ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

医療ビッグデータの書籍発売予定!

12月に、医療ビッグデータ(次世代医療基盤法)の書籍である、「Q&Aでわかる医療ビッグデータの法律と実務 次世代医療基盤法・匿名加工医療情報の活用」が発売される予定です!

www.hanmoto.com

 

今まで、Web上で次世代医療基盤法のパワポ図表を公表していましたが、解説文章がなかったのでわかりにくかったと思います。

 

今回の本は、逐条解説のように、細かくマニアックに法律解説をするというよりは、実務担当者の方も苦しくなく読めるように、わかりやすい解説を心がけています。とはいえ、どうせ私の書く本なので、細かい法律部分の解説もあり、法律家の方にも十分お使いいただける内容になっているかと思います。

 

ぜひお手に取ってくださいね!

 

今回も日本法令さんから出版させていただきます。日本法令さんはマイナンバー関連でお知り合いになった出版社ですが、わかりやすいレイアウト、丁寧な編集がすごく良いと思います。本当に丁寧に編集してくださって、企画も活発だし、良い出版社さんとお知り合いになれてよかったです。

 

私は本が大好きなので、本に愛情がある出版社さんから本を出したいなと思います。意外と出版社によっては、本への愛情がない出版社もいたりしますが、日本法令さんから出版すると、とても気持ち良い執筆作業ができて、良かったです。

個人情報保護法改正&公取個人情報関連(Cookie含む)資料

 

令和2年個人情報保護法改正

平成27年個人情報保護法改正法では、情報通信技術の進展が著しいこと等から、施行後3年ごとの見直し規定が設けられています。

内閣府外局の個人情報保護委員会では、令和2年(平成29年施行から3年)に向けて、現在、個人情報保護法の検討を行っています。平成31年4月25日に「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理が公表されました。

 

主な内容は以下の通りです。

  • データ利活用(匿名加工情報の周知、仮名化の検討、相談体制充実)
  • デジタル化社会でも、個人情報をどのように使われるか本人が予測できるよう、情報提供のあり方の工夫
  • 名簿屋対策(失効徹底、情報入手先の開示、届出変更)
  • 個人情報相談のAIチャットボット導入
  • 個人情報漏えい報告(義務付け、軽微事案の届出不要措置等)
  • 開示請求(本人関与の保障、事業者側の適切な対応、電子開示)
  • 利用停止請求(消費者側からの根強い要望、実務上の論点)
  • 認定個人情報保護団体活性化
  • ターゲティング広告(クッキーを個人識別符号とする等)
  • 事業者への報告徴収・立入検査・命令
  • PIA

 

主なリンクは以下の通りです。

3年ごと見直し

 

公取による規制

個人情報保護委員会による法改正とは別に、公正取引委員会でも大きな動きがみられます。デジタルプラットフォーマーへの個人情報関連の規制や、Cookie規制の検討などです。

 

公取リンク

 

公取Cookie

2019.10.29朝日新聞

www.asahi.com

派遣労働者から個人情報保護の誓約書を取得することに関する議論

※個人的なメモであり、私自身の考えとしても、まだ結論が出ていません。あくまで、現時点での個人的メモとして書いていますので、ご注意ください。

 

 

1.前提:個人情報保護意識の共有

個人情報保護を行うためには、実際に個人情報を取り扱う人の意識を向上させることがとても重要です。

今の仕事の現場では、無期雇用の正社員だけではなく、有期雇用者、派遣社員など、さまざまな契約形態・立場の人たちがいます。無期雇用の正社員だけで、中途採用も少ない職場だと、職場の教育を受けて、また職場の感覚を受けて、個人情報保護意識がある程度、社員の間でも均一化するというか、同じ意識を大体持てるかもしれませんが、無期雇用でも中途採用者だったり、有期雇用者、派遣社員の場合、前職その他での個人情報保護の意識が、今の仕事の無期雇用の正社員とは異なる場合があります。

