも行っており、法的知識にも長けているので法律的なアドバイスも可能です。   【要配慮個人情報のクラウドサービスでの利用】 最近はクラウドサービスを活用して業務を進めることが当然になっています。 どこの会社でも何か1つは使っていると思います。   要配慮個人情報をクラウドサービスで利活用することについて、MDEISはなかなかのハードルを設けています。 一般的なPマークではクラウドサービスのPマーク上の選定評価と利用規約の確認。で問題ないとしています。 MEDISにおいては従来のPマーク通りの対応をすると審査時にNGが出てしまいます。   従来、病院などでは医療に関連する個人情報をネットワーク(特にインターネット)にアップすることは禁忌してきています。 昨今の技術革新でだいぶん軽減されてはきましたが、MEDISではそれを否定的な見解を示しているようです。   情報セキュリティシステムの仕様やMEDISの指針で定義されている関係省庁のガイドラインの遵守など、一般的なPマークよりもクラウドサービスの利用については非常に高いハードルが管理責任であるPマークを取得している事業者に課されてきます。   これらの確認が出来ないとクラウドサービスを利用した上でのMEDISでのPマーク取得は難しくなります。   昨今のクラウドサービスの利活用を積極的に行うビジネス形態や情勢とは逆行しているのは重々承知していますが・・・   【最後に】 MEDISでPマークを取得する場合、コンサルティング会社の選定はシビアにすべきです。 今回ご紹介したもの以外にもMEDIS独特の取り組みは多数あります。 一般的なPマークの取得支援実績が多数あるからと言って、MEDISの経験が０や少ないコンサルティング会社ではPマークを取得できない。と言う最悪の事態が考えられるため、MEDISでの実績が豊富な支援先を選定する必要があります。

