• 1. 個人情報保護法が やってくる… やってくる… <ul><li>太田 敏文 </li></ul>
  • 2. 免責についてm(_ _)m <ul><li>個人情報保護法に連携した判例は今のところありません </li></ul><ul><li>「鑑定」は弁護士法に抵触します </li></ul><ul><li>「…という考え方があります」という言い回しになります </li></ul>
  • 3. はじめに… <ul><li>個人情報保護法制定の背景 </li></ul><ul><li>「個人情報」ってナニモノ? </li></ul><ul><li>「個人情報取扱事業者」とは? </li></ul><ul><ul><li>わたしたち IT 技術者との関わり </li></ul></ul><ul><li>やっておかなければならないこと </li></ul>
  • 4. 個人情報保護法と制定の背景 <ul><li>情報のデジタルデータ化 </li></ul><ul><ul><li>情報の加工・保管・照合・再利用・伝送などが容易となる </li></ul></ul><ul><ul><li>通常デジタルデータ化に必要となる作業は一度* だけ * </li></ul></ul>
  • 5. 制定の背景(承前) <ul><li>IT 基盤の充実 </li></ul><ul><ul><li>インターネット接続の普及 </li></ul></ul><ul><ul><li>パソコンの価格対性能比の向上 </li></ul></ul><ul><ul><li>記録装置の低廉化 </li></ul></ul><ul><li>… ということは… </li></ul>
  • 6. 情報が横溢する時代 <ul><li>だれにでも膨大な情報を取り扱うことができる </li></ul><ul><li>だれにでも膨大なデータを作成することができる </li></ul><ul><li>いったん制御を失えば二度と回復することはできない </li></ul>
  • 7. 個人情報保護法の要旨 <ul><li>個人情報の保護に関する法律 </li></ul><ul><ul><li>2003年5月23日成立 </li></ul></ul><ul><ul><li>2003年5月30日公布・施行 </li></ul></ul><ul><ul><ul><li>ただし部分的施行 </li></ul></ul></ul><ul><ul><li>2005年4月1日から全面施行 </li></ul></ul>
  • 8. 要旨(承前) <ul><li>第一章 総則 </li></ul><ul><li>第二章 国および地方公共団体の責務等 </li></ul><ul><li>第三章 個人情報の保護に関する施策等 </li></ul><ul><ul><li>… 2005年4月1日より施行… </li></ul></ul><ul><li>第四章  個人情報取扱事業者 の義務等 </li></ul>
  • 9. 部分的施行の背景 <ul><li>国や地方公共団体等の整備を優先 </li></ul><ul><ul><li>制度の受け皿として </li></ul></ul><ul><ul><li>指導監督する立場として </li></ul></ul><ul><li>既存の法律や制度との調整が必要 </li></ul><ul><ul><li>情報公開法 </li></ul></ul><ul><ul><li>報道の自由・表現の自由etc... </li></ul></ul>
  • 10. 部分的施行の背景(承前) <ul><li>事業的にかなりの負担が予想される </li></ul><ul><ul><li>設備的・人的投資は必須 </li></ul></ul><ul><ul><li>対応作業にも時間が必要 </li></ul></ul><ul><ul><li>「現実的な対応」の模索も必要 </li></ul></ul><ul><li>しかし、あと一年を切りました… </li></ul>
  • 11. 個人情報とはナニヤツ? <ul><li>生存する個人に関する情報 </li></ul><ul><ul><li>個人識別情報型 </li></ul></ul><ul><ul><li>プライバシ型 </li></ul></ul><ul><li>「個人識別情報型」個人情報 </li></ul><ul><ul><li>住所・氏名・性別・年齢etc... </li></ul></ul>
  • 12. 個人情報とは?(承前) <ul><li>「プライバシ型」個人情報 </li></ul><ul><ul><li>事実または事実らしく受け取られる恐れがある </li></ul></ul><ul><ul><li>本人が公開を望んでいない </li></ul></ul><ul><ul><li>一般の人に未だ知られていない </li></ul></ul>
  • 13. 「個人情報データベース 等 」 <ul><li>特定の個人を識別することができる </li></ul><ul><ul><li>「他の情報と 容易 に照合することができ…」 </li></ul></ul><ul><ul><ul><li>新たな調査やアプリケーションなどの追加を必要としない </li></ul></ul></ul>
  • 14. 個人情報データベース(承前) <ul><li>アクセスログ・メールアドレスは? </li></ul><ul><ul><li>そのままなら個人情報とはならない </li></ul></ul><ul><ul><ul><li>解析やマイニングの結果「ひもづけ」されたら個人情報 </li></ul></ul></ul><ul><li>「…データベース 等 」 </li></ul><ul><ul><li>オフラインの紙ベースも含まれる </li></ul></ul>
  • 15. 個人情報取扱事業者 <ul><li>個人情報データベース 等 </li></ul><ul><li>事業の用に供しているもの </li></ul><ul><li>国の機関・地方公共団体・独立行政法人 等 は除く </li></ul><ul><li>政令で定めるものは除く </li></ul>
  • 16. 「保有個人データ」 <ul><li>6ヶ月以上 </li></ul><ul><li>5,000 件以上 </li></ul><ul><ul><li>氏名 等 のみそのまま使う場合は除外 </li></ul></ul><ul><ul><ul><li>カーナビ、携帯電話、年賀状などに配慮 </li></ul></ul></ul>
  • 17. … ということは… <ul><li>一般的な顧客管理システムの運用者はほぼ100% 個人情報取扱事業者確定 </li></ul><ul><li>メールマガジンは? </li></ul><ul><ul><li>おそらくボーダーライン… </li></ul></ul><ul><li>顧客・協力会社などとの関係を整理しておく必要あり(後述) </li></ul>
