「**越境データ移転規制**」と「**データローカリゼーション規制**」は、プライバシーと国家主権を保護するための手段ですが、そのアプローチ方法は異なります。 #### 越境データ移転規制 越境データ移転規制は、国または地域の境界を越えて個人データを移転する際の規制です。これは主に、移転先の国または地域が移転元の国または地域と同等またはそれ以上のデータ保護レベルを提供していることを確認するための規制です。EUの一般データ保護規則（GDPR）はその一例で、EU国外への個人データの移転を厳格に規制しています。 #### データローカリゼーション規制 一方、データローカリゼーション規制は、特定のデータがその国または地域内に物理的に保管されることを要求する規制です。これは通常、政府が国内のデータに対するアクセスと制御を強化するため、またはデータ保護とプライバシーを確保するために行われます。中国のような国々は、国内にデータセンターを設置し、データを国内に保管することを企業に求める強力なデータローカリゼーション法を持っています。 #### 主な違い 越境データ移転規制は、個人データの保護が十分ではない国への移転により、プライバシー侵害が発生することを防止する目的であるのに対し、データローカリゼーション規制は、個人データのほか非個人データを保護・囲い込み、自国経済価値の保護、国内産業の保護、安全保障の確保などを目的としている点で異なります。

#### はじめに 2023年6月に、改正電気通信事業法が施行されます。<br> 改正法では新たに外部送信指令通信に関する規制（いわゆるcookie規制）が設けられます。<br> （本ブログは、概要のみを整理しています。詳細については、法令・ガイドラインをご確認ください。）<br> <br> ＜目次＞ <br>1. 外部送信指令通信とは <br>2. 規制対象となる電気通信役務とは <br>3. 通知等を行うべき事項 <br>4. 法人が「利用者」である場合の通知等 <br>5. 適用除外 #### 1. 外部送信指令通信とは ###### (1) そもそものCookieの仕組み<br> 行動ターゲティングを目的とした3rd party cookieを例としますと、利用者がWebサイト（下記図の「広告主のサイト」）を閲覧した際に、外部サーバー（アドサーバー）へ、特定の情報（Webサイトを閲覧した回数や当該ユーザーに割り当てられたハッシュ化された会員IDなど）を送信し、ユーザーが他のWebサイト（下記図の「メディアのサイト」）を閲覧した際に、「広告主」に関連した広告が表示されることとなります。 <br> <img width="981" alt="スクリーンショット 2023-02-19 11 42 15" src="https://user-images.githubusercontent.com/32214011/219909297-81d15c9f-63d6-4d9a-851c-d18b15c13e64.png"> <br> （出典：プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ（第12回）資料１－１[「利用者情報に関する技術動向及び業界団体による自主ルール等の状況」](https://www.soumu.go.jp/main_content/000811618.pdf)） <br> ###### (2) 外部送信指令通信に関する規制 <br> 改正法で新たに導入される外部送信指令通信に関する規制は、規制対象となる電気通信役務（下記「2」で詳述）を提供する電気通信事業者が、利用者に対し、外部の情報通信設備（サーバーなど）へ利用者に関する特定の情報を送信することにつき、通知等を義務付けるものです。 <br> 「外部」とは利用者以外を指し、Webサイトのオーナーや第三者がこれに該当します。 <br> 「通知等」とは、通知等を行うべき事項（下記「3」に詳述）について、利用者に通知し、又は当該利用者が容易に知り得る状態に置くことを指します。 <br> プライバシーポリシーに掲載する方法は、後者に該当します。 #### 2. 