2020.10.19

コロナ感染者の行動履歴を把握することは個人情報保護法上良いのか？

連日、コロナウイルスの感染者の情報がテレビやネットなどで見かけますが、感染者の方の行動履歴が詳細に公開されていることに疑問を感じることもあるのではないでしょうか。 「どこに行ったか全部公開されて怖い」 「個人情報保護ってどうなってるの？」 「自分の行動が公開されるのは感染より怖い」 こう言った意見を実際に耳にしたりしています。 また、国や行政機関もコロナウイルスに絡んだ情報の積極公開と個人情報保護に関しては板挟み状態だ。とコメントをしており、対応に苦慮する部分もあります。 今回はなぜこういったことが法的にOKになっているのか、個人情報の取り扱いの観点から触れていこうかと思います。   【個人情報保護法上どうなってるの？】 まず個人情報保護法上、どうなっているかですが今回行動履歴を収集しているのが、主に国の機関や地方公共団体になります。 こう言ったところは個人情報保護法2条5項の中で個人情報取扱事業者から除外されています。 ですので、個人情報保護法上、何か制約が課せられたり、罰せられることはありません。 つまりこう言った機関に対して個人情報保護法の義務を課すことは出来ないことになってきます。 では、法的に制限が一切ないのでしょうか、、、そう言ったことはありません。 国の機関や地方公共団体が拘束される法律もあります。 それは行政機関個人情報保護法や各地方公共団体の個人情報保護条例です。 個人情報保護法が主に民間企業を対象にした法律であれば、行政機関個人情報保護法や個人情報保護条例は国や地方公共団体を対象にしたものになります。 ※個人情報保護条例はその地域の企業も対象にしています。     【行政機関個人情報保護法などでどう書かれているか】 行政機関個人情報保護法の8条2項の2では「行政機関が法令の定める所掌事務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当な理由のあるとき」という条文があります。 ※行政機関個人情報保護法の8条2項の2から引用 恐らく、行政機関はこの条文を根拠に感染者の個人情報を収集・取得しているものと思われます。 各自治体や国の会見を見ている限り、会見の中では氏名などの公表はなく、世間一般に個人情報は公開されていない状況です。 ただ、行政内では細かな行動内容の把握をするために個人情報を取得・収集・解析を行っている状況です。 マスコミなどはぼかしがある状況ですが、感染者の方の行動に関する動画を出したりしておりますが、マスコミは元々個人情報保護法の中でも対象外に定まっているので、直接的な個人情報保護法の規制が報道に関する部分では規制されない状況です。   【その他の法律でどう定まっているか】 今回のコロナウイルスに関して、情報公開などは他にどんな法律で定まっているのでしょうか。 1つ根拠して感染症法というものがあります。 この法律の16条では「発生状況や予防に必要な情報を積極的に公表しなければならない」と定められています。 ※感染症の予防及び感染症の患者に対する医療に関する法律16条から一部抜粋 感染拡大の防止や予防のために行動履歴などを公表している形になり、情報公開に関する根拠はこちらの法令が根拠として強いと言えます。 ただ、この法令でもどこまで公表すべきかが定まっていないため、個人情報保護との板挟みになって国や各自治体で情報公開の粒度に差があり、感染予防の弊害になっているとも言えます。 今回のような緊急事態だからと言って国も法律を無視して、個人情報を扱ったりはしていないので、その点は安心してもらいたいところです。   【まとめ】 2020年4月14日には新型コロナウイルスの感染者との接触を探知するアプリの発表もありました。 詳細は下記の記事に記していますが、公表の福祉と個人情報保護・プライバシーの保護のどちらを優先すべきか悩ましいところだと思います。 新型コロナウイルス感染者との接触を通知する携帯アプリについて個人情報保護の観点からの考察 【関連記事】 会社から感染したら教えろと言われたけど言わなくてOK？

