パスワードを忘れた? アカウント作成
13295564 story
プライバシ

本日より改正個人情報保護法が施行される 56

ストーリー by hylom
アップデート 部門より
nemui4 曰く、

今日5月30日より、改正個人情報保護法が施行される(NHK産経新聞日経新聞)。

情報管理部門の人はどっと疲れそうな気配。提供されるデータに個人情報が削除されているか確認したり、ビッグデータを解析したり、データ保護のためのシステムやデータマイニング系の案件とかの仕事も増えると良さげ。

改正個人情報保護法では、企業などが持つ個人情報に付いて、個人を特定できない形に加工することでその個人の同意無しで第三者への提供が可能になる。また、個人情報の漏えいといった不適切な取り扱いが発生した場合に対応を行う窓口が個人情報保護委員会に統一されたほか、今まで個人情報保護法の対象外であった中小企業や団体に対しても情報管理の徹底が義務付けられるようになるといった変更もある。

改正個人情報保護法については、企業の対応が進んでいないという話もあった(日経ITpro)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年05月30日 16時19分 (#3219488)

    保護法のもとで個人情報取り扱わなきゃいけないのか……大変だな

    • それ事業の用に供してるわけ?

      親コメント
      • by Anonymous Coward

        団体が非営利でも法人格がなくても、その維持発展日常業務その他に使ってるのであれば事業の用なんじゃないの?

      • by Anonymous Coward

        営利・非営利問わず件数ボーダーだったのは何だったけか

        • 本日より、その件数ボーダーは廃止されました。

          改正前の個人情報の保護に関する法律 [e-gov.go.jp] における「個人情報取扱事業者」の定義は下記の通りです。

          個人情報の保護に関する法律 第2条 第3項

          この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
          一  国の機関
          二  地方公共団体
          三  独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律 (平成十五年法律第五十九号)第二条第一項 に規定する独立行政法人等をいう。以下同じ。)
          四  地方独立行政法人(地方独立行政法人法 (平成十五年法律第百十八号)第二条第一項 に規定する地方独立行政法人をいう。以下同じ。)
          五  その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者

          第5号の「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」という例外規定があり、政令でデータベースの件数が5000件を超えないなどの例外が設けられていた訳ですが、今日から施行される「新・個人情報の保護に関する法律」では、この「5号」が丸ごと削除されています新旧対照表 [kantei.go.jp] を見ると分かりやすいです。

          「政令で定める者」といった規定があると政令まで辿る必要があって読むのが面倒ですが、その例外が削除されやすくなったことで、この部分に関しては大変シンプルで読みやすくなりました。

          「事業の用に供している者」についてですが、法律上「事業」とは、一般に一定の目的の行為を継続、反復して行うことをいい、必ずしも営利又は収益そのものを得ることを直接の目的とすることを必要としていないので、大学のサークルも「事業」にあたると考えられます。

          一方、卒業旅行の名簿作成などの場合には、「継続、反復」しているとはいえないため「事業」には該当しません。

          親コメント
          • 反復性・継続性のみをもって「事業」の要件としている例は少ないと思います。個人情報保護法2条5項の「事業の用に供している」における「事業」の意味は、「一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるもの」とされており(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」2-5)、「社会通念上事業と認められるもの」という要件がついています。この要件は不明瞭ですが、例えば完全に内輪でやっているものなどは該当しません。

            https://www.ppc.go.jp/files/pdf/guidelines01.pdf [ppc.go.jp]

            なお、個人情報保護委員会への移管に伴って廃止されましたが、経済産業省の「「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A」の30番では、「純粋な個人的サークル活動であり、会員リストも私有のパソコンで管理している場合であったとしても、その運営内容、規模によっては、サークル活動自体が「事業」に該当し、その場合は、サークル運営主体が個人情報取扱事業者としての義務を負う可能性があります」とされています。

            www.meti.go.jp/policy/it_policy/privacy/downloadfiles/1212qa.pdf

            個人情報保護委員会が経産省の上記解釈を維持するとは限りませんが、少なくとも従前の経産省の解釈としては、純粋な個人的サークル活動の場合、サークル活動が「事業」に該当するか否かはその運営内容や規模によるものだということです。

            親コメント
            • 「純粋な個人的サークル活動であり、会員リストも私有のパソコンで管理している場合」でさえ規模によっては、サークル活動自体が事業に該当する可能性があるグレーゾーンって話ですよね?

