- 1.GDPR
- 2.個人情報保護法、個人情報の定義、安全管理措置
- 3.JIS Q 15001とプライバシーマーク(Pマーク)制度
- 4.マイナンバー法
- 5.プライバシーの保護
- 6.匿名化手法
- 7.その他(ケーススタディなど)
1.GDPR
GDPR(General Data Protection Regulation:一般データ保護規則)は、EU内の個人情報を守るための規則です。
EUでサービスを提供する場合には、適用され、その罰則が非常に高額であることが特徴です。
ただ、めちゃくちゃなルールというわけではなく、日本の個人情報保護法などの基本的なルールを守っていれば、GDPRから大きく逸脱しているわけではありません。とはいえ、忘れられる権利など、配慮すべきところもあり、日本企業も対応に苦慮している一面があります。
また、日本でサービスをしていればGDPRに関係ないかというと、そうでもなく、EUからサービスを利用される場合もあり、深いところは法律の専門家ときちんと議論をすべきところではあります。
さて、情報処理安全確保支援士試験の過去問(H30秋SC午後2問1)では、以下のように問われました。
| 過去問(H30秋SC午後2問1) |
|---|
| ①各国及び各地域の個人情報保護に関する法規制の三つに準拠すること(以下,三つに準拠することを基本要件という)が求められる。 設問1 本文中の下線①について,2018年5月25日に適用が開始された欧州連合の規則の略称を英字4字で答えよ。 |
↓
↓
↓
↓
↓
正解はGDPRです。
では、GDPR違反の事例ですが、日経のニュースに以下がありました。
「欧州連合(EU)の個人情報保護ルールの一般データ保護規則(GDPR)に違反したとして、仏当局が米グーグルに5千万ユーロ(約62億円)の制裁金を命じた。(出典:https://www.nikkei.com/article/DGXMZO40322290S9A120C1EA2000/)
すごい額ですよね。ですが、定められた額よりはかなり小さいというのが事実です。上記のニュースには以下の記載があります。
「GDPR違反の制裁金は最大で売上高の4%などと定められるが、今回の制裁額は約62億円。約12兆円に上る、グーグル親会社のアルファベットの17年の売上高と比べて軽微ともいえる。欧州の法制度に詳しい板倉陽一郎弁護士は「あくまで手続き上の不備で、悪質性が低いと判断されたのではないか」とみる。(同サイト)」
2.個人情報保護法、個人情報の定義、安全管理措置
(1)個人情報保護法とは
平成17年4月に始まった個人情報に関して、理解しましょう。個人情報保護法について、「組織における内部不正防止ガイドライン(https://www.ipa.go.jp/security/guide/insider.html)」の解説を引用します。
| (1) 個人個人情報の保護に関する法律(個人情報保護法) |
|---|
| 個人情報の漏えいや不正利用等から、個人の権利利益を保護するために、個人情報を取り扱う事業者の順守すべき義務(安全管理措置や従業員と委託先の監督義務等)を規定しています。この義務規定に事業者が違反し、不適切な個人情報の取り扱いを行っている場合には、事業を所管する主務大臣が事業者に対し勧告、命令等の措置をとることができます。命令に従わなかった場合には、罰則の対象になります。 |
ここにありますよに、この法律は、「個人情報を取り扱う事業者の順守すべき義務を規定」しています。対象は「事業者」ですから、個人は対象になりません。
友達の連絡先を教えてからといって、少なくとも、個人情報保護法で罰せられることはありません。
(2)法の目的
消費者庁のサイト((旧リンク)http://www.caa.go.jp/planning/kojin/)では、個人情報保護法に関して、「個人の権利利益を保護することを目的として、民間事業者の皆様が、個人情報を取り扱う上でのルールを定めています」と述べています。
ここにあるように、このように、「民間事業者」を対象とした法律であることが一つのポイントです。
(3)個人情報保護法の対象
個人情報保護法義務の対象は、個人ではなく「個人情報取扱事業者」です。すべての企業ではなく、事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数の合計が、過去6か月以内のいずれの日においても5,000を超えない場合は除外されます。
(4)「個人情報」の定義を確認しましょう。
個人情報保護法では、個人情報を以下のように定義しています。
| 「個人情報」の定義(引用:個人情報保護法) |
|---|
| この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。 |
ポイントは、「特定の個人を識別することができる」ことです。
では、氏名だけでも個人情報?