2023.05.01

「ChatGPT」と個人情報について

  最近耳に入ってくる「ChatGPT」という言葉。 聞いたことがない人も「ChatGPT」について一度知ってしまえば、その魅力にとりつかれるやもしれません。 今回は「ChatGPT」とそれにまつわる個人情報の関係をみていきたいと思います。 まずは「ChatGPT」について簡単に説明します。   1．「ChatGPT」とは   「ChatGPT」は、一言でいうと、なんにでも答えを返してくれるAIのことをさします。 聞きたいことをテキストメッセージで入力すると、あらゆるデータを集約し、効率的に答えを導き出してくれます。 例えば、「〇〇のメリットを教えてください」と書くと、そのメリットについて膨大なデータを駆使し答えてくれます。 ただ質問に答えるのみならず、「以下の文章を要約してください」、「以下の文章を校正してください」といった作業も、すべて「ChatGPT」がしてくれます。 さらには、キャッチコピーのアイデアを聞くことや、ホームページの作成、小説の創作といったことまで対応可能です。 ビジネスの面でも「ChatGPT」を利用することで、業務について大幅な効率化を実践することができます。 例えば、外国語を翻訳してくれたり、メルマガを作成したり、議事録を作成してくれたりといったことなどです。 このように「ChatGPT」は、まるでドラえもんのような夢のあるAIといえます。 ただし、「ChatGPT」の出現により、今後、人の仕事がどんどん奪われていくともいわれています。 （ちなみに、差別的発言（ヘイト）や将来のことなどは、「ChatGPT」は答えることができません。）   ２．「ChatGPT」の問題点   つぎに「ChatGPT」の問題点ですが、そのひとつは確実に正確な答えを出すとも限らない点です。 膨大な情報のデータをもとに答えを導き出しているため、そもそもの情報が誤っている場合、その答えは必然的に誤ることになります。 「ChatGPT」の情報を鵜呑みにしてしまうと、誤った認識で理解してしまう恐れもあり、「ChatGPT」に依存することはとても危険です。 また、社外秘の情報を「ChatGPT」に入力してしまったために、今後そのデータが「ChatGPT」の学習に利用され、多くの人に知れわたってしまう危険性もあります。   次に、元となるデータ収集の方法にも問題があります。 「ChatGPT」の元となるデータのなかには、著作権を無視して使用している多くの作品も含まれます。 実際に多くのアーティストや企業がこの点について抗議しています。 また、違法に収集された可能性のあるデータに基づいている場合であっても年齢制限がないため、13歳未満の子供が「ChatGPT」を簡単に使用できる状況にあります。 例えば、読書感想文なども「ChatGPT」を利用して作成することができるため、実際には自分で書いていない感想文を提出することもできます。 実際に日本の大学でもレポートを書くときに「ChatGPT」を使用禁止にする等、教育現場で早急な対応が求められています。   このように、「ChatGPT」は、人がコントロールして活用できる限度を超えていると捉えられており、イーロン・マスク氏をはじめ多くの専門家や起業家たちが「ChatGPT」のようなシステム開発を一時停止するよう求めています。みんなが安全に安心して使えるようなガイドラインがないのが現状なのです。   3．ChatGPTと個人情報   これまで問題点についてみていきましたが、とりわけ個人情報との関係について、とても深刻な問題が浮上しています。 「ChatGPT」のデータのなかに、公開されている個人情報が含まれており、その点について特に欧州各国が警鐘を鳴らしています。 欧州では、誰かの情報が公開されていたとしても、その情報を好きなように扱うことはできません。 イタリアはいち早く数百万人の個人情報の使用を停止するよう、緊急暫定措置を講じました。 実際にユーザーの会話と支払い情報が漏えいしたことも指摘しています。 これを皮切りに他の国も規制の方向に向かう可能性があります。 日本においては、直ちに使用禁止にするなどの規制を行うつもりはないという国の見解のもと、現状使用を認めています。 ただし、日本においても、個人情報を匿名化したうえで利用できる「ChatGPT」を提供しようとしている会社もあります。   ４．Pマーク上のChatGPTに対する考え 2023年5月時点で、プライバシーマーク制度において明確にChatGPT内での個人情報の取扱いについては定義・見解は出ていない状況です。 ChatGPT内に個人情報を入力していくことでデータベースが構築されていき、蓄積されることにはなるため個人情報がなんらかの形で取扱われることになるとは考えられます。   現状の法律や制度上の要求事項の解釈で考えると下記のような判断が出来るものと考えています。   ・個人情報の委託ではなく第三者提供 外部のサービスに個人情報が登録されることとなるため、委託か提供のどちらかになると想定可能です。   ChatGPTのサービスを考えると個人情報の取扱いをアウトソーシングしているわけではないため、委託の面は排除され、第三者提供と判断をすることになりそうです。   第三者提供と考える理由はもう1つあります。 それはChatGPTへ渡す(この場合は入力する)個人情報の利用目的はChatGPT内では元々の個人情報取扱事業者のため、というよりはChatGPT内のデータベースの充実化、AIの発達のためになってくるからです。 ChatGPT内での独自の利用目的がある以上、Pマーク上は委託ではなく第三者提供と言う扱いになってしまうと推察されます。   実際に第三者提供として扱う場合にどのように扱うべきかはまた別のブログにて紹介したいと思います。  

