2020.10.19

ネットに公開されてる個人情報って勝手に利用してもOK？

インターネット上に公開されている個人情報はどこまで勝手に利用して良いのか、疑問に思ったことってありませんか？ 例えば、行政書士会は登録されている行政書士をインターネット上で検索できるようになっています。     実際に、公開されているから。という理由だけでダイレクトメール等が来たことがある人もいるかと思います。 逆にビジネス上、使って問題ないか悩んでいる企業も多いとも思います。 こういった情報はインターネット上で公開されていますが、果たして勝手に利用して個人情報保護法上、問題ないのでしょうか・・・ インターネットに公開された情報であっても個人情報保護法の規制の対象になります。 今回はインターネット上での個人情報の取得等で個人情報取扱事業者(会社)が留意しなければならない点について説明していきます。   【個人情報収集時の留意】 インターネット上で入手できる個人情報について、収集・取得する場合は、個人情報保護法における「個人情報」の取得に関する規制の対象になります。 インターネット上での個人情報の取得の有無が問われる場面としては下記のようなケースが想定されます。 ① 情報を単に画面上で閲覧する場合 ② 情報を転記の上で検索可能な状態にした場合 ③ 情報が含まれるファイルをダウンロードしてデータベース化する場合 ④ 検索可能化・データベース化までせずにローカルPCに転記等した場合 ①の場合ですが、これは単に見るだけであるので、個人情報保護法ガイドライン通則編３−２−１では取得に該当しないとされています。 ②、③について個人情報保護委員会の公表しているＱ＆Ａでは「個人情報を取得したと解し得る」と表現されています。 もちろん、④についてもパソコンにコピーする行為も取得と解されるため。上記②から④の事例を含めて「取得」にあたり、個人情報保護法の規制がかかると考え行動すべきだと判断できます。   【個人情報の収集・取得時にすべきこと】 では、個人情報保護法の規制の対象になるとして、会社・事業者としては収集・取得時に何をしなければならないのでしょうか。 個人情報保護法の18条1項ではこう定められています。 個人情報を取得する場合、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を、本人に通知し、または公表しなければならない。 ※個人情報保護法18条1項から引用 つまり、自社のホームページでプライバシーポリシーなどの形で利用目的を公表する必要があります。 そうすることで「あらかじめその利用目的を公表している場合」をクリアすることが可能となり、インターネットから収集・取得した個人情報であっても本人への通知・公表は原則として不要となります。 【どのように利用してOKなのか】 3つ目にどのようにインターネット上で収集・取得した個人情報を扱ってOKか。です。 個人情報保護法では下記の通りに定められています。 あらかじめ公表し、または、本人に通知・公表した利用目的の範囲内でのみ利用できる。 ※個人情報保護法16条1項から引用 また、「その範囲を超えて利用する場合には、あらかじめ本人の同意を得なければならない」とも定められています。 ※個人情報保護法16条1項から引用 つまり、予めどう扱うを定めてそれを逸脱して利用するような事態になるのであれば、ちゃんと本人の同意を得る必要があります。 好き勝手に変えることも不可で「変更前の利用目的と関連性を有すると合理的に認められる範囲」と法律に定められています。   【まとめ】 結論として、インターネット上で公開されているとはいえ、れっきとした個人情報に該当し、利用するにあたっては個人情報保護法の順守が必要になります。 また、好き勝手に使ってはダメでちゃんと最初に利用目的を定めてそれを逸脱しないようにしないと法律違反に該当すると認識してください。 個人情報保護に関するお問い合わせはこちら  

