• expand2017
  • expand2016
  • expand2015
  • expand2014
  • expand2013
  • expand2012
  • expand2011
  • expand2010
  • expand2009
  • expand2008
  • expand2007
  • expand2006
  • expand2005

影島広泰弁護士が執筆した「Q&Aとチェックリストでよくわかる 改正個人情報保護法対応ブック」が刊行されました

2017.5.26 | 著作・論文・記事等

影島広泰弁護士が執筆した書籍「Q&Aとチェックリストでよくわかる 改正個人情報保護法対応ブック」が、ぎょうせいから刊行されました。

https://shop.gyosei.jp/products/detail/9382
https://www.amazon.co.jp/gp/product/432410347X/

 

■130問超のQ&Aとチェックリストでビジュアルかつ具体的に解説。
■改正法の説明会講師を多数経験する著者が、実際に説明会で受けた質問なども踏まえ、個人情報保護委員会のガイドラインやQ&A(平成29年2月16日公表)等の最新情報に対応。
■個人情報保護法の対象が小規模(5,000人以下の個人情報)の取扱業者に広がるのを踏まえ、個人情報の取得から利用、保存・管理、第三者提供等に至るまでの対応を解説しています。

 

【目次】
1. 個人情報保護法とは
Q1 「個人情報保護法」とは、どのような法律ですか。
Q2 企業は「個人情報保護法」対応で何をすればよいのですか。
2. 個人情報・要配慮個人情報とは?
(1)個人情報
Q3 個人情報とは何ですか。
Q4 氏名は、同姓同名のケースがあるため、単体では個人情報にあたらな
いと考えてよいですか。
Q5 名刺は個人情報ですか。
Q6 登記に記載されている法人の代表者の氏名等は個人情報ですか。
Q7 従業員の情報も個人情報として保護しなければなりませんか。
Q8 電話の通話内容を録音しています。これも個人情報ですか。
Q9 「他の情報と容易に照合できる」とは何ですか。
(2)個人識別符号
Q10 個人識別符号とは何ですか。
Q11 メールアドレスは個人識別符号ではないので、個人情報にはあたりませんか。
Q12 広告効果を図るためにカメラで性別や年齢を抽出しています。この情報は個人情報にあたりますか。
(3)個人情報データベース等と個人データ
Q13 個人情報データベース等と個人データとは何ですか。
Q14 電話帳などが個人情報データベース等から除外されるとのことですが、除外されると何が変わるのですか。
Q15 データ内を全文検索すれば個人名を検索できる場合、個人情報データベース等(個人データ)に該当しますか。
Q16 個人名と融資額が表形式で記入されている「紙」は、個人情報データベース等にあたりますか。
Q17 五十音順にファイリングされた名刺入れから取り出した名刺は、個人データですか。
Q18 日付順に並べた伝票は、個人情報データベース等にあたりますか。
Q19 顧客に記入してもらった「申込書」をデータベースに入力しています。入力前の申込書は個人データですか。
Q20 顧客情報管理データベースから1件だけプリントアウトした場合、この出力紙は個人情報ですか個人データですか。
(4)保有個人データ
Q21 保有個人データの概念がよくわかりません。
(5)個人情報取扱事業者
Q22 マンションの管理組合など法人格がない団体も、個人情報取扱事業者になりますか。
Q23 海外の法人が個人情報取扱事業者になる場合とは、どのような場合ですか。
(6)要配慮個人情報
Q24 要配慮個人情報とは何ですか。
Q25 要配慮個人情報の取り扱いに、どのような規制がありますか。
Q26 労働安全衛生法に定められた年1回の健康診断に「上乗せ」して、半年に1回健康診断を実施しています。結果を取得するのに本人の同意が必要でしょうか。
Q27 採用時の情報収集について気をつけるべき点がありますか。
Q28 採用時のリファレンス調査は継続できますか。
Q29 履歴書に病歴や犯罪歴などの要配慮個人情報が記載されていました。どのように取り扱ったらよいですか。
Q30 従業員から「母が心臓病で入院したので有休を取ります」との連絡を受けました。従業員の母から同意を得る必要があるのでしょうか。
Q31 勤務先が宗教団体である事実は要配慮個人情報にあたりますか。
Q32 既に社内にある要配慮個人情報について、本人の同意が必要ですか。
Q33 未成年者から同意をとる際には、親権者の同意が必要ですか。
3. 個人情報の「取得」についてのQ&A
Q34 個人情報の取得について、企業として何をすればよいのでしょうか。
Q35 利用目的をどのように記載したらよいのでしょうか。
Q36 第三者提供をするためには、利用目的に第三者提供を含めておく必要がありますか。
Q37 統計情報を作成することを利用目的にする必要がありますか。
Q38 利用目的の「通知・公表」が必要な場合と、「明示」が必要な場合の違いが、よくわかりません。
Q39 「通知・公表」と「明示」は、何が違うのですか。
