個人情報保護実務書・体系書詳細目次
- 1. 個人情報保護実務書・体系書一覧
- 2. 個人情報保護実務書・体系書詳細目次
- 2.1. ①「個人情報保護法の知識〈第4版〉」(著者:岡村久道)
- 2.2. ②「小さな会社・お店の新・個人情報保護法とマイナンバーの実務」(著者:影島 広泰)
- 2.3. ③「システム開発、法務担当者のための 2015年改正 個人情報保護法実務ハンドブック」(著者:寺田 眞治)
- 2.4. ④「ニッポンの個人情報 個人を特定する情報が個人情報である」と信じているすべての方へ」(著者:鈴木 正朝, 高木 浩光, and 山本 一郎)
- 2.5. ⑤「日米欧中 個人情報保護法とEU GDPRのコンプライアンス」(著者:浅井 敏雄)
- 2.6. ⑥「完全対応 新個人情報保護法 -Q&Aと書式例-」(編集 第二東京弁護士会 情報公開・個人情報保護委員会)
個人情報保護実務書・体系書一覧
①「個人情報保護法の知識」(著者:岡村久道) (詳細目次へリンク)
②「小さな会社・お店の新・個人情報保護法とマイナンバーの実務」(著者:影島 広泰) (詳細目次へリンク)
③「システム開発,法務担当者のための2015年改正個人情報保護法実務ハンドブック」(著者:寺田 眞治) (詳細目次へリンク)
④「ニッポンの個人情報」(著者:鈴木 正朝他) (詳細目次へリンク)
⑤「日米欧中 個人情報保護法とEU GDPRのコンプライアンス」(著者:浅井 敏雄 ) (詳細目次へリンク)
⑥「完全対応新個人情報保護法」(第二東京弁護士会委員会編) (詳細目次へリンク)
個人情報保護実務書・体系書詳細目次
①「個人情報保護法の知識〈第4版〉」(著者:岡村久道)
目次
プロローグ-改正法の全面施行を迎えて
第1章 個人情報保護法制のあゆみ
1 なぜ個人情報保護法が必要となったのか
2 プライバシー権(マスメディアプライバシー)の登場
3 コンピュータプライバシーと個人情報保護法制
4 OECDプライバシーガイドラインの採択
5 行政機関保有電子計算機処理個人情報保護法の制定
6 EU個人データ保護指令
7 個人情報保護法が制定された背景
8 住基ネット最高裁判決とマイナンバー法の制定
9 個人情報を取り巻く環境の変化と二〇一五年の大規模改正
第2章 個人情報保護法とは何か
1 個人情報保護法の目的
(1)「個人情報の有用性」に配慮しつつ「個人の権利利益」を保護
(2)個人情報を取り扱う際における〝交通ルール〟の役割
(3)他の自由との調整
(4)プライバシー権との関係
2 個人情報保護法の概要
(1)性格の異なる二つの部分から成り立つ
(2)官民双方に適用される「基本法」部分
(3)民間部門を対象とする「一般法」部分
3 一般法の適用関係
4 個別法
(1)個別法の必要性
(2)マイナンバー法との関係
5 法律を具体化するための仕組み
6 個人情報保護法の番人-個人情報保護委員会
(1)個人情報保護委員会の設置
(2)事業所管大臣
第3章 民間事業者が負う義務
1 民間部門の一般法
(1)義務内容は従来の三層構造から多層構造へ
(2)個人情報等の取扱いは必要最小限度に
2 義務を負う者は誰か
(1)義務の名宛人は基本的には「個人情報取扱事業者」
(2)「個人情報データベース等」を事業の用に供している民間事業者
(3)「事業の用に供している」こと
(4)小規模事業者の適用除外が二〇一五年改正によって廃止
(5)過剰反応・過剰保護問題
3 違反するとどうなるか
(1)苦情処理制度と個人情報保護委員会の監督制度
(2)苦情処理による解決の仕組み
(3)委員会の監督
(4)罰則の対象になる場合もある
第4章 「個人情報」に関する義務
1 「個人情報」とは何か
(1)義務適用の有無を分ける基本的な〝分水嶺〟
(2)「個人に関する情報」であること
(3)「生存」する個人の情報であること─生存者性
(4)個人識別性
(5)記述等による識別性と容易な照合による識別性
(6)個人識別符号
(7)一号個人識別符号
(8)二号個人識別符号
(9)個人識別符号とされなかったもの
(10)身近な情報のほとんどが個人情報
(11)プライバシー情報との違い
2 個人情報に関する義務の概要
3 利用目的の特定
(1)利用目的の特定とは
(2)利用目的としてはいけない場合
(3)利用目的の変更
4 利用目的による制限
(1)利用目的による制限とは
(2)事業の承継と利用目的
(3)目的外利用には本人の同意が必要
(4)本人の同意無く目的外利用ができる場合
5 適正な取得
(1)不正の手段による取得の禁止
(2)要配慮個人情報の取得制限
6 利用目的の通知等
(1)通知等の義務
(2)本人からの直接書面取得
(3)証拠を残す
(4)通知・公表などが不要な場合
第5章 「個人データ」に関する義務
1 「個人データ」とは何か
2 個人データに関する義務の概要
3 データ内容の正確性の確保等
(1)一九条が求めていること
(2)データ内容の正確性の確保
(3)不要となった個人データの消去
(4)努力義務
4 安全管理措置
(1)安全管理措置に関する義務
(2)機密性、完全性、可用性の確保
(3)漏えい事件の多発化・大規模化
