個人情報保護試験対策

用語等整理

第47,48,49回分

個人情報保護法

  • H15に制定、H17に施行、H27/9月、改正
  • 改正前は、法所管は消費者庁、法執行は法務大臣制で事業分野毎のガイドラインがあり柔軟な対応ができなかった
  • H28年から所管が消費者庁から個人情報保護委員会へ移った
  • 事業活動のグローバル化によりEUのデータ保護規則案、アメリカの消費者プライバシー権利章典等プライバシーに関する議論が積極的に行われるようになったのも改正の背景の一つ
  • 個人情報保護の規程文書体系はピラミッド型文書体系体系を基に検討検討、文書を方針、基準、手順の3階層に分類し下層になる程具体的に規程する

番号利用(マイナンバー)法

  • 利用目的の特定、変更について個人情報保護法と同じ
  • 利用目的の通知も個人情報保護法と同じ
  • 第三者への提供時通知に関しては制限がなく、個人情報保護法と異なる
  • 開示における請求等の受付方法についても、個人情報保護法と同じ
  • 番号利用法における特定個人情報の場合は、本人の同意があったとしても利用目的を超えて超えて取り扱うことは出来ない。利用目的の制限は個人情報保護法と異なる
  • データ内容の正確性についても、個人情報保護法と同じ

個人情報

  • 職位+氏名は個人情報
  • 新聞の特定の個人を識別できる情報は個人情報

個人情報の輸送手段

  • 社内便の場合は親展扱いとする
  • 郵送の場合は簡易書留郵便その他特定サービスを利用する。速達等は利用しない

OECD

  • 経済開発協力機構
  • 日本の個人情報保護法に影響を及ぼしている

OECD8原則

  • 目的明確化の原則: 収集目的の明確化、データ利用は収集目的に合致すべき
    • 個人情報保護法の利用目的の特定(15条)に反映されている
  • 利用制限の原則: データ主体の同意がある場合又は法律の規定による以外は個人データを目的以外に使ってはならない
    • 個人情報保護法の利用目的の制限(16条)に反映されている
  • 収集制限の原則: 適正公正な手段により、且つ情報主体に通知同意を得て収集されるべき
    • 個人情報保護法の適正な取得(17条)に反映されている
  • データ内容の原則: データは正確、完全、最新であるべき
    • 個人情報保護法のデータ内容の正確性の確保(19条)に反映されている
  • 安全保護の原則: 紛失破損使用修正開示から守る
    • 個人情報保護法の安全管理措置に反映されている
  • 公開の原則: データ収集の実施方針を公開しデータの存在、利用目的、管理者等を明示すべき
    • 個人情報保護法の保有個人データに関する事項の公表等(27条)に反映されている
  • 個人参加の原則: 自己のデータの所在、内容を確認させ異議申し立てを保証する
  • 責任の原則: 管理者には諸原則を守る責任がある

利用目的の通知、公表

  • 個人情報取扱事業者が個人情報を取得した場合、予め利用目的を公表している場合を除き利用目的を本人に通知又は公表する必要がある
  • 本人の個人情報が記載された申込書、アンケート等を直接取得する場合、予め本人に利用目的を明示する必要がある
  • 利用目的を本人に通知又は公表することにより個人情報取扱事業者の権利又は利益を害する恐れがある場合は本人に通知、公表する必要はない
  • 直接アンケートのように書面から個人情報を取得する場合、利用目的を明示する必要がある

JIS Q 15001

  • 個人情報を事業の用に供している、あらゆる種類、規模の事業者に適用できる個人情報保護マネジメントシステムに関して規定している、個人情報保護の日本工業規格
  • 事業者が個人情報保護のための組織を設けること、その体制を定期的に見直し改善すること、そしてこれらを実践するためのPMS 個人情報保護マネジメントシステムをもつことなどを求めている
  • 利用目的の特定、適正な取得、特定の機微な個人情報の取得、利用及び提供の制限、本人から直接書面によって取得する場合の措置等の項目について詳細に定義している
  • 個人情報保護法よりも古く1999年に制定された日本工業規格。
  • 個人情報保護法が2003年に改定され2005年に全面施行されたのを受けて、2006,2017年に用語等整合性を合わせつつ改正。
  • 個人情報保護法より高いレベル。

JIS Q 15001:2006(個人情報保護マネジメントシステム)

  • 個人情報保護のPDCAサイクルを運用し、スパイラルアップしていく

内部規定

  • 個人情報を特定する手順
  • 法令、国が定める指針、規範の特定、参照及び維持
  • 個人情報のリスクの認識、分析及び対策手順
  • 個人情報を保護するための権限及び責任
  • 緊急事態への準備、対応
  • 個人情報の取得、利用、提供
  • 個人情報の適正管理
  • 本人からの開示の求への対応
  • 教育
  • 個人情報保護マネジメントシステム文書の管理
  • 苦情、相談への対応
  • 点検
  • 是正処理、予防処置
  • 代表者による見直し
  • 内部規定違反への罰則

Planステップ

  • 経営者は個人情報保護方針を文書化し、従業者に周知させる
  • 一般の人が入手できるようWebや会社案内で公表する
  • 保有する全ての個人情報を特定する手順を確立する
  • 管理責任者を定め、リスク分析を実施する
  • 権限及び責任の規定、個人情報の取扱規定、教育監査規定、罰則規定を策定する
  • 個人情報保護に関する規定を遵守するために必要な細則、監査計画を立案し文書化する。監査の実施者や実施時期を明確にする必要有り

Do

  • 個人情報保護の体制や責任を周知し安全管理措置を実施
  • 収集、利用、提供に関する措置、開示、訂正、削除に関する措置を実施する

プライバシーマーク制度

  • 日本工業規格 JIS Q 15001 個人情報保護マネジメントシステムに適合し、体制を整備・運用している事業者を認定しプライバシーマークの使用を認める制度
  • 目的として、消費者の目に見えるプライバシーマークにより、個人情報に関する消費者の意識向上を狙う
  • プライバシーマークの有効期限は2年で、2年毎に更新申請審査が行われる
  • 他の付与事業者と合併する場合、プライバシーマークは継続される

