内容紹介
(「はじめに」から)
平成29年5月30日に、改正された「個人情報の保護に関する法律(ここでは改正個人情報保護法といいます。)」が全面的に施行されました。改正個人情報保護法は、個人情報の定義の明確化、個人情報の有用性を確保(利活用)するための整備、個人情報の保護の強化(いわゆる名簿屋対策)等の観点から見直しがなされており、個人情報の保護と利活用の促進のバランスに配慮したものとなっております。この見直しを受けて、情報サービス産業においても従前の対応を見直していくとともに、この法律の趣旨を踏まえた、より適切な対応を行っていく必要があります。
本書は、改正個人情報保護法の施行を受け、情報サービス産業の皆様の実務で、わかりにくいけれども対応しなければならないポイントに焦点を絞り、ユースケースを設定して分かりやすく整理したものです。
具体的には、JISA会員企業を主に個人情報の取扱いを受託する者=委託先と想定して、「個人情報のライフサイクル」と「委託元との関係」の2つの観点から、法律やガイドラインの表現が曖昧で対応に迷うケースに焦点を当てて、実務上判断する際の参考情報を提供することを意識して作成しております。また「委託元との関係」では、「委託元と委託先との間の関係で対応しなければならない事項」と「委託先の中で対応しなければならない事項」の観点も加えています。なお、特に迷いやすいケースに絞ったため、実務上ありうるすべての事項を網羅したものではなく、ケースの中にはここで挙げた事項のほかに考慮すべき観点もあることにも留意する必要があります。
本書の内容が、改正個人情報保護法に基づいて業務を行う、JISA会員企業の皆さまの一助となれば幸いです。
目次
1.個人情報取り扱いのライフサイクルでの留意事項
1.1.個人情報の定義
ケース1 「顧客から受領したテストデータに個人データが含まれていた、顧客自身はテストデータの当該情報を個人情報と認知していなかった」
ケース2 「別々に受領したデータであったが、特定の属性データを照合すれば個人が特定できることがわかった」
1.2.個人情報の取得
ケース3 「マスキングが不十分なデータをダミーデータとして受領した」
1.3.個人情報の管理-オプトアウト対応-
ケース4 「オプトアウトによって第三者提供された「個人データ」をさまざまなサービスで利用しているときに、一部のサービスのみ利用(提供)停止が要求された」
1.4.個人情報の管理-外国にある第三者への提供-
ケース5 「本人同意を得ていない個人データを、法改正以前から、海外企業に委託していた」
2.委託元との関係での留意事項
2.1.委託元からの監督
ケース6 「委託元から過剰とも思える監査に対応する」
ケース7 「再委託先の安全管理措置が不十分だった」
2.2.漏えい等事案発生時の対応
ケース8 「委託元への個人データ紛失報告が大幅に遅れた」
2.3.開示請求等への対応
ケース9 「開示等請求を受けてはならないにも関わらず、受けてしまった」
ケース10 「開示等請求への対応が遅れ、訴訟を起こされた」
Appendix(付録)
情報サービス産業における個人情報取扱実務チェックシート:【委託元への対応】
情報サービス産業における個人情報取扱実務チェックシート:【委託先の対応】
情報サービス産業における個人情報取扱実務チェックシート:【再委託先への対応】
概要等公開資料
※本報告書の全文は2019年2月1日に一般公開されました。
レポート「改正個人情報保護法 情報サービス事業者における実務上の留意点~こんなときどうする?確認のためのケーススタディ~」(PDF)
お問合せ先
担当者:JISA総務部 鈴木
TEL:03-5289-7651
Email:report@jisa.or.jp
備考