2021.11.15

個人情報保護法改正により、情報の宝庫「Cookie」の取扱いが変わる！？

昨今の急速なデジタル普及に伴い、個人情報保護法の見直しが3年毎に行われています。 その一環として、2020年、個人情報保護法の改正がなされました（2022年4月施行予定）。 今回のタイミングで改正された内容は複数あるものの、今回は、そのなかのひとつを、私たちの生活にも身近な「Cookie」の取扱いを例にあげながらみていきたいと思います。   「Cookie」とはそもそも何？   私たちは毎日たくさんの情報をウェブサイトから収集します。 スマートフォンが普及した現在では、尚更のことでしょう。 そんなときに多くの人が使用するのが、「ウェブブラウザ」です。 「ウェブブラウザ」とは、パソコンやスマートフォンでウェブサイトを立ち上げるときに使用するアプリのことです。 例えば、「Safari」 、「Microsoft Edge」、「Google Chrome」などがそれにあたります。   「Cookie」はこれらのウェブブラウザに勝手に保存されるファイルのことを指します。 通常私たちはこのファイルを直接見ることはできません。 この「Cookie」には、私たちがどのようにウェブブラウザを使用したかが保存されています。 例えば、某通販サイトでショッピングをしようと思い、興味のある商品をカートにいれた場合、最終的に購入に至らなくても、その一連の行動が「Cookie」というファイルに保存されます。 つまり、「Cookie」は、私たちユーザーの情報がぎっしりつまった情報の宝庫なのです。   「Cookie」は「個人情報」にあたる？   結論からいうと、「個人情報」にあたる場合もあるし、あたらない場合もあります。 例えば、ウェブサイトで会員登録をするために氏名や住所を入力した場合、氏名や住所が「Cookie」に保存されるので、特定の個人を識別することができ「個人情報」にあたるといえます。 ※ここではざっくりと「個人情報」を定義していますが、詳しくはこちらを参照してください。 https://www.ppc.go.jp/files/pdf/201212_personal_law.pdf（個人情報保護委員会HPより引用）   では、「Cookie」に保存されたユーザーの検索履歴やクリック履歴などは「個人情報」にあたるのでしょうか？ こちらは、氏名や住所などのように個人を識別することができないので、これだけでは「個人情報」にあたるとはいえません。   しかし、このようにもともと「個人情報」にあたらない「Cookie」でも、いずれ「個人情報」になってしまう種類のものがあります。 これについてもう少し深く掘り下げてみましょう。   「Cookie」のグレーゾーン   例えば、とあるユーザー（Aさん）が某サイトで興味のある商品Bをカートにいれました。 「Cookie」からこれらの情報を収集した某広告会社Cが、第三者の企業Dにこの情報を提供しようと考えました。 ここだけをみると、Aさんの「個人情報」の提供ではないように思えます。 なぜなら、氏名や住所などAさんと識別する情報がないからです。 しかし、問題はここからです。 実はこの第三者の企業Dは、Aさんの氏名や住所等の顧客情報をもともと所持していました。 そして、広告会社Cから提供された情報と、自分がもっている顧客情報を簡単に組み合わせて、「AさんがBをカートにいれた」という情報を結果的に手に入れました。 もともと「個人情報」でなかったもの（誰かがBをカートにいれた）が、いまや「個人情報」（AさんがBをカートにいれた）となってしまったのです。   これが、いわゆる「Cookie」のグレーゾーンです。 そして、もともと「個人情報」に該当しなかったデータが、第三者の手にわたることで「個人情報」に該当してしまうこうしたケースについて、改正前の個人情報保護法に明確なルールはありませんでした。   2020年の個人情報保護法改正により「Cookie」の取扱いが変わる！   2020年、個人情報保護法の改正により、こうしたグレーゾーンに対しても、しっかりとしたルールが適用されることになりました。 具体的には、広告会社Cと第三者の企業Dの両方に以下のルールが課されることになります。   ・広告会社C 「Cookie」のデータ提供について、本人Aからの同意が得られているかを事前に確認しなければならない。   ・第三者の企業D 「Cookie」のデータをもらうことについて、本人Aからの同意を得なければならない（同意を得るのはC、Dどちらでもよいとされているが、実際はDのケースが多いと想定）。   ・C,D両者 「Cookie」データのやりとりについて記録を残さなければならない。   以上のように、個人情報保護法の改正に伴い、「Cookie」の取扱いが大きく変わり、私たちユーザーの「個人情報」について、より強固な保護規定がつくられることとなりました。 と同時に、「個人情報」を取り扱う企業は、これまで以上に注意して「個人情報」を取り扱うことが要求されることとなります。

