中小事業者・団体向け 　　個人情報保護法説明会 　～個人情報の取扱についてのルール・制度に関する説明～

中小事業者・団体向け

個人情報保護法説明会

～

_{個人情報の取扱についてのルール・制度に関する説明～}

はじめに

◎平成２７年９月 個人情報保護法（以下「法」という。）の改正

公布の日（平成２７年９月９日）から２年以内の政令で定める日

→平成２９年５月３０日全面施行

◎個人情報取扱事業者

顧客や従業員の個人情報（氏名、住所、電話番号等）を紙面やパソコンで名

簿化して事業に活用しているすべての事業者に適用される。

→法人・個人、営利・非営利を問わず（NPO法人や自治会、PTAなども）

＊改正前は取り扱う個人情報の数が５０００人分以下の事業者は規制の対象外

であった

特例的対応と適用除外

◎特例的対応 小規模の事業者における安全管理措置については事業活動が円滑に行われるよう配慮 ＊従業員数が１００人以下の事業者（ただし、取り扱う個人情報の数が５０００人分超の事 業者や委託に基づいて個人データを取り扱う事業者は除く） ◎適用除外 １ 放送機関、新聞社、通信社その他の報道機関→報道の用に供する目的 ２ 著述を業として行う者→著述の用に供する目的 ３ 大学その他の学術研究を目的とする機関等・その所属者→学術研究の用に供する目的 ４ 宗教団体→宗教活動の用に供する目的 ５ 政治団体→政治活動の用に供する目的

法の目的

①高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み ②個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人 情報の保護に関する施策の基本となる事項を定め ③国及び地方公共団体の責務等を明らかにするとともに ④個人情報を取り扱う事業者の遵守すべき義務等を定めることにより ⑤個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊 かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個 人の権利利益を保護することを目的とする。

個人情報とは

◎生存する個人に関する情報で、次のいずれかに該当するもの ①当該情報に含まれる氏名、生年月日その他の記述等で作られる記録により特定の個人を 識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人 を識別することができることとなるものを含む） ②個人識別符号が含まれるもの →死者に関する情報は原則として対象とならない →氏名、住所、生年月日、顔写真、指紋認識データ、マイナンバー、旅券番号、免許証番号 個人の身体的特徴を変換したもの等も個人情報

個人識別符号とは

◎以下のいずれかに該当するものであり、政令・規則で個別に指定される ①身体の一部の特徴を電子計算機のために変換した符号 →ＤＮＡ、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋 ②サービス利用や書類において対象者ごとに割り振られる符号 →公的な番号 例）旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー等

要配慮個人情報とは

◎人種、信条、社会的身分、病歴、前科・前歴、犯罪被害情報など不当な差別、偏見等を生じ るおそれのあるもの 具体例） ・身体障害・知的障害・精神障害等があること ・健康診断その他の検査の結果 ・保健指導、診療・調剤情報 ・本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行われたこと ・本人を非行少年等として、保護処分等の少年の保護事件に関する手続が行われたこと ＊取得については事前に本人の同意を得ることが必要 ＊オプトアウト手続きが取れない

個人情報データベース等と個人データとは

◎個人情報データベース等 特定の個人情報について、コンピュータ等を用いて検索することができるように体系的に構 成した個人情報を含む情報の集合物のことで、コンピュータを用いていない場合でも紙面で 処理した個人情報を一定の規則（例：五十音順）に従って整理・分類し、特定の個人情報を容 易に検索することができるよう目次、索引、符号等を付し、容易に検索可能な状態にしている ものも含む ◎個人データ 「個人情報データベース等」を構成する個人情報

保有個人データとは

◎個人情報取扱事業者が、本人又はその代理人から求められる開示、内容の訂正等の全て に応じることができる権限を有する個人データ ただし、以下のいずれか及び６か月以内に消去（更新することは除く）するものは除く ①本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの ②違法又は不当な行為を助長し、又は誘発するおそれがあるもの ③国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は 他国若しくは国際機関との交渉上不利益を被るおそれがあるもの ④犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがある もの

個人情報取扱事業者の義務①

◎利用目的の特定（法１５条） できる限りの特定と利用目的を変更する場合（関連性があると合理的に認められる範囲） ◎利用目的による制限（法１６条） 利用目的の達成に必要な範囲の取扱と例外事由 ◎適正な取得（法１７条） 偽りその他不正な手段による取得の禁止と要配慮情報の取得には同意が必要 ◎取得に際しての利用目的の通知等（法１８条） 利用目的の公表又は通知（変更があった場合も） ＊取得の際に目的が明らかな場合は通知等をしなくても

基本的な例外事由

①法令に基づく場合 ②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ること が困難であるとき ③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本 人の同意を得ることが困難であるとき ④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行する ことに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂 行に支障を及ぼすおそれがあるとき

