2014年08月06日

個人情報の識別性、誰から見て?

本日、平成26年度 プライバシーマーク付与事業者向け研修会に申し込みました。
http://privacymark.jp/seminar/2014member/index.html

「個人情報に関する法制度改正に向けた動き」といった議題もあり、少し期待しています。

申し込みフォームであらかじめ質問ができるようになっていたので、何か聞きたいことがあったな、と思いを巡らせていたら、ありました。

個人情報の識別性です。

個人情報保護法で個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)(個人情報保護法第2条1項)」となっています。

で、問題はこの場合の「識別することができる」とは、誰から見て「識別することができる」ことを指しているのか。

例えば、A社が自社が持つ個人データを匿名化し、B社に第三者提供する場合、すなわち、B社では特定の個人を識別できない「ユニーク番号、年齢、性別、嗜好」といった項目をA社がB社に第三者提供する場合、これは「B社において特定の個人を識別できないので第三者提供の制限は及ばない」と考えて良いのか、それとも、「それでもA社においてはユニーク番号によって特定の個人を識別できるわけであるから、B社で特定の個人を識別できるか否かにかかわらず、第三者提供の制限の要件を受け、あらかじめ本人の同意が必要である」のか、どちらなのか。

といったことを質問欄に書いたら、文字数オーバーでエラーに成った。(200文字以内だって。もう。)少し文字を省略して、何とか入れましたが。

弁護士の森亮二先生は、後者であるとおっしゃっているようです。
http://www.chubu.meti.go.jp/technology_jyoho/download/20130913/20130913moribengosi.pdf

もしかしたら、法律の専門家の分野では明確な結論が出ていることかもしれませんが、それでも前者であると捉えてマーケティングしている会社は実際にあるようです。

今回の法改正で、この部分がより明確になることを期待します。
posted by endo at 13:36| Comment(0) | TrackBack(0) | 日記

2014年06月26日

取引先と交換した名刺を使って広告メールや販促用のメルマガを送ることについて、本人の同意が必要か?

取引先と交換した名刺を使って広告メールや販促用のメルマガを送ることについて、本人の同意が必要か?

プライバシーマークの付与事業者専用サイトに明確に記述があります。
http://member.privacymark.jp/info/pms/34/post-21.php (Pマーク認定業者専用)
(引用)「(略)本人の事前の同意は不要です。この場合、取得の状況から、利用目的が明らかである範囲に含まれると考えて構いませんので、プライバシーマーク上でも問題ございません。 」

いまだに、勉強不足の審査員は「名刺交換した相手にメールマガジンを送る場合はあらかじめ同意が必要」などというので困ります。

ところで、この付与事業者専用サイトですが、言うまでもなくPマーク認定事業者しかアクセスできません。

なぜ、このような有益な情報を認定事業者にしか公開しないのかはわかりません。

また、このサイト、ログインIDとパスワードが認定業者に送られているはずなのですが、十分に活用されているとは思えません。
とてもいい情報なので、より利便性を高めて、より多くの関係者に利用してもらえるといいと思います。
posted by endo at 12:29| Comment(0) | TrackBack(0) | 日記

2014年04月07日

最近の法令等の更新状況

年度も改まったことですので、この2年の間で更新された主な法令やガイドライン等を挙げておきます。

ここに上げているのは、主なものだけです。
すべての事業者がこれを網羅しなくてはいけないわけではありませんし、逆にこれが全てというわけでもありません。

・JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―
最終改訂:2014年1月14日
http://privacymark.jp/reference/pdf/guideline_V2.0_140114.pdf

・労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(※派遣事業をしている会社)
http://law.e-gov.go.jp/htmldata/S60/S60HO088.html
最終改訂:2013年11月27日

・職業安定法(※有料職業紹介事業をしている会社)
最終改訂:2013年11月27日
http://law.e-gov.go.jp/htmldata/S22/S22HO141.html