(4)講じるべき具体的措置の内容
(5)漏えい事故などが発生した場合の対応
(6)漏えいと刑事責任
(7)個人情報データベース等不正提供罪の新設
5 従業者の監督
(1)なぜ従業者に対する監督が必要か
(2)「従業者」とは
(3)「必要かつ適切」な監督─指針が示す基準
(4)派遣労働者の管理
(5)社内モニタリング
(6)持ち込み私物危機の管理も難問
(7)従業者の監督は個人情報の取扱い全般を対象に
6 委託先の監督
(1)なぜ委託先に対する監督が必要か
(2)委託先に対する必要かつ適切な監督
(3)適切な委託先の選定
(4)委託契約の締結
(5)委託先における個人データ取扱状況の把握
(6)再委託
7 第三者提供の制限
(1)本人が望まない流通をコントロール
(2)本人同意の取得が原則
(3)例外その1─適用除外事由
(4)例外その2─オプトアウト制度
(5)例外その3─「第三者にあたらない」とされる場合
(6)クラウドサービスの利用と情報システムの保守
(7)外国にある第三者への提供の制限
(8)第三者提供に係る記録の作成等
(9)第三者提供を受ける際の確認等
第6章 「保有個人データ」に関する権利義務
1 「保有個人データ」とは何か
2 保有個人データに関する権利義務の概要
3 保有個人データに関する事項の公表等
(1)定められた事項を本人の知り得る状態に置く
(2)本人の知り得る状態に置くべき事項
4 開示等の請求等に応じる手続き
(1)開示等の請求等に共通する手続き
(2)本人確認・代理人確認
(3)保有個人データの特定
(4)代理人による請求
(5)本人に過重負担を課さないよう配慮が必要
5 事前の請求
6 利用目的通知の求め
7 開示
(1)開示請求
(2)開示を拒否できる場合もある
(3)保有個人データを持っていないとして断るべき場合もある
(4)他の法令の規定で別途開示手続きが定められている場合
8 訂正等
9 利用停止等
(1)利用停止等の請求
(2)第三者提供停止の請求
(3)本人への通知
第7章 匿名加工情報
1 匿名加工情報制度が新設された背景
2 匿名加工情報とは何か
(1)匿名加工情報の定義
(2)一号匿名加工情報
(3)二号匿名加工情報
(4)匿名加工情報データベース等
(5)匿名加工情報データベース等を構成する匿名加工情報に関する義務
3 個人情報取扱事業者が匿名加工情報を自ら作成する場合の義務
(1)義務の対象
(2)作成する際の適正加工義務
(3)加工方法等に関する情報等の漏えい防止措置
(4)作成した匿名加工情報の項目の公表
(5)作成した匿名加工情報の第三者提供
(6)識別行為の禁止
(7)安全管理措置等の努力義務
(8)義務内容の分析
4 匿名加工情報取扱事業者の義務
(1)義務の対象
(2)匿名加工情報の提供
(3)識別行為の禁止
(4)安全管理措置等の努力義務
第8章 グローバル化に対応するための規定
1 グローバル化への対応の必要性
2 域外適用
3 外国執行当局への情報提供
4 その他の規定
第9章 企業の対応とコンプライアンス
1 この法律に対応するためには
2 プライバシーポリシー
3 事業者に公表などが義務付けられている事項
(1)公表などの対象
(2)委員会への届出および記録の作成・保存の対象事項
4 体制の整備と内部統制
5 マネジメントシステムの導入
6 洗い出しとルール化
(1)取扱状況の洗い出しと個人情報のライフサイクル
(2)取得段階
(3)利用段階と保管段階
(4)提供段階
(5)消去段階
7 実行、点検と改善
エピローグ─個人情報の適切な管理は信頼構築の基本
②「小さな会社・お店の新・個人情報保護法とマイナンバーの実務」(著者:影島 広泰)
はじめに
【個人情報保護法】まずこれだけは押さえよう!
【マイナンバー制度】まずこれだけは押さえよう!
第Ⅰ部 個人情報保護法
第1章 待ったなし!小さな会社も必ず関係する
Q1 「個人情報保護法」ってなに?
Q2 何が改正された?
Q3 個人情報保護法の特別法「マイナンバー法」はどう改正された?
Q4 個人情報保護法はどう改正された?
Q5 個人情報保護法とマイナンバー法の関係って?
Q6 改正のタイムスケジュールは?
Q7 改正のどこか小さな会社に影響する?
Q8 改正の理由は?
Q9 個人情報に関する問題はどこが取り扱う?
Q10 個人情報保護法のことは誰に相談すればいい?
第2章 コレは入る?入らない?「個人情報」の基本
Q11 「個人情報」って何を指す?
Q12 小さな会社やお店でも個人情報」を扱っている?
Q13 「個人情報」と「プライバシー」って同じもの?
Q14 プライバシーを定義すると?
Q15 顔認識データや指紋認識データは個人情報になる?
Q16 携帯電話の端末番号は個人情報になる?
Q17 物故者の情報は個人情報になる?
Q18 ICカードの利用履歴足のデータは個人情報になる?
第3章 「個人情報」か「個人データ」か。そこがカギ!
Q19 個人情報保護法を理解するための基本知識は?
Q20 「個人情報」と「個人データ」は取り扱い方が違う?
Q21 防犯カメラの映像は個人情報。自由に提供できる?
Q22 ネットで炎上しないためには?
