個人情報保護士認定試験 ④
#3 個人情報保護法
個人データの管理
◆データ内容の正確性
①個人データを正確かつ最新の内容に保つことは義務ではなく、努力義務。一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りる。
②「削除」とは、不要な情報を除くこと「消去」 個人データとして使えなくすること、特定の個人を識別できないようにすること等を含む。
③「必要がなくなったとき」とは、保有する合理的な理由が存在しなくなった場合や、利用目的を達成するより前に事業自体が中止となった場合。
④不要な個人データ削除の義務違反は委員会への報告や資料提出の求めなどの対象になる。
【ポイント】
・最新化の必要性=努力義務
・「削除」、「必要がなくなったとき」の定義
・ポイントの領域と、④が頻出。
◆安全管理の措置内容
①基本方針の公表の義務付けはない
②組織的安全管理措置 責任者の設置及び責任の明確化/扱担当者の明確化並びにその役割の明確化
③人的安全管理措置 研修/の秘密保持に関する事項を就業規則等に反映
④物理的安全管理措置 管理区域→入退室管理システムの設置/取扱区域 →壁又は間仕切り
⑤持出し: 事業所内での移動等であっても、紛失・盗難等に留意する必要がある
【ポイント】
・基本方針の策定
・講ずべき安全管理措置の種類と各事例
組織的安全管理措置(組織体制や運用、改善)
人的安全管理措置(定期的な研修、就業規則等)
物理的安全管理措置(区域の管理、持ち運び、破棄)
技術的安全管理措置(アクセス制御、情報システム管理)
・②③④各安全管理措置
・「持ち運ぶ」の定義(事業所内の移動であっても留意)
◆ガイドライン(通則編) |3-4-2 安全管理措置
◆ガイドライン(通則編) |10(別添)講ずべき安全管理措置の内容
◆FAQ カメラ画像・顔特徴データ等を取り扱う場合の安全管理措置
◆FAQ 「中小規模事業者」安全管理措置
◆従業員の監督
①個人情報取扱事業者は、当該従業者に安全管理のために必要かつ適切な措置を講じなければならない。
②「従業者」個人情報取扱事業者の指揮監督を受けて業務に従事している者。 派遣なども該当
③ノート型パソコン又は外部記録媒体が繰り返し持ち出されていたにもかかわらず、 その行為を放置すれば違反
④派遣社員の不適切な取扱いは、派遣元の事業者だけでなく、派遣先も監督責任を問われる
【ポイント】
・個人情報取扱事業者の従業者に対する義務
※安全管理の措置内容を従業員へ置き換えると良い。
・「従業者」の定義
・①義務内容②定義③具体例④監督責任
◆委託先の監督
①委託元が委託先について 「必要かつ適切な監督」を行っていない場合で、 委託先が再委託をした際に、再委 託先が不適切な取扱いを行ったときは、 元の委託元による法違反と判断される。
②委託の契約は、合意内容を客観的に明確化できる手段であれば、 書式の類型を問われていない。
③安全管理措置のレベルは、委託元と同じでなくてもよい。 (求められる水準の確保が前提)
④取扱い状況把握として、必要に応じて個人データを取り扱う場所に赴くのは一つの方法。
【ポイント】
・再委託の責任の捉え方(元の委託元の責任)※最初の委託者
・安全管理措置のレベル感(委託元)
・「個人データの取扱いの委託」の定義
・①責任区分②合意方法③安全管理措置レベルが頻出
・②は、FAQ参照
◆漏えいの報告
①紛失場所が社内か社外か特定できない場合には、漏えい (又はおそれ) に該当。滅失又は滅失のおそれ)
②1000人を超える被害は報告しなければならない
③第三者に閲覧されないうちに全てを回収した場合は漏えいに該当しない。
④高度な暗号化などがされていれば、 委員会への報告は不要
⑤委託先と委託先の双方が、 漏えい等報告及び本人への通知義務があるが、 委託先が委託元に通知したと きは、委託先は、 義務は免除される。(委託元は義務あり)
【ポイント】
・「漏えい」「滅失」「毀損」の用語理解
・「漏えい」「滅失」「毀損」の各具体例(ガイドライン)
※上記ガイドライン具体事例下の※印文
・①③④が頻出。
・漏えいに該当しないケース(ガイドライン)
<個人関連情報の第三者提供>
◆個人データの第三者提供の制限(法第27条~第30条関係)
①本人の同意は、書面でなくても良い。 ただし、 紛争回避の観点から書面(電磁的記録を含む) によることが 望ましい
