Embed Size (px)
Citation preview
1
平成平成1717年度年度個人情報教育研修会(第個人情報教育研修会(第11回)回)
山口大学個人情報管理委員会
山口大学情報セキュリティ委員会
1. 止まらない個人情報流出
2. 独立行政法人等個人情報保護法の基本概念
3. 学生等情報の取扱い
4. 個人情報保護のQ&A
1.1. 止まらない個人情報流出止まらない個人情報流出
「個人情報の保護に関する法律」(平成15年法律第57
号)その他の個人情報保護関連5法が平成17年4月1日
に完全施行されましたが,個人情報の流出は止まるとこ
ろを知らず,「漏えいブーム」の感さえあり,マスコミの紙
面を賑わすことも度々です。
なお,1.の内容については,岡村久道氏の講演資料
「法律面から見たインシデント発生による影響」(平成17
年度情報セキュリティセミナー,平成17年8月31日)に依
拠しています。
2
止まらない個人情報流出(施行前止まらない個人情報流出(施行前11))
大手中学受験塾から模試受験の小学生らの個人情報18万人分流出。
88月月
クレジットカード会社から会員情報約48万人分が流出。88月月
旅行代理店から顧客情報約62万人分が流出。66月月
石油会社のカード会員情報最大92万人分流出。44月月
信販会社のカード会員約10万人分の情報流出。44月月
外資系銀行の日本の支店の約12万口座分の記録が外部漏えい。33月月
飲料会社のモニター応募者情報7万5千人分が名簿業者に流出。33月月
鉄道会社のメール会員データ約13万人分流出。33月月
プロバイダから顧客情報約34万人分が漏えい。33月月
テレビ通販大手から顧客情報約30万人分が漏えい。33月月
ブロードバンド接続サービスの全顧客約660万人分とIP電話通信記録約140万件漏えい。
22月月
大手消費者金融から顧客情報約116万人分が漏えい。20042004年年11月月
事件の概要事件の概要発覚時期発覚時期
止まらない個人情報流出(施行前止まらない個人情報流出(施行前22))
メガバンクが顧客情報約27万人分を紛失。33月月
旅行会社から顧客情報14万8千人分が流出。33月月
医師が患者情報1万4千人分を持ち出したとして横浜市が告訴へ。11月月
化粧品会社のホームページから不正アクセスにより顧客情報約5万9千人分が流出。
11月月
個人情報約3万件を保存したPCが札幌市保健所で盗難。11月月
大手テーマパークが年間パスなど個人情報14万人分が流出した可能性があると発表。最終的には16万人分と判明。
20052005年年 11月月
カタログ販売大手が顧客情報4418件入りPC紛失。1212月月
ブロードバンド接続サービスの全顧客約660万人分とIP電話通信記録約140万件漏えい。
1212月月
愛知県の村役場でパソコンが盗難され住民記録4400人分流出。1111月月
自動車メーカーから中古車保証サービスの加入者情報約4万人分流出。
20042004年年 88月月
事件の概要事件の概要発覚時期発覚時期
3
止まらない個人情報流出(施行後止まらない個人情報流出(施行後11))
金融庁の一斉点検で銀行の顧客情報計678万人分の紛失が発覚。66月月
電話会社が業務委託先で顧客情報約8万4千件入りUSBメモリを紛失。
66月月
製薬会社で個人情報2万3444名分を含むパソコンが盗難。55月月
価格比較サイトから不正アクセスでアドレス2万2千件流出。55月月
パソコン教室から社員(休職中)が受講生らのクレジットカードなど個人情報131人分を持ち出し,ネットの個人情報売買業者にメール送信。
55月月
岐阜県大垣市が水道利用者情報約2万人分入りの磁気テープを紛失。
55月月
大阪府八尾市で所得額など個人情報を含む「市民税・府民税特別徴収税額決定通知書」1万686人分が盗難。
55月月
地方銀行が国内の全顧客約131万件の顧客情報を紛失。20052005年年44月月
事件の概要事件の概要発覚時期発覚時期
止まらない個人情報流出(施行後止まらない個人情報流出(施行後22))
米国でクレジットカード番号4千万枚分が流出し,日本でも不正使用。
66月月
熊本県の私立大学が学生情報4万2千人分を紛失。66月月
愛知県一宮市立小学校の2003年度の全児童535人分と教職員約30人分の個人情報などがWinny経由でネット上に流出。
20052005年年66月月
事件の概要事件の概要発覚時期発覚時期
4
個人情報の流出原因(過失)個人情報の流出原因(過失)1. 車上荒らし・ マンション管理会社の社員が車上荒らしで,管理する12棟409戸のマンション在住顧客の個人情報74件分が記載された書類を鞄ごと盗まれた(05/6/2)。
2. 紛失・ 熊本県の私立大学が,在学生と卒業生の個人情報を保存した業務用デスクトップ型パソコン1台を紛失した(05/6/3)。