個人情報取扱事業者の義務②

◎データ内容の正確性の確保（法１９条） 個人データの正確かつ最新の内容保持と消去の努力義務 ◎安全管理措置（法２０条） 個人データの漏えい、滅失又はき損の防止と必要かつ適切な安全管理措置 ◎従業者の監督（法２１条） 従業者に対する必要かつ適切な監督 ◎委託先の監督（法２２条） 委託を受けた者に対する必要かつ適切な監督

個人情報取扱事業者の義務③

◎第三者提供の制限（法２３条） 以下のいずれかの場合以外は、本人の同意なしに個人データを第三者に対して提供してはいけ ない。 ①法令に基づく場合、②人の生命、身体又は財産の保護のために必要がある場合であっ て、本人の同意を得ることが困難であるとき、③公衆衛生の向上又は児童の健全な育成の 推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき、④国 の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行すること に対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に 支障を及ぼすおそれがあるとき ＊但し、委託、事業承継、共同利用に伴って提供する場合は、第三者への提供に当たらない

オプトアウト手続

◎本人の同意を得ない場合の第三者に対しての提供（社内の部署間は提供でない） 以下の手続が必要 １ 本人の求めに応じて、その本人のデータの提供を停止することとする ２ 以下の①から⑤をホームページに掲載するなど、本人が容易に知ることができる状態に しておく ①第三者提供を利用目的としていること、②提供される個人データの項目、③提供の方 法、④本人の求めに応じて提供を停止すること、⑤本人の求めを受け付ける方法 ３ 本人に通知した事項を個人情報保護委員会に届け出る ＊但し、要配慮個人情報については、オプトアウト手続による提供は禁止

個人情報取扱事業者の義務④

◎第三者提供に係る記録の作成等（法２５条） ・第三者へ提供したときは、受領者の氏名等を記録し一定期間保存 ・保存期間は原則３年（本人に対する物品等の提供に関連して本人同意のもとで提供した場 合は１年） ・本人との契約等に基づく提供については既存の契約書等で代替可能 ・反復継続して提供する場合は包括的な記録で足りる

個人情報取扱事業者の義務⑤

◎第三者提供を受ける際の確認等（法２６条） 第三者から個人データを受け取るときは、提供者の氏名等、取得経緯を確認し、受領年月 日、確認した事項等を記録し、一定期間保存する。 ＊次のようなケースでは確認・記録義務がかからないと整理 ・本人による提供と整理できるケース（例:SNS上の個人のプロフィール） ・本人に代わって提供と整理できるケース（例：銀行振込） ・本人側への提供と整理できるケース（例：同席している家族） ＊名簿屋対策 第三者提供時の記録等、第三者から受領時の確認・記録等 →違法に取得した思われる名簿は取得しない ₁₈

◎外国にある第三者への提供の制限（法２４条） 以下のいずれかに該当する必要 ①外国第三者へ提供することについて本人の同意を得る ②外国第三者が個人情報保護委員会の規則で定める基準に適合する体制を整備している ③外国にある第三者が個人情報保護委員会が認めた国に所在する ＊②の「適合する体制」について ・提供を受ける者における個人データの取扱いについて、適切かつ合理的な方法により、個人 情報保護法の趣旨に沿った措置の実施が確保されていること ・個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受 けていること

個人情報取扱事業者の義務⑥

個人情報取扱事業者の義務⑦

◎保有個人データに関する事項の公表等（法２７条） ◎開示（法２８条） 本人に請求権あり ◎訂正等（法２９条） 訂正の他に、追加又は削除 ◎利用停止等（法３０条） 法１６条・法１７条に違反するとき ◎理由の説明（法３１条） 努力義務 ◎開示等の請求に応じる手続き（法３２条） ◎手数料（法３３条） 開示の他に、求められての利用目的の通知に関するものも ◎事前の請求 訴えを提起する前に必要な請求 ＊個人情報取扱事業者による苦情の処理（法３５条） 適切かつ迅速な処理

個人情報流出に関する事例①

◎盗難 ・個人情報が保存されているノート型パソコンの盗難 ・個人情報が記録されたデスクトップ一体型パソコンの盗難 ・ノ－ト型パソコンが車上荒らしにより盗まれた ・保管期間が経過して廃棄予定になっていた書類の盗難 ◎紛失 ・個人情報が記載された書類の紛失 ・個人情報が含まれたＵＳＢメモリの紛失（会社内、出張中など） ・業務用携帯電話の紛失 ・退職者による情報の紛失

