サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
大谷翔平
cyberlawissues.hatenablog.com
1.問題の所在(照会される民間事業者にとって非常に悩ましい状況) (1)回答してよいか悩む (2)CCC 2.個人情報保護法上は問題ない (1)考え方 (2)個人情報保護委員会資料 個人情報保護法ガイドライン通則編 「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A 3.他法上の守秘義務やプライバシー権保護の観点から問題に (1)電気通信事業法上の通信の秘密の保護 電気通信事業における個人情報等の保護に関するガイドラインhttps://www.ppc.go.jp/files/pdf/240312_telecom_GL.pdf 電気通信事業における個人情報等の保護に関する ガイドラインの解説 (2)郵便法上の守秘義務 郵便事業分野における個人情報保護に関するガイドラインの解説 (3)高齢者虐待防止法上の守秘義務 (4)図書館の自由 (5)自治体の事例 4.対応 (1)照会を
※筆者の頭の体操のための設問です。 個人データの提供には本人同意が原則として必要ですが、委託先への提供には本人同意は不要です(個人情報保護法27条5項1号)。これはなぜなら委託先は委託元の手足であって、委託元が監督義務を負う(個人情報保護法25条)ため*1と考えられます。 では、保険会社への提供はどうでしょうか。 結論から書くと、非常に法律構成が悩ましくなります。 たとえば、会社Aが社用車に対し法人向け自動車保険を契約していたとします。社用車で事故があり、社員Bの氏名等の情報と、被害者Cの氏名やけがの情報を保険会社に伝えないと、保険請求ができないと考えられます*2。この場合に、被害者Cが「自分の個人データを会社Aや社員Bが保険会社に提供するのには一切同意しません」と言った場合にどうなるでしょうか。 個人データの提供には法的根拠が必要です。 「被害者Cが病院にかかって負傷と診断された」という
機械翻訳を利用したいものの、自分が入力したデータを機械翻訳の会社に利用・保存等されたくない場合もあると思いますので、その観点から機械翻訳の利用規約を比較します。私用の備忘メモ。 1.DeepL 2.みらい翻訳 3.Bing 4.Google翻訳 1.DeepL https://www.deepl.com/ja/pro-license?tab=free Free版。 ユーザ入力データやユーザ修正データは、同社のAI改善やアルゴリズム向上に一定期間利用される。用語集機能を利用する場合には、特定の入力データは同社サーバには送信されない。同社外のサーバにも送信されるが、EEAにあるサーバに限定。 個人情報を含むデータの翻訳はFree版は使えずProサブスクリプションを使え。 翻訳サービスを使ってユーザが作った翻訳に対し、同社は著作権の権利主張はしない。 When using our transla
委託先に個人情報を取り扱わせる際の契約事項を考えると、意外と考えなければならない点があります。 利用 利用目的の特定:委託業務に必要な範囲内に限る等 目的外利用の禁止:目的外利用は原則禁止とするが、例外として、個人情報保護法上可能な目的外利用を禁止するか否かを決定。 複製制限:複製を必要最小限に限り、かつ複製物も保護対象に。 提供 提供制限:再委託先以外への提供不可とするか。司法機関・行政機関への法的義務に基づく提供等以外は、再委託についてもその他の提供についても許可制とするなど。司法機関・行政機関への法的義務に基づく提供等も事前連絡又は事後報告とするなども考えられる。個人情報保護法の提供制限と委託実務の整合を踏まえる。 再委託 再委託:①禁止、又は②事前承諾制、又は③特定の再委託先のみ契約書で承諾、又は④事後報告制、又は⑤自由にOK。 再委託先が問題等を生じた場合の委託先の責任。 従業者
4月から異常なペースで図表作っていますが、上の表も前にも似たのを作った気がしますが、今回もまた作ってみましたので、せっかくなのでブログに貼ります。 話は変わりますが、とりあえず、次世代医療基盤法の認定仮名加工医療情報利用事業者の安全管理措置は図表作成終わりました。見返しがまだなので、不正確が怖いです。ちゃんと見直さないと。
ユーザ投稿型(CGM、Consumer Generated Media)サイトの場合、ユーザが投稿した内容をサイト側がまとめなおしたり出版したりすることがあります。それに備えて、利用規約でもユーザ投稿の著作権に関する規定が置かれている場合があります。今日は、それらについて、いくつかの利用規約の例を見てみたいと思います。日本の事業者の利用規約の方が、日本法ベースで作られているため、日本の事業者を多めにしています。 概観 クックパッド 食べログ mixi pixiv WEAR LINEヤフー YouTube利用規約 概観 ユーザ投稿等に関して、全世界的で無制限の期間の制約のない権利許諾をユーザが事業者に与えるとする規約が多い(クックパッド、食べログ等)。再利用許諾も含むことが多い。著作者人格権不行使も定めがある。 これに対し、mixiやpixivはこのような権利許諾はなしで、一定の範囲内に限っ