Q23 改正で個人情報の定義が変わった?
Q24 定義で明確化されたものはなに?
Q25 個人情報保護法の改正でビジネスがやりにくくなる?
Q26 新たに設けられた個人情報の概念がある?
Q27 「要配慮個人情報」で注意すべき点は?
第4章 いざ実務!「取得」での注意点
Q28 小さな会社やお店が個人情報を取得する場面って?
Q29 取得する際に忘れてはいけないのは?
Q30 利用目的を伝える義務がない場合とは?
第5章 「利用」での注意点
Q31 個人情報はどの範囲で利用できる?
Q32 目的外で利用してよいケースとは
Q33 利用目的を変更したいときはどうする?
Q34 利用目的に書いていないと個人データの「第三者提供」はできない?
COLUMN 防犯カメラの映像を報道機関に提供するのは問題あり?
第6章 いざ実務!「管理」での注意点
Q35 個人データの管理はどうすればいい?
Q36 具体的な情報管理の方法は?
Q37 「安全管理措置」とは何をすればいい?
Q38 小さなお店・会社の義務は軽くならない?
Q39 「①基本方針の策定」とは何をする?
Q40 「②個人データの取扱いに係る規律の整備」とは何をする?
Q41 「③組織的安全管理措置」とは何をする?
Q42 「④人的安全管理措置」とは何をする?
Q43 「⑤物理的安全管理措置」とは何をする?
Q44 「⑥技術的安全管理措置」とは何をする?
第7章 いざ実務!「問い合わせ」での注意点
Q45 顧客からの問い合わせやクレームへの準備は?
Q46 顧客からの問い合わせやクレームへの対応法は?
Q47 個人情報は本人が開示や利用停止を請求できる?
Q48 「公表・開示などの義務」ってなに?
第8章 いざ実務!「第三者提供」での注意点
Q49 個人データを誰かに渡してはいけない?
Q50 「本人の同意」はどうやって得る?
Q51 「オプトアウト」ってなに?
Q52 個人情報が流出した事件の影響は?
Q53 オプトアウトの方法はどう改正された?
Q54 個人情報流出事件の教訓はどう生かされた?
Q55 第三者提供に関する義務はどう変わった?
Q56 個人情報のデータを違法に渡したときはどうなる?
第9章 もう少し深く・広く知りたい方へ
グローバル化とビッグデータがキーワード
Q57 日本から海外へは同意なく個人データを送ることができない?
Q58 海外への第三者提供はなぜ本人の同意が必要になった?
Q59 「ビッグデータ」の取り扱いはどう変わった?
Q60 「匿名加工情報」ってなに?
Q61 どうすれば「匿名加工情報」になる?
第Ⅱ部 マイナンバーの実務
第10章 これで万全!「収集」と「本人確認」のポイント
Q62 マイナンバーの取り扱いに関して必須な知識は?
Q63 マイナンバーを集めるのに必要な書類は?
Q64 小さな会社やお店のマイナンバーとのつき合い方は?
Q65 派遣社員のマイナンバーはどう集める?
Q66 採用内定者からはいつ集める?
Q67 これまでの年末調整で、従業員全員のマイナンバーを集めることができなかったけれど大丈夫?
Q68 扶養控除等(異動)申告書のマイナンバーは空欄でOK?
Q69 従業員がマイナンバーの提出を拒否したらどうする?
Q70 本人確認はどうすればいい?
Q71 本人確認に必要な書類は?
Q72 従業員本人の本人確認について軽減措置はある?
第11章 これで万全!「罰則規定」のポイント
Q73 会社がマイナンバーを間違えて記載したら罰則はある?
Q74 マイナンバーの記載間違いはどうすればわかる?
Q75 マイナンバーの取り扱い方法は誰に相談すればいい?
Q76 会杜のパソコンでマイナンバーを管理しているときの注意点は?
Q77 マイナンバー法に違反したらどうなる?
Q78 「個人情報」と「特定個人情報」はどう違う?
Q79 「個人情報」と「特定個人情報」は取り扱いがどう違う?
Q80 小さな会社やお店は、マイナンバーをどうやって管理するのがいい?
Q81 自社でマイナンバーを持たない方法がある?
Q82 クラウドサービスは具体的にどう使う?
Q83 どんなクラウドサービスがある?
Q84 クラウドサービスを選ぶときのポイントは?
Q85 税理士や社会保険労務士から「マイナンバーを預からない」といわれた場合は?
Q86 クラウドサービスでマイナンバーを収集した場合、「扶養控除等(異動)申告書」の取り扱いは?
第13章 これで万全!「安全管理措置」のポイント
Q8 小さい会社やお店には安全管理措置の軽減措置がある?
Q88 安全管理措置のポイント?
Q89 取扱規程はどのように決める?
Q90 取り扱い状況はどのように管理する?
Q91 事務取扱担当者の「監督」と「教育」はどうする?
Q92 「管理区域」と「取扱区域」はどうすればいい?
Q93 オフィスに壁や間仕切りを設置しなければいけない?
Q94 盗難の防止はどうする?
Q95 「持ち出すときの漏えい防止」はどうする?
Q96 マイナンバーの削除や廃棄はどうする?
Q97 パソコンでマイナンバーを取り扱うときの注意点は?
Q98 税理士や社会保険労務士に預けるときの注意点は?
第14章 マイナンバーカードの利活用が拡大していく!
Q99 マイナンバーは今後どこまで拡大し、何と紐づいていく?-
Q100 マイナンバーカードは持っていると便利?
