くろすろーどの定例会・実績報告
くろすろーど定例会レポート

くろすろーどの活動のメイン、人的ネットワークを広げるための交流会や自己の
スキルアップを図るための学習会を紹介しています。学習会のあとには必ず懇親会を用意し好評を博しています。
(なお講師の役職は講師をされた当時のものです。)

定例会報告

くろすろーど第50回定例会(勉強会&懇親会)
テーマ「個人情報保護法への対応法」
全体写真 講師
今回の定例会ですが、「個人情報保護に関する法令について」最近、ますます関心の高いテーマだと思います。私も仕事上、気を配ってはいるのですが、いざ、動こうと思うと非常に重い内容ですね。担当者泣かせの業務が予想されます。
以前にもこのテーマについてセミナーを受けたのですが、わかりずらく、「いったいなにをすればいいの?」という印象でした。今回わかりやすくご説明いただきましたので、非常に助かりました。川内さん感謝です。

クロスでは毎回息抜きさせていただいているように思えます。また、参考になるテーマと息抜きを期待します。どうも、ありがとうございました。(メンバーHMさん)

「とりあえず個人情報保護法は自分や自分の所属する会社/組織とは直接的には関係ないだろう」、とたかをくくっておりましたが、実際は思ったよりもいろんな企業・分野に適用されそうですね。講義内容も全般的に僕の苦手な法律的切り口でしたが、スマートな川内さんの説明のおかげで大変わかりやすかったです。おかげさまで僕を含め今回勉強会に参加した メンバーは、法律施行後コンプライアンス違反第一号としてメディアに取り上げられるスケープゴートにはならずにすみそうですね(笑)

今回の懇親会の会場もいつもよりfancyなところでよかったです。夜景も きれいだったし楽しかったです(実はしゃべってばっかりで夜景あんまり見てませんが(笑))。(メンバーTKさん)

おもしろかったし、職場でちょっとヒーロー気分が味わえました。
同じチームの新人さんが、個人情報保護法対策をまとめるよう求められていたのでレジュメをコピーしてあげました(著作権フリーとのこと)。
したら「何て頼りになる人なの!?」って神様みたいに感激されましたよ。気持ちよかった…!先生、ありがとうございました!!。(KHさんより)

[第50回くろすろーど定例会]
日時:2005年3月21日(振休)13:00〜19:45(懇親会は17:30開始)
場所:神戸商工貿易センター26F 第1会議室(神戸三宮)ほか
講師:川内康雄さん(弁護士/ITと知的財産の法律情報”法務ネット”)
テーマ:「個人情報保護法への対処法」
参加人数:80名(勉強会71名・懇親会69名)


▼定例会(勉強会)のダイジェスト

PART1 個人情報保護法施行までの背景

■個人情報保護への関心の高まり


内閣府平成15年9月調査(数年ごとに実施)
個人情報保護に関心がある 64.7%
       関心が無い 34.1%(年平均3%づつ「関心がある」が上昇)

■漏洩事件の多発

漏洩事件の「発覚」は増加傾向(=マスコミの取材対象となりやすくなった)

代表的先例
▼京都府宇治市住民基本台帳データ漏洩事件

宇治市がその管理に係る住民基本台帳のデータを使用して乳幼児検診システムを開発することを企図し,その開発業務を民間業者に委託したところ,再々委託先のアルバイトの従業員が上記データを不正にコピーしてこれを名簿販売業者に販売し,同業者が更に上記データを他に販売するなどしたことに関して、宇治市の住民らが、上記データの流出により精神的苦痛を被ったと主張して、宇治市に対し,国家賠償法1条又は民法715条(使用者責任)に基づき、損害賠償金(慰謝料及び弁護士費用)の支払を求めた事件。

情報を漏洩したものではなく、情報を管理している者に対する裁判が起こされた
第一審・原告請求認容慰謝料1万円・弁護士費用5000円を認容
控訴審・控訴棄却
上告審・上告棄却
全ての審級で宇治市が敗訴

今回の原告は3人だがもし集団訴訟が提起されていたら…全市民だと60億円!!
宇治市が委託業者に賠償請求したが、確定額は400万円…。


▼TBC個人データ流出事件

エステティックサロン「TBC」のホームページにアクセスして資料請求した人など約3万人分の個人情報が流出し、インターネットの電子掲示板に掲載されていたことが26日分かった。同社広報部によると、流出したのは2000年4月から2002年5月までの間にアクセスした人の氏名や電話番号などの情報。同社は流出ルートの確認を急いでいる。[5月27日/日本経済新聞]

この事件の特徴
・「2ちゃんねる」への書き込みによる漏洩、加害者不明
・P2Pソフトによる流通…回復不可能な被害の発生
・P2Pソフト使用者への賠償請求…プロバイダ責任制限法の活用
・TBCへの求償は事実上不可能(現在係争中)

▼ソフトバンクYahoo!BB個人情報流出事件

Yahoo!BBの会員情報約450万人分が流出した事件
発覚前に対応をし、会員1人あたり500円の金券送付で約40億円の資金負担
同じくローソンの56万人分の漏洩事件でも同じく500円の商品券送付
1人500円というのが、発覚前に事前対処した場合、今後の賠償額の基準になるのではないか?

