ITをめぐる法律問題について考える このページをアンテナに追加 RSSフィード

2017-02-17

個人情報関連Q&Aが公表になってます

個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&Aが、個人情報保護委員会Webサイトで公表されています。コチラ


全部読めてませんが、ぱっと見たところ少し気になったのが以下のQA。

Q10−3 訴訟代理人の弁護士裁判所に、訴訟の相手方に係る個人データを含む証拠等を提出する場合、記録をしなければなりませんか。

A10−3 訴訟追行のために、訴訟代理人の弁護士裁判所に、訴訟の相手方に係る個人データを含む証拠等を提出する場合は、「財産の保護のために必要がある」といえ、かつ、一般的に当該相手方の同意を取得することが困難であることから、法第 23 条第1項第2号に該当し得るものであり、その場合には記録義務は適用されないものと考えられます。

どうしてこのような回答になったのかが謎です。

財産に関わらない訴訟もあるので、その場合はどうするのか。例えば財産分与・慰謝料請求の一切ない離婚訴訟。これ、DV事案とかでなければ、生命・身体の保護とも言えないし。あとは、出版差し止め請求とか、情報公開請求とか、個人情報開示請求とか、発信者情報開示請求とか。私、一般民事の経験があまりないので、具体例がこの程度しか思いつきませんが、なんかもっといっぱいある気がします。

代理人ー本人間は第三者提供じゃないし、本人(代理人)−裁判所間は、法令に基づく第三者提供と解釈した方がよいのでは??

そうすると、法25条1項但書が適用になって、記録義務は適用されないことになるのでは??


Q1−8 オンラインゲームで「ニックネーム」及び「ID」を公開していますが、個人情報に該当しますか。

A1−8 オンラインゲームにおける「ニックネーム」及び「ID」が公開されていても、通常は特定の個人を識別することはできないため、個人情報には該当しません。ただし、「ニックネーム」又は「ID」を自ら保有する他の情報と容易に照合することにより特定の個人を識別できる可能性があり、そのような場合には個人情報に該当し得ます。また、例外的にニックネームや ID から特定の個人が識別できる場合(有名なニックネーム等)には、個人情報に該当します。

有名なニックネーム等だけじゃなくて、名前が入ったニックネームの人もいると思うので、Q1−4とリンクさせた方がよいのではないかと少し思いました。


Q5−10 介護施設の入居者の家族から、当該入居者に関する情報の提供の依頼があった場合、提供してもよいですか。

A5−10 個人データを第三者に提供する際には、原則としてあらかじめ本人の同意を得る必要がありますが、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であると認められる場合は、本人の同意を得ずに提供することができます(法第 23 条第1項第2号)。したがって、当該入居者の生命、身体又は財産の保護のために必要があり、当該入居者の同意を得ることが困難である場合は、当該入居者の同意を得ずにその情報を家族に提供することができると解されます。

回答としては、間違っていないものの、質問者の意図を考えたら、もう少し丁寧に答えた方がよいのでは?

入居者の日常生活とか食事の状況とか病気の状況とかそういうのを家族が知りたいと思うのは普通の気持ちで、それに事業者としてこたえてもいいかという話だと思われる。

介護日報みたいなものは個人データになっている可能性が高いので、この場合、第三者提供制限がかかる。もっとも個人データであっても、生命・身体・財産の保護があれば同意なく提供できるので、重大な病気の状況や、食事がほとんどとれていないといった情報は、同意なく提供可。

さらに、介護日報になっていなくて、介護士等が目視したり会話して得た日常生活や食事の状況などは、これは個人データではないので、この場合、第三者提供制限がかからない。

ただし、入居者本人のプライバシー権を踏まえ、入居時や入居後のいずれかのタイミングで、入居者と家族に対し、「入居者の日常生活とか食事の状況とか病気の状況とかを家族から知りたいというお申し出があった場合は、適宜、こちらからご家族にお教えしますが、良いですか?」ということを聞いておくべき。で、家族なしで入居者単独の状況にして、「家族にお話されたくないことはありますか?」と聞いて、記録を取っておいて、それは家族に伝えないようにした方が良い(但し、緊急時は除く)。

