「個人情報取扱事業者」を含む日記 RSS

はてなキーワード: 個人情報取扱事業者とは

2019-03-21

anond:20190321101642

意図的に除外条件を書かないのは理由があるの?

23

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データ第三者提供してはならない。

法令に基づく場合

2018-12-17

http://b.hatena.ne.jp/entry/374935593/comment/deep_one

十九条 個人情報取扱事業者は、利用目的の達成に必要範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

個人の申し出によって削除する条文ではない」というのはその通りだが、

ユーザーアカウント削除やサービス退会を申し出た時は「個人データを利用する必要がなくなったとき」に該当すると考えられるので、結果的には消去が求められるだろう。

2016-01-21

他人LINEスクショ週刊誌に売り渡す行為犯罪じゃないのか?

と思って調べてみたけれど、ひょっとしたら犯罪じゃないのかもしれない。

不正手段で入手されたことが明らかなスクショを買い取った出版社は、誰が売ったのか特定できなくても「スクショ無断流出罪」の幇助になるのではないかと思ったけれど、そもそもスクショ無断流出犯罪となる根拠が見つからなかった。

まず、プライベート文書を盗み見ること自体犯罪になることは無さそう。

プライバシー侵害】 あくまでも民事の話であって、刑事罰対象としては規定されていない。

信書開封罪】 「封をした信書」だけが対象電子データ対象外しか親告罪

不正アクセス防止法】 持ち主がいない隙にパスワードクラックしてスクショを撮っていた場合や、遠隔操作ツールを使っていた場合には多分いける。ただしロックをかけず放置していた端末を操作した場合には難しそう。

個人情報保護法】 名前だけはそれっぽいが、ほとんど無関係法律。そもそも個人情報取扱事業者しか関係ない。

で、むしろ可能性がありそうなのは名誉毀損とか、そっち方面

名誉毀損罪】 LINEスクショ大衆晒す行為は、普通に考えれば名誉毀損が十分成立しそう。表現の自由との対立問題になると思うけれど、有名な判例ざっと見た限り、十分勝てそうに思える。ただし、名誉毀損の主犯は出版社であって、スクショを売り渡した人物じゃない。共犯幇助)には問えるかもしれないけれど、回りくどいし、そもそもLINEを盗み見られること自体への抑止力になっていない。しかも、名誉毀損罪親告罪だし。

という訳で、パスワードがかかっていない他人スマホ操作してスクショ週刊誌に売り渡しても、それだけで犯罪だといえる根拠は見つけられなかった。

誕生日でも1111でも何でもいいからロックをかけておくと、仮に解除されても法的な保護が1レベル上がるっぽいので、何もしないよりはマシかもしれない。

2012-02-23

http://anond.hatelabo.jp/20120223114947

見積りの項目も各社バラバラだしそれぞれの意味も、なにがなんだか素人の俺にはさっぱりわからない。

そりゃ

年間に1万人ぐらいが100会場でやる研修の申込みを受付けられるようにするってだけの機能

って認識なら、そうなるんじゃね?

(以下はシステム的な話じゃないよ、帳簿上でも同じことできるから

データ管理だって、会場管理イベント管理、定員管理などのメンテ業務が思いつくし、

入金が発生するなら、それらはどうするの?とか

会場での参加者マッチングはどうやる?とか

入力されたデータは、どう管理するつもりなの?とか

行政法人なんかだったら、「個人情報取扱事業者」には該当しないかもしれないけど、だから適当でいいってもんでもないし。

年間1万人の応募を管理するシステムって、項目あげてったら面倒なシステムな気がするけど。

発注側にも要件定義責任はある。

2011-06-18

http://anond.hatelabo.jp/20110618180959

決裁に必要なのは

・Aさん、Bさん、Cさん、……Rさん   が応募しました。

・そのうちから、Aさんを採用しました。

・その際の採用基準はこれこれで、選考の結果はこれこれで、きわめて客観的かつ公正に選考しました。

という根拠が必要だからで、上司がそれを見てオッケーと印つくまでは確かに履歴書は必要だよね(でないと、採用担当が無茶できることに)。

で、それを保存しておくのは、外部から採用不正があるんと違うんかいゴラァ」って突っ込みが入ったときに、いやいやそんなことはありませんよー、という説明を行うため。

1年間保存なのは、おそらくアルバイト雇用期間が1年を越えないからで、苦情の趣旨から言って、アルバイト雇用期間も終了したあとで「採用不正が…」と苦情のくる可能性が少ないこと、そして年度が変わったら担当関係者もいなくなるから、年度終了時に捨てておけば、「書類は保存してません、事情は分かりません、担当変わってますので」攻撃が使えるから。それは厳密に言えば個人情報目的外使用では…?と疑問に感じているのだと思うけれど、それが「採用における公正さの証明」としてのみ保管され、あなたが言うように他の目的に使用されないという前提なら(関係者もそこまで馬鹿ではないと思う)、それはセーフじゃなかろうか。