2022.09.19

改正個人情報保護法に関する解説　その2

「個人情報保護法」（正式名称「個人情報の保護に関する法律」）が改正され、2022年4月に施行されました。 前回の「個人情報保護法」の改正について（1）に続き、新たな改正ポイントをみていくことにしましょう。   改正のポイントは、大きく分けて６つです。 ※https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律（概要）」より引用。 個人の権利の在り方 事業者の守るべき責務の在り方 事業者による自主的な取組を促す仕組みの在り方 データ利活用に関する施策の在り方 ペナルティの在り方 法の域外適用・越境移転の在り方   今回は個人情報を取り扱う事業者に焦点をあて、2．事業者の守るべき責務の在り方、3．事業者による自主的な取組を促す仕組みの在り方、また、5．ペナルティの在り方について詳しくみていきたいと思います。     改正ポイント2「事業者の守るべき責務の在り方」について 個人（本人）の権利の在り方が手厚くなったことに対して、事業者については個人情報を取り扱う責務がより重くなりました。 では、具体的にどう変わったのかをみていきましょう。   漏えい等が発生した時の報告や通知が義務化された！ 個人情報の漏えい等が発生したとき、事業者は通常、個人情報委員会に報告、かつ、本人にその旨通知しなければなりません。 このような報告や通知は、これまでにも行われてきました。 では、一体どこが変わったのでしょうか。 それは、これまで報告等をすることが「努力義務」であったことに対し、これからは「義務」となった点です。 誤解を恐れずに言い換えるなら、「なるべく通知しなさい」から「必ず通知しなさい」に変化したということです。   また、個人情報委員会への報告も二段階に分けて行うことになりました。 一段階目は「速報」として、漏えい等の事態を知ってからおよそ3～5日以内に、その時点で把握している内容を報告しなければなりません。 そして、二段階目に「確報」として、漏えい等の事態を知ってからおよそ30日以内（不正の目的によるおそれがある場合は60日以内）にすべての報告を終えなければなりません（例外あり）。   個人情報の「適正な取得」義務に加えて「不適正な利用」が禁止された！ 改正前までは、個人情報を適正に取得することのみが、法定化されていました。 改正後は、更に、個人情報の不適正利用を禁止することが付け加えられました。 では、不適正な利用とはどのようなケースが想定されるでしょうか？ 例えば、性別、国籍等の個人情報を、差別的取扱いを行うために、採用選考を通じて利用することなどがあげられます。 また、暴力団員からの暴力的要求行為を防止するために、責任者の名簿等をみだりに開示することも不適正利用の一例です。 今回の改正により、上記のような不適正な利用はすべて禁止の対象となりました。   改正ポイント3「事業者による自主的な取組を促す仕組みの在り方」について ・企業の特定部門単位を対象とした個人情報保護団体の設置が可能となった！ これまでは、「企業単位」を対象に認定個人情報保護団体が機能していました。 言い換えるなら、とある会社の個人情報に関する苦情について、その会社のすべての部門において認定個人情報保護団体は対応しなければなりませんでした。 しかし、昨今のIT技術の進展や業務の多様化に伴い、全部門をまとめて対象とするのではなく、「企業の特定部門」のみを対象に個人情報保護団体を認定することができるようになりました。 例えば、とある会社の広報部門のみを対象に団体を認定することが可能となりました。 結果、専門性が高く、より上質な個人情報保護対策がとれることとなりました。   改正ポイント5「ペナルティの在り方」について このポイントをみるにあたって、少し話は飛びますが、「ウ・ヨンウ弁護士は天才肌」という韓国ドラマの内容について少し触れたいと思います。 このドラマは自閉症の弁護士が奮闘するとても面白い内容のドラマですが、その15話に、ハッカーにより大手企業の取り扱う個人情報が漏えいするといった事件が描かれていました。 興味深いのは、その時に放送通信委員会から当該大手企業に課された課徴金が3000億ウォンという大金だったことです。 あくまでドラマの内容であり、現実とは別で考える必要がありますが（現に、ドラマ内で「情報通信網法」が改正されたとありますが、実際は、韓国では「情報通信網法」に規定された個人情報保護に関する事項は「個人情報保護法」に一本化されています）、昨今の個人情報保護に対する意識の高さが反映された場面であるといえます。 少し話がそれましたが、日本でも同じような動きがみてとれます。 ここからは事業者に対する実際の罰則規定をみていきましょう。   ・罰則の法定刑が引き上げられた！ タイトル通り、事業者に対するペナルティは改正により引き上げられました。 例えば、個人情報保護委員会に対する命令違反を行った場合、旧法では、６月以下の懲役又は３０万円以下の罰金であったのに対し、新法では、１年以下の懲役又は100万円以下の罰金が科せられることになりました。 また、虚偽報告等を行った場合、旧法では、３０万円以下の罰金でしたが、新法では、５０万円以下の罰金に引き上げられています。 法人に対する罰金の上限額は、もともと違反行為者と同じ上限額でしたが、改正後は、1億円以下の罰金となりました。 このように、法定刑はぐんと引き上げられ、法人に至っては、違反行為者よりも罰金刑の最高額を更に引き上げられることとなりました