そのため、どのような研修・教育を受けてきたものであっても、個人情報保護意識が薄いものであっても、ITリテラシーが十分なものから不十分なものまで、その仕事で個人情報を取り扱っている人たちには、総じてみんな、きちんと個人情報保護の意識を持ってもらうことが必要です。

そのためには、規程類の整備ももちろん必要ではありますが、実際に日々の仕事の中で何に注意すべきかというわかりやすいチェックリストや意識づけ、研修・教育の整備などが重要になってきます。

例えば、「書類はシュレッダーで破棄する、ふせんや裏紙に個人情報をメモしない(した場合はシュレッダー破棄を徹底)」「仕事で知った個人情報、取引先情報、会社の情報その他の事項は、会社外で話したり、ネット上に書き込んだりしない」「業務外のWebサイトにアクセスしない(セキュリティリスク)」「私物スマホであっても、会社の無線LANを使って、信頼できないサイトにアクセスしない」など。

 

2.自社が求める個人情報保護レベルを派遣社員にも無期雇用にも認識してもらう重要性

 

では、個人情報保護のために派遣社員から誓約書を取得することはできるのでしょうか。

というか、派遣社員に対して、個人情報保護として、自社(派遣先)が求めているレベルをしっかり認識してもらうことは極めて重要です。だって、自社の個人情報を取り扱ってもらっているわけですから。そして会社ごとに個人情報保護として求めるレベルは違うわけです。

不動産会社や有名ホテルが芸能人の来店情報を書き込んだなどして批判を浴びたケースがありますが、不動産屋さんやホテルの接客者が無期雇用だろうが有期雇用だろうが派遣社員だろうが、来店する人からすれば関係なく、自分のプライバシー権を保護してほしいと期待するわけです。

有名ホテルのウェイター/ウェイトレスが勤務中に知った情報を書き込むのと、そのウェイター/ウエイトレスがプライベートの時間に電車に乗っていて芸能人に遭遇したことをネットに書き込むのでは、少し話が違います。

また、PMSは企業ごとに異なるわけであり、いくら派遣元(派遣会社)がPマークを取得していても、それはあくまで派遣会社の通常の個人情報(応募者の個人情報など)であって、派遣社員が派遣先で派遣会社のPMSに沿って個人情報を取り扱うわけではありません。

ということで、派遣先が、派遣社員に対して、個人情報保護として、自社(派遣先)が求めているレベルをしっかり認識してもらうことは重要であり、その方法として、教育・研修を充実させることのほか、業務上の注意事項などをまとめる、口頭で指導するなどがあると思います。

 

3.派遣社員から直接誓約書を取得することに関する議論

(1)派遣会社と派遣先でも機密保持契約?

しかし、この点、派遣社員から、派遣先が直接誓約書を取得することには議論があります。

派遣という考え方からくる筋道論としては、個人情報保護・機密保持のためには次のような方法をとるべきとされています。

  • 派遣会社が派遣社員から誓約書を取得するなどする
  • 派遣会社と派遣先とで機密保持契約等を交わす(派遣社員の個人情報漏えい等の責任は契約上派遣会社が負う)

しかし、この考え方を貫くと、派遣社員個々人からは、派遣先は誓約書を取得することができなくなってしまいます。漏洩時等の責任問題はちょっと置いておきますが(不法行為責任/契約責任)、派遣社員個々人から派遣先が誓約書を取得することは、派遣先の個人情報保護の期待レベルを理解してもらうという意味でも、重要だと思うのです。それは誓約書という名前・形態でなくても構いませんが、要は、派遣先としては、こういうことを重要だと思っていて、こういうことをやってほしくないと思っているということを派遣社員に伝え、それを派遣社員も理解したというサインをする。派遣社員にサインさせなくてもいいじゃないかという議論もあるかもしれませんが、ただ単に「個人情報保護の注意事項」の紙をもらうよりも、それを理解しましたというサインをしたほうが、より個々人にとって、重要事項であるとの認識が生まれるとも考えられます。まあ、サインをさせなくても単に「個人情報保護の注意事項」の紙を渡すだけでも、渡さないよりはずっと意味があるとは思います。