Q40 従業員に対しても利用目的を通知・公表する必要がありますか。
Q41 従業員に対してどのように利用目的を伝えればよいでしょうか。
Q42 利用目的を通知・公表しなくてもよい場合とは、どのような場合でしょうか。
4. 個人情報の「利用」についてのQ&A
(1)目的外利用の禁止
Q43 名刺交換をした人にダイレクトメールを送ることは、目的外利用になりませんか。
Q44 万引犯の情報を記録しておくことは、目的外利用になりませんか。
Q45 警察の捜査に任意に応じて情報を提供することは問題ありませんか。
Q46 利用目的の変更等の「同意」のために、手元にある個人情報を利用して本人に連絡することは、目的外利用になりませんか。
Q47 弁護士会照会に応じて情報を提供することは問題ありませんか。
(2)利用目的の変更
Q48 ダイレクトメールを発送することを、後から利用目的に追加できますか。
Q49 利用目的に第三者提供が記載されていません。後から追加できますか。
5. 個人データの「保存・管理」についてのQ&A
(1)安全管理措置:総論
Q50 安全管理措置とは、何をすべきですか。
Q51 ガイドラインには様々な措置が記載されていますが、何をどこまでやればよいのでしょうか。
Q52 中小企業は何をすべきでしょうか。
Q53 「中小規模事業者」か否かの基準となる個人情報の件数とは、データの件数ではなく、本人の人数ということで間違いないでしょうか。
(2)基本方針の策定
Q54 「プライバシーポリシー」とは何ですか。何を書けばよいですか。
(3)個人データの取り扱いに係る規律の整備
Q55 「個人データの取り扱いに係る規律の整備」とは何ですか。
Q56 中小規模事業者です。社内規程を作らなければなりませんか。
Q57 従業員数名の個人情報しか取り扱っていません。社内規程を作る必要がありますか。
Q58 子会社をどのように管理すべきでしょうか。社内規程は親会社のものを適用できますか。
Q59 マイナンバーに関する「特定個人情報取扱規程」と、「個人情報取扱規程」の関係をどのように整理したらよいでしょうか。
Q60 要配慮個人情報や匿名加工情報などを取り扱わない場合でも、社内規程に記載しておくことが必要ですか。
(4)組織的安全管理措置
Q61 「組織的安全管理措置」として何をする義務がありますか。
Q62 個人情報取扱責任者とは、通常、誰が就任するのでしょうか。
Q63 役員クラスの「個人情報取扱責任者」と、課長クラスの「個人情報管理者」の両方を設置しました。役割分担はどうしたらよいでしょうか。
Q64 「取扱状況の把握及び安全管理措置の見直し」は年に1回で大丈夫でしょうか。
Q65 「個人情報取扱台帳」を詳細に作っていくと、膨大な手間がかかります。どのようにしたらよいでしょうか。
(5)人的安全管理措置・従業者の監督
Q66 人的安全管理措置として、何をする義務がありますか。
Q67 就業規則を改定する必要がありますか。
Q68 従業員教育の時間も機会も取ることが難しいです。どうしたらよいでしょうか。
Q69 従業員教育は年1回でよいですか。
Q70 個人データを取り扱うオフィスに監視カメラを設置してモニタリングしても構いませんか。
(6)物理的安全管理措置
Q71 「物理的安全管理措置」として何をする義務がありますか。
Q72 「取扱区域」は、ほぼ全社にわたることになります。何をすればよいのでしょうか。
Q73 従業員の携帯電話・スマホをどのように管理すべきでしょうか。
(7)技術的安全管理措置
Q74 「技術的安全管理措置」として何をする義務がありますか。
Q75 個人データをメールで送信する際に、暗号化、パスワードによる保護をすべきですか。
Q76 標的型メール攻撃について、どのように対応すべきでしょうか。
(8)委託先に対する監督義務
Q77 委託先の監督とは、何をすればよいですか。
Q78 「適切な委託先の選定」とは、要するに何をどのように確認すればよいのですか。
Q79 データ移行のテストのために氏名を「●●」にしたデータを開発ベンダに提供するのは、委託先に対する個人データの提供になりますか。
Q80 個人情報を普通郵便で発送しても大丈夫でしょうか。紛失した場合、責任を問われますか。
Q81 誤って取得した個人情報について、本人に返却するのと自社で廃棄するのでは、どちらがよいでしょうか。
(9)情報漏えいした場合の対応
Q82 個人情報が漏えいした場合、本人への連絡が必要ですか。
Q83 漏えいした場合、ホームページへの公表が必要ですか。
Q84 漏えいした場合、個人情報保護委員会への報告が必要ですか。
6. 個人データの「第三者提供」についてのQ&A
(1)本人同意の原則
Q85 個人データの第三者提供には、どのような規制がありますか。
Q86 万引犯の情報を他店と共有することには、本人の同意が必要ですか。
Q87 建築元請会社です。労働安全衛生法、建築業法に従って下請会社から情報提供を受けるのに、同意が必要なのでしょうか。
Q88 会社内で、別の部署や別の支店に個人データを提供するのは、第三者提供にあたりますか。
Q89 人材紹介の会社が、登録者の情報を、氏名等を伏せた状態で紹介先の会社に提供するのは、個人データの第三者提供になりますか。第三者提供にあたる場合、オプトアウトの届出が必要になりますか。
