スライド タイトルなし

関西大学 社会安全学部

教授・博士（法学）

髙野 一彦

2017年7月7日

日本経営倫理士協会（ACBEE）特別シンポジウム 2017

＜第Ⅰ部＞ 基調講演

改正個人情報保護法、GDPRの概要と

企業における課題

2

（１）

情報流出事件と

2004年 ヤフーBB顧客情報流出事件 460万件（内部者の窃取）

2006年 防衛庁／自衛隊「秘」扱い情報流出事件（ウイニー）

2007年 大日本印刷個人情報流出事件 863万件（委託先社員の窃取）

2007年 デンソー技術データ流出事件 13万点の図面（従業員の窃取）

2009年 三菱UFJ証券顧客情報流出事件 148万件（部長代理の窃取）

2011年 ソニーPSNから7000万人を超える個人情報が流出（ハッキング）

2012年 新日鐵、営業秘密の不正取得でパスコなどを提訴（元従業員）

2013年 東芝、フラッシュメモリー技術情報の不正取得（元委託先社員）

2014年 ベネッセコーポレーション顧客情報流出事件（委託先社員の窃取）

2015年 年金機構事件 （標的型メールによるウイルス感染）

2016年 JTB顧客情報流出事件 約679万件（標的型メールによるウイルス感染）

2017年 JINSオンラインショップ 約118万件流出の可能性（不正アクセス）

過去の主な情報流出事件

内部者による犯行、近年はウイルス・不正アクセスが目立つ

3

出典：平成24年度経済産業省委託調査「人材を通じた 技術流出に関する実態調査」（2013年）

技術情報の流出

個人情報の流出

出典：消費者庁｢個人情報の保護に関する 事業者の取組実態調査｣（2012年）

情報流出の発生頻度

｢情報流出｣は、他のリスクに比べて、

発生頻度が極めて高い

「明らかに漏えい事案があった」、

「おそらくあった」の2項目で合計13.5%

個人情報の漏洩（含む紛失）が

「あった」と答えた事業者は11.1%

4

情報漏えいと企業のリスク

個人情報漏えいと損害

①訴訟リスク ＝ 本人のプライバシー侵害

②罰則リスク ＝ 個人情報保護法違反

③損害賠償リスク ＝ 契約違反により取引先より請求

③株主代表訴訟リスク ＝ 管理体制の不備による損害

④その他 ＝ 被害者への補償、業務ストップ、信用喪失など

大きな損害＝企業の『情報セキュリティー』は経営上の重要マター

5

近年の情報漏えい事件

Y社 ＝ 450万人顧客情報流出（2004） ⇒ 損失29億円

A社 ＝ 13万件顧客情報流出（2009）⇒ 損失69億円

B社 ＝ 3504万件（2014） ⇒ 特別損失260億円を計上

損失額：Y社は経産省資料、A社・B社は報道による

不正取得行為への法的制裁

6 ①秘密管理性： 秘密として管理している ②有用性： 経済的に有用な情報であること ③非公知性： 公に知られていない情報であること 営業秘密の定義 争点は「秘密管理性」 客観的認識可能性、アクセス制限 営業秘密の秘密管理性が争点になった 81 件の裁判で、秘密管理性を認めた 判例は23 件（28.4％）。「営業秘密管理指針」2010、8頁

情報法の間隙の補完

アメリカ

1996年 経済スパイ法 （Economic Espionage Act）成立

経済スパイ罪 （連邦法典18編 第1831条）

外国政府等の利益のためのレード・シークレットの窃取 トレード・シークレット窃盗罪 （同、第1832条）

民間におけるトレード・シークレットの窃盗全般

U.S. v. Okamoto, Serizawa (2001年)

日本人が逮捕された事件

U.S. v. Zhu, Kimbara (2002年） １．秘密管理性の違い 日本 ⇒ 客観的認識可能性、アクセス制限 アメリカ ⇒ 秘密としての合理的な管理 ※「合理性」は、本人が秘密と認識していたか？ ２．親告罪・非親告罪 日本 ⇒ 私人（民間）が訴えを起こす必要がある アメリカ ⇒ 法律の適用は検察の裁量に委ねられる