個人情報流出に関する事例②

◎置き忘れ ・コンビニエンスストアにＵＳＢメモリが入ったケースを置き忘れ ・電車内にノートパソコンを置き忘れ ◎通信手段関係 ・個人情報が含まれているファイル（複数の操作を行うことで個人情報の閲覧が可能となるも の）がインターネットを経由しアクセス可能な状態であった ・メールにて利用手続きの変更のお知らせを一斉配信した際、登録されている者全てへ、ＢＣ Ｃで配信すべきところを誤って、送信先に登録者のメールアドレスや登録児童の氏名が表 示される状態で送信 ・ＦＡＸ又はメールにより誤送信

個人情報流出に関する事例③

◎委託業者関係 ・廃棄業者の手違いにより資源ゴミに混入されてしまい、運搬途中に公道でその一部が飛散 ・保管期限の過ぎた書類を焼却処分するため委託業者車両にて運搬中に車外に飛散 ◎その他 ・個人情報が含まれた資料を用いてプレゼンテーションを行った ・委託している警備業務において、社員と偽った男性に対し、他の社員の氏名を知らせた ・飲食店等での会話

重大な個人情報流出事故

◎日本年金機構 職員の端末に対する外部からのウイルスメール（添付ファイルの開封）による不正ア クセスにより、保有している約１２５万件の個人情報の一部が外部に流出した事故。 ◎ベネッセ 業務委託先元社員がお客様情報をデータベースから不正に取得し、約３５０４万件分 の個人情報を名簿業者３社へ売却していた事故。 ◎三菱ＵＦＪ証券 システム部元社員が、個人のお客様情報を不正に取得し、４万９１５９人（ただし、 不正取得した情報は１４８万６６５１人分）の個人情報を名簿業者へ売却した事故。

各段階でのルール作り

◎取得・利用するときのルール 利用目的の特定、その通知、適正な取得、目的外利用の原則禁止など ◎保管するときのルール ４種類の安全管理措置（小規模の事業者については特例的対応） ◎他人に渡すときのルール 原則として本人の同意を得る、例外事由該当性の確認 ◎開示等を求められたときのルール 開示や訂正等の請求を断らないこと、手数料など

安全管理措置①

◎組織的安全管理措置 責任者・担当者の明確化、規程等の策定・運用、評価・見直し、事故・違反への対処など ◎人的安全管理措置 個人情報保護に関する契約・誓約等、従業員への周知・教育等など ◎物理的安全管理措置 入退室の管理、盗難の防止など ◎技術的安全管理措置 アクセス制御、アクセス権限の管理、アクセスの記録、ウィルス対策ソフトを導入など

安全管理措置②

◎具体的には ①資料や外部記憶媒体の管理について ・私物等の使用禁止、資料等の持ち帰り禁止 ・鍵のついた書庫等での保管（鍵の管理も） ②帳票類・電子データ・社員証の管理について ・放置の禁止や施錠保管等 ③サーバや端末等の管理について ・窃視の防止やワイヤーロックによる固定 ・入退室管理、ラックの施錠管理

匿名加工情報①

◎匿名加工情報とは 次に掲げる区分・措置に応じて、特定の個人を識別することができないように個人情報を 加工して得られる個人に関する情報で、当該個人情報を復元できないようにしたもの ①個人識別符号以外の個人情報 当該個人情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元する ことのできる規則性を有しない方法により他の記述等に置き換えることを含む） ②個人識別符号 当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復 元することのできる規則性を有しない方法により他の記述等に置き換えることを含む）

匿名加工情報②

匿名加工情報取扱事業者の義務 ◎匿名加工情報の作成等（法３６条） 個人情報保護委員会規則に従い、復元できないよう加工、漏えい防止等、公表、明示など ◎匿名加工情報の提供（法３７条） 個人情報保護委員会規則に定めるところにより、提供方法等の公表や明示 ◎識別行為の禁止（法３８条） 他の情報との照合禁止など ◎安全管理措置（法３９条）

個人情報保護委員会と認定個人情報保護団体

◎個人情報保護委員会 個人情報取扱事業者に対する監督権限を各分野の主務大臣から委員会に一元化 ・事業者に対して必要に応じて報告を求めたり立入検査を行うことができる ・実態に応じて、指導・助言、勧告・命令を行うことができる ◎認定個人情報保護団体 事業者の個人情報の適切な取扱の確保を目的として国の認定を受けた民間団体 ・対象事業者への情報提供、個人情報に関する苦情の処理など 業界の特性に応じた自主的なルールの作成に関する努力義務

罰則

◎国からの命令に違反した場合 →６ヶ月以下の懲役又は３０万円以下の罰金 ◎不報告・資料の不提出、虚偽の報告。資料の提出、答弁・検査の拒否等をした場合 →３０万円以下の罰金 ◎個人情報データベース等不正提供罪 従業員等が不正な利益を図る目的で個人情報データベース等を提供又は盗用した場合 →１年以下の懲役又は５０万円以下の罰金