個人情報保護法にも

個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

とはあるわけだしね。

まあこの法律地方公共団体における取り扱いを規定はしてないけど、戸籍とか取り扱う場合と違って、採用における個人情報管理なら、これに準ずるものと理解しておくのが妥当だろうし。まあ、どこまでが「相当の関連性」と認められるかについての判例とか調べたわけじゃないけどさ。

とりあえず、民間の対応だとこんな感じかね。

http://okwave.jp/qa/q2946424.html

あとこんなんもあった。

http://www.miraic.jp/group/publication/publication02/pdf/3779.pdf

2008-03-13

Amazon個人情報の扱いについて

http://takagi-hiromitsu.jp/diary/20080312.html#p02

Amazonとか個人情報について盛り上がってるみたいで、個人的にも少し気になったので復習がてらまとめてみた。

個人情報保護法の軽いまとめと、「注文履歴は個人情報には当たるのか?」という問題について。

個人情報の保護に関する法律

昔読んだけど完全に忘れてるな。

個人情報保護法の復習

個人情報とは

二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

例を挙げると、

  1. tanaka@yahoo.co.jp
  2. tanaka_ichiro@yahoo.co.jp
  3. tanaka_ichiro@hoge-sha.co.jp

この三つのうち、メールアドレスのみで個人情報に当たるのは、3のみ(多分)。

1は、「タナカさんらしい」ということは分かるが、フリーメールで、かつタナカという一般的な苗字なので、「特定の個人を識別する」のは不可能。

2は多少絞られるものの、これも特定は不可能。

3は「hoge社のタナカイチロウ」だと分かるので、(ほぼ)特定が可能。なので個人情報に当たる。

目的について

第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない

2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

第十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

個人情報の利用目的を示し、かつ、示した目的を超える用途で使用する場合、あらかじめ本人の合意を得なければならない。ということか。

削除について

第二十六条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データ内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データ内容の訂正等を行わなければならない。

第二十七条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データ第十六条の規定に違反して取り扱われているという理由又は第十七条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データ利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データ二十三条第一項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データ第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

つまり、内容が事実と反するという理由以外では削除義務はないということか。

今回のケースはどうか

まず、「注文履歴は個人情報には当たるのか?」という問題だが、おそらく当たらないのではないかと思う。

では、目的が示されているかというと、

お客様から集めた情報は、パーソナライズによってAmazon.co.jp でのお買い物をよりよいものにし、Amazon.co.jpのほかAmazon.com, Inc.およびその子会社インターネットを通じて提供する店舗プラットフォーム情報検索等のサービスお客様にご利用いただくために役立てられます。Amazon.co.jpは、お客様個人情報を、ご注文の処理、商品サービスの配送、お支払いの処理、注文・商品サービス・販売促進、お客様のご要望への対応、お取引記録の更新、およびお客様アカウントの一般的なメンテナンスのためのお客様との連絡、ウィッシュリストカスタマーレビューなどの表示お客様が興味をもたれると思われる商品サービスのご案内などの目的のために利用いたします。また、お客様個人情報は、Amazon.co.jp店舗プラットフォームをより使いやすいものにし、インターネットを通じ提供する情報検索等のより豊富サービスお客様が利用できるようにするほか、詐欺ウェブサイトの悪用を検知・防止するためにも利用されます。更に、第三者に業務委託して技術、ロジスティクスその他の機能を代行させる場合にも利用されることがあります。

http://www.amazon.co.jp/gp/help/customer/display.html?nodeId=643000#info

一応示されてはいる。これでいいのかという気はするが・・・。Internet Archive Wayback Machineには、2006年12月22日に最初に登録されている。

ちなみに個人情報保護法が施工されたのは2005年4月1日ウィッシュリストが始まった時期については記憶にない。いつだっけ?

つまり削除義務はやはり無く、Amazonの対応は一応正当なものだと思われる

しかし、削除義務はないにしても、

第二十条 個人情報取扱事業者は、その取り扱う個人データ漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

これが守られていると言えるのだろうか。

 
アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん