More Related Content
Similar to 個人情報保護基本のキホン (12)
個人情報保護基本のキホン
- 13. 個人情報保護スキーム www.e-port.co.jp 1980 年 OECD8 原則 2003 年公布 2005 年施行 個人情報保護法 2004 年 基本方針 2004 年 分野別ガイドライン 企業 社内規定、マニュアル 教育、運用 ← 世界中の個人情報の古典 ← 個人情報保護法遵守体制の 構築方針 ← 基本方針実現にあたっての 実際の遵守方法 経済協力開発機構(OECD) 理事会勧告 マネジメントシステム 第三者認証 日本の個人情報保護 3 点セット ← 縦割りではなく、官民通じた あらゆる分野が対象
- 14. OECD8 原則 www.e-port.co.jp 1980 年 9 月 23 日に OECD( 経済協力開発機構 ) の理事会で採択された「プライバシー保護と個人データの国際流通についての勧告」の中に記述されている 8 つの原則。日本を含めた各国の個人情報保護の考え方の基礎になっている。 ① 収集制限の原則 個人データは、適法・公正な手段により、かつ情報主体に通知または同意を得て収集されるべきである。 17 条 ② データ内容の原則 収集するデータは、利用目的に沿ったもので、かつ、正確・完全・最新であるべきである。 19 条 ③ 目的明確化の原則 収集目的を明確にし、データ利用は収集目的に合致するべきである。 15 条、 16 条 23 条 ④ 利用制限の原則 データ主体の同意がある場合や法律の規定による場合を除いて、収集したデータを目的以外に利用してはならない。 ⑤ 安全保護の原則 合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護すべきである。 20 条~ 22 条 ⑥ 公開の原則 データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべきである。 18 条 24 条~ 27 条 ⑦ 個人参加の原則 データ主体に対して、自己に関するデータの所在及び内容を確認させ、または異議申立を保証するべきである。 ⑧ 責任の原則 データの管理者は諸原則実施の責任を有する。 31 条
- 20. 個人情報に該当する情報 www.e-port.co.jp 1)本人の氏名 2)生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報 3)防犯カメラに記録された情報等本人が判別できる映像情報 4)特定の個人を識別できるメールアドレス情報 (keizai_ichiro@meti.go.jp 等のようにメールアドレ スだけの情報の場合であっても、日本の政府機関である経済産業省に所属するケイザイイチローのメールアドレスであることがわかるような場合等 ) 5)特定個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報 6)雇用管理情報(会社が従業員を評価した情報を含む。) 7)個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できた場合は、その時点で個人情報となる。) 8)官報、電話帳、職員録等で公にされている情報(本人の氏名等)
- 22. 個人情報具体例 www.e-port.co.jp 住民票コード 性別 生年月日 前科前歴 年収 役職 音声 パスポート情報 購入履歴 印鑑登録証明書 給与 氏名 クレジットカード番号 血液型 身長 納税額 借金 資産 健康診断結果 病歴 指紋 特技 メール内容 人種 国籍 趣味 保険加入状況 試験得点 クレジットカード番号&有効期限 口座番号&暗証番号 金融系サイト ID& パスワード 遺言書 犯罪歴 与信ブラックリスト 加盟政党 加盟労働組合 信条 宗教 思想 カルテ 性生活の情報 介護度 本籍 病状 健康保険証番号 メールアドレス ハンドル名 家族構成 被相続人の債務 1 2 3 精神的苦痛レベル 3 2 1 経済的損失レベル
- 24. 個人情報データベース等具体例 www.e-port.co.jp 【個人情報データベース等に該当する事例】 事例1)電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合) 事例2)ユーザーIDとユーザーが利用した取引についてのログ情報が保管されている電子ファイル(ユーザー ID を個人情報と関連付けて管理している場合) 事例3)従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理し、他の従業者等によっても検索できる状態にしている場合 事例4)人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合 事例5)氏名、住所、企業別に分類整理されている市販の人名録 【個人情報データベース等に該当しない事例】 事例1)従業者が、自己の名刺入れについて他人が自由に検索できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合 事例2)アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合
- 25. 個人データ www.e-port.co.jp 【個人データに該当する事例】 事例1)個人情報データベース等から他の媒体に格納したバックアップ用の個人情報 事例2)コンピュータ処理による個人情報データベース等から出力された帳票等に印字された 個人情報 【個人データに該当しない事例】 事例)個人情報データベース等を構成する前の入力帳票に記載されている個人情報 *電話帳、カーナビゲーションシステム等の取扱いについて 個人情報データベース等が、以下の要件のすべてに該当する場合であっても、その個人情報データベース等を構成する個人情報については、個人データとなる可能性も否定できない。しかしながら、その利用方法からみて個人の権利利益を侵害するおそれが少ないことから、 個人情報取扱事業者の義務( 2-2. 個人情報取扱事業者の義務等)を課されないものと解釈する。 ① 個人情報データベース等の全部又は一部が他人の作成によるものである。 ② その個人情報データベース等を構成する個人情報として氏名、住所(居所を含み、地図上又はコンピュータの映像面上において住所又は居所の所在場所を示す表示を含む。)又は電話番号のみを含んでいる。 ③ その個人情報データベース等を事業の用に供するに当たり、新たに個人情報を加え、識別される特定の個人を増やしたり、他の個人情報を付加したりして、個人情報データベース等そのものを変更するようなことをしていない 法2条第4項 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