規制対象となる電気通信役務とは 内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして電気通信事業法施行規則（第22条の2の27各号）で定められた電気通信役務：<br> ①メールサービス、ダイレクトメッセージサービス、ウェブ会議システム <br> ②SNS、電子掲示板、動画共有サービス、オンラインショッピングモール、シェアリングサービス、マッチングサービス、ライブストリーミングサービスやオンラインゲーム <br> ③オンライン検索サービス <br> ④各種情報のオンライン提供サービス（ニュースや気象情報等の配信を行うウェブサイトやアプリケーション、動画配信サービス、オンライン地図サービス） #### 3. 通知等を行うべき事項 (1) 送信されることとなる利用者に関する情報の内容<br> (2) (1)の利用者に関する情報を取り扱うこととなる者の氏名又は名称<br> (3) (1)の情報の利用目的<br> <br> 記載例 1)当社のウェブサイトでは、ウェブサイト内の広告配信の最適化を図るため、訪問者が閲覧したウェブページの URL、IP アドレス、ユーザーエージェント等の情報をA社に送信し、A社で訪問者に関する情報を収集・分析した上で、各訪問者の嗜好に合った広告を配信しています。 <br> <br> 記載例 2)当社のウェブサイトでは、ウェブサイト内の広告配信の最適化を図るため、HTML 等のタグや JavaScript等で作られた訪問者に関する情報を収集・分析するツールをウェブサイトに設置して、訪問者が閲覧したウェブページのURL、IPアドレス、ユーザーエージェント等の情報をA社に送信し、A社で訪問者に関する情報を収集・ 分析した上で、各訪問者の嗜好に合った広告を配信しています。 <br> <br> 記載例 3)本ウェブサイト(【ドメイン】)では、ウェブサイトの改善を図るため、訪問者が閲覧したウェブページのURLや閲覧日時をB社に送信し、B社において生成した訪問者のウェブサイト滞在時間に基づく分析を依頼しています。(B社のサービス概要:【B社のリンク】) <br> #### 4. 法人が「利用者」である場合の通知等 電気通信事業者が外部送信をする場合、「利用者」に対し、通知や公表をしなければなりません。<br> ここで、利用者とは、「電気通信事業者との間に電気通信役務の提供を受ける契約を締結する者」をいいます（法第12条の2第4項第二号ロ）。<br> 個人に対し、SNSやメール機能などを提供する場合は、その個人が利用者に該当します。<br> 一方、法人に対し、その従業員が使用できるメールやチャット機能などを提供する場合は、その法人が利用者に該当します。<br> ###### (1) 法人が利用者の場合、通知等は法人と従業員のいずれに対して行うべきか？ 法人が利用者の場合、通知等は、法人に対して行えば足りるのか、それとも、その従業員に対しても行わなければならないか、疑問の生じ得るところかと思います。<br> 法律上は、「利用者」に対する通知等が義務付けられているため、法人に対して通知等をすれば足ります。これに加え、その従業員に対しても通知等する義務までは課せられていません。<br> もっとも、法定外の対応として、従業員個人に対しても通知等することがベターであることは疑いがありません。<br> ###### (2) 法人に対する通知等の方法は？ 法人が利用者となる場合、契約書を締結する場合が少なくありません。<br> その場合は、契約書の中で外部送信に関する規定を設ければ、法人（利用者）からの同意を得られたことになりますので、通知等の義務の適用除外となります（下記「5(3)」に詳述）。<br> そのほか、契約書とは別にプライバシーポリシーで公表し、通知等する方法も可能です。<br> #### 5. 適用除外 以下(1)から(4)の情報は、適用除外とされています。 <br> ###### (1) 利用者に通知等を行う必要まではないと考えられる情報 <br>・映像面に適正に表示するために必要な情報:例　OS情報、画面設定情報、言語設定情報 <br>・利用者が入力した情報:例　買い物かごに入れた商品 <br>・認証に関する情報:例　ログイン認証情報 <br>・セキュリティ対策に必要な情報 <br>・電気通信設備の負荷を軽減させるために必要な情報:例　負荷分散(ロードバランシング)等に必要な情報 <br> <br> ###### (2) 電気通信役務を提供する者が利用者に送信した識別符号（＝利用者を識別するための情報）であって、当該電気通信事業者に送信されるもの（＝1st party cookie） <br> <br> ###### (3) 同意している情報<br> 送信先の電気通信設備に情報が送信されることについて、利用者が同意をしている場合、利用者に対し、 同意の取得を通じて、確認の機会を付与していることとなるため、別途通知等を行う必要はありません。 <br> CMP(Consent Management Platform)ツールを導入して同意を取得する方法、契約書上で同意を取得する方法などがあります。 <br> ###### (4) オプトアウト措置が講じられている場合で、利用者が情報の送信又は利用停止を求めていない情報<br> 利用者に対し、情報の送信又は利用を停止する措置（オプトアウト措置）を講じている場合、利用者に対して、自身に関する情報の送信を選択する機会を与えるものであって、確認の機会を付与するものといることとなるため、別途通知等を行う必要はありません。<br> 電気通信事業者は、オプトアウト措置を講ずるときは、次の(1)から(7)までに掲げる事項を、利用者が容易に知り得る状態に置かなければなりません（プライバシーポリシーに掲載するなど）。 <br>(1) オプトアウト措置を講じている旨 <br>(2) オプトアウト措置が、情報の送信又は情報の利用の停止のいずれの行為を停止するものであるかの別 <br>(3) オプトアウト措置に係る利用者の求めを受け付ける方法 <br>(4) 利用者がオプトアウト措置の適用を求めた場合において、当該電気通信役務の利用が制限されることとなるときは、その内容 <br>(5) 送信されることとなる利用者に関する情報の内容 <br>(6) (5)の利用者に関する情報を取り扱うこととなる者の氏名又は名称 <br>(7) (5)の情報の利用目的

内部公益通報対応体制と内部通報体制との違い（１〜２）、教育・周知方法（３）、外部窓口を設置する意義（４）、当事務所での外部窓口サービス（５）等についてご紹介します。 ###### 1.　内部公益通報対応体制<br> 公益通報者保護法の改正（2022年6月施行）により、常時使用する労働者の数が300人を超える事業者に対して内部公益通報対応体制の整備が義務付けられることとなりました。 ただし、労働者数が300人以下の事業者は努力義務です。 <br> 同法は、通報者の情報がむやみに共有されないこと及び通報により解雇等の不利益を受けないことを刑事罰によって担保することで、国民の生命、身体、財産等に関わるような犯罪行為の事実等について通報できるようにすることを目的としています。<br> <br> 「公益通報対応業務従事者」（以下、単に「従事者」といいます）は、公益通報を受け、並びに当該公益通報に係る通報対象事実の調査をし、及びその是正に必要な措置をとる業務に従事する者を指します（11条）。 <br> 従事者には、内部公益通報対応体制の構築について責任を負う担当の執行役等だけでなく、受付窓口となる外部弁護士や外部専門機関（コールセンター）、受付窓口から連絡を受ける人事・法務部などの担当者、案件ごとに調査員として指定された従業員も含まれます。 <br> 従事者は、正当な理由がなく、その業務に関して知った、公益通報者を特定させる情報を漏らしてはならず、これに違反した場合には三十万円以下の罰金に処せられます（同法21条）。 <br> <br> 公益通報の対象事実（「通報対象事実」）は、およそ以下のような事実です（同法2条3項）：<br> >- （１）犯罪行為又は過料行為の事実 >- （２）法律の規定に基づく処分に違反することが犯罪行為又は過料行為の事実となる場合における、当該処分の理由とされている事実 ###### 2. 内部通報体制<br> 公益通報者保護法は、内部からの法令違反に関する通報を保護する法律です。一方で、内部通報体制は、事業者が設けるべき体制の一つで、従業員が不正行為や法令違反を発見した場合にそれを報告できる仕組みを指します。