              非公認サークルならともかく、大学のサークルは「純粋な個人的サークル活動」なんかより遥かに大規模なんですが

              http://www.waseda.jp/student/circle/kounin.html [waseda.jp]

              公認サークルの設立要件
              1 早大生のみで21人以上、かつ2学部以上にまたがる構成員がいるこ と。
              2 活動実績が1年以上あること。設立のサークル名 での学内外の活動実績が必要。(入学以前の活動は認めない。)
              3 1年間分の領収書を添付した会計報告ができること。領収書は必ず、サークル名を宛名とし、但し書きなどで使途内容が明記されており、かつ発行者の住所・電話・捺印があること。
              4 会長として、教授、准教授、専任講師、教諭、特任教授、教授(任期付)、准教授(任期付)、講師(任期付)、専任職員のいずれかが一人いること。学生責任者として幹事長、副幹事長および会計担当が各1名いること。
              5 会長の兼任については、同一人が会長となることができるのは5サークルまでとする。
              ただし、学生の会、地方学生の会および学術院承認団体にあっては、それぞれ1サークルまでしか会長となることができない。
              6 その他、内規の定めるところによる。

              構成員21人以上で会計担当なんかもついて活動しているならそれは事業でしょう

              親コメント
    • by Anonymous Coward on 2017年05月30日 19時33分 (#3219600)

      PTAや町内会、同窓会、etc.
      http://www.ppc.go.jp/files/pdf/meibo_sakusei.pdf [ppc.go.jp]

      親コメント
  • by Anonymous Coward on 2017年05月30日 16時21分 (#3219493)

    一部ベンダでは以前からだけど、壊れたHDDを保守契約で交換してもらう際、中に個人情報が含まれる場合は引き取ってもらえなくなってきたね。
    手間かけて消去するか、追加コストで消去サービス契約するか、買い取るしか無い。

    そもそも大規模に仮想化統合された昨今の環境でにおいて単一HDDから有意なデータを取り出すなんて不可能だし、そもそも何が入っているかなんて誰も把握できないわけで、「個人情報は入っていません」がテンプレ回答になるのが見えてる。

  • by Anonymous Coward on 2017年05月30日 16時28分 (#3219501)

    大手を振って統計情報が売れますね。

    • by miishika (12648) on 2017年05月30日 21時35分 (#3219681) 日記
      他社に売る前に自社でデータを活用して、まともな運行ダイヤにしてくれと思う時がある。
      親コメント
    • by Anonymous Coward

      別に法的な問題が障壁になっていたわけではないので
      変わんないのでは。

      • by monyonyo (43060) on 2017年05月30日 17時21分 (#3219530)

        まあ、規制が導入されたことで、業者としては、法令に従ってきちんとやってます、と言いやすくなりましたし、批判する側からしても、規制があることで批判はしづらくなるのでは。

        親コメント
    • by Anonymous Coward

      長く細かい文字の利用規約読んでみるとわかる
      今までと何も変わらない

      • by Anonymous Coward

        規約だの約款って長々と書いてあるものだけど要約するとこれだけなんだよな
        ・うちにとって不都合なことは許さない
        ・お前にとって不都合なことなど知らん

        • by Anonymous Coward on 2017年05月30日 20時18分 (#3219628)

          約款については、数日前の民法改正の法案成立の影響がありますね。これで約款という仕組みが法律で認められることになるという点で。

          親コメント
    • by Anonymous Coward

      情報を売るのはH社じゃね?

  • by Anonymous Coward on 2017年05月30日 18時53分 (#3219583)

    本物なのか?
    改ざんされたものと区別する方法は?
    偽物のデータを売り渡されると、大変になる

    • by Anonymous Coward on 2017年05月31日 0時47分 (#3219754)

      他のデータと結び付けるキー要素はさりげに渡しておいて、「個人は特定できないから」ってしておく。
      他所から、別のデータを購入して結びつけて、より詳細な個人特定情報に合成して検証するって寸法かな。
      整合する割合で情報自体の真贋は推定出来るでしょう。

      親コメント
    • by Anonymous Coward

      統計データって最終的には自分が集めたデータか宝くじの当選番号みたいなの以外はあてにできないんですよ

    • by Anonymous Coward

      ビッグデータから、個人を絞り込めるようなデータのほうが信憑性があるということですね先生!

  • そういうところは個人情報の扱いがずさんなのでバンバン処罰してください

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...