ちなみに、保育園や学校で、小さい子の状況を教師が家族に伝える場合は、親という法定代理人の同意があるということになるので、可能。入居者の場合は、家族が法定代理人(後見人等)になっていれば、小さいこと同じだけれども、そうじゃないと、同じにはとらえられないので、要注意。

ただ、子供も高校生とか中学生になってくると、微妙な問題を孕む。親はまだ親権者であり続け、法定代理人ではあるが、子どもプライバシーが出てくるため。各条例などで、個人情報の開示請求に対して、法定代理人による請求に一部、手続を付加しているのは、そのため。


Q5−18 株主総会開催の際、管轄の警察署に会場の警備を依頼しています。それに伴い、要注意株主のリスト(氏名、住所、持株数等)の提出を警察署から求められた場合、個人情報保護法との関係では、本人の同意なく提供することができますか。

A5−18 提供することができます。法第 16 条第3項第1号、第2号又は第4号、法第 23条第1項第1号、第2号又は第4号に該当すると考えられます。

この回答は、もう少し留保をつけるべき。ポリティカリーコレクトを考えた方がよいし、これ、場合によっては不法行為を構成する可能性があるので(要注意とは何か、その嫌疑は十分なのかなどなどの問題。そして、最大の問題は、これたぶん、強制捜査の事例ではないし。江沢民事件を踏まえる必要あり。)。ただ回答の方向性自体は理解できるので、もう少し留保をつけた回答にすればよいのに。上席者、これについてチェックしていたのかなと少し疑問。

2017-02-16

ミスドとマック

ミスドマック、両方で、サンリオコラボをするようです。

そんなにファーストフードを食べないので、どっちにするか悩みます…。

マクドナルドマイメロクロミハッピーセット。→ここサンリオ公式)&ここマクドナルド公式)

この中だとコースターとクロミミラーに惹かれます。

微妙に、ケーキが回るトーマスも気になります(笑)ケーキがなぜ回るのか。

ミスドは、キティちゃんプリンのランチボックス。→ここ

かわいい…。

2017-02-15

非識別加工情報関連がパブコメに

非識別加工情報関連がパブコメにでましたね!

非識別加工情報の提案書、書いてみようかな、と。

行政機関ガイドラインココ

行政機関用規則→ココ

余力があれば、パブコメに意見しようかと思います。

最近、日々〆切に追われ、クライアントから「今日中にお願いします」というような仕事が多く、その中で複数の仕事をやっていて、かつ事務所移転もしなくちゃいけないしで、バタバタですが、余力があればパブコメ意見書きたいと思います。

『自治体の実例でわかる マイナンバー条例対応の実務』

自治体の実例でわかる マイナンバー条例対応の実務〜地域情報プラットフォームから特定個人情報保護評価まで〜』が3月に出版予定です。

コンセプトは、自治体の現場に過負荷をかけることなく、適切な条例整備・運用、特定個人情報保護評価の実施・改善を図る!ということです。地プラを利用して庁内連携条例見直しを実際に4市で実施してくださいましたので、その事例と、水町作成様式を利用して特定個人情報保護評価書を実際に1市で作成してくださいましたので、その事例が掲載されています。

共著は、APPLIC吉本氏、宮崎県小林市、茨木県つくば市福島県白河市高知県南国市の方々です。

APPLICの皆様には大変お世話になり、感謝申し上げます。


【構成】

第1編 これからのマイナンバー実務に必要なことは何か

第1章 番号制度を適法に遂行し効果的に活用する

第2章 保護をめぐるマイナンバー条例の運用

第3章 先進事例でわかる利活用をめぐるマイナンバー条例の整備のポイント

第4章 わかりやすい特定個人情報保護評価書をつくる方法 

第5章 条例の精査・改正対応のために行うべきこと

第6章 今後のICTシステム・実務運用のポイント


第2編 実務対応

第1章 地域情報プラットフォームの活用で現状を可視化する

第2章 自治体における地プラの活用実例

ケース1 宮崎県小林市

ケース2 福島県白川市

ケース3 高知県南国市

ケース4 茨城県つくば市


資料編

地プラ連携確認シートのダウンロードについて

◆原課照会依頼書例

◆連携確認シートの実例

◆参考条例・規則


【本書の狙い】

本書の狙いを記載した文章を以下に貼っておきます。書籍冒頭に記載する「はじめに」用に書いた文章ではありますが、原稿段階からゲラ段階で大幅に改訂したため、ブログに貼るのは、原稿段階のもので、書籍に掲載されているものとはやや異なります。