この通報対応体制は公益通報者保護法だけでなく、他の法令にも基づきます。（１）改正労働施策総合推進法（通称パワハラ防止法）、（２）男女雇用機会均等法、（３）会社法、（４）コーポレートガバナンスコードです。 <br> <br> 例えば、セクハラは、男女雇用機会均等法に反する行為であり、それ自体は一般的に犯罪行為ではありません（特定の条件下で強制わいせつ罪などの刑罰対象となる可能性はありますが）。しかし、企業の内部通報体制は、法令違反だけでなく、企業の内部規定に違反する行為（例えばセクハラ）も対象にすることが一般的です。 ###### 3.　内部公益通報対応体制の教育・周知方法<br> 内部公益通報対応体制は、社内で教育・周知しなければなりません（公益通報者保護法に基づく指針 ）。 - 1. 社内研修・セミナー 定期的な研修やセミナーを開催し、公益通報者保護法や内部通報対応体制について従業員に教育する。具体的なケーススタディを含めることで理解を深める。 - 2. ハンドブックやガイドラインの配布 具体的な手順や方針、または連絡先などをまとめた文書を作成し、全従業員に配布する。 - 3. e-learningの活用 オンラインの学習システムを活用し、必要な情報を従業員が自分のペースで学べるようにする。 - 4. 社内ポータルサイトや掲示板の利用 社内のポータルサイトや掲示板に、内部公益通報対応体制に関する情報を掲載する。 - 5. 定期的なメールリマインダー 定期的に内部公益通報対応体制についてのメールリマインダーを送る。これには具体的な連絡先や手順、そしてこの制度の重要性を再確認するメッセージを含める。 - 6. チームミーティングでの定期的なリマインダー 定期的なチームミーティングや全社会議で、内部公益通報対応体制について話題にする。 - 7. 専門家の招聘 コンプライアンスや倫理に関する専門家を招いて、内部公益通報対応体制について講演してもらう。 - 8. ケーススタディの公開 社内外で発生したコンプライアンス違反のケーススタディを共有し、従業員が具体的な状況を理解できるようにする（個人情報や社内情報を適切に保護しながら）。 ###### 4. 外部窓口の設置<br> 内部通報制度が機能するためには、制度が社内で知られているだけでなく、信用されていなければなりません。<br> そこで、社内窓口とは別に、外部窓口が設置されます。<br> デロイトトーマツの調査 <a href= "https://www2.deloitte.com/jp/ja/pages/risk/articles/cm/survey-report-whistleblowing-system-2022.html"><span style="text-decoration: underline"><内部通報制度の整備状況に関する調査2022年版></span></a>によれば、外部窓口を設置している企業の割合は70％を超えるようです。<br> そのうち、顧問弁護士が外部窓口を担う比率は高いものの、顧問弁護士のみを外部窓口とする企業の割合は、年々減少傾向にあるようです。<br> 他方、顧問弁護士以外の法律事務所や専用事業者を外部窓口に活用する割合は増加傾向のようです。<br> <br> <a href= "https://www.caa.go.jp/policies/policy/consumer_system/whisleblower_protection_system/overview/pdf/overview_190628_0004.pdf"><span style="text-decoration: underline">『公益通報者保護法を踏まえた内部通報制度の整備・運用に関する民間事業者向けガイドライン』</span></a>(5頁)では、「通報の受付や事実関係の調査等通報対応に係る業務を外部委託する場合には、中立性・公正性に疑義が生じるおそれ又は利益相反が生じるおそれがある法律事務所や民間の専門機関等の起用は避けることが必要である。」と書かれているため、顧問弁護士のみを外部窓口とするのでなく、顧問弁護士以外の法律事務所や専用事業者を外部窓口に活用する割合が増えているものと考えられます。 ###### 5. 外部窓口の業務 当事務所での外部窓口は、およそ以下のような流れです。