2021.02.08

再教育とならないための個人情報保護教育！

  プライバシーマークの取得・維持にあたっては最低年1度、個人情報保護に関する教育を行う必要があります。   教育実施にあたってはこんな相談をよくもらいます。 ・どんな教材が良いのか ・理解度の確認って何するの？ ・受講形式は？   様々な疑問を抱きながら皆さん教育を行っています。 また、審査の際に全否定され、再教育・・・なんて自体になると面倒なことになってしまいます。   そうならないようにするめにプライバシーマークにおける教育のポイントに触れていきたいと思います。   【教材の内容について】 皆さん一番悩むのが教材です。 インターネットに転がっているものをそのまま使っていいのか、IPAなどのサイトに公表されているものを使って問題ないのか、動画はありなのか。様々あります。 ですが、まず重要視しないといけないのは要求事項で求められている内容を満たせるかです。   ＊JISQ15001:2017付属書Aから抜粋 要求事項であるJISQ15001:2017付属書AのA3.4.5には上記のように定められています。 それぞれのポイントを触れると下記のようなものになります。   a)について 個人情報保護方針は会社がそれぞれ作っている方針を指します。 教材の方針を記載したり、添付資料としてつけるなど方針をについて認識させることが重要です。   b)について ここで重要なことは「重要性」と「利点」です。 なぜ、個人情報保護を自分の会社で行う必要があるのか、個人情報保護を行うことに自分の会社ではどういった利点(メリット)があるのかを触れることが重要になります。   c)について c)で触れられていることは「役割」と「責任」です。 Pマークにかかわる人たちにどんな役割が与えられていて、どんな責任があるのかを教材内に触れていく形になります。   d)について 最後のd)ですが、ルール違反等をしてしまった場合にどんな結果が待っているのか、会社として従業員としてそれぞれに触れることがポイント言えます。   上記のポイントを押さえた内容が最低限教材の内容として求められます。   【理解度の確認】 次に教育実施時にやらなければならない理解度の確認です。 これは分かりやすいものとしては作成する教材に対応するテストになります。 簡単なものであれば〇×のテストです。   テスト以外にも感想文やグループワークも効果的です。   重要になってくるのは、「受講対象者全員の受講が確認できるものになっている」ことが重要です。     【教育の受講形式】 3つ目は教育の実施方法です。 一番分かりやすいのは対面での講義の実施です。 ですが、最近のコロナ禍もあり、なかなか集まれない状況にあります。。。   ＊Pマーク申請書類から一部抜粋 実はプライバシーマークの申請書のサマリーには上記の項目があります。 Eラーニング、集合研修、テキスト配布の自習は認められているものになります。   これら以外にも動画の視聴も教育の友好的な実施方法として、良いものになります。   教育にあたっては様々形式があり、答えがないものになります。 自信をもって審査に臨んだら、審査員と解釈の違いで教材についてNGが出てしまうこともあります。   ポイント押さえて、そのリスクを軽減するようにしましょう！                      

