Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

規則を踏まえた個人情報保護法改正の実務対応

2 052 vues

Publié le

2016年8月2日に、個人情報保護法改正を受けた「個人情報の保護に関する法律施行令の一部を改正する政令」及び「個人情報の保護に関する法律施行規則」がリリースされました。これらの政令及び規則を踏まえて、企業の個人情報管理の実務的な視点から、改正点を盛り込んだ個人情報管理規程の雛形を紹介し、業務フローの変更方法を解説します。

Publié dans : Droit
  • Soyez le premier à commenter

規則を踏まえた個人情報保護法改正の実務対応

  1. 1. 1 TMI 総合法律事務所 弁護士 大井哲也 【公開用レジュメ(※実際のレジュメのサマリー版です。)】 新政令・規則を踏まえた 個人情報保護法改正の実務対応
  2. 2. 本日のテーマを押えておく意義 法制度としては・・・ 1. 個人情報保護法改正(本日のテーマ) 2. 個人情報保護法ガイドラインの改訂 3. 不正競争防止法(営業秘密の管理)改正 4. 法施行令・個人情報保護委員会規則のリリース 社会的背景としては・・・ 1. 個人情報・ビッグデータの活用促進 2. 情報漏洩や内部者の情報の持ち出し事案の多発 2 はじめに
  3. 3. 3 TO DO LIST 1.個人情報保護法の改正点の理解 2.個人情報保護法改正により自社の取扱いを変更すべき 点の洗い出しと規程・運用フローへの落とし込み 3.情報(個人情報・営業秘密ともに)セキュリティ体制 に対する監査
  4. 4. I 個人情報保護法改正の目的 4
  5. 5. 1. ビッグデータの利活用促進とグレーゾーンの明確化 ICT 分野の通信技術とデータの大量処理を可能とするデータ処理技術の 爆発的な進化 [例] 購買履歴、移動履歴、Web・アプリの閲覧・使用履歴などのライフログ マーケティング目的や、災害復旧、都市開発など公共目的利活用 個人のプライバシー侵害リスク どのような情報が個人情報の定義に該当するのか否かが明らかでない。 個人情報を明確に定義し直す必要(いわゆるグレーゾーン問題) 5 個人情報保護法改正の目的(1)
  6. 6. 6 2. 企業活動のグローバル化への対応 (パーソナルデータの域外移転規制) インターネットの普及や、日本企業のグローバル展開 企業が保有するパーソナルデータは、日本居住者の情報のみならず、EU、アジア、 アメリカなど世界各国の居住者の情報も。 諸外国では、EU のパーソナルデータ保護指令のように、国内で取得した パーソナルデータを十分な保護レベルが認定されない EU 域外の国に Transfer(移転)することを禁止する規制を採用する国が多い (パーソナルデータの域外移転規制)。 日本の現行個人情報保護法にはなかった概念 ⇒ 今般の改正で初めて採用される規制 個人情報保護法改正の目的(2)
  7. 7. 3. 日本の個人情報保護法の制度としての保護レベルの向上 ① 機微情報(センシティブ情報)の概念がない ② 個人情報保護の監督機関である第三者機関・コミッショナーが 設置されていない ③ 5000人以下の個人情報を扱う企業については免除規定がある ⇒ 個人情報の保護レベルが低いと評価 日本への情報流入を阻害している要因 [例]EUから見て日本の個人情報保護レベルが十分であると 認定されていないため、EU の域外移転規制に抵触 7 個人情報保護法改正の目的(3)
  8. 8. II 個人情報保護法の解説 8
  9. 9. 改正の一番の目玉 「個人情報」とは、 生存する個人に関する情報であって、当該情報に含まれる氏名、 生年月日その他の記述等により特定の個人を識別することができるもの 他の情報と容易に照合することができ、それにより特定の個人を 識別することができることとなるものを含む。 9 個人情報保護法の解説 1. 個人情報の定義の明確化(顔認識データ、会員IDなど)