個人識別符号

  • 顔の骨格皮膚の色、目鼻口の位置の情報から認証できるようにしたもの
  • 虹彩表面の起伏、線状の情報から認証できるようにしたもの
  • 手、指の静脈から認証できるようにしたもの

個人情報取扱事業者

  • 個人情報データベースを事業の用に供している者
  • 国の機関、地方公共団体、独立行政法人は除く
  • 法人格、権利能力の無い社団であっても、個人情報個人情報データベース等を事業の用に供している場合個人情報取扱事業者に該当する
  • 従業者とは個人情報取扱事業者の組織内で直接関節に事業者の指揮監督を受けるもの(取締役も当てはまる)をいう

個人情報データベース

  • 個人情報を含む情報の集合物
  • 特定の個人情報を電子計算機を用いて検索できるもの
  • 特定の個人を容易に検索できるもの(市販の人名録等)
  • 利用方法から個人の権利利益を害する恐れの少ないものは該当しない

個人データ

  • 個人情報データベースを構成する個人情報
  • 正確、最新の内容に保つよう努力する必要がある(個人情報はそのように規定されてはいない)

保有個人データ

  • 個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ
  • その在否が明らかになると公益その他利益(第三者の生命、身体又は財産)が害されるものは該当しない
  • 1年以内の政令で定める6ヶ月以内に消去するものは該当しない
  • 違法又は不当な行為を助長する恐れのあるものは該当しない
  • 国の安全が害される、国際機関との信頼関係が失われる可能性のあるものは該当しない
  • 本人から利用目的の通知、保有個人データの開示を求められた場合、手数料を徴収できる
  • 第三者への提供停止の請求に関しては、手数料を徴収できない
  • 本人から求められた利用目的を通知しないと決定した場合、本人に対し遅延なく通知しなければならない
  • 保有個人データの取扱に関する苦情の申出先を、本人の知り得る状態に置く必要がある
  • 個人情報取扱事業者の氏名、名称について本人の知り得る状態に置く必要がある
  • 個人情報取扱事業者が認定個人情報保護団体の対象者である場合、団体の名称と苦情の申出先を本人の知り得る状態に置く必要がある
  • 当該本人から開示請求を受けた場合は、書面の交付(又は当該本人の要求する方法)により遅延なく保有個人データを開示する必要がある
  • 当該保有個人データが存在しないとしても、遅延なく開示請求に対しその旨を知らせる必要がある
  • 保有個人データが十分な安全管理措置の下に無いという理由で保有個人データの利用停止を本人から求められた場合でも、停止する必要はない
  • 保有個人データの停止が多額の費用を要したり停止が困難な場合であって、代替措置がある場合は停止する必要はない
  • 本人から保有個人データの開示請求を受けたとしても、他の法令に違反することとなる場合には、例外的に一部、又は全部を開示する必要がなくなる

匿名加工情報

  • 特定の個人を識別できないように: 個人情報保護法2条1項1号 氏名生年月日その他識別できるものを削除する。技術的側面から全て排除するわけではなく個人情報取扱事業者、匿名加工情報事業者が通常の方法で特定できなくなる程度の状態
  • 個人識別符号が含まれる: 特定の個人を識別できなくなるよう識別符号を全て削除する
  • 匿名加工情報を作成した場合、個人データの項目を公表する必要があるが、個人情報保護委員会へ届け出る必要はない
  • 匿名加工情報を作成した場合、安全管理の為の必要な措置、苦情の処理、取扱確保の措置を講じ、措置内容を公開するよう努力しなければならない
  • 匿名加工情報を作成して第三者へ提供する場合、個人データの項目及び提供方法について公表する
  • 匿名加工情報を元の個人情報へ戻すことができない状態
  • 匿名加工情報を第三者へ提供する場合は、個人情報の項目、提供方法について公表するとともに、匿名加工情報であることを明示する必要がある
  • 本人の識別の為、匿名加工情報を他の情報と照合してはならない

オプトアウト手続

  • 個人情報の第三者提供に関し、個人データの第三者への提供を本人の求めに応じて停止することしている場合であって、予め本人に一定の事項(提供する旨、データ項目、提供方法、求められれば停止する旨、本人の求めを受け付ける方法)を本人に通知、又は容易に知り得る状態ににした上で本人に同意を得ることなく第三者に提供することを言う
  • オプトアウト手続により第三者提供するものは、オプトアウト手続を行っていることを個人情報保護委員会へ届ける必要がある(H27年改正、H29年全面施行)
  • 個人情報保護委員会はこの届出があった場合は届出に関する事項を公表する必要がある
  • 要配慮個人情報を第三者へ提供する場合、オプトアウトできず、法の例外を除いて本人の同意を得る必要がある

個人データの第三者提供の第三者に該当しない場合

  • 利用目的の達成に必要な範囲で個人データの一部、全部を委託することによって個人データが提供される場合、当該個人データの提供を受けるものは第三者に該当しない
  • 合併、その他事業の承継に伴う個人データの提供は第三者に該当しない(合併により新会社へ個人データを渡す場合等)
  • 個人情報取扱事業者が事業承継の前交渉で個人データを提供する場合は、相手会社に安全管理を遵守させる契約を締結させる
  • 特定の者との間で共同利用されるデータにおいて特定の者へ提供する場合は、第三者への提供とならない
  • データ打ち込み等、全部又は一部の個人データの取扱を委託される場合は第三者に該当しない

外国にある第三者への個人データ提供

  • 外資系企業の日本法人が親会社に個人データを提供する場合、親会社は第三者に該当する
  • 第三者が個人の権利利益を保護する上で日本と同等の水準であると認められる個人情報保護制度がある外国として個人情報保護委員会で定められている場合は本人の同意は不要
  • 第三者が個人情報取扱事業者が実施するべき措置を継続的に構築し個人情報保護委員会で定める基準に適合する体制がある場合は本人の同意は不要
  • 法令に基づいて提供する場合は本人の同意は不要
  • 公衆衛生の向上、児童の健全な育成の為に必要であり本人の同意を得ることが困難である場合、本人の同意は不要
  • 国の機関等が(我が国の)法令の定める事務を行う上で、民間企業の協力を得る必要があり、協力する民間企業が当該国の機関に個人データを提供する場合に本人の同意を得ると当該事務に支障を及ぼす恐れがある場合、本人の同意を得る必要はない。しかし外国の法令の定める事務を行う上では、同意を得る必要がある