2020.10.19

プライバシーマークで求められるリスク分析のやり方

プライバシーマーク(以下、Pマーク)の取り組みで最大と言って良い山場はリスクアセスメントと言えます。 リスクアセスメントで手を抜くとその後の取り組みに大きな影響が出てしまい、認証取得を目指す上で逆に大きな障害になってしまいます。 たかがリスクアセスメントされどリスクアセスメントというわけです。 今回はそのリスクアセスメントについて取り組みを行う上でのポイントを触れてみたいと思います。   【なぜ手抜きしてはダメなのか】 リスクアセスメントを手抜きしてはダメな理由としては大きく3つのことが上げられます。 特定した個人情報をベースにリスクアセスメントを行うため、手抜きをしてしまうと自社の個人情報に対するリスク・対策が見えなくなってしまう リスクアセスメントの結果、出てくるリスク対策は自社の個人情報管理のルールの元になるため、手抜きをするとルールにヌケモレが出る。 リスクアセスメントを手抜きすると情報漏えいにつながる心配事が見えないので、情報漏えいが実現してしまう可能性が一向に下がらない。 結論として、リスクアセスメントをしっかり行うことで会社の個人情報保護のルールがしっかりと出来上がってくると言えます。     【リスクアセスメントの進め方】 ではPマーク上のリスクアセスメントはどのように進める必要があるのでしょうか。 ISMSなどではある程度自由なリスクアセスメントが出来ますが、Pマークは逆に縛りが結構厳しいと言えます。 ポイントは下記の3つです。 個人情報のライフサイクル(取り扱いの流れ)に沿ってリスクアセスメントを実施する すべての個人情報が対象になる 取り扱いが同じものはグルーピングして構わない まず、リスクアセスメントを実施する際には個人情報の流れを把握してそこにどんなリスクが想定されるかイメージします。 例えば、①履歴書を受け取る→②面接で使用する→③書庫で保管する→④不採用だったので破棄する こう言った流れがあった場合に①～④をPマークでよく言われるライフサイクルに当てはめてどんなリスクがあるか想定します。 ※ライフサイクルは取得・利用・保管・移送・廃棄・委託と言った個人情報の流れのカテゴリを指します。 想定したリスクが実現しないようにするためにどんな対策があるか検討・決定し、それを書いていくわけです。 Pマークはすべての個人情報に対してリスクアセスメントを求めているのですべてが対象になりますが、取り扱いの流れ(ライフサイクル)が同じ個人情報についてはグルーピングし、まとめてリスクアセスメントを行って良いとしています。 ※余談ですが、、、審査ではよくライフサイクル上リスクがないフェーズはないと言われます・・・ 上記のようなものをリスクアセスメント結果として帳票にまとめ結果を残す必要があります。   【残留リスクとは】 また、リスクアセスメントを行った際には必要に応じて残留リスクを把握し、管理する必要があります。 以前のPマーク状は残存リスクという言葉でしたが、2017版になり残留リスクとなりました、。 要求事項であるJISQ15001：2017のA3.3.3では残留リスクについて「現状で実施し植える対策を講じた上で、未対応部分を・・・」と記述しています。 つまり、リスク対策を行った上で未対応となった部分について残留リスクとして把握し、管理を行うことを求めています。 昔よくあったのが、「ダブルチェックを行う」というリスク対策を書いたら、「チェック漏れが起きてしまう」という残存リスクを書かれるケースがありましたが、こういった堂々巡りになるようなものはは対策を講じた上で、残りうる未対応部分とは言えないので、書く必要はありません。 Pマーク上のリスクアセスメントはやり方はある程度決まっているものになりますが、奥が深くポイントを把握してないとなかなか抜け出せなくなります。 Pマークを効率よく取得することを目指す場合、知見を持つ専門家への相談は不可欠になります。