詳しくは、こちらをご覧ください。 <a href= "https://www.s-law.tokyo/whistleblowing-contact"><span style="text-decoration: underline"><内部通報外部窓口ページ></span></a> - 1. 通報を受け付ける。 - 2. 通報者へ通報を受け付けた旨返信する。 - 3. 通報者へ不足・詳細情報についてヒアリングする。 - 4. 通報内容を社内従事者へ伝えた場合に通報者が特定され得るか否かを検討する。 - 5. 通報者を特定できる場合、通報者に対して特定され得ること及びそのリスクについて説明した上で、社内従事者へ通報を連携し、社内調査を実施してよいかの意思確認をする（メールなどで確定的な承諾を得る）。 - 6. 会社へ月次報告書を提出する（原則、通報者を特定する情報を含まない）。 ###### 6. 取締役会・監査役会への報告について 内部通報を受けた報告は、まず専門の部署や内部監査部門などへ報告されます。ここで、報告された問題が詳しく調査され、その結果に基づいて必要な行動が決定されます。 その後、報告の内容と調査結果は、取締役会や監査役会へ報告されることが多いです。 取締役会は経営の方針を決定し、組織の運営を監督します。そのため、問題が経営に影響を及ぼす可能性がある場合、報告することが重要となります。 また、監査役会は企業の内部監査を担当し、経営陣の行動が法律や規定に適合しているかを確認します。したがって、法律違反や不正行為の可能性がある場合は、監査役会に報告することが重要となります。 ###### 7. 内部通報制度認証(自己適合宣言登録制度） 消費者庁は、改正法の施行に伴い、内部通報制度認証(自己適合宣言登録制度)を当面休止することを公表しています（2022年2月1日時点）。

### はじめに 「消費者に宣伝と気づかれないようにされる宣伝行為」 は一般にステルスマーケティング（ステマ）と呼ばれています。 <br> 例えば、広告主が著名人に対して商品等を推奨するブログ、SNSの発信を対価を支払って依頼しておきながら、そのことを対外的には秘密とするケースなどです。 <br> ステルスマーケティングは、中立な第三者の意見であると消費者が誤認するおそれがある点で問題があると考えられています。 <br> しかし、景品表示法上、ステルスマーケティングは、優良誤認や有利誤認(法5条1号、2号)に該当しない限り、規制されませんでした。 <br> 広告主（メーカーなど）としては、「広告」「宣伝」であることを前面に出すと広告効果が損なわれてしまうため、「広告」「宣伝」という表示はしたくないという気持ちがあります。 <br> そのような日本の規制状況下では、広告効果を優先して、ステルスマーケティングが広く行われているようです。 <br> もっとも、ステルスマーケティングについては、過去、広告主や発信者（インフルエンサー）が大きく非難を受けた事例もあります。 <br> 例として、ウォルト・ディズニー・ジャパンが『アナと雪の女王２』に関してクリエイターへ依頼し実施したTwitter上の企画が、ステルスマーケティングに当たるとして非難を呼び、少なからず興行収入にも影響があったものと思われます。 <br> <br> 上述のとおり、景品表示法上、ステルスマーケティングは、優良誤認や有利誤認(法5条1号、2号)に該当しない限り、規制されませんでした。 <br> しかし、諸外国でステルスマーケティングが規制されている例も多いため、日本でも規制されるのは時間の問題であると考えられていました。 <br> <br> なお、日本弁護士連合会は、『ステルスマーケティングの規制に関する意見書 』（2017年2月16日付け）において、ステルスマーケティングを景品表示法で規制すべきことを提言していました。具体的には、法第５条第３号に基づく内閣総理大臣の指定に以下の指定を追加すべきと提言していました。 <br> 「商品又は役務を推奨する表示であって次のいずれかに該当するもの <br> １　事業者が自ら表示しているにもかかわらず、第三者が表示しているかのように誤認させるもの <br> ２　事業者が第三者をして表示を行わせるに当たり、金銭の支払その他の経済的利益を提供しているにもかかわらず、その事実を表示しないもの。