2025.03.03

AIモデル「Deep Seek」と個人情報

中国の企業DeepSeekが発表したAIモデルの「Deep Seek」は、低コストかつChatGPTに匹敵する高機能AIモデルとして今注目を浴びています。 しかしその使用について各国が警戒する動きを示しています。その大きな理由の一つが、個人情報の取扱い方です。 イタリアは、DeepSeek社が収集した個人情報をどのように取り扱うかについて情報を充分に開示していない点に懸念を示し、当該モデルの利用について差し止め命令を出しました。 韓国は、個人情報をどのように管理しているかをDeepSeek社に質問する計画を発表し、新規ダウンロードを停止させました。 フランスや、ベルギー、アイルランドでも、それぞれ調査に乗り出しています。 1. 日本における「Deep Seek」の取扱い方 では、日本は「Deep Seek」モデルについて、どのような見解を示しているのでしょうか？ 以下、個人情報保護委員会H Pの一部を抜粋してみました。 （参考）https://www.ppc.go.jp/news/careful_information/250203_alert_deepseek/ 生成AIサービスについては、その利用が世界的に普及している中、新たにDeep Seek社による生成AIサービスが開発され、サービス提供が開始されています。同社の生成AIサービスについては、日本国内でサービス提供体制が構築されている他のサービスとは異なり、留意すべき点がありますが、同社が公表するプライバシーポリシーは中国語と英語表記のもののみとなっています。このため、同社が公表するプライバシーポリシーの記載内容に関して、以下のとおり、情報提供を行います。 ①当該サービスの利用に伴いDeep Seek社が取得した個人情報を含むデータは、中華人民共和国に所在するサーバに保存されること ②当該データについては、中華人民共和国の法令が適用されること （参考） 上記②に関して、当該データに対しては、例えば以下のような法令が適用されることとなります。 中華人民共和国個人情報保護法 サイバーセキュリティ法 データセキュリティ法 中華人民共和国国家情報法　　　等 以上のように、日本では「Deep Seek」について、留意する点があるという姿勢を示すものの、まずはそのプライバシーポリシーの情報提供を行うことにとどまっています。 平将明デジタル相も「データ保護の観点で懸念が払拭されるまでは公務員が使うのは控えるか、使うのであれば留意すべきだ」と見解を述べています。 ところで、上記情報提供には、「Deep Seek」が日本の個人情報保護法とは異なった運用がなされることを示しています。 中国の個人情報保護法等は、安全保障上の目的によっては企業のデータを収集できるとされています。そのため、Deep Seek社が収集した個人情報が中国政府に取集される可能性も大いにありえます。 2. AIアプリと個人情報 以上のように「Deep Seek」と個人情報の関係についてみてきましたが、「Deep Seek」だけが懸念すべき対象であるというわけではありません。 今や、ChatGPTや「Deep Seek」に似たAIアプリが多数出回っている世の中です。 中には、本物そっくりの類似アプリ等もあり、注意が必要です。 類似アプリを使用してしまったら、最悪の場合、個人情報を不正に収集される可能性もあります。 AIアプリを使用する際はそのアプリが本物であるかどうか、また、プライバシーポリシーはどうなっているのかをしっかりとチェックし、見極めることが必要になってくるでしょう。