第三者提供に係る記録の作成

  • 個人データを第三者へ提供した場合、提供年月日、第三者の氏名、その他個人情報保護委員会規則で定める記録を作成する必要がある
  • 当該記録を作成した日から、個人情報保護委員会規則で定める日数保存しなければならない
  • 第三者から個人データを受け取る際は、第三者の氏名、住所、法人は代表者名、法人でない団体は代表者または管理者名、取得の経緯確認を行う必要がある
  • ただし個人データの提供が23条1項各号、又は5項各号に該当する場合を除く
  • 個人データの提供を受けた年月日等の記録を1年、又は3年保存しなければならない

認定個人情報保護団体

  • 認定個人情報保護団体は事業者の個人情報の適切な取扱の為、利用目的の特定、安全管理措置、開示に応じる手続、匿名加工情報の作成方法に関し、消費者の意見を代表する者者その他関係者の意見を聴いて、個人情報保護指針を作成するよう努める必要がある
  • 個人情報保護指針が公表された場合、事業者に対し遵守させるための必要な指導、報告その他措置をとる必要がある
  • 個人情報取扱事業者の氏名を公表しなければならない
  • 個人情報取り扱いに対する苦情については、文書若しくは口頭説明、資料提出を求められる
  • 認定業務を廃止する場合、個人情報保護委員会へ届けて、公示する必要がある
  • 「個人情報保護指針」を定め、対象事業者に遵守させるための措置をとらなければならない
  • 漏洩事故発生時には認定個人情報保護団体の対象事業者の場合、保護団体へ報告し、所属する業界団体等関係機関にも報告を行うことが望ましい
    • 認定個人情報保護団体の対象事業者ではない場合、個人情報保護委員会へ報告を行う
  • 認定個人情報保護団体の認定を受ける場合、個人情報保護委員会へ申請する必要がある
  • 認定個人情報保護団体は、同意を得ていない個人情報取扱事業者については、対象事業者とすることができない

業務規定適用除外

  • 大学その他研究を目的とする機関、団体で個人情報を取り扱う場合、業務規定の適用が除外される
  • 放送期間、新聞社、通信社が報道の目的で個人情報を取り扱う場合、除外される
  • 著述を業として行うものが」著述の用に供する目的で取り扱う場合、除外される
  • 業務規定が除外される事業者であっても、個人[匿名加工]情報の安全管理のために必要な措置、苦情処理を講じ、当該措置の内容を公表するよう努める必要がある
  • 宗教団体が宗教活動の用に供する目的で取り扱う場合、除外される

個人情報保護委員会

  • 個人情報委員会の委員長、委員は政党の役員になったり積極的に政治活動をしてはならない
  • 委員長、委員は独立して職権を行う
  • 委員長、委員は個人情報保護及び適切な取扱の有識者、消費者保護の有識者、情報処理技術に関しての有識者、民間企業の実務の有識者、地方自治体の定める連合阻組織の推薦するものが該当する
  • 委員長及び委員は、内閣総理大臣が任命する
  • 委員長及び委員は、金銭上の利益が出る業務を行ってはならない
  • 委員会は取扱事業者に対し、必要な報告、資料の提出を求め、事務所その他必要な場所に立ち入らせ、質問させ、帳簿書類その他物件を検査できる
  • 事業所管大臣は個人[匿名加工]情報取扱事業者の規定に違反する行為があると認められる場合、委員会に対し適切な措置をとらせることができる
  • 委員会は政令で定めるところにより報告及び立ち入り検査権限を事業所管大臣へ委任することができる
  • 個人情報保護委員会による勧告を受けたものが措置を取らなかった場合、期限を決めて命令することができる。緊急の場合は勧告せず命令できる

行政機関個人情報保護法

  • H28年5月に改定された
  • 個人識別符号: 指紋認識データ、顔認識データ、旅券番号、免許証番号が該当
  • 特定の個人を識別/復元できないよう個人情報を加工したものを非識別加工情報として定義
  • 非識別加工情報として民間事業者に提供するための法的枠組みを設け、取扱について官民を通じて個人情報保護委員会が一元管理している
  • 要配慮個人情報: 人種、信条、社会的身分、犯罪経歴、差別等を配慮した個人情報
  • 社会的身分とは、一生の間、自らの力では脱し得ない地位を意味する
  • 行政機関の長に対し保有個人情報の開示を求められるが、開示請求書を行政機関の長に対して提出しなければならない

要配慮個人情報

  • 人種、信条、社会的身分、犯罪経歴、差別等を配慮した個人情報
  • 要配慮個人情報を取得する場合は、予め本人の同意を得る必要がある
  • 法令に基づく場合(労働安全衛生法に基づく健康診断で得る情報)は、本人の同意を得る必要はない
  • 目視、撮影により外形上明らかな要配慮個人情報を取得する場合は、本人の同意を得る必要はない
  • 本人、国の機関、地方公共団体より公開されている場合は、本人の同意を得る必要はない

外国執行当局への情報提供

  • 個人情報保護委員会は、個人情報保護法令を執行する外国執行当局に、職務の遂行に資する情報提供を行えるようになった
  • 外国執行当局からの要請があっても、日本が同種の要請をしても外国が応じられる保証がない場合は、刑事事件の捜査等に使用することはできない
  • 政治犯罪の場合も、刑事事件の捜査等に使用することに同意できない
  • 日本では罪にならない場合も、刑事事件の捜査等に使用することに同意できない

個人情報データベース等提供罪

  • 個人情報データベースを自己、第三者の不正な利益目的で提供・盗用した場合は1年以下の懲役又は50万円以下の罰金

個人情報保護に関する法律についてのガイドライン(通則編)

  • 改正個人情報保護法の施行日(H29年5月30日)以降、個人情報保護に関する経済産業分野を対象とするガイドラインは廃止され、個人情報保護に関する法律についてのガイドラインに統一された
  • 個人情報取扱事業者又は匿名加工情報取扱事業者に適用される
  • 全ての事案を網羅したものではない
  • 公益上必要な活動や正当な事業活動を制限するものではない
  • 委託先の選定にあたっては、最低このガイドラインの「講ずべき安全管理措置」の組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置が委託する業務内容に沿って実施されることを確認する必要がある
  • 事業者団体が事業の実態及び特性を踏まえ、団体の会員企業を対象とした自主的ルールを作成・変更することもあり得るとしている

