個人情報保護について
DESCRIPTION
個人情報保護について. 弁護士法人龍馬 弁護士 舟木 諒, 板橋俊幸. 1. □ 個人情報保護法の概要. 2003 年(平成 15 年) 5 月 23 日成立, 2005 年(平成 17 年) 4 月 1 日全面施行。 ◆ 成立の背景. プライバシー侵害. 情報化社会. 住民基本台帳問題. 個人情報漏洩問題. 国際上の問題. □ 個人情報とは何か?. 個人情報のライフサイクル. 「個人情報」の管理 (利用目的・提供・安全・開示等). 「利用目的」 の特定. 「利用目的」による制限内の取扱い. 個人情報. 個人データ. 保有個人データ. - PowerPoint PPT PresentationTRANSCRIPT
1
個人情報保護について
弁護士法人龍馬
弁護士 舟木 諒,板橋俊幸
情報化社会
□ 個人情報保護法の概要2003 年(平成 15 年) 5 月 23 日成立,2005 年(平成 17 年) 4 月 1 日全面施行。◆ 成立の背景
プライバシー侵害
国際上の問題
住民基本台帳問題
個人情報漏洩問題
□ 個人情報とは何か?
個人情報のライフサイクル
「個人情報」の管理(利用目的・提供・安全・開示等)
「利用目的」の特定
個人情報
個人データ
保有個人データ取得 利用
「利用目的」による制限内の取扱い
消去
通知等 提供 開示・訂正等・利用停止等
本人 第三者 委託先 本人
5
個人情報とは?「個人に関する情報で特定の個人を識別できるもの」 氏名,性別,生年月日等のほか,個人の身体,財産,職種,肩書き等の属性に関して事実,判断,評価を表す全ての情報。 書面だけでなく,口頭で取得した情報も含む。 ・ 施設の行事における写真→識別できれば個人情報 ・ メールアドレスは?:それ自体で氏名等が分かる場合は個人情報になる。
① 利用目的の特定・制限② 適正な個人情報の取得③ 利用目的の通知・公表
取得場面
6
個人データとは?個人情報のうち,個人情報データベース等を構成する情報。
① 安全管理措置② 従業員の監督③ 委託先の監督④ 第三者提供の制限
検索できるように体系的に整理されたもの
受付簿・・・個人情報ではあるが,体系的に整理されていないので,個人データではない。
管理
7
保有個人データとは?個人データのうち,個人情報取扱事業者が,開示,内容の訂正,追加又は削除,利用の停止,消去及び第三者への提供の停止を行うことのできる権限を有するもの。
① 利用目的・開示手続の公表② 開示③ 訂正④ 利用停止⑤ ②から④の手続きに応じない場合の理由の説明
自己情報コントロール
提供した具体的なサービスの内容等を記録するとともに、利用者からの申出があった場合には、文書の交付その他適切な方法により、その情報を利用者に対して提供しなければならない。 (指定基準19条2項ほか)。
8
「取得」~「個人情報」・ 「個人情報を取り扱うに当たっては,その利用の目的をできる限り特定しなければならない」(15条)・ 「利用目的の達成に必要な範囲を超えて個人情報を利用してはならない」(16条)
ガイドラインに参考例が記載(介護関係事業者の内部での利用に係る事例) ・介護サービスの利用者等に提供する介護サービス ・介護保険事務 ・管理運営事務のうち,入退所等の管理,会計・経理,事故等の報告,サービスの向上(他の事業者等への情報提供を伴う事例) ・サービス担当者会議等,照会への回答 ・家族等への心身の状況説明 etc.
サービス担当者会議等において、利用者の個人情報を用いる場合は利用者の同意を、利用者の家族の個人情報を用いる場合は当該家族の同意を、あらかじめ文書により得ておかなければならない(指定基準33条ほか)。
9
「個人情報」目的外利用の例外
目的外利用)目的達成に「必要な範囲を超えて」例外① 本人の同意② 法令に基づく場合③ 生命,身体又は財産の保護のために必要で,本人の同意を得ることが困難なとき④ 国の機関若しくは地方公共団体等に協力する場合であって,本人の同意を得ることにより当該事務の遂行に支障が生じるおそれがあるとき
若干の幅
例)家族が虐待をしているときに関係機関に家族の情報を提供する場合(②~④)→ 合法。
10
「個人データ」第三者提供の例外
例外① 本人の同意② 法令に基づく場合③ 生命,身体又は財産の保護のために必要で,本人の同意を得ることが困難なとき④ 国の機関若しくは地方公共団体等に協力する場合であって,本人の同意を得ることにより当該事務の遂行に支障が生じるおそれがあるとき⑤ オプトアウト型
11
例外ー法令に基づく
不正受給者に係る市町村への通知 虐待にかかる通報 弁護士法23条の2に基づく照会
例外ー生命,身体,財産の保護・ 意識不明で身元不明の患者について 関係機関へ照会する場合・ 重度の認知症の高齢者の状況を 家族等に説明する場合
12
「個人データ」:管理上の義務
個人データの安全管理のための措置
• 組織的措置:体制の整備(責任者),社内規定の整備等• 人的安全措置:研修・教育,誓約書• 物理的安全措置:施錠,廃棄• 技術的安全措置:アクセス制御,不正ソフトウェア対策
従業員の監督 ※ボランティアも含む
• 安全管理措置の規定の遵守,指導教育
委託先の監督
13
「保有個人データ」開示の例外
例外① 本人又は第三者の生命,身体,財産の侵害する おそれがある場合
② 業務の適正な実施に著しい支障を及ぼす場合
③ 他の法令に違反することとなる場合
個人情報取扱事業者の義務
1.個人情報の利用目的の特定・公表 → 明確かつ具体的な目的が必要
2.個人の情報の開示 → 本人の要求であれば原則として開示
3.個人情報の漏洩対策 → 適正な措置、監督を行わなければならない
4.個人情報取扱の苦情対策 → 迅速に処理
※ 対応しなければ、主務大臣より勧告や命令が下る
146ヶ月以下の懲役または30万円以下の罰金
命令違反
事業者から