2025.02.07

外国と取引があってもプライバシーマークでGDPR対応が不要なケースとは？

こんにちは！今回は、「外国と取引がある場合でも、プライバシーマーク（Pマーク）上でGDPR対応が不要なケース」について解説します。 近年、個人情報保護の国際的な規制が強化され、**EU（欧州連合）の一般データ保護規則（GDPR）**もその代表的なものとして知られています。 日本国内では、プライバシーマークを取得している企業が増えていますが、「海外と取引がある場合、GDPR対応が必須なのか？」と疑問に思う方も多いのではないでしょうか。 実は、外国と取引があるからといって、必ずしもGDPRに対応する必要があるわけではありません。 では、具体的にどのようなケースでGDPR対応が不要なのかを見ていきましょう。     1. GDPRが適用される企業の条件   まず、GDPRの適用範囲を確認しておきましょう。GDPRは、以下のいずれかに該当する企業に適用されます。 ✅ ① EU域内に拠点を持つ企業 日本企業であっても、EUに子会社・支店・営業所を持っている場合は、GDPRの対象になります。 ✅ ② EUに住む個人のデータを取り扱う企業 企業の所在地に関係なく、EU域内の個人データを処理する場合もGDPRの適用を受けます。具体的には、以下のような場合が該当します。 ・EU在住の顧客向けにWebサービスやECサイトを運営している ・EU居住者の個人情報を収集し、マーケティングに活用している ・EU企業の従業員情報を扱う業務を受託している 上記に該当する企業は、GDPR対応が必要になりますが、逆に言えば、この条件に当てはまらなければGDPR対応は不要となります。     2. GDPR対応が不要なケースとは？   ケース①：外国企業との取引はあるが、個人データを扱わない 例えば、日本企業がアメリカやシンガポールの企業と取引をしている場合、企業間の取引（BtoB）であれば、GDPRの適用はありません。 企業情報（法人名、担当者名、連絡先）だけを交換している 個人データを取得・処理する業務がない このようなケースでは、GDPR対応をする必要はなく、Pマークの基準に従った個人情報管理を行っていれば問題ありません。   ケース②：EUと取引があるが、個人データを直接取り扱わない 次に、日本企業がEU企業と取引しているが、EU居住者の個人データを直接扱わない場合も、GDPR対応は不要です。 例えば、以下のようなケースです。 ✅ EU企業に製品や部品を納品するメーカー ✅ EU企業に対し、法人向けコンサルティングを提供している ✅ EU企業とBtoB契約を結んでいるが、従業員情報や顧客情報を取得しない このようなBtoB取引では、企業情報のみをやり取りするため、GDPRの対象外となります。   ケース③：EU在住者向けのサービスを提供していない GDPRは、「EU在住者をターゲットとするサービスを提供しているかどうか」も重要なポイントになります。 例えば、日本の企業が自社のWebサイトを運営していても、以下のような場合はGDPRの適用対象になりません。 ❌ EU向けの特別なマーケティングを行っていない ❌ Webサイトの言語が日本語のみで、EU在住者を想定していない ❌ EU居住者向けの商品販売やサービス提供を行っていない 👉 EUのユーザーを対象としない限り、GDPRの対応は不要です。   ケース④：データ処理を日本国内で完結している GDPRでは、「EU域内の個人データがEU外へ移転される場合」に厳しい規制を課しています。しかし、日本企業が扱うデータがすべて国内で完結している場合は、GDPR対応が不要です。 例えば、 ✅ 日本国内の顧客のデータのみを扱っている ✅ EU企業と取引しているが、データの保管・処理はすべて日本国内で行っている このようなケースでは、GDPRの規制を受けることなく、Pマークのガイドラインに沿った管理を行えば十分です。     3. プライバシーマークの基準を満たしていれば十分なケース   Pマークは、日本の**JIS Q 15001（個人情報保護マネジメントシステム）**の基準に基づいており、日本国内で適切な個人情報管理を行うための仕組みです。 GDPRとは異なるものの、Pマークの基準に従っていれば、日本国内の個人情報保護法（APPI）に準拠した管理ができるため、海外取引があっても問題にならないケースが多いのです。 特に、以下のような場合は、Pマークの運用を適切に行うことで十分対応可能です。 ✅ 外国と取引はあるが、個人情報を扱わない ✅ EUとの取引があるが、企業情報のみをやり取りしている ✅ 日本国内でデータ管理を完結させている これらのケースでは、GDPRの追加対応を行わなくても、Pマークの要件を満たしていれば問題なしと考えられます。     4. まとめ：GDPR対応が不要なケースを把握しよう！   「外国と取引があるからGDPR対応が必須」というわけではありません。GDPRの適用条件を理解し、自社が本当に対応が必要なのかを見極めることが重要です。   🔹 GDPR対応が不要なケース✅ BtoB取引で、個人情報を取り扱わない ✅ EU企業と取引はあるが、EU居住者のデータを処理しない ✅ EU向けのサービス提供やマーケティングを行っていない ✅ データ処理をすべて日本国内で完結させている   Pマークを取得している企業は、すでに個人情報管理の基盤が整っているため、上記のようなケースでは、特別なGDPR対応を行う必要はありません。 👉 「自社にGDPR対応が本当に必要なのか？」をしっかりと判断し、適切な個人情報保護体制を整えていきましょう！