わが国の不正競争防止法（営業秘密侵害罪）との違い

UK 98年 データ保護法（Data Protection Act 1998） 第55条 個人データの違法な取得等への刑事罰）

イギリスの個人データの不正取得行為への処罰

営業秘密管理指針で 「秘密管理措置」へ （2015.1.28改訂） 改正不正競争防止法 で非親告罪化 （2015.7.3成立） 改正個人情報保護法 で刑事罰を新設 （2015.9.3成立）

法改正の論点

営業秘密管理指針

（2015年1月28日全部改訂） 不正競争防止法における秘密管理性要件の明確化を目的とした法解釈に特化した ものとして全面改訂。 従前の秘密管理性は２つの要件が必要であった ①アクセス制限： 情報にアクセスできる者を特定すること ②客観的認識可能性：情報にアクセスした者が、それが秘密と認識できること 新たな営業秘密管理指針 （2015年1月28日全部改訂） ①営業秘密が一般情報から合理的に区分されていること ②当該情報について営業秘密であることを明らかにする措置 図の出所：経済産業省「営業秘密の保護・活用に関する小委員会」 概要説明資料、2015年 秘密管理意思に対する 従業員の認識可能性 秘密管理措置 8

営業秘密管理指針からの抜粋

秘密管理措置（＝従業員の予見可能性確保）の具体例

紙媒体の管理方法 ✔ファイルの利用等により一般情報からの合理的な区分を行ったうえで（略）、 当該文書に「マル秘」など秘密であることを表示 ✔施錠可能なキャビネットや金庫等に保管する、など 電子媒体の管理方法 ✔記録媒体へのマル秘表示の貼付 ✔電子ファイル名、フォルダ名へのマル秘の付記 ✔電子ファイルを開いた場合に端末画面上にマル秘である旨が表示されるように、 当該電子ファイルの電子データ上にマル秘を付記、など 媒体が利用されない場合 従業員が体得した無形のノウハウや従業員が職務として記憶した顧客情報等に ついては、内容を紙その他の媒体に可視化する ✔営業秘密のカテゴリーをリストにすること ✔営業秘密を具体的に文書等に記載すること ✔ただし営業秘密の範囲が従業員に明らかな場合は（略）、当該情報の範囲・カテゴ リーを口頭ないし書面で伝達する、など

ただし本指針には法的拘束力はない

9

１．社内の情報を棚卸し、重要な情報とそうでない情報に峻別

２．重要な情報は、｢営業秘密｣としての法的な保護をうけられるような管理を行う。

秘密管理措置 ①営業秘密が一般情報から合理的に区分されていること ②当該情報について営業秘密であることを明らかにする措置

３．グループ横断的な責任者（CIO又はCPO）と専任管轄部署を設置し、

①役員・従業員研修 ②秘密保持契約、競業避止義務契約の締結 ③従業者の監視（内部通報、業務監査、メールモニタリングなど） ④見直し ・・ のPDCAサイクル（Plan/Do/Check/Action）を運用する