・電気通信事業における個人情報保護に関するガイドライン(※電気通信事業者/デ協に申請する会社)
最終改訂:2013年9月9日
http://www.soumu.go.jp/main_content/000254517.pdf

・電気通信事業における個人情報保護に関するガイドラインの解説(※電気通信事業者/デ協に申請する会社)
最終改訂:2013年9月9日
http://www.soumu.go.jp/main_content/000254565.pdf

・不正アクセス行為の禁止等に関する法律
最終改訂:2013年5月31日
http://law.e-gov.go.jp/htmldata/H11/H11HO128.html

・職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が
均等待遇、労働条件等の明示、求職者等の個人情報の取扱い、職業紹介事業者
の責務、募集内容の的確な表示等に関して適切に対処するための指針(※有料職業紹介事業をしている会社)
最終改訂:2012年9月10日
http://www.mhlw.go.jp/bunya/koyou/dl/h241218-03.pdf

・特定商取引に関する法律(※通信販売(ネット含む)をしている会社)
最終改訂:2012年8月22日
http://law.e-gov.go.jp/htmldata/S51/S51HO057.html

・派遣元事業主が講ずべき措置に関する指針(※派遣業をしている会社)
http://www.mhlw.go.jp/general/seido/anteikyoku/jukyu/haken/youryou/dl/8shishin.pdf
最終改訂:2012年8月10日

・雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項
最終改訂:2012年6月11日
http://www.mhlw.go.jp/topics/bukyoku/seisaku/kojin/dl/161029kenkou.pdf

・雇用管理分野における個人情報保護に関するガイドライン(廃止:「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に対する指針」)
最終改訂:2012年5月14日
http://www.mhlw.go.jp/seisakunitsuite/bunya/koyou_roudou/roudouzenpan/privacy/dl/h24_357.pdf

*** スマホアプリを開発・配布している会社が追加を検討した方がよいガイドライン ***
* ・モバイルコンテンツ関連事業者のための個人情報保護ガイドライン 第2版(MCF)
* 最終改訂:2013年12月12日
* http://www.mcf.or.jp/privacymark/pdf/guideline_for_mobilecontent.pdf
*
* ・スマートフォン プライバシー イニシアティブ −利用者情報の適正な取扱いとリテラシー向上による新時代イノベーション−(総務省)
* 最終改訂:2012年8月7日
* http://www.soumu.go.jp/main_content/000171225.pdf
*
* ・スマートフォン プライバシー イニシアティブU 〜アプリケーションの第三者検証の在り方〜(総務省)
* http://www.soumu.go.jp/main_content/000236366.pdf
* 最終改訂:2013年7月
**********************************************************************************

ちなみに、地方の条例は、その自治体から直接業務を受託しているのでない限り、特定する必要はありません。
逆に、自治体等から個人情報の取扱を含む業務を受託している場合は、その自治体に関する条例を特定しなくてはなりません。
http://privacymark.jp/reference/pdf/kojinjoho_manage101109.pdf
posted by endo at 13:37| Comment(0) | TrackBack(0) | 日記

2013年11月13日

リスク分析に関する指摘

リスク分析に関して、時々このような指摘を受ける事業者があります。

-------------------------------------------------------------------
(1)認識しているリスクは“紛失”、“漏えい”、“盗難”等であり、具体的でない。各局面における具体的なリスクを特定すること。
(2)認識しているリスクは“紛失”、“漏えい”、“盗難”等であり、下記のような情報セキュリティ以外のリスクを認識していない。情報セキュリティ以外のリスクを認識し、リスク分析を実施すること。
-------------------------------------------------------------------

(1)は、リスクが具体的でないということです。
例えば、紛失と言っても「カバンを交通機関内で置き忘れる」のか「車上荒らしに合う」のか「飲み屋に忘れる」のか、どうなんだ、ということですね。