②本人の同意がいらない場合(法的なもの、 人命・財産、 国の機関、 公衆衛生 、 児童、 学術研究目的)
③プロバイダやブログその他のSNSの運営事業者等は、個人データを第三者に提供しているとは解されない。
【第三者提供とされる事例】本人の同意がいる
⑤親子兄弟会社、グループ会社の間で個人データを交換
⑥フランチャイズ組織の本部と加盟店の関係性で個人データを交換
⑦同業者間で個人データを交換
【第三者提供とされない事例】本人の同意がいらない
⑧同一事業者内で他部門へ個人データを提供
【ポイント】
・「本人の同意」の定義・形態
・第三者提供とされる事例、されない事例(⑤-⑧)
・特例(②)
・①②を基本に、⑤-⑧の事例が頻出。
◆オプトアウトにおる第三者提供
①オプトアウトは委員会への届け出とインターネットなどで公表が必要。
②要配慮個人情報は、 オプトアウトにより第三者に提供できない。
③オプトアウトにより提供を受けた個人情報は、 オプトアウトによる再提供できない。
④代理人による届け出による提供は、規定に従えば可能。
【ポイント】
・オプトアウトの基本(必要な記載事項の公表と、委員会への届け出)
・オプトアウトで提供できないケース(3つ)
(要配慮個人情報、不正な手段で得た情報、オプトアウト方法で得た取得した個人情報)
・提供できないケース(②③)
◆個人データの共同利用
①「共同利用の趣旨」は本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われること に合理性がある範囲で当該個人データを共同して利用すること。 (第三者に該当しない)
②共同利用者が各自で更新可能。 ただし、相違が生じないように正確かつ最新の内容に 保つよう努力義務はある。
③利用目的を全て、本人に通知し、又は本人が容易に知り得る状 態に置いていなければならない。
④範囲が明確である限りにおいて、 必ずしも事業者の名称等を個別に全て列挙する必要はない。
【ポイント】
・「共同利用の趣旨」の定義
・共同利用をする旨、共同して利用される個人データの項目、利用する者の利用目的、個人データの管理について責任
・②③が頻出。
・ガイドラインの”利用する者の利用目的”
◆ガイドライン(通則編) |3-6-3 第三者に該当しない場合
◆FAQ 過去に取得した個人データを特定の事業者との間で共同利用
◆FAQ 共同利用者が各自で更新すること
◆第三者提供に係る記録の作成等
①全部又は一部を委託する際に個人データが提供される場合は記録義務はない(合併による事業継承も含 む)
②個人データに該当しない個人情報を取得した場合には、確認・記録義務は適用されない。
③利用目的の達成に必要な範囲内において委託することに伴っての提供は、「3-6-3 第三者に該当しない場合」にあてはまり記録義務にあたらない。
④特定の事業者に対して継続的に又は反復して個人関連情報を提供することが確実であると見込まれる場合、一括して記録を作成することができる。
【ポイント】
・記録義務の対象外
・記録義務が適用されない機関(国の機関:地方公共団体、独立行政法人等、地方独立行政法人)
・一括記録:ガイドライン【一括して記録を作成する方法に該当する事例】
・第三者に該当しない場合
・③第三者に該当しない場合
・④一括して記録を作成する方法に該当する事例
◆ガイドライン(通則編) |3-6-5 第三者提供に係る記録の作成等
◆ガイドライン(第三者提供時の確認・記録義務編) |4 記録義務
◆FAQ 電話や口頭で個人情報を聞いた場合
「3-6-3 第三者に該当しない場合」
◆第三者提供を受ける際の確認等
①第三者から「氏名又は名称及び住所並びに、法人は「代表者の氏名」から、「当該個人データの取得の経緯」の確認を行わなければならない。
②複数回にわたって同一 「本人」の個人データの授受をする場合、確認を省略することができる。
③事業の承継に伴って個人データの提供を受ける場合、確認義務は発生しない。
【ポイント】
・①確認事項(当該第三者):「氏名又は名称及び住所」
・②確認事項(法人):「その代表者の氏名」
・③複数回、同一の内容である事項を重複して確認する必要はなし
・④第三者に該当しない場合、確認・記録義務は適用されない
◆ガイドライン(通則編) |3-6-6 第三者提供を受ける際の確認等
◆ガイドライン(第三者提供時の確認・記録義務編) |3-1 確認方法
この記事が気に入ったらサポートをしてみませんか?