■行政・規格の要請

JIS(日本工業規格) Q 15001(プライバシーマーク)
JIS(同) X 5080(ISMS…情報セキュリティーマネージメントシステム)

経済産業省の個人情報保護ガイドラインの発出
 契約に盛り込むべき事項を具体的に指示(個人情報保護法第22条部分)


PART2 最低限やっておかなければならないこと(即コンプライアンス違反)

■個人情報保護法の基本構造


「個人情報を漏洩したら個人情報保護法に基づいて損害賠償請求ができる?」
個人情報保護法自体には損害賠償の規定はない。
法律施行前は漏洩したときに損害賠償であるが、現在は個人情報を漏洩しても漏洩していなくても、個人情報保護ルールに違反すれば処罰される。もちろん漏洩したときには損害賠償。

■個人情報保護法の目次

第一章 総則(第一条−第三条)
第二章 国及び地方公共団体の責務等(第四条−第六条)
第三章 個人情報の保護に関する施策等
 第一節 個人情報の保護に関する基本方針(第七条)
 第二節 国の施策(第八条−第十条)
 第三節 地方公共団体の施策(第十一条−第十三条)
 第四節 国及び地方公共団体の協力(第十四条)
第四章 個人情報取扱事業者の義務等
 第一節 個人情報取扱事業者の義務(第十五条−第三十六条)
 第二節 民間団体による個人情報の保護の推進(第三十七条−第四十九条)
第五章 雑則(第五十条−第五十五条)
第六章 罰則(第五十六条−第五十九条)
附則

民間企業が気をつけなければならないのは第四章第一節「個人情報取扱事業者の義務」のところのみ。

法律を見てもわからないことが多いので各省庁によるガイドラインが非常に有用
代表例(経済産業省ガイドライン)
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
http://www.meti.go.jp/policy/it_policy/privacy/041012_hontai.pdf

■あなたの会社に個人情報保護法は適用されますか?

▼「個人情報取扱事業者」とは?


原則としては個人情報を取り扱っている事業者全て
過去6ヶ月間に個人情報のデータベース件数が5000件を超えたことがない場合は除外(全てのデータベースを合算、名刺を50音順に並び変えた一覧表や、氏名・住所・電話番号以外の項目のある名簿類も法律上はデータベースとして算入。)
これから先に一瞬でも超えれば適用(意外とかるくクリアしてしまう)

▼「個人情報」って何ですか?

個人情報の具体例(経済産業省ガイドラインでは)
本人の氏名
生年月日、連絡先等を本人の氏名と組み合わせた場合
防犯カメラに記録された情報等本人が判別できる映像情報
個人を識別できるメールアドレス(名前@会社名などの場合)
雇用管理情報

■今すぐ必ずやらなければいけないこと

やっていないといつでもコンプライアンス違反が発覚してしまう要求事項

▼「通知又は公表」(第18条1項)

所持している個人情報については、本人に通知するか公表するかしなければならない。
WEB:トップページから1回程度で到達できる場所への掲載
店舗:見やすい場所への掲示
通信販売:パンフレットなどへの掲載

書面で取得する場合は要注意(第18条2項)
アンケート・契約書など、WEBのフォームも含む
「あらかじめ」明示が必要

▽利用目的の特定(どこまで通知又は公表すればよいのか)
特定した利用目的の例
経済産業省ガイドラインより
・事例1
「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」
・事例2
「ご記入いただいた氏名、住所、電話番号は、名簿として販売することがあります。」
・事例3
例えば、情報処理サービスを行っている事業者の場合であれば、「給与計算処理サービス、あて名印刷サービス、伝票の印刷・発送サービス等の情報処理サービスを業として行うために、委託された個人情報を取り扱います。」
のようにすれば利用目的を特定したことになる。
勉強会
特定できていない利用目的の例
経済産業省ガイドラインより
・事例1
「事業活動に用いるため」…×
・事例2
「提供するサービスの向上のため」…×
・事例3
「マーケティング活動に用いるため」…×

▽特定の方法
最終的にどのような目的で利用するかの明示が必要
利用する個人情報の種類・入手先の明示は不要
事業の内容・業種からして本人が合理的に予想できる場合には、「○○事業におけるお知らせ、アフターサービス」との記載
第三者提供を目的としている場合にはその旨を
事業の特定は日本産業分類の中分類

▼利用目的による制限

「利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない」(16条1項)
ただし相当の関連性があると合理的に認められる場合には「利用目的を変更」することができる。(第15条2項)
合理性がある場合とは、「社会通念上本人が想定することが困難でないと認められる範囲内」(ガイドライン)