2025.02.07

プライバシーマークとGDPR対応：企業が求められるポイントとは？

こんにちは！今回は、プライバシーマーク（Pマーク）取得企業が対応すべき「GDPR（一般データ保護規則）」の要件について解説します。 近年、個人情報の取り扱いに関する法規制が世界的に厳しくなっています。日本国内での個人情報保護の認証制度であるプライバシーマークと、EU（欧州連合）が定める**GDPR（General Data Protection Regulation）**には、どのような関係があるのでしょうか？また、Pマークを取得している企業は、GDPRにどのように対応すればよいのでしょうか？   1. プライバシーマークとGDPRの関係とは？　   プライバシーマークは、日本国内のJIS Q 15001（個人情報保護マネジメントシステム）の基準に基づき、企業の個人情報管理の適切性を認証する制度です。一方、GDPRはEU域内の個人データ保護を目的とした法規制であり、日本の個人情報保護法（APPI）よりも厳格な基準を設けています。 プライバシーマーク取得企業でも、GDPRの適用対象となる場合があるため、追加の対応が必要となるケースがあります。     2. GDPRが適用される企業とは？　   GDPRは、以下のような企業に適用されます。 ✅ ① EU域内に拠点を持つ企業 日本企業であっても、EUに現地法人や支店を持っている場合、GDPRの適用を受けます。   ✅ ② EU域内の個人データを扱う企業 たとえば、以下のようなケースでは、GDPRの適用対象となる可能性があります。 ・EUに住むユーザー向けのWebサービスを提供している（ECサイト、会員制サービスなど） ・EU居住者の個人データを収集し、マーケティングに活用している ・EU企業との取引で、EU居住者の個人データを扱っている GDPRでは、企業の所在地に関係なく、EU域内の個人データを取り扱う場合は適用対象になるため、海外ビジネスを展開している日本企業も無関係ではありません。     3. プライバシーマーク取得企業が求められるGDPR対応   Pマークを取得している企業は、すでに個人情報保護マネジメントシステム（PMS）を整備しているため、GDPRの基本要件を満たす土台はできています。しかし、GDPRの追加要件を満たすためには、以下の対応が必要です。 ✅ ① 「適法な処理（Lawfulness of Processing）」の要件確認 GDPRでは、個人データを処理するには、明確な法的根拠が必要です。特に重要なのは、以下の6つの適法根拠です。 ・データ主体の同意（Consent） ・契約履行のために必要（Contract） ・法的義務の履行（Legal Obligation） ・データ主体の重大な利益保護（Vital Interests） ・公的機関の業務（Public Task） ・正当な利益（Legitimate Interests） Pマークでは「本人の同意」を重視しますが、GDPRでは「契約履行」や「正当な利益」も適法根拠として認められます。そのため、データ収集の目的と法的根拠を明確に整理することが求められます。   ✅ ② データ主体の権利対応（データアクセス権・削除権など） GDPRでは、個人データを保有する企業に対し、データ主体（個人）が次の権利を行使できることを求めています。 ・アクセス権（自身のデータがどう利用されているか確認する権利） ・訂正権（誤ったデータを修正する権利） ・削除権（忘れられる権利）（データの削除を要求する権利） ・データポータビリティ権（他のサービスにデータを移転する権利） Pマークの運用だけではGDPRのこれらの要件を完全に満たせない場合があるため、データ主体からの請求に対応できる体制を整える必要があります。   ✅ ③ データ処理契約（DPA）の締結 GDPRでは、個人データを第三者に提供する際、**データ処理契約（Data Processing Agreement: DPA）**を締結し、データの取り扱いを明確に定める必要があります。 Pマークでは「委託先管理」が求められますが、GDPRではより詳細な契約書の取り決めが求められるため、EU企業との取引がある場合は契約内容を見直す必要があります。   ✅ ④ 個人データの海外移転への対応 GDPRでは、EU域内から第三国（EU外）への個人データ移転について厳格な規制があります。日本は「十分性認定（Adequacy Decision）」を受けているため、基本的にはEUから日本へのデータ移転は認められていますが、適切なデータ保護措置を講じていることを証明することが求められます。 Pマーク取得企業は、日本国内基準でのデータ保護は整備されていますが、GDPRの要件も考慮したデータ移転ポリシーの策定が必要です。     4. まとめ：Pマーク取得企業もGDPR対応を意識しよう！   プライバシーマークを取得している企業は、すでに個人情報の管理体制を整えているため、GDPR対応の基盤はできています。しかし、GDPRは日本の個人情報保護法よりも厳格なルールを求めるため、追加対応が必要です。 特に、海外ビジネスを展開している企業や、EU域内の個人データを取り扱う企業は、以下のポイントを意識しましょう。   ✅ 適法なデータ処理の根拠を明確にする ✅ データ主体の権利行使に対応できる体制を整える ✅ データ処理契約（DPA）を適切に締結する ✅ 海外移転ルールを理解し、適正なデータ管理を行う   GDPR対応を進めることで、グローバル基準の個人情報保護体制を確立し、企業の信頼性を向上させることができます！ 今後も、データ保護の国際基準を意識した個人情報管理を進めていきましょう！

