  |
はてなキーワード: 個人情報取扱事業者とは
Colabo関係のゴタゴタで、Colaboの弁護団が以下の趣旨の主張をしている。
○暇空茜から懲戒請求を受けていたため、同氏の住所氏名を知っていた。当該住所氏名を別の訴訟のために流用することは違法ではない。なお、この弁護士は個人情報取扱事業者ではないので個人情報保護法の適用はされない。
ざっくり、「法律に反してないから問題ないよね」って主張だよね。
たとえばColaboのシェルター情報だって調べて公開しようと思えばできるんだよね、登記情報だし(絶対ダメだと思うしやらないけど)。
これ見て思ったんだが
例:
についても、個人情報保護委員会は、その行為に関する限り、その個人情報取扱事業者等に対して、報告の徴収、勧告、命令などの権限を行使しないこととされています
② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
⑤ 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
⑥ 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
どれにも該当しないと思うんだよな
「本人の同意を得ることが困難」が考えられないしな
すぐに治りはしたものの、2日間ほど発熱があって寝込んでいた。普段は在宅ワークで外出は近所のスーパーだけなのだが、発熱の1週間ほど前に顧客のオフィスに物理訪問したこともあり、顧客にうつしてたらヤバいということでPCR検査を受けてきた。自分にとっては初めての検査だった。
業務に関わることということで、費用は会社持ち。「2万円以内で領収書が出るところならどこでもいいから受けて来な。経費精算の申請よろしく。」という指示が出た。
自分の知る限りでは、「見るからに陽性」な人を除く一般市民にとっては、検査を受ける方法は以下のいずれかになるだろうと認識している(他にあれば教えて欲しい)
自分にとっては、近所の病院という選択肢は検査実施時間が短い等の制約が大きいこともあって難しかった。自宅から電車で1駅のところに民間の検査所があることがわかったので、それを利用することにした。
ttps://rapid-pcr.com/
新型コロナPCR検査センター というところの、店舗の一つを利用させてもらった。
検査の流れは、このようになっている。
検査所の中に張り紙があって、そこに印刷されている二次元バーコードを自分のスマフォでスキャンする。すると、Google Form のページに飛ばされる。
受付窓口に立ってFormを送信すると、数秒ほどで受付の担当者さんの手元に情報が反映されている。その情報を使って後続の処理が実行される。
問診票で訊かれた項目は以下の通り。
検査を実行する上では、電話番号と検査メニューと発症有無だけあれば必要最低限の情報となるはずであるが、住所氏名生年月日を訊かれている。陽性だった際に保健所に通知するための情報かな…?と思ったが、確認しようとしてもフォームには運営主体の名前が無いし、プライバシーポリシーへのリンクも無い。
よくよく思い返すと、Webサイトにも運営企業の情報が皆無だったし、プライバシーポリシーの掲載も無かった。
正式には「個人情報の保護に関する法律」である。
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
(取得に際しての利用目的の通知等) 第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
ここから考えると、自分が検査を受けた 新型コロナPCR検査センター なる事業者は、この利用目的を公表も通知もしていない。個人情報保護法違反であると、自分は考える。
同法の「第七章 罰則」を見ると、この18条の違反による直接の罰則は見当たらないので、彼らは即座に罰せられるということは無さそうである。
一方で、
第八十四条 個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第八十七条第一項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。
という規定があることから、保健所以外の場所にお漏らしをすれば、この条文に沿って罰が下されることだろう。まぁ、安い罰金だけどね。
領収書には、検査代金には消費税率等の表記が為されていないどころか「税込」とも書いてない。
こういう雑な領収書は「インボイス制度」で駆逐されるのかな。難点の多い制度だが、こういう怪しい事業者・怪しい領収書が撲滅されるというのは数少ない利点の一つだろう。
前澤氏がお金配りをしているサービス kifutown に気の迷いで登録してしまったのだが、実際のところ、お金をもらったことは一回もない。
何も通知がないなーと思ってたら、アプリ内で勝手にログアウトされてしまいそもそも通知すら届かない状況になっていた。
これは続けてもしょうがないと思い、退会しようとして始めてプライバシーポリシーに目を通したのだが、ちょっとおかしいなと感じたのでここに書いておく。
これから登録してみようと思う人はしっかりプライバシーポリシーを読むべきである。(チェックを入れたことで同意したことになっているのだが)
https://www.arigatobank.co.jp/terms/privacypolicy/index.html
などなど…。全部紐づくなぁ、ちょっと怖いなーと思いながら入力してしまったのだが、どうかしていた。
当社は、以下の利用目的を達成するために必要な範囲内で、パーソナルデータを利用します。なお、お客様が本サービスのご利用を終了した後も、当社は上記の範囲内でお客様のパーソナルデータを引き続き利用することがあります。