(2)は、リスクには情報セキュリティ以外のものもあって、例えば関連する法令、国が定める指針その他の規範に対する違反関係のリスクもあるでしょ、ということです。
「関連する法令、国が定める指針その他の規範に対する違反関係のリスク」に何があるのか、例を挙げてみましょう。
@ 従業者が目的外利用をする。
A 本人から取得する場合、所定事項の明示や同意を得ずに取得する。(直接書面の場合)
B 利用目的を本人に通知、又は公表せずに個人情報を取得する。(直接書面以外の場合)
C 委託元が違法に取得した個人情報を当社が預かって処理することで結果として当社が法令違反に問われる
D 広告メールを送信する旨同意を得ていないのにメルマガを送る(特電法違反)
などが考えられるでしょう。

このような指摘が出るのはリスク分析ツールのようなものを使って、自動的にリスク分析表のような帳票を出力しているケースに多いようです。

すべてのリスク分析ツールを否定するつもりはありません。リスク分析ツールのメリットとデメリットについてはいずれ取り上げたいと思いますが、リスク分析をツールで自動化すると上記のような指摘に対応するために、ツールそのもの、またはそれに食わせるデータを見直差ないといけないので、場合によってはかえってコストがかかることがあります。
posted by endo at 18:00| Comment(0) | TrackBack(0) | 日記

2013年11月07日

Pマーク更新のコンサル (2)

(つづき)
お客さん曰く「『Pマークの面倒な作業 全て請け負います』の文句に釣られてしまいました。」とのことでした。

前回の審査結果を見てみると、何と、更新であるにもかかわらず、すべての規程が入れ替えさせられていました。

もちろん、お客さんの希望で、現行規程類を全面的に見直したいということはあるでしょう。

しかし、これまで問題なく運用していたのに、コンサル都合で規程類を入れ替えるとはどういうことでしょう。

そのコンサルタントは、自分の会社が用意した規程でないとコンサル出来ないんでしょうか。
お客さんが現在運用している規程を読み解くことが出来ないんでしょうか。

通常、プライバシーマークの更新サポートでは、以下の点がポイントだと思っています。
1) お客さんの工数をできるだけ少なくする
2) 最近の指摘事項の動向を元に上記1)を踏まえながら、規程、記録類の見直しを行う(法令等の一覧も最新にしてあげる)
3) 現地審査後の指摘事項対応を素早く最小工数で実施する
4) お客さんの個別の要望があればそれを再優先に考える

なので、有無をいわさず規程を入れ替えさせるなんて信じられませんでした。

しかも、現地審査の際に審査員に「前のがよかったですね」と言われて、前のフォーマットに戻さざるを得なかったり。

しかもしかも、それはお客さんがやってコンサルタントはほとんど助言もしなかったというじゃありませんか。

たまたま、このコンサルタントが、たまたまこのお客さんに限って、このような質のサービスになってしまっただけなのかもしれません。

そのコンサルタントも、それなりのお考えがあってのことなのだろうと信じます。

ただ、この前の記事でも書きましたが、自分の会社にあったコンサルタントを選ぶというのは難しいなと思いました。
posted by endo at 17:44| Comment(0) | TrackBack(0) | 日記

2013年10月31日

Pマーク更新のコンサル

プライバシーマークを取得すると、更新時期にいろいろなコンサルティング会社から営業のコンタクトがたくさんあります。

プライバシーマークコンサルタントの私としては、事業者が自社に一番合ったサービスを選ぶのがベストだと思いますし、もしかしたらそれは必ずしも私ではないかもしれません。

一方で、コンサルティング会社選びは時に困難です。
というのも、実際に受けてみなければ自社に合ったコンサルティングかどうかわからないからです。
コンサルティング会社選定にあたっては、1)金額、2)信用が大きな要素になるでしょう。
1)はわかりやすいですが、2)は難しいですね。これについては、
@知人の意見や紹介
Aネット上のクチコミ
Bホームページ上の情報やダイレクトメールの情報
C営業の人の人柄
などが重要な要素になりそうですね。