  • 18. 顧客・協力会社との関係 <ul><li>NDA 契約の見直しが必要 </li></ul><ul><li>入力代行委託など </li></ul><ul><li>名簿管理・コールセンタなどのアウトソーシング </li></ul><ul><li>システム開発委託 </li></ul>
  • 19. 個人情報取扱事業者の義務 <ul><li>利用目的の明示 </li></ul><ul><li>収集の制限 </li></ul><ul><li>正確性 </li></ul><ul><li>安全性 </li></ul><ul><li>透明性 </li></ul>
  • 20. 義務…利用目的の明示 <ul><li>できる限り特定しなければならない </li></ul><ul><li>利用目的の達成に必要な範囲を超えて取り扱ってはならない(同意が必要) </li></ul><ul><li>本人の同意を得ずに第三者に提供してはならない </li></ul>
  • 21. 義務…収集の制限 <ul><li>偽りその他不正の手段により取得してはならない </li></ul><ul><ul><li>収集すること自体には制限はない </li></ul></ul><ul><ul><ul><li>「センシティブ情報」に注意 </li></ul></ul></ul><ul><ul><li>(意図の有無に関わらず)取得したら通知が必要となる事に注意 </li></ul></ul>
  • 22. 義務…正確性 <ul><li>正確かつ最新の内容に保つよう努めなければならない </li></ul><ul><ul><li>適宜メンテナンスが必要 </li></ul></ul><ul><ul><li>当人(情報主体)とのコミュニケーションの確保が必要 </li></ul></ul>
  • 23. 義務…安全性 <ul><li>安全管理のために必要な処置を講じなければならない </li></ul><ul><li>従業者、委託先に対する必要な監督を行わなければならない </li></ul><ul><li>なんらかの管理態勢を具体的に整備しなければならないということ </li></ul>
  • 24. 義務…透明性 <ul><li>取得したときは利用目的を通知又は公表しなければならない </li></ul><ul><li>利用目的等を本人の知り得る状態におかなければならない </li></ul><ul><li>各種義務 </li></ul><ul><ul><li>開示・訂正・利用停止等 </li></ul></ul>
  • 25. 取扱事業者の義務(承前) <ul><li>事業者の自主的な取り組みとして </li></ul><ul><ul><li>事業者自身による苦情等の処理 </li></ul></ul><ul><ul><li>認定団体による苦情等の処理 </li></ul></ul><ul><ul><ul><li>主務大臣による認定 </li></ul></ul></ul>
  • 26. 取扱事業者の義務(承前) <ul><li>国の関与が明確になります </li></ul><ul><ul><li>報告の徴収・助言・勧告・命令 </li></ul></ul><ul><li>命令違反をすると… </li></ul><ul><ul><li>6月以下の懲役または30万円以下の罰金 </li></ul></ul><ul><li>民事は「別物」であることに注意 </li></ul>
  • 27. さて、どうしたものか… <ul><li>対外的に最低限度整備しなければならないもの </li></ul><ul><ul><li>個人情報保護方針の明示 </li></ul></ul><ul><ul><li>個人情報取得の目的の明示 </li></ul></ul><ul><ul><li>苦情・問い合わせ窓口の明示 </li></ul></ul>
  • 28. どうしたものか…(承前) <ul><li>内部的に整備しなければならないもの </li></ul><ul><ul><li>個人情報の所在を掌握できる態勢 </li></ul></ul><ul><ul><li>適切な隔離が実施できる環境 </li></ul></ul><ul><ul><li>照会などに迅速に対応できる態勢 </li></ul></ul><ul><ul><li>協力会社などに対する監督態勢 </li></ul></ul>
  • 29. どうしたものか…(承前) <ul><li>個人情報保護方針の策定 </li></ul><ul><ul><li>個人情報入手標準 </li></ul></ul><ul><ul><li>個人情報保管標準 -> 破棄 </li></ul></ul><ul><ul><li>個人情報利用標準 </li></ul></ul><ul><li>手順書と各種帳票の整備 </li></ul>
  • 30. … ということは… <ul><li>全社的態勢で対応することが必要 </li></ul><ul><ul><li>最高経営責任者の認識と担当役員の設置は必至 </li></ul></ul><ul><ul><li>総務・情報管理部門が核となる管理態勢 </li></ul></ul><ul><ul><li>広報・危機管理部門との協調も必要 </li></ul></ul>
  • 31. 危機管理について <ul><li>最高経営責任者との連携が必須 </li></ul><ul><li>危機管理発動の宣言 </li></ul><ul><li>権限の一時的委任が認められること </li></ul><ul><ul><li>明確な手順で情報の集約がされ迅速に意思決定が行われる </li></ul></ul><ul><li>危機管理終息の宣言 </li></ul>
  • 32. まとめ <ul><li>「まだ一年ある」ではダメ </li></ul><ul><li>対応しなければ会社存亡に関わります </li></ul><ul><li>社内管理態勢について抜本的に見直す絶好の機会 </li></ul><ul><li>もちろん「ビジネスチャンス」です </li></ul>
  • 33. 参考資料 <ul><li>個人情報保護法対策セキュリティ実践マニュアル </li></ul><ul><ul><li>日本ネットワークセキュリティ協会 </li></ul></ul><ul><ul><li>インプレスISBN4-8443-1858-6 </li></ul></ul>
  • 34. 参考資料 <ul><li>JIS Q 2001 </li></ul><ul><li>JIS Q 15001 </li></ul><ul><li>JIS X 5080 </li></ul><ul><li>民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン </li></ul>http://www.gip.jipdec.or.jp/policy/infopoli/privacy.html
    Please download to view
  • All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
    ...