3. 駐車場に置忘れ・ 百貨店の外回りの営業社員が,顧客名簿の入ったカバンを駐車場に置き忘れた(04/6/15)。
4. 電車の網棚に置忘れ・ 信託銀行営業職員が,顧客情報入りカバンを電車網棚に置き忘れた(04/5/6)。
5. 誤送・ 銀行が支店において取引先の学校宛の書類の中に,誤って別の学校宛の書類を混入して渡す(05/4/22)。
6. 寝込み・ 酔った名古屋市内の税務署員が雑居ビルの階段で寝てしまい,目を覚ましたときにはパソコン用携帯メモリー入りカバンがなくなっていた(04/7/8)。
個人情報の流出原因(故意)個人情報の流出原因(故意)
1. ハッカーよりも従業者や委託先による犯行の方が,圧倒的に
多い。
・ さくら銀行の事件では,システム開発を孫請けした会社の派遣社員が
犯人として逮捕された。
・ 宇治市住民基本データ大量漏えい事件では,再々委託先のアルバイト
学生が持ち出した。
・ ソフトバンクBB事件では,サポートセンター勤務の元派遣社員が持ち
出した。
・ 関電社員が,業者の要請に応じて顧客情報を数回渡した。
2. 従業者が,興味本位で閲覧する。
・ 社会保険事務局と社会保険事務所の職員が業務目的以外で個人情報
を閲覧していたとして,社会保険庁は職員約500人を処分した。
5
迷走する漏えい事件迷走する漏えい事件1. 漏えいさせた企業等の対応・ 被害継続の阻止
・ 「おわび」の封書やメール
・ 漏えい事実の公表(Webページ,全国紙)
・ 監督官庁への報告
・ 問合せ窓口の開設(フリーダイヤル,メール)
・ 補償として「粗品」の進呈
・ 漏えい経路の特定
・ 対策委員会の設置
・ 「監督不行届き」で社内処分
2. 混迷する「漏えいブーム」・ 「漏えいの事実を明らかにされたくなければ」と恐喝
・ 「何でも漏えい事件に当たる」とクレーム
2.2. 独立行政法人等個人情報保護法の独立行政法人等個人情報保護法の基本概念基本概念
「独立行政法人等の保有する個人情報の保護に関する法律」
(平成15年法律第59号,以下「法」という。)の基本概念を紹介しま
す。なお,法の目的は,
この法律は,独立行政法人等において個人情報の利用が拡大していることに
かんがみ,独立行政法人等における個人情報の取扱いに関する基本的事項を
定めることにより,独立行政法人等の事務及び事業の適正かつ円滑な運営を
図りつつ,個人の権利利益を保護することを目的とする。
となっています(法第1条)。従って,法の目的は,「個人情報の保
護」そのものではなく,あくまでも「独立行政法人等の事務及び事
業の適正かつ円滑な運営を図ること」並びに「個人の権利利益を
保護すること」です。
6
個人情報保護法制個人情報保護法制
出典: 岡村久道『個人情報保護法』(商事法務,2004/11)
独立行政法人等とは独立行政法人等とは
この法律において「独立行政法人等」とは,独立行政法人通則
法(平成十一年法律第百三号)第二条第一項に規定する独立行
政法人及び別表に掲げる法人をいう。
(法第2条第1項)
「別表」には,国立大学法人,大学共同利用機関法人,一定の範
囲の特殊法人及び一定の範囲の認可法人が掲げられています。
なお,「独立行政法人等」とは「政府の一部を構成するとみられる
法人」のこととされています。
7
個人情報とは個人情報とは
この法律において「個人情報」とは,生存する個人に関する情報
であって,当該情報に含まれる氏名,生年月日その他の記述等に
より特定の個人を識別することができるもの(他の情報と照合する
ことができ,それにより特定の個人を識別することができることと
なるものを含む。)をいう。
(法第2条第2項)
「個人」とは,「自然人(生物としての人)」のことです。また,個人
情報において,特定の個人を識別することができることとなる氏名,
生年月日その他の記述等を「識別情報」といい,それ以外の部分
を「属性情報」といいます。「記述等」には,氏名や生年月日以外に,
電話番号,会員番号,映像,声,指紋,筆跡等が該当します。
保有個人情報とは保有個人情報とは
この法律において「保有個人情報」とは,独立行政法人等の役
員又は職員が職務上作成し,又は取得した個人情報であって,当
該独立行政法人等の役員又は職員が組織的に利用するものとし
て,当該独立行政法人等が保有しているものをいう。ただし,法人
文書に記録されているものに限る。
(法第2条第3項)
「保有個人情報」とは,「法人文書に記録されている個人情報」の
ことです。また,「保有」とは「開示,訂正(追加又は削除を含む。),
利用の停止,消去又は提供の停止その他の取扱いを行うことので
きる権限を有するものとして作成又は取得し,それを維持並びに管
理すること」をいいます。
8
個人情報ファイルとは個人情報ファイルとは
この法律において「個人情報ファイル」とは,保有個人情報を含