2021.01.19

内部監査って「いつ」「だれに」「どうやって」にするの？

Pマークの取り組みで絶対やらなければならない取り組みの1つに内部監査があります。   やらなければならないことは知ってるが、具体的になにをどうすべき意外と知らずに審査の際に指摘されるケースが多いです。 今回はPマークの取り組みにおける一大イベントである内部監査について触れてみたいと思います。   【いつやるの？】 まず、内部監査実施頻度・時期についてです。 Pマークの取り組み上、年に一度は内部監査の実施が必要になります。 Pマークの更新審査は二年に一度ですので、更新審査の際には2回分の監査記録が最低限あるはずです。   実施時期については会社ごと任意になります。 実際に社内規定で策定した実施時期が実施月の目処になっていると考えてください。 あまり、規定に定めているものを無視してやっていると審査の際に注意される可能性があるので気を付けましょう！   【内部監査の対象】 内部監査の対象(被監査対象)ですが、これは会社によって変わってしまいます。 原則として求められる監査対象を紹介したいと思います。   適合性監査 まずは適合性監査です。 これは具体的にはPマークの文書が対象となる内部監査になります。 Pマークの文書が要求事項であるJISQ15001の付属書Aに適合できているかを監査することになります。   管理者への監査 次は個人情報保護管理者への監査です。 会社によって名称は異なりますが、Pマークの責任者への監査になります。 実施のポイントしては個人情報保護管理者が要求事項で実施が求められることを実施出来ているかの監査になります。   現場への監査 3つ目は現場への内部監査です。 拠点ごと、部署ごと、単位としては会社の規模や業務内容等によって決めていくことなります。 監査の内容としては安全管理のルールとして定めた内容が守られているかの監査を行うことなります。   【どうやってやるの？】 では内部監査は具体的にどのようにやっていくのでしょうか。 ポイントは以下の3つです。   内部監査計画書 まず1つ目は計画書の作成です。 監査実施にあたっては計画を立てて実施することが求められています。 つまり、監査計画がないのに監査を実施しているとなるとPマークの要求を満たしていない監査になると判断できます。   チェックリスト 次に監査チェックリストの用意です。 Pマークの監査においては、チェックリストを使った記録がないと審査の際に指摘されます。 理屈としてはチェックリストがなければ、誰にどのようなチェックをしたのかが分からないため、ちゃんと監査がなされたかが確認できないことが理由です。 Pマークのための記録となってしまうため、少々納得しがたい人もいるかもしれませんが、監査人が初心者であったりするとチェックリストがあった方が、しっかりと監査の実施ができるので重要なものとも言えます。   報告書 3つ目は監査実施後に作成する報告書です。 報告書がないとチェックリストの記録があっても実施が完了したとは判断が出来ません。 チェックリストの記録はあくまでチェックした内容の備忘録に過ぎませんので、最終的な監査結果は報告書に記載されると判断することになります。   【最後に】 内部監査はこれまでの流れで完了！となります。 ですが、監査の結果「不適合」の事項などの発見があると改善の活動として是正処置の実施が必要となってきます。 是正処置も手順が定まっているものになりますので、要求事項・手順に沿っての実施が求められてきます。