3省2ガイドラインのうち「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」について、 https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html 参考用に、見出しと遵守項目のみ、ブログに貼り付けます。 本当は重要記載もこのブログに貼り付けたいのですが、全部貼り付けるのは時間がかかると思うので、企画管理編までとりあえず貼り付けました。追ってシステム運用編とあと総務・経産のもやります。ブログに書くよりExcelに表形式でまとめた方がわかりやすいかなあ。 6版になって、構成も読みやすさも良くなっていて良いと思います。ただ、内容はやはりかなり厳しめですね。 〇概説編 1.はじめに 2.本ガイドラインの対象 2.1 医療機関等の範囲 2.2 医療情報・文書の範囲 2.3 医療情報システムの範囲 3.本ガイドラインの構成、
※あくまで私の個人的な予想です。8.3追記(下の方) www.nikkan-gendai.com 上記記事を読んで今後を考えました。 1)保険証廃止を延期せず、資格確認証の期限も延ばさない場合 保険証廃止後も、誤紐づけ、自己負担割合の誤り等が発生するように思われる。 その結果、医療窓口現場が混乱し、患者側も、自分はちゃんとマイナンバーカードを持参しているにもかかわらず、来院後にもう一度来院して正しい自己負担額を支払ったり還付してもらうなどの面倒な処理が発生しそう。 (さすがに10割請求はないとしても) そうすると、マイナンバー制度全体の評判が悪化し、「保険証廃止の廃止論」ではなく、(マイナンバーカードとマイナンバーの差異に関する周知不足から)「マイナンバー全体の廃止論」すら起こりかねないのでは 「総点検で解決した/する」というようなことをもし述べてしまうと、「嘘つき」呼ばわりされかねない
Q)Cookieが日本でも規制されると聞きました。電気通信事業法改正の話をする人がいるのですが、私は別に通信キャリアではないので、関係ないと思っていて良いですか? A)電気通信事業法改正が令和5年6月16日に施行されます。この法改正は、プライバシーポリシー等に影響を与えうるものです。電話やインターネットキャリアといった業界のみならず、アプリやSaaSを提供していたり、掲示板を運営していたり、地図情報の発信、ニュース配信サービスなどを行っていたりしても、対応が必要ですので、注意が必要です。 スマホアプリのみならず、Webシステムも基本的には、改正電気通信事業法の対応が必要と考えておいた方が無難です。 電気通信事業者か第3号事業を営む者に当たれば、Cookieタグ等の利用者情報を外部送信する際に、公表などが必要です。なお、「外部送信」といっても、第三者提供とは異なり、利用者情報を自社サーバに送
23.1.12赤字箇所追記(法改正に関する個人情報保護についての感想追記) 次世代医療基盤法の改正に向けて検討が進められていましたが、現場ニーズに即した大幅な改正が盛り込まれる模様です。 https://www.kantei.go.jp/jp/singi/kenkouiryou/data_rikatsuyou/jisedai_iryokiban_wg/dai7/siryou1.pdf www.kantei.go.jp こういう法改正って、「一応改正しました」的なお茶を濁すものになることが多いのに、こういう風に大幅な改正をするとは、「法改正とはかくあるべし」という感じを受け、素晴らしいことだと思います。 どっかの法改正とは全然違うな~、と、どっかに対して地味に嫌味を言いたい気持ちです笑。 社会課題を把握・調査する (この例でいえば、匿名加工医療情報の活用の困難さ) 社会課題解決をするためにハ
私が作成して公表している資料はいっぱいあるのですが、一覧ページを作っていないので、自分でも何がどのURLであるのかが不明でした。そこで、時間のある時にこのまとめページを更新し、資料の一覧ページとしたいと思っています。 ※現在は、ブログ22.11.9から22.4.26分まで終了 個人情報 「個人情報等の種類と規制の違い~要配慮、プライバシー、個人関連情報、仮名加工情報、匿名加工情報等々~」 「規律移行法人の個人情報保護法適用」 「規律移行法人の個情法規制が非常にわかりづらい」 「【個人情報Q&A】A市立病院で保有する個人情報をA市で利用する場合の法律上の規制」 「GDPR概要と対応」 医療情報 「オプトアウトで臨床研究はできるのか」 「医療情報は活用できるのか」 PIA 「プライバシー影響評価(PIA・DPIA)の重要性と実務~顔認証・情報銀行等の先端サービスから日常業務まで~ 」 DX・オ