む情報の集合物であって,次に掲げるものをいう。一 一定の事務の目的を達成するために特定の保有個人情報を電子計算
機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか,一定の事務の目的を達成するために氏名,
生年月日,その他の記述等により特定の保有個人情報を容易に検索す
ることができるように体系的に構成したもの
(法第2条第4項)
第1号を「電算処理ファイル」,第2号を「マニュアル処理ファイル」
と呼んでいます。また,「体系的に構成」とは「利用目的及び記録
項目の内容が共通する保有個人情報が一定の基準に基づいて
配列されていること」を指します。
本人とは本人とは
この法律において個人情報について「本人」とは,個人情報に
よって識別される特定の個人をいう。
(法第2条第5項)
本法では,第三者という用語も用いられますが,「第三者」とは
「個人情報を保有する独立行政法人等,当該個人情報によって識
別されるところの本人(法定代理人を含む。)及び当該独立行政法
人等から当該個人情報の取扱いの委託を受けた者を除くすべて
の者」をいいます。
9
3.3. 学生等情報の取扱い学生等情報の取扱い
「学生等情報」とは,「学生又は保護者等に関する個
人情報」をいいます。
国立大学法人山口大学は,個人情報保護の重要性
を深く認識し,個人情報の不正利用や漏洩を防ぎ個人
情報を適切に取り扱うため,「国立大学法人山口大学
における個人情報の保護に関する基本方針」にのっと
り,個人情報の適切な保護管理に努めます。
国立大学法人山口大学における個人情報の保護に関する基本方針
国立大学法人山口大学(以下「本法人」という。)は個人情報保護の重要性を
深く認識し,個人情報保護の基本方針を以下のように定め,その周知徹底を図
り,個人情報保護に努める。
1. 個人情報保護に関する法令,その他の規範を遵守し,個人情報の保護に
努める。
2. 個人情報は,適正に取得し,法令,本法人の規則等の定める業務を遂行す
るため必要な場合に限り,保有する。
3. 保有個人情報への不正アクセス,保有個人情報の漏洩,滅失又は毀損の
防止その他の保有個人情報の適切な管理のために必要な措置を講じる。
4. 作成又は取得した保有個人情報は,あらかじめ特定した利用目的の範囲
内でのみ自ら利用し,又は提供する。
5. 個人情報の取扱いに関する苦情及び相談を受け付けるための窓口を設け,
適切かつ迅速な処理に努める。
6. 個人情報保護の取組みは,継続的に見直しを行い,改善を図る。
10
個人情報の取扱い個人情報の取扱いに関するに関する33原則原則
1. 個人情報の保有の制限等(原則1,法第3条)独立行政法人等は,個人情報を保有するに当たっては,法令の定める業
務を遂行するため必要な場合に限り,かつ,その利用目的をできる限り特定
しなければなりません。さらに,独立行政法人等は,利用目的の達成に必要
な範囲を超えて,個人情報を保有してはなりません。
2. 利用目的の明示(原則2,法第4条)独立行政法人等は,個人情報を直接取得するときは,原則として,あらか
じめ,本人に対し,その利用目的を明示しなければなりません。
3. 利用及び提供の制限(原則3,法第9条)独立行政法人等は,法令に基づく場合を除き,原則として,利用目的以外
の目的のために保有個人情報を自ら利用し,又は提供してはなりません。
利用目的とは利用目的とは
「利用目的」とは,「独立行政法人等が特定した保有個人情報
の利用の目的であって,当該利用が法令の定める業務の遂行に
必要な限度のもの」をいいます。また,「利用目的以外の目的」と
は「保有個人情報の利用の目的であって,利用目的以外のもの」
をいいます。
利用目的以外の目的には,例えば,「~等」の等に当たる利用の
目的や,特定時点で特定されなかった利用の目的であって,当該
時点の後に生じたものが該当します。また,「学生情報」(学生に関
する個人情報)の同窓会への提供といった,当該利用が法令の定
める業務の遂行に必要な限度のものといえるか否かが分明でない
ものも利用目的以外の目的として取り扱う必要があります。
11
直接取得とは直接取得とは
「直接取得」とは,「本人から直接書面(電磁的記録を含む。)に
記録された当該本人に関する情報を取得すること」をいいます。こ
こで,「電磁的記録」とは「電子的方式,磁気的方式その他人の知
覚によっては認識することができない方式で作られる記録」をい
います。
書面には電磁的記録も含まれるので,オンラインによる取得も直
接取得に該当します。また,「明示」とは「本人に対し明確に示し,
認識させること」をいうので,裏面に微細な文字で記載するなど,
利用目的を記載した部分が容易に判明しない書面を交付すること
は,明示に該当しません。
学生等情報の取扱い(その学生等情報の取扱い(その11))