 

(2)経済産業省「情報セキュリティ関連法令の要求事項集」ほか

しかし、派遣社員から派遣元が誓約書を取得できるかどうかという点については、役所的には否定説を取るようです。

 

例えば平成21年の経済産業省「情報セキュリティ関連法令の要求事項集」74ページでは、次のような記載があります。

派遣先企業は秘密情報流出防止の目的で派遣社員の秘密漏えい防止の誓約書提出を義務付けることができるか。また、セキュリティ対策のための教育訓練を行うことができるか。


(1) 考え方
派遣労働者の秘密漏えい防止については、派遣元企業と派遣先企業との間の労働者派遣契約の中でそれを条件とするなど、労働者派遣契約の中で検討すべき事項である。
教育訓練に関しては、派遣労働者が派遣契約上負う職務を遂行する上で必要な範囲のものであれば、派遣先企業は当該派遣労働者に教育訓練を行うことは可能である。
(2) 説明
従業員は、労働契約に付随する義務として秘密保持義務を負っているしかし、派遣先企業と派遣労働者との間には労働契約が存在しないため、派遣先企業において派遣労働者に秘密保持義務を直接負わせることはできない派遣労働者守秘義務に関しては、あくまでも雇用関係のある派遣元企業と派遣労働者の間で義務付けがなされるべき事項である。
したがって、派遣労働者に秘密保持を義務付けるためには、基本的には派遣元との労働者派遣契約(労働者派遣法第 26 条)において、派遣元・派遣労働者間で派遣先の業務に関する秘密保持契約を締結させることを条件としておくことが考えられる。そして、派遣労働者が派遣元に対して誓約書の提出させること、その誓約書の写しを派遣先に提出することも派遣の条件としておくとよいであろう。また、派遣労働者が秘密を漏えいした場合には、派遣元が損害賠償額の支払の責任を負う旨などを定めておくなどの措置も考えられる。 

(中略)

派遣先は、派遣労働者の就業に際して、当該企業において秘密としている事項又は一般の従業員が負っている秘密保持の内容について、派遣労働者に周知すべきである。そして、秘密保持について教育訓練が必要になる場合には、派遣先企業はこれを実施することができる。派遣労働者は、派遣先企業の指揮命令下で使用されるため、派遣先企業で指揮命令を受けて職務を遂行する上で必要な教育訓練であれば、派遣先企業は当該派遣労働者に教育訓練を命ずることができるからである。このことについても、できるかぎり労働者派遣契約の中に明確化しておいた方がより適切であると思われる。

 

また同13-14ページでは、以下の記載があります。

③安全管理措置の実施と法令遵守の問題

(中略)

 ③の問題については、安全管理措置の実施に必要な措置を講ずることが、法令遵守のための対応でありながら他の法令に適合しない対応にならぬよう注意すべきである。具体的には、本人からの損害賠償請求に係る責務を安全管理措置に係る責任分担を無視して一方的に受託者に課すなど、優越的地位にある者が委託元の場合、委託先に不当な負担を課すこと(経済産業分野の個人情報保護ガイドライン 2-2-3-4.委託先の監督)、派遣労働者など雇用関係にない者との間で個人情報の取扱に係る契約を直接結ぶことや、誓約書において損害賠償額の予定や違約金を定めるなど労働基準法第 16 条に違反する場合等が挙げられる。

同要求事項集の、オフィシャル確定していない平成23年版も同様の記載でした。

 

また経済産業省「【参考資料】秘密情報の保護ハンドブック ~企業価値向上にむけて~」でも以下の記述がありました。

情報管理規程の例

(略)

第15条(秘密情報の開示を伴う契約等)
人材派遣会社、委託加工業者、請負業者等の第三者に対し、会社の業務に係る製造委託、業務委託等をする場合、又は、実施許諾、共同開発その他の秘密情報の開示を伴う取引等を行う場合、当該会社との契約において相手方に秘密保持義務を課すほか、秘密保持に十分留意するものとする。