マイナ保険証のことは考えたくない気分でしたが、取材もあったし、自分としてよくあるQに対するAを作りたいなと思っているところです。マイナンバーカードについては特に好きなわけでも嫌いなわけでもありませんが、マイナンバー自体はとても大好きというか思い入れがものすごーく深いものなので、政府の政策や報道やSNS投稿を見ると、胸が苦しくなるって言ったら大げさというか表現がおかしいかもですが、正面から向き合うのに自分にとっては精神的タフネスが必要です。しかし正面からガツンと向き合わずには考えられない問題なので、精神的にタフなときに、ガツンと向き合って、自分としての長い考えを記載していきたいと思います。 医学研究のブログも途中のくせに何ですが、医学研究の方は11月に学会関連のイベントで発表するので、その資料を作ったら、お知らせする予定です。 そこで、マイナ保険証がらみの準備として、参考資料のURL等を自分
個人情報保護法では「遅滞なく…しなければならない」などといった、遅滞のない対応が義務付けられている場合等がありますが、「遅滞なく」とは具体的にはどれぐらいの期間ならよいのでしょうか。 回答としては、場合によるので一概には言えないということになるかと思います(残念な回答)。以下、参考情報を貼りつけます。 〇「個人情報の保護に関する法律についてのガイドライン」に関するQ&A Q5-3 「遅滞なく消去する」とは、具体的にどのような期間で消去することを求めていますか。 A5-3 「遅滞なく」が示す具体的な期間は、個人データの取扱状況等により異なり得ますが、業務の遂行上の必要性や引き続き当該個人データを保管した場合の影響等も勘案し、必要以上に長期にわたることのないようにする必要があると解されます。他方で、事業者のデータ管理のサイクル等、実務上の都合に配慮することは認められます。 Q9-12 保有個人
22.11.4記載 本ブログは22年春に、「学術研究機関等(大学病院、国立研究開発法人等)以外ではオプトアウトによる研究が難しくなるのでは?」というTweetを拝見し、記述したものです。執筆当時は、個人情報保護委員会や倫理指針ガイダンスによる手当がなされていなかったため、以下のような執筆内容となっておりますが、その後個人情報保護委員会や倫理指針ガイダンスによる手当がなされ、市中病院によるオプトアウト研究が可能となりました。そのあたりを含めた解説は、本ブログではなく、以下のPDFをご覧ください。 https://www.miyauchi-law.com/f/221105optout_research.pdf 本ブログはあくまで、執筆当時の状況を踏まえた法律・倫理指針の解釈・改善を記しています。 以下は、執筆当時の記載のママです。 オプトアウトによる医学研究に関するTweetを拝見しましたので
個人情報保護法2020年改正の施行がせまってきたため、チェックリスト・フロー的な感じで、今まで作ってきた図を更新したり、新規に図を作ったりしてみました。 大量のスライドをPDFで公表している資料の方※にも以下の図を足しこむ予定ですが、ブログでも貼っておきます。 ※https://www.miyauchi-law.com/f/200325pii2020kaiseigaiyou.pdf
※1(2)ウを2021.9.29追記、1(5)を2021.10.19追記 ※今、法律雑誌に寄稿する個人情報保護法2020年改正の論文を執筆中です。書いてみたところ、大幅に字数オーバーしそうなので、寄稿論文からは削除せざるをえなそうです。せっかく書いた文章ですので、削除する前に、ブログに貼っておきたいと思います。ちょっと尻切れトンボかもしれませんし、また見直ししていない状態なので不正確な点があったら申し訳ありません…。 はじめに 1 仮名加工情報 (1)目的・背景 (2)加工基準 ア 3つの観点からの加工 イ 匿名加工情報との差異 ウ 仮名加工情報作成の課題 (3)仮名加工情報による規制緩和 (4)仮名加工情報に対する規制 (5)個人情報、匿名加工情報、仮名加工情報に対する規制の差異 2 個人関連情報 はじめに 2020年改正個人情報保護法では、「仮名加工情報」「個人関連情報」という新しいカ
クラウド上でデータを保管しています。 個人情報保護法2020年改正により、外国に関する情報提供義務ができたと聞きました。クラウドのサーバが外国の場合、国名などを本人に通知等する必要があるのでしょうか。 外国に関する情報提供義務は、 ①個人情報保護法24条による情報提供義務と、 ②個人情報保護法27条による安全管理措置の公表等義務の二種類があります。 ①個人情報保護法24条による情報提供義務の点については、「クラウドサービス事業者において個人データを取り扱うこととなっているのかどうか」によって、外国に提供していると判断されるかどうかが異なります。クラウド事業者が個人データを取り扱わないことになっている場合は、クラウド事業者が外国の事業者であったり、サーバが外国であったりしても、外国に提供したとは判断されません。 具体的には、契約条項によって当該事業者がサーバに保存された個人データを取り扱わな