1. 本法人における学生,保護者等の主な保有個人情報及びそ
の利用目的は,入学試験情報及び入学手続時に提出願った情報
並びに入学後の修学,厚生補導,健康等の管理又は指導に必要
なものとして作成又は取得した情報であって,次に掲げるものです。
「次に掲げるもの」として,(1)から(11)までありますが,例えば,
(1) 学生本人の氏名,住所,電話番号,生年月日,出身校,メールアドレス等
学生本人との連絡
のように,いずれも,まず保有個人情報の内容を掲げ,空白を置いて,その後に
利用目的を掲げています。なお,これらの目的に利用するに当たっては,改めて
本人の同意を得る必要はありません。
12
学生等情報の取扱い(その学生等情報の取扱い(その22))
2. 上記1に掲げる利用目的のほか,次に掲げる目的のため保有
個人情報を本法人職員が利用することがあります。
「次に掲げるもの」として,(1)から(13)までの利用の目的がありま
すが,中には,
(5) 保護者等への成績通知
(6) 修学指導,補導指導等に係る保護者への諸連絡
のように,当該利用が法令の定める業務の遂行に必要な限度のも
のといえるか否かが分明でなく,しかも,本人の権利利益を害する
おそれさえあるものもあり,このような目的のために利用する場合
には,改めて本人の同意を得る必要があります。
学生等情報の取扱い(その学生等情報の取扱い(その33))
3. 上記1及び2に掲げる利用目的に係る個人情報の取扱いの全
部又は一部を外部に委託する場合があります。業務委託に当たり,
本法人業務請負契約基準にのっとり,安全確保の措置を講じます。
委託は,「第三者への提供」ではありません。委託契約に当たっては,次に掲
げる事項が契約書に明記される必要があります(「国立大学法人山口大学の保
有する個人情報の管理に関する規則」第38条)。
(1) 個人情報に関する秘密保持等の義務, (2) 再委託の制限又は条件に関す
る事項, (3) 個人情報の複製等の制限に関する事項, (4) 個人情報の漏えい
等の事案の発生時における対応に関する事項, (5) 委託終了時における個人
情報の消去,媒体の返却に関する事項, (6) 違反した場合における契約解除の
措置その他必要な事項
13
学生等情報の取扱い(その学生等情報の取扱い(その44))
4. 山口大学教育研究後援財団,同窓会,教育後援会等から要請
があった場合は,学生の個人情報を,安全確保の措置を講じた上,
当該組織の活動に必要な範囲で提供することがあります。
これらの提供は法令の定める業務の遂行に必要なものといえる
か否かが分明でないため,当該提供に当たっては,改めて本人の
同意を得る必要があります。
学生等情報の取扱い(その学生等情報の取扱い(その55))5. 上記1-4の他には,事前に本人の同意を得た場合を除いて,
個人情報の利用又は第三者への提供をいたしません。ただし,法
令に基づき提供を義務づけられた場合,行政機関等の公的機関
が法令の定める事務又は事業を遂行することに協力する場合,
もっぱら統計の作成を目的とする場合,本人の生命,身体,財産
その他の権利利益を保護するために緊急に必要であると判断で
きる場合,並びに公益にとって緊急かつ不可欠であると判断でき
る場合には,本人の同意を得ることなしに,第三者に個人情報を
提供することがあります。
法第9条第2項の規定に基づくものですが,提供することによって,本人又は第
三者の権利利益を不当に侵害するおそれがあると認められるときは,この限りで
ありません。
14
利用及び提供の制限の例外とは利用及び提供の制限の例外とは
一 本人の同意があるとき,又は本人に提供するとき。
ニ 独立行政法人等が法令の定める業務の遂行に必要な限度で保有個人
情報を内部で利用する場合であって,当該保有個人情報を利用することに
ついて相当な理由のあるとき。
三 行政機関,他の独立行政法人等,地方公共団体又は地方独立行政法人
に保有個人情報を提供する場合において,保有個人情報の提供を受ける
者が,法令の定める事務又は業務の遂行に必要な限度で提供に係る個人
情報を利用し,かつ,当該個人情報を利用することについて相当な理由の
あるとき。
四 前三号に掲げる場合のほか,専ら統計の作成又は学術研究の目的のた
めに保有個人情報を提供するとき,本人以外の者に提供することが明らか
に本人の利益になるとき,その他保有個人情報を提供することについて特
別の理由のあるとき。
(法第9条第2項の各号)
学生等情報の取扱い(その学生等情報の取扱い(その66))
6. 学生,保護者等に係る個人情報の取扱についての苦情及び
相談,並びに本人に関する個人情報の開示,訂正又は利用停止
の請求については,学務部学務課並びに医学部及び工学部の受
付窓口で受け付けます。上記の請求については,原則として,本
