« (日本の)多くの会計士はITに対する理解が十分ではないのではないか。。。 | Main | クラウドコンピューティングサービスとISO20000またはITIL »

2010.04.22

経済産業省 改訂 個人情報保護ガイドラインに関するQ&A <=4月1日の話どす。。。

 こんにちは、丸山満彦です。経済産業省が個人情報保護ガイドラインに関するQ&Aを改訂してました。気付いていませんでした。。。

 
■経済産業省
・2010.04.01 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A

変更点を後ほど整理すること<=自分への備忘録。。。

目次
=====
2-1. 定義
 2-1-1. 「個人情報」
 2-1-2. 「個人情報データベース等」
 2-1-3. 「個人情報取扱事業者」
 2-1-4. 「個人データ」
 2-1-5. 「保有個人データ」
 2-1-8. 「公表」
 2-1-10. 「本人の同意」
 2-1-11. 「本人が容易に知り得る状態」
2-2.個人情報取扱事業者の義務等
 2-2-1. (1)利用目的の特定
 2-2-1. (2)利用目的の変更
 2-2-2. (1)適正取得
 2-2-2. (2)利用目的の通知又は公表
 2-2-2. (3)直接書面等による取得
 2-2-3. 個人データの管理
  2-2-3-1. データ内容の正確性の確保
  2-2-3-2. 安全管理措置
  2-2-3-3. 従業者の監督
  2-2-3-4. 委託先の監督
 2-2-4. 第三者への提供
 2-2-5. 保有個人データに関する事項の公表、保有個人データの開示・訂正・利用停止等
  2-2-5-1. 保有個人データに関する事項の公表等
  2-2-5-2. 保有個人データの開示
  2-2-5-3. 保有個人データの訂正等
  2-2-5-4. 保有個人データの利用停止等
  2-2-5-7. 手数料
4.ガイドラインの見直し
5. 個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格
その他、複合的な事案
====

2-2-1.(1)利用目的の特定(ガイドライン14ページ)

47

「事業内容を勘案して顧客の種類ごとに利用目的を限定して示したり」とありますが、どのような分類によって利用目的を限定して示すことが考えられますか。

例えば、顧客が購入した商品、店舗販売や通信販売といった販売方法等によって顧客を類型化し、その区分ごとに利用目的を限定して示すことが考えられます。(2010.4.1)

2-2-2.(1)適正取得(ガイドライン20ページ)

52

「第三者提供制限違反がされようとしていることを・・・容易に知ることができる」とは、どのような場合ですか。

例えば、部外秘等と明記された従業員名簿、クレジットカード情報が含まれる顧客名簿等、社会通念上、第三者提供制限に違反することなく、第三者提供をすることが困難な場合が考えられます。(2010.4.1)

2-2-3-2.安全管理措置(ガイドライン25ページ)

80

「高度な暗号化等の秘匿化として施していた措置内容を具体的に報告すること」とありますが、どのような報告の内容が考えられますか。

例えば、次のような報告の内容が考えられます。
(1)暗号化手法に関する情報として次の項目:・用いている暗号の情報(共通鍵暗号、公開鍵暗号等の方式、AES等の暗号アルゴリズム)・対象となる個人情報に適用していた鍵の長さ
(2)暗号ソフトウェアの種別とバージョン
(3)識別符号の管理等、暗号鍵の管理ポリシーとして次の項目:
・複雑さ(英字、数字、記号を、それぞれ一つ以上含む一般名詞ではない文字列、等)
・更新頻度(月に一度の変更、一定回数の復号の度に変更、等)
・アクセス制限(個人情報管理者だけに限定、等)
・保存管理形態(ハードウェア暗号機能を持つUSBメモリにテキストファイルとして格納し個人情報管理キャビネット(あるいはストレージ)とは別の保管装置収納、市販のパスワード管理ツールを利用、等)
・その他(複数の個人情報データベース等に同じ鍵を用いない、復号実施者の記録を残す、等)(2010.4.1)

81

外国に住む人の個人データを漏えいした場合も、本人に連絡することが望ましいですか。

可能な限り連絡することが望ましいと考えられます。(2010.4.1)

2-2-3-4.委託先の監督(ガイドライン38ページ)

93

「委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進めることが望ましい」とありますが、どのような場面や方法で、どの程度行うことが考えられますか。

プライバシーポリシーに盛り込むことや、取得の際に明らかにすることが考えられますが、例えば、委託先が多岐にわたり、事務の内容を個別に明らかにすることについて過度の負担が生じるような場合には、委託契約ごとではなく、類型化して事務の内容を明らかにするなど、実情に応じた対応が考えられます。(2010.4.1)

2-2-4.第三者への提供(ガイドライン40ページ)

110

事業の承継のためのいわゆるデューデリジェンスに伴う個人データの提供は、利用目的として特定していなくても、目的外利用とはなりませんか。

デューデリジェンスは、事業の承継の過程であるため、それ自体を利用目的とする必要はないと考えられます。(2010.4.1)

111

当社の事業の一部を他社に承継する場合において、利用目的の一部が残るときは、当社に個人データを残して利用することはできますか。

個人データを残して利用することができると考えられます。(2010.4.1)

112

「相手方に安全管理措置を遵守させるため必要な契約を締結しなければならない」とありますが、通常の秘密保持契約のほかに、別途、契約を締結する必要がありますか。

通常の秘密保持契約の内容の一部として構成されていれば足り、別途、契約を締結する必要はありません。(2010.4.1)

116

共同して利用している個人データの内容(本人の住所等)の一部について、共同利用者が各自で更新することはできますか。

共同利用者が各自で更新することは当然可能ですが、これに伴い、各共同利用者が利用する個人データの内容に相違が生ずる可能性があるため、責任を有する者は、個人データを正確かつ最新の内容に保つよう努めることが必要です。(2010.4.1)

117

各共同利用者を「責任を有する者」とし、それぞれが開示等の求めや苦情を受け付けることとすることはできますか。

可能ですが、法第23条第4項第3号の規定に基づき、各共同利用者を「責任を有する者」としていることが明確にされていることが必要です。(2010.4.1)

2-2-5-2.保有個人データの開示(ガイドライン51ページ)

134

「個人情報の取得元又は取得方法(取得源の種類等)を、可能な限り具体的に明記し」とありますが、どのような内容が考えられますか。

例えば、第三者から取得した場合には、当該第三者の名称を明記し、また、アンケート調査等により自社で取得した場合には、その旨を可能な限り具体的に明記することが考えられます。(2010.4.1)

|

« (日本の)多くの会計士はITに対する理解が十分ではないのではないか。。。 | Main | クラウドコンピューティングサービスとISO20000またはITIL »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 経済産業省 改訂 個人情報保護ガイドラインに関するQ&A <=4月1日の話どす。。。:

« (日本の)多くの会計士はITに対する理解が十分ではないのではないか。。。 | Main | クラウドコンピューティングサービスとISO20000またはITIL »