【最新情報:改正個人情報保護法】 個人関連情報
2020/12/09
_
執筆者:渡邉雅之
*本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email_m-watanabe@miyake.gr.jp
_
_ 令和2年(2020年)11月20日に開催された第158回個人情報保護委員会においては、「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」についての審議がなされました。
_ _改正個人情報保護法においては、「個人関連情報取扱事業者」が、「個人関連情報」(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。具体的には、それ単体では個人情報ではない、氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie情報等です。)を「提供先」に提供する場合において、「提供先」が個人関連情報を個人データとして取得することが想定される場合は、当該「個人関連情報取扱事業者」は、「提供先」においてあらかじめ当該「個人関連情報」に係る本人の同意等が得られていることを確認し、この記録を作成・保存する必要があるとの規制が新たに設けられます(改正個人情報保護法26条の2、同改正の施行は2022年4月〜6月の予定です。)。
公表された個人情報保護委員会の資料では、今後、個人情報保護委員会規則で定められる、�@本人からの同意取得の方法・態様、�A「個人データとして取得することが想定されるとき」の語義、�B個人関連情報における確認記録義務について方向性が示されています。
本ニュースレターでは、「個人関連情報」に関する個人情報保護委員会規則の方向性について記載した個人情報保護委員会の資料(以下「個人情報保護委員会資料」という。)の内容を中心に解説いたします。
以下のPDFファイル形式のニュースレターもご覧ください。
【最新情報:改正個人情報保護法】 個人関連情報
1.改正条文(改正法26条の2)
_
【改正条文】
(個人関連情報の第三者提供の制限等)
第26条の2 個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一_ 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二_ 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2 第24条第3項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第3項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
3 前条第2項から第4項までの規定は、第1項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。
_
(1)用語の定義
改正法上、「個人関連情報」、「個人関連情報データベース等」、「個人関連情報取扱事業者」という新たな定義が置かれることになります(改正26条の2第1項)。
ア 「個人関連情報」
_ _生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。
_ 「個人関連情報」に該当するのは、郵便番号、メールアドレス、性別、職業、趣味、顧客番号、Cookie情報、IPアドレス、契約者・端末固有IDなどの識別子情報および位置情報、閲覧履歴、購買履歴と言ったインターネットの利用にかかるログ情報などの個人に関する情報で特定の個人が識別できないものがこれに該当すると考えられます。
この点については、個人情報保護委員会のガイドラインやQ&Aを待つことになります。
イ 「個人関連情報データベース等」
「個人関連情報」を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の「個人関連情報」を容易に検索することができるように体系的に構成したものとして政令で定めるものをいいます。
具体的には、CookieやIPアドレス等の識別子情報(個人関連情報)に紐づけられた閲覧履歴や趣味嗜好のデータベースが「個人関連情報データベース等」に該当すると考えられます。
ウ 「個人関連情報取扱事業者」
_ 「個人関連情報データベース等」を事業の用に供している者で、国、地方公共団体、独立行政法人等、地方独立行政法人を除いたものをいいます。
具体的には、CookieやIPアドレス等の識別子情報(個人関連情報)に紐づけられた閲覧履歴や趣味嗜好のデータベース(個人関連情報データベース等)から、特定のCookieやID等の識別子に紐づけられた閲覧履歴や趣味嗜好の情報を利用企業(第三者)に提供するDMP事業者が「個人関連情報取扱事業者」に該当するものと考えられます。
_
(2)改正法の規律
ア 第三者の義務(改正26条の2第1項1号、26条の2第3項の準用する26条2項)
�@ 同意取得義務(改正26条の2第1項1号)
「個人関連情報取扱事業者」から「個人関連情報」の提供を受ける「第三者」は、「個人関連情報」(「個人関連情報データベース等」を構成するものに限る。)を個人データとして取得することが想定されるときは、法23条1項各号に該当する場合を除いて、「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて本人が識別される個人データとして取得することを認める本人の同意を取得する必要があります(改正26条の2第1項1号)。
�A 確認にあたっての偽りの禁止(改正26条の2第3項の準用する法26条2項)
上記�@の「第三者」は、「個人関連情報取扱事業者」が本人の同意を取得したことの確認を行う場合、当該「個人関連情報取扱事業者」に対して、当該確認に係る事項を偽ってはなりません。
�B 外国にある第三者の場合(改正26条の2第1項2号)
「個人関連情報取扱事業者」から「個人関連情報」の提供を受ける「外国にある第三者」は、上記�@・�Aの義務に加えて、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければなりません。
�C 外国にある第三者が個人関連情報を受領する場合の相当措置の継続的な実施(改正26条の2第2項の準用する改正24条3項)
外国にある第三者(法24条1項に規定する体制を整備している者に限る。)は、「個人関連情報取扱事業者」から個人関連情報(個人関連情報データベース等を構成するものに限る。)を受領する場合は、個人情報保護委員会規則で定めるところにより、相当措置の継続的な実施しなければなりません。
イ 個人関連情報取扱事業者の義務(改正26条の2第1項・3項)
�@ 確認義務(改正26条の2第1項1号)
「個人関連情報取扱事業者」は、「第三者」が「個人関連情報」(「個人関連情報データベース等」を構成するものに限る。)を個人データとして取得することが想定されるときは、法23条1項各号に該当する場合を除いて、当該「第三者」が「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて本人が識別される個人データとして取得することを認める本人の同意を得ていることを確認する必要があります。
�A 記録の作成・保存義務(改正26条の2第3項、法26条3項・4項)
「個人関連情報取扱事業者」は、上記�@の確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人関連情報を提供した年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければなりません(改正26条の2第3項、法26条3項)。
また、「個人関連情報取扱事業者」は、当該記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければなりません(改正26条の2第3項、法26条4項)。�B 外国にある第三者に個人関連情報を提供する場合(改正26条の2第1項2号)
「個人関連情報取扱事業者」が「個人関連情報」を「外国にある第三者」を提供する場合は、上記�@・�Aの義務に加えて、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供されていることの確認義務があります。
�C 個人関連情報を外国にある第三者への提供する場合の相当措置の継続的な実施(改正26条の2第2項の準用する改正24条3項)
「個人関連情報取扱事業者」は、個人関連情報(個人関連情報データベース等を構成するものに限る。)を外国にある第三者(法24条1項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じなければなりません。
〇改正法における個人関連情報の第三者提供規制の概要
出所:個人情報保護委員会作成資料
2.主な論点(個人情報保護委員会資料より)
改正個人情報保護法において新たな規律を設けた趣旨は、個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止することにあります。
こうした制度趣旨も踏まえ、個人情報保護委員会は、以下の事項を検討必要事項として検討しています。
�@ 本人からの同意取得の態様・方法について
�A 「個人データとして取得することが想定されるとき」の語義について
�B 個人関連情報における確認記録義務について
〇個人関連情報に関する規制の一般的フロー