個人情報保護法改正2020年資料を更新しました。 http://www.miyauchi-law.com/f/200325pii2020kaiseigaiyou.pdf 具体的にはページ右下でいうところの6P目に、個人情報保護法改正2021年の概要を足しました。夏ごろまでには、2021年改正資料も作成するかな?どうかな?という感じです。作成したらまたHPにUPして、ブログでお知らせします。 おそらく、2021年改正関連で、夏ごろに仕事が入りそうなので、それに合わせて資料も作ろうかなって思ってます。
「個人情報保護法改正2020年のポイント解説」として私が作った資料をWeb公開していましたが、施行日が確定したので、最新化しました。 http://www.miyauchi-law.com/f/200325pii2020kaiseigaiyou.pdf まだ政令案・規則案と公布済の政令・規則に差異がないかどうかの確認が未済です。 個人情報保護委員会サイトで、改正関連の情報、資料やリンクがまとまっているようで、便利ですね。 https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
1,eKYCと犯収法(前置き) 2,犯収法上の本人特定事項等の確認 3,簡単なeKYC 4,参考リンク 1,eKYCと犯収法(前置き) eKYCとはelectronic Know Your Customerの略であり、オンラインでの本人確認(狭義では、犯罪による収益の移転防止に関する法律に基づく金融機関等による本人特定事項の確認)をいうと考えられます。 これまでは、本人確認と言えば、対面・原本確認が原則という傾向がありました。しかしその一方で、Yahoo!、Facebook、Twitter、Amazon、Google、メルカリなどを利用するときは、原則として、IDとパスワードで認証しています。ネット系サービスはIDとパスワードで原則やっていますが、これまで通りの企業、特に金融機関や行政機関などの固い業種は、本人確認と言えば、対面・原本確認が原則という傾向がありました。DXの時代に、そしてコ
個人情報から氏名を削除すれば、匿名化になりますか。個人情報でなくなるので、個人情報保護法は関係ありませんよね? 持っている個人情報をクラウド上に保管・保存しておきたいのですが、プライベートクラウドならまあ大丈夫かなとも思うのですが、パブリッククラウドに個人情報を置いておいてもいいのでしょうか。完全に匿名化しないといけないのですか? 何か法規制はあるのでしょうか? 1.氏名を削除しただけでは匿名化にならない 2.特異な情報の加工が難しい 3.特異な情報以外も加工が必要で難しい 4.抽象化情報 5.パブリッククラウドと法令規制 (1)はじめに (2)個人情報保護法の規制 (3)個人情報保護条例の規制 1.氏名を削除しただけでは匿名化にならない 氏名を削除しただけでは匿名化になりません。匿名化というのは、一般に個人情報でないように加工することをいうと考えられます*1。 個人情報というのは、個人情
マイナンバーはなぜコロナ対応に役立たなかったのか。 私なりにさんざんブログでも書いてきましたが、いろいろ考えや資料をまとめてみました。 7/20に本テーマで講演するので、その講演資料をUPします→コチラ。 ぜひ、講演資料、見てみてください! なぜ現金10万円(特別定額給付金)を迅速に振り込めない? マイナンバーと口座を紐づけようとする政府の真の意図は? 2枚目のパワポマン、これハチを捕まえる人ですかね。ちょっとパワポマンが変な気もしますが、まあバッハとかよりいいかなと。
個人的メモです。 裁判例が雑誌・書籍に掲載されたり、裁判例データベースが無償・有償で提供されていますが、それらと個人情報保護法の関係についての個人的意見を述べようと思います。 なお、当職の記す意見はあくまで個人情報保護法の解釈等との関係での意見であって、判決文公表がどうあるべきかについての意見ではありません。当職は個人情報保護法が大好きであって、それを検討したいにすぎず、判決文公表のあるべき姿については、当職は知見がありませんので、その点についての意見を述べるものではありません。 1.個人情報保護法の提供・取得規制概観 判決文自体には、原告・被告・代理人等の氏名等が記載されていて、個人情報に当たります。しかし、雑誌・書籍や裁判例データベースに掲載されているのは、この判決文から氏名等を「A」などと置き換えた情報になっています。これは、個人情報保護法上、どう整理できるのでしょうか。 判決文を雑