2021.01.16

Pマークの従業者管理で求められる3つのこと！

  プライバシーマークを取得するにあたってその会社で働いている従業者の管理・監督は必要になります。 ここで言う「管理」「監督」とは何のことを指すのでしょうか。 端的に言うと従業者の管理・監督は個人情報の会社の中での安全が守られるようその会社で働く人から漏れないようにするための施策です。 どのようなことが求められるかを今回はご紹介したいと思います。   【従業者と従業員の違い】 さて、説明の前に一般的に従業員と言われる呼称をPマークは従業者と使っています。 この違はいったいなんでしょうか。まずは違いをご紹介します。 従業員 従業員とは、企業と労働・就労契約を結んで雇用されている人を指します。 一般的には、正社員、契約社員、アルバイトを指します。 従業者 個人情報取扱事業者の組織内にあって直接間接に組織の指揮監督を受けて組織の業務に従事している者などをいい，雇用関係にある従業員（正社員，契約社員，嘱託社員，パート社員，アルバイト社員など）だけでなく，雇用関係にない従事者（取締役，執行役，理事，監査役，監事，派遣社員など）も含まれる。 ※JISQ15001:2017から一部抜粋 違い 従業者の方が定義として広いものと考えてください。 つまり、Pマークにおいては従業員だけではなく、社長を含む取締役から派遣社員までも管理される人の対象に含まれると定義しています。   【誓約書】 まず、1つ目は誓約書の取得です。 ‘Pマークにおいて、個人情報保護を言及した誓約書が求められるわけではありません。機密情報を漏らさない。という内容のもので問題ありません。 書かれてないといけないような項目は下記のようなものになります。 ・在職中、仕事で扱う情報を外部に漏らすようなことをしない ・万が一のことがあれば、賠償されても文句を言わない ・退職後も同様の誓約を負うこと また、退職時に誓約書を取得ことは任意となります。   【就業規則】 2つ目は就業規則になります。 安全管理のためのルールで定めた内容に違反した際の規程が整備されていることが求められます。 これは就業規則で賄うことが一般的です。   就業規則に会社ルールに違反した際の取り決めがあることが求められます。 それはルールに違反した際の罰則です。 ルールに違反したら懲戒処分等がなされることが書かれていることが要求になります。   【モニタリング】 3つ目はモニタリングです。 これは必須の事項ではありません。 実施する場合にはちゃんと規定し、実施することが必要になります。 モニタリングとは下記を指しています。 監視カメラによるモニタリング モニタリング行為の1つは監視カメラによるモニタリングです。 どのようなことかと言うと仕事のエリア内にカメラを設置し、防犯目的ではなくちゃんと仕事をしているかなどの監視行為を目的として撮影・録画を行うことを指します。 ※防犯目的のカメラ設置とは明確に目的を違っていることがポイントです。   ログ収集ソフトによるモニタリング もう1つはログ収集ソフトを使ってのモニタリングです。 カメラでのモニタリングと同じ理屈になりますが、収集するログの目的が仕事をさぼっていないかなどの監視目的になるとモニタリング行為となります。   まとめ モニタリング行為を行う場合、個人情報を収集・取得しているとも取れますので、個人情報の直接取得と取られると考える必要があります。

2021.01.09

JISQ15001:2017付属書A解説

JISQ15001:2017　付属書A A.3 管理目的及び管理策 A.3.1 一般 A.3.1.1一般 A.3.2 個人情報保護方針 A.3.2.1内部向け個人情報保護方針 A.3.2.2外部向け個人情報保護方針 A.3.3 計画 A.3.3.1個人情報の特定 A.3.3.2法令，国が定める指針その他の規範 A.3.3.3リスクアセスメント及びリスク対策 A.3.3.4資源，役割，責任及び権限 A.3.3.5内部規程 A.3.3.6計画策定 A.3.3.7緊急事態への準備 A.3.4 実施及び運用 A.3.4.1運用手順 A.3.4.2 取得，利用及び提供に関する原則 A.3.4.2.1利用目的の特定 A.3.4.2.2適正な取得 A.3.4.2.3要配慮個人情報 A.3.4.2.4個人情報を取得した場合の措置 A.3.4.2.5A.3.4.2.4 のうち本人から直接書面によって取得する場合の措置 A.3.4.2.6利用に関する措置 A.3.4.2.7本人に連絡又は接触する場合の措置 A.3.4.2.8個人データの提供に関する措置 A.3.4.2.8.1外国にある第三者への提供の制限 A.3.4.2.8.2第三者提供に係る記録の作成など A.3.4.2.8.3第三者提供を受ける際の確認など A.3.4.2.9匿名加工情報 A.3.4.3 適正管理 A.3.4.3.1正確性の確保 A.3.4.3.2安全管理措置 A.3.4.3.3従業者の監督 A.3.4.3.4委託先の監督 A.3.4.4 個人情報に関する本人の権利 A.3.4.4.1個人情報に関する権利 A.3.4.4.2開示等の請求等に応じる手続 A.3.4.4.3保有個人データに関する事項の周知など A.3.4.4.4保有個人データの利用目的の通知 A.3.4.4.5保有個人データの開示 A.3.4.4.6保有個人データの訂正，追加又は削除 A.3.4.4.7保有個人データの利用又は提供の拒否権 A.3.4.5認識 A.3.5 文書化した情報 A.3.5.1文書化した情報の範囲 A.3.5.2文書化した情報（記録を除く。）の管理 A.3.5.3文書化した情報のうち記録の管理 A.3.6 苦情及び相談への対応 A.3.6苦情及び相談への対応 A.3.7 パフォーマンス評価 A.3.7.1運用の確認 A.3.7.2内部監査 A3.7.3マネジメントレビュー A.3.8 是正処置 A.3.8是正処置  