Q90 債権を売却する際に、譲受候補者に対し、債務者や保証人の情報を提供することには、同意が必要でしょうか。
Q91 賃貸不動産の所有権等を譲渡する際に、譲受人または譲受候補者に対し、賃借人の情報(レントロール等)を提供することには、同意が必要でしょうか。
Q92 グループ企業の監査のために個人データのやりとりをするのは、第三者提供にあたるのでしょうか。
(2)オプトアウトによる第三者提供
Q93 オプトアウトによる第三者提供とは何ですか。
Q94 個人情報保護委員会のウェブサイトに、オプトアウトの届出の制度は名簿屋対策である旨が記載されています。名簿屋ではない会社は届出をする必要はないのですか。
Q95 オプトアウトの届出は、取消しや撤回ができますか。
Q96 個人データの取り扱いの委託を受けている会社が、オプトアウトの届出をすることができますか。
Q97 ホームページを開設していない会社は、オプトアウトによる第三者提供はできないのですか。
(3)委託に伴う提供
Q98 どのような場合が「委託」になりますか。
Q99 「委託元」から「委託先」への提供に本人の同意が不要なことはわかりましたが、「委託先」で集めた個人データを「委託元」に渡すのにも、同意は不要ですか。
Q100 システム保守は個人データの取り扱いの委託になりますか。
Q101 契約の条項で個人データを取り扱わない旨が定められ、通常は適切なアクセス制御で、個人情報の中身を閲覧することはない場合でも、バックアップの作業や緊急メンテナンス等で閲覧する可能性がある場合は、委託になるのでしょうか。
Q102 1社が複数の会社に委託をしている場合、委託先同士で直接個人データを提供することは、委託に伴う提供になりますか。
Q103 DSP事業者にCookie等を提供するのは、個人データの提供にはあたりませんか。
(4)共同利用
Q104 「共同利用」というものがピンときません。
Q105 共同利用でいう「あらかじめ」とは、共同利用するよりも前ということですか。それとも個人データの取得の前ということですか。
Q106 共同利用する者の範囲として社名を列挙する必要はないとのことですが、具体的にどのように記載すればよいのでしょうか。
(5)トレーサビリティ
Q107 個人データを提供する側(提供者)には、どのような義務がありますか。
Q108 個人データの提供を受ける側(受領者)には、どのような義務がありますか。
Q109 どのような場合にトレーサビリティの義務を免れますか。
Q110 「本人の氏名等」を記録する方法は、具体的にどのようにしたらよいでしょうか。
(6)外国にある第三者への提供
Q111 「外国にある第三者」への提供について、どのような場合にどのような規制が及ぶのですか。
Q112 何について同意を求めればよいのですか。「外国に提供することがあります」といっておけばOKでしょうか。
Q113 施行前に収集を終えている個人データについても同意が必要ですか。
Q114 契約書・覚書で個人情報取扱事業者の義務を確保するというのは、具体的にどうしたらよいのですか。
Q115 グループ企業内で海外法人を含めて個人データをやりとりする場合、どのようにしたら本人の同意が不要になりますか。
Q116 提供先がAPECのCBPRの加盟国でない場合にはどうしたらよいですか。
7. 本人からの開示請求についてのQ&A
Q117 本人から、個人データを削除するように要求がありました。応じる必要がありますか。
Q118 開示等をする際に、本人であることをどのように確認したらよいですか。
8. 匿名加工情報についてのQ&A
Q119 匿名加工情報とは何ですか。
Q120 匿名加工情報の取り扱いには、どのような規制がありますか。
Q121 「作成したとき」に公表するということは、作成するたびに毎回公表しなければならないのですか。
Q122 匿名加工情報を取り扱う予定はありませんが、匿名加工情報取扱規程を策定した方がよいでしょうか。
Q123 要するに、氏名と個人識別符号を削除すれば、匿名加工情報の加工方法として十分ですか。
Q124 データ移行のテストのために氏名を「●●」にしたデータを作成するのは、匿名加工情報の作成になりますか。
Q125 顧客からのクレームを社内で共有する際に、氏名を「●●」にするのは、匿名加工情報の作成になりますか。
Q126 統計情報が匿名加工情報ではないとすると、一体何が匿名加工情報になるのでしょうか。
9. その他の実務的なQ&A
(1)クラウドサービス
Q127 クラウドサービスの利用は「委託」にあたりますか。
Q128 委託にあたらない場合、どのような規制が及びますか。
Q129 海外法人のクラウドサービスを利用している場合、海外にある第三者への提供として本人の同意が必要になりますか。
(2)プライバシー権と個人情報の関係
Q130 提供元の会社において個人データにあたらない情報は、提供先において個人データにあたるとしても自由に提供できるのでしょうか。
Q131 匿名加工情報の取り扱いがプライバシー権を侵害するというケースはあり得ますか。
Q132 防犯カメラの設置について気をつけるべき点はありますか。

ENGLISH SITE