どのような情報管理を行えば良いか？

重要な情報は、「法的保護」を受けられるように管理

民事： 不正競争防止法、営業秘密の不正取得

（差止請求権、損害賠償請求権、等）

刑事： 不正競争防止法、営業秘密侵害罪

改正個人情報保護法、個人情報データベース等不正提供罪

11

（２）

わが国の経済政策と

情報法の国際的整合

情報法の国際的整合

2003年

個人情報保護法成立

2003年

営業秘密侵害罪創設

新しい法律の成立

2013年 行政手続番号法成立

2015年9月

改正個人情報保護法の成立

2017年5月30日

改正個人情報保護法の施行

1998年

EUデータ

保護指令施行

2012年

EU一般データ保護規則提案

米国消費者プライバシー権利憲章

2018年5月

EU一般データ保護規則施行

ICT発展に伴って顕在化

した様々な課題

国際的整合

1996年

米経済スパイ

法成立

2001年

Okamoto, Serizawa事件

12

個人情報保護法の成立から改正までの経緯

1995年 EUデータ保護指令採択 ⇒ 1998年発効

13

指令25条1項：

第三国が「十分なレベルの保護」（adequate level of protection）を確保している場合 に限りデータ移転を行うことができる。

日本

1997年、通商産業省「個人情報保護に関するガイドライン」 1998年、「プライバシーマーク制度」創設 1999年、高度情報通信社会推進本部 個人情報保護検討部会（座長、堀部政男先生） ⇒ 10月20日「個人情報の保護について（堀部私案）」 ⇒ 2000年10月11日～ IT戦略本部個人情報保護法制化専門委員会 ✓国際的整合・・・EU指令にとって「保護の十分性」を考慮 ✓利用と保護のバランス ✓憲法上の権利・・・「表現の自由」、「学問の自由」 ⇒ 〇 ✓本人の権利・・・開示・訂正・利用などの「請求権」 ⇒ × ✓罰則・・・刑事罰等の制裁措置 ⇒ × ✓個別法・・・信用、医療、電気通信分野の個別法 ⇒ × 2001年 個人情報の保護に関する法律案、国会提出 ⇒ 継続審議 ⇒ 155回国会で廃案 2003年 第156回国会に修正法案の提出 ⇒ 2003年5月23日可決成立

わが国の方針

（２）わが国のデータ保護が不十分なため、世界からの個人データ移転に制限

がかかっており、ビックデータを通じた次世代産業創出の障害になっている。

（１）ビッグデータとしての個人情報の利用時の適法性の判断基準の不存在が、

多くの企業にデータ利用を躊躇させている。

ビッグデータを通じて次世代産業を創出するためには、企業が本人の同意なく個人情報を匿名デー タに加工して利用する際の適法性の判断基準、及びこれを担保する制度の定立が欠かせない。 国際水準のプライバシー・個人情報保護法制を定立し、データ移転制限を排することが、わが国 の成長戦略に欠かせない。

2013年6月14日、「世界最先端IT 国家創造宣言」が閣議決定

「（１）オープンデータ・ビッグデータの活用の推進」の中の「② ビッグデータ利活用に よる新事業・新サービス創出の促進」の中で、「プライバシーや情報セキュリティ等に 関するルールの標準化や国際的な仕組み作りを通じた利便性向上及び国境を越え た円滑な情報移転が重要」と指摘。

指令25条1項：

第三国が「十分なレベルの保護」（adequate level of protection）を確保している場合 に限りデータ移転を行うことができる。

（１）EUデータ保護指令の規範としての効果

（1995 年10 月24 日採択，98 年10 月24 日発効） ※同指令は、EU加盟国28か国および欧州経済領域 （EEA)構成国であるノルウェイ、リヒテンシュタイン、アイス ランドに対して同指令に従った国内法の整備を求める ※EUによりプライバシー保護の十分性を承認された11の 国・地域からの日本への個人データの移転が原則として 禁止されている。 （スイス、アメリカ・セーフハーバースキーム、カナダ、アルゼンチン、 ガーンジー、マン島、ジャージー、フェロー諸島、アンドラ、イスラエ ル、ウルグアイ、ニュージーランド、韓国は現在申請中）

グローバルな視点での企業の情報法コンプライアンスの確立

①情報主体の明確な同意 ②標準契約条項（SCC） ⇒ データ保護当局の承認 ③拘束的企業準則（BCR）⇒ 域内３当局の承認 ④データを移転せずEU域内で完結

日本企業の対応

EUデータ保護指令26条1項、2項及び4項の例外的措置 煩雑な手続きと多大な費用 が必要で、実質的な経済障 壁として機能

EUデータ保護指令 日本の個人情報保護法 監督機関 独立した監視機関が官民双方を監視 ※独立性要件 主務大臣が民間を監督 行政機関の監督機関はない 刑事罰 指令違反への法的制裁 事業者への行政行為 情報の種類 特別な種類のデータの取扱いを制限 ※人種、民族、政治的見解、宗教又は思想信条、 労働組合への加入、健康又は性生活に関する データの処理を禁止 情報の質による法律上の義務の違い はない ※個人情報＝特定の個人を識別する ことができる情報等 開示請求等 アクセス権、異議申立権など権利（rights）として規定 事業者の義務 第三国移転 「十分なレベルの保護」でない第三国への個人 データの移転を禁止 なし 適用の対象 個人、法人、公的機関等 5000超の個人データを保有する事業者 コンプライアン ス 法令が事業者にとって「有効」に機能し ているか －

EUデータ保護指令とわが国の個人情報保護法の相違

「個人データの第三国への移転：EUデータ保護指令25条及び26条の適用の実務

文書」などをもとに類推

_{Working Document: Transfers of personal data to third countries: Applying}

Articles 25 and 26 of the EU data protection directive, 24 July 1998

グリーンリーフ報告 －日本の個人情報保護法制の評価－

2012年1月20日 欧州委員会「ECプライバシー報告」における、ニューサウスウエールズ大 学のグレアム・クリーンリーフ教授の調査結果「Country Studies B.5-Japan」におけるわが 国の評価