2020.10.19

プライバシーマークで求められる個人情報保護方針ってどんなものですか？

プライバシーマーク(以下、Pマーク)を取得する際には必ず「個人情報保護方針」というものを作成する必要があります。 最近はPマーク云々関係なく様々な会社で個人情報保護方針(プライバシーポリシー)を作成していますが、Pマーク取得を目指す上ではどんな内容でもOKというわけではありません。 今回はPマークで必要になる個人情報保護方針について規格であるJISQ15001:2017の内容も踏まえて触れていきます。   【個人情報保護方針とは】 そもそも個人情報保護方針はなんなんでしょうか。 結論を言ってしまうと、会社としての個人情報の取扱について宣言した文書になります。 会社がどんな考えを持って、個人情報を扱いうのか、どのように管理をするのかを謳った文書になります。 また、こういった文書は単に作っていても意味がありませんので、社内外に周知をはかるためにもWebサイトに公表したり、オフィスに掲示したりして周知を行います。 社外の人からすると会社がどんな考えを持っているのか知るためのものになりますし、従業員の方々からすると自分たちがどうすべきかを知るための文書にもなります。(遵守すべき具体的なルールは個人情報保護方針に記載することはありませんが・・・)     【内部向け個人情報保護方針】 Pマークでは規格であるJISQ15001:2017附属書Aにて「内部向け個人情報保護方針」と「外部向け個人情報保護方針」を分けて記述しています。 A3.2.1である内部向け個人情報保護方針では a) 事業の内容及び規模を考慮した適切な個人情報の取得，利用及び提供に関すること［特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い（以下，“目的外利用”という。）を行わないこと及びそのための措置を講じることを含む。］。 b) 個人情報の取扱いに関する法令，国が定める指針その他の規範を遵守すること。 c) 個人情報の漏えい，滅失又はき損の防止及び是正に関すること。 d) 苦情及び相談への対応に関すること。 e) 個人情報保護マネジメントシステムの継続的改善に関すること。 ※JISQ15001:2017附属書Aから一部抜粋 上記のような文言が書かれています。 つまり個人情報保護方針には上記a)～e)を文書に書いて個人情報保護方針を作る必要があるわけです。 これらの内容をできるだけコンパクトにまとめ自社の文章として仕上げていくことがポイントになります。 特に「事業の内容及び規模を考慮した適切な個人情報の取得，利用及び提供に関すること」などは会社の特色が出る部分になります。   【外部向け個人情報保護方針】 JISQ15001:2017附属書Aではもう1つ「外部向け個人情報保護方針」があります。 これは外部に公表する個人情報保護方針についてのプラスアルファの要求になり、下記をプラスすべきと書かれています。 a) 制定年月日及び最終改正年月日 b) 外部向け個人情報保護方針の内容についての問合せ先 ※JISQ15001:2017附属書Aから一部抜粋 いつ制定・改訂されたものか、問い合わせ先を明確にする。などが必要になります。 また、規格内には「一般の人が入手可能な措置を講じること」と記載されています。 HPに掲載するなど、外部の人たちに周知するための対応をしなければならないことまで求められています。   個人情報保護方針1つとってもなんでもOKなわけではありません。 ちゃんと規格と自社の内容を合わせて作成する必要があるので、注意が必要になります。

2020.10.19

プライバシーマークで求められる文書規定について

プライバシーマーク(以下、Pマーク)の取得に向けた取り組みの中で必ず求められるものが、「文書」です。 いわゆる社内規程としての個人情報保護規程やJISQ15001:2017附属書Aについての取り組みの中で文書化が求められているものについて手順を含めた文書の作成が必要になります。 実際に作成した文書はPマークの申請時には審査機関に提出する必要もあり、作成出来ていなかったらPマークを取得することは出来ません。     【文書化が必要なものについて】 JISQ15001：2017附属書Aでは下記について文書化することを求めています。 a) 個人情報を特定する手順に関する規定 b) 法令，国が定める指針その他の規範の特定，参照及び維持に関する規定 c) 個人情報保護リスクアセスメント及びリスク対策の手順に関する規定 d) 組織の各部門及び階層における個人情報を保護するための権限及び責任に 関する規定 e) 緊急事態への準備及び対応に関する規定 f) 個人情報の取得，利用及び提供に関する規定 g) 個人情報の適正管理に関する規定 h) 本人からの開示等の請求等への対応に関する規定 i) 教育などに関する規定 j) 文書化した情報の管理に関する規定 k) 苦情及び相談への対応に関する規定 l) 点検に関する規定 m) 是正処置に関する規定 n) マネジメントレビューに関する規定 o) 内部規程の違反に関する罰則の規定 ※JISQ15001：2017附属書Aから抜粋   上記には15個の項目があります。 つまり、この15個の項目について文書化されたものが必要になります。 すごく膨大な量に見えます。 ただ、一点気をつけてもらいたいのはアルファベットの書かれている内容の語尾はすべて「規定」であって「規程」ではありません。 つまり、a)～o)についてすべてを個別の冊子として作る必要はなく、上記についてルール・手順や取り決めがあれば問題ありません。   【文書のまとめ方について】 附属書A内で文書化が求められているものについて、文書の数やページ数は特段定められていません。 付属書Aや審査の基準の中で文書・手順が求められるものについてしっかりまとまっていれば、問題なく15冊でも1冊でもPマークを取得することは可能です。 後は実際に会社として取り組む上でどの程度の文量や手順の細かさ、精密さが必要になるかです。 このあたりについては会社の規模や経営者の考え方で変わってくる部分にもなりますので、取り組みを進める上での要相談事項になってくると考えてもらえればと思います。  