(出所)個人情報保護委員会作成資料
3.本人からの同意取得の態様・方法について
(1)基本的考え方
改正法において新たな規律を設けた趣旨は、個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止することにあります。
このような趣旨からすれば、本人関与の機会を実質的に確保できるよう、本人同意の取得の態様・方法を検討する必要があります。
(2)方向性
個人情報保護委員会は、本人関与の機会を実質的に確保するということからすれば、本人に対して必要な情報提供を行い、本人がそれをよく理解した上で、明示の同意を得ることを原則とすべきではないか、としています。
明示の同意としては、ウェブサイトでの同意の取得の場合は、ウェブサイト上で必要な説明を行った上で、本人に当該ウェブサイト上のボタンのクリックを求める方法が考えられます。
プライバシーポリシーにおいて、個人関連情報の提供について、利用者側にこれを拒否する選択肢を与えている(拒否されない限り同意しているものとして扱う)場合、これをもって本人の同意を得たものとは認められません。
同意の取得の具体的な方法については、例示をガイドラインで示される予定です。
_
〇ウェブサイトでの同意の取得の例
(出所)個人情報保護委員会作成資料
4.「個人データとして取得することが想定されるとき」の語義
(1)基本的な考え方
改正法の規制は、個人関連情報の提供全般に適用されるものではなく、提供先において「個人データとして取得することが想定されるとき」に適用されるものです。
「個人データとして取得することが想定されるとき」との文言は、制度改正大綱における「明らかな」を法文で表したものであり、その意味するところは同様です。
_
「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(P.25抜粋)
〇 そこで、前述のいわゆる提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。
_
4.「個人データとして取得することが想定されるとき」の語義
(1)基本的な考え方
改正法の規制は、個人関連情報の提供全般に適用されるものではなく、提供先において「個人データとして取得することが想定されるとき」に適用されるものです。
「個人データとして取得することが想定されるとき」との文言は、制度改正大綱における「明らかな」を法文で表したものであり、その意味するところは同様です。
_
「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(P.25抜粋)
〇 そこで、前述のいわゆる提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。
_
(2)方向性
ア 「想定される」の語義
_ 「想定される」かどうかは、まず提供元の認識を基準とすべきです。他方で、一般人が通常想定できるような場合に、提供元が認識をしていないことを理由に規律が適用されないとすれば、提供先での取扱を確認していない事業者が規制の適用を免れることになりかねず、相当でありません。
そこで、「想定される」場合に該当するかどうかは、「提供元の認識」と「一般人の認識」の双方を基準に判断すべきです。その具体的については、ガイドラインで示される予定です。
〇「想定される」の判断基準のイメージ
〇提供元の認識を基準に「想定される」に該当する例
第三者となる提供先の事業者から、事前に「個人関連情報を受領した後に他の情報と照合して個人データとする」旨を告げられている場合
〇一般人の認識を基準に「想定される」に該当する例
第三者に個人関連情報を提供する際、当該第三者において当該個人関連情報を氏名等と紐付けて利用することを念頭に、そのために用いる固有ID等も併せて提供する場合
_
イ 「個人データとして取得」の語義
本条における「個人データとして取得」の典型例として、個人関連情報を直接個人データに付加する場合が挙げられます。一方、直接個人データに紐付けて活用しないものの、別途、提供先が保有する個人データとの容易照合性が排除できない場合まで規律を適用するか、検討する必要があります。
改正法の趣旨は、個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止することにあります。容易照合性によって個人データになる場合は、提供先が積極的に照合行為を行わない限り本人を識別できないことから、適用対象とする必要はないのではないと考えられます。
そこで、個人情報保護委員会は、本条における「個人データとして取得」は、提供先において、個人データに個人関連情報を付加する等、個人データとして積極的に利用しようとする場合に限られるとしてはどうか、と提案しています。
なお、提供先事業者が、個人データとして積極的に利用する意図を秘して、本人同意を得ずに個人関連情報を個人データとして取得した場合には、個人情報の「不正取得」(個人情報保護法17条1項)に該当し得ます。
5.個人関連情報における確認記録義務について
(1)基本的な考え方
個人関連情報の提供時の確認記録義務の趣旨は、提供元と提供先の双方に義務を負わせることで、全体として個人関連情報が個人データとして取得される過程におけるトレーサビリティを確保し、提供元及び提供先を適切に監督できるようにすることにあります。
そこで、個人情報保護委員会は、個人関連情報の第三者提供規制における確認方法・記録方法等については、同様にトレーサビリティの確保を目的とした個人データの第三者提供規制における確認方法・記録方法を基本にして検討してはどうか、と提案しています。
この場合、個人関連情報特有の事情(例 提供元においては、特定の個人を識別できない)についても考慮する必要があります。
なお、個人情報保護委員会は、「個人関連情報の提供を受けて個人データとして取得する側の確認記録義務についても、個人データの第三者提供規制における確認方法・記録方法を基本にして検討する。」としています。
この点については、筆者としては、改正26条の2第3項は、個人関連情報取扱事業者の確認・記録義務についてのみ規定しているので、「個人関連情報の提供を受けて個人データとして取得する側の確認記録義務を課することには、法律(個人情報保護法)上に義務規定がないのに、果たして個人情報保護委員会規則において新たに義務を課すことができるのかという疑問があります。このような義務を設けるのであれば、改正法に規定すべきであったと言えます。
(2)方向性
ア 提供元における確認方法
個人情報保護委員会は、以下の方向で検討することとし、その具体的な確認方法はガイドラインで示してはどうか、と提案しています。
〇本人の同意の確認(例)
・ 提供先の第三者から、本人に対し十分な説明を行った上で、本人から同意を取得している旨の申告を受ける方法
〇越境移転にかかる情報提供の確認(例)
・ 提供先から本人に対する情報提供の方法を説明した書面の差し入れを受ける方法
・ 提供元において、提供先のプライバシーポリシー等を確認し、同意取得に際して越境移転にかかる情報提供を行っていることを確認する方法
イ 提供元における記録事項
_ _ 個人情報保護委員会は、個人関連情報の提供元における確認事項としては、個人データにおける記録事項を基本に以下の方向で検討してはどうか、と提案しています。
(出所)個人情報保護委員会資料
提供元では、本人の氏名等は有しないため、ユーザーID等の記録・保存を求めるかが論点となりますが、個人情報保護委員会は、記録・保存を求めることはかえってリスクを増大させることになり、トレーサビリティも提供先の本人の氏名等の記録で確保されることから、記録の対象とする必要はないのではないか、としています。
一方で、個人関連情報を提供した年月日については、同一の提供先に対する異なる時点での提供行為を区別できるようにする必要があることから、記録の対象とすべきではないか、と提案しています。
・ユーザーID等
⇒記録の対象とする必要はない。
・個人関連情報を提供した年月日
⇒記録の対象とすべき。
_
〇記録のイメージ(提供先別に記録する場合)
(出所)個人情報保護委員会資料
ウ 提供元における記録の保存期間
個人データを提供する際・受領する際に作成する記録の保存期間については、以下のとおり、記録の作成方法の別によるものとし、原則3年としています。
そこで、個人情報保護委員会は、個人関連情報を提供する際の記録についても、個人データの提供・受領時と同様の期間の保存を求めてはどうか、と提案しています。
(出所)個人情報保護委員会作成資料
【最新情報:改正個人情報保護法】漏えい等報告及び本人通知
2020/12/09
_※政令案・内閣府令案を踏まえた解説については下記リンク先をご覧ください。
【最新情報:改正個人情報保護法】漏えい等報告及び本人通知(政令案・委員会規則案を踏まえたもの)
執筆者:渡邉雅之
*本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email_m-watanabe@miyake.gr.jp
_ _令和2年(2020年)10月30日に開催された第156回個人情報保護委員会においては、「改正法に関連する政令・規則等の整備に向けた論点について(漏えい等報告及び本人通知)」についての審議がなされました。
_ _個人データの漏えい等報告及び本人通知は現行法では努力義務であり、改正法により、これが義務化します(同改正の施行は2022年4月〜6月の予定です。)。