「データ保護の「十分性（adequacy）」を充足していると判断することは困難」

その根拠として「私企業にとっては、法律違反による多額の罰金や集団訴訟よりも、風評 リスクによる損害（risk of reputational damage）のほうが重要」であり、わが国の法律が、 「有効」であるとの根拠を見いだせない、と指摘している。

EUデータ保護指令の「十分性」に関する基準における「コンプライアンス」の記載

①前掲「実務文書」では、「ルールへの優れたレベルのコンプライアンス（good level of compliance with the rules）」が要件となっているが詳細の規定はない

②「オーストラリアへの第29条作業部会意見書」では主に法制度の外形的要件と執行 状況を評価しているが「有効性（effectiveness）」の評価は見当たらない

企業コンプライアンスの視点から、「有効性（effectiveness）」を検証し、立法提言

を行う必要がある。

グリーンリーフ報告における「コンプライアンス」の記載

Graham Greenleaf, Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments, Country Studies, B.5–JAPAN, 13 (European Commission) May 2010.

2013年5月24日、番号法成立

マイナンバー法に採用された「世界レベル」のプライバシー保護

2013年9月2日

高度情報通信ネットワーク社会推進戦略本部

第1回パーソナルデータに関する検討会

※2014年12月19日までに13回開催

2014年6月24日 パーソナルデータの利活用に関する 制度改正大綱

2015年9月3日

「個人情報の保護に関する法律及び行政手続における特定

の個人を識別するための番号の利用等に関する法律の一部

を改正する法律案」 衆院本会議で可決、成立

2016年1月1日

個人情報保護委員会の設置

2017年5月30日 改正個人情報保護法の施行

行政手続番号法

（マイナンバー法）

、改正個人情報保護法成立の経緯

・独立性が高い監視機関の設置⇒「特定個人情報保護委員会」

・情報の不正取得への刑事罰

・プライバシー影響評価の実施と運用、マイポータルなど

18

19

（３）

改正個人情報保護法と

企業のコンプライアンス

個⼈情報保護法の改正のポイン ト 適切な規律の下で個⼈ 情報等の有⽤性を確保 個⼈情報流通の適正を確 保 定義の明確化 個⼈情報の取扱いの グロー バル化 請求権 ✓ 国境を越えた適用と外国執行当局への情報提供に関する規定の整備 ✓ 外国にある第三者への個人データの提供に関する規定の整備 ✓ 利用目的の変更を可能とする規定の整備 ✓ 匿名加工情報に関する加工方法や取扱い等の規定の整備 ✓ 個人情報保護指針の作成や届出、公表等の規定の整備 ✓ 本人同意を得ない第三者提供（オプトアウト規定）の届出、公表等厳格化 ✓ トレーサビリティの確保（第三者提供に係る確認及び記録の作成義務） ✓ 不正な利益を図る目的による個人情報データベース等提供罪の新設 ✓個⼈情報の定義の明確化（⾝体的特徴等が該当） ✓要配慮個人情報（いわゆる機微情報）に関する規定の整備 ✓個人情報データベース等から権利利益侵害の少ないものを除外 ✓取り扱う個人情報が5,000⼈以下の⼩規模取扱事業者への対応 その他改正事項 個⼈情報保護委員会 の新設及びその権限

個人情報保護法の改正ポイント

出典： 個人情報保護委員会「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に 関する法律の一部を改正する法律、個人情報保護法の改正のポイント」 ✓ 開示、訂正及び利用停止等請求権があることを明確化 ✓ 個人情報保護委員会を新設し、現行の主務大臣の権限を一元化