個人情報の保護に関する法律についての経済産業省を対象とするガイドライン

  • 経済産業分野における事業者の内、法が適用対象とする個人情報取扱事業者を対象としている
  • しなければならない、と記載されている規定については、従わなかった場合経済産業大臣により法の規定違反と判断されうる

物理的安全管理措置

  • 入退室の管理、個人データ盗聴の防止措置
  • 機器及び電子媒体の盗難の防止の為、施錠できるキャビネット、書庫に保管する必要がある

組織的安全管理措置

  • 個人データの取扱に係る建物、部屋、保管庫等の安全管理に関する規定の整備と運用

人的安全管理措置

  • 個人データの非開示契約の締結や教育訓練を行うこと

医療・介護関係事業者における個人情報の適切な取扱のガイダンス

  • 個人情報委員会及び厚生労働省が策定
  • 個人情報保護に関する法律についてのガイドラインを基礎とし、病院、診療所、薬局、介護保険法似に規定する居宅サービス事業を行うものの事業者が行う個人情報の取扱に関する留意点、事例を示すもの
  • 医療・介護関係者事業者が個人情報取扱事業者としての業務規定を遵守しない場合、委員会は報告、立入検査、指導、助言、勧告、命令を行うことが可能

金融分野における個人情報保護のガイドライン

  • 個人情報を個人信用情報機関に提供する場合は、利用目的に明示しなければならない
  • 機微情報を取得、利用、第三者提供しない。機微情報とは要配慮個人情報や労働組合への加盟、門地、本籍地、医療及び性生活のこと
  • 7条、個人情報は契約終了後一定期間経過後削除する
  • 与信事業に関わる返済能力情報を個人信用情報機関へ提供する場合は、第三者提供のオプトアウト方式は利用できず、本人の同意を得なければならない

マイナンバー(個人番号)

  • 住民票コードを変換した番号、住民票コードを変換した11桁と検査用数字1桁の12桁
  • 個人番号の指定は、地方公共団体情報システム機構が、市町村長からの申請で番号を生成する
  • 外国人住民としては、住民票コードが住民票に記載されている中長期在留者、特別永住者、経過滞在者、一時庇護許可者、仮滞在許可者が含まれる
  • 死者にも個人番号は適用される
  • 住所変更による番号変更は認められない
  • 漏洩して不正に利用される恐れがある場合は市町村長の職権により個人番号を変更可能
  • 独立して生計を営む子に対し他で暮らす親が個人番号の提供は求められない
  • 社会保障制度、税制、災害対策の事務以外での利用

本人確認の措置

  • 個人番号利用実施者が本人確認する場合、番号確認と身元確認が必要(個人番号カードで確認する場合は身元と番号両方確認できる)
  • 個人番号利用実施者が郵送にて本人確認する場合、個人番号カードの写しの郵送による提出が可能
  • 個人番号利用実施者が代理人経由で本人確認する場合、代理権の確認、代理人の身元確認、番号確認が必要
  • 個人番号利用実施者が過去に本人確認を実施済みの者から個人番号の提供を受ける場合は、身元確認書類は不要

通知カード

  • 国外には送付されない
  • 顔写真がない為、有効期限が設定されていない
  • 個人番号、氏名、住所、生年月日、性別、交付地市町村名、発行日が記載され、顔写真はない
  • 市町村を変更する場合は、転入届+通知カードが必要
  • 同一市町村内で住所変更、結婚、養子縁組、改名等通知カードに変更がある場合は、14日以内に市町村長へ通知カードと一緒に届け出る必要がある
  • 紛失時は直ぐに住所地市町村長に届け出る
  • 通知カードを紛失しても、個人番号カードの交付申請は可能
  • 個人番号カードを交付されたら、返納する必要がある

本人確認措置

  • 扶養控除申告書の提出提出において、事業者は扶養親族の本人確認はしなくてよい
  • 国民年金の第3号被保険者の届出については、事業者への提出は「第3号被保険者」であるから扶養親族の本人確認が必要
  • 本人確認には「代理権の確認(委任状)」「代理人の身元確認(運転免許証、戸籍謄本、国民年金手帳)」「本人の番号確認(通知カードの写し)」が必要

特定個人情報

  • 個人番号を含む個人情報
  • 他人に対し個人番号の提供を求めると個人情報保護委員の勧告対象となる
  • 個人番号を暗号化により秘匿化しても個人番号
  • 当該個人番号に代わって用いられる番号、記号で住民票コード以外のもの
  • 同じ利用目的の範囲内であれば、本人に通知をすることなく利用できる
  • 情報提供ネットワークシステムを利用した情報提供用個人識別符号は個人番号の代替となる
  • 地方税の特別徴収の為市区町村が給与支払者に税額を通知するのは個人番号利用事務の為の提供として認められる
  • 事業主が厚生年金被保険者資格取得の届け出を年金事務所に提出するのは個人番号関係事務の為の提供として認められる
  • 地方税、国税連携では、情報提供ネットワークシステムを利用して個人情報の提供をすることができない
  • 地方公共団体が他機関に事務処理に必要な限度で特定個人情報を提供することは認められる
  • 個人番号を復元不可な程度にマスキング又は削除しても個人情報には変わらない為第三者提供の制限は引き継がれる
  • 違法に第三者に提供されていた場合で、本人から停止を求められた場合遅滞なく停止しなければならない
  • 特定個人情報の「収集」とは、集める意思を持ち自己の専有に置くことを言う。閲覧のみでは収集に当たらない
  • 支払調書の控えは保存義務が無いが、作成、提出後個人番号が記載された控えを保管することは個人番号関係事務である
  • 支払調書の控えの保管期間は、最長7年であると考えられる
  • 本人から自身の個人番号を含む情報として本人交付用の給与所得の源泉徴収票の提示請求があった場合は、本人の個人番号を記載して開示することができる