コンサルタントを選定する担当者も大変だろうなと思います。

さて、先日、ある事業者さんのプライバシーマーク更新サポートに行ってきました。

このお客さんは、2年前の更新コンサルティング会社があまりにひどかったので、今回は当社にご依頼されたということでした。

このお客さん曰く「『Pマークの面倒な作業 全て請け負います』の文句に釣られてしまいました。」とのことでした。

前回の審査結果を見てみると…。

つづく
posted by endo at 10:31| Comment(0) | TrackBack(0) | 日記

2013年07月29日

最近の法令等の更新状況

プライバシーマークの更新事業者のために、主な法令等の最近の改正状況を挙げておきます。
ここに上げているのは、主なものだけです。
すべての事業者がこれを網羅しなくてはいけないわけではありませんし、逆にこれが全てというわけでもありません。

・不正アクセス行為の禁止等に関する法律
最終改訂:2013年5月31日
http://law.e-gov.go.jp/htmldata/H11/H11HO128.html

・JIS Q 151:26をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―
最終改訂:2012年9月5日
http://privacymark.jp/reference/pdf/guideline_V2.0_120907.pdf

・特定商取引に関する法律
最終改訂:2012年8月22日
http://law.e-gov.go.jp/htmldata/S51/S51HO057.html

・派遣元事業主が講ずべき措置に関する指針
http://www.mhlw.go.jp/general/seido/anteikyoku/jukyu/haken/youryou/dl/8shishin.pdf
最終改訂:2012年8月10日

・労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律
http://law.e-gov.go.jp/htmldata/S60/S60HO088.html
最終改訂:2012年8月1日

・雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項
最終改訂:2012年6月11日
http://www.mhlw.go.jp/topics/bukyoku/seisaku/kojin/dl/161029kenkou.pdf

・雇用管理分野における個人情報保護に関するガイドライン(廃止:「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に対する指針」)
最終改訂:2012年5月14日
http://www.mhlw.go.jp/seisakunitsuite/bunya/koyou_roudou/roudouzenpan/privacy/dl/h24_357.pdf

・特定電子メールの送信の適正化等に関する法律
最終改訂:2011年6月24日
http://law.e-gov.go.jp/htmldata/H14/H14HO026.html

ちなみに、地方の条例は、その自治体から直接業務を受託しているのでない限り、特定する必要はありません。
逆に、自治体等から個人情報の取扱を含む業務を受託している場合は、その自治体に関する条例を特定しなくてはなりません。
http://privacymark.jp/reference/pdf/kojinjoho_manage101109.pdf

2012年12月04日

「派遣元事業主が講ずべき措置に関する指針」が改正されています。

とは言っても、派遣登録(一般派遣、特定派遣)している会社でなければ関係ありません。

プライバシーマークの認定を受けている会社は、個人情報に関する法令を特定する必要があります。
その参考として最近の法令の改正状況を以前に書きました。
http://endo-endo.sblo.jp/article/59291973.html

その後改正が明らかになったものがありました。

「派遣元事業主が講ずべき措置に関する指針」です。

なぜか、「厚生労働分野における個人情報の適切な取扱いのためのガイドライン等」のページには最新のものがリンクされていません。
http://www.mhlw.go.jp/topics/bukyoku/seisaku/kojin/

ただ、調べてみると2012年8月10日に改正されていることがわかります。
http://wwwhourei.mhlw.go.jp/hourei/new/update/kai78h.pdf

その現物は以下のリンクにあります。
http://www.mhlw.go.jp/general/seido/anteikyoku/jukyu/haken/youryou/dl/8shishin.pdf