2020.10.19

ベネッセ顧客情報流出、逆転賠償命令を受けて

2020年3月25日にベネッセコーポレーションの顧客情報流出をめぐり、顧客が損害賠償を求めた2件の訴訟の控訴審判決で、東京高裁は計622人に対し、1人当たり3300円を支払うようベネッセ側に命じる判決を出しました。 今回の賠償判決における総額は約200万円となります。 いわゆるベネッセ事件が起きてからすでに6年が過ぎますが、1つの民事訴訟での高裁判決が本日でました。 この判決を受けての考察・ベネッセ事件の振り返りを今日はしたいと思います。   【そもそもベネッセ事件とは】 2014年に起きたベネッセ事件はベネッセが保有する顧客情報を業務委託先の従業員が約3500万件の顧客情報を持ち出し、名簿業者に売却した事件となります。 発生時は日本で最大規模の個人情報漏えい事件として取り上げられられ、ベネッセは取得していたプライバシーマークの認証を取り消される事態になりました。 個人情報を流出させた業務委託先の従業員は不正競争防止法違反（営業秘密の複製、開示）の罪で逮捕され、2017年に懲役2年6カ月、罰金300万円の判決が下された。 漏えいした個人情報は多くの名簿業者に出回り、経済産業省は各名簿業者や名簿を購入したとされる事業者に対して、利用の停止などを求めたり、不正に入手された名簿と知りながら業者に転売した疑いがあるとして、警視庁生活経済課は名簿業者の事務所など、関係先6カ所を不正競争防止法違反容疑で家宅捜索した。   【今回の民事判決を受けて】 今回の判決において裁判長は「情報が流出したことで私生活上の不安や失望感を生じさせた」というコメントを出しています。 やはり個人情報が外部の漏えい等すると、不正利用され予期せぬDMや電話などで普段の生活を邪魔される事態になってしまいます。 もちろん、そこにクレジットカードの情報なども一緒に漏えいしていることになれば、カードの不正利用で金銭的な損害を被る可能性もあるわけす。 ベネッセ事件において、クレジットカード情報が漏えいした事実はありませんが、この事件においては個人に与えた苦痛もありつつも社会的影響が非常に大きい事件になります。 その中で今回の判決では2018年12月27日の東京地方裁判所の判決でグループ会社のシンフォームに出た一人あたり3300円の賠償と同じ額の判決が出ています。 これはおそらく、シンフォームでの判決に額を合わせた。ということにはなるのでしょうが、仮に外部に漏えいした3500万人全員へ賠償するとなると、1155億円になります。 額だけ見ていると途方もない数字になります。 大規模な会社でさえ、この額の賠償をするとなれば会社が傾くことになります。一人に換算するとこの程度の額なのか。かもしれないですが、総額で考えるととてつもない額になりますし、おそらく今後の類似の事件・事故が起き、民事裁判となれば、この額が一つの目安になってくるものと考えられます。     【今後の情勢】 個人情報の取り扱いについては、世界的にシビアになっているのはご存知の通りです。 ヨーロッパのGDPRはもちろん、日本での2020年には個人情報保護法が改正され、事故報告の義務化などさらに厳しくなります。 ベネッセ事件や他の事件でも個人情報を漏えいさせたり、不正に扱うことで逮捕される人が出ているものも事実で昔であれば考えられなかったことかもしれません。 ただ、これが現実であり、今の世の中が変だ。と思う人は今の世の中で個人情報を扱うことはリスクだけを抱えることになり、相応しくないと思います。   これからも情報の価値は上がっていくと考えられるからこそ、それを扱う人のリテラシーの向上が急務と言えてきます。  

