4月から異常なペースで図表作っていますが、上の表も前にも似たのを作った気がしますが、今回もまた作ってみましたので、せっかくなのでブログに貼ります。 話は変わりますが、とりあえず、次世代医療基盤法の認定仮名加工医療情報利用事業者の安全管理措置は図表作成終わりました。見返しがまだなので、不正確が怖いです。ちゃんと見直さないと。
こういう図、しょっちゅう作ってる気がしますが、前に作ったスライドを探すより、新規に作成した方が早い気がして、何回も作っています。 今、次世代医療基盤法ガイドラインP228を読んでいますが、「個人に関する情報」云々が出てきて、整理図があった方がわかりやすいかなと思って作りました。 ゴールデンウィークもこうやって頑張って次世代医療基盤法をやっているわけですが、それでも仕事が終わりませんね。はっきりいって、ゴールデンウィーク明けに終わるとは思えません。しかし終わらないからといって、あきらめずに、こつこつ進めなければ、一生終わりませんから、少しずつでも進めて、いつか終わるように頑張りたいと思います。5月には終わらせたいものです。
Q)営業先法人の担当者名・担当者の会社電話番号・担当者の会社メールアドレスなども個人情報なのでしょうか。 A)その通り、個人情報です。 Q)私どもA社は、法人顧客B社向けのWebサービス・アプリを提供しています。法人顧客B社の担当者に、担当者名・会社電話番号・会社メールアドレスを入力してもらってユーザ登録してもらい、私どもA社では連絡目的に利用します。これらのB社担当者個人情報を扱う際に留意しなければならないことは何でしょうか。同意は必要なのでしょうか。 1.適正取得義務 A社がB社担当者の個人情報を取得する際は、適正に取得する必要があります(個人情報保護法20条1項)。偽りその他不正の手段による個人情報の取得が禁止されていますが、これはだまし討ちのような形で個人情報を取得することなどが禁止されているものであって、一般的に通常のWebサービス・アプリのユーザ登録画面で、担当者の氏名・連絡先
Q)Cookieが日本でも規制されると聞きました。電気通信事業法改正の話をする人がいるのですが、私は別に通信キャリアではないので、関係ないと思っていて良いですか? A)電気通信事業法改正が令和5年6月16日に施行されます。この法改正は、プライバシーポリシー等に影響を与えうるものです。電話やインターネットキャリアといった業界のみならず、アプリやSaaSを提供していたり、掲示板を運営していたり、地図情報の発信、ニュース配信サービスなどを行っていたりしても、対応が必要ですので、注意が必要です。 スマホアプリのみならず、Webシステムも基本的には、改正電気通信事業法の対応が必要と考えておいた方が無難です。 電気通信事業者か第3号事業を営む者に当たれば、Cookieタグ等の利用者情報を外部送信する際に、公表などが必要です。なお、「外部送信」といっても、第三者提供とは異なり、利用者情報を自社サーバに送
23.1.12赤字箇所追記(法改正に関する個人情報保護についての感想追記) 次世代医療基盤法の改正に向けて検討が進められていましたが、現場ニーズに即した大幅な改正が盛り込まれる模様です。 https://www.kantei.go.jp/jp/singi/kenkouiryou/data_rikatsuyou/jisedai_iryokiban_wg/dai7/siryou1.pdf www.kantei.go.jp こういう法改正って、「一応改正しました」的なお茶を濁すものになることが多いのに、こういう風に大幅な改正をするとは、「法改正とはかくあるべし」という感じを受け、素晴らしいことだと思います。 どっかの法改正とは全然違うな~、と、どっかに対して地味に嫌味を言いたい気持ちです笑。 社会課題を把握・調査する (この例でいえば、匿名加工医療情報の活用の困難さ) 社会課題解決をするためにハ
私が作成して公表している資料はいっぱいあるのですが、一覧ページを作っていないので、自分でも何がどのURLであるのかが不明でした。そこで、時間のある時にこのまとめページを更新し、資料の一覧ページとしたいと思っています。 ※現在は、ブログ22.11.9から22.4.26分まで終了 個人情報 「個人情報等の種類と規制の違い~要配慮、プライバシー、個人関連情報、仮名加工情報、匿名加工情報等々~」 「規律移行法人の個人情報保護法適用」 「規律移行法人の個情法規制が非常にわかりづらい」 「【個人情報Q&A】A市立病院で保有する個人情報をA市で利用する場合の法律上の規制」 「GDPR概要と対応」 医療情報 「オプトアウトで臨床研究はできるのか」 「医療情報は活用できるのか」 PIA 「プライバシー影響評価(PIA・DPIA)の重要性と実務~顔認証・情報銀行等の先端サービスから日常業務まで~ 」 DX・オ
※22.12.16 公金受取口座の課題を後ろの方に追記 www.tokyo-np.co.jp 公金受取口座とマイナンバーの紐づけについて、同意方式をやめて、オプトアウト形式にするという案が、東京新聞で記事になっていました。 プライバシー権から考えてみると、私は以下のように思います。 年金受取口座や、児童手当受取口座は、どのみち現状でも公権力に把握されている口座である。 そして、年金も児童手当も、現状でも個人番号利用事務である。なお、公金受取法に登場する国税も個人番号利用事務である。「個人番号利用事務である」とは、つまり、マイナンバーと紐づいている状態である。 もっとも、それらの事務で把握している口座やマイナンバーは、原則、児童手当事務にしか使えないし、年金事務にしか使えないので、コロナの特別定額給付金の支給には使えない。 それを、コロナの特別定額給付金のような給付金受取口座として、年金受取
マイナンバー関連の取材を受けていて、「もし今制度を再設計するならどうしますか」という問いを受けた。非常に面白い問い。自分の頭の中で考え続けていきたい。つい、目の前の仕事・課題に気をとらわれてしまうので、マイナンバーについても「定期的な法改正の際に合わせて改正すべきこと、そのために必要な準備は何か」などの観点から今まで見てきてしまっていた。一切合切、白地で考えるならどうするか。これは面白い。マイナンバー以外でも、個人情報でもDXでも、白地で自分が制度設計するならどうするか、という観点から考えてみたい。これは、面白いテーマ。私にとっては自分の大好きなテーマについて白地の制度設計を考えると、マインドフルネスよりも心の調子が整えられそうだ。寝る前に考えたらリラックスできるのではないか、レベル。どうでもいいこと考える暇があったら、これ考えてみたい。 で、とりあえず今考えている途中の、マイナンバーにつ
※かなり細かな法律的な話を書いています。 1.委託と共同利用 (1)はじめに (2)委託の解説 (3)共同利用の解説 (4)それぞれの典型例 2.委託と共同利用に関する謎 (1)委託と共同利用の境界があいまい (2)旅行はなぜ委託ではないのか (3)グループ会社間の共同利用の謎 (4)まとまりのないまとめ 3.共同利用者の範囲の変更 1.委託と共同利用 (1)はじめに 個人情報保護法上、本人同意を得なくても、「委託」の場合は、個人データを他の会社等に提供することができます。 この「委託」とは一体何なのか、「共同利用」とは何が違うのか、数年にわたって、ぼんやり考えてき続けましたが、いまだに解が出ません。 (第三者提供の制限) 第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 (略) 5 次に掲げる場合において
8/29に「DX推進におけるデータ利活用のポイント」の講演をいたします。 企業研究会様主催のオンライン講演で、受講料がかかりますので、ご注意いただければと思います。 https://form.bri.or.jp/public/seminar/view/38634 予定している内容 1.個人情報等の種類 (1)個人情報、個人データ、プライバシー情報、営業秘密の違い (2)要配慮個人情報 (個人情報よりも規制が少し厳しい) (3)個人関連情報 (個人情報よりも規制が厳しい) (4)仮名加工情報 (個人情報よりも規制が緩やか) (5)匿名加工情報 (個人情報よりも規制は非常に簡素だが、加工が難しい) (6)行政機関等匿名加工情報 (公的機関の持つ情報の取得) (7)匿名加工医療情報 (医療情報の取得) (8)著作物 (取得情報が、個人情報かつ著作物に該当する場合も) 2.個人情報の利活用規制 (