地方公共団体ではこれまで、マイナンバー制度対応の準備に多大な労力を投下してきた。もっとも、マイナンバー制度は稼働後の今後こそが本番である。そのような状況下で浮かび上がってきている地方公共団体が抱える番号制度をめぐる課題について、地方公共団体において過度な負担とならないような、現実的な対策を提示することが、本書の狙いである。

マイナンバー制度を運用していくために、各地方公共団体条例を整備することが必要である。しかし、各地方公共団体条例整備状況には課題が多い。特に、地方公共団体の内部でマイナンバー情報(特定個人情報)を共有することは、全地方公共団体において想定されるものの、そのために必要な条例がいまだ精査されていない地方公共団体も非常に多い。複数の地方公共団体の感触を確かめたところ、マイナンバー条例については、多くの職員が課題を感じつつも、何をどのように精査・見直せばよいかわからないと感じているように思われる。

そこで、平成27年より、小職といくつかの地方公共団体にて共同で、マイナンバー条例の精査・見直し作業を行った。小職と地方公共団体の実際の作業結果を書籍とすることで、他の地方公共団体の参考となれば大変幸甚である。

そしてマイナンバー制度・マイナンバー条例のためには、ICTシステムが欠かせない。小職と地方公共団体作業においては、地方公共団体ICTシステムに対する豊富な経験・実績を有する一般財団法人全国地域情報化推進協会(以下「APPLIC」という。)に多大なるご協力をいただいた。特にAPPLICが所管する地域情報プラットフォームは、マイナンバー制度・マイナンバー条例の精査・見直しを省力化・効率化・正確化する仕組みである。本書では、小職がマイナンバー制度・マイナンバー条例の解説を行い、マイナンバーに関するICTシステムについてはAPPLIC吉本氏に解説していただき、そして実際にマイナンバー条例の精査を実施された地方公共団体に実務について解説いただく形となっている。

また特定個人情報保護評価をめぐっても、複雑・難解な評価書が多数公表され、特定個人情報保護評価を一体何のために実施するのかわからない状況も散見される。茨城県つくば市では、よりわかりやすい特定個人情報保護評価の実施を行っており、本書ではその点も合わせて解説していきたい。

マイナンバー制度は、付番自体が平成27年10月よりスタートしたものの、まだまだ今後発展していく制度である。具体的にいうならば、平成29年には全地方公共団体行政機関等間での情報連携がスタートし、平成30年には預貯金付番も開始される。さらには平成30年にはマイナンバー制度全体の見直しを行うことが法律で規定されており、マイナンバーの対象範囲の拡大も検討される予定である。このようにマイナンバー制度は、一度運用に供された後も、進展・発展が見込まれ、今後も地方公共団体においてはマイナンバー制度を運用していくことが求められる。そのためには、マイナンバー制度・マイナンバー条例の理解が必須であり、本書が少しでもその参考になれば幸いである。

本書執筆に当たっては、APPLIC有冨寛一郎理事長、松村浩事務局長、岡本勝美担当部長からさまざまな貴重なご指導を賜り、大変お世話になった。また共著者であるAPPLIC吉本明平担当部長には、その豊富な自治体ICTに関するご経験を基に、大変精緻な連携確認シートを作成いただいたり、さまざまなご指導をいただいた。

宮崎県小林市福島県白河市高知県南国市茨城県つくば市には、通常業務でご多忙の中、マイナンバー条例の精査・見直し作業を迅速に行っていただき、心より感謝申し上げる。また自治体の現場を知らない筆者に対して、現場の疑問・ご意見をご教示くださり、本書の内容であったり、条例の精査作業が、より現場に近いものになるよう、的確なご助言を賜った。心よりお礼申し上げる。