法律の定義がかなりあいまいではありますが、氏名だけでも個人情報とされます。同姓同名が多いような名前であれば、個人を特定できるかはわかりません。ただ、剣持成子という名であれば、それほど多くはいないでしょうから、個人を特定できることもあるでしょう。つまり、特定できるのであれば個人情報です。
さて、上記の監視カメラで撮影した情報,会社名や所在地などの法人に関する情報はどうなのでしょうか。以下を確認ください。
(5)個人情報に関するQ&A
消費者庁の以下のサイトがよくまとまっています。この中からいくつか抜粋します。
(旧リンク)http://www.caa.go.jp/planning/kojin/pdf/gimon-kaitou.pdf
※今は無くなっているので、→が参考になる。(旧リンク)https://www.ipa.go.jp/files/000059610.pdf
| Q1.メールアドレスは、「個人情報」に該当しますか。 |
↓
↓
↓
↓
↓
A1.ユーザー名及びドメイン名から特定の個人を識別することができる場合、個人情報に該当します。一方、記号や文字がランダムに並べられているものなどは、個人情報には該当しません。
| Q2.死者の情報は、個人情報保護法の保護の対象になりますか。 |
↓
↓
↓
↓
↓
A2.生存する個人に限定されているので、対象外です。
| Q3.カメラで撮影した映像は、「個人情報」に該当しますか。 |
↓
↓
↓
↓
↓
A3.それによって特定の個人が識別できる場合には、「個人情報」に該当します
| Q4.法人に関する情報は、「個人情報」に該当しますか。 |
↓
↓
↓
↓
↓
A4.会社名や所在地は「個人情報」ではありません。しかし、法人情報の中に、役員の氏名などの個人に関する情報が含まれている場合には、その部分については、「個人情報」になります。
| Q5.携帯電話番号は、「個人情報」に該当しますか。 |
↓
↓
↓
↓
パスポートや運転免許証の番号は明らかに個人情報と定義されているが、携帯電話の番号は少し微妙で、基本的には個人情報とは考えられていない。
| 【Q1-22】 携帯電話番号やクレジットカード番号は個⼈識別符号に該当しますか。 |
|---|
| 【A1-22】 携帯電話番号やクレジットカード番号は、様々な契約形態や運⽤実態があり、およそいかなる場合においても特定の個⼈を識別することができるとは限らないこと等から、個⼈識別符号に位置付けておりません。 なお、このような番号も、⽒名等の他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなる場合には、個⼈情報に該当します。 (出典:(旧リンク)https://www.ipa.go.jp/files/000059610.pdf) |
(6)安全管理措置
過去問(H27秋IP問24)では、以下の記述があります。
| 記述(H27秋IP問24) |
|---|
| 個人情報保護法では個人情報取扱事業者に対して安全管理措置を講じるとを求めている。経済産業分野のガイドラインでは,安全管理措置は技術的安全管理措置,組織的安全管理措置,人的安全管理措置,物理的安全管理措置に分類している。 |
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン((旧リンク)http://www.meti.go.jp/press/2014/12/20141212002/20141212002.pdf)から引用すると、その具体的な内容は以下です。
①組織的安全管理措置
組織的安全管理措置とは、安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認することをいう。
②人的安全管理措置
人的安全管理措置とは、従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいう。
③物理的安全管理措置
物理的安全管理措置とは、入退館(室)の管理、個人データの盗難の防止等の措置をいう。
④技術的安全管理措置
技術的安全管理措置とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいう。
過去問(H20秋SW)を解いてみましょう。
| 過去問(H20秋SW) |
|---|