2020.10.19

愛知県の新型コロナ個人情報誤掲載から見るネットに個人情報が公表されることの危険性

5月5日に愛知県が新型コロナウイルス感染者の氏名や入院先などの個人情報を、県の公式サイトで誤って公開したことを発表し、謝罪しました。 県の発表にによると、５日午前９時半頃から同１０時１５分頃までの約４５分間、県内感染者４９５人の個人情報が閲覧できる状態に。感染者の氏名、入院先の医療機関、入院日、退院日などが掲載されていたとのことです。 サイトの閲覧数は重複を除き３６２件あり、発表段階では二次利用等はなされていないとのことでした。 この事件、個人情報保護の考えの中でどれだけ問題があるのでしょうか。 なかなか、ピンとこない人もいるかもしれません。 今回はこの事件がどれだけ、個人情報保護を考える上で問題があるのか触れていきたいと思います。   【誤記載された個人情報】 今回誤記載されたのは「感染者の氏名、入院先の医療機関、入院日、退院日」になります。 プラス新型コロナウイルスに感染した事実も分かるようになっています。 これは個人情報保護法上、要配慮個人情報に該当し、センシティブな個人情報となります。 詳細は「取り扱い要注意!?要配慮個人情報ってなんですか？」に記載しています。 端的に言うと、万が一外部に漏えい等してしまうと社会的影響が大きい情報になります。 今回、県は感染症法などに基づいて個人情報を収集・利用していた形になりますが、その詳細については「コロナ感染者の行動履歴を把握することは個人情報保護法上良いのか？」にも詳細を記載しています。   【誤記載でどんな影響が出るのか】 今回の新型コロナウイルス感染者のリストが漏えいしたことがどんな問題に発展するのでしょうか。 いくつか想定することが出来ますが、1つ大きな例を挙げると「差別」です。 新型コロナウイルス感染者リストに載っている人が世の中から差別されることが問題となります。 ニュースなどでも新型コロナウイルスの感染者が差別されたり、不当な扱いを受けた。という記事を見かけますし、新型コロナウイルスの診察をした病院が中傷された。など耳にします。 こういった個人情報がインターネット上に掲載されたりしますと世界中に発信されてしまいますし、住所は載っていないにしても、入院している病院などから住所やSNSなどが特定されてしまう可能性もあります。     つまり、インターネット上に公表されてしまうと自分の全てがすっ裸の状態にされてしまうと言っても過言ではありません。 インターネット上なので、事実以外にも勝手な嘘を書かれてしまう可能性があり、その人へのダメージは計り知れないものになります。   【どう対処すべきなのか・・・】 今回の新型コロナウイルスの感染者リストに限らず、万が一個人情報がインターネット上に漏えいしてしまい、いろいろ心無いことが書かれた場合ですが、主に下記のような問題になります。 ・名誉棄損 ・侮辱 ・プライバシー侵害 これらについて相談できる先は主に下記となります。 ・警察(サイバー犯罪相談窓口) ・弁護士や行政書士など法律家(ネットに詳しいことが条件) ・対策事業者 対策事業者は主に法人への対応が多くなってきますので、個人の方が相談する先としては警察や法律関係者になってくるかと思います。 こういったことはいち早く対応しないと一生残り続ける可能性もあるので、万が一被害にあった際には早急な相談・対応が必要がなってきます。