特定個人情報の「提供」と「利用」

  • 「提供」とは法的人格を超える特定個人情報の移動のこと
  • 特定個人情報が営業部の従業員から営業庶務課を通じ給与所得の源泉徴収票を作成する目的で経理部に提出された場合「利用」にあたる
  • A社がB社を吸収合併した場合、B社が個人番号を含む個人情報をA社へ「提供」にあたるが、例外としてこの提供は認められる
  • 公認会計士[監査法人]が監査を実施するにあたり特定個人情報の提供を受けることは「提供」にあたる
  • 事業者が源泉徴収票等の作成を子会社へ委託する場合、個人番号含む給与情報を提出する場合は「提供」にあたるが、例外としてこの提供は認められる
  • 個人情報保護法に基づいて開示請求を行った本人に対しては支払調書等の写しを本人に送付できる

特定個人情報の適正な取扱に関するガイドライン(事業者編)

  • 番号利用法は行政機関、事業者区別無く個人番号を扱う全てのものを対象にしているが、これは事業者を対象にする
  • 中小規模事業者とは従業員が100名以下の事業者をいう
  • 中小規模事業者でも次は該当しない: 個人番号利用事務実施者、委託された個人番号利用事務実施者、金融分野の事業者、個人情報の数が6ヶ月以内のいずれかの日で5000を超える事業者

情報提供ネットワークシステム

  • 行政機関(地方公共団体,独立行政法人,地方独立行政法人)の長、地方公共団体情報システム機構、情報紹介者、情報提供者、条例事務関係情報紹介者、条例事務関係情報提供者の間で特定個人情報を安全にやり取りするシステム
  • 個人情報保護委員会と協議しつつ、設置・管理者は 総務大臣が行う
  • 情報提供ネットワークシステムを使用して特定個人情報の提供の求め又は提供があった場合、情報提供等の記録自体が不開示情報になる場合がある
  • 情報照会[提供]者は情報提供の記録中に不開示情報に該当する旨を記録し政令で定める期間保存する必要がある
  • 個人番号を直接用いず「情報提供用個人識別符号」を用いて情報連携する仕組みが採られる予定である

特定個人情報ファイル

  • 個人番号を含む個人情報ファイル
  • 既存のDBに個人番号を追加することは可能

災害対策

  • BCP: 災害時に重要業務を中断させない、被害を最小限に留める計画
  • BIA: 事業の中断による業務[財務]上の影響を確認するプロセス
  • BCM: BIAや取組方針・計画の策定、運用、見直しまでをマネジメントシステム全体を強調する場合

事業継続管理のPDCAサイクルイメージ

  • 分析(事業継続のボトルネック特定) > 計画策定(事業継続の方針、計画、体制を策定し、目標復旧時間を設定) > 実行(教育、訓練) > 検証・継続改善(見直し、検証)

法人番号

  • 国税庁長官が法人番号を指定する
  • 民法上の組合は、人格のない社団に該当せず、法人番号指定の対象ではない
  • 地方公共団体(国の行政機関、裁判所、国会機関、都道府県、市町村)は、本陣番号指定の対象である
  • 地方公共団体を構成する機関(都道府県や市町村の行政機関や議会)は、法人番号指定の対象ではない
  • 健康保険組合は法人以外の法人に該当する為、法人番号指定の対象である
  • 人格のない社団とは、法人でない社団、財団(代表者、管理者がいるもの)。国税庁長官に届けると法人番号を受けられる。
  • 人格のない社団であって、法人税・消費税の申告納税義務又は給与などに係る所得税の源泉徴収義務がある場合、手続等せずとも国税庁長官が法人番号を指定する
  • 会社法により設立登記をした法人に指定され、活動実績は問わない
  • 法人番号を受けた者の商号、名称、所在地、法人番号は公表する必要がある

国外犯処罰規定

  • 詐欺行為による個人番号の取得
  • 国外で騙して個人番号を取得する等
  • 不正手段による個人番号カードの取得は、市町村の職員を空いていに対して行われる為、国外犯処罰対象ではない
  • 特定個人情報が記録された文書を収集する行為は、例えば在外公館の職員が行う為、国外犯処罰対象

マイナポータル

  • 情報提供ネットワークシステムを通じて住民が情報提供等記録、住民に関する情報(自己情報)、お知らせ(予防接種や検診)等を確認できる
  • 個人番号カードのICチップに搭載される公的個人認証を用いたログインが必要。
  • 個人番号カードがないとぴったりサービスの検索や申請書オンライン入力、申請書印刷等一部の機能に限られる
    8 H29/7以降マイナポータル用端末が順次配置されている

個人番号カード

  • ICチップ空き領域は、総務大臣が定める基準に従いカード記録事項の漏洩、毀損の防止等安全管理を図る
  • ICチップ空き領域は、行政機関、地方公共団体、民間事業者等政令で定めるものが独自利用可能。住民サービスのために独自利用を行うためである
  • 個人番号カードには氏名、住所、生年月日、性別、個人番号、顔が表示される
  • ICチップ内に上記と、公的個人認証サービスの電子証明書等が記録される
  • 税や年金情報等は記録されない

再委託及び委託先の監督

  • 個人番号利用事務の委託を受けたら、委託者の許諾を得た場合に限り再委託可能
  • 国内外問わず安全管理措置が求められる
  • 安全管理措置が遵守されれば、特定個人情報と個人情報の取扱を分ける必要はない
  • 行政機関から個人番号利用事務利用事務の委託を受けた事業者は、行政機関・地方公共団体でない場合であっても個人番号利用事務実施者となる為、特定個人情報の適正な取扱に関するガイドライン(行政機関・地方公共団体編)が適用される

委託の取扱

  • 個人番号利用[関係]事務の委託に該当しない場合は、委託先に対する監督義務は課されない(安全管理措置義務は課される)
  • 委託先に引き渡す個人情報の項目は必要最低限に留める

情報セキュリティと個人情報保護マネジメントシステム

  • 個人情報の保護は個人情報保護法への対応と、管理体系として PMS (個人情報保護マネジメントシステム)の理解と実践が求められる
  • ISMS PMS は矛盾せず、ISMSを実践すればPMSの多くは満たされるが、個人情報保護分野においては保護法の規制があるためPMSを導入することが望ましい
  • 情報セキュリティ方針は、広くセキュリティの見地からも策定される

著作権法

  • 著作者の権利として著作人格権と著作財産権がある
  • 著作人格権の1つ、同一性保持権とは著作物の内容やタイトルを自分の意に反して改変させない権利
  • 著作物を公表する際に著作者名を表示するかしないか決める権利は氏名表示権である