Q101 マイナンバーカードはポイントカードにもなる?
Q102 マイナンバーカードは普及していく?
③「システム開発、法務担当者のための 2015年改正 個人情報保護法実務ハンドブック」(著者:寺田 眞治)
目次
STEP 1 個人情報保護対策の考え方
STEP 1-1 個人情報保護法と関連ドキュメントを読む時の「お約束」
STEP 1-2 個人情報保護対策の基本的な考え方
STEP 1-3 個人情報保護対策とレピュテーション・リスク
STEP 1-4 対策の立て方
STEP 2 保護対象の抽出
STEP 2-1 個人情報保護法の対象者
STEP 2-2 対象となる「個人情報データベース等」をすべて抽出する
STEP 2-3 処理の途中で「個人情報データベース等」となるものを抽出
STEP 2-4 「個人情報データベース等」として保有していないが個人情報を取り扱っているものを抽出
STEP 2-5 要配慮個人情報を抽出
STEP 2-6 対象となる「匿名加工情報データベース等」をすべて抽出する
STEP 2-7 個人情報検出ソフトなどのツールによる個人情報の洗い出し
STEP 3 ライフサイクル全体像の見える化
STEP 3-1 「見える化」のための準備
STEP 3-2 データ・フローに合わせた「見える化」
STEP 4 取得における適正性の判断
STEP 4-1 適正な取得とは
STEP 4-2 取得する個人情報の一覧化
STEP 4-3 取得方法の把握
STEP 4-4 取得における適正性の判断と対応
STEP 5 ライフサイクルにおける取り扱いの適正性の判断
STEP 5-1 ライフサイクルにおける取り扱いの適正性
STEP 5-2 ライフサイクルにおける利用者説明の課題
STEP 6 第三者提供、業務委託、事業の承継、共同利用
STEP 6-1 個人データの第三者提供の概要
STEP 6-2 同意取得の例外について
STEP 6-3 第三者提供における提供元基準
STEP 6-4 適正な同意取得
STEP 6-5 オプトアウト手続き
STEP 6-6 業務委託、事業の承継、共同利用
STEP 6-7 対策
STEP 7 第三者提供の記録・確認
STEP 7-1 第三者提供する場合の記録・確認義務の概要
STEP 7-2 記録・確認の必要がない場合
STEP 7-3 提供を受ける場合の確認
STEP 7-4 記録事項
STEP 7-5 記録の作成方法
STEP 7-6 記録の保存期間
STEP 8 匿名加工情報
STEP 8-1 匿名加工情報の定義
STEP 8-2 匿名加工情報取扱事業者の義務など
STEP 8-3 匿名加工情報の作成基準
STEP 8-4 匿名加工情報の加工方法
STEP 8-5 匿名加工における特定と識別
STEP 8-6 識別行為の禁止
STEP 8-7 安全管理措置
STEP 9 外国にある第三者への提供
STEP 9-1 外国にある第三者への提供の概念
STEP 9-2 規制の対象者と外国にある第三者の定義
STEP 9-3 第三者提供に関する規律
STEP 9-4 委託、事業承継、共同利用
STEP 9-5 個人情報保護委員会規則で定める基準に沿った措置が確保されていること
STEP 9-6 外国にある第三者がさらに第三者提供、委託、事業承継、共同利用する場合
STEP 10 利用者の関与(開示等)
STEP 10-1 利用者の関与の概要
STEP 10-2 利用者への周知
STEP 10-3 利用目的の通知、データ内容の開示等
STEP 10-4 保有個人データの訂正、利用停止等
STEP 10-5 開示等に関する手続き
STEP 10-6 苦情処理
STEP 11 利用目的、取り扱いの変更、追加、削除
STEP 11-1 個人情報取り扱いの変更に関する課題
STEP 11-2 利用目的の変更
STEP 11-3 取得する個人情報の追加または廃止
STEP 11-4 共同利用に関わる事項の変更
STEP 12 安全管理措置(個人情報保護のための社内体制)
STEP 12-1 安全管理措置の概要
STEP 12-2 基本方針
STEP 12-3 規律の整備と安全管理措置
STEP 12-4 漏洩時の対策
STEP 12-5 委託先の監督
STEP 12-6 安全管理措置としてのプライバシー・リスク評価
STEP 12-7 クラウドの利用
STEP 13 プライバシーポリシー
STEP 13-1 プライバシーポリシーの必須記載事項
STEP 13-2 注意事項
STEP 13-3 プライバシーポリシー例
用語と定義
1.個人に関する情報
1-1 個人情報
1-2 個人識別符号
1-3 要配慮個人情報
1-4 匿名加工情報
2.個人データ・保有個人データ等
2-1 個人情報データベース等
2-2 保有データ
2-3 保有個人データ
3.通知、公表、知り得る状態、明示
3-1 本人に通知
3-2 公表
3-3 本人が知り得る状態/本人が容易に知り得る状態
3-4 明示
4.本人の同意、本人の同意を得る
5.提供
6.認証することを目的として
7.容易に照合
8.一般人基準
Appendix
調査シートサンプル例
④「ニッポンの個人情報 個人を特定する情報が個人情報である」と信じているすべての方へ」(著者:鈴木 正朝, 高木 浩光, and 山本 一郎)
まえがき
第1章 「個人を特定する情報が個人情報である」と信じているすべての方へ
「個人に関する情報」と「特定個人の識別情報」の違い
実例に見る「個人情報を特定する情報が個人情報である」の誤解
「何のために保護するんだっけ?」という実質論
「共通ポイントカード」と「一般ポイントカード」
「第三者への提供」、そして「第三者以外への提供」
ブラックリストの共同利用
それは「共同利用」ではない!