人から書面による請求があり,当該請求に理由があると本法人個
人情報管理委員会が認めた場合に応じます。なお,開示請求に
ついては,法律の定める不開示情報を含む場合を除き,請求に応
じることを原則としています。
15
不開示情報とは不開示情報とは
「不開示情報」とは,「法第14条において開示しないこととされて
いる情報」をいいます。
不開示情報には,例えば,「開示請求者以外の個人に関する情
報(事業を営む個人の当該事業に関する情報を除く。)であって,
個人識別性のあるもの又は個人識別性はないが,開示することに
より,なお開示請求者以外の個人の権利利益を害するおそれがあ
るもの」があります。ここで,「個人識別性」とは「特定の個人を識別
することができること」をいいます。
本人同意の原則本人同意の原則
利用目的以外の目的のために保有個人情報を自ら利用し,又は
提供するときは,あらかじめ,本人の同意を得ることが原則です。
本人の明示的な同意を得る方法として,書面により同意の意思を
確認すること以外に,本人の参加が確認できる説明会等において,
当該本人の個人情報の取扱いについて異論がないことを口頭で明
確に確認することがあります。口頭により同意を得る場合,特に注
意しなければならないことは,本人の同意を第三者が後日証言でき
るようにしておくことです。
16
匿名化の原則匿名化の原則
ノートパソコンやUSBメモリに個人情報を保存して学外に持ち出
すときは,匿名化を行うことが原則です。ここで,「匿名化」とは「個
人識別性をなくすこと」をいいます。
匿名化に当たって留意すべきことは,個人識別性には相対性があることです。
ここで,「個人識別性の相対性」とは「個人識別性の有無は当該情報を取り扱お
うとする者が特定の個人を識別することができることとなる照合の手段を有する
か否かに依存すること」をいいます。例えば,学生による授業評価のアンケート
が無記名で行われたとしても,記入欄に所属学部の項目があると,ある学部の
受講生が一人しかいないような場合には,担当教員は容易に当該学生を識別
することができてしまいます。従って,氏名等の直接的な識別情報を削除して外
形的に匿名化したとしても,照合により,なお特定の個人を識別することができ
ることとなる可能性は,否定できません。
情報システム導入届出制度の活用情報システム導入届出制度の活用
「国立大学法人山口大学の保有する個人情報の管理に関する
規則」(平成17年規則第38号)第23条は,保有個人情報を取り扱う
情報システムについて,一定の届出を行うことを義務付けています。
保護管理者は, 保有個人情報を取り扱う情報システムの導入又
は改変(軽微なものを除く。)に当たっては, 国立大学法人山口大
学情報基盤整備委員会(以下「整備委員会」という。)が定める様
式に従って整備委員会に届出を行い, 安全確保等のために必要な
事項について, 整備委員会による提案又は改善要求が妥当である
と認めるときは, それを受け入れるものとする。
17
4.4. 個人情報保護の個人情報保護のQ&AQ&A
Q&A形式で,個人情報保護に係るいくつかの
問題を取り上げ,解説します。
Q1:Q1: 個人情報とプライバシー情報に個人情報とプライバシー情報に違いがあるの違いがあるのでしょうかでしょうか??
A1: 「プライバシー情報」は,「個人に関する情報であって,プライ
バシーに係るもの」です。プライバシー情報も個人に関する情報
なので,生存者のもので,かつ,個人識別性があれば,個人情報
に該当します。
「プライバシー」とは「私生活上の事実又は私生活上の事実らしく
受け取られるおそれのある事柄であって,一般人の感受性を基準
にして当該私人の立場に立った場合公開を欲しないであろうと認
められ,かつ,一般の人に未だ知られていないもの」をいい,「個
人識別性」とは「特定の個人を識別することができること」をいいま
す。
18
Q2:Q2: 個人情報を保有する場合に制限個人情報を保有する場合に制限があるのがあるのでしょうかでしょうか??A2: 独立行政法人等は,個人情報を保有するに当たっては,法
令の定める業務を遂行するため必要な場合に限り,かつ,その利
用の目的をできる限り特定しなければなりません(法第3条第1
項)。さらに,独立行政法人等は,前項の規定により特定された利
用の目的(以下「利用目的」という。)の達成に必要な範囲を超え
て,個人情報を保有してはなりません(同条第2項)。
「個人情報の保有」の要件は,「法令の定める業務を遂行するた
め必要なこと」並びに「利用目的をできる限り特定していること」で
す。保有には作成及び取得も含まれるので,利用目的の達成に必
要な範囲を超えて,個人情報を作成又は取得することも禁止され
ます。
Q3:Q3: 利用目的の特定がどうして必要利用目的の特定がどうして必要なのなのでしょうかでしょうか??