| 問77 経済産業省“個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン"の物理的安全管理措置に該当するものはどれか。 ア 個人データの安全管理に関わる従業者の役割及び責任についての教育・訓練を実施する。 イ 個人データの漏えいなどの事故が発生した場合の,代表者などへの報告連絡体制を整備する。 ウ 個人データを取り扱う情報システムへのアクセスの成功と失敗の記録を取得する。 エ 個人データを取り扱う情報システムを,ICカードによる入退室管理を実施している室内に設置する。 |
↓
↓
↓
↓
↓
アは人的安全管理措置、イは組織的安全管理措置、ウは技術的安全管理措置です。
正解はエです。
(7)2020年改正個人情報保護法
2020年改正個人情報保護法のポイントですが、以下に資料があります。https://www.ppc.go.jp/files/pdf/200310_gaiyou.pdf
個人からの「停止請求ができる」ことや、「仮名加工情報」を作り、氏名等を消せば事業者が利用しやすくなったこと、罰則の強化などが変更点でしょう。
以下もわかりやすいです。
(旧リンク)https://www.miyake.gr.jp/sites/default/files/attached/topics/qagai_zheng_ge_ren_qing_bao_bao_hu_fa_2020nian_3yue_19ri_gai_ding_ban__0.pdf
2年以内に試行されると決まっていたと思われるので、実際には2022年春くらいでしょう。
(8)個人情報とパーソナルデータ、個人識別符号と要配慮個人情報
ここまで深い内容は情報処理安全確保支援士の試験では問われないと思われるので、参考情報として考えてください。
また、個人情報とは、特定の個人を識別できるものであり、個人情報に該当するかがYesかNoできれいに結論づけられるものではありません。ここでは、わかりやすさも加味して、一般的場合には、という前提で整理をしています。お間違えの無いようにお願いします。
個人情報にかかわる情報をパーソナルデータと呼び、その中に個人情報が存在します。以下、整理した図と用語の説明です。
1)パーソナルデータ
・個人情報を含む、個人に関連する情報 ※プライバシーにかかわる情報を含むことが一般的
・たとえば、GPSによる位置情報、通信時のIPアドレス、ランダムな文字列のメールアドレス、購買履歴、など
・また、一般的には、携帯電話番号(固定電話の番号はこの区分というより、個人情報)、クレジットカード番号もこちらに含まれるとされる。
・組み合わせても個人を特定することが困難な場合、個人情報保護法の対象外 →ただし、プライバシーにかかわる情報もあるので、扱いには注意が必要です。
2)個人情報
・特定の個人を識別できるもの
・以下が個人情報
❶(まさに個人情報)
氏名、生年月日、住所、電話番号(携帯電話は含まれない)、に加え、個人が特定できるメールアドレス、監視カメラに録画された本人が識別できる映像、など。ただし、山田という苗字のみや、生年月日だけでは個人を特定できないので、個人情報には該当しない。
❷個人識別符号
i)身体的な特徴に関する符号:指紋データ、DNAなどを、認証などに使うために処理した符号
ii)個人に付与される番号(主に公的な番号):マイナンバー、パスポートや免許症の番号(携帯電話番号やクレジットカード番号は対象外)
❸要配慮個人情報
人種、信条、病気の履歴など ・・・特に配慮が必要な情報
※下2つ(❷と❸)は、個人情報保護法の改正により、個人情報であることが明確化された
3)[参考]特定個人情報
マイナンバーを含む個人情報。ただし、マイナンバーに関しては、個人情報保護法とは別のマイナンバー法で規定されている。
4)匿名加工情報
・個人が特定できない情報に加工したもの →個人情報に該当しない
・一定の条件のもと、本人の許可なく利用、第三者提供ができる。たとえば交通ICカードの利用履歴をマーケティングに活用することができたりする。
5)仮名加工情報
・2020年の個人情報保護法改正により、仮名(かめい)加工情報が作られた。
・言葉にあるように、「仮名」(偽名と考えればいい)を使うことで、本人を特定できないようにする。仮名加工情報については以下に詳しい解説あり。https://www.ppc.go.jp/files/pdf/201127_shiryou-1.pdf
・ただし、匿名加工情報と違い、個人情報保護法の適用を受ける。
だったら、仮名にする意味があまりないのでは?