    個人情報保護法

    by toshiboumi-ohta

    on

    Report

    Category:

    Technology

    Download: 0

    Comment: 0

    2,038

    views

    Comments

    Description

    個人情報保護法施行の際に作成したプレゼン
    Download 個人情報保護法

    Transcript

    • 1. 個人情報保護法が やってくる… やってくる… <ul><li>太田 敏文 </li></ul>
  • 2. 免責についてm(_ _)m <ul><li>個人情報保護法に連携した判例は今のところありません </li></ul><ul><li>「鑑定」は弁護士法に抵触します </li></ul><ul><li>「…という考え方があります」という言い回しになります </li></ul>
  • 3. はじめに… <ul><li>個人情報保護法制定の背景 </li></ul><ul><li>「個人情報」ってナニモノ? </li></ul><ul><li>「個人情報取扱事業者」とは? </li></ul><ul><ul><li>わたしたち IT 技術者との関わり </li></ul></ul><ul><li>やっておかなければならないこと </li></ul>
  • 4. 個人情報保護法と制定の背景 <ul><li>情報のデジタルデータ化 </li></ul><ul><ul><li>情報の加工・保管・照合・再利用・伝送などが容易となる </li></ul></ul><ul><ul><li>通常デジタルデータ化に必要となる作業は一度* だけ * </li></ul></ul>
  • 5. 制定の背景(承前) <ul><li>IT 基盤の充実 </li></ul><ul><ul><li>インターネット接続の普及 </li></ul></ul><ul><ul><li>パソコンの価格対性能比の向上 </li></ul></ul><ul><ul><li>記録装置の低廉化 </li></ul></ul><ul><li>… ということは… </li></ul>
  • 6. 情報が横溢する時代 <ul><li>だれにでも膨大な情報を取り扱うことができる </li></ul><ul><li>だれにでも膨大なデータを作成することができる </li></ul><ul><li>いったん制御を失えば二度と回復することはできない </li></ul>
  • 7. 個人情報保護法の要旨 <ul><li>個人情報の保護に関する法律 </li></ul><ul><ul><li>2003年5月23日成立 </li></ul></ul><ul><ul><li>2003年5月30日公布・施行 </li></ul></ul><ul><ul><ul><li>ただし部分的施行 </li></ul></ul></ul><ul><ul><li>2005年4月1日から全面施行 </li></ul></ul>
  • 8. 要旨(承前) <ul><li>第一章 総則 </li></ul><ul><li>第二章 国および地方公共団体の責務等 </li></ul><ul><li>第三章 個人情報の保護に関する施策等 </li></ul><ul><ul><li>… 2005年4月1日より施行… </li></ul></ul><ul><li>第四章  個人情報取扱事業者 の義務等 </li></ul>
  • 9. 部分的施行の背景 <ul><li>国や地方公共団体等の整備を優先 </li></ul><ul><ul><li>制度の受け皿として </li></ul></ul><ul><ul><li>指導監督する立場として </li></ul></ul><ul><li>既存の法律や制度との調整が必要 </li></ul><ul><ul><li>情報公開法 </li></ul></ul><ul><ul><li>報道の自由・表現の自由etc... </li></ul></ul>
  • 10. 部分的施行の背景(承前) <ul><li>事業的にかなりの負担が予想される </li></ul><ul><ul><li>設備的・人的投資は必須 </li></ul></ul><ul><ul><li>対応作業にも時間が必要 </li></ul></ul><ul><ul><li>「現実的な対応」の模索も必要 </li></ul></ul><ul><li>しかし、あと一年を切りました… </li></ul>
  • 11. 個人情報とはナニヤツ? <ul><li>生存する個人に関する情報 </li></ul><ul><ul><li>個人識別情報型 </li></ul></ul><ul><ul><li>プライバシ型 </li></ul></ul><ul><li>「個人識別情報型」個人情報 </li></ul><ul><ul><li>住所・氏名・性別・年齢etc... </li></ul></ul>