したがって、どのような場合に「個人情報保護委員会への報告」を要するか、また、どのような場合に「本人への通知」を要するかは事業者にとっても重要な関心事項です。
本ニュースレターでは、「漏えい等報告及び本人通知」に関する個人情報保護委員会規則の方向性について記載した個人情報保護委員会資料の内容を中心に解説いたします。
_
以下のPDFファイルでのニュースレターもご覧ください。
最新情報:漏えい等報告及び本人通知
1.改正条文
改正個人情報保護法22条の2に新たに「漏えい等の報告等」の規定が設けられますが、�@どのような場合に個人情報保護委員会への漏えい等の報告が必要となるのか、�A本人の通知はどのような場合に必要となるのか、については、「個人情報保護委員会規則」で得定められることになります。
_
改正後の個人情報の保護に関する法律
(漏えい等の報告等)
第22条の2 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、__個人情報保護委員会規則で定めるところ__により、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
_2.漏えい等報告・本人通知の対象となる事態
(1)基本的な考え方
改正法において「個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」を漏えい等報告・本人通知の対象としています。
現行の告示に基づいて委員会に報告された事案についてみると、漏えい等の対象となった本人の数だけで重大性を判断できるものではありません。
_制度改正大綱の意見募集においても、形式的に漏えいされた個人データの数だけを考慮するのではなく、個人の権利利益に対する実質的な影響を考慮すべきとの意見がありました。
また、漏えい等報告を義務化している諸外国の個人情報保護法制においても、その要否を判断するにあたって、様々な要素を考慮している。例えば、GDPR(EU一般データ保護規則)においては、個人データ侵害のリスクを評価するにあたって、侵害の種類、個人データの性質・機微性及び量等複数の要素を考慮するとされています。
一方で、事業者が個人情報保護委員会への報告及び本人通知の要否を判断できるよう、基準として明確 かつ簡便である必要があります。
そこで、個人情報保護委員会は、「様々な考慮要素の中から、まずは個人の権利利益に対する影響が大きいと考えられる、漏えい等した個人データの性質・内容、漏えい等の態様、漏えい等の事態の規模等を考慮した上で、対象となる事態を定めるものとしてはどうか。」との考え方を示しています。
(2)方向性
〇漏えい等報告・本人への通知が必要となる場合
事態の類型
漏えい等報告・本人通知が必要となる場合
件数
例外
個人データの性質
要配慮個人情報の漏えい(おそれも)
1件以上
「高度な暗号化等の秘匿化」がされた個人データ
個人データの内容
財産的被害が発生するおそれがある場合(例:クレジットカード番号やインターネットバンキングのID・パスワード等)(おそれ)
漏えい等の態様
故意による漏えい(例:不正アクセスや従業員による持ち出し等)(おそれ)
大規模な漏えい
個人データの性質・内容、漏えい等の態様を問わず、大規模な個人データの漏えい
1000件以上
漏えい等のおそれ
上記のおそれがある場合
_
_
_
ア 対象となる事態の類型と対象となる情報・件数
�@個人データの性質:要配慮個人情報
機微性は様々ですが、特に要配慮個人情報は、その取扱いによっては差別や偏見を生じるおそれがあり、漏えい等による個人の権利利益に対する影響が大きいとされています。
�A個人データの内容:財産的被害が発生するおそれがある場合
漏えい等によってクレジットカード番号等が不正利用される事案は、従前から大きな問題となっています。このように、財産的被害が発生するおそれがある場合(例:クレジットカード番号やインターネットバンキングのID・パスワード等)は、個人の権利利益に対する影響が大きいとされています。
�B漏えい等の態様:故意による漏えい
過失により生じたものと故意により生じたものでは、個人の権利利益に対する影響が異なり、故意によるもの(例:不正アクセスや従業員による持ち出し等)は、類型的に二次被害が発生するおそれが大きいとされています。
�C大規模な漏えい
上記�@から�Bまでに該当しない事案であっても、一定数以上の大規模な漏えい等については、安全管理措置の観点から特に問題があると考えられるとされています。
「大規模の漏えい等」の「一定数以上」については、これまでに発生した漏えい等事案について、件数の分布や事案の傾向等を踏まえて、基準を検討する必要があるものとしています。
そして、例えば、過去の漏えい等事案の件数の分布と、件数別の事案の傾向(1,000人を超える事案では、安全管理措置に大きな問題がある傾向にある)を踏まえて、1,000人を基準とすることが考えられる、と提案されています。
�D漏えい等の「おそれ」がある場合
漏えい等が確定していない段階においても、事業者が漏えい等の「おそれ」を把握した場合、事態を把握した上で、漏えい等が発生していた場合の被害を最小限にする必要があります。
「おそれ」が生じた時点で、個人情報保護委員会が報告を受け、事態を把握することができれば、当該事業者に対して、必要な措置を講じるよう、求めることができます。
また本人としても、「おそれ」が生じた時点で、早期に事態を把握することができれば、本人として必要な措置を講じることができます。
したがって、漏えい等の「おそれ」がある事態についても、漏えい等報告・本人通知の対象としてはどうか、と提案されています。
_
イ 暗号化された個人データの取扱い
暗号化が講じられた個人データの漏えい等について、「個人の権利利益を害するおそれが大きいもの」に該当するか、検討する必要があります。
暗号化については、その方法にもよりますが、漏えい等が発生した場合においても、権限のない第三者が見読することを困難にする措置として有効であり、現行の告示に基づく報告制度においても、「高度な暗号化等の秘匿化」がされた個人データは報告の対象外とされています。
なお、改正法において、「仮名加工情報である個人データ」は、漏えい等報告の対象外となっています。
そこで、高度な暗号化等の秘匿化がされた個人データについては、漏えい等報告・本人通知の対象外となる場合を認める方向で検討してはどうかと提案されています。
_
(3)個人情報保護委員会への報告の時間的制限・報告事項(改正法22条の2第1項)
〇速報・確報
報告の種類
報告期限
報告内容
速報
速やかで(ガイドラインで目安)
その時点で把握している事項
確報
例えば30日の期限
※不正の目的をもって行われた行為による漏えい等については、例えば60日
報告が求められる事項について基本的に全て報告をする
_
ア 基本的な考え方
漏えい等が発生した際の委員会への報告については、速やかに行う必要がある一方で、原因や再発防止策等、把握に時間を要する内容も報告に含める必要があるところ、これらの要請を満たす報告を一度に行うことは困難です。
そこで、漏えい等の報告の期限については、速報と確報の二段階とした上で、それぞれ定めるものとすることはどうかと提案されています。
速報については、事業者に漏えい等が発覚した後、速やかに報告することを求めるものですが、漏えい等が発覚した当初の段階では、事実関係を十分に把握できていない場合があることに留意する必要があります。
確報については、原因や再発防止策も含めて報告を求めるものであり、事実関係の把握に時間を要することから、一定の時間的猶予を設ける必要があります。
_
イ 速報
個人情報保護委員会が事態を早急に把握し、必要な措置を講じることができるようにするという漏えい等報告の趣旨からすれば、事案に関わらず一律に期限を設け、報告することを求めることも考えられるが、事業者が事態を把握するのに要する時間については、個別具体的な事情によるところが大きいです。
そこで、個人情報保護委員会からは、個人情報保護委員会規則においては、明確な時間的制限を設けることなく、「速やかに」と定めた上で、その目安をガイドラインで示してはどうかと提案されました。
また、漏えい等が発覚した当初の段階では、事実関係を十分に把握できていないこともありますので、報告内容については、現行の告示で報告内容とされている事項をもとに検討を行った上で、速報の段階においては、その時点で把握している事項を報告対象としてはどうかと提案されています。
_
〇「速報」の方向性
�@報告期限
・明確な時間的制限は設けず、「速やかに」と定めた上で、速報の段階ではその時点で把握している事項を報告事項とする。
�A報告事項
・その時点で把握している事項を報告事項とする。
_
※時間的即時性のある法令用語としては、「速やかに」のほかに、「直ちに」、「遅滞なく」があります。
時間的即時性では、「直ちに」⇒「速やかに」⇒「遅滞なく」の順番となります。
ニュアンス的には、「直ちに」は「正にすぐに」、「速やかに」は「可能な限り早く」、「遅滞なく」は「正当な理由・合理的な理由がない限り早く」という感じです。
_
ウ 確報
「確報」においては、報告が求められる事項について基本的に全て報告をする必要があります。
事実関係の把握には時間を要する一方で、確報について明確な時間制限を設けない場合、事業者によって対応が分かれ、委員会が早期に事実関係を把握できない事態も想定されます。
他方、事実関係の把握に要する時間は、事案によって異なるものであり、不正アクセス事案等の不正の目的をもって行われた行為による漏えい等については、専門的な調査が必要となる等、他の事案に比べて時間を要する傾向にあります。