(略)

(*1)自社に派遣されている派遣労働者や自社内において勤務する委託先の労働者については、自社との間に、雇用契約等直接の契約関係が存在しないので、第15条に例示したように、派遣元企業や委託先企業との間で、秘密保持契約等を締結し、派遣元企業や委託先企業を介して、自社における秘密情報の取扱いを遵守してもらう形になります。

 厚労省の、なんの資料かわかりませんが、検索でひっかかったPDFでも以下の記載がありました。

<主なトラブル例>-
○派遣先から、「守秘義務(機密事項漏洩禁止)に関する誓約書に、派遣労働者本人のサインや住所の記載がほしい」と言われた
-解説-
・ 機密情報保持契約は、基本的に、派遣先と派遣元事業者の間、及び派遣元事業者と派遣労働者の間で取り交わされるものです。派遣先の機密情報保持については、これらでカバーされます。
・ しかしながら、派遣先が、派遣労働者に対して直接、機密情報保持契約や機密情報保持誓約書への署名を求めるケースが見られます。なかには、派遣労働者に対し、住所や連絡先など個人情報の記載を求めるケースも見られます。
-------------------------------------------------------------------------------------------------------------------
就業規則等での対応>
就業規則の中に「守秘義務」や「機密情報保持」の規定を定め(例①、②)、さらに、「服務事項・禁止事項」や「懲戒基準」の条項において、機密情報保持規定の遵守を求めたり(「派遣先での勤務態度、服務規定の遵守」の項の例①、②参照)、違反した場合の罰則及び損害賠償義務を定めます。(例④)
・ 何が秘密(機密)情報に当たるかについては、できるだけ具体的に規定しておいたほうがトラブル防止に役立ちます。(例③)
<工夫している事業者の例>
派遣労働者からの相談を受け、派遣元事業者が派遣先に対して、そうしたことは不要であることを説明し、派遣先に理解を求めているという事業者が多いようです。
中には、派遣労働者に対し、住所や連絡先など個人情報の記載を求めたケースにおいて、はっきりとした態度で記載は認められないことを伝え、場合によっては、派遣の依頼を受けないこともある、という派遣元事業者の例があります。

 

一般社団法人日本人材派遣協会のWebサイトに以下の記述がありました。

 Q11 : 派遣労働者を受入れるに当たって、派遣労働者から直接に会社の企業情報保持・個人情報保持に関する誓約書を取りたいが、問題ないでしょうか。

A11  派遣労働者からの誓約書の提出については、派遣労働者と雇用関係にあるのは、派遣先ではなく、派遣元事業主であるかことから、派遣元事業主が派遣労働者から誓約書の提出を受け、その旨を派遣先に知らせ、派遣元事業主が派遣先に対して派遣労働者による企業情報保持・個人情報保持に関する責任を負うこととすることが望ましいものです。
 ただし、派遣先が派遣労働者から直接誓約書を取ることも、雇用関係とならないものであれば、労働者派遣法、職業安定法又は個人情報保護法に抵触することとなるものではありません。なお、この場合であっても、派遣先と派遣労働者との間には雇用関係がないことから、誓約書の提出に応じない派遣労働者に派遣先が懲戒処分を課すことはできず、また、必要以上に派遣労働者の個人情報を含む誓約書を求めることは適当ではありません。

 また弁護士川村和久先生のブログにも、大変参考になる見解が書かれていました。

kks-law.com

 
(3)現時点の考え方

派遣社員から取得するのが 誓約書なのか、それとも会社が考える個人情報保護の教育の一環(これが重要事項で理解しましたというサイン)なのかは、現実問題としては、グラデーションがあるようにも思います。派遣社員個人からの損害賠償額をあらかじめ定めておいたりしたら、それはダメでしょうが、そこまでいかないものは、現実的にはグラデーションがあると思います。もちろん派遣社員にだけ、教育という名目でサインさせたら問題ですが、それを全従業者にやっていたらどうか、派遣社員しか社員がいない会社で全派遣社員にそれをやっていたらどうかというと、教育の一環といえるのではないか。