立法されると何が困るのか
第2章 Suica履歴は個人データでした
行動ターゲティング広告、日本のやり方アメリカのやり方
Suica問題─それは個人データの第三者提供ではないのか?
対応表がなくても照合により識別できるもの
パナソニック・ヘルスケア問題─医療データを他国に渡してしまってよいのか?
Suica問題が教えてくれたこと、そしてゲノム法のこと
まずは「個人データである」「個人情報である」と認めるところから
第3章 そんな大綱で大丈夫か?
ゲストはどうなった?
規制改革会議をはねのけ法改正へ
大綱に入った「機微情報」
ジュンコどこいってもうたんや
すでに串刺しにされて
EUリスクをどう見積もるか
第三者機関どうなっちゃうの?
第4章 だまし討ち、ダメ。ゼッタイ。
低減データにすれば同意なく提供できる?
だまし討ちは許さんぜよ
なにゆえ潜脱のために心を砕くのか
産業界の妥協ポイントはどのあたりか
産業界もっとがんばれ、その他もがんばれ
改正のポイントは?
プライバシーフリークとして今後もがんばります
第5章 漏洩が問題なのではない、名寄せが問題なのである
ベネッセ事件の功-名簿屋問題を考える
「適正な取得」(法 17 条)の問題
第三者提供(法 23 条2項)の問題
「トレーサビリティの確保」はこんなに難しい
日米欧のルールの調和
そもそも名簿を売ることが侵害
裏逐に書かれていた理念はどこへ消えた
3年以内に見直すつもりが
第6章 見えないと、不安
見えないと人は余計なリスクを感じる
遺伝子データは何に使われるのか
「社会的身分」は会社の役職も入りますか?
書かれざる属性情報
ビックリドッキリメカの登場が待たれる?!
バケツで扱ってきた利用目的
「利用目的の通知」が意味するところ
濫訴の濫用、みな半笑い
行動ターゲティング広告をどう規律していくのか
大綱に寄せられたみなさんのパブコメ
それからどうなった?
あとがき
⑤「日米欧中 個人情報保護法とEU GDPRのコンプライアンス」(著者:浅井 敏雄)
目 次
はじめに
本書の電子書籍としての利用方法
凡 例
第1編 OECD ガイドライン
Ⅰ. OECD ガイドラインの制定
1. 1980 年 OECD ガイドライン
2. 2013 年改訂ガイドライン
3. OECD ガイドラインの法的性質
Ⅱ.OECD ガイドラインの8原則
1.取得制限の原則(Collection Limitation Principle)
2.データ内容の原則(Data Quality Principle)
3.目的明確化の原則(Purpose Specification Principle)
4.利用制限の原則(Use Limitation Principle)
5.安全確保の原則(Security Safeguards Principle)
6. 公開の原則(Openness Principle)
7.本人関与の原則(Individual Participation Principle)
8.責任の原則( Accountability Principle)
第2編 日米欧中 個人情報保護法の比較
第1章 保護の経緯・目的および基本的枠組み
Ⅰ.EU:欧州連合
1.背景と経緯
2.データ保護指令の制定と見直し
3.一般データ保護規則(GDPR) の成立
Ⅱ.日本
1.背景と経緯
2.日本の個人情報保護法の目的
3.2017 年改正の背景
Ⅲ.米国
1.一般法の不存在
2.法の執行
3.プライバシー保護に関する個別法
4.データブローカーの存在
5.今後の方向
6.一般法の草案(CPBR 草案)
Ⅳ.中国
1.一般法の不存在
2.個人情報保護に関する個別法
3.サイバーセキュリティー法
第2章 日米欧中 各法の比較
Ⅰ.個人データその他基本概念の定義
1.EU GDPR
(1).「個人データ(Personal Data)」
(2).「処理( Processing)」
(3).「管理者( Controller)」
(4).「処理者( Processor)」
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
Ⅱ.域外適用
1.EU GDPR
(1).EU 域内のデータ主体に商品またはサービスを提供する場合
(2).データ主体の EU 域内における行動を監視する場合
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
Ⅲ.個人データの処理・取扱いの原則
1.EU GDPR
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
Ⅳ.処理の適法性( 法的根拠)/同意/処理目的の変更
1.EU GDPR
(1).処理の適法性(Lawfulness of processing)
(2).データ主体の同意の要件
(3).「正当利益」(legitimate interests) の判断基準
(4).他の目的での処理(処理目的の変更)
(5).特別カテゴリーの個人データ等の処理禁止
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
Ⅴ.データ主体に対する情報提供義務( 透明性)
1.EU GDPR
(1).データ主体に対する情報提供の原則
(2).データ取得の際通知すべき情報
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
VI.データ主体の権利( アクセス権等)
1.EU GDPR
(1).アクセス権(Right of access)
(2).訂正請求権(Right to rectification)
(3).消去請求権/忘れられる権利(Right to erasure/ Right to be forgotten)
(4).処理制限請求権(Right to restriction of processing)
(5).データ・ポータビリティーの権利(Right to data portability)
(6).異議申立権( Right to object)