個人情報ではあっても、漏洩等の報告の義務が除外されるなどの利点がある。
以下も参考にしました。(旧リンク)https://www.ppc.go.jp/files/pdf/180720_faq_for_smallbusiness.pdf
| 過去問(H30秋FE午前問79) |
|---|
| 問79 個人情報保護委員会"個人情報の保護に関する法律についてのガイドライン(通則編)平成28年11月(平成29年3月一部改正)"によれば,個人情報に該当しないものはどれか。 ア 受付に設置した監視カメラに録画された、本人が判別できる映像データ イ 個人番号の記載がない,社員に交付する源泉徴収票 ウ 指紋認証のための指紋データのバックアップデータ エ 匿名加工情報に加工された利用者アンケート情報 |
↓
↓
↓
↓
↓
匿名加工情報は個人情報に該当せず、それ以外は個人情報です。
エ
3.JIS Q 15001とプライバシーマーク(Pマーク)制度
(1)JIS Q 15001とは
JIS Q 15001は個人情報保護マネジメントシステムの要求事項です。JIS Q 15001が求める要求事項を満たしていれば、個人情報の取り扱いが適切と判断されます。
(2)プライバシーマーク制度とは
プライバシーマーク制度は、「事業者が個人情報の取扱いを適切に行うための体制などを整備していることを認定する制度(平成17年SW午前問76)」で、1998年に運用が開始されました。この制度の内容は、OECDによる「プライバシー保護と個人データの流通についてのガイドラインに関する理事会勧告」を包括しています。
この制度は、個人情報保護マネジメントシステムの要求事項であるJIS Q 15001に準拠している事業者を認定します。プライバシーマークを使用するためには、この要求事項を満たした上で、JIPDEC(日本情報処理開発協会)が指定する指定機関の審査に合格する必要があります。
参考です、プライバシーマークは会社で一つの申請になります。この点は、事務所や業務単位で取得するISMSとは異なります。
具体的に、どんな基準があるのですか?
プライバシーマークを取得する為のガイドラインとして、以下が公開されています。
(旧リンク)http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
この中に記載されているチェック項目が、審査時のチェックリストとして審査員からチェックされます。例えば、P44の安全管理措置では、以下の記載があります。
| 2.5 個人情報へのアクセス記録 |
|---|
| 1)個人情報へのアクセスや操作の成功と失敗の記録を取得し、保管している。 2)取得した記録について、漏えい、滅失及びき損から適切に保護している。 (上記URLより引用) |
4.マイナンバー法
2016年1月から、国民一人ひとりに12ケタの番号が付与されるマイナンバー制度の運用が開始しました。
マイナンバーに関する法律が「行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)」です。この法律では、「特定個人情報」を「個人番号をその内容に含む個人情報」と定義しています。つまり、マイナンバーを含む個人情報が特定個人情報です。また、個人情報のガイドラインと同じく、特定個人情報の適正な取扱いの指針である「特定個人情報の適正な取扱いに関するガイドライン」が出されています。
個人情報保護法とはどういう関係ですか?