改正個人情報保護法における「個人情報」の定義の明確化

第2条1項

この法律において「個人情報」とは、生存する個人に関する情報であって、次

の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等

（文書、図面若しくは

電磁的記録（電磁的方式（電子的方式，磁気的方式その他人の知覚によって

は認識することができない方式をいう。次項第2号において同じ。）で作られる記

録をいう。第18条第2項において同じ。）に記載され，若しくは記録され，又は音

声，動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）を

いう。以下同じ。）

により ①

特定の個人を識別

することができるもの （②

他の

情報と容易に照合

することができ、それにより特定の個人を識別することがで

きることとなるものを含む。）

二 個人識別符号が含まれるもの

①

特定個人の識別

とは、「当該情報と特定の個人との間に、一般人の判断力や

理解力を基準として、社会通念上、同一性を認めることができる。または個人識

別符号が含まれている。」

②

容易に照合

とは、「提供元において、当該情報（提供データ）と「他の情報」（元

データ）の間に1対１の対応関係（単射性）があるかどうか。」（⇒提供元基準）

出典：鈴木正朝「BERC資料、改正個人情報保護法Ver. 3.2」2016年6月3日

出典：第7回パーソナルデータに関する検討会資料 「「個人情報」等の定義と「個人情報取扱事業者」等の義務 について（事務局案）<詳細編>」2014年4月16日、2頁

「個人情報」該当性の判断基準の議論

現行法における解釈

（判断基準）

個人情報の「識別性」は一般人を基準に、容易照合性は当該情報を取り扱う事

業者を基準に判断される。

（理由）

識別性が一般人の判断能力を基準とするのは、個人情報概念の相対性を認め

ないため。容易照合性については、事業者ごとに保有する情報や管理状況が

異なり得るため。

（第三者提供時の容易照合性判断基準）

提供元（情報を取り扱う事業者）を基準に判断する。

（理由）

提供先において特定個人を識別できるか否かは、本人同意を得る等義務を負う

提供元においては判断ができない。

匿名加工情報の利用に関する国際的動向

アメリカ

FTC（連邦取引委員会）が2012年3月に公表した「急激に変化する時代の消費者プライ バシー保護―企業と政策決定者への推奨」※では匿名化情報の取扱いに関する指針を 示し、「合理的に連結（reasonably linkable）できないデータ」は利用可能としている。 ①非識別化（de-identify）のための合理的な措置（reasonable measures）を施し、 ②再識別化（re-identify）しないことの約束を公表し、 ③データの受領者が再識別することを契約上禁止、している場合

※Protecting Consumer Privacy in an Era of Rapid Change –Recommendations for Businesses and Policymakers (March2012) , ⅳ.

日本 2015年9月3日に成立した改正個人情報保護法36条 ・個人情報保護委員会規則で定める基準の順守、加工方法などの漏えい防止 ・作成した情報の項目の公表義務、匿名加工情報の識別禁止、安全管理措置

EU

一般データ保護規則提案の前文第23条に「匿名情報（anonymous data）」の定義を置き、 「データ主体が識別できないような方法で匿名化されたデータ」について、データ保護の 原則を適用せず、利用が可能であるとしているが、定義と方法論は明記されていない。 イギリスでは、ICO（Information Commissioner’s Office）がガイダンス「anonymisation-code」、「UK Guidance big-data-and-data-protection」を示し、業界がそれぞれ匿名化 のルールを策定するように指導。 ICO, Anonymisation: managing data protection risk code of practice

第2条9項

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分

に応じて当該各号に定める措置を講じて特定の個人を識別することができない

ように個人情報を加工して得られる個人に関する情報であって、当該個人情報

を復元することができないようにしたものをいう。

一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部

を削除すること（当該一部の記述等を復元することのできる規則性を有しない

方法により他の記述等に置き換えることを含む。）

二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号

の全部を削除すること（当該個人識別符号を復元することのできる規則性を有

しない方法により他の記述等に置き換えることを含む。）

改正個人情報保護法における匿名加工情報

第36条

１ 個人情報取扱事業者は、匿名加工情報（匿名加工情報データベース等を構

成するものに限る。以下同じ。）を作成するときは、特定の個人を識別すること

及びその作成に用いる個人情報を

復元

することができないようにするために必

要なものとして

個人情報保護委員会規則

で定める基準に従い、当該個人情報

を加工しなければならない。

第36条

2 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情 報から削除した記述等及び個人識別符号並びに前号の規定により行った加工の方法に 関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定め る基準に従い、これらの情報の安全管理のための措置を講じなければならない。 3 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則 で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表し なければならない。 4 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供 するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供さ れる匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公 表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を 明示しなければならない。 ５ 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱う に当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するた めに、当該匿名加工情報を他の情報と照合してはならない。 ６ 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全 管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する 苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を 自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