2020.10.19

テレワークで個人情報を扱う上での3つの注意点

新型コロナウイルスの影響で現在、様々な規模・様々な業種の会社の在宅勤務が推奨されたり、完全にテレワークが推奨されたりしています。 こういったタイミングで新たな仕事のやり方を模索されてる会社が非常に多いのではないかと思います。 当事務所にもテレワークのルール構築や注意点の相談がよく来ます。 そういった会社の相談で一番多い悩みはテレワークを行う・推奨する上でどう個人情報を取扱わせるべきなのか。という点です。 今回はテレワーク・在宅勤務で個人情報をどう扱うべきなのか3つのポイントに絞ってお話したいと思います。   【テレワークと在宅勤務の違いって何？】 そもそもテレワークと在宅勤務って違うのでしょうか？よくテレワーク＝在宅勤務と考える方も多いですが、実は違います。 テレワークはそもそも、会社の外で仕事をすること全般を指しているため、家での仕事はもちろんですが、喫茶店での仕事するなど、外で仕事をすること全般を指します。 在宅勤務はその言葉の通りで、自宅で仕事をすることを指しています。   【ポイント1：パソコンはどうすべき？】 まず、仕事をする上でパソコンをどうすべきかが、課題になります。 普段からノートパソコンを持ち出し許可しているケースはそのままの運用で良いですが、ノートPCを持ち出し許可していない場合やそもそもデスクトップしかなく、自宅のパソコンで仕事させざる得ない場合などはどうすべきでしょうか。 ・会社PCを持って帰ってテレワークを認める場合 まず会社PCを持って帰る場合ですが、仕事で使っているパソコンがノートパソコンであれば、それを使わせるべきです。理由は誰がどのパソコンを使っているか把握しやすいからです。 ・自宅パソコンを使う場合 自宅のパソコンを使ってテレワークを認める場合ですが、最低限下記のことを従業員に認めさせるべきだと思います。 ・家族とは共有しているパソコンを使って仕事はさせない ・ウイルス対策ソフトが動いているパソコンを使う ・Winnyなど共有ソフトが入ってないこと   【ポイント2：紙資料はどうすべき？】 次に紙に記載された個人情報と言った紙資料ですが、これは基本的に持ち出して自宅に持って帰らせることは禁止にすべきです。 紙1枚からキングファイルに入った大規模な資料など量も様々ですので、紛失リスクが高いですし、基本的に1部しかなく他の人たちと共有もできず、コピーを認めて持って帰ろうものならもう収拾がつきません。 それであれば、紙資料はスキャンし、電子化した上でしかるべき場所からアクセスさせるべきです。 ちなみに個人情報保護法で個人情報を社外に持ち出すことを禁止している。みたいなことをネットで見たことがありますが、そんなことはありませんのでその点は安心してください。     【ポイント3：データへのアクセスはどうすべき？】 3つめですが、パソコンを使って個人情報のデータなどへのアクセスです。 これについてもUSBメモリでデータを持ち帰らせるのは基本的にNGです。個人の私用USBメモリを使わせることなんてもってのほかです。 手段の1つとしてはクラウド上にデータを保存できるサービスを会社で用意する形です。 BoxやOneDriveなどですね。 こういったところに、データを保存しておき、そこからダウンロード・アップロードをする形です。 もう1つは社内のファイルサーバなどに社外からアクセスさせることになりますが、こういったものはネットワークの設定の変更なども必要があり、すぐに利用することは出来ない可能性が高いです。 やる場合も専用のリモートソフトなども活用して、記録が残るようにしておくことが望ましいと思います。 どっちにしても自宅の個人パソコンには基本的にデータは保存させないようにし、残しても1時的でちゃんと然るべき保存場所にいれることが会社や従業員を守る上での必要なセキュリティ対策と言えます。  