2025.02.04

プライバシーマークにおける「従業員」と「従業者」の違いとは？

プライバシーマーク（Pマーク）の運用において、「従業員」と「従業者」という用語が使われることがあります。 一見すると似たような意味を持つ言葉ですが、Pマークの規格（JIS Q 15001）においては明確な違いがあります。 本記事では、その違いを詳しく解説し、企業が適切に個人情報保護マネジメントシステム（PMS）を運用するためのポイントについても考えていきます。   「従業員」と「従業者」の定義 プライバシーマークの文脈では、以下のような定義が一般的です。 1. 従業員 「従業員」は、企業に雇用されている人を指します。一般的には、正社員や契約社員、派遣社員など、企業と何らかの雇用契約を結んでいる人々を含みます。 例えば、ある企業の正社員Aさんや契約社員Bさんは「従業員」として扱われます。また、企業が直接雇用しているアルバイトも従業員に該当します。 2. 従業者 一方で、「従業者」は、企業の業務に従事する全ての人を指します。これは、従業員だけでなく、業務委託先のスタッフや、外部の協力会社の作業員なども含まれます。 例えば、以下のような人々は「従業者」として扱われます。 ♦　業務委託先のエンジニア ♦　清掃業務を請け負う外部業者のスタッフ ♦　会社のシステム開発を担当する外部のエンジニア つまり、「従業者」は、直接雇用されているかどうかに関係なく、企業の業務に関わるすべての人を指す広い概念なのです。   プライバシーマークにおける影響 Pマークを取得・運用する際には、「従業員」と「従業者」の違いを理解し、それぞれに適切な個人情報保護の教育や管理を行うことが求められます。 1. 従業員に対する教育・管理 企業が直接雇用している従業員に対しては、定期的な個人情報保護研修を実施し、個人情報の適切な取り扱いに関するルールを徹底する必要があります。また、就業規則や雇用契約書にも個人情報保護の取り組みを反映させることが一般的です。 2. 従業者に対する教育・管理 外部の業務委託先や協力会社のスタッフなど、「従業者」に該当する人々に対しても、個人情報を適切に取り扱うためのルールを周知することが必要です。企業が直接教育を行うことが難しい場合は、契約書に個人情報保護に関する条項を盛り込む、業務マニュアルを提供する、秘密保持契約（NDA）を締結するなどの対策が考えられます。   まとめ プライバシーマークにおいて、「従業員」は企業と直接雇用契約を結んでいる人を指し、「従業者」は企業の業務に従事するすべての人を指します。Pマークの運用においては、従業員だけでなく、外部の従業者に対しても適切な個人情報保護の対策を講じることが求められます。企業がPマークを適切に維持するためには、この違いを理解し、適切な管理体制を整えることが重要です。 この違いを意識しながら、貴社の個人情報保護マネジメントシステム（PMS）をより強固なものにしていきましょう！