サービスの利用を終了しても利用することがあるらしい。お金がもらえた人はいいんだけど、結果的に何ももらえてなくても同意した時点から特に期限なく個人情報を保持されてしまいます。
1. 当社は、法令により認められる場合および本プライバシーポリシーに定める場合を除いて、事前にお客様の同意を得ることなく、パーソナルデータを第三者へ提供することはいたしません。
「第三者へは提供しない」とあります。では、第三者ではない範囲とは?というとその下に書いてあります。
2. 当社は、前条の利用目的の達成に必要な範囲内において、パーソナルデータの取扱いの全部または一部を第三者に委託する場合があります。この場合、当社は、委託先に対して適切な監督・安全管理措置を実施します。
3. 当社は、より良いサービスを提供するために、以下の内容でパーソナルデータの共同利用を行います。
(1)共同利用するパーソナルデータ
第1条記載の全てのパーソナルデータ。ただし、ARIGATO IDの認証情報(パスワード)は共同利用の対象外となります。
(2)共同利用の目的
前条の利用目的と同じです(ただし、同条における「当社」を「当社および共同利用先の事業者」と、「本サービス」を「当社および共同利用先の事業者が提供するサービス」と読み替えるものとします)。
(3)共同利用の範囲
(4)共同利用における管理責任者
提供ではなく委託ですか…。分析のためのサービスを利用するという意味も含んでいるのでしょうが、データの分析やマーケティングのアプローチをそのまま外注することも含まれていますよね。
本当に「委託先に対して適切な監督・安全管理措置を実施」できるのか不安が残ります。
「共同利用の範囲」としているのは「当社の親会社、子会社または関連会社」、「株式会社スタートトゥデイ」、「株式会社グーニーズ」となっています。
具体的に企業名が上がっている2社は前澤氏の立ち上げた会社ですね。
「当社の親会社、子会社または関連会社」には "利用開始時点での" とは書かれていませんので、今後買収して子会社化する企業や前澤氏が作る関連企業も含め、気づかないうちに共有される範囲がどんどん拡大されることになるでしょう。
8. お問い合わせ
本プライバシーポリシーに関するお問い合わせ、当社が保有するパーソナルデータの開示・訂正等・利用停止等についての権利を行使されたい場合には、以下の窓口にご連絡ください。
「権利を行使されたい場合には」とあるが、おそらく「個人情報の保護に関する法律」に基づく権利行使だろう。
第二十八条(開示)、第二十九条(訂正等)、第三十条(利用停止等)とある。
たとえば、第三十条(利用停止等)には次のように書かれている。
第三十条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているとき又は第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第二十三条第一項又は第二十四条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
4 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
5 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
ざっくりいうと「事業者の側にルール違反が見つかったら個人情報の利用停止を請求できる」というものだ。
利用に関する規約に同意した本人が「使ってほしくないから使わないでくれ」と利用停止を請求しても、規約に対して特に違反していなければ事業者側が受け入れない限りこちらの請求は却下されるだろう。
プライバシーポリシーを利用前に読もう。
と思って調べてみたけれど、ひょっとしたら犯罪じゃないのかもしれない。
不正な手段で入手されたことが明らかなスクショを買い取った出版社は、誰が売ったのか特定できなくても「スクショ無断流出罪」の幇助になるのではないかと思ったけれど、そもそもスクショ無断流出が犯罪となる根拠が見つからなかった。
まず、プライベートな文書を盗み見ること自体が犯罪になることは無さそう。
【プライバシーの侵害】 あくまでも民事の話であって、刑事罰の対象としては規定されていない。
【信書開封罪】 「封をした信書」だけが対象で電子データは対象外。しかも親告罪。
【不正アクセス防止法】 持ち主がいない隙にパスワードをクラックしてスクショを撮っていた場合や、遠隔操作ツールを使っていた場合には多分いける。ただしロックをかけず放置していた端末を操作した場合には難しそう。
【個人情報保護法】 名前だけはそれっぽいが、ほとんど無関係の法律。そもそも個人情報取扱事業者にしか関係ない。
【名誉毀損罪】 LINEスクショを大衆に晒す行為は、普通に考えれば名誉毀損が十分成立しそう。表現の自由との対立が問題になると思うけれど、有名な判例をざっと見た限り、十分勝てそうに思える。ただし、名誉毀損の主犯は出版社であって、スクショを売り渡した人物じゃない。共犯(幇助)には問えるかもしれないけれど、回りくどいし、そもそもLINEを盗み見られること自体への抑止力になっていない。しかも、名誉毀損罪は親告罪だし。
という訳で、パスワードがかかっていない他人のスマホを操作してスクショを週刊誌に売り渡しても、それだけで犯罪だといえる根拠は見つけられなかった。
誕生日でも1111でも何でもいいからロックをかけておくと、仮に解除されても法的な保護が1レベル上がるっぽいので、何もしないよりはマシかもしれない。
決裁に必要なのは
・Aさん、Bさん、Cさん、……Rさん が応募しました。
という根拠が必要だからで、上司がそれを見てオッケーと印つくまでは確かに履歴書は必要だよね(でないと、採用担当が無茶できることに)。