非常に見つけにくいです。
posted by endo at 13:05| Comment(0) | TrackBack(0) | 日記

2012年11月19日

リスク分析、残存リスクはどこまで書くか

プライバシーマークの認証基準であるJIS Q 15001の解説で「残存リスク」について以下の通り説明があります。

「すべてのリスクをゼロにすることは不可能であるから,現状で取り得る対策を講じた上で,未対応部分を残存リスクとして把握し,管理しなければならない。」

また、ガイドライン( http://privacymark.jp/reference/pdf/guideline_V2.0_160104.pdf#page=41 )では、「洗い出された個人情報について、ライフサイクルに応じてリスクを洗い出し、リスク分析を実施し、リスクに応じた対策を講じ、残存リスクを把握する手順が明確であること。」を求めています。

さて、どこまで残存リスクとして把握する必要があるのでしょう?

ガイドラインの40ページにヒントがあります。
http://privacymark.jp/reference/pdf/guideline_V2.0_160104.pdf#page=40
「...現状で取り得る対策を講じた上で、当面必要と考えられる未対応部分を残存リスクとして把握し管理することが必要である(事業者にとって対策不可能なことまで残存リスクとして把握し管理する必要はない)。」

つまり、「当面必要と考えられる未対応部分」が残存リスクとなります。
さらに、もともと会社にとって対策不可能なことは含めなくてよいとしています。

例えば、以下のようなリスクに対する未対応については、もともと会社にとって対策不可能なことなので、残存リスクに含める必要はないでしょう。
・悪意をもった社員による規定違反
・うっかりして紛失する
・それでもミスを犯す
・地震による建物崩壊
・テロリストによる爆破
・未知のセキュリティホールを利用した新手のハッカーによる攻撃
・予期できない障害により故障する

では、どのようなものが残存リスクになりうるのか。

これは各社で考えるべきでしょうがいくらか例を挙げたいと思います。

例1)「有効なアクセスログ取得手段がないので現在はアクセスログの点検は行わない」
最近ですと、本格的なファイルサーバーを社内に導入せず、ネットワークドライブやNAS(ネットワーク接続ストレージ)を利用している会社もあります。

そのような場合、機器にアクセスログ取得の機能が備わっていなかったり、あまり役立つほどの機能でなかったりすることがあります。

そのような場合は、この際「当社ではアクセスログの点検はやらない。その際のリスクは会社でのむ」と判断して、残存リスク欄に上記のように記入することができるでしょう。

例2)「バックアップは本体装置と同じ場所に保管しているため災害の際は同時に使用不可となる可能性がある」

火災などの災害を考えると、バックアップ媒体は本体とは別の場所に保管するのがベストでしょう。

しかし、夜間自動でバックアップするなど、バックアップに人手が介入しない運用の場合、バックアップ媒体を日々別の場所に移動するのは人的コストがかかり過ぎ、その割に確保できる安全性に大きな違いがないというケースが考えられます。

そのような場合は、この際「バックアップ媒体が一緒に燃えたら燃えたでまた紙伝票から打ち直せばいい。だからバックアップ媒体は本体と同じ場所でよい」と判断して、残存リスク欄に上記のように記入することができるでしょう。

他にも、委託先から契約書の締結を断られた、とか、情報システムのアクセス範囲を部署ごとに絞ることができないなど、「当面必要と考えられる未対応部分」というのはいくらかあるかもしれません。

それらを残存リスクとして記述するといいでしょう。

以前、残存リスク欄に空欄があると、「残存リスクがないはずはないでしょう。ヒューマンエラーはどうなんですか?」など言って指摘事項とする審査員もいくらかいましたが、このガイドラインによって残存リスクの範囲が明確になったので、このような指摘をすることはなくなりました。

むしろ、「対策しようがない残存リスクは削除しなさい。そうしないと本当の残存リスクが見えないでしょ」と指摘されるケースが増えています。
※ガイドラインのリンク先を更新しました。2016年7月21日
posted by endo at 11:35| Comment(0) | TrackBack(0) | 日記