(7).自動意思決定( プロファイリングを含む) に服さない権利
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
Ⅶ.法遵守措置と遵守証明
1.EU GDPR
(1).基本原則
(2).企画・設計段階からの・標準設定でのデータ保護(by design and by default)
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
Ⅷ.外国会社の代理人
1.EU GDPR
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
Ⅸ.個人データ処理の委託
1.EU GDPR
(1).委託先( 処理者) 選定の条件
(2).再委託の制限
(3).委託の法的形式と内容
(4).再委託の法的形式と内容
(5).委託処理の GDPR 遵守証明
(6).委託(再委託) の標準契約条項
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
Ⅹ.処理の記録義務
1.EU GDPR
(1).管理者の記録義務
(2).処理者の記録義務
(3).監督機関への記録提出
(4).記録義務の免除
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
XⅠ.処理のセキュリティー(安全管理措置)
1.EU GDPR
(1).基本原則
(2).処理のセキュリティーの適切性評価
(3).行動規範または認証制度遵守の考慮
(4).処理従事者に対する監督
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
XⅡ.漏洩等の監督機関への報告とデータ主体への通知
1.EU GDPR
(1)「個人データ侵害(personal data breach)」の定義
(2)監督機関への報告
(3)データ主体への通知
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
XⅢ.データ保護影響評価(DPIA) と監督機関との事前協議
1.EU GDPR
(1)データ保護影響評価(Data protection impact assessment)(DPIA)
(2)監督機関との事前協議
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
XⅣ.データ保護監督者(Data Protection Officer)(DPO)
1.EU GDPR
(1).DPO 選任義務
(2).事業体グループの共通 DPO
(3).DPO の任意選任
(4).DPO の選任条件
(5).社内 DPO および社外 DPO
(6).DPOの連絡先の公表および通知
(7).DPOの地位
(8).外の職務との兼任
(9).DPOの職務
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
XⅤ.事業者団体による行動規範作成と認証制度
1.EU GDPR
(1).事業者団体による行動規範の作成等
(2).認証制度
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
XVI. 個人データの域外移転
1.EU GDPR
(1).域外移転規制の原則
(2).適切な保護措置を条件としたデータ移転
1)拘束的企業準則(BCR)
2)標準データ保護条項(SDPC)(保護指令上の SCC)
3)行動規範(Code of Conduct)
4)データ保護認証制度
(3).「特殊な状況における例外」に基づく移転
1)データ主体の同意に基づく移転
2)契約履行等を根拠とする移転
3)管理者の「やむを得ない正当利益」のため必要な移転
(4).EU・米国間プライバシーシールド
1)プライバシーシールド導入の経緯
2)プライバシーシールド協定の内容
3)プライバシーシールドの第一回評価結果
(5).英国の EU 離脱(Brexit)
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
XⅦ.独立したデータ保護機関
1.EU GDPR
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
XⅧ.保護法違反に対する救済・責任・罰則
1.EU GDPR
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
XⅨ.オプトアウトによる第三者提供… 204
1.EU GDPR
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
XX.匿名化情報等の取扱い… 206
1.EU GDPR
2.日本 個人情報保護法
3.米国 CPBR 草案
4.中国サイバーセキュリティー法
第3編 GDPR 関連ガイドライン・意見書・標準契約
Ⅰ.ガイドライン・意見書・標準契約の概要
1.ガイドライン等の位置づけ
2.ガイドライン一覧および本書で取り上げるガイドライン等
Ⅱ.同意ガイドライン案
1.ガイドラインの概要
2.GDPR の規定
3.自由意思に基づく(freely given)(同意)
4.「特定・具体的な(specific)」(目的に対する同意)
5.「必要な情報が提供された上での(informed)」(同意)
6.同意の要請方法
7.同意の表明方法
8.「明白な(explicit)」同意
9.同意取得の証明
10.同意の撤回
11.情報社会サービス(オンラインサービス)提供に係る子供の同意
12.データ保護指令のもとで得た同意の効力
Ⅲ.正当利益意見書
1.意見書の概要
2.GDPR上の規定
3.各概念の意味
4.管理者等の正当利益とデータ主体の利益等との比較衡量
5.正当利益の要件(まとめ)
Ⅳ.従業員データ処理意見書
1.意見書の概要
2.基本的見解
3.同意以外の適法性の根拠
4.職場の個人データの処理の適法性判断の具体例