匿名加工情報の概要

第36条1項 個人情報保護委員会規則の定める加工基準に従い、

①特定個人の識別不可加工

②作成に用いた個人情報への復元不可加工

＊匿名加工情報データベース等を構成するもの

第36条2～5項 法的義務

①2項： 削除した記述等及び個人識別符号、加工方法

情報の安全管理

②3項： 作成時の情報項目の公表

③4項： 第三者提供時の情報項目、提供方法の公表

匿名加工情報であることの第三者への明示

⑤5項： 本人識別のための照合禁止の義務

第36条6項 努力義務

①匿名加工情報の安全管理措置

②匿名加工情報の苦情処理

③その他の適正取扱い確保措置

④上記の措置の内容の公表

第25条（第三者提供に係る記録の作成等）

1 個人情報取扱事業者は、個人データを第三者（第2条第5項各号に掲げる者を除く。以下この条及 び次条において同じ。）に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人 データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める 事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第23条第1項各号又 は第5項各号のいずれか（前条の規定による個人データの提供にあっては、第23条第1項各号のいず れか）に該当する場合は、この限りでない。 2 （保存義務）

第26条（第三者提供を受ける際の確認等）

１ 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員 会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人デ ータの提供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでな い。 （１） 当該第三者の氏名又は名称及び住所並びに法人にあっては、その 代表者（法人でない団体で代表者又は管理人の定めのあるものに あっては、その代表者又は管理人）の氏名 （２） 当該第三者による当該個人データの取得の経緯 2 （虚偽告知禁止）、 3 （確認記録作成義務）、 4 （保存義務）

トレーサビリティの確保

第40条 （報告及び立入検査）

個人情報保護委員会は、・・・個人情報取扱事業者等に対して

①報告、資料の提出を求め

②職員に、立ち入り検査させることができる。

28

第三者提供するとき

１．個人情報取扱事業者は、個人データを第三者に提供したときは、以下の

記録を作成し保存する。

①提供した年月日、

②第三者の氏名・名称、

③そのデータによって識別される本人の氏名、項目等

④本人の同意を得て第三者、又は外国にある第三者に個人データを

提供する場合は、上記に加えて「本人の同意」を得ている旨

第三者提供を受けるとき

１．確認事項

①提供元である第三者の氏名、名称・住所、法人の代表者の氏名

②提供元におけるデータ取得の経緯

２．記録

①提供を受けた年月日、 ②上記確認事項

③そのデータによって識別される本人の氏名、項目等

④本人の同意を得て第三者、又は外国にある第三者に個人データを

提供する場合は、上記に加えて「本人の同意」を得ている旨

記録の保存

委員会規則において、提供元・提供先双方に１～３年の期間を規定

第83条

個人情報取扱事業者（その者が法人（法人でない団体で代表者又は管理人の

定めのあるものを含む。第87条第1項において同じ。）である場合にあっては、

その役員、代表者又は管理人）若しくはその従業員又はこれらであった者が、

その業務に関して取り扱った個人情報データベース等（その全部又は一部を複

製し、又は加工したものを含む。）を

自己若しくは第三者の不正な利益を図る目

的で提供し、又は盗用

したときは、1年以下の懲役又は50万円以下の罰金に処

する。

不正取得者への刑事罰の新設

本来、名簿は利活用するものでアクセス制限をかけない場合が多い。

２００３年施行の個人情報保護法では不正取得者への罰則規定はなく、

「営業秘密」における「秘密管理性」を充足しない管理を行っていた場合、

USBメモリなどの媒体を介さず情報を取得した場合などは不可罰となった。

本条項の加入により、不正取得者の刑事的処罰が可能になった。

Information and Privacy Commissioner of Ontario（2014.7退任）

Dr. Ann Cavoukian

⇒「Privacy by Design」提唱者

（１）Commissionerの職責

プライバシー保護と情報公開の両分野について、 独立した法執行機関として、官民双方を監視 ・法の遵守監視と執行 ・国民への情報提供、教育啓発、事業者の相談 ・プライバシー影響評価と検査 （官民双方）など

（２）Commissionerの権限

・強制調査権＝市民からの不服申立に関する調査 ・自己付託による調査、勧告、命令、訴訟提起と参加

（３）Commissioner Office

・約140人のスタッフ中、約70名はプライバシー、約70名は情報公開 ・行政機関との人事交流あり（情報公開担当の副委員長は行政出身） ・年間予算は約14億円（2010-11年度）、ほとんどは職員の人件費 ※_{出典：石井夏生利「英国におけるインフォメーション・コミッショナーの組織と権限」2010年8月21日、17頁。} イギリス インフォメーション・コミッショナー制度 ウイルムズローに所在、人員327人（IOCが独自採用）、年間予算は約30億（2017万￡、2009-10年）