そこで、個人情報保護委員会は、「確報」の報告期限について、事実関係の把握に通常要する時間を考慮した上で、一定の時間的制限(これまでの報告実績も踏まえ、例えば30日)を設け、漏えい等の類型も考慮し、不正の目的をもって行われた行為による漏えい等については、他の事案よりも時間的猶予を認め、例えば60日としてはどうか、と提案しています。
_
〇「確報」の方向性
�@報告期限
・一定の時間的制限
⇒これまでの報告実績も踏まえ、例えば30日
・不正の目的をもって行われた行為による漏えい等
⇒他の事案よりも時間的猶予を認め、例えば60日
�A報告事項
・報告が求められる事項について基本的に全て報告する必要がある。
_
4.本人への通知(改正法22条の2第2項)
(1)基本的な考え方
個人情報保護委員会への報告を要する事態が生じた場合(上記2(2)ア参照)には、本人に対しても通知を行う必要があります。
本人への通知の趣旨は、通知を受けた本人が漏えい等の事態を認識することで、その権利利益を保護するための措置を講じられるようにすることにあります。
もっとも、本人への通知は、上記の制度趣旨を達成する観点から、本人が必要とする内容を、本人にとって必要なタイミングで通知することが重要であり、個人情報保護委員会への報告と区別して検討すべきです。
(2)本人通知の時間的制限、通知事項
ア 通知のタイミング
本人に対する通知は速やかに行う必要がある一方で、その具体的なタイミングは、事案によって異なります。また、事案によっては、速やかに通知することにより、かえって本人に不利益が生ずる場合もあります。
そこで、個人情報保護委員会は、本人側でも必要な措置を講じられるよう、速やかに行うことは確保しつつも、事案によっては委員会への報告と同じタイミングで行うことまで求める必要はないのではないか、と提案しています。
イ 通知事項・通知方法
通知事項・通知方法に関して、本人にとって重要なのは、漏えい等が発生したことやその概要を適切に把握・理解することです。
そこで、個人情報保護委員会は、通知事項について、本人が事態を適切に理解するために必要な事項を規則で定めた上で、通知方法と併せて、本人にとってわかりやすい形となるようガイドライン等で例示すべきではないかと提案しています。
_
(3)通知を要しない場合
改正個人情報保護法22条の2第2項ただし書において、「本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき」は、本人への通知を行う事態が生じる場合でも、通知を要しないこととされています。
例えば、漏えい事案が発生した場合において、「高度な暗号化処理等が施されている場合」や 「即時に回収出来た場合」等、本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて小さい場合には、個人データが漏えいしたことを公表すれば、本人への通知を省略しうるものと考えられます。「金融機関における個人情報保護に関するQ&A 」(令和2年4月 個人情報保護委員会・金融庁)20頁参照。
また、上記2(2)イのとおり、「高度な暗号化等の秘匿化」がされた個人データは個人情報保護委員会への報告の対象外となるので、本人への通知も不要となると考えられます。
_
〇本人通知の事態・時間的制限、通知事項
�@通知を行う事態
個人情報保護委員会への報告を要する事態が生じた場合
�A上記�@にかかわらず通知が不要となる場合
・本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき(改正法22条の2第1項ただし書)
(例)漏えい事案が発生した場合において、「高度な暗号化処理等が施されている場合」や「即時に回収出来た場合」等、本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて小さい場合には、個人データが漏えいしたことを公表すれば、本人への通知を省略しうる。
�B通知のタイミング
本人側でも必要な措置を講じられるよう、速やかに行うことは確保しつつも、事案によっては委員会への報告と同じタイミングで行うことまで求める必要はない。
�C通知事項・通知方法
・通知事項について、本人が事態を適切に理解するために必要な事項を規則で定める。
・通知事項・通知方法は本人にとってわかりやすい形となるようガイドライン等で例示する。
_
5.委託先から委託元への通知方法
(1)基本的な考え方
個人データの漏えい等の事態が発生した場合、委託元と委託先の双方が個人データを取り扱っているときは、原則として双方が報告義務を負うことになります。
他方、個人情報保護法22条の2第1項ただし書において、「ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。」とされ、委託先が委託元である個人情報取扱事業者に当該事態が発生した旨を通知したときは、委託先から個人情報保護委員会への報告義務を免除することとしています。この場合、委託元から委員会に報告を行うことになります。
委託元、委託先のどちらが主として漏えい報告や本人への通知を行うかについては、個人情報の取扱状況や、委託の状況等に応じて、あらかじめ、業者間で決めておくことが適切です。
その上で、委員会や本人との関係では、委託元、委託先のどちらが主として漏えい報告等の対応を行ったとしても、適切な対応がなされるようにすることが必要です。
(2)委託先から委託元への通知方法の方向性
委託先は、委託元が漏えい等の事態を把握した上で、委員会に報告を行うことができるよう、報告に資する通知を行う必要があります。
加えて、委託元は、委託先の監督義務があり(個人情報保護法22条)、委託先で漏えい等が発生した場合の委員会への通知体制を整備した上で、実際に発生した場合には、委託先における漏えい等の状況を適切に把握する必要もあります。
そこで、個人情報保護委員会は、「委託先から委託元への通知方法」の方向性について以下のとおり提案しています。
委託元への通知は速やかに行う必要があり、通知事項に関しては、個人情報保護委員会に速報として報告する場合と同じ事項を通知することが求める。
委託元、委託先の関係は状況によって様々であるため、委託先が委託元に速やかに通知を行うことで、委託先の個人情報保護委員会への報告義務自体は免除する。
その場合も、委託先は、引き続き、漏えい等事案について適正に対処する必要があることは言うまでもなく、委託先は、実態把握を行うとともに、漏えい等報告にも協力する必要がある旨、ガイドライン等で明確化する。
6.個人情報保護委員会のその他の提案
個人情報保護委員会は、漏えい等報告・通知に関して、上記以外に以下の提案をしています。
(1)改正法において漏えい等報告の対象とならない事案の取扱いについて
改正法における報告対象事案以外は、委員会として報告を求める対象ではない一方で、漏えい等のおそれの判断が困難な場合等に、事業者側から任意の報告ができるようにすべきである。
(2)認定個人情報保護団体の関与について
認定個人情報保護団体は、改正法における漏えい等報告の報告先となっていないが、認定個人情報保護団体の制度趣旨や、これまで対象事業者の漏えい等事案の対応・再発防止に関与してきたことを踏まえ、その関与の在り方を検討する必要がある。
なお、この点を含め、認定個人情報保護団体の活動について、団体にとっても参考となるよう、望ましい取組の方向性等を委員会として示していくことが必要である。
(3)漏えい等事案に関する国際的な情報共有への貢献
改正法において、漏えい等報告を義務化した理由の1つとして、国際的な制度調和が挙げられることや、諸外国のデータ保護機関間で漏えい等事案の傾向が情報共有され、執行に活用されていることを踏まえ、我が国もこうした取組により積極的に貢献すべきである。
_
7.その他の検討事項
(1)「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)との関係
「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号、以下「漏えい等告示」という。)では、現行の個人情報保護法の下において、個人データが漏えいした場合の個人情報取扱事業者の対応について記載されています。ただし、これらの対応は努力義務です。
以下では、改正個人情報保護法22条の2と「漏えい等告示」で定められる事項を比較したものです。
_
_
改正法22条の2
漏えい等告示
義務性
義務
努力義務
対象事案
要配慮個人情報の漏えい
財産的被害が発生するおそれがある場合(例:クレジットカード番号やインターネットバンキングのID・パスワード等)
故意による漏えい(例:不正アクセスや従業員による持ち出し等)
個人データの性質・内容、漏えい等の態様を問わず、大規模な個人データの漏えい(1000件)
これらのおそれ
個人データ(特定個人情報に係るものを除く。)の漏えい、滅失又は毀損
加工方法等情報(匿名加工情報の加工の方法に関する情報等)の漏えい
これらのおそれ
報告
個人情報保護委員会への報告
※義務
※「速報」(速やかに)と「確報」(例:30日)あり。
個人情報保護委員会等への速やかな報告
※努力義務
※認定個人情報保護団体の対象事業者は認定個人情報保護団体を通じて報告
※報告徴収・立入検査の権限が委任されている場合は、委任先に報告
本人への通知
個人情報保護委員会への報告を要する事態が生じた場合
影響を受ける可能性のある本人への連絡(事案に応じて)
望ましい対応
今後ガイドライン等で定められるか?