2025.02.03

学習用端末における個人情報取扱いの現状と今後の課題

2024年7月、読売新聞の記事において、学習用端末における個人情報取扱いについての問題が提起されました。 それは、一部の自治体が、子供の個人情報を株式会社リクルートに直接取得し管理させていたという内容でした。 また、保護者に説明がないまま海外の事業者に委託したり、リクルートの一般向けアプリの機能改善に利用されたりもしていました。 ※読売新聞記事「小中学校の学習端末利用で児童生徒の情報をアプリ業者が直接取得・管理…文科省が全国調査へ」（2024.7.14）参照   この件について、個人情報の不適切な取扱いであるとした文部科学省は、全国自治体の調査に乗り出しました。 今回は学習用端末における個人情報の取扱いについて、リクルートの個人情報取扱いにおける問題点、また、現状（全国調査を通してどのような結果が出たか）と今後の課題について見ていきたいと思います。   1. リクルートの個人情報取扱いにおける問題点　 改めてリクルートの個人情報取扱いにおける問題点を今一度見ていきましょう。 多くの自治体は、学習用端末いわゆる学習用タブレットに民間事業者の学習用アプリを導入しています。そしてそのアプリを通じて、子供の氏名、生年月日、学習履歴などが収集されます。 リクルートが提供するアプリもこれらのひとつでしたが、個人情報の取扱いにおいて不適切な点が多くありました。 その問題点とは、大きく分けて以下の4つです。   (1)個人情報を直接取得・管理する事業者がリクルートであった点 文部科学省は本来、民間アプリを利用する場合であっても、個人情報を取得・管理する主体はあくまで教育委員会や学校を想定していました。教育委員会や学校が本人（子供たち）から個人情報を直接取得し、その情報を民間事業者に委託するという流れを想定していたのです。 しかし、実際はリクルートが直接本人（子供たち）から個人情報を取得していました（リクルートのアプリ内プライバシーポリシーに子供たちや保護者が同意するという形をとりました）。 これは、子供たちの個人情報が制約なく利用できてしまう危険性をはらみます。というのも、一般的に民間事業者がプライバシーポリシーを掲げる場合、その利用目的の多くは商業利用のために広く設定されるからです。これは後の(2)の問題点へとつながります。   (2)リクルートが事業者自身の利益のために利用した点（商業利用） リクルートは、今回のケースで取得した個人情報を、一般向けに販売している同アプリの機能改善に使用していることを認めました。これは自治体業務の範囲を大いに超えているといえるでしょう。   (3)保護者の同意なしに海外に個人情報が委託されていた点 小中学生全員に一人一台支給される学習用端末は義務教育の場で使用されるため、保護者が個人情報の取扱いにおける同意を拒むことは通常難しいとされます。今回のケースは、保護者の同意なしに海外に個人情報が委託されていたのでより深刻です。 また、海外における個人情報の取扱いは日本の法令が適用されない場合もあるので、就学情報は国内で取り扱うのが望ましいという声もあります。やむをえず海外の事業者に委託せざるを得ない場合には、その必要性をしっかりと説明しなければいけません。   (4)そもそも学習用端末における個人情報の取扱い方についての議論が不十分であった点 国と自治体との間で、学習用端末における個人情報の取り扱いに対する意識の齟齬があったと考えられます。学習帳端末を学校教育に取り入れる段階で、国が指揮を上手くとれていなかった可能性もあります。 個人情報の不適切な取り扱いがないよう、文部科学省は、「教育データの利活用に係る留意事項のポイント」を公開しました。 ※文部科学省「教育データの利活用に係る留意事項のポイント」参照 https://www.mext.go.jp/content/20240328-mxt_syoto01-000028144_2.pdf   目指すのは、「教育データの利活用」と「安全・安心」の両立です。 教育委員会や学校に対して、教育データを利活用するために留意してほしいポイントがここには書かれています。   2. 学習用端末における個人情報取扱いの現状　 文部科学省は学習用端末における個人情報の取扱いについて、全国の教育委員会を対象とした調査を行いました。 その結果、興味深いことがわかりました。ここでは調査の概要と、調査結果（一部）を見ていきたいと思います。   (1) 調査の概要 各教育委員会が個人情報の取り扱いについて改めて自己点検をすること、また、学習用端末における個人情報の取扱いの実態を把握することを目的に調査が開始されました。 調査期間は、2024年7月16日〜8月8日です。   (2) 調査結果（一部） 個人情報を取得する際、本人（子供たち）や保護者の同意を得ているかという質問に対して、全体の約55％が取得していないと回答しました。 また、全体の11%がそもそも利用目的の特定すらしておりませんでした。さらには、全体の26%が本人（子供たち）や保護者に利用目的を明示していませんでした。   3. 学習用端末における今後の課題　 今回のケースを受けて、リクルートは、2026年4月をめどに学習用アプリを通じた個人情報の直接取得を取りやめると明らかにしました。 本来、学習用端末は義務教育の一環として使用するため、個人情報取扱いの同意に対する拒否権がありません。そのため一般向けサービスの利用目的よりも可能な限り具体的に特定することや、特定された利用目的の達成に必要最小限の範囲内で保有することが必要です。 利用目的に関してどのような規律を適用するべきかは、今後も大いに検討する必要があるといえるでしょう。