  • 12. 個人情報とは?(承前) <ul><li>「プライバシ型」個人情報 </li></ul><ul><ul><li>事実または事実らしく受け取られる恐れがある </li></ul></ul><ul><ul><li>本人が公開を望んでいない </li></ul></ul><ul><ul><li>一般の人に未だ知られていない </li></ul></ul>
  • 13. 「個人情報データベース 等 」 <ul><li>特定の個人を識別することができる </li></ul><ul><ul><li>「他の情報と 容易 に照合することができ…」 </li></ul></ul><ul><ul><ul><li>新たな調査やアプリケーションなどの追加を必要としない </li></ul></ul></ul>
  • 14. 個人情報データベース(承前) <ul><li>アクセスログ・メールアドレスは? </li></ul><ul><ul><li>そのままなら個人情報とはならない </li></ul></ul><ul><ul><ul><li>解析やマイニングの結果「ひもづけ」されたら個人情報 </li></ul></ul></ul><ul><li>「…データベース 等 」 </li></ul><ul><ul><li>オフラインの紙ベースも含まれる </li></ul></ul>
  • 15. 個人情報取扱事業者 <ul><li>個人情報データベース 等 </li></ul><ul><li>事業の用に供しているもの </li></ul><ul><li>国の機関・地方公共団体・独立行政法人 等 は除く </li></ul><ul><li>政令で定めるものは除く </li></ul>
  • 16. 「保有個人データ」 <ul><li>6ヶ月以上 </li></ul><ul><li>5,000 件以上 </li></ul><ul><ul><li>氏名 等 のみそのまま使う場合は除外 </li></ul></ul><ul><ul><ul><li>カーナビ、携帯電話、年賀状などに配慮 </li></ul></ul></ul>
  • 17. … ということは… <ul><li>一般的な顧客管理システムの運用者はほぼ100% 個人情報取扱事業者確定 </li></ul><ul><li>メールマガジンは? </li></ul><ul><ul><li>おそらくボーダーライン… </li></ul></ul><ul><li>顧客・協力会社などとの関係を整理しておく必要あり(後述) </li></ul>
  • 18. 顧客・協力会社との関係 <ul><li>NDA 契約の見直しが必要 </li></ul><ul><li>入力代行委託など </li></ul><ul><li>名簿管理・コールセンタなどのアウトソーシング </li></ul><ul><li>システム開発委託 </li></ul>
  • 19. 個人情報取扱事業者の義務 <ul><li>利用目的の明示 </li></ul><ul><li>収集の制限 </li></ul><ul><li>正確性 </li></ul><ul><li>安全性 </li></ul><ul><li>透明性 </li></ul>
  • 20. 義務…利用目的の明示 <ul><li>できる限り特定しなければならない </li></ul><ul><li>利用目的の達成に必要な範囲を超えて取り扱ってはならない(同意が必要) </li></ul><ul><li>本人の同意を得ずに第三者に提供してはならない </li></ul>
  • 21. 義務…収集の制限 <ul><li>偽りその他不正の手段により取得してはならない </li></ul><ul><ul><li>収集すること自体には制限はない </li></ul></ul><ul><ul><ul><li>「センシティブ情報」に注意 </li></ul></ul></ul><ul><ul><li>(意図の有無に関わらず)取得したら通知が必要となる事に注意 </li></ul></ul>
  • 22. 義務…正確性 <ul><li>正確かつ最新の内容に保つよう努めなければならない </li></ul><ul><ul><li>適宜メンテナンスが必要 </li></ul></ul><ul><ul><li>当人(情報主体)とのコミュニケーションの確保が必要 </li></ul></ul>
  • 23. 義務…安全性 <ul><li>安全管理のために必要な処置を講じなければならない </li></ul><ul><li>従業者、委託先に対する必要な監督を行わなければならない </li></ul><ul><li>なんらかの管理態勢を具体的に整備しなければならないということ </li></ul>