地方公共団体における番号制度対応の中でも特に喫緊の課題は、条例制定をめぐる問題である。条例制定が正確に行われることなく事務処理が行われれば、当該事務処理が違法であったり、プライバシー権を侵害するものと判断されるおそれもある。地方公共団体の事務は、法律条例に基づくことが大前提であり、正しい条例はまずもってクリアしなければならない課題である。

筆者(水町)はこれまで微力ながら、各地方公共団体条例制定支援を行ってきており、条例案についても別書(「施行令完全対応 自治体職員のための番号法解説[実務編]」(第一法規、2014年)で公表してきた。しかし地方公共団体からは、条例案そのものよりも、むしろ別表部分、すなわち、自団体における庁内連携の網羅的把握が課題であるという意見を多数頂戴した。筆者は地方公共団体実務を実際に遂行したことがないため、この点に関する助言を行うことがこれまでは困難であったが、APPLICの地プラとの出会いを経て、地プラを活用することで、多くの地方公共団体において課題となっている問題を解消できるのではないかと考えるようになった。そして、4つの地方公共団体宮崎県小林市福島県白河市高知県南国市茨城県つくば市)において、APPLICの協力を得て、実際に地プラを活用した条例制定を行うことができた。

そこで本書では、APPLICと4団体において実践した、地プラを活用することで番号制度対応条例を効率的かつ正確に制定する手法について詳しく解説していきたい。また、番号制度をめぐる課題は条例制定のみではなく、地プラ等を活用することで、そのほかの課題解決にもつながるものと考えられる。そのため、条例制定以外の課題についても、紙幅の許す限り、本書で解説していきたい。


番号制度が国民・住民、そして地方公共団体にとって真に役立つ制度になることを心より願って

弁護士 水町雅子

2017-02-10

事務所移転でバタバタ

事務所の移転を計画していて、その計画でバタバタしている中、年度内いっぱいの仕事の作業や年度内に刊行したい書籍のチェックとか、なんやかやといっぱいあり、かなりアタフタしています。

これで講演も多かったら、絶対に回っていなかったなと思っています。良かった〜。

でも2月中〆切の書籍原稿が一つあって、それが間に合わなそうな気が・・・

その後もさらに書籍が控えているし。どうなることやら。

事務所移転は、本当に考えるだけでいろいろ悩んでしまいます。

ちょうどいいサイズ(坪数)でいい場所の物件があまりなくて、「え?こんな裏通りでスナックが並んでいる通りのビルしかないの?」とか、「ここいいのに狭すぎる…」とか。

大体、大手は別として法律事務所なんて人数が少なすぎて、全然スペース自体はいらないんですよね。でもそういうサイズが小さいビルだと、チープな感じのビルが多くなってしまって、どうなの?って感じだし。なんかもうねえ、という感じです。

今一緒にやっている会社さんと一緒に移ると、そこそこのサイズが必要なんですが、そうすると今度はみんなの意見がまとまらない。「このビルの方がよかった」「こっちは嫌だ」とまとまらない。

そこにさらに、新オフィスのデザインを入れたいとかやっていると、もう、普通の仕事時間がどんどん削られて、どうしようという感じです。

どうなることやら。

でも、どうなんですかね。もう物件の見過ぎでだんだん感覚がマヒしていますが、裏通りで小さい飲み屋さんが並んでいる通りに、いくらビル自体は立派でも、そこに法律事務所が入るというのはいかがなものだろうとか思いますが、クライアントはあまり気にしないのでしょうか?やっぱり気にするような気もして。うーん。しかも裏通りで場末感がちょっとあるのに、賃料がすごく高かったりして、でもそこ以外は、サイズがちょうどいい物件がないとか、もうどうしたものかと。

基本方針に記載すべき事項

特定個人情報にしても、個人情報にしても、基本方針プライバシーポリシープライバシーステートメント)を作っている企業等が多いと思いますが、そこに記載すべき事項として、各ガイドラインの比較をしたいと思います。

1.基本方針の法的位置づけ

もともと、基本方針については、閣議決定されている「個人情報の保護に関する基本方針」の中で記述があるにとどまり、法的義務ではないと一般には解されます。もっとも一部のガイドラインでは、安全管理措置等の一環として、基本方針を作成することを重要視していますが、安全管理措置というよりも、個人情報保護法遵守、消費者との関係性構築、CSR等として、もっと高次のレベルから基本方針について捉えた方が妥当であると考えます。この考え方は、ガイドラインの中では、下記経済産業省の考え方に近いと思われます。なお、金融庁ガイドラインでは、作成・公表義務をガイドライン上課しています。