またはそもそも派遣会社と機密保持をするという構成が、現在の個人情報保護・機密保持の環境と合致しているのかというのは、議論になるかと思います。やはり個人情報を実際に取り扱う人の意識が非常に重要になってきますので。

 

もう少し自分の中の考え方を深めてから、また機会があればこの件も、意見表明したいと思います。

適度な休憩が必要

22日はピューロランドに遊びに行きましたが、想像を絶する人の多さでした。8月のお盆にも行き、その時も大変な混雑でしたが、お盆すら超えるぐらいの人の多さ。イベントに大量の人が来たというわけでもないのかなとも思い。子供連れと女性グループが非常に多かった印象です。

 

そのようにして22日は休憩してリフレッシュしましたが、今週は本当に疲れました。根を詰めて1日中作業する日が多くて、そのおかげでかなり仕事がはかどりましたが、一日中作業していると、かなり疲れます。それを数日連続でやると、すごく疲れるように思います。

 

やはり、80分に一回ぐらい、アラームをかけておいて、80分に1回ぐらいは休憩するようにしないといけません。はかどらないときははかどらないものの、つい、集中しだすと、連続で集中して作業してしまうのですよね。

 

昔から勉強するときもそうでしたが、集中してやりすぎて、疲れるので、翌日はゆっくりするとかしていましたが、適度に休憩しながらやらないと厳しいですね。ただ、これまでもずーっと、集中してやるパターンで勉強も仕事もしてきたので、いきなりかえるのが難しいです。締め切りも多くて、なかなか休憩もできないし…。

 

とりあえず、来週までの締め切りのめどは立ったかなという気がしています。来週木曜締め切りのものは、まだ何にもやっていないので、間に合うかは不明ではありますが、おそらく大丈夫だろうと。来週はそこそこ外部会議と打ち合わせが入っているので、そんなに長く作業時間も取れず。11月第2週もそこそこ会議と打ち合わせが入っていて。

 

どうでもいい話ですが、12月最終週がすでに3個外部会議が入っていて、あと追加するとしても、2個ぐらいしか入れられなそうです。会議って重なるときは重なりますね。

 

まとまりがない文章になってきましたが、ピューロランドって、シアターとかを貸し切って、外部イベントをしているのですね。例えば、ファミリーセールとか。タレントさんのイベントとか。コンサートとか。

私も何か自分のイベントをやる機会があれば、ピューロのメルヘンシアターあたりを貸し切りたいものですが、貸し切りは通常はエンターテイメントホールかな。フェアリーランドシアターも貸し切れますよね。フェアリーランドかメルヘンシアターのほうが、エンターテイメントホールより、ピューロ感があるので好きです。レディキティハウス貸し切ったらすごいだろうけど、椅子ないですもんね。

しかし、自分のイベントって何ですかね。何かの賞を受賞した時の祝賀会とか?しかし賞を受賞する予定もないですし。本も地味な本ばかりなので、出版記念イベントとかできないですし。ここはベストセラー作家になって、本の出版記念イベントをピューロでできるような人間になれるといいな、と思います。

ただ、企業の方に、ピューロランドまでイベント参加していただくわけにもいかないので、やはり個人の方が参加するイベントじゃないと厳しいかなとは思います。歌手で、エンターテイメントホールでキティちゃんと共演してコンサートしている方とか、本当にいいなと思います(笑)

個人情報漏えい等のインパクト評価

ENISA”Recommendations for a methodology of the assessment of severity of personal data breaches" Working Document, v1.0, December 2013のメモ。

 

よく、個人情報を漏えいした場合に、どういう場合にインパクトが大きいのか、ダメージが大きいのか、損害額が大きいのかといったご質問を受けます。

いずれ、そういう評価基準をまとめられたらいいなと思ってましたが、今日は、その有力な参考情報として、ENISAの文書の要点を日本語でメモしたいと思います。誤訳や誤記等もあるかと思いますので、あくまで私用のメモです。お使いになるときは、必ず原典に当たってください。