で、それを保存しておくのは、外部から「採用に不正があるんと違うんかいゴラァ」って突っ込みが入ったときに、いやいやそんなことはありませんよー、という説明を行うため。
1年間保存なのは、おそらくアルバイトの雇用期間が1年を越えないからで、苦情の趣旨から言って、アルバイトの雇用期間も終了したあとで「採用に不正が…」と苦情のくる可能性が少ないこと、そして年度が変わったら担当や関係者もいなくなるから、年度終了時に捨てておけば、「書類は保存してません、事情は分かりません、担当変わってますので」攻撃が使えるから。それは厳密に言えば個人情報の目的外使用では…?と疑問に感じているのだと思うけれど、それが「採用における公正さの証明」としてのみ保管され、あなたが言うように他の目的に使用されないという前提なら(関係者もそこまで馬鹿ではないと思う)、それはセーフじゃなかろうか。
個人情報保護法にも
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
とはあるわけだしね。
まあこの法律は地方公共団体における取り扱いを規定はしてないけど、戸籍とか取り扱う場合と違って、採用における個人情報の管理なら、これに準ずるものと理解しておくのが妥当だろうし。まあ、どこまでが「相当の関連性」と認められるかについての判例とか調べたわけじゃないけどさ。
とりあえず、民間の対応だとこんな感じかね。
http://okwave.jp/qa/q2946424.html
あとこんなんもあった。
http://www.miraic.jp/group/publication/publication02/pdf/3779.pdf
http://takagi-hiromitsu.jp/diary/20080312.html#p02
Amazonとか個人情報について盛り上がってるみたいで、個人的にも少し気になったので復習がてらまとめてみた。
個人情報保護法の軽いまとめと、「注文履歴は個人情報には当たるのか?」という問題について。
昔読んだけど完全に忘れてるな。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
例を挙げると、
この三つのうち、メールアドレスのみで個人情報に当たるのは、3のみ(多分)。
1は、「タナカさんらしい」ということは分かるが、フリーメールで、かつタナカという一般的な苗字なので、「特定の個人を識別する」のは不可能。
2は多少絞られるものの、これも特定は不可能。
3は「hoge社のタナカイチロウ」だと分かるので、(ほぼ)特定が可能。なので個人情報に当たる。
第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
第十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
個人情報の利用目的を示し、かつ、示した目的を超える用途で使用する場合、あらかじめ本人の合意を得なければならない。ということか。
第二十六条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
第二十七条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているという理由又は第十七条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十三条第一項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
つまり、内容が事実と反するという理由以外では削除義務はないということか。
まず、「注文履歴は個人情報には当たるのか?」という問題だが、おそらく当たらないのではないかと思う。
では、目的が示されているかというと、
お客様から集めた情報は、パーソナライズによってAmazon.co.jp でのお買い物をよりよいものにし、Amazon.co.jpのほかAmazon.com, Inc.およびその子会社がインターネットを通じて提供する店舗、プラットフォーム、情報検索等のサービスをお客様にご利用いただくために役立てられます。Amazon.co.jpは、お客様の個人情報を、ご注文の処理、商品・サービスの配送、お支払いの処理、注文・商品・サービス・販売促進、お客様のご要望への対応、お取引記録の更新、およびお客様のアカウントの一般的なメンテナンスのためのお客様との連絡、ウィッシュリスト、カスタマーレビューなどの表示、お客様が興味をもたれると思われる商品・サービスのご案内などの目的のために利用いたします。また、お客様の個人情報は、Amazon.co.jpの店舗・プラットフォームをより使いやすいものにし、インターネットを通じ提供する情報検索等のより豊富なサービスをお客様が利用できるようにするほか、詐欺やウェブサイトの悪用を検知・防止するためにも利用されます。更に、第三者に業務委託して技術、ロジスティクスその他の機能を代行させる場合にも利用されることがあります。
http://www.amazon.co.jp/gp/help/customer/display.html?nodeId=643000#info
一応示されてはいる。これでいいのかという気はするが・・・。Internet Archive Wayback Machineには、2006年12月22日に最初に登録されている。
ちなみに個人情報保護法が施工されたのは2005年4月1日。ウィッシュリストが始まった時期については記憶にない。いつだっけ?
つまり削除義務はやはり無く、Amazonの対応は一応正当なものだと思われる
しかし、削除義務はないにしても、
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
これが守られていると言えるのだろうか。