特定個人情報も個人情報ですから、個人情報保護法が適用されます。加えて、マイナンバーの漏えいは、普通の個人情報より危険です。例えば「山田太郎」という名前であれば、同姓同名がいるでしょう。しかし、12桁のマイナンバーは世の中に一つか存在しません。確実に個人を特定できるのです。そこで、マイナンバー法ではより厳格なルールが定められています。たとえば、個人情報保護法より重い4年以下の懲役などが規定されています。
| 過去問(H29秋AP午前) |
|---|
| 問79 マイナンバー法におけるマイナンバー(個人番号)に関する記述のうち,適切なものはどれか。 ア 国の行政機関,地方公共団体,企業などがマイナンバーの使途を自由に決定してよい。 イ 日本国外に在住している場合,日本国籍があれば日本の市区町村に住民票がなくてもマイナンバーは指定される。 ウ マイナンバーは主に社会保障分野で使用するので,厚生労働省が指定する。 エ 漏えいして不正に用いられるおそれがあると認められる場合に限り,本人の申請又は市区町村長の職権によってマイナンバーは変更できる。 |
↓
↓
↓
↓
↓
正解はエです。
5.プライバシーの保護
個人情報以外に、プライバシーという言葉もあります。両者は共通するところもありますが、厳密には少し違います。例えば、私生活そのものであったり、日記や好きな人だったりという秘密がプライバシーです。
プライバシーを保護するために、その影響を評価するプロセスが「プライバシー影響アセスメント(PIA)」です。そのベースとなるのは、法律やガイドライン(プライバシー・フレームワーク)です。加えて、組織ごとに、プライバシーを守るためにどのような運用をするのかが大事になります。
6.匿名化手法
企業は、個人情報をマーケティングや商品開発に活用するだけでなく、外部の企業に販売することもあります。たとえば、事前説明が不十分として話題になった一件ですが、2013年に、JR東日本がスイカの乗降履歴を、個人情報を匿名化した上で販売しました。
2016年の改正個人情報保護法では、個人情報を匿名化すれば、本人の同意を得ずに第三者提供ができるようになりました。その際、個人が特定されないように、匿名化する必要があります。匿名化手法として、いくつかのデータを任意に抽出するサンプリングや、k人以上が存在するように(たとえば、住所の番地を消して市区町村までにすれば、複数人が存在する)k-匿名化する方法があります。
7.その他(ケーススタディなど)
(1)暗号化した情報を漏洩しても情報漏えい事故になるか?
企業はイメージダウンや入札停止、営業停止を恐れるので、かなり過敏ですよね。パスワードをかけて暗号化していても「流出事故」として扱われるわけでしょ。
「漏えい」していなくても「流出」するという事実があれば、そうなるね。紙が漏えいしてもスキャナで読み込めばデータ化されるわけであって、紙でも同じなんだけどね。
ただ、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」が経済産業省から出されている。これによると、以下の場合は本人へ連絡は省略してもかまわないと述べられている。
| 抜粋(個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン) |
|---|
| ・紛失等した個人データを、第三者に見られることなく、速やかに回収した場合 ・高度な暗号化等の秘匿化が施されている場合 ・漏えい等をした事業者以外では、特定の個人を識別することができない場合 |
ということは、情報漏えいとして考えなくてもよいかと思う。
まあ、これらの見解は明確ではなく、曖昧なので、慎重な判断が必要であろう。
(2)個人情報を売買って今でもできるのか?
結論から言うと、可能である。
インターネットで名簿業者を探すと、大学の学部や高校ごとに、卒業生のリストが販売されている。きっと私の情報もあるのではないか。当時は規制がそれほど厳しくなかったので、卒業名簿などを業者が入手して、それをデータ化して販売している。
もちろん、個人情報保護法の第三者提供になるので、利用者の合意が必要。しかし、事前に合意を取っている(オプトイン)ことはほぼなく、利用者からの明確な拒否があれば販売しない(オプトアウト)という手段を取っていることであろう。
ベネッセの情報漏洩事件もあってから、第三者提供は厳しくなった。たとえば、利用目的を明確にしたり、記録もきちんととる必要がある。
とはいえ、各社の個人情報利用規定なんて、適当にしか読まないものだ。その中には、名前や住所を第三者に提供するとは書かれていなくても、たとえば、子供が塾に入塾する場合に、年齢およびテストの結果などは第三者に提供するという利用目的が書かれてあるかもしれない。入塾時に同意、というかよく読まずにサインしていれば、塾は生徒の成績情報という個人情報を、堂々と第三者に提供できることになる。