Ⅴ.透明性ガイドライン案
1.ガイドラインの概要
2.データ主体に対する情報提供義務( 透明性)
3.情報提供義務の各要件の解説
4.個人データ取得の際の情報提供
5.データ主体に提供した情報の変更
6.情報の視覚化(Visualisation)
7.データ主体の権利行使時の情報提供
8.情報提供義務の例外
9.国家安全保障等による情報提供義務限定
10.個人データ侵害通知時の情報提供
Ⅵ.データ・ポータビリティーガイドライン
1.ガイドラインの概要
2.GDPR 上の規定
3.データ・ポータビリティーの権利の内容
4.データ・ポータビリティーの権利の成立要件
5.他人の権利・自由との関係
6.管理者から他の管理者への直接送信
7.送信される個人データの形式
8.データ主体への個人データ提供時のセキュリティー
Ⅶ.自動意思決定およびプロファイリングガイドライン
1.ガイドラインの概要
2.ガイドラインの基本的認識と目的
3.「プロファイリング」および「自動意思決定」の意味
4.データ主体への通知
5.自動処理のみに基づく決定に服さない権利
6.データ保護影響評価(DPIA)
Ⅷ.個人データの処理委託に関する仏英ガイドラインと仏標準契約条項案
1.仏CNILおよび英ICOのガイドラインの概要
2.GDPRの規定内容
3.仏CNIL処理委託契約条項案(原文および和訳)
4.その他参考事項
Ⅸ.個人データ侵害通知ガイドライン
1.ガイドラインの概要
2.個人データ侵害通知義務の概要
3.「個人データ侵害(personal data breach)」の定義
4.個人データ侵害のタイプ
5.個人データ侵害により予想される影響(被害)
6.通知期限(72時間内)の起算点(侵害「認識」時点)
7.管理者による侵害通知における処理者の役割・義務
8.監督機関への情報提供
9.data主体への通知・情報提供
10.リスクの評価
11.説明責任と記録の作成維持
12.data保護監督者(DPO)の役割
13.他のEU法等に基づく通知義務
14.侵害対応計画の策定
15.個人データ侵害想定事例と通知の要否
Ⅹ.データ保護影響評価(DPIA)ガイドライン
1.ガイドラインの概要
2.DPIAの実施主体・時期
3.DPIAの実施義務の有無判断基準
4.DPIAの実施義務の判断基準の当てはめ例
5.DPIAの実施に関する留意事項
6.DPIAの項目
7.DPIAのプロセス
XⅠ.データ保護監督者(Data Protection Officer)(DPO)ガイドライン
1.ガイドラインの概要
2.DPO選任義務がある場合
3.「核となる業務」等の解釈
4.処理者のDPO
5.DPO へのアクセス
6.DPO の専門家としての知識・能力
7.DPO の執務場所
8.社内 DPO の兼任と利益相反
9.DPO 業務の外部委託
10. その他
XⅡ.域外移転標準契約条項(Standard Contractual Clauses)(SCC)
1.標準契約条項(SCC)の概要
(1).SCC(対管理者)SetⅡとSCC(対処理者)
(2).EU域内処理者からEU域外の者への処理再委託
(3).データ輸入者(処理者)からの処理再委託
2.SCC(対管理者)SetⅡ( 原文および和訳)
3.SCC(対処理者)( 原文および和訳)
XⅢ.49条例外的域外移転ガイドライン案
1.ガイドラインの概要
2.データ主体の同意に基づく移転
3.契約履行等を根拠とする移転
4.管理者の「やむを得ない正当利益」のため必要な移転
XⅣ.主任監督機関(Lead Supervisory Authority) ガイドライン
1.ガイドラインの概要
2.越境処理(cross-border processing) の概念
3.主任監督機関の決定基準
4.共同管理者(joint controllers) の場合
5.管理者・処理者双方が関係する事案
XV.制裁金ガイドライン
1.ガイドラインの概要
2.制裁金賦課の原則
3.複数規定に違反した場合の制裁金
4.制裁金の上限
第4編 GDPRコンプライアンス
Ⅰ.日本に対する十分性認定
Ⅱ.GDPR施行に向けたEUと加盟国レベルでの準備状況
Ⅲ.GDPR適用の有無再確認
(1).EU 域内に拠点がある場合
(2).GDPR の域外適用を受ける場合
(3).EUから域外移転を受ける場合(SCCを介した間接適用)
(4).英国内にのみ拠点がある場合
Ⅳ.GDPR コンプライアンスの概要
1.準備から体制構築・運用までのステップ
(1).GDPR の理解と一般的要対応事項の確認
(2).GDPR 対応準備組織の確立
(3).作業計画の作成
(4).DPO または EU 域内代理人の選任の要否判断と人選
(5).データ・マッピング
(6).GDPR の要求内容と現状の差異把握(Fit and Gap 分析)
(7).準備作業の完了
(8).関係者への周知と研修
(9).コンプライアンスの実行・評価・改善
2.リスクベースアプローチ
Ⅴ.DPO 選任の要否判断と人選
1.DPO の選任の要否判断
2.DPO の人選・選任に当たり考慮すべき事項
(1).一般的考慮事項
(2).DPO の業務内容
(3).DPO を社内から人選する場合
(4).DPO 業務を社外に委託する場合
(5).社外DPOとの業務委託契約
(6).DPO を任意に選任する場合
3.調査依頼方法
4.データ・マッピング調査書の質問項目
Ⅶ.GDPR の要求事項と現状との差異把握
1.データ保護指令との相違点(参考)
2.日本の個人情報保護法との相違点(参考)
Ⅷ.GDPR コンプライアンスのための具体的対応
1.概 要
2.セキュリティーの見直し
(1).見直しの必要性
(2).セキュリティーとセキュリティー事故に関する義務・要対応事項
(3).セキュリティーに関する実務的留意点
(4).クラウドサービス利用によるセキュリティー確保
3.処理の適法性(同意取得、正当利益等)の確認・確保
(1).消費者の個人データ処理
(2).従業員の個人データ処理
(3).管理者の「正当利益」を適法性の根拠とする場合