- 27. 保有個人データ www.e-port.co.jp 法2条第5項 この法律において「保有個人データ」とは、 個人情報取扱事業者が、開示、内容の訂正、追加又は 削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ であって、その存否が明らかになることにより公益その他の利益が害されるものとして 政令で定める もの又は1年以内の政令で定める期間 以内に消去することとなるもの以外のものをいう。 政令第3条 法第2条第5項の政令で定めるものは、次に掲げるものとする。 1 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体 又は財産に危害が及ぶおそれがあるもの 2 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、 又は誘発するおそれがあるもの 3 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、 他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関 との交渉上不利益を被るおそれがあるもの 4 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査そ の他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの 政令第4条 法第2条第5項の 政令で定める期間は、6月 とする。
- 32. 個人情報取扱事業者 www.e-port.co.jp 【特定の個人の数に算入しない事例】 事例1)電話会社から提供された電話帳及び市販の電話帳 CD-ROM 等に掲載されている氏名及 び電話番号 事例2)市販のカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名、住所又は居所の所在場所を示すデータ(ナビゲーションシステム等が当初から備えている機能を用いて、運行経路等新たな情報等を記録する場合があったとしても、「特定の個人の数」には算入しないものとする。) 事例3)氏名又は住所から検索できるよう体系的に構成された、市販の住所地図上の氏名及び住所又は居所の所在場所を示す情報 【事業の用に供しないため特定の個人の数に算入しない事例】 事例)倉庫業、データセンター(ハウジング、ホスティング)等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合に、その情報中に含まれる個人情報(ただし、委託元の指示等によって個人情報を含む情報と認識できる場合は算入する。) なお、日本国憲法で保障された「表現の自由」「学問の自由」「信教の自由」「政治活動の自由」なとの関係を調整するため、個人情報取扱事業者であっても、①報道機関が報道活動の用に供する目的、②著述を業として行う者が著述の用に供する目的、③学術研究機関等が学術研究の用に供する目的、④宗教団体が宗教活動の用に供する目的、⑤政治団体が政治活動の用に供する目的、でそれぞれ個人情報を取り扱う場合には、その限りにおいて義務規定を適用しないことになっています(法 50 条、法 35 条参照)。
Editor's Notes
- http://www.alico.co.jp/about/press/10_0224.htm http://allabout.co.jp/career/corporateit/closeup/CU20070212A/ 個人情報漏洩の損害賠償が 3 万円! 2007 年 2 月 8 日、東京地裁で出た判決です。 個人情報漏洩の損害賠償が 3 万円! エステティックサロン「 TBC 」の個人情報漏洩事件で一人あたりの損害賠償額が 3 万円という判決が出ました。個人情報漏洩事件に対する損害賠償では最高額になりました。 事件が起きたのは 2002 年です。 【 TBC 個人情報漏洩事件】 2002 年 5 月、エステティックサロン「 TBC 」のサイトで約 3 万 7000 件の個人情報が、誰にでも見られる状態で放置されていました。 サイトで実施したアンケートに答えた内容や資料請求の内容で、氏名・住所・電話番号・スリーサイズ等の他に、脱毛の悩みなど問い合わせた内容が詳細に記されていました。放置された個人情報は P2P 型のファイル交換サービスに掲載されてしまい、世界中のパソコンユーザーのハードディスクの中へ分散され、消すことは事実上不可能になりました。漏れた個人情報を元にした 2 次被害が発生しています。 東京地裁では、「情報保護のために安全対策を講じる法的義務を怠り、プライバシーを侵害した」として迷惑メールなどの 2 次被害を受けた 13 人が 3 万円、残る 1 人を 1 万 7000 円と算定し、 1 人 5000 円の弁護士費用を加算した判決を出しました。 個人情報の基本 4 情報が漏れると 1 万円 個人情報の基本 4 情報が漏れると 1 万円個人情報漏洩の損害賠償で今までの最高額は一人当たり 1 万円です。 1999 年に発生した宇治市住民情報データ流出事件でした。 【宇治市住民情報データ流出事件】 宇治市が住民基本台帳のデータ入力を業者に委託。 ところが、委託した業者が別の業者に再委託。再委託先のアルバイトが、約 22 万人分のデータを複写して名簿業者に販売。 裁判となり、基本 4 情報(氏名、住所、性別、生年月日)が漏洩した場合、原告一人あたり 1 万円の損害賠償支払いを命じる判例が確定。 また 2004 年に発生したソフトバンク BB 個人情報漏洩事件では Yahoo!BB ユーザー 450 万人以上の個人情報が内部から持ち出され、恐喝事件にまで発展しました。この時にお詫びとしてユーザーに金券 500 円を配布しました。 500 円という金額が以降の個人情報漏洩時のお詫び料の目安になっています。 今回の TBC 個人情報漏洩の裁判では今までに比べ、多額の損害賠償額となりました。 基本 4 情報(氏名、住所、性別、生年月日)以外のセンシティブ情報(機微情報)がファイル交換サービスで漏れてしまい迷惑メールやいたずら電話など 2 次被害に拡がった影響を裁判所が判断したためです。 2 次被害になってしまったファイル交換サービスと企業側の対策についてみてみましょう。
- 損害があることはわかった。 じゃあ具体的にどうすればいいの?の前に 個人情報保護の基本のキホンというテーマなので、 個人情報保護法について解説
- http://www.caa.go.jp/planning/caa_movie/flash/kojinjouhou_st.html 休憩?
- http://www.caa.go.jp/seikatsu/kojin/gaidorainkentou.html
- 「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ一般社会通念上事業と認められるものをいい、営利事業のみを対象とするものではない 5000人を超えるか否かは、当該事業者の管理するすべての個人情報データベース等を構成する個人情報によって識別される特定の個人の数の総和により判断する。