2025.01.13

事業者がレセプトデータを利用するにあたり注意すべき4つのポイント！

レセプトデータとは、医療機関が発行するいわゆる「診療報酬明細書」のことを指し、主に入院、外来、歯科、調剤の４つに分けられます。 通院したことがある人ならば、誰もが一度はその書類を目にしたことがあるでしょう。   レセプトデータの中には、たくさんの保有個人情報が入っています。 例えば、診療開始日、病名、投薬内容、検査、手術内容といったものから、請求点数（１点は１０円に換算）、医師の指導料、管理料等が記載されています。 ちなみに、検査結果の内容や手術をする前の患者の状態や背景等は記載されていません。 そもそもレセプトデータを作成する目的は、保険診療をした医療機関が、患者が加入している保険機関（健康保険組合、共済組合、市区町村等）に対して、患者が支払った額（基本的に３割負担）の残り（７割）を毎月請求するためです。これをレセプト業務といいます。   このようにレセプトデータは保有個人情報がたくさん入ったデータのため、ときに取扱いを誤れば、個人情報保護違反となる可能性があります。 では具体的に不適切な例をみていきましょう。 ※以下、個人情報保護委員会「レセプトデータ等の保有個人情報の利活用に関する注意喚起（個人情報取扱事業者向け）」参照   　1.　レセプトデータ利用の不適切な例 とある地方公共団体Aが、個人情報取扱事業者Xと重複服薬指導の業務を委託する契約を締結しました。この委託契約に基づき、地方公共団体Aは住民のレセプトデータを個人情報取扱事業者Xに提供しました。 その後、地方公共団体Aは個人情報取扱事業者Xとこの委託契約とは別に新たな覚書を締結し、個人情報取扱事業者Xに対してレセプトデータを委託業務以外でも利用できる権限を付与しました。   そして、個人情報取扱事業者Xは、覚書に基づき住民のレセプトデータを以下のように利用しました。 ・レセプトデータから匿名加工情報を作成し、全国比較等のベンチマーク分析を行った ・当該匿名加工情報を製薬企業や学術研究機関に有償又は無償で提供した   その際、以下の点は覚書に明記されていませんでした。 ・個人情報取扱事業者Xが製薬企業に対し匿名加工情報を提供すること ・製薬企業における研究成果を地方公共団体Aにフィードバックすること さらには、地方公共団体Aが、個人情報取扱事業者Xからこれらの点について十分な説明を受けていませんでした。   2.　１の具体例における問題点 １でみてきた具体例について、次の４つの問題点が挙げられます。   (1) 地方公共団体が特定した利用目的のために、レセプトデータが利用または提供されているか？ 個人情報取扱事業者Xが地方公共団体Aからレセプトデータ内の保有個人情報の取扱いを委託され、当該保有個人情報を取得する場合には、地方公共団体Aが特定した利用目的のために利用または提供されなければなりません。したがって、個人情報取扱事業者Xは地方公共団体Aに対し、自らが予定している利用または提供の内容を適切に提供しなければなりませんし、地方公共団体Aもその該当性を適切に検討しなければなりません。 