  10. 10. 人種、信条、社会的身分、病歴、犯罪被害を受けた事実及び前科・前歴 本人に対する不当な差別又は偏見が生じないようにその取扱いについて 特に配慮を要するいわゆる機微情報(センシティブ情報)が含まれる個人情報を 「要配慮個人情報」として新たに定義 ① 同意を得ない取得を原則として禁止する(改正法2条3項、17条) ② 同意を得ない第三者提供の特例(オプトアウト)の対象から除外する (改正法23条2項柱書) 新たに整理された「個人情報概念」及び個人情報のうちの機微情報を明確に カテゴライズして、プライバシーポリシー、個人情報管理規程・細則、 個人情報の管理フローを再構築する必要がある。 10 個人情報保護法の解説 2. センシィティブ情報(人種・信条・病歴)の取扱い
  11. 11. 個人情報の第三者提供に係る確認及び記録の作成義務 ① 個人情報データベース等の提供を受けるときは、個人情報データベー ス等を取得した経緯等を確認し、提供を受けた提供の年月日、当該確認に 係る事項等の記録を作成し、一定の期間保存する。 ② 個人情報データベース等の第三者提供をしたときは、提供の年月日、 提供先の氏名等の記録を作成し、一定の期間保存する。 個人情報保護法の解説 4. 個人情報の漏えい防止策、名簿屋対策 11
  12. 12. 個人情報及び匿名加工情報の取扱いに関する監督等の事務をつかさどる 内閣府の外局機関 = 個人情報保護委員会 を設置 マイナンバー法の監督機関である特定個人情報保護委員会を改組 [例]公正取引委員会や国家公安委員会と並び、独立性の高いいわゆる三条委員会 現行の主務大臣の有する報告徴収、命令、認定個人情報保護団体の認定等 の権限 + 立入検査の権限等を付与 12 個人情報保護法の解説 5. 個人情報保護委員会の新設
  13. 13. 外国にある第三者への個人データの提供に関する規定の整備 個人情報取扱事業者が、個人データを「外国にある」「第三者に」「提供する」場 合、下記のいずれかの要件を満たす必要あり。 ①「外国にある」「第三者に」提供することの本人の同意 ② 日本と同等の水準にあると認められる個人情報保護の制度を有している 国として個人情報保護委員会が定める国(未定)にある第三者に提供 すること。 ③ 第三者が、個人情報保護委員会規則で定める基準に適合する体制 (情報セキュリティ体制)を整備していること。 13 個人情報保護法の解説 6. 国境を越えた個人情報保護法の適用
  14. 14. 第三者に提供される個人データ(要配慮個人情報を除く。) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止する こととしている場合で、次に掲げる事項について、個人情報保護委員会規則で定める ところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くと ともに、個人情報保護委員会に届け出たときは、当該個人データを第三者に提供する ことができる。 一 利用目的 二 第三者に提供される個人データの項目 三 第三者への提供の方法 ⇒ 個人情報保護委員会による公表 四 本人の求めに応じて第三者への提供停止 五 本人の求めを受け付ける方法 14 個人情報保護法の解説 7. 本人同意を得ない第三者提供(オプトアウト規定)の届出、公表等
  15. 15. 個人情報取扱事業者は、 利用目的を変更する場合には、 変更前の利用目的と「相当の」(※削除された)関連性を有すると 合理的に認められる範囲 を超えて行ってはならない。 15 個人情報保護法の解説 8. 利用目的の変更を可能とする規定の整備
  16. 16. 取り扱う個人情報が少量である場合の個人情報取扱事業者からの 除外規定を削除 16 個人情報保護法の解説 9. 取り扱い個人情報が5,000人以下の小規模取扱事業者 への対応
  17. 17. 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、 個人データを正確かつ最新の内容に保つとともに、 利用する必要がなくなったときは、 当該個人データを遅滞なく消去するよう 努めなければならない。 17 個人情報保護法の解説 10. 個人情報取扱事業者による努力義務への 個人データの消去の追加