▼第三者提供の制限

原則
本人の同意無しには第三者に提供できない(第23条1項)
注意!子会社やフランチャイズ本部も法人が違えば第三者

例外
▽委託(同条4項1号)
いわゆる外注
委託先が委託元の業務遂行のためにのみ個人情報を利用するのであればOK
委託先が自己の独自目的のために利用するのであればNG

▽オプトアウト(同条2項)
要は「やめてといわれたらやめる」場合
方法:以下の4つの事項の予めの通知(又は知りうる状態におく)ことが必要
・第三者への提供を利用目的とすること。
・第三者に提供される個人データの項目
・第三者への提供の手段又は方法
・本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

▽共同利用(同条4項3号)
グループ企業等で共同して利用する場合等に活用
個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

・告知文の例
「当社は当社の子会社(子会社一覧へのリンク)と以下のお客様の個人情報を共同して利用いたします。共同して利用する者の利用目的は以下の通りです。お客様の個人情報の管理については当社が責任を負っております。(共同して利用するお客様の個人情報)
 氏名
 住所
 電話番号
 取引履歴
 (共同して利用する者の利用目的)                  」
 自社のサービスに関する情報のお知らせのため
この場合「やめてといわれたらやめる」必要はない。

▼実際にはどうするの?

▽個人情報の調査・特定作業
・会社の中にどんな個人情報が存在しているのか、すべて洗い出す。
・一覧表を作成することが多いのでこれも落とさないように。
・各業務の主体(一般社員・管理職・派遣社員・請負常駐者・アルバイト等)
・すべてに協力してもらう。
これらの作業はコツコツ地道に行うしかない。

▽よくある個人情報
すでに公表されている情報であっても個人情報に該当する
・アンケート
・名簿類(社員名簿、顧客名簿、ゴルフ会員名簿、紳士録)
・信用調査(興信所の調査結果等)
・健康診断結果
・社内報に個人名が掲載されているもの
・成績や表彰を受けた社員の記録

▽対象にすべき調査事項
名称・媒体・利用目的・収集者・保管場所・収集時期・保管年限等・第三者提供への同意の有無

■その次にやるべきこと

既にコンプライアンス違反だが、問題になったときに発覚してしまう要求事項

▼安全管理措置(第20条)

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止、その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

▼従業者の監督(第21条)

個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

▼委託先の監督(第22条)

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

▼保有個人データに関する事項の公表

▽公表事項(24条1項)
・個人情報取扱事業者の氏名又は名称
・すべての保有個人データの利用目的
・開示等の求めに応じる手続きの定めたときにはその内容
・保有個人データの取扱いに関する苦情の申出先
・認定個人情報保護団体の名称及び苦情の解決の申出先
▽公表方法
・本人の知り得る状態に置く
・本人の求めに応じて遅滞なく回答する
具体例:経済産業省ガイドラインより
問いあわせ窓口を設け、問い合わせがあれば、口頭又は文章で回答できる  よう体制を構築しておくこと。
店舗販売において、店舗にパンフレットを備え置くこと。
電子商取引において、問い合わせ先のメールアドレスを明記すること。

▼保有個人データの開示・訂正・利用停止等

開示等の求め
・本人への保有個人データの開示(25条)
・誤った保有個人データの訂正(26条)
・不正利用又は不正取得された保有個人データの利用停止(27条)
・開示等の求めに応じる手続(29条)
・手数料(30条)

そこで、保有個人データとはデータベース化された個人情報で6ヶ月以上保有予定のもの

■個人情報保護法違反への制裁

主務大臣からの勧告・命令(34条)
緊急性が無い場合…勧告(同条1項)後是正されなければ命令(同条3項)
緊急性がある場合…命令(同条2項及び3項)
 →命令違反…6月以下の懲役又は30万円以下の罰金(56条)

制裁インパクトは?法律上のペナルティは実は軽い
(行政機関個人情報保護法ではいきなり重い刑罰)
怖いのは社会的制裁…個人情報保護ブームの中、マスコミの格好のネタになる

講師の川内康雄さんホームページ「法務ネット」では法律系ニュースのピックアップや企業法務Q&Aを掲載しています。無料で質問もできますので是非ご利用ください。
http://www.homu.net/
アイスブレイキング

アイスブレイキング

アイスブレイキング

アイスブレイキング

アイスブレイキング

アイスブレイキング

アイスブレイキング

アイスブレイキング

アイスブレイキング

アイスブレイキング

アイスブレイキング

アイスブレイキング

アイスブレイキング

アイスブレイキング

アイスブレイキング

勉強会

勉強会

▼懇親会のようす

懇親会

懇親会

懇親会

懇親会

懇親会

懇親会

懇親会

懇親会

懇親会

懇親会

懇親会

懇親会

懇親会

懇親会

懇親会

懇親会
懇親会 懇親会 懇親会