4.(EU 域内での)処理委託契約
5.GDPR 対応 Privacy Notice/Policy の作成
(1).作成の必要性
(2).GDPR の関係規定と具体的場面への当てはめ
(3).Privacy Notice +同意要請の要件とサンプル
(4).Privacy Notice/Policy のサンプル
(5).スマホでの Layered privacy notice のサンプル
(6).スマホでの Just in time notice のサンプル
(7).プライバシーダッシュボードのサンプル
(8).英 ICO マニュアルの他の指摘・推奨事項
6.データ主体のアクセス権その他権利への対応
7.企画・設計段階からの・標準設定でのデータ保護(by design and by default)
8.GDPRコンプライアンス規程(骨子案)
9.Data保護影響評価(DPIA)
(1).DPIA実施対象の特定
(2).DPIAの実施・記載項目
(3).DPIAにおける評価方法
(4).外部の評価
10.域外移転のための標準契約条項(SCC)等の締結
(1).ケースの応じた適切なSCCその他の契約の締結
(2).SCCの必要記載事項の記入
(3).日本から外国への移転に対する対応
(4).他の企業グループ内国際移転に対する対応
11.クラウドサービスによる個人データ処理・域外移転
(1).クラウドサービスとGDPR上の義務との関係
(2).個人データの処理委託に関する義務
(3).個人データの域外移転に関する義務
著者略歴
著者発表論文一覧
⑥「完全対応 新個人情報保護法 -Q&Aと書式例-」(編集 第二東京弁護士会 情報公開・個人情報保護委員会)
目次
第1章 新個人情報保護法の全体像
Q1 新個人情報保護法の全体像
第2章 個人情報の定義の明確化
Q2 個人情報の定義
Q3 要配慮個人情報
Q4 個人情報データベース等
Q5 個人情報取扱事業者の範囲~中小規模事業者の対応~
第3章 個人情報取扱事業者の義務(個人情報等の有用性を確保するための規律)
第1節 一般的な個人情報取扱事業者
Q6 個人情報取扱事業者の義務に関する改正(概観)
Q7 改正がなかった個人情報取扱事業者の義務
Q8 利用目的
Q9 要配慮個人情報の取扱い
Q10 医療情報と個人情報
Q11 個人データの保管と安全管理
Q12 個人データの第三者への提供
Q13 個人データの提供者・受領者の義務
Q14 名簿業者への対応
Q15 共同利用の注意点
Q16 開示請求権
Q17 訂正、追加又は削除請求権
Q18 利用の停止又は消去請求権
第2節 匿名加工情報取扱事業者
Q19 匿名加工情報が創設された経緯
Q20 匿名加工情報とは
Q21 匿名加工情報取扱事業者とは
Q22 匿名加工情報取扱事業者等の義務
Q23 個人情報取扱事業者と匿名加工情報取扱事業者の違い
Q24 匿名加工情報の生成と取扱い
Q25 匿名加工情報の第三者提供
Q26 匿名加工情報の識別行為
Q27 匿名加工情報取扱事業者が負う安全管理措置義務
Q28 匿名加工情報の活用における問題点
第3節 民間団体による個人情報の保護の推進
Q29 認定個人情報保護団体の役割
Q30 個人情報保護指針
第4章 個人情報保護委員会
Q31 個人情報保護委員会の概要
Q32 独立した第三者機関
Q33 個人情報保護委員会の役割
Q34 他の行政機関との役割分担
Q35 個人情報保護委員会に対する苦情申立て等
Q36 行政による個人情報の取扱いに関する苦情申立て等
Q37 勧告等に不服がある場合の対応策
Q38 報道機関への影響
第5章 個人情報の取扱いのグローバル化
Q39 個人情報保護規制の国際的動向、EUにおける規制強化と個人情報保護法改正等
Q40 外国企業や日本企業海外支店への適用
Q41 外国にある第三者への個人データの提供
Q42 外国企業等からの個人データの提供
Q43 外国にある第三者への個人データの提供、外国企業等からの個人データの提供に関わる指導・罰則等
Q44 外国にある第三者へ個人データを提供した者/提供を受けた者の法的責任
Q45 個人データ提供元による外国にある第三者に対する請求
Q46 外国企業等による漏えい等への対応
Q47 外国執行当局からの指導等
第6章 罰則
Q48 罰則
関連書式
[書式1]プライバシーポリシー(簡易版)
[書式2]従業者個人情報の取得及び取扱いに関する同意書
[書式3]顧客からの個人情報の取得及び取扱いに関する同意書
[書式4]従業員の秘密保持誓約書269
[書式5]個人データ委託契約書のチェックリスト(新法22条関連)
[書式6]オプトアウトの方法による個人データの第三者提供を行う際の個人情報保護委員会への届出書(新法23条2項・3項、規則7条2項関連)
[書式7]書式6の届出を代理人が行う場合の委任状(新法23条2項・3項、規則7条3項関連)
[書式8]個人データを第三者提供した場合の記録書式(新法25条1項関連)
[書式9]個人データの第三者提供を受けた場合の記録書式(新法26条3項関連)
[書式10]提供者が本人の同意を得ていることを誓約する書面(新法26条1項関連)
[書式11]保有個人データの開示請求書(新法28条1項関連)
[書式12]開示請求に対する本人への通知書(新法28条2項・3項、31条関連)
[書式13]保有個人データの訂正等請求書(新法29条1項関連)
[書式14]訂正等請求に対する本人への通知書(新法29条2項・3項、31条関連)
[書式15]保有個人データの利用停止等請求書(新法30条1項・3項関連)
[書式16]利用停止等請求に対する本人への通知書(新法30条2項・4項・5項、31条関連)
[書式17]認定個人情報保護団体が個人情報保護指針を作成したときの、個人情報保護委員会への届出書(新法53条2項関連)
[書式18]外国にある事業者に顧客データの人力業務を委託する場合のチェックリスト(新法24条、規則11条1号関連)
[書式19]外国にある親会社に従業員情報を提供する場合のチェックリスト(新法24条、規則11条1号関連)