  18. 18. 情報主体が、個人情報取扱事業者に対して開示、 訂正等及び利用停止等の請求を行う権利を有することを明確化 本人は、個人情報取扱事業者に対し、当該本人が識別される 保有個人データの開示を請求することができる。 18 個人情報保護法の解説 11. 開示等請求権の明確化
  19. 19. III ビッグデータの解析 利活用サービスのための対応例 19
  20. 20. データ入手 入手する生データの選別 プライバシー侵害とならないよう情報主体へのインフォームドコンセント データの加工 ⇒ 安全管理措置 個人情報保護法改正項目 第三者への提供 個人情報改正項目(再識別禁止・公表) 匿名加工情報の提供先と締結すべき契約 (再識別禁止を含む利用目的の制限・著作権の帰属) 20 データ入手~加工~第三者提供までのライフサイクル
  21. 21. 21 氏名 住所 性別 年齢 商品 都市 購入日 N/A A市 N/A 30~39 商品A 都市D 2013/1/16~20 N/A A市 N/A 30~39 商品B 都市F 2013/1/6~10 N/A A市 N/A 30~39 商品A 都市D 2013/1/16~20 N/A A市 N/A 40~49 商品A 都市E 2013/1/16~20 N/A A市 N/A 40~49 商品C 都市G 2013/1/11~15 N/A A市 N/A 40~49 商品A 都市D 2013/1/16~20 N/A A市 N/A 20~29 商品A 都市D 2013/1/21~25 N/A A市 N/A 20~29 商品A 都市E 2013/1/21~25 N/A A市 N/A 30~39 商品C 都市G 2013/1/11~15 N/A A市 N/A 30~39 商品B 都市F 2013/1/21~25 N/A A市 N/A 30~39 商品A 都市D 2013/1/16~20 N/A A市 N/A 30~39 商品A 都市E 2013/1/16~20 N/A A市 N/A 20~29 商品A 都市D 2013/1/16~20 N/A A市 N/A 20~29 商品B 都市E 2013/1/11~15 N/A A市 N/A 20~29 商品A 都市F 2013/1/21~25 N/A A市 N/A 20~29 商品A 都市D 2013/1/16~20 ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ 適法なデータ加工方法 加工後のデータセット ② 本データセットからすると、商品Aを、1月16日から同月20日までに都市Dで購入した 者が多い傾向にある:リアルタイムに消費動向を把握し、過去のデータと比較するなど してトレンドを見極めることが可能となる。
  22. 22. IV グローバルサービスのための対応例 22
  23. 23. グローバルに事業展開する日本企業が、海外の顧客や社員情報を 収集する場合 個人情報:海外 ⇒ 日本への移転 ⇒ 顧客や社員の居住国のパーソナルデータの国外移転規制を クリアする必要 23 ケースⅠ | 海外から日本への移転
  24. 24. 日本の顧客や社員情報を海外拠点に移転して保管・利用する場合 ・海外のデータセンタ、クラウドサービスを利用する場合 ・海外所在の現地法人が日本人の個人情報を解析・利用する場合 個人情報:日本 ⇒ 海外への移転 ⇒ 日本の改正個人情報保護法の国外移転規制をクリアする必要 24 ケース II | 日本から海外への移転
  25. 25. システム面での視点 1.社内基幹システム(特に、人事情報を管理するシステム)の グローバル統合化案件 2.各海外拠点のサーバを東京に一括集約する案件 3.クラウド・サービス導入案件 サービス面での視点 1.リアルの海外拠点設立 2.インターネットを利用した海外でのサービス提供の開始 3.クラウド・サービスを利用した海外でのサービス提供 25 世界各国に拠点やサービス提供している事業者