 

リスク計算式

文脈×特定可能性+漏えい等の状況

 

大事な基準

  • 文脈(DPC、Data Processing Context):漏えい等した個人情報の内容+個人情報取り扱いの文脈
    Data Processing Context (DPC): Addresses the type of the breached data, together with a number of factors linked to the overall context of processing.
  • 特定可能性(EI、Ease of Identification):漏えい等した個人情報が誰のことかが簡単にわかるかどうか
    Ease of Identification (EI): Determines how easily the identity of the individuals can be deduced from the data involved in the breach.
  • 漏えい等の状況(CB、Circumstances of breach):悪意、紛失、セキュリティ不足などの漏えい等の種類+状況
    Circumstances of breach (CB): Addresses the specific circumstances of the breach, which are related to the type of the breach, including mainly the loss of security of the breached data, as well as any involved malicious intent.

 

基準の考え方

1. 文脈

ステップ1:個人情報のタイプ
Step 1: Definition and classification of the types of personal data

  • a) 個人情報の種類 Define the types of the personal data involved in the breach.
  • b) 4種類に分ける(単純、行動、経済、機微情報)
    Classify the data in at least one of the four categories: simple, behavioural, financial, and sensitive data (these categories are explained in details in Annex 1). In this way a preliminary basic DPC score is obtained.

ステップ2:文脈

Step 2: Adjustment by contextual factors related to the data processing

  • c) データ量、漏えい会社の特徴、個人の特徴、データの不正確性、公開情報か、データの性質
    Assess the occurrence of certain factors that could increase or decrease the basic score (data volume, special characteristics of the controllers or the individuals, invalidity/inaccuracy of data, public availability (before the breach), nature of data).
  • d) cによって、リスクが下がるか上がるかを踏まえて、基礎点に加除する
    In case such factors exist, accordingly increase/decrease the basic score. Assessment Table 1 provides the adjustment scales per category of data, together with example cases that could lead to lower/higher scores.
2. 特定可能性

割愛

 

3. 漏えい等の状況

漏えい(機密性の欠如)、破損・改変(完全性の欠如)、使用不能(可用性の欠如)、悪意(Annex3参照)

 

 

マイナンバーメールマガジン

ブログに連投しています。忙しいと現実逃避でブログを書いてしまいますが…。

今、マイナンバーメールマガジン第55号が届きました。

マイナンバーカードによる本人確認について、非常にわかりやすく書いてあると思いました。もう内閣官房を離れていますので、具体的にどなたが書いていらっしゃるのかは存じ上げませんが、とても良い内容だと思います!

「かみ砕いて説明する」って、政策説明の際に非常に重要になってくる要素ですが、あまり役所言葉だと伝わりづらい。それを身近な例でわかりやすい言葉でかみ砕いて解説しているものの、きちんとポイントが押さえられている。とても良い文章だと思いました。

書籍ゲラチェック完了!

うれしかったので、ブログに。

書籍の初校ゲラのチェックがようやく終わりました。9月頭?から手元にあって、ずいぶん長いことホールドしてしまいました。出張に行くときにも持って行って、新幹線の中でもチェックしましたが、30分ぐらいやったら文字に酔い断念。

出張から戻ってきたら戻ってきたで、いや、その前からやろうとはしていたのですが、他のご相談等が入り、なかなかできず。

今日も別の仕事の依頼がありましたが、そういうのが入ると、つい書籍よりも仕事を優先して取り掛かりそうになりますが、今日は心を強く持って、ゲラチェックをまずはやってから、そのあと仕事をしようと心に強く思って、臨んだところ、なんとか終わりました!

やったー!

再校はほとんどチェックしない予定なんで、私の作業としてはもうこれで大体終わり!

年内または年始目途で、新しい本が出版になる見込みです!うれしいな!

今から宅配便に出すと台風が心配なんで、台風が通り過ぎてから宅配便に出そうと思ってます。