ただし、表示の内容又は態様からみて金銭の支払その他の経済的利益が提供されていることが明らかな場合を除く。」 ###### 2022年12月時点の検討状況 消費者庁は、『ステルスマーケティングに関する検討会 報告書』（2022年12月28日）において、「ステルスマーケティングを早急に規制する必要があることからすると、多様な不当表示に柔軟かつ機動的に対応できるための景品表示法第５条第３号に基づく告示として新たに指定することが妥当かつ現実的であると考えられる。その際、事業者の予見可能性を高めるための運用基準等の策定が必要である。」 と示しました。 <br> > （不当な表示の禁止）:<br> 第五条　事業者は、自己の供給する商品又は役務の取引について、次の各号のいずれかに該当する表示をしてはならない。 一　商品又は役務の品質、規格その他の内容について、一般消費者に対し、実際のものよりも著しく優良であると示し、又は事実に相違して当該事業者と同種若しくは類似の商品若しくは役務を供給している他の事業者に係るものよりも著しく優良であると示す表示であつて、不当に顧客を誘引し、一般消費者による自主的かつ合理的な選択を阻害するおそれがあると認められるもの <br> 二　商品又は役務の価格その他の取引条件について、実際のもの又は当該事業者と同種若しくは類似の商品若しくは役務を供給している他の事業者に係るものよりも取引の相手方に著しく有利であると一般消費者に誤認される表示であつて、不当に顧客を誘引し、一般消費者による自主的かつ合理的な選択を阻害するおそれがあると認められるもの <br> 三　前二号に掲げるもののほか、商品又は役務の取引に関する事項について一般消費者に誤認されるおそれがある表示であつて、不当に顧客を誘引し、一般消費者による自主的かつ合理的な選択を阻害するおそれがあると認めて内閣総理大臣が指定するもの ###### 2023年3月28日　指定告示・運用基準<br> 2023年3月28日、消費者庁は、景品表示法第5条第3号の規定に基づき、「一般消費者が事業者の表示であることを判別することが困難である表示」について、指定告示を行い、指定告示の運用基準(「運用基準」)を策定しました。 <br> 外形上第三者の表示のように見えるものの、事実上、事業者の表示に該当するものを、告示の対象としています。 <br> 運用基準によれば、事業者が第三者の表示内容に「関与」しているか否かが、判断ポイントとなります。 <br> 関与している例として、 <br> ・事業者が第三者に対して当該第三者のSNS上や口コミサイト上等に自らの商品又は役務に係る表示をさせる場合（＝インフルサーによる広告） <br> ・商品の購入者に依頼して、購入した商品について、ECサイトのレビューを通じて表示させる場合（＝レビュー依頼） <br> が挙げられています。 <br> このように事業者が第三者に対してある内容の表示を行うよう明示的に依頼・指示している場合は、「関与」していることに疑いはありません。<br> しかし、運用基準によれば、明示的に依頼・指示していない場合でも、商品を無償で提供していたり、表示内容によって利益を与えることを示唆している場合も「関与」に該当します。 <br> <br> 告示対象となる表示については、一般消費者にとって事業者の表示であることを明瞭にしなければなりません。 <br> 運用基準によれば、事業者の表示であることが明瞭である例として、以下のような表示が挙げられています。 <br> ・「広告」、「宣伝」、「プロモーション」、「PR」といった文言による表示を行う。 <br> ・「A社から商品の提供を受けて投稿している」といったような文章による表示を行う。 <br>

### はじめに 2022年4月に「個人情報の保護に関する法律等の一部を改正する法律案」が施行されました。 <br> 以下、改正のポイントについて整理したいと思います。 ###### １. 個人関連情報の提供について 　「個人関連情報」とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び 匿名加工情報のいずれにも該当しないもの」をいい、閲覧履歴、Cookie情報、位置情報などが該当します。 　