A3: 利用目的の特定は,独立行政法人等が,いかなる目的で個
人情報を利用するかを具体的かつ明確に認識し,利用目的の達
成に必要な範囲で個人情報を保有して取り扱い,原則として本人
の同意なしに個人情報を利用目的以外の目的で自ら利用又は提
供しない(法第9条),ための基礎となります。
19
Q4:Q4: どの程度特定すれば,利用目的をでどの程度特定すれば,利用目的をできる限り特定したといえるのきる限り特定したといえるのでしょうかでしょうか??
A4: 利用目的の特定は,個人情報ファイル単位で行います。単
に抽象的,一般的に特定するのではなく,独立行政法人等の行う
活動内容と照らし合わせて,本人が自己の個人情報の利用結果
を合理的に予測できる程度に,個別具体的に利用目的を特定す
る必要があります。なお,「合理的に予測できる」といえるには,社
会通念に照らして客観的にそう認められるものでなければなりま
せん。
散在情報については,当該情報が記録されている法人文書の利
用目的に含まれるので,改めて利用目的を特定する必要はありま
せん。ここで,「散在情報」とは「個人情報ファイルに記録されてい
ない保有個人情報」をいいます。
Q5:Q5: 独立行政法人等はセンシティブ独立行政法人等はセンシティブ情報を保有できるの情報を保有できるのでしょうかでしょうか??
A5: 法令の定める業務の遂行に必要な限度であれば,保有でき
ます。ただし,センシティブ情報の保有に当たっては,利用目的を
厳密に特定する必要があります。また,その利用,提供及び安全
確保に特段の配慮を加える必要があります。
「センシティブ情報」とは「思想,信条,宗教,病気及び健康状態,
犯罪の容疑,判決及び刑の執行並びに社会的差別の原因となる
社会的身分に関する個人情報」をいいます。学生情報にあっては,
心身の健康状態,懲戒処分の記録等がセンシティブ情報に該当し
ます。
20
Q6:Q6: 利用目的を変更することはでき利用目的を変更することはできるのるのでしょうかでしょうか??
A6: 変更後の利用目的が変更前の利用目的と相当の関連性を
有すると合理的に認められる範囲にあれば,利用目的を変更す
ることができます(法第3条第3項) 。なお,変更には追加及び削
除も含まれます。
例えば,入学者選抜を利用目的として保有する入試の成績を奨
学金給付対象者の選抜に利用するために,入試の成績の利用目
的に奨学金給付対象者の選抜を追加することは,上記の要件を満
たすものと考えられます。
Q7:Q7: 個人情報の直接取得に当たって,ど個人情報の直接取得に当たって,どののようような点に注意すればな点に注意すればよよいのいのでしょうかでしょうか??
A7: 独立行政法人等は,個人情報を直接取得するときは,原則
として,あらかじめ,本人に対し,その利用目的を明示しなければ
なりません(法第4条)。ここで,「直接取得」とは「本人から直接書
面(電磁的記録を含む。)に記録された当該本人に関する情報を
取得すること」をいいます。また,「明示」とは「本人に対し明確に
示し,認識させること」をいいます。
書面には電磁的記録も含まれるので,オンラインによる取得も直
接取得に該当します。また,裏面に微細な文字で記載するなど,利
用目的を記載した部分が容易に判明しない書面を交付することは,
明示に該当しません。
21
Q8:Q8: 利用目的の明示に例外はない利用目的の明示に例外はないののでしょうかでしょうか??
A8: 法第4条には,個人情報の直接取得に当たって,例外的に
本人に対し利用目的を明示する必要のない場合が第1号から第4
号まで掲げられています。
一 人の生命,身体又は財産の保護のために緊急に必要があるとき。
二 利用目的を本人に明示することにより,本人又は第三者の生命,身体,
財産その他の権利利益を害するおそれがあるとき。
三 利用目的を本人に明示することにより,国の機関,独立行政法人等,
地方公共団体又は地方独立行政法人が行う事務又は事業の適正な遂
行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められるとき。
Q9:Q9: 取得の状況から取得の状況からみてみて利用目的が明ら利用目的が明らかとは,どういうことなのかとは,どういうことなのでしょうかでしょうか??
A9: 第4号例外の「取得の状況からみて利用目的が明らかであ
る」とは「利用目的が単一で自明である」の意であって,教員が学
生から答案用紙を回収するときなどが第4号例外に該当します。
しかし,成績の評価以外にも答案用紙の利用目的があるときは,
学生に対し,それらの利用目的をすべて明示しなければなりませ
ん。
22
Q10:Q10: 本人の同意は個人情報の直接本人の同意は個人情報の直接取得の要件なの取得の要件なのでしょうかでしょうか??