個人情報保護マネジメントシステムモデル

個人情報保護方針の策定、実行、維持
* 個人情報の特定
* 規範の特定・参照
* リスクアセスメント
* 資源の用意、役割責任権限の明確化
* 内部規範の文書化、維持
* 計画の文書化
* 緊急事態への準備

実施及び運用
* 運用手順の明確化
* 取得、利用及び提供に関する原則
* 適正管理
* 個人情報に関する本人の権利
* 従業員の教育

個人情報保護マネジメントシステム文書
* 文書管理
* 記録管理

点検
* 運用の確認
* 監査

是正処置及び予防処置
* 代表者による見直し

非開示契約

  • 個人情報を許可無く第三者へ開示しない契約
  • 委託先が法人、個人であるかにかかわらず業務委託時は当契約を締結し、監督権限や損害賠償の可能性を担保する必要がある
  • 個人情報保護と営業秘密保持とで非開示非開示契約の内容を分けた方が従業者からの理解を得やすい
  • 派遣会社は派遣先企業と雇用関係にないため派遣先企業は派遣元企業との間に非開示契約を結ぶ必要がある
  • 派遣社員の住所は労働者派遣法派遣法規程の「派遣元が派遣先に通知すべき事項」を逸脱する為、非開示契約書や契約書への記入は義務付けられない

罰則(番号利用法)

  • 両罰規定とは、法人の業務として行われば場合、行為者と法人両方が処罰される規定

罰則比較

  • 個人番号の不正提供、盗用
    • 番号利用法: 3年以下の懲役又は150万円以下の罰金
  • 個人情報保護委員会からの命令を無視し違反(職権濫用)
    • 番号利用法: 2年以下の懲役又は50万円以下の罰金
    • 個人情報保護法: 6月以下の懲役又は30万円以下の罰金
  • 個人情報保護委員会への虚偽報告、資料提出、検査拒否
    • 番号利用法: 1年以下の懲役又は50万円以下の罰金
    • 個人情報保護法: 30万円以下の罰金
  • 個人番号カード、個人番号カードの不正取得
    • 番号利用法: 6月以下の懲役又は50万円以下の罰金

PIA(Privacy Impact Assessment)

  • 個人情報収集を行う情報システムの導入にあたり、プライバシーへの影響を事前に評価し、構築、運用を適正に行うプロセス
  • 国内規格(JIS)は策定されていないが、2008年に国際規格としてISO22307が策定されている

内部統制

  • 業務の有効性、効率性、財務報告の信頼性、事業活動の法令への遵守、資産の保全の目的を達成するためのプロセス

リスクマネジメント

JIS Q31000:2010

  • 組織の存在期間全体を通して適用できる
  • 戦略、意思決定、業務、プロセス、機能、プロジェクト、製品、サービス、資産等広範囲に適用できる
  • リスクアセスメント > リスク特定 > リスク分析 > リスク評価 > リスク対応
  • 直接損失: コンピュータの紛失、徘徊、盗難、事故による人的損失
  • 関節損失: 業務中断による機会損失、信用失墜、罰金を課される
  • 対応費用: 見舞金やお詫び広告、復旧費用

JIS Q27001:2014

  • 情報技術ーセキュリティ技術ー情報セキュリティマネジメントシステム
  • ISMSを確立、実施、維持し継続改善するためのもの

ISMS適合性評価制度

  • 情報セキュリティマネジメントシステム (Information Security Management System)
  • 組織が情報を適切に管理し、機密を守るための包括的な枠組みのことで、2000年に国際標準化機構(ISO)によってISO/IEC 17799という国際標準が定められた。
  • 認証取得では法人単位ではなく事業部、部、課、プロジェクト単位でも取得可能
  • 認証機関、要員認証機関、認定機関からなる総合的な仕組みによって運用されている
  • 認証登録後、1年ごとにサーベイランス(認証維持審査)が行われ更新審査は3年毎に行われる
  • メリットは対外的に情報セキュリティの信頼性を確保でき、内部的に事業競争力強化に繋げられること

MICTS(GMITS)

  • 非形式的アプローチ
    • 担当者や有識者が知識、経験からリスクを分析する
    • 分析者の能力による
  • 組み合わせアプローチ
    • 複数アプローチを併用し、長所短所を相互に保管する手法
    • 組織全体に対してはベースラインアプローチを利用し情報資産や組織に限定して詳細リスク分析を行う

詳細リスク分析

  • 厳密なリスク分析により適切な管理策の選択ができる
  • 緊急に対応が必要なリスクへの対処が遅れる場合がある
  • 分析、評価対象を特定し、情報資産の洗い出しと評価を行う、その後脅威の評価、脆弱性の評価を行い、経営者判断の評価基準に則りリスク評価を行う

リスク評価

  • 定性的評価、定量的評価に分かれる

定性的評価

  • JRMS: 一般財団法人日本情報経済社会推進協会 JIPDECが開発した質問表形式のリスク分析手法。JRMS2010が最新
  • CRAMM

定量的評価

  • ALE, FTA
ALE
  • NIST(米国立標準・技術院)が開発したALE(Annual Loss Exposure, Annualized Loss Expectancy)
  • 年間予想損失額を算出可能
  • ALE = 損失発生予想頻度 * 0.1 * 1回あたりの予想損失額

個人情報保護監査

  • 個人情報保護監査責任者のもとで内部監査部門が実施する
  • 個人情報保護監査責任者は個人情報保護管理者や個人情報管理委員会から独立している
  • もしくは外部の専門機関に監査依頼する
  • 監査証跡とは、情報システムへのアクセス状況、操作内容、処理内容を時系列に記録したもの

内部監査部門

  • 組織における代表者の直轄部門

個人情報管理委員会

  • 個人情報保護の推進を継続的に取り組む為の意思決定機関
  • 経営資源の確保、保護体制の定期的なレビュー等を行う
  • 営業や総務、人事等実際の業務に熟知した人材を中心に招集される

事務局

  • 従業者への個人情報保護に関する教育を、個人情報管理委員会承認のもと計画、実施する
  • 従業者への周知、教育、運用、見直し

個人情報の棚卸し

  • 個人情報保護体制は全社的に運営することが重要であり部門ごとに管理情報が異なっても集約し管理する必要がある

漏洩事故

  • 漏洩事故発生時には認定個人情報保護団体の対象事業者の場合、保護団体へ報告し、所属する業界団体等関係機関にも報告を行うことが望ましい
    • 認定個人情報保護団体の対象事業者ではない場合、個人情報保護委員会へ報告を行う
  • 紛失した個人データを第三者へ見られず回収し二次被害防止の観点から公表する必要必要がない場合事実関係の公表はしなくてよい

苦情対応

  • 苦情の受付 > 苦情相談窓口(一時対応) > 個人情報取り扱い部門(二次対応) > 事務局(三次対応)
  • 苦情内容と対応結果を事務局に報告し、個人情報取扱業務の見直しが必要か判断する
  • 個人情報管理委員会は事務局がまとめた内容を評価し、問題があれば苦情処理プロセスの見直しを実施する

入隊管理

  • アンチパスバック: 共連れやすれ違い等不正入室を防ぐ機能
  • フラッパーゲート: 登録IDカードを所持しているものだけを通過させる、共連れができない

事業継続ガイドライン

  • BCM(事業継続管理)を理解し、導入し、自社の重要事項として実施する
  • BCP(事業継続計画)の発動時、戦略や対策に適切な判断を行い、予想を越えた事態が発生した場合は既存BCPを柔軟に活用し臨機応変に対応すること

不正アクセス対策

IDS(Intrusion Detection System)

  • 侵入検知システム
  • ネットワーク、ホストへの不正アクセスを監視
  • ネットワーク全般を監視: NIDS
  • ホストにインストールして監視: HIDS

IPS(Intrusion Prevention System)

  • 侵入防止システム
  • ネットワーク全般を監視: NIPS
  • ホストにインストールして監視: HIPS
  • IDSよりセキュリティは高いが処理が遅くなる

RSA(Rivest-Shamir-Adleman cryptosystem)

  • 公開鍵暗号化方式
  • 巨大な素数同士を掛け合わせた整数を素因数分解するのが困難という仮定
  • 512,1024,2048bit 可変長鍵が利用できる
  • デジタル署名にも用いられる

暗号化方式

  • 共通鍵暗号方式: 暗号化と複合に同一の鍵を使う。暗号複合の処理速度が速いが、相手の数だけ鍵が必要。代表的なものはDES,RC5があるが、DESが強度に問題がありAESが開発され実用化されている
  • 公開鍵暗号方式: 暗号化の鍵と複合の鍵を別々に使う。暗号複合の処理速度が遅い。RSAや楕円曲線暗号がある。応用構築したPKIによって安全なネットワーク通信が実現されている
  • ハイブリッド方式: 公開鍵暗号方式で共通鍵の受け渡しだけを行った後、実際のデータ送受信は共通鍵暗号方式で行う。安全性、運用管理性、処理効率性が高い

PKI認証

  • 電子メールに電子署名をつけ、メッセージが改竄されておらず送信者が本人であることを証明
  • 公開鍵暗号技術を応用して構築された環境
  • 電子メッセージの真正性と完全性が保証される

UTM(Unified Threat Management)

  • 統合脅威管理
  • 複数の異なるセキュリティ機能を1つのハードウェアに統合する

技術的脅威

  • ウォードライビング: 不正利用可能な無線LANアクセスポインタを探して車で走り回ること
  • ESSID(Extended Service Set Identifier:無線LANネットワークで使われる識別子)ステルス(無線LANアクセスポイントが発信する自身のビーコン信号を停止)やANY接続拒否を行う
  • ルートキット: ログ改竄ツールやバックドア作成ツールをまとめたパッケージ
  • バッファオーバーフロー: プログラムが確保したメモリ領域を超えてデータが入力された場合プログラムが暴走する
  • リプレイ攻撃: パスワード、暗号鍵を盗聴し、ユーザーになりすます
  • キャッシュポイズニング: DNSサーバに偽の情報を記憶させ、アクセスをリダイレクトする
  • STRIDE: 技術的脅威 Spoofing(なりすまし),Tampering(データ改竄),Repudiation(否認),Information Disclosure(漏洩),Denial of Service(サービス拒否),Elevation of Privilege(特権の昇格)の6つに分類
  • 標的型攻撃: 従業員や官公庁を装って不正プログラムが埋め込まれたファイルを電子メールに添付して送りつけ、コンピュータ内の情報が海外サーバに送信される危険がある
  • スパイウェア: 外部からシステム内に侵入し個人[機密]情報を外部へ送信するプログラム
  • ゼロデイ攻撃: OS、ソフトウェアに脆弱性が発見され、修正パッチが適用される前に攻撃する

人的脅威

  • ソーシャル・エンジニアリング: 管理者を装ってパスワードを聞き出す。トラッシング手法が利用されたりする
  • リバース・ソーシャル・エンジニアリング: 仕掛けを作っておきターゲットからの行動を待つ手法、ネットワークメンテナンス業者を装い偽りのメールを担当者に送信、トラブルが発生した際に担当者から連絡を受けユーザIDとパスワードを聞き出す

近畿大学卒業式スピーチ

近畿大学卒業式における、堀江貴文のスピーチ

{引用ここから}
…(中略)…
皆さんが知らないうちに世界中のすごい人たちが、どんどん新しい技術を開発し世の中を変えていっています。
まず、今その事実に気づいて下さい。
今まではレールに乗って、大学を卒業すればよかったかもしれないですが、これからはそんなに甘くないです。
自分でできるだけ多くの情報に接することが大事です。
その為のツールは揃っています。

…(中略)…
世界中のすばらしい、頭のいい先を行っている人達の情報を触れることができるので、それだけは頭の中に入れておいて下さい。
そして、それだけじゃだめです。
これからは、そうして仕入れた情報を、”自分の頭で考えて、そして自分で発信して頭の中を整理して自分で考える癖” をつけていかなければならない。
それを、インターネットでブログやら、SNSで発信し続ければいい。
できれば毎日やってほしい。そうすることによって世界中の様々な情報を頭の中に入れて、考えて自分なりの判断ができるようになると思います。