個人関連情報は、提供元の事業者にとって個人データでなくても、提供先が個人データと紐付けることで個人データとなる可能性があるため、これを規制するために新設されました。 <!-- <br>新たに規制対象となる提供先事業者には、自ら個人データを保有しつつ、サードパーティCookieを発行し（また、プラグインの「いいね！」ボタンを設置し）、ターゲティング広告も行っているFacebookやGoogleなどが該当するものと考えられます。 --> 提供先の事業者は、「当社は、第三者が運営するDMP（データ・マネジメント・プラットフォーム）やウェブサイトからCookieにより収集されたウェブの閲覧履歴及びその分析結果を取得し、これをお客様の個人データと結びつけた上で、広告配信等の目的で利用いたします。」等と説明した上で、本人から同意を取得することとなります。 　提供元の事業者は、提供先で個人データに該当する個人関連情報の利用につき、あらかじめ本人の同意等が得られていること確認しなければなりません。 提供元の事業者は、個人データの提供と同様、個人関連情報の提供に係る記録を作成しなければなりません。 <br> <br> 提供先における本人同意の取得・記録義務：<br> >- ①本人に対する説明（個人関連情報を個人データとして取得して利用する主体、対象となる個人関連情報および利用の目的について） >- ②本人同意の取得 >- ③記録 <br> <br> 提供元における本人同意の確認方法： >- 提供先から申告を受ける方法(提供元は提供先の申告内容を一般的な注意力をもって確認すれば足りる) <br> <br> 提供元における記録義務： >- ①提供年月日 >- ②第三者の氏名等 >- ③個人関連情報の項目等を記録し、原則3年の保存 ###### ２. 仮名加工情報について 「個人情報」と「匿名加工情報」の中間的な制度として「仮名加工情報」が新設されました。 <br> 社内限りで顧客情報を分析する、AIを開発するなどのニーズに応じるため、仮名加工情報は、匿名加工情報より緩やかな取扱いが認められています。 匿名加工情報は、元の個人情報を復元できないように加工する必要があるのに対し、仮名加工情報は、他の情報と照合しない限り特定の個人を識別できないように加工すれば足ります。なお、仮名加工情報の作成時に削除された個人特定情報（氏名など）や置換に用いられたパラメータなどの情報は仮名加工情報と分離して保存しなければなりません。 <br> <br> 加工基準：<br> >- 以下の情報の削除・置換え >- ①特定の個人を識別できる記述（氏名など）　　 >- ②個人識別符号 >- ③財産的被害が生じるおそれのある記述等 <br>　 仮名加工情報を当初の利用目的以外の新しい目的で利用する場合には、公表が必要です。 <br>　 仮名加工情報は、社内での分析などでの用途を想定しているため、第三者への提供について制限があります。 <br>　 仮名加工情報を利用する必要がなくなった際、仮名加工情報及び個人特定情報（氏名など）を消去しなければなりません。 ###### 3. 保有個人データに関する公表事項の追加について 保有個人データの安全管理のために講じた措置の内容 本人が措置内容に鑑みて個人情報を提供するか否か、利用停止・削除等の請求をするか否かを判断できるようになります。 <br> <br> 公表事項１: 個人情報の取扱体制や講じている措置の内容 <br> 本人が措置内容に鑑みて個人情報を提供するか否か、利用停止・削除等の請求をするか否かを判断できるようになります。なお、措置内容は事業者により様々であり、法令上、定まっているものではありません。 <br> <br> 公表事項２: 保有個人データの処理の方法 <br> 処理方法を含む具体的な利用目的を公表し、個人情報がどう扱われるのかを本人に認識できるようにします（改正前は、抽象的な利用目的を公表するケースも多かったことが改正理由となっています） ###### 4. 