2.「個人情報の保護に関する基本方針

「個人情報の保護に関する基本方針」に以下の記述があります。

6(1) 事業者が行う措置の対外的明確化

事業者が個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシープライバシーステートメント等)を策定・公表することにより、個人情報を目的外に利用しないことや苦情処理に適切に取り組むこと等を宣言するとともに、事業者が関係法令等を遵守し、利用目的の通知・公表、開示等の個人情報の取扱いに関する諸手続について、あらかじめ、対外的に分かりやすく説明することが、事業活動に対する社会の信頼を確保するために重要である。


3.個人情報保護委員会の特定個人情報ガイドライン

以下の記述があります。

特定個人情報の適正な取扱いに関するガイドライン(事業者編)(本文及び(別添)特定個人情報に関する安全管理措置) 50ページ

A 基本方針の策定

特定個人情報等の適正な取扱いの確保について組織として取り組むため

に、基本方針を策定することが重要である。

手法の例示≫

* 基本方針に定める項目としては、次に掲げるものが挙げられる。

事業者の名称

関係法令ガイドライン等の遵守

安全管理措置に関する事項

質問及び苦情処理の窓口 等

行政機関・地方公共団体等ガイドライン51ページでは記述が薄い。

A 基本方針の策定

特定個人情報等の適正な取扱いの確保について組織として取り組むため

に、基本方針を策定することが重要である。


4.金融庁ガイドライン

金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針(平成17年1月6日金融庁告示第1号)10ページ 第10条の5(1)

金融分野における個人情報取扱事業者は、個人データの安全管理に係る基本方針

取扱規程等の整備として、次に掲げる「組織的安全管理措置」を講じなければならな

い。

組織的安全管理措置)

⑴ 規程等の整備

個人データの安全管理に係る基本方針の整備

個人データの安全管理に係る取扱規程の整備

個人データの取扱状況の点検及び監査に係る規程の整備

外部委託に係る規程の整備

⑵ 各管理段階における安全管理に係る取扱規程

取得・入力段階における取扱規程

利用・加工段階における取扱規程

保管・保存段階における取扱規程

移送・送信段階における取扱規程

消去・廃棄段階における取扱規程

漏えい事案等への対応の段階における取扱規程

金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針機複院1ページ

個人データの安全管理に係る基本方針の整備)

1−1 「金融分野における個人情報保護に関するガイドライン」(平成16年金融庁告示第67号。以下「ガイドライン」という。)第1条第1項に規定する金融分野における個人情報取扱事業者は、ガイドライン第10条第5項(1),亡陲鼎、次に掲げる事項を定めた個人データの安全管理に係る基本方針を策定し、当該基本方針を公表するとともに、必要に応じて基本方針見直しを行わなければならない

個人情報取扱事業者の名称

安全管理措置に関する質問及び苦情処理の窓口

個人データの安全管理に関する宣言

基本方針の継続的改善の宣言

関係法令等遵守の宣言


5.経済産業省ガイドライン

経産省ガイドラインココ

(2)個人情報保護を推進する上での考え方や方針の策定等個人情報取扱事業者は、「個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシープライバシーステートメント等)」を策定し、それをウェブ画面への掲載又は店舗の見やすい場所への掲示等により公表し、あらかじめ、対外的に分かりやすく説明することが、消費者等本人との信頼関係を構築し事業活動に対する社会の信頼を確保するために重要である。

個人情報取扱事業者は、一定の事項に関して公表しなければならないが(2-1-8 参照)、事業者の個人情報保護を推進する上での考え方や方針には、消費者等、本人の権利利益の保護の観点から、以下に掲げる点を考慮した事項を盛り込み、本人からの求めに一層対応していくことも重要である。

事業の内容及び規模を考慮した適切な個人情報の取扱いに関すること。

(ア)取得する個人情報の利用目的(法第18条関係)