A10: 利用目的の明示は個人情報の直接取得の要件ですが,本
人の同意はその要件ではありません。そもそも法第4条の趣旨は,
あらかじめ,本人が個人情報の利用目的を認識することができる
ようにし,当該情報が予想外の目的に利用されるのではないかと
いう本人の不安感を緩和することであって,本人の同意を得るこ
とではありません。
利用目的が厳密に特定されたものであれば,当該目的のために保有個人情
報を利用するときには,本人の同意を要しません。しかし,本人に明示した利用
目的が「~等」といったあいまいな表現になっている場合には,等に該当する利
用の目的は利用目的以外の目的であるので,保有個人情報を当該目的のため
に利用する場合には,改めて本人の同意を得る必要があります。
Q11:Q11: 直接取得に応じることを以って,本人直接取得に応じることを以って,本人の同意があったとみなせないのの同意があったとみなせないのでしょうかでしょうか??
A11: 自己の個人情報を提供したときの利益と不利益とを比較し
て,利益の方が大きいと判断した場合に,本人は直接取得に応じ
るのが通例でしょう。特に利用の目的が複数あるとき,特定の利
用の目的には同意できないのだが,提供したときの利益の方が
大きいので,仕方なく直接取得に応じているということもないわけ
ではありません。従って,直接取得に応じたからといって,全面的
に本人の同意があったとみなすことには無理があります。
23
Q12:Q12: 利用目的の明示の方法には,利用目的の明示の方法には,どどのようのようなものがあるのなものがあるのでしょうかでしょうか??
A12: 利用目的の明示の方法として,利用目的を記載した書面を
本人に対し直接交付すること以外に,その書面を本人が容易に
閲覧しうる場所に掲示したり又はWebページに掲載したりすること
も考えられます。
利用の目的を明示する際に,「同意しない場合は申し出るように」といった文言
を書面に記載しておくことで,併せて本人の黙示による同意を得る場合がありま
す。ここで,「黙示による同意」とは「同意しない旨の申出がない限り同意したと
みなすこと」をいいます。この場合において,「~等」の等に該当する利用の目的
及び法令の定める業務の遂行に必要な限度のものといえるか否かが分明でな
い利用の目的については,不同意の申出により当該目的のために保有個人情
報を利用することを停止する旨,当該書面に記載しておく必要があります。
Q13:Q13: 学生情報について,どこまで黙示によ学生情報について,どこまで黙示による同意があったとみなせるのる同意があったとみなせるのでしょうかでしょうか??
A13: 「医療情報」(診療録,処方箋等の医療に関する情報)に関するガイドラ
インの考え方を学生情報に適用すると,黙示による同意があったとみなされる
利用の目的は,「教育その他のサービスの提供に必要な限度で利用するもの」
となります。しかし,このような利用の目的は元々利用目的の範囲にあって,本
人の同意を要せず,学生も当該目的のために自己の個人情報を利用されるこ
とに何ら不安を感じることはないでしょう。学生情報の取扱いについては,心身
の健康状態,懲戒処分の記録等のセンシティブ情報並びに成績等のプライバ
シー情報に該当すると思われる部分を除けば,センシティブ情報そのものであ
るところの医療情報に求められるほどの慎重さを要せず,黙示による同意が
あったとみなされる利用の目的の範囲を「教育その他のサービスの提供に必
要な限度で利用するもの」以外に広げても,学生の権利利益が不当に侵害さ
れるといった問題は生じないと思われます。
24
Q1Q144:: 本人の明示的な同意を得る方法に本人の明示的な同意を得る方法にはは,ど,どのようのようなものがあるのなものがあるのでしょうかでしょうか??
A14: 本人の明示的な同意を得る方法として,書面により同意の
意思を確認すること以外に,本人の参加が確認できる説明会等
において,当該本人の個人情報の取扱いについて異論がないこ
とを口頭で明確に確認することがあります。口頭により同意を得
る場合,特に注意しなければならないことは,本人の同意を第三
者が後日証言できるようにしておくことです。
Q1Q155:: 職員の義務には,どのようなも職員の義務には,どのようなものがあるのでしょうかのがあるのでしょうか??A15: 独立行政法人等は,保有個人情報の適切な管理のために
必要な措置を講じなければなりません(法第7条)。従って,当該
法人等の役員及び職員には,講じられた措置を実施する義務が
あります。また,個人情報の取扱いに従事する役員若しくは職員
又はこれらの職にあった者は,その業務に関して知り得た個人情
報の内容をみだりに他人に知らせ,又は不当な目的に利用して
はなりません(法第8条)。当該従事者の義務を怠った者は,懲戒
処分の対象になります(「国立大学法人山口大学の保有する個人
情報の管理に関する規則」第44条)。
「みだりに」とは「正当な理由なしに」の意であり,「不当な目的」とは「自己の利
益を図る目的,又は公共の利益若しくは他人の正当な利益に反する目的」をい
います。
25
Q16:Q16: 保有個人情報の利用又は提供保有個人情報の利用又は提供に当たって,制限はあるのに当たって,制限はあるのでしょうでしょうか?か?
