JustAnswer のしくみ:
  • 専門家に質問
    知識豊富な専門家があらゆる質問にお答えするために常に待機しています。
  • 専門家が丁寧に対応
    E メールやサイト内オンラインメッセージなど、さまざまな手段で回答を通知。必要に応じてフォローアップの質問をすることもできます。
  • 満足度 100% 保証
    専門家からの回答を確認し評価をすることで、支払うかどうかを決めます。
houmuに今すぐ質問する
houmu
houmu, 行政書士
カテゴリ: 法律
満足したユーザー: 1010
経験:  行政書士 知的財産修士 2級FP技能士
62663831
ここに 法律 に関する質問を入力してください。
houmuがオンラインで質問受付中

個人情報保護法」と「行政手続における特定の個人を識別するための番号の利用等に関する法律」(番号法)の 考え方につ

ユーザー評価:

「個人情報保護法」と「行政手続における特定の個人を識別するための番号の利用等に関する法律」(番号法)の
考え方について教えてください。
番号法のQA(3-12)で、
「個人番号をその内容に含む電子データを取り扱わない場合、番号法上の委託に該当しない」と
ありますが、これは、“個人番号のみ”の話なのでしょうか?
番号法は、個人情報保護法の特別法という位置づけなので、上記QAの「個人番号」という記載を
「個人情報」に読み替える(拡大解釈する)ことは可能なのでしょうか?
houmu
Q&Aの解説している事例としてはあくまでも個人番号に関する説明であって、個人情報についての説明ではありません。また、そもそもこれは単に説明をしているものであって、個人情報や個人番号の取り扱いに関する根拠となるものではありませんが、考え方としては同様であり、。従って、トランクルームを借りて個人情報を含んだ書類を保管する場合、レンタルサーバーなどに保存する場合などについて、それらの事業者と個人情報に関する契約を行う法令上の義務はありません。逆に言えば、それらを利用している間に事故が発生する場合の(個人情報保護法上の)リスク管理責任は委託先事業者にはありませんから、トランクルームを利用するのであれば当該施設のセキュリティを確認したうえで、必要であればさらに中に金庫にいれて保管したり、レンタルサーバーであれば暗号化した情報のみを保存するというように依頼主の側でリスク管理の責任を負う必要があるということになります。
今すぐ法律について自分の質問する
質問者: 返答済み 2 年 前.
大変わかりやすいご回答、ありがとうございます。
最終的には社内の法務部に確認して運用にのせるのですが、クラウドサービス(パブリッククラウド)を利用しての個人情報管理を、「個人情報取扱いの外部委託」とするかどうかの検討をしており、"一般論"を知りたいと思い問い合わせさせていただきました。
FISCの『金融機関等コンピュータシステムの安全対策基準・解説書(第8版追補改訂)』では、クラウド利用時に「ユーザ要件をちゃんと盛り込んだ契約を結ぶこと」としていますが、通常のクラウド業者は、個別契約を結んでくれません。
そこで番号法の考え方(QA)を利用して、個人情報を扱わない(業者がアクセスできる状態にない場合は「扱わない」と言える:QAの中の記載より)とすれば、委託ではないと整理しようとしていましたが、それは難しいと考えてよろしいのでしょうか?
QAはあくまでQAということでしたが、「考え方」として依拠することはNGでしょうか?
根拠となる公的な資料をお探しのようですね。考え方の参考にはなりますが、個人情報と特定個人情報とでは考え方の異なる部分もあり、通常は特定個人情報の方が制限が厳しいものの、例えば特定個人情報の取得や利用に当たっては同意を得る必要は必要ないというように、一概にはいいきれない部分もありますので、注意が必要です。一般的な解釈の参考となるものとして、経済産業省が定めている「経済産業分野における個人情報保護ガイドライン」があります。http://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.html 経済産業分野ということですが、事業会社全般を対象とした標準的なガイドラインとなります。個人情報保護法施行令第2条第3項では、「この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。」とされているところですが、ガイドラインでは、 【事業の用に供しないため特定の個人の数に算入しない事例】事例)倉庫業、データセンター(ハウジング、ホスティング)等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合に、その情報中に含まれる個人情報(ただし、委託元の指示等によって個人情報を含む情報と認識できる場合は算入する。) とあり、利用目的を特定しない形の一般的なクラウド利用時においては、そもそも「事業の用に供している」個人情報にあたらないとされています。 また、プライバシーマーク制度における指針である「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版-」の適用範囲の解説においても、個人情報と認識せず預かっている場合には、事業の用に供していないと言える旨が記載されています。(但し、法令上は該当しないとしながらも、プライバシーマークの審査にあたっては、一般消費者や取引先の期待を考慮して、個人情報として認識している場合と同等の保護を求めるとされています。)http://privacymark.jp/reference/http://privacymark.jp/reference/pdf/guideline_V2.0_160104.pdf(P26)ご参考になりましたら幸いです。
houmuをはじめその他名の法律カテゴリの専門家が質問受付中
今すぐ質問をする

法律 についての関連する質問