2020.10.19

ネットに公開されてる個人情報って勝手に利用してもOK？

インターネット上に公開されている個人情報はどこまで勝手に利用して良いのか、疑問に思ったことってありませんか？ 例えば、行政書士会は登録されている行政書士をインターネット上で検索できるようになっています。     実際に、公開されているから。という理由だけでダイレクトメール等が来たことがある人もいるかと思います。 逆にビジネス上、使って問題ないか悩んでいる企業も多いとも思います。 こういった情報はインターネット上で公開されていますが、果たして勝手に利用して個人情報保護法上、問題ないのでしょうか・・・ インターネットに公開された情報であっても個人情報保護法の規制の対象になります。 今回はインターネット上での個人情報の取得等で個人情報取扱事業者(会社)が留意しなければならない点について説明していきます。   【個人情報収集時の留意】 インターネット上で入手できる個人情報について、収集・取得する場合は、個人情報保護法における「個人情報」の取得に関する規制の対象になります。 インターネット上での個人情報の取得の有無が問われる場面としては下記のようなケースが想定されます。 ① 情報を単に画面上で閲覧する場合 ② 情報を転記の上で検索可能な状態にした場合 ③ 情報が含まれるファイルをダウンロードしてデータベース化する場合 ④ 検索可能化・データベース化までせずにローカルPCに転記等した場合 ①の場合ですが、これは単に見るだけであるので、個人情報保護法ガイドライン通則編３−２−１では取得に該当しないとされています。 ②、③について個人情報保護委員会の公表しているＱ＆Ａでは「個人情報を取得したと解し得る」と表現されています。 もちろん、④についてもパソコンにコピーする行為も取得と解されるため。上記②から④の事例を含めて「取得」にあたり、個人情報保護法の規制がかかると考え行動すべきだと判断できます。   【個人情報の収集・取得時にすべきこと】 では、個人情報保護法の規制の対象になるとして、会社・事業者としては収集・取得時に何をしなければならないのでしょうか。 個人情報保護法の18条1項ではこう定められています。 個人情報を取得する場合、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を、本人に通知し、または公表しなければならない。 ※個人情報保護法18条1項から引用 つまり、自社のホームページでプライバシーポリシーなどの形で利用目的を公表する必要があります。 そうすることで「あらかじめその利用目的を公表している場合」をクリアすることが可能となり、インターネットから収集・取得した個人情報であっても本人への通知・公表は原則として不要となります。 【どのように利用してOKなのか】 3つ目にどのようにインターネット上で収集・取得した個人情報を扱ってOKか。です。 個人情報保護法では下記の通りに定められています。 あらかじめ公表し、または、本人に通知・公表した利用目的の範囲内でのみ利用できる。 ※個人情報保護法16条1項から引用 また、「その範囲を超えて利用する場合には、あらかじめ本人の同意を得なければならない」とも定められています。 ※個人情報保護法16条1項から引用 つまり、予めどう扱うを定めてそれを逸脱して利用するような事態になるのであれば、ちゃんと本人の同意を得る必要があります。 好き勝手に変えることも不可で「変更前の利用目的と関連性を有すると合理的に認められる範囲」と法律に定められています。   【まとめ】 結論として、インターネット上で公開されているとはいえ、れっきとした個人情報に該当し、利用するにあたっては個人情報保護法の順守が必要になります。 また、好き勝手に使ってはダメでちゃんと最初に利用目的を定めてそれを逸脱しないようにしないと法律違反に該当すると認識してください。 個人情報保護に関するお問い合わせはこちら  