A16: 独立行政法人等は,法令に基づく場合を除き,利用目的以
外の目的のために保有個人情報を自ら利用し,又は提供しては
なりません(法第9条第1項)。提供は利用の一部ですが,ここでい
う「提供」とは「保有個人情報を当該独立行政法人等以外の者が
情報として利用可能な状態に置くこと」をいい,単に保有個人情
報を閲覧させるだけであっても,提供に該当します。
Q17:Q17: 利用及び提供の制限に例外は利用及び提供の制限に例外はないのないのでしょうかでしょうか??
A17: 本法は,そのことによって本人又は第三者の権利利益を不
当に侵害するおそれがないときは,利用目的以外の目的のため
に,独立行政法人等が保有個人情報を自ら利用し,又は提供す
ることのできる例外を認めています(法第9条第2項)。
例外は第1号から第4号まであって,それらの例外に該当する場
合には,独立行政法人等は利用目的以外の目的のために保有個
人情報を自ら利用し,又は提供することができますが,それらの利
用又は提供が義務付けられているわけではありません。
26
Q18:Q18: 本人の同意があれば,保有個人情本人の同意があれば,保有個人情報を無条件に提供できるの報を無条件に提供できるのでしょうでしょうか?か?
A18: 本人の同意を得て第三者に提供するとき又は本人に提供
するときであっても,当該本人に関する保有個人情報に不開示情
報が含まれているときは,当該保有個人情報の全部又は一部を
提供できないことがあります。ここで,「不開示情報」とは「法第14
条において開示しないこととされている情報」をいいます。
不開示情報には,例えば,「開示請求者以外の個人に関する情
報(事業を営む個人の当該事業に関する情報を除く。)であって,
個人識別性のあるもの又は個人識別性はないが,開示することに
より,なお開示請求者以外の個人の権利利益を害するおそれがあ
るもの」があります。
Q19:Q19: 利用目的外の内部利用は,どの利用目的外の内部利用は,どのような場合に認められるのような場合に認められるのでしょうでしょうか?か?
A19: 利用及び提供の制限の第2号例外は,法第3条第3項に規
定する利用目的の変更とは異なり,利用目的を変更せずに,独
立行政法人等が法令の定める業務の遂行に必要な限度で保有
個人情報を一時的に利用目的以外の目的のために内部で利用
する場合です。「一時的な利用」が要件であるから,当該目的の
ための利用が経常的なものになる場合には,利用目的そのもの
を変更する必要があります。
「一時的な利用」だけでなく,利用することについて「相当な理由」があることも
第2号例外の要件となります。当該理由の有無を第一次的に判断するのは独立
行政法人等ですが,その判断には客観的合理性が求められます。
27
QQ2020:: 個人情報保護の義務規定は,研究機個人情報保護の義務規定は,研究機関には適用されないのではないでしょうか関には適用されないのではないでしょうか??
A20: 「個人情報の保護に関する法律」(平成15年法律第57号)
第50条には,大学その他の学術研究機関が個人情報を取り扱う
目的の全部又は一部が学術研究の用に供する目的であるときは,
各種の義務規定は当該機関に適用しない,と定められています。
しかし,ここでいう学術研究機関は私立大学その他の民間機関を
指しており,国立大学法人に適用される本法には,適用除外規定
はありません。
QQ2121:: 個人情報の取扱いに関する罰則に個人情報の取扱いに関する罰則には,どのようなものがあるのでしょうは,どのようなものがあるのでしょうか?か?
A21: 独立行政法人等の役員若しくは職員又はこれらの職にあった者が,正
当な理由がないのに,個人の秘密に属する事項が記録された電算処理ファイ
ル(その全部又は一部を複製し,又は加工したものを含む。)を提供したときは,
2年以下の懲役又は100万円以下の罰金に処せられ(法第50条),その業務に
関して知り得た保有個人情報を自己若しくは第三者の不正な利益を図る目的
で提供し,又は盗用したときは,1年以下の懲役又は50万円以下の罰金に処
せられます(法第51条)。また,独立行政法人等の役員又は職員がその職権を
乱用して,専らその職務の用以外の用に供する目的で個人の秘密に属する事
項が記録された文書,図画又は電磁的記録を収集したときは,1年以下の懲役
又は50万円以下の罰金に処せられます(法第52条)。
「個人の秘密」とは,「個人に関する事実であって,一般に知られておらず,か
つ,他人に知られないことについて相当な利益があると認められるもの」をいい
ます。