何故そんなことをしなければならないのか。
これからは、権威が当たり前ではなくて、当てにならない時代になってくると思います。
今まではレールの上を走って、先生が言うこと、マスメディアが言うこと、会社の上司が言うことに従っていればよかったかもしれないです。
しかし、そんな時代がとうに終わりに近づいています。
これも全てがインターネットが作り出した、グローバル化がもたらしたことです。

みなさん、ほとんど日本人かもしれないです。まぁ、日本人でしょう。
日本は、戦後何十年も高度経済成長でそして、世界第一位、第二位の経済大国と言われるようになりました。
非常に豊かになりました。僕の世代よりも上の世代じゃないと、日本が貧しかった時代のことは知らないと思います。
豊かな日本が当たり前だった時代は当の昔に終わりました。
皆さんはそこにも気づいていないかもしれない。

先日、札幌でタイ式マッサージを受けてきました。
90分、6500円でしたが、ポイント割引で90分5000円でした。
今年の1月、タイという東南アジアの国に行ってきましたが、そこでは90分合計700バーツ、約2500円です。
北海道札幌とタイの代金の差は2倍の差しかないです。
ものすごい勢いで東南アジア、発展しています。彼らの中の高給取りの人たちは、完全に日本人のホワイトカラーのの年収を上回っています。
そして富裕層の人がごろごろいます。
タイのバンコクに行くと、1人5万円の寿司屋が毎日満員だそうです。

そんな時代に突入しつつあります。
そして、そんな時代に突入しつつあるという危機感を持っている人はほとんどいません。
これは、皆さん学生さんだけじゃなくて、政財界でもそういう危機感を持っている人は少ない。

グローバル化というのは、そういうことです。
特に日本というインフラが整っていない国、いきなり携帯電話の基地局ができます。
そして、中国の会社が作ったスマートフォンが、100ドル以下でばら撒かれます。
そうやって、今までインフラが整ってきていなかった、例えばアフリカの国の人たちが、そうやって簡単に世界最高峰の知に触れる機会を持つことになります。
頭のいい人達がスマートフォンを持ち、世界最高峰の知に触れることになります。
皆さんは、その人たちと同じ土俵に立って生きていくことになります。
恐らく、最初に僕が言った努力をしない人たちは、取り残されていくことになります。
厳しい社会がこれから待ち受けています。

…(中略)…
そんな時、どうすれば生きていける人間になっているのか。
それは、最初にまず僕が言った通り、情報を自分で収集して、自分の頭で考えて行動する力を身につけることです。
そして、常識に縛られないことです。
今皆さんが常識だと思っていることは、20年前は常識ではなかったものが沢山ある。
常識とか道徳とか倫理とか、こういったものは5年10年単位で簡単に書き換わります。
そしてそのスピードというのは、グローバル化で加速していくことになると思います。

だけれども、未来を悲観することはないです。
未来は、僕は、皆さんの心掛け次第だと思う。

私は、皆さん知っている人からすると、ジェットコースターのような人生を歩んできたと思われているかもしれません。
そして、数々の失敗を繰り広げてきたと思っているでしょう。
部下から裏切られたり、信頼されている人から裏切られて辛くないですかと、恨んでないんですかと聞かれることがすごく多いです。
でも、僕は悪いことは忘れることにしています。過去を悔やんでもいいことは何一つないです。

これから皆さんどんどん失敗していくと思います。
チャレンジをすることは失敗する確立も上がるということです。
逆に言うと、チャレンジしなければ失敗することはないかもしれない。でも成功することもありえない。

だから、失敗した時にいい処方箋というのは、失敗した段階で再発防止策を考える。
二度と失敗しないためにはどうすればいいのかその場で考える。
そして、考えたら酒でも飲んで騒いで忘れる。次の日にはすっぱり忘れる。私はそうしている。

そして、これから自分達でチャレンジしていくことは必ず上手くいくと思い込むことです。
皆さん、私がさっき言ったグローバル化で道なき道を歩んでいかなければならない。
大変だということで、年金はもらえるんでしょうかとか、日本はどうなっていくんでしょうかとか、私はとても不安ですという人がすごく多い。
だけど、僕は老後のことなんか考えない。
老後のことは老後になってから考えましょう。いくら考えたって50年後のことは分かりっこないです。
50年前のSF映画を見てみて下さい。笑っちゃうような描写ばかりだと思います。

人間なんて、5年先の未来も僕だって予測できません。
今から10年前に、皆が歩きスマホをしながら、TwitterとかLINEをしてる姿を想像できましたか。できなかったでしょう。僕もできませんでした。
未来を考えることは意味がない。
そして過去を悔やんでいる暇は、皆さん無いはずだ。

これからグローバル化で競争が激化してきますが、未来には楽しいことしかないと思います。
どうやったら楽しくできるか。
それは、今を一生懸命生きることです。
なぜ私が、色々なことにチャレンジして、色々な失敗をしながら、沢山の人に裏切られながらもこうやって楽しく生きていられるのは、私が今を生きているからです。今を集中して生きているからです。
僕は集中すると周りが見えなくなるくらい集中します。
まさに、寝食を忘れて熱中する癖があります。
皆さんもそうなってほしいです。

これから生きていく上で大事なことは、”目先のことに集中する”ことだと思う。
まずそれをやって下さい。
それをやらない限り、何も始まらない。

…(中略)…
未来を恐れず、過去に執着せず、今を生きろ。
頑張って、一生懸命生きて下さい。

{/引用ここまで}

高校/大学に戻れるとすれば、未来の投資の為にどれだけのアクションを取れるかを念頭に置き、そのことだけにフォーカスしつつ最低限の学業を行えばよかったと思う。
如何に自分がITを利用して、武装化できるか。
全てがグローバル化により価値競争が激化する中で、如何に自分を売り込むことができるか。
「これだけのことをしてきて、これが魅力なんです」と語れる人間になれるか。
毎日を怠惰に何も考えず過ごしている時間は、勿体無い。

保護中: 日次自分定例

このコンテンツはパスワードで保護されています。閲覧するには以下にパスワードを入力してください。

保護中: 住民税

このコンテンツはパスワードで保護されています。閲覧するには以下にパスワードを入力してください。

保護中: 転職

このコンテンツはパスワードで保護されています。閲覧するには以下にパスワードを入力してください。