2022.10.11

改正個人情報保護法に関する解説　その3

「個人情報保護法」（正式名称「個人情報の保護に関する法律」）が改正され、2022年4月に施行されました。 改正のポイントは、大きく分けて６つです。 ※https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律（概要）」より引用。 個人の権利の在り方 事業者の守るべき責務の在り方 事業者による自主的な取組を促す仕組みの在り方 データ利活用に関する施策の在り方 ペナルティの在り方 法の域外適用・越境移転の在り方 別記事「個人情報保護法」の改正について（1）は個人（本人）の側から改正ポイント1を、(２)は個人情報を取り扱う事業者の側から改正ポイント2．3．5をそれぞれみていきました。 今回は、時代の流れに焦点をあて、残り4．データ利活用に関する施策の在り方、6．法の域外適用・越境移転の在り方の2点について詳しくみていきたいと思います。   改正ポイント4「データ利活用に関する施策の在り方」について ①「仮名加工情報」が導入された！ これまで、「個人情報」に該当するものは、すべて個人情報の取扱いに関する規律の対象となっていました。 例えば、利用目的の制限や、漏えい等を報告する義務などがあげられます。 そのような状況のなか、改正により新たな概念が導入されました。 その名も、「仮名加工情報」です。 この「仮名加工情報」は、なんと本人の同意を得ずに利用目的を変更できます（ただし一定の条件あり）。 また、漏えい等報告の義務や開示・利用停止等の請求対応義務がありません。 では、「仮名加工情報」とはどんなものなのか、みていくことにしましょう。   「仮名加工情報」とは、ずばり特定の個人を識別できないように加工したものです。 例えば、ネットショッピングをするAさんがいたとして、そのショッピングサイトの会員情報として、氏名、住所、年齢、生年月日、購入履歴等が登録されています。 これらの情報は簡単にAさんとわかってしまうので、個人情報といえます。 「仮名加工情報」は、これらに加工を加えて、他の情報と結びつけないかぎりAさんとわからないようにしたものをいいます。 さきほどの例からすると、氏名の代わりに仮IDを使うといったようなことです。 ※「仮名加工情報」は利用目的の変更や開示請求対応の義務がないといいましたが、第三者提供については原則できないとされているので注意が必要です。   「仮名加工情報」は施行されたばかりのため、まだ大きく活用はされていませんが、将来AI分野やマーケティングへ分野で力を発揮するのではないかといわれています。   ②個人データに該当しない情報を第三者に提供するときも、本人の同意が必要となった！ タイトルの通りですが、もともと個人データに該当しない情報を第三者に提供する際に、なぜ本人の同意が必要なのか、疑問が出てくるかもしれません。 実は、本来個人を特定できない情報であっても、第三者提供することによって個人が特定されてしまうケースがあります。 例えば、さきほどのAさんの購入履歴（氏名や住所はなし）を某企業Bが、第三者の企業Cに提供しようと考えました。 購入履歴だけではAさんと特定できないので、第三者に提供しても問題がないようにみえます。 しかし、この第三者の企業Cは、Aさんの氏名や住所等の顧客情報をもともと所持していた会社でした。 そして、某企業Bから提供された購入履歴のID情報と、自分がもっている顧客情報のIDを組み合わせて、「この購入履歴はAさんのもの」という情報を結果的に手に入れることとなりました。   こういった事例が起こり得る可能性があり、個人データに該当しない情報であっても、個人データとなるおそれがある場合は、本人の同意が必要となりました。 ちなみに、本人から同意を取得しなければいけないのは、原則第三者の企業C側です（事情によっては企業Bでも可）。 その場合、某企業Bは、本人Aからの同意が得られているかを事前に確認しなければなりません。 そして、BCともにデータのやりとりについて記録を残さなければいけません。   別記事「個人情報保護法改正により、情報の宝庫「Cookie」の取扱いが変わる！？」でも同様の内容を記載しておりますので、ご参照ください。 （参照）別記事「個人情報保護法改正により、情報の宝庫「Cookie」の取扱いが変わる！？」   改正ポイント6「法の域外適用・越境移転の在り方」について 最後にポイント6「法の域外適用・越境移転の在り方」についてみていきたいと思います。 これまで海外の事業者には、個人情報の取扱いについて、指導・勧告といった強制力のない規定しか適用されていませんでした。 また、海外の事業者に個人情報を提供する際、本人の同意も簡素なものでした。 今回の改正に伴いこれらがどう変わったのか、具体的にみていきましょう。   ①海外の事業者に個人情報が提供される際、本人への情報提供が充実することとなった！ 海外の事業者に個人情報を提供する際、本人の同意を得ることが必要ですが、同意を得る際の本人への情報提供が充実することとなりました。 例えば、本人からの同意取得時に、提供先の国のなまえや当該外国における個人情報の保護に関する制度、また、当該外国先が講ずる個人情報の保護のための措置がどういったものなのか、こうした情報を提供元が本人に伝えることが義務となりました。   ②海外事業者にも罰則規定を設けることができるようになった！ これまで、海外事業者は罰則対象ではなく、あくまで指導・勧告対象、つまり強制力を伴わない範囲にとどまっていました。 改正後は、個人情報保護委員会が、海外事業者にも罰則による強制力を伴う報告徴収・命令、命令に従わない場合の公表等を行うことができるようになりました。