中央経済社「旬刊経理情報」2月20日号通巻No.1636に掲載された「改正個人情報保護法の最終チェック」の元原稿を、事務所WebサイトにUPしました。 https://www.miyauchi-law.com/f/220324piikaiseigaiyou_bunshou.pdf 既にUPしているパワーポイント資料※がありますが、文章形式になっているので、文章の方が読みやすい方には上記の元原稿の方が良いかなというところです。 元原稿(WordをPDF化したもの)も25Pとかなり長いですが、パワポよりはまだ短いです。良かったらお読みください。 ※既にUPしているパワーポイント資料 http://www.miyauchi-law.com/f/200325pii2020kaiseigaiyou.pdf 22.3.25追記 1月は執筆が大変でしたが、この元原稿だけでも2万5千字あるわけです。 その
個人情報保護法2020年改正に伴い外国提供規制が強化されましたが、それに際して何をどう検討すればよいか、関連チェックポイントをフロー化しました。まだ作成途上ですので、不正確な可能性があり、また今後改訂する可能性があります。 ※2022.1.14、1.15、1.18に改訂。下の図は1.19に改訂した図 なお、電気通信事業法改正も気になるところです。
クラウド上でデータを保管しています。 個人情報保護法2020年改正により、外国に関する情報提供義務ができたと聞きました。クラウドのサーバが外国の場合、国名などを本人に通知等する必要があるのでしょうか。 外国に関する情報提供義務は、 ①個人情報保護法24条による情報提供義務と、 ②個人情報保護法27条による安全管理措置の公表等義務の二種類があります。 ①個人情報保護法24条による情報提供義務の点については、「クラウドサービス事業者において個人データを取り扱うこととなっているのかどうか」によって、外国に提供していると判断されるかどうかが異なります。クラウド事業者が個人データを取り扱わないことになっている場合は、クラウド事業者が外国の事業者であったり、サーバが外国であったりしても、外国に提供したとは判断されません。 具体的には、契約条項によって当該事業者がサーバに保存された個人データを取り扱わな
「個人情報保護法改正2020年のポイント解説」を更新しました。 http://www.miyauchi-law.com/f/200325pii2020kaiseigaiyou.pdf 具体的にはガイドラインが案状態の段階で書いた記載を、案が取れて確定したガイドラインを見て、修正しました。前までは私の作成PDF資料中に緑ハイライトがついていましたが、それはガイドライン案の段階での記載だったので、緑ハイライトは全部取ったつもりです。 いったん、「個人情報保護法改正2020年のポイント解説」の更新はこれでひとまず終わりかなと思っています。法律も成立し、政令・規則・ガイドラインが確定したので。またQ&Aなどで気になるものがあれば、いつかのタイミングで更新するかもしれません。
AからBにAの個人情報を提供します。Aは自分で提供行為をせずに、Xに提供を委託します。この場合、A、そしてXは個人情報保護法上の提供行為を行っていると評価され、各種規制に服するのでしょうか。 流れ: A→(Xを通して)→B 対象データ: Aの個人情報 この質問は、シンプルな問ですが、実は論理の勉強になるような問です。 結論的には誰も気にならないような問だと思いますが、論理的に回答するとどうなるか、以下に記していきたいと思います。 多分お読みいただいても実益はありません。 まず、考える際に、AとXを分けて考えていきます。 最初にAについて考えます。 Aは自分の個人情報をBに提供するわけですが、こういう質問をされたら、まず「どんな個人情報ですか」と確認する必要があります。 Aの個人情報といっても、いろいろなパターンがあって、それを正確に把握する必要があります。例えば以下のようなパターンが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く