個人情報保護委員会と事業者との関係

オンタリオ州IPC、イギリスICO

コンサルテーションを受けた事業者の意見

オンタリオ州の新生児の登録情報のデータベースを新薬や治療後術 の開発に利用データベース構築にあたって、患者からの情報取得か ら研究者への情報提供の一連のスキームについて、IPCに相談して プライバシー保護の仕組みを導入し、PIAと数回の検査を経て運用

⇒「事業者にとっても時間と経費の低減につながり、相談は有益であった」

「コミッショナーによる監視と執行はオンタリオの事業者の意識を高めている」

東オンタリオ小児病院（CHEO)のエルイーマム博士（Dr. Khaled El Emam）

その他、子ども向け優良サイトの認証を行っているKids Media CenteのMs. Gordonrも同意見

グリーンリーフ報告で、「コンプライアンス」の視点から、データ保護の「有効性 （effectiveness）」を指摘されたわが国において、IPC（監督機関）カナダ・オンタリオ 州の事例は示唆に富んでいる。 監督機関による権限の執行、国際協力、及び事業者へのコンサルテーションは、 小規模事業者やインターネットビジネスにコンプライアンス経営を促すプレッシャー が低いわが国において、法の「有効性」を高めるのではないか。

グローバルな視点での企業の情報法コンプライアンス

・企業グループ内に情報管理の責任者（CPO、CIO、CISO、DPO）と専任管轄部署を設置し、情報 法の専門家を養成するとともに、個々の事案についてグループ内で統一的な適法性・社会受容 性判断を行う。 （新規開発案件は、個人情報保護委員会とプライバシー保護に関する相談ができる専門性） （１）企業内での情報法の専門家の養成 改正個人情報保護法とEU一般データ保護規則提案の双方に準拠して、情報の取扱いに関する 新たな規程を定立し、グループ横断的に運用を行う。 例：HP社のグローバルな判断基準「お客さまが嫌がることはしない」＝納得感を判断基準 （２）新たな情報取扱規程の定立と運用 企業は従業者への監視を強化する必要に迫られるが、企業秩序定立権と従業者のプライバシー 権の利益衡量の問題があり、行き過ぎた監視は従業者のモチベーションを低減させる場合もある。 企業はプライバシーに配慮した監視を行うとともに、従業員等がこの会社で働き続けたいと思う 「モチベーション」を高めるための経営努力を行う必要がある。ない （３）従業員等のモチベーションを高める経営 １．従業者の専門性の養成、モチベーションアップは、長期的視座に立った経営が必要 ２．本人の納得感を高めるために丁寧に本人同意を得て、本人の信頼を得る必要

33

（４）

参考 欧州とアメリカ －プライバシー外交－

2000年

「セーフハーバー協定」合意

米国商務省が認証した企業の枠組み「セーフハーバー」について、 EUはデータ保護の十分性を認めた。

2013年6月 スノーデン事件

NSA等の米国政府機関がFacebook Inc等のIT企業が保有するデータを監視 していたことが発覚 Max Schrems氏がアイルランドのデータ保護コミッショナー、Facebookが十分 な保護措置がない米国に対して自身の個人データを移転させたと申立 → コミッショナーは本件調査を拒否

2015年10月

欧州司法裁判所はアメリカのセーフハーバー協定は無効であると判示。 Google、Facebookなど約4500の米国企業は例外規定（指令26条）を使わざる を得ず影響は甚大。

アメリカは新たなデータ保護の枠組み「EU-U.S. Privacy Shield」を提案。

2016年2月29日

欧州委員会は一定の条件のもとで「EU-U.S. Privacy Shield」のデータ保護の 十分性を認めた。 ①情報主体の明確な同意 ②標準契約条項（SCC） ⇒ データ保護当局の承認 ③拘束的企業準則（BCR）⇒ 域内３当局の承認 EUデータ保護指令26条1項、2項及び4項の例外的措置 煩雑な手続きと多大な費用 が必要で、実質的な経済障壁とし て機能