2020.10.19

プライバシーマークで求められるリスク分析のやり方

プライバシーマーク(以下、Pマーク)の取り組みで最大と言って良い山場はリスクアセスメントと言えます。 リスクアセスメントで手を抜くとその後の取り組みに大きな影響が出てしまい、認証取得を目指す上で逆に大きな障害になってしまいます。 たかがリスクアセスメントされどリスクアセスメントというわけです。 今回はそのリスクアセスメントについて取り組みを行う上でのポイントを触れてみたいと思います。   【なぜ手抜きしてはダメなのか】 リスクアセスメントを手抜きしてはダメな理由としては大きく3つのことが上げられます。 特定した個人情報をベースにリスクアセスメントを行うため、手抜きをしてしまうと自社の個人情報に対するリスク・対策が見えなくなってしまう リスクアセスメントの結果、出てくるリスク対策は自社の個人情報管理のルールの元になるため、手抜きをするとルールにヌケモレが出る。 リスクアセスメントを手抜きすると情報漏えいにつながる心配事が見えないので、情報漏えいが実現してしまう可能性が一向に下がらない。 結論として、リスクアセスメントをしっかり行うことで会社の個人情報保護のルールがしっかりと出来上がってくると言えます。     【リスクアセスメントの進め方】 ではPマーク上のリスクアセスメントはどのように進める必要があるのでしょうか。 ISMSなどではある程度自由なリスクアセスメントが出来ますが、Pマークは逆に縛りが結構厳しいと言えます。 ポイントは下記の3つです。 個人情報のライフサイクル(取り扱いの流れ)に沿ってリスクアセスメントを実施する すべての個人情報が対象になる 取り扱いが同じものはグルーピングして構わない まず、リスクアセスメントを実施する際には個人情報の流れを把握してそこにどんなリスクが想定されるかイメージします。 例えば、①履歴書を受け取る→②面接で使用する→③書庫で保管する→④不採用だったので破棄する こう言った流れがあった場合に①～④をPマークでよく言われるライフサイクルに当てはめてどんなリスクがあるか想定します。 ※ライフサイクルは取得・利用・保管・移送・廃棄・委託と言った個人情報の流れのカテゴリを指します。 想定したリスクが実現しないようにするためにどんな対策があるか検討・決定し、それを書いていくわけです。 Pマークはすべての個人情報に対してリスクアセスメントを求めているのですべてが対象になりますが、取り扱いの流れ(ライフサイクル)が同じ個人情報についてはグルーピングし、まとめてリスクアセスメントを行って良いとしています。 ※余談ですが、、、審査ではよくライフサイクル上リスクがないフェーズはないと言われます・・・ 上記のようなものをリスクアセスメント結果として帳票にまとめ結果を残す必要があります。   【残留リスクとは】 また、リスクアセスメントを行った際には必要に応じて残留リスクを把握し、管理する必要があります。 以前のPマーク状は残存リスクという言葉でしたが、2017版になり残留リスクとなりました、。 要求事項であるJISQ15001：2017のA3.3.3では残留リスクについて「現状で実施し植える対策を講じた上で、未対応部分を・・・」と記述しています。 つまり、リスク対策を行った上で未対応となった部分について残留リスクとして把握し、管理を行うことを求めています。 昔よくあったのが、「ダブルチェックを行う」というリスク対策を書いたら、「チェック漏れが起きてしまう」という残存リスクを書かれるケースがありましたが、こういった堂々巡りになるようなものはは対策を講じた上で、残りうる未対応部分とは言えないので、書く必要はありません。 Pマーク上のリスクアセスメントはやり方はある程度決まっているものになりますが、奥が深くポイントを把握してないとなかなか抜け出せなくなります。 Pマークを効率よく取得することを目指す場合、知見を持つ専門家への相談は不可欠になります。