レセプトデータの利用目的については、一般的に「保健事業のため」、「国民健康保険事業運営のため」等と特定している例が多く見受けられます。その利用目的に従うならば、個人情報取扱事業者Xにおける課題分析だけにとどまらず、分析結果が地方公共団体Aに還元され、保健事業の着実な実施や健康課題の解決につなげられるように取り組まなければいけないはずです。 しかし、上記の例においては、重要な点が覚書に明記されておらず、研究成果が地方公共団体Aにフィードバックもされていませんでした。 地方公共団体Aが個人情報取扱事業者Xにレセプトデータを提供するだけ、また、個人情報取扱事業者Xが分析するだけで地方公共団体Aに結果を還元しないといった行為は、地方公共団体Aが特定した利用目的から大いに外れているといえるでしょう。   (2) 地方公共団体Aと個人情報取扱事業者X間で、契約内容の十分な協議を行なっていたか？ レセプトデータから作成した匿名加工情報の製薬企業への提供、また、製薬企業での研究成果のフィードバックの在り方が、覚書に明記されておらず、地方公共団体Aと個人情報取扱事業者Xの認識に大きな齟齬があったといえます。 当該齟齬を避けるためにも、契約前に十分な協議を行い、共通の認識を得た上で契約を締結することが重要です。 特に、保有個人情報の本人が住民の権利利益に関わるような重要な事項については、個人情報取扱事業者Xから地方公共団体Aに対し、できるだけ書面による明確な説明を行うこと、さらには、協議内容を書面に取りまとめ双方が確認することが望ましいといえます。   (3) 契約内容に適法性があったかどうか？ そもそも契約内容に適法性があったかどうかも問題となります。 個人情報の保護に関する法律第 20 条第1項において、「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。」とされています。 ※参照「個人情報の保護に関する法律」 当初の委託契約はもちろんのこと、後から締結した覚書の内容についても、第 20 条第1項における「個人情報の取得」にあたります。 しかし、個人情報取扱事業者Xは、「個人情報の取得」における的確な措置を行なっておりませんでした。 まさに「偽りその他不正の手段」による取得に該当し、契約内容にそもそも適法性がなかったと考えられます。   (4) 地方公共団体Aに対して成果物をフィードバックしていたか？ 最後に、地方公共団体における保険事業への取組という特性からの問題点です。 レセプトデータの分析結果や研究成果は、本来、地方公共団体に全て還元された上で保健事業やデータヘルス計画の策定等に活用されなければならないはずです。 個人情報取扱事業者Xのように、地方公共団体Aに研究成果をフィードバックしなかったことなど問題外です。 個人情報取扱事業者がレセプトデータを利用または提供する際には、住民の健康づくりや疾病予防の取組につなげられるよう、地方公共団体に対し、分析結果や研究成果に関する成果物のフィードバックを必ず行うようにしなければなりません。   以上、不適切な例から４つの問題点を参照しました。 個人情報取扱事業者は、この事例をもとに４つの点に注意しながら、レセプトデータにおける保有個人情報を適切に取り扱う必要があるといえるでしょう。