www.tokyo-np.co.jp www3.nhk.or.jp 10万円給付の件で、代理人の話、申請書類様式の話などをブログに書きました。その件も、またブログに書いて、できれば自治体に参考になるようなブログにしたいと思ってます。問題提起だけじゃなくて、解決策までブログに書いていきたいと思います。 ですが、今日は、まずは素朴な疑問を。10万円給付について、自治体ごとに所要時間に大幅な違いがみられそうというニュースについて。 人口規模が多い自治体の方が遅くなりそうという件について、私のレベルではパッと新聞を読んだだけでは理解できなかったのですが、なぜなのでしょうか。 東京新聞の記事によると、申請書の郵送にまずは、人口規模の大きい自治体は時間がかかると書いてあります。 申請書の郵送に必要な作業としては、以下かと考えています。 住民基本台帳情報(既存住基システム?)から、基準日現在の対象住民を
10万円給付に関して今後発生しそうな実務問題。整理した文章ではなく、個人的な雑感メモです。 〇国・自治体に求められること 〇関連資料リンク 〇銀行口座の名義人が、おそらく世帯主名でなければならないことに関連して 〇申請の仕方がわかりやすいかどうか 〇代理人がよくわからない問題 〇手を挙げた人にしか給付しない問題 〇オンライン申請と紙申請の順序 〇個人的感想 〇国・自治体に求められること 国)口座名義人が世帯主でなければならないかどうかを確定する →Yesなら、その旨を周知徹底して、申請フォームや申請様式上で明記しないと、世帯主以外の名義口座を申請してしまった人が、「この口座ではだめです」と後から言われてしまい、迅速な給付が受けられなくなってしまうし、自治体側の工数が増加する。 →Noなら、詐取防止対策の検討(世帯員以外の口座にも振り込めるとしたら) 自治体)上記の周知徹底への協力 国・自治
www3.nhk.or.jp wired.jp AppleとGoogleの件は、位置情報じゃなくて、Bluetooth方式とのこと。 個人情報保護の世界では「同意」を取る方式が良い方式と一般に言われる。 ただ、上のニュースのような使い方だと、必ずしも「同意」形式が良いとも限らないかなと、ちょっと思いました。 今回の場合、Wiredの記事だと「濃厚接触の可能性があるとアプリが判断し、そのユーザーに対して感染拡大を防ぐためのアドヴァイスを表示」とありますが、「濃厚接触の可能性があります」とアプリに言われたとしても、不安がとても強くなるのに、解決方法があまりない危惧が。検査も受けられないで自宅待機しているだけだとすると、アプリで濃厚接触の可能性を指摘してもらっても、じゃあどうすればいいのか!と思って、かえって不安になって、つらい気もします。「アプリが濃厚接触の可能性というので、私は出社しません」
個人データを外国に提供する場合は、記録の作成・保存義務がかかるのでしょうか。 ※かなりマニアックな話になります。 個人情報保護法の条文(24・25条) (外国にある第三者への提供の制限) 第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にあ
個人情報保護法改正2020年のポイント・影響度・実務対応の解説スライドを作成しましたので、PDFにしてブログに張り付けておきます。以下など(https://cyberlawissues.hatenablog.com/entry/2020/03/25/093955)で、スライドを図にしてブログに貼りつけましたが、いちいち張り付けるのも面倒なので、PDFで公開します。追って、もっと詳しいバージョンも公開する予定です。 「個人情報保護法改正2020年のポイント解説」 2020.1(2020.3改訂) 弁護士 水町 雅子 ※令和2年個人情報保護法改正法案はまだ成立していないので、 本資料はあくまで現時点での当職個人の意見にとどまる点に、十分留意されたい http://www.miyauchi-law.com/f/200325pii2020kaiseigaiyou.pdf
※かなり細かな法律的な話を書いています。 1.委託と共同利用 (1)はじめに (2)委託の解説 (3)共同利用の解説 (4)それぞれの典型例 2.委託と共同利用に関する謎 (1)委託と共同利用の境界があいまい (2)旅行はなぜ委託ではないのか (3)グループ会社間の共同利用の謎 (4)まとまりのないまとめ 3.共同利用者の範囲の変更 1.委託と共同利用 (1)はじめに 個人情報保護法上、本人同意を得なくても、「委託」の場合は、個人データを他の会社等に提供することができます。 この「委託」とは一体何なのか、「共同利用」とは何が違うのか、数年にわたって、ぼんやり考えてき続けましたが、いまだに解が出ません。 (第三者提供の制限) 第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 (略) 5 次に掲げる場合において
次のページ
このページを最初にブックマークしてみませんか?
『ITをめぐる法律問題について考える』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く