すべての利用目的を列記するのではなく、事業内容を勘案して顧客の種類ごとに利用目的を限定して示すなど、事業内容の特性、規模及び実態に応じ、本人にとって利用目的がより明確になるようにすることが望ましい。

(イ)<個人データの取扱いの委託を行う場合>(法第22条関係)

事業内容の特性、規模及び実態に応じ委託処理の透明化を進めることを盛り込むことが望ましい。

個人データの委託を行うこと。

・委託する事務の内容

(ウ)<本人の同意なく第三者提供する場合>(法第23条第2項及び第3項関係)

・利用目的に第三者提供が含まれていること。

第三者に提供される個人データの項目

第三者への提供の手段又は方法

・本人の求めに応じて第三者への提供を停止すること。

(エ)<共同利用する場合>(法第23条第4項及び第5項)

・特定の者との間で共同利用すること。

・共同して利用される個人データの項目

・共同利用者の範囲

・共同して利用する者の利用目的

・共同して利用する者のうち、個人データの管理について責任を有する者の氏名又は名称

(オ)以下の保有個人データに関すること(法第24条、第25条及び第27条関係)。

個人情報の取得元又は取得方法(取得源の種類等)を可能な限り具体的に明記したり、本人から求めがあった場合には、ダイレクトメールの発送停止等自主的に利用停止に応じたりするなど、事業活動の特性、規模、実態を考慮して、本人からの求めに対応していくことを盛り込むことが望ましい。

・自己の氏名又は名称

・すべての保有個人データの利用目的

・「開示等の求め」に応じる手続(定めた場合に限る。)

保有個人データの利用目的の通知及び開示に係る手数料の額(定めた場合に限る。)

・苦情の申出先(認定個人情報保護団体の対象事業者※である場合には当該認定個人

情報保護団体の名称及び苦情解決の申出先を含む。)

(カ)開示等の求めに応じる手続に関すること(法第29条関係)。

申請書の様式(定めた場合に限る。)

・受け付ける方法(定めた場合に限る。)

保有個人データの特定に役立つ情報の提供

(キ)問い合わせ及び苦情の受付窓口に関すること(法第23条第5項、第24条第1項、第29条第1項及び第31条関係)。

個人情報の保護に関する法律を遵守すること。

個人情報の安全管理措置に関すること。

マネジメントシステムの継続的改善に関すること。

※「認定個人情報保護団体の対象事業者」とは、認定個人情報保護団体の構成員である個人情報取扱事業者(傘下企業)、又は団体が苦情処理等の業務を行うことについて当該団体と契約関係等にある事業者等


6.蛇足

最近、今更ではありますが、現行法の各省ガイドラインを読み込んでいます。そうすると、経済産業省ガイドラインはさすがに良く作りこまれているなと思います。あと金融庁ガイドラインも良いと思います。個人情報保護委員会ガイドラインも、先行例で充実したものがあるのだから、もう少し例示を厚くしたり、説明を補足するといいのになあ、と思いました。

2017-02-07

レインボーワールドレストランと内装

f:id:cyberlawissues:20170207111337j:image

ピューロランドに行ってきました。新しいレインボーワールドレストランで、かわいいものを食べました。

お昼ご飯としてはかわいい系のメニューではなく、がっつりしたお肉とかがあり、おやつ用にかわいい系のメニューがあるレストランでした。

内装がものすごくかわいくて、すごくよかったです! 館のレストランもリニューアルすればいいのに。

そういえば、事務所を移転するかもしれません。

かねてからデザイナーにオフィスデザインをやってもらいたかったので、移転後の事務所は、デザイナーさんにデザインしてもらいたいなと思って、デザイン会社を見ているところです。しかし、デザイナー会社さんも、結構個性的なところが多いみたいで、普通の事業会社とはコミュニケーションスタイルが違って、見積依頼するだけなのになぜかなかなか意思疎通が図れず、四苦八苦してしまっています。この分だと、仕事の合間にしかオフィスデザイン依頼の対応ができないから、デザイン会社さんがテキパキ応対してくれないと、こちらの時間がとれず、結局、デザインを入れずに事務所移転になりそうです…。

あと、電話事情が悪く、お客さまにご迷惑をおかけしておりましたので、携帯電話ではなく固定電話のシステムを刷新しようかなと思っています。