  26. 26. 個人情報保護法改正によって、日本が、十分なデータ保護レベルを 確保する国として認定 1が、もし、できなければ 個人情報の移転元と移転先とのEUモデル契約に基づく契約の締結 2が、もし、できなければ EU居住者が自己の個人情報が、EU域外移転することに対する同意 26 EU データ保護指令(規則)のクリアランス 1 2 3
  27. 27. Phase 1 TMI 東京オフィス  グローバルレベルでの世界各国の個人情報保護規制をイニシャル・レビュー  要注意国及び要注意規制(事業遂行に致命的な規制)の絞り込み  世界各国の法律事務所に対するリサーチ事項、オーダーの特定 Phase 2 TMI 東京オフィス  TMI のグローバルネットワークを通じた世界各国の法律事務所に対する 調査依頼及び Legal opinion オーダー  TMI 東京オフィスから、世界各国の法律事務所作成の Legal opinion の レビュー・クオリティコントロール、修正指示及び追加リサーチ事項のオーダー 27 TMI の グローバル・サービス(1)
  28. 28. 28 Phase 3 世界各国の Local の法律事務所 Legal opinion の最終版(確定意見)の取得及び規制の クリアランス・アクションのサポート TMI 東京オフィスをハブとして、グローバルレベルでの リーガルリスクを一括管理 TMI の グローバル・サービス(2)
  29. 29. TMI 総合法律事務所パートナー弁護士 大井 哲也 - 経済産業省商務情報政策局情報セキュリティ政策室有識者ワーキンググループ委員 - クラウド利用促進機構(CUPA)法律アドバイザー - プライスウォーターハウスクーパース株式会社 - サイバーセキュリティセンターアドバイザリーボード 〒106-6123 東京都港区六本木6-10-1 六本木ヒルズ森タワー23F Mail:toi@tmi.gr.jp ご質問がございましたら下記まで 29
  30. 30. IT 分野における主な取扱分野 個人情報保護法・不正競争防止法に基づく情報管理体制の構築及び その充分性の監査 ビッグデータの利・活用のプロセス監査、適法性監査 ベンダ及びユーザ間のシステム・アプリ開発訴訟 フォレンジック調査を伴う情報セキュリティ・インシデント対応、 第三者調査委員会の組成 クラウド・コンピューティング導入・利用契約 インターネット・インフラ、コンテンツ、SNS に関する法務 マイナンバー法対応、マイナンバー法に対応した個人情報管理体制の 見直し 30
  31. 31. 66 法律分野 M&A、IPO 支援及び IPO 審査、企業間紛争・訴訟 産業分野 クラウドコンピューティング、アドテク、インターネット・インフラ/ コンテンツ、EC、ソーシャル・ネットワークサービス(SNS)、 アプリ・システム開発、情報セキュリティ・インシデント対応 ビッグデータ解析・匿名化・第三者提供サポート、 個人情報保護評価(PIA=Privacy Impact Assessment) 取扱分野(1)
  32. 32. 66 取扱分野(2) ビッグデータ利活用に関する産業分野 SNS サービス、EC サービス(決済代行サービスを含む。)、 ビッグデータ・アナリティクス(解析)ビジネス専業事業者、 ポイント管理ビジネス、携帯キャリア、自動車メーカー、 ポータルサービス、漫画、雑誌、小説、 ゲームなどコンテンツプロバイダー対象となるビックデータ、 移動履歴、位置情報、購買履歴、WEB閲覧履歴、 アプリ使用履歴バイタル(生体)データ
  33. 33. 67 取扱分野(3) パーソナルデータの国外移転に関する取扱分野 パーソナルデータの日本国内 ⇒ 海外移転に関するアドバイス - 海外クラウドベンダーによるクラウド利用 - 海外子会社・拠点での日本居住者情報の利用 パーソナルデータの海外 ⇒ 日本国内に関するアドバイス - グローバルレベルでのシステム(顧客情報DB・社員情報DB)統合化案件 - 共通インフラ(例:マイクロソフトのオフィス365)導入 - 海外にIDCが存するクラウド利用 - インターネットサービス、SNSサービスの海外展開案件

×