2021.01.07

福岡県にて新型コロナ陽性患者 約9500人分情報流出

  2021年1月6日福岡県が管理している新型コロナ患者の名前や住所など、およそ9,500人分の個人情報がインターネット上に漏れていたことがわかりました。 今回、インターネット上上で、第3者がアクセスできるようになっていたのは、福岡県が作成した新型コロナの陽性患者に関する複数のファイルとなるようです。 ファイル内容の詳細 確認された内容は下記の通りです。 ・氏名 ・年齢 ・住所 ・症状 上記内容が掲載された患者一覧表になります。   経緯 福岡県は今回の事故の経緯として下記の通り公表しています。 ・ 令和２年４月、新型コロナ陽性者の入院調整のため、調整本部が作成した陽性者のデータを医療関係者間においてクラウド上で共有を開始。 （このクラウドは、調整本部から送られた特定のURL指定によりフォルダに直接アクセスするか、又は調整本部からアクセス権を付与された者しか利用できない。） ・ １１月３０日、調整本部から医療関係者１名へ患者情報等が含まれるファイルが入ったフォルダのアクセス権が付与されたメールを送信。 その際、本来送付するべきアドレスと酷似していた男性のアドレスあてに誤送信。 ・ 同日、同男性から宛先を間違っている旨、調整本部に連絡があり、即日、上記ファイルが含まれるフォルダについて同男性のアクセス制限対応を実施したが、個別のファイルへのアクセス制限がなされていなかったため、ファイルのURLに直接アクセスすれば利用可能な状態が継続。 ・ 令和３年１月６日、一部報道機関からの取材により、個人情報の漏えいが発覚。 ※福岡県公表内容より一部抜粋   本事故の影響 新型コロナ陽性者の情報は個人情報保護法上の要配慮個人情報に該当します。 要配慮個人情報には一般の個人情報より厳しい管理義務（第三者への提供には必ず本人同意が必要など）が課されています。福岡県条例でも、こうした「要配慮個人情報」の収集が原則禁止されています。   今回は個人情報の取扱いにおいて、個人情報保護法ではなく福岡県個人情報保護条例が適用されますが、こうした「要配慮個人情報」の収集が原則禁止されています。 例外的に行政事務目的達成のため広く認められているため、収集・利用されているものと考えられます。   漏えい等が起きてしまった場合、本人への影響としては差別などが考えられます。   以前に愛知県でもコロナ感染者の情報が一時的にインターネット上に公開された事故がありました。 インターネット上に公開され、コピー等されてしまうと完全に削除されることはないものと考える必要があります。   半永久的に漏えいした人の病歴の情報がインターネット上に残ることは精神的な苦痛を伴うものとなります。   今後の対策 まだ、福岡県も再発防止策等の公表までは行っていませんが、クラウドサービス上での共有の際に起きたアクセス権の誤設定なるため、アクセス権付与時の設定確認などが考えれます。   クラウドサービスは便利ですが、要配慮個人情報をクラウドサービスで管理する際には通常以上にリスクを想定・分析し、アクセス権等を付与する人もチェックを厳重にすることが大事と言えるでしょう。