事業者内部における報告及び被害の拡大防止
事実関係の調査及び原因の究明
影響範囲の特定
再発防止策の検討及び実施
影響を受ける可能性のある本人への連絡(事案に応じて)
事実関係及び再発防止策等の公表(事案に応じて)
_
(2)金融分野ガイドライン・実務指針との整合性
金融分野の個人情報取扱事業者に適用される「金融分野における個人情報保護に関するガイドライン」(個人情報保護委員会・金融庁、以下「金融分野ガイドライン」という。)では、「個人データ」のほか、「個人データ」でない「個人情報」及び「加工方法等情報」(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報)も対象とされていますが、監督当局等への報告・本人への通知は「努力義務」とされています。
なお、同じく金融分野の個人情報取扱事業者に適用される、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」(個人情報保護委員会・金融庁、以下「金融分野実務指針」という。)では、個人データの漏えい事案等が発生した場合に、監督当局への報告・本人への通知が「義務」とされています(同実務指針2−6−1)。
対象事案は、金融分野ガイドライン(努力義務)では、「個人データ」のほか、「個人データ」でない「個人情報」及び「加工方法等情報」(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報)も対象としていますが、「金融分野実務指針」(義務)では「個人データ」のみ対象としています。
監督当局等への報告の期限は、金融分野ガイドライン(努力義務)では「直ちに」とされていますが、金融分野実務指針(義務)には特に規定はありません。
なお、「金融機関における個人情報保護に関するQ&A」(個人情報保護委員会・金融庁)(問IV-11)では、FAXの誤送信、郵便物等の誤送付及びメール誤送信などについては、個人情報取扱事業者が個別の事案ごとに、漏えい等した情報の量、機微(センシティブ)情報の有無及び二次被害や類似事案の発生の可能性などを検討し直ちに報告を行う必要性が低いと判断したものであれば、業務上の手続きの簡素化を図る観点から、四半期に一回程度にまとめて報告しても差し支えないこととされています。
_
〇金融分野ガイドライン
第17 条 個人情報等の漏えい事案等への対応
1 金融分野における個人情報取扱事業者は、個人情報の漏えい事案等又は匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第36条第1項の規定により行った加工の方法に関する情報の漏えい事案(以下「個人情報等の漏えい事案等」という。)の事故が発生した場合には、監督当局等に直ちに報告することとする。
2 金融分野における個人情報取扱事業者は、個人情報等の漏えい事案等の事故が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、当該事案等の事実関係及び再発防止策等を早急に公表することとする。
3 金融分野における個人情報取扱事業者は、個人情報等の漏えい事案等の事故が発生した場合には、当該事案等の対象となった本人に速やかに当該事案等の事実関係等の通知等を行うこととする。
〇金融分野実務指針
(漏えい事案等に対応する体制の整備)
2−6 金融分野における個人情報取扱事業者は、「漏えい事案等に対応する体制の整備」 として、次に掲げる体制を整備しなければならない。
�@ 対応部署
�A 漏えい事案等の影響・原因等に関する調査体制
�B 再発防止策・事後対策の検討体制
�C 自社内外への報告体制
_
2−6−1 金融分野における個人情報取扱事業者は、1−2�B又は6−6−1に基づき、 自社内外への報告体制を整備するとともに、漏えい事案等が発生した場合には、次に掲げる事項を実施しなければならない。
�@ 監督当局等への報告
�A 本人への通知等
�B 二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び 再発防止策等の早急な公表
_
_
改正法22条の2
金融分野実務指針
義務性
義務
努力義務
対象事案
要配慮個人情報の漏えい
財産的被害が発生するおそれがある場合(例:クレジットカード番号やインターネットバンキングのID・パスワード等)
故意による漏えい(例:不正アクセスや従業員による持ち出し等)
個人データの性質・内容、漏えい等の態様を問わず、大規模な個人データの漏えい(1000件)
これらのおそれ
個人データ
※具体的にどのような事態が発生した場合か定めなし。
※「金融分野ガイドライン」では「個人データ」のほか、「個人データ」でない「個人情報」及び「加工方法等情報」(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報)(「個人情報等の漏えい事案等」)も対象とするが、努力義務とされる。
報告
個人情報保護委員会への報告
※義務
※「速報」(速やかに)と「確報」(例:30日)あり。
監督当局等への報告(期限について定めなし)
※「金融分野ガイドライン」では努力義務であるが監督当局等へ「直ちに」報告することを求めている。
本人への通知
個人情報保護委員会への報告を要する事態が生じた場合
個人情報等の漏えい事案等の事故が発生した場合
改正個人情報保護法22条の2により、漏えい等報告・本人通知が義務化することになり、上記の実務指針との関係でどのように整理されるのかが注目されます。
【Zoomウェビナー:12月23日(水)18時〜20時】改正個人情報保護法の最新情報とGDPRの新たなSCC(Standard Contractual Clause:標準契約条項)
2020/12/04
渡邉雅之弁護士が「改正個人情報保護法の最新情報とGDPRの新たなSCC(Standard Contractual Clause:標準契約条項)」と題するZoomウェビナーを行います。
(※事務所主催のセミナーではなく、渡邉雅之弁護士が個人で開催するセミナーであることにご留意ください。)
_GDPRのSCCに関しては都合により延期いたします。【Zoomウェビナー:12月26日(土)午前7時〜9時】GDPR:新しいSCC(Standard Contractual Clauses: 標準契約条項)への対応をご覧下さい。
下記のレジュメを使って解説いたします。
【解説レジュメ】2020 年改正個人情報保護法 〜個人情報保護委員会規則の方向性
Peatixのページにてお申込みお願いします。
【最新情報・改正個人情報保護法】
2020年改正個人情報保護法については、個人情報保護委員会において個人情報保護委員会規則の内容が明らかになってきています。
既に、保有個人データの開示の充実、漏えい等報告、個人関連情報、仮名加工情報についてはかなり明確化しています。
これらの最新情報を踏まえて改正個人情報保護法について分かりやすくお伝えします。
【最新情報・GDPRの新たなSCC】
Privacy Shieldを無効とする欧州司法裁判所の判断を踏まえ、EDPB(ヨーロッパデータ保護会議)が新たなSCC(Standard Contractual Clause:標準契約条項)を公表しました。
ガイドラインや新たなSCCの内容について詳細に解説いたします。
お申込みはPeatixでお願いします。
※Youtubeで同時配信する予定です(URLはこちらです。)。
あたらしい法律情報_弁護士:渡邉雅之のライブ配信
※レジュメは終了後、本ウェブページに掲載予定です。
※個人情報の保護について
利用目的:�@セミナーへの招待、�A質疑への回答、�B今後の営業活動、�Cサービスの向上
安全管理:事務所のデスクトップパソコンにのみご参加者の個人情報を保管いたします
コロナ禍における賃料の減額・支払猶予について
2020/12/01
(執筆者:深津雅央)
【Q.】
コロナ禍の影響により、ビル等の賃料の支払いが困難となった場合に、賃料の減額や、支払猶予がなされるケースが生じていると聞きます。こうしたときの進め方や、留意点等について教えてください。
【A.】
1.はじめに
コロナ禍が各種事業者の事業活動に対し、いつごろまで、どれほどの影響を及ぼすのかについては、未だ見通しが困難な状況にあります。こうした中、特にビルテナントを中心に、賃料の支払いの減額や、支払猶予がなされるケースが増えていることは、報道等でご存じの方々も多いのではないかと思います。
そこで、本稿では、関連する行政機関の対応について触れた上で、こうした場合の流れや留意点について、説明します。
_
2.各行政機関からの要請・通知等
政府による緊急事態宣言が発出される直前の令和2年3月31日、国土交通省は不動産関連団体を通じ、賃貸用ビルの所有者など飲食店をはじめとするテナントに不動産を賃貸する事業を営む事業者に向けて、新型コロナウイルス感染症の影響により賃料の支払いが困難な事情があるテナントに対しては、その置かれた状況に配慮し、賃料の支払いの猶予に応じるなど、柔軟な措置の実施を検討するよう要請しました。
また、国税庁は、賃料の減額が、例えば、次の条件を満たすものであれば、実質的には取引先等との取引条件の変更と考えられるため、その減額した分の差額については寄附金として取り扱われることはない旨のFAQをホームページ上で公表しています(令和2年4月30日更新)。
<条件>
�@取引先等において、新型コロナウイルス感染症に関連して収入が減少し、事業継続が困難となったこと、または困難となるおそれが明らかであること
�A賃料の減額が、取引先等の復旧支援(営業継続や雇用確保など)を目的としたものであり、そのことが書面などにより確認できること
�B賃料の減額が、取引先等において被害が生じた後、相当の期間(通常の営業活動を再開するための復旧過程にある期間)内に行われたものであること
_
3.賃料の減額・支払猶予までの流れ
前述のような各種行政機関の対応を受けて、大手のビルオーナーを中心に、入居するテナントに対し、賃料の減額や支払猶予に応じるので必要な場合には申し出てほしい旨の通知が積極的に発出されているようです。もっとも、オーナー側から積極的な通知等がなされていない物件であっても、テナント側から要請があった場合には、協議の上、柔軟な対応がなされているケースが多いようです。
そのため、ビル等に入居されている事業者で、コロナ禍の影響により賃料の支払いに困難が生じている場合は、特にビルオーナーからの通知等がなくても、その旨を申し出て、賃料の減額や支払猶予について協議をしてみることをおすすめします。
_
4.賃料の減額や支払猶予にあたっての留意点
●オーナー・入居者双方の留意点
賃料の支払いに関する入居者への支援としては、主に、賃料の「減額」と「支払猶予」の2種類の方法が採られているようです。
賃料の「減額」とは、文字通り、支払うべき賃料額そのものを一部免除することを意味します。例えば、月額賃料50万円を40万円に「減額する」という場合、減額分の10万円については、入居者側からみれば、以後、支払う必要はなくなりますし、オーナー側からみれば、以後、入居者に対し請求することはできなくなってしまいます。
一方、賃料の「支払猶予」とは、支払うべき賃料額の全部または一部の支払期限を、将来のある時期に延ばすことを意味します。例えば、月額賃料50万円のうち10万円を「支払猶予する」という場合、猶予分の10万円については、入居者からみれば、延ばされた支払期限が到来すれば支払義務が発生しますし、オーナー側からみれば、延ばされた支払期限が到来するまでは請求できないものの、その期限が到来すれば、請求することができます。
なお、賃料の支払いについて保証人を付している場合は、賃料の減額や支払猶予により、保証債務についても同様の減額や支払猶予がなされることになります。
以上のことから、賃料の減額や支払猶予にあたっては、�@その措置が「減額」と「支払猶予」のいずれに該当するのか、�Aその措置が適用される期間は、いつからいつまでなのか、�B支払猶予の場合は、猶予された金額を、いつからいつまでの間に、いくらずつ支払っていくのか、を特に明確にする必要があります。
また、「減額」と「支払猶予」の2つの措置を織り交ぜる場合は、それぞれの措置ごとに分けて記載するなどしてください。
●その他オーナー側の留意点
前述の国税庁FAQの<条件>�Aに記載の通り、賃料の減額や支払猶予を書面により確認できることが求められますので、合意に関する書面の作成は必須です。また、コロナ禍により賃料の支払いに困難が生じていることを明らかにしておくため、入居者から一定の根拠資料を取得しておくことが望ましいと考えられます。入居者が行政等から金銭的支援を受けている場合には、その支援の内容を確認しておくことも必要でしょう。
以上のような観点から、合意に関する書面の内容に問題がないかについては、あらかじめ弁護士・税理士等の専門家に確認してもらうことをおすすめします。
●その他入居者側の留意点
オーナー側は上記のような点に特に注意を払うと考えられることから、賃料の減額や支払猶予を申し入れるにあたっては、入居者の事業がコロナ禍により(特に金銭的に)どのような影響を、どのような期間にわたって受けているのか、具体的に説明する資料を付けることで、協議がスムーズになると考えられます。
また、支払猶予を行う場合は、将来の一定期間の賃料負担を増加させることにもなります。コロナ禍の解消の見通しが立ちづらい状況において、短期間の支払猶予を約束することについては慎重に検討した上で、オーナー側と相談することをおすすめします。
猿木秀和弁護士が執筆した『弁護士とリモートワーク』(遊筆〜労働問題に寄せて〜)が労働判例2020年11月15日号(��1228)に掲載されました。
2020/11/16
猿木秀和弁護士が執筆した『弁護士とリモートワーク』(遊筆〜労働問題に寄せて〜)が労働判例2020年11月15日号(��1228)に掲載されました。
「今さら聞けない個人情報保護法のツボ」(11月2日開催)のセミナーレジュメ
2020/11/10
11月2日に開催した「今さら聞けない個人情報保護法のツボ」のセミナーレジュメを公開します。
今さら聞けない個人情報保護法のツボ
※当日のZoom録画がうまくいきませんでしたので再録後公表予定です。
(ご連絡先)
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email_m-watanabe@miyake.gr.jp
渡邉雅之弁護士が執筆した『オンラインで完結する本人確認(eKYC)の法整備と課題』が銀行実務2020年11月号に掲載されました。
2020/10/28
渡邉雅之弁護士が執筆した『オンラインで完結する本人確認(eKYC)の法整備と課題』が銀行実務2020年11月号に掲載されました。
【改正個人情報保護法】保有個人データに関する事項の公表等の充実
2020/10/23
令和2年(2020年)10月14日に開催された第155回個人情報保護委員会においては、「改正法に関連する政令・規則等の整備に向けた論点について(公表事項の充実)」についての審議がなされました。
保有個人データに関する事項の公表等の充実は、「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号)に関連する改正事項であり、政令・ガイドラインにおいて今後改正が予定されている事項です。
同改正予定項目は、法律自体の改正項目ではありませんが、プライバシーポリシーや利用目的の外部への公表において重要な影響を与えるものです。
_
執筆者:渡邉雅之
*本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email_m-watanabe@miyake.gr.jp
_
保有個人データに関する事項の公表等の充実
_
(保有個人データに関する事項の公表等)
第27条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 全ての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。)
三 次項の規定による求め又は次条第1項(同条5項において準用する場合を含む。)、第29条第1項若しくは第30条第1項、若しくは第3項若しくは第5項の規定による請求に応じる手続(第33条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前3号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2・3(略)
〇個人情報の保護に関する法律施行令(※現行)
(保有個人データの適正な取扱いの確保に関し必要な事項)
第8条法第27条第1項第4号の政令で定めるものは、次に掲げるものとする。
一 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
二 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先
_
1 現行法
現行法では、個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならないこととされている(現行方27条1項各号、同法施行令8条各号)。
�@当該個人情報取扱事業者の氏名又は名称(※2020年改正で「住所並びに法人にあっては、その代表者の氏名」が追加される。)
�A全ての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。)
�B次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第29条第1項若しくは第30条第1項、第3項若しくは第5項の規定による請求に応じる手続(第33条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
�C当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
�D当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護
�E団体の名称及び苦情の解決の申出先
_
これは、開示請求等により、本人が保有個人データに適切に関与することを可能とし、個人情報の取扱いに関する透明性を確保する観点から定められたものである。
_
2 現行制度の課題
法27条1項の趣旨は、本人関与の実効性確保であるが、現行法上、事業者の保有個人データの取扱いについて、本人がその内容を判断する材料は利用目的のみである。
消費者自らの情報の取扱いに対する関心や、関与への期待が高まる中、また、AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくことが重要である。
制度改正大綱においては、本人の適切な理解と関与を可能としつつ、事業者における個人情報の適切な取扱いを促す観点から、�@個人情報の取扱体制や講じている措置の内容(下記3参照)、�A保有個人データの処理の方法(下記4参照)等の本人に説明すべき事項を、法に基づく公表事項として追加することとしている。
第3章 個別検討事項
第3節 事業者における自主的な取組を促す仕組みの在り方
2.民間の自主的取組の推進
○ 個人情報を保護するための体制整備や適正に取り扱うための取組の内容については、事業者の取り扱う情報の性質等に応じて、自主的に行われることが求められるが、こうした取組を促進する観点から、何らかの枠組みが設けられていることが、事業者及びその経営者の意識を高める上で重要である。
○ したがって、個人情報取扱事業者による保有個人データの本人に対する説明の充実を通じて、本人の適切な理解と関与を可能としつつ、個人情報取扱事業者の適正な取扱いを促す観点から、個人情報の取扱体制や講じている措置の内容、保有個人データの処理の方法等の本人に説明すべき事項を、法に基づく公表事項(政令事項)として追加することとする。
_
3 取扱体制や講じている措置の公表について
(1)基本的な考え方
個人情報保護委員会が把握した漏えい事案が増加傾向(注)にあるなど、本人の権利利益が侵害されるおそれが高まっている中で、事業者による個人情報の取扱体制や講じている措置の内容についても、本人にとって重大な関心事項である。
(注)平成29年度3,338件、平成30年度4,380件、令和元年度4,520件
しかしながら、事業者の保有個人データの取扱いについて、本人がその内容を判断する材料は利用目的のみであり、現行法上、その取扱体制や講じている措置について把握することは困難である。
たとえ利用目的が適正なものだとしても、体制整備や措置が不十分な場合は、本人が開示や利用停止等の請求を行う必要がある場合も考えられる(例:過去に漏えい事案等を発生させた事業者において、安全管理措置が不十分であると判断した本人が、利用停止等を請求する場合)。
したがって、事業者の取扱体制や講じている措置を本人が把握できることが重要である。
(2)政令の方向性
本人にとっては、自身の権利利益侵害の防止のために、どのような体制整備や措置が講じられているかを把握できればよく、その観点から、個人データの漏えい防止等のために、法20条の規定により講じた安全管理措置(基本方針の策定、個人データの取扱いに係る規律の整備、組織的・人的・物理的・技術的安全管理措置)についての情報が公表されれば、権利利益との関係においても、本人の適切な関与が可能となると考えられる。
したがって、個人情報保護委員会としては、どのような安全管理措置が講じられているかについて、本人が把握できるようにする観点から、法定公表事項(政令事項)として、法第20条の規定により安全管理のために講じた措置を公表させる方向である。
(3)留意事項
取り扱われる個人情報の内容、個人情報の取扱いの態様等によって、事業者に求められる措置は様々であるため、法20条の安全管理措置規定は、措置の具体的な内容を一律に規定していない。同様に、その公表についても、内容を一律に規定することは望ましくないと考えられる。
他方、セキュリティ対策の具体的な技術手法のように、その内容の公表により、安全管理に支障を及ぼす場合等も考えられるため、政令の規定上、公表を求める事項から、公表することにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを明示的に除外することが検討されている。
なお、事業者に対する予測可能性確保等の観点から、ガイドラインにおいて、法第20条の安全管理措置規定のように、公表事項及び支障を及ぼすおそれがあるものの例示を行うことが考えられる(例示においては、中小規模事業者にも配慮した内容を盛り込むことも考えられる)。
(4)公表の具体例
上記(3)の留意事項で記載した「安全管理のために講じた措置の例」および「支障を及ぼすあるものの例」としては以下のものが考えられる。
〇 安全管理のために講じた措置の例
内部規律の整備(取得、利用、提供、廃棄といった段階ごとに、取扱方法や担当者及びその任務等について規定を策定し、定期的に見直しを実施している旨等)
組織体制の整備(責任者を設置している旨及びその役職・任務等、漏えい等を把握した場合の報告連絡体制等)
定期点検・監査(定期的な自己点検、他部署監査、外部主体監査の実施等)
従業者の教育(定期的に研修を実施している旨、秘密保持に関する事項を就業規則等に盛り込み周知している旨等)
不正アクセス等の防止(外部からの不正アクセスから保護する仕組みを導入している旨等)
外的環境の把握(外国で個人データを取り扱っている場合の外国の個人情報保護制度等)
〇支障を及ぼすおそれがあるものの例
個人データが記録された機器等の廃棄方法、盗難防止のための管理方法
個人データ管理区域の入退室管理方法
アクセス制御の範囲、アクセス者の認証手法等
不正アクセス防止措置の内容等
_
(5)外部環境の把握について
上記(4)の「安全管理のために講じた措置の例」の一つとして「外部環境の把握」がある。
個人情報を取り巻くリスクは技術的、社会的環境に応じて変化するものであり、個人情報取扱事業者は、自らのおかれた環境を認識しリスクを把握した上で、安全管理措置や本人の予見可能性向上のための措置等を適切に講じることが求められる。
2020年改正においては、このような変化の一つである外国における制度等の外的環境に起因するリスクに着目し、個人情報取扱事業者が、外国にある第三者への個人データの提供時に、当該外国における制度等、当該第三者における個人情報の取扱いに関する本人への情報提供の充実等を求めている(改正24条)。
このような改正の前提となる状況の変化については、日本に所在する事業者が個人データを第三者に越境移転する場合と同様に、事業者自らが、取得した個人データを外国で取り扱う場合においても直面するものであり、それに応じた安全管理措置を適切に講じる必要がある。
以上の理解の下、今般の法改正の前提にある外国における個人データの取扱いに関わる外的環境のリスクとしての高まりを重視し、事業者が、外国において個人データを取り扱う場合、当該外国の制度等を把握した上で安全管理措置を講ずべき旨を、ガイドラインで明確化することとされている。その際、安全管理措置の公表の一環として、事業者が把握した外国制度等の公表を求めていくことも考えられる
_
4 取扱体制や講じている措置の公表について
(1)基本的な考え方
技術の進展等に伴い、個人情報の取扱いが多様化・複雑化している中、消費者本人にとっては、これまでの利用目的のみでは、どのように自身の個人情報が取り扱われているかを合理的に想定できなくなっている場合も考えられる。
例えば、いわゆる「プロファイリング」といった、本人から得た情報をもとに、その情報と異なる本人に関する情報を予測等して活用する場合、本人が当初想定していないような形で本人に影響を与え得る。
このような場合、本人が個人データの処理方法を把握できれば、そういった懸念も解消され得るが、その公表については、営業秘密の流出等を懸念する意見も制度改正大綱のパブリックコメントとして個人情報保護委員会に寄せられている。
また、分析アルゴリズムなどの処理方法を公表することが、必ずしも個人データの取扱いに対する理解の促進や不安軽減に資するとは限らない。
しかし、消費者本人にとっては、利用目的からは想定できないような取扱いが行われる場合に、そういった取扱いが行われていることを本人が認識できるようにすることが重要である。
したがって、個人情報保護委員会においては、個人データの処理方法公表の義務化ではなく、利用目的の特定を通じて本人がどう取り扱われているか認識できるようにすることが検討されている。
(2)ガイドライン改正の方向性
利用目的の特定(法15条1項)の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることにある。
_ その特定の程度については、事業内容等に照らして、個人情報が具体的にどのように取り扱われることとなるか、本人からみて一般的かつ合理的に想定できる程度に明確であることが望ましく、本人が合理的に予測・想定できないような場合は、法の趣旨に沿って利用目的を特定しているとは言えないものと考えられる。
したがって、本人が合理的に予測等できないような個人データの処理が行われる場合、ガイドラインにおいて、どのような取扱いが行われているかを本人が予測できる程度に利用目的を特定することを求めることが検討されている。
(3)具体例
例えば、いわゆる「プロファイリング」といった、本人から得た情報から、本人に関する行動、関心等の情報を分析する場合、本人がそういった分析が行われていることを把握していなければ、本人にとって想定しえない形で取り扱われる可能性があり、これは合理的に想定された目的の範囲を超えているとも考えられ、この場合、利用目的を合理的に想定できる程度に特定したことにはならない。
このような場合には、どのように自身の情報が取り扱われているかを本人が予測できる程度に利用目的を具体的なものとすることを求める。
【本人から得た情報から、行動、関心等の情報を分析する場合の利用目的の例】
1.閲覧履歴や購買履歴等の情報を分析することによって、本人の趣向等に応じた広告を配信するケース
〇取得した閲覧履歴や購買履歴等の情報を分析して、趣向に応じた新商品・サービスに関する広告のために利用いたします。
_広告配信のために利用いたします。
2.履歴書や面接で得た情報のみならず、(本人が分析されることを想定していない)行動履歴等の情報を分析し、人事採用に活用するケース
〇履歴書や面接で得た情報に加え、行動履歴等の情報を分析して、当該分析結果を採否の検討・決定のために利用いたします。
_取得した情報を採否の検討・決定のために利用いたします。
3.行動履歴等の情報を分析の上、結果をスコア化した上で、当該スコア(自体を提供することを本人に通知等することなく)を第三者へ提供するケース
〇取得した行動履歴等の情報を分析し、結果をスコア化した上で、当該スコアを第三者へ提供いたします。
_取得した情報を第三者へ提供いたします。
11/5 オンラインセミナー「同一労働同一賃金最高裁判決の解説と実務対応」
2020/10/16
オンラインセミナー
≪同一労働同一賃金最高裁判決の解説と実務対応≫
日時:令和2年11月5日(木) 午後3時00分〜午後5時00分
会場:ZOOMウェビナーによるオンラインセミナー
参加料:5500円(税込)
主催:弁護士法人三宅法律事務所
後援:宝印刷株式会社
講師:弁護士法人三宅法律事務所
弁護士 黒 田 清 行
弁護士 猿 木 秀 和
弁護士 竹 村 知 己
補足:事前にレジュメを配信し、ご質問をお受けいたします。
昨年2月15日に学校法人大阪医科薬科大学事件控訴審判決が、同月20日にメトロコマース事件控訴審判決が、それぞれ言い渡され、従来不合理な待遇差であると判断されることはないであろうと考えられていた賞与あるいは退職金の待遇差が不合理であると判断され、新聞報道等でも紹介され、衝撃が走りましたが、本年10月13日に両事件の最高裁判決が言い渡されるとともに、同月15日には、非正規社員と正社員との各種手当等の待遇差が争点になっている日本郵便事件の最高裁判決が言い渡されました。
それぞれ判決には、賞与、退職金、各種手当等の待遇差が不合理であると判断されるかに関し、初めての最高裁判所としての判断を含むものであり、実務上大きな影響を及ぼすものです。
本セミナーは、「大阪医科薬科大学事件」、「メトロコマース事件」、「日本郵便事件」について、事案の概要、一審・控訴審の内容、最高裁判決の内容とともに、今後の実務対応について解説します。
_
【プログラム】
1.大阪医科薬科大学事件
(1)事案の概要、一審・控訴審の内容
(2)最高裁判決の内容
(3)賞与に関する実務対応
2.メトロコマース事件
(1)事案の概要、一審・控訴審の内容
(2)最高裁判決の内容
(3)退職金に関する実務対応
3._ 日本郵便事件
(1)事案の概要、一審・控訴審の内容
(2)最高裁判決の内容
(3)各種手当等に関する実務対応
お申込み:こちらのURLよりお申込みください。
https://ssl.alpha-prm.jp/miyakemail.jp/roudou.html___ 受付を終了いたしました。
申込期日:10月28日(水)までにお申し込みください。
お支払い期日:10月29日(木)までに下記口座にお支払いください。
<振込先>
みずほ銀行 大阪中央支店 当座預金 0143535
弁護士法人三宅法律事務所(ベンゴシホウジンミヤケホウリツジムショ)
※ お支払い方法は「お振込み」となります。(振込手数料はご負担ください。なお、領収証は発行しておりませんので、ご了承ください。)
※ 参加費をお支払いいただいた後、セミナー前日までに招待メールが届きますので、ご登録をお願いします。
※ 招待メール送付後のキャンセルにつきましては、ご対応いたしかねます。
※ 登録後に届く確認メール内の受講URLより、セミナー受講画面にお進みください。
事前にレジュメを配信いたしますので、ご質問のある方は、確認メール内に記載のメールアドレス宛にご質問をお送りください。