  • 24. 義務…透明性 <ul><li>取得したときは利用目的を通知又は公表しなければならない </li></ul><ul><li>利用目的等を本人の知り得る状態におかなければならない </li></ul><ul><li>各種義務 </li></ul><ul><ul><li>開示・訂正・利用停止等 </li></ul></ul>
  • 25. 取扱事業者の義務(承前) <ul><li>事業者の自主的な取り組みとして </li></ul><ul><ul><li>事業者自身による苦情等の処理 </li></ul></ul><ul><ul><li>認定団体による苦情等の処理 </li></ul></ul><ul><ul><ul><li>主務大臣による認定 </li></ul></ul></ul>
  • 26. 取扱事業者の義務(承前) <ul><li>国の関与が明確になります </li></ul><ul><ul><li>報告の徴収・助言・勧告・命令 </li></ul></ul><ul><li>命令違反をすると… </li></ul><ul><ul><li>6月以下の懲役または30万円以下の罰金 </li></ul></ul><ul><li>民事は「別物」であることに注意 </li></ul>
  • 27. さて、どうしたものか… <ul><li>対外的に最低限度整備しなければならないもの </li></ul><ul><ul><li>個人情報保護方針の明示 </li></ul></ul><ul><ul><li>個人情報取得の目的の明示 </li></ul></ul><ul><ul><li>苦情・問い合わせ窓口の明示 </li></ul></ul>
  • 28. どうしたものか…(承前) <ul><li>内部的に整備しなければならないもの </li></ul><ul><ul><li>個人情報の所在を掌握できる態勢 </li></ul></ul><ul><ul><li>適切な隔離が実施できる環境 </li></ul></ul><ul><ul><li>照会などに迅速に対応できる態勢 </li></ul></ul><ul><ul><li>協力会社などに対する監督態勢 </li></ul></ul>
  • 29. どうしたものか…(承前) <ul><li>個人情報保護方針の策定 </li></ul><ul><ul><li>個人情報入手標準 </li></ul></ul><ul><ul><li>個人情報保管標準 -> 破棄 </li></ul></ul><ul><ul><li>個人情報利用標準 </li></ul></ul><ul><li>手順書と各種帳票の整備 </li></ul>
  • 30. … ということは… <ul><li>全社的態勢で対応することが必要 </li></ul><ul><ul><li>最高経営責任者の認識と担当役員の設置は必至 </li></ul></ul><ul><ul><li>総務・情報管理部門が核となる管理態勢 </li></ul></ul><ul><ul><li>広報・危機管理部門との協調も必要 </li></ul></ul>
  • 31. 危機管理について <ul><li>最高経営責任者との連携が必須 </li></ul><ul><li>危機管理発動の宣言 </li></ul><ul><li>権限の一時的委任が認められること </li></ul><ul><ul><li>明確な手順で情報の集約がされ迅速に意思決定が行われる </li></ul></ul><ul><li>危機管理終息の宣言 </li></ul>
  • 32. まとめ <ul><li>「まだ一年ある」ではダメ </li></ul><ul><li>対応しなければ会社存亡に関わります </li></ul><ul><li>社内管理態勢について抜本的に見直す絶好の機会 </li></ul><ul><li>もちろん「ビジネスチャンス」です </li></ul>
  • 33. 参考資料 <ul><li>個人情報保護法対策セキュリティ実践マニュアル </li></ul><ul><ul><li>日本ネットワークセキュリティ協会 </li></ul></ul><ul><ul><li>インプレスISBN4-8443-1858-6 </li></ul></ul>
  • 34. 参考資料 <ul><li>JIS Q 2001 </li></ul><ul><li>JIS Q 15001 </li></ul><ul><li>JIS X 5080 </li></ul><ul><li>民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン </li></ul>http://www.gip.jipdec.or.jp/policy/infopoli/privacy.html
  • Fly UP