本人からの請求について （１）利用停止・削除等の請求が可能なケースが拡大されます（違反の場合以外にも請求可能） >- ①第22条の2第1項本文に規定する事態が生じた場合（要配慮個人情報の漏洩、財産的被害が発生するおそれがある漏洩、不正アクセス等の故意による漏洩、1,000人を超える漏えい等） >- ②利用する必要がなくなった場合 >- ③本人の権利又は正当な利益が害されるおそれがある場合 - ※個人情報取扱事業者は、本人からの請求が「本人の権利利益の侵害を防止するために必要な限度」を超えている場合には、必要な限度を超える部分については請求を拒むことができます。 - ※利用停止等の請求の要件を満たす場合であっても、利用停止等を行うことが困難な場合は「本人の権利利益を保護するため必要なこれに代わるべき措置」によって対処することも認められます。困難な場合については、条文上例示されている「利用停止等に多額の費用を要する場合」が代表的なものとして考えられます。 - 例：既に市販されている名簿の刷り直し及び回収作業に多額の費用を要するとして、名簿の増刷時の訂正を約束する場合や損害賠償をする場合 <br> <br> （２）短期保存データも保有個人データとして利用停止・削除等の請求対象となります（短期保存データの例外扱いは改正法で削除されました）。結果、利用停止・削除等の請求を受ける数が多くなることが予想されます。 <br> <br> （３）保有個人データの開示方法が選択可能となります <br> <br> （４）第三者提供記録の開示請求が可能となります ###### 5. 漏洩等時の本人及び委員会への報告義務について 改正前も、漏洩等時の委員会への報告は努力義務でした。ただし、努力義務であるため、委員会へ報告しないケースも多かったものと思われます。 改正法では、「個人の権利利益を害するおそれが大きい場合」に、委員会及び本人への報告が義務付けられました。これは、報告による被害拡大の防止を目的としています。 <br> 報告対象: >- ①要配慮個人情報の漏洩 >- ②財産的被害が発生するおそれのある漏洩 >- ③不正アクセス等の故意による漏洩 >- ④1,000人を超える漏えい等 <br> 委員会への報告: - 速報と確報の二段階。事態の発生を認識した後、速やかな速報が求められるとともに、30日(上記③の場合は60日)以内に確報が求められます ###### 6. 越境移転に係る情報提供について （１）本人の同意を得て移転する場合 本人からの同意取得時に越境移転先における個人情報保護に関する制度等の情報提供が求められます。 <br> 同意取得時に本人に提供すべき情報: >- ①移転先の所在国名 >- ②適切かつ合理的な方法で確認された当該国の個人情報保護制度 >- ③移転先が講ずる措置 <br> （２）基準に適合する体制を整備した事業者へ移転する場合 基準に適合する体制を整備した事業者への越境移転は、本人の同意を要することなく可能です。ただし、移転先による個人データの適正な取扱いの継続的な確保のための「必要な措置」及び本人の求めに応じた情報提供が求められます。 移転元が講ずべき「必要な措置」: >-①移転先における個人データの取扱状況及びそれに影響を及ぼしうる移転先の所在国の制度の有無の定期的な確認 >-②適正な取扱いに問題が生じた場合の対応(適正な取扱いの継続的な確保が困難な場合は個人データの提供を停止) <br> （３）我が国と同水準の外国にある事業者（EU、英国）へ移転する場合 特に変更ありません。 <!-- ### 管理体制 個人情報保護法に遵守していない場合でも行政処分を受けるリスクは低く、特に対応していないという事業者の方も多いようです。 しかし、仮に行政処分に至らないとしても、個人情報の管理について何も知らないのでは顧客の信用を失うことにもなりかねません。 #### ポイント 個人情報を取得する際には、目的を明示する。 個人情報の管理方法を社内でルール化する。 不要な個人情報は取得しない。また、取得後不要になった情報は廃棄する（法令上、個人情報に保管義務期間はなく、むしろ不要になり次第廃棄することが求められています）。 個人情報の持ち出しができないようアクセス権者を限定する。 第三者に個人情報を扱わせる場合にはプライバシーマークを取得している事業者を優先採用する。 プライバシーポリシーの内容と社内の実運用との間にギャップがないか定期的に見直す。 --> <br> <br>