クラウドコンピューティング（EU 域外へのアウトソーシング）、SNSにおけるデータ保護 のあり方、多国籍企業への過度な負担の軽減などを目的とした改訂

参考 EU一般データ保護規則提案

2012 .1.25 改定案を公表、2013.10.21 LIBE委員会で修正案可決

2016.4.14 欧州議会本会議で可決→2018年春施行 （Committee on Civil Liberties, Justice and Home Affairs）

「規則（regulation）」は自動的に加盟国の国内法の一部となり、「指令（directive）」は 加盟国が指令に基づき国内法として立法義務を有する。 規則への格上げにより、 加盟国へ直接適用し、EU域内でのデータ保護ルールの一元化を図る。

「指令（Directive）」から「規則（Regulation） 」へ

現データ保護指令26条1、2及び4項の例外規定 ⇒ 新規則案では・・ ①標準契約条項（SCC） ⇒ データ保護当局の承認不要 ②拘束的企業準則（BCR）⇒ 域内一当局の承認でOK、など 多国籍企業 の負担軽減 EUデータ保護規則提案は、 EU域外企業であっても、① EU居住者への商品・サー ビスの提供、② EU居住者の行動の監視、を行っている管理者に対して適用される。 ※EU域内に設立していない管理者は、域内に「代理人」を設立する義務（25条）

「地域的な範囲」におけるEU域外適用（3条2項）

データ保護・バイ・デザイン、バイ・デフォルト

①新サービスの導入時にデータ保護への考慮の義務（第23条） ②個人データの取扱いを行うに当たって、データ保護影響評価 を実施する必要がある旨の規定（第33条）、など 35

「同意の条件

（Conditions for Consent）

」（第7条）

忘れられる権利及び消去権

（Right to be forgotten and to erasure）

（第17条）

忘れられる権利及び削除権への対応体制の確立 目的に照らして個人データが必要でなくなった場合、データ主体が同意を取り下 げた場合など、自らの個人データを管理者に削除させる権利（17条1項）と規定し ている。管理者は、当該データが公表されていた場合、そのデータを取扱う第三 者に対して、そのリンクや複製などを削除するための合理的な措置を講ずること を義務づけている（17条2項）。 明確な同意取得のスキームの確立 データ主体の同意に関して、規約やポリシーなどの文書の中で示される場合は、 その他の内容と区別して明示される必要がある（7条2項）。またデータ主体による 同意の撤回の権利（7条3項）、データ主体と管理者の重要な立場のアンバランス がある場合に同意は法的な根拠を有しない事（7条4項）が規定されている。

参考

EU一般データ保護規則提案で企業活動に影響が大きいと思われる項目

※現在、わが国の企業は契約や約款の一部として同意を取得する場合 があるが、EU一般データ保護規則提案においては明確な同意を求めて おり、このような取得方法では要件を充足しないと思われる。 ※企業は個人データの削除依頼の受付、削除対応及び第三者への削除 要請の通知などの一連のプロセスを構築する必要がある。 36

監督機関への報告（31条）

クライシス対応の組織及びルールの確立

個人データ違反（personal data breach）を発見した場合、不当に遅れることなく可能 な範囲で2472時間以内に監督機関に報告する義務があり、2472時間を超えて報告 を行う場合は正当な理由が求められる（31条1項）。また個人データ違反が、データ 主体のプライバシー保護等への有害な影響が予測される場合に、不当に遅れるこ となくデータ主体に個人データ侵害の通知を行う（32条）ことを規定している。

行政制裁（第79条）

罰則と域外適用 本規則に違反した管理者や処理者に対して、最大1億 2000万 ユーロまたは年間 世界売上高の 5％ ４％ のいずれか大きい額の課徴金が科される（79条） 。また EU域内に設立されていなくとも域内のデータ主体の個人データを取扱う管理者が、 EU域内のデータ主体に商品やサービスを提供する場合、または彼らの行動をモニ タリングする場合に適用される（3条2項）。 (当初案では最大100万ユーロ、又は年間世界売上の2%の課徴金が規定されていたがLIBE委員会で修正) ※企業は漏えいや不正使用などのネガティブ情報の収集と管理、経営者へ の報告、監督機関への報告、及び本人への連絡などの一連の対応を行う組 織を確立し、手続きに関するルールを定立する必要がある。 ※EU域内に所在し事業を行う企業、EU域外からインターネットを介して商品・ サービスを提供する事業やクラウドなどの事業を行う企業も対象になる。

参考

EU一般データ保護規則提案で企業活動に影響が大きいと思われる項目

37

ご清聴、