2020.10.19

プライバシーマークで求められる個人情報保護方針ってどんなものですか？

プライバシーマーク(以下、Pマーク)を取得する際には必ず「個人情報保護方針」というものを作成する必要があります。 最近はPマーク云々関係なく様々な会社で個人情報保護方針(プライバシーポリシー)を作成していますが、Pマーク取得を目指す上ではどんな内容でもOKというわけではありません。 今回はPマークで必要になる個人情報保護方針について規格であるJISQ15001:2017の内容も踏まえて触れていきます。   【個人情報保護方針とは】 そもそも個人情報保護方針はなんなんでしょうか。 結論を言ってしまうと、会社としての個人情報の取扱について宣言した文書になります。 会社がどんな考えを持って、個人情報を扱いうのか、どのように管理をするのかを謳った文書になります。 また、こういった文書は単に作っていても意味がありませんので、社内外に周知をはかるためにもWebサイトに公表したり、オフィスに掲示したりして周知を行います。 社外の人からすると会社がどんな考えを持っているのか知るためのものになりますし、従業員の方々からすると自分たちがどうすべきかを知るための文書にもなります。(遵守すべき具体的なルールは個人情報保護方針に記載することはありませんが・・・)     【内部向け個人情報保護方針】 Pマークでは規格であるJISQ15001:2017附属書Aにて「内部向け個人情報保護方針」と「外部向け個人情報保護方針」を分けて記述しています。 A3.2.1である内部向け個人情報保護方針では a) 事業の内容及び規模を考慮した適切な個人情報の取得，利用及び提供に関すること［特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い（以下，“目的外利用”という。）を行わないこと及びそのための措置を講じることを含む。］。 b) 個人情報の取扱いに関する法令，国が定める指針その他の規範を遵守すること。 c) 個人情報の漏えい，滅失又はき損の防止及び是正に関すること。 d) 苦情及び相談への対応に関すること。 e) 個人情報保護マネジメントシステムの継続的改善に関すること。 ※JISQ15001:2017附属書Aから一部抜粋 上記のような文言が書かれています。 つまり個人情報保護方針には上記a)～e)を文書に書いて個人情報保護方針を作る必要があるわけです。 これらの内容をできるだけコンパクトにまとめ自社の文章として仕上げていくことがポイントになります。 特に「事業の内容及び規模を考慮した適切な個人情報の取得，利用及び提供に関すること」などは会社の特色が出る部分になります。   【外部向け個人情報保護方針】 JISQ15001:2017附属書Aではもう1つ「外部向け個人情報保護方針」があります。 これは外部に公表する個人情報保護方針についてのプラスアルファの要求になり、下記をプラスすべきと書かれています。 a) 制定年月日及び最終改正年月日 b) 外部向け個人情報保護方針の内容についての問合せ先 ※JISQ15001:2017附属書Aから一部抜粋 いつ制定・改訂されたものか、問い合わせ先を明確にする。などが必要になります。 また、規格内には「一般の人が入手可能な措置を講じること」と記載されています。 HPに掲載するなど、外部の人たちに周知するための対応をしなければならないことまで求められています。   個人情報保護方針1つとってもなんでもOKなわけではありません。 ちゃんと規格と自社の内容を合わせて作成する必要があるので、注意が必要になります。

2020.10.19

プライバシーマークで求められる文書規定について

プライバシーマーク(以下、Pマーク)の取得に向けた取り組みの中で必ず求められるものが、「文書」です。 いわゆる社内規程としての個人情報保護規程やJISQ15001:2017附属書Aについての取り組みの中で文書化が求められているものについて手順を含めた文書の作成が必要になります。 実際に作成した文書はPマークの申請時には審査機関に提出する必要もあり、作成出来ていなかったらPマークを取得することは出来ません。     【文書化が必要なものについて】 JISQ15001：2017附属書Aでは下記について文書化することを求めています。 a) 個人情報を特定する手順に関する規定 b) 法令，国が定める指針その他の規範の特定，参照及び維持に関する規定 c) 個人情報保護リスクアセスメント及びリスク対策の手順に関する規定 d) 組織の各部門及び階層における個人情報を保護するための権限及び責任に 関する規定 e) 緊急事態への準備及び対応に関する規定 f) 個人情報の取得，利用及び提供に関する規定 g) 個人情報の適正管理に関する規定 h) 本人からの開示等の請求等への対応に関する規定 i) 教育などに関する規定 j) 文書化した情報の管理に関する規定 k) 苦情及び相談への対応に関する規定 l) 点検に関する規定 m) 是正処置に関する規定 n) マネジメントレビューに関する規定 o) 内部規程の違反に関する罰則の規定 ※JISQ15001：2017附属書Aから抜粋   上記には15個の項目があります。 つまり、この15個の項目について文書化されたものが必要になります。 すごく膨大な量に見えます。 ただ、一点気をつけてもらいたいのはアルファベットの書かれている内容の語尾はすべて「規定」であって「規程」ではありません。 つまり、a)～o)についてすべてを個別の冊子として作る必要はなく、上記についてルール・手順や取り決めがあれば問題ありません。   【文書のまとめ方について】 附属書A内で文書化が求められているものについて、文書の数やページ数は特段定められていません。 付属書Aや審査の基準の中で文書・手順が求められるものについてしっかりまとまっていれば、問題なく15冊でも1冊でもPマークを取得することは可能です。 後は実際に会社として取り組む上でどの程度の文量や手順の細かさ、精密さが必要になるかです。 このあたりについては会社の規模や経営者の考え方で変わってくる部分にもなりますので、取り組みを進める上での要相談事項になってくると考えてもらえればと思います。