「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
個人情報、マイナンバー、プライバシー・マーク制度、GDPRなどの律と制度。
詳細 †
個人情報 †
ネット、IT、情報化で「プライバシー保護」が広く認知されるようになった。
定義 †
- プライバシー
自分に関する情報(個人情報)の流れを自分で、
コントロールできる権利(自己情報コントロール権)
- 個人情報
単体、組み合わせで個人を特定できる情報
(下記の個人情報保護法での定義)
- 個人識別符号
法改正によって,個人情報の中身をより明確にするために作られた概念
- 1号:身体の一部をコンピュータ上の記録にしたもの
- 2号:個人に割り当てられる符号
- 要配慮個人情報
Pマークの「機微な個人情報」より定義が少し広くなっている。
- 人種、信条、社会的身分
- 医療関連(障害、病歴、健康診断、医師の指導/診療/調剤の履歴
- 犯罪関連(犯罪歴、犯罪被害を受けた事実)
- 匿名加工情報
- 個人情報を元に個人を特定できないように加工した情報
- 一定の義務を遵守することが前提で「個人情報」には当たらない。
- 個人情報取扱事業者
公共機関/団体(国家機関/地方公共団体/(地方)独立行政法人)を除く、
個人情報データベースを事業で使用している事業者。
(下記の個人情報保護法での定義)
- 個人情報データベース
電子計算機を使用た個人情報を含む情報の集合体
- 個人を検索可能にしたもの。
- 個人情報を検索可能なように体系的に構成したもの。
- 個人データ
個人情報データベース等を構成する個人情報
- 保有個人データ
- 個人情報取扱事業者が保有する個人データ
- 保有≒開示/訂正/追加/削除、利用停止、第三者への提供
保護 †
- 適切に管理する
- 別の人の手に渡る。
- 間違った方法で使われる。
- 内容を糧に変えられる。
- 所有者の
- 許可を得た範囲でのみ利用する。
- 中止や内容の変更の要求に応じる必要。
- OECDプライバシー・ガイドライン
- 1980年にOECD(経済協力開発機構)で採択
- プライバシー保護と個人データの国際流通についてのガイドライン
- 原則1:「収集制限の原則」
個人データを収集する際には、法律にのっとり、また公正な手段によって、
個人データの主体(本人)に通知または同意を得て収集するべきである。
- 原則2:「データ内容の原則」
個人データの内容は、利用の目的に沿ったものであり、
かつ正確、完全、最新であるべきである。
- 原則3:「目的明確化の原則」
個人データを収集する目的を明確にし、データを利用する際は
収集したときの目的に合致しているべきである。
- 原則4:「利用制限の原則」
個人データの主体(本人)の同意がある場合、
もしくは法律の規定がある場合を除いては、
収集したデータをその目的以外のために利用してはならない。
- 原則5:「安全保護の原則」
合理的な安全保護の措置によって、
紛失や破壊、使用、改ざん、漏えいなどから保護すべきである。
- 原則6:「公開の原則」
個人データの収集を実施する方針などを公開し、
データの存在やその利用目的、管理者などを明確に示すべきである。
- 原則7:「個人参加の原則」
個人データの主体が、自分に関するデータの
所在やその内容を確認できるとともに、
異議を申し立てることを保証すべきである。
- 原則8:「責任の原則」
個人データの管理者は、これらの
諸原則を実施する上での責任を有するべきである。
法律 †
- 個人情報保護法(個人情報の保護に関する法律)
- 1990年代の終わり頃から民間を対象とした準備が始まり、
- 2003/5に民間・公的を問わず、個人情報保護法が成立
- 2005/4/1に全面施行
- 2017/5/30に改訂版の全面施行
- 3つの保護法
- 個人情報の保護に関する法律 - 基本法則と民間の個人情報保護を規定
- 行政機関の保有する個人情報の保護に関する法律
- 独立行政法人の保有する個人情報の保護に関する法律
- 2つの関連法
- 情報公開・個人情報保護審査会設置法
- 行政機関の保有する個人情報保護法等の施行に伴う関係法律の整備等に関する法律
- 五法の構成
組織 | 公的部門 | 民間部門 |
国の行政機関 | 法人 | 地方公共団体 |
基本法 | 個人情報の保護に関する法律(基本法制) |
一般法 | 行政機関の保有する個人情報の保護に関する法律 | 独立行政法人等の保有する個人情報の保護に関する法律 | 個人情報保護条例 | 個人情報の保護に関する法律(一般法部分) |
情報公開・個人情報保護審査会設置法 行政機関の保有する個人情報保護法等の施行に伴う関係法律の整備等に関する法律 |
- 個人情報の適正な管理
組織的/人的/物理的/技術的な広範囲の安全対策
- 本人の権利と関与
本人の求めに応じ保有個人データと利用目的を
迅速に通知(し必要に応じて訂正)する必要がある。
- 本人の権利への対応
各種問い合わせ方法が明示されていること。
- 個人情報定義の明確化
- 個人識別符号の追加
- 要配慮個人情報のオプトアウトの禁止
- 適切な規律下で個人情報等の有用性を確保
- 匿名加工情報
加工方法の定め、取扱いについての規律を設ける。
- 個人情報保護指針
作成の際には、消費者の意見を聞き個人情報保護委員会に提出
- 個人情報の保護を強化(名簿屋対策)
- トレーサビリティの確保
情報(提供者、受領者、取得経緯)の一定期間保存
- データベース提供罪
事業に従事する/していた者が不正に盗用/提供する行為を処罰。
- 個人情報保護委員会の新設/権限
- 内閣府の外局(主務大臣の権限を集約)
- 立入検査の権限などを追加
- 個人情報の取扱いのグローバル化
(ただし、GDPRと比べると、個人の権限がぜんぜん弱いらしい)
- 外国の個人情報取扱事業者にも当該法を原則適用。
- 国境を超えた適用と外国執行当局への情報提供
- 外国の第三者提供が可能(委員会の規則に則った方法/が認めた国、または本人同意)
- その他の改正事項
- オプトアウト規定の厳格化
データ項目等を委員会へ届け出て、委員会はその内容を公表
- 利用目的の制限の緩和
取得時の目的からの変更に対して規定を緩和
- 規制対象の縮小
個人の権利/利益を害する恐れのない情報は規制から除外
- 小規模事業者への対応
個人情報数が5000人以下の業者へも適用
マイナンバー †
プライバシー・マーク制度 †