表紙

はじめに

目次

第1章 改正の全体像

1-1 令和2年改正と令和3年改正の関係

Q01 個人情報保護法の改正が続いて全体像が見えないのですが、どうなっていますか？

1-2 令和2年改正の概要

Q02 令和2年改正法の中身はどのようなものですか？

1-3 令和3年改正の概要

Q03 令和3年改正法で何が変わるのですか？

1-4 改正法の条文関係

Q04 条文番号が資料によってまちまちです。改正により従前の条文番号はどう変わったのですか？

第2章 保有個人データ

2-1 保有個人データの範囲の拡大

Q05 これまですぐに消去していた個人データについて、今後は開示請求に対応するため、一定期間保存しておいたほうがよいですか？

2-2 保有個人データに関する事項の周知

Q06 保有個人データに関する周知事項について、改正法によりどのような変更があったのですか？

2-3 保有個人データの開示方法

Q07 保有個人データの開示について、本人からデータポータビリティを求められた場合、これに応じなければならないのですか？

2-4 保有個人データの安全管理のために講じた措置

Q08 今回の改正で、保有個人データの安全管理のために講じた措置についても本人へ周知するよう義務付けられたと聞きましたが、どこまで周知すべきなのでしょうか？

2-5 利用停止・消去・第三者提供停止の要件の緩和

Q09 本人から、使う必要のない個人データを消去するよう求められたのですが、消去しなければなりませんか？

2-6 保有個人データと他の概念との関係

Q10 仮名加工情報、匿名加工情報、個人関連情報は、保有個人データとなるのですか？

第3章 仮名加工情報

3-1 仮名加工情報とは何か

Q11 個人データではなく仮名加工情報を子会社に提供しようと思いますが、問題ありませんか？

3-2 仮名加工情報と匿名加工情報の差異

Q12 特定の個人を識別できなくした情報は、仮名加工情報と匿名加工情報のどちらですか？

3-3 仮名加工情報の仮名加工方法

Q13 どうやって加工すれば仮名加工情報になるのですか？

3-4 個人情報である仮名加工情報と個人情報でない仮名加工情報

Q14 個人情報でない仮名加工情報は漏えいしても問題ありませんか？

3-5 仮名加工情報の利用の場面

Q15 仮名加工情報が新設されましたが、第三者に提供できないのに利用するメリットはあるのですか？

Q16 仮名加工情報の委託先への提供や共同利用は可能ですか？

第4章 不適正な利用の禁止

4-1 不適正な利用の禁止とは

Q17 新たに禁止されることになった不適正な利用と違法な利用行為は違うのですか？

4-2 不適正な利用の判断

Q18 裁判所の公告情報をデータベース化して公開しようと思いますが、問題ありませんか？

第5章 漏えい等の報告

5-1 漏えい等における報告・通知

Q19 個人データが漏えいしてしまった場合、事業者は何をしなければなりませんか。

Q20 顧客情報が入ったUSB メモリーを社内で保管していたのですが、見つかりません。これは、｢滅失｣でしょうか、それとも｢漏えい｣でしょうか？また、社内といっても、外部の人が立ち入る場所でなくなった場合は、｢漏えい｣でしょうか？

Q21 20万件の個人データ漏えいが発生し、本人に対し電子メールを送信してその旨通知したのですが、そのうち5万件に通知メールが届きませんでした。このような場合でも、個人情報保護法上の義務違反となるのでしょうか。

5-2 漏えい等の報告先

Q22 個人データの漏えいが発生しましたが、どこに報告すればよいですか？

5-3 漏えい等対応ロードマップ

Q23 今回の法改正により、情報漏えいした場合のスケジュールはどのように変わりますか？

5-4 漏えい対応の実務的問題点

Q24 本人への通知には、何を記載すべきでしょうか？

Q25 個人情報保護委員会への報告の確報は、何をどこまで記載すべきですか？速報との違いは何ですか？

Q26 個人データの漏えい件数が多いのですが、コールセンターは設置すべきですか?

Q27 委託先が個人データを漏えいした場合、だれが個人情報保護委員会に報告すべきですか？

Q28 個人データの開示請求について、間違えて、Aの情報をBに、Bの情報をCに、Cの情報をDに開示してしまった場合は、個人データの漏えいになるのでしょうか。

第6章 第三者提供の制限

6-1 オプトアウトの規制強化

Q29 令和2年改正法で、オプトアウトに関する規制はどのように変更されたのですか？

6-2 オプトアウトが可能かどうかの判断

Q30 小学生を対象とした学習塾で、塾が小学生から取得した親の年収データを、オプトアウトにより、まったく別法人の不動産会社に提供しても問題はないですか？

6-3 オプトアウトの取扱い

Q31 オプトアウトで取得した個人データをオプトアウトで第三者に提供できますか？

6-4 第三者提供記録の開示

Q32 情報提供先との間に秘密保持契約を締結している場合でも、第三者提供記録を開示する必要がありますか？

6-5 個人データ第三者提供の実務的問題

Q33 子会社や関連会社に対しても脅迫行為がなされているとの理由でクレーマーの情報を子会社・関連会社と共有したいのですが、問題はありませんか？

Q34 当社研究部門が顧客の動向調査と新商品開発のために大学の研究室と共同研究を行うことになりましたが、個人データを共有して研究してよいでしょか。

第7章 外国にある第三者への利用の制限

7-1 個人データ越境移転規制の内容

Q35 海外の事業者に個人データを提供する場合に新たな規制はありますか？

7-2 本人への情報提供

Q36 外国の個人情報保護制度はどうやって把握すればよいですか？

Q37 個人データの越境移転に際して、外国の個人情報保護制度を不正確に本人に伝えた場合に罰則の適用はありますか？

7-3 クラウドサービスの諸問題

Q38 サーバが外国にある日本のクラウドサービス事業者に個人データを提供する場合に越境移転規制の適用はありますか？

Q39 サーバがどこにあるかわからない外国のクラウドサービス事業者に個人データを移転する場合は、本人への情報提供はどのように行えばよいですか？ 個人データの処理のために単にクラウドサービスを利用する場合はどうですか？

第8章 個人関連情報の第三者提供の制限

8-1 個人関連情報とは何か

Q40 個人関連情報にはどのようなものが該当するのですか？

Q41 個人関連情報を提供する事業者との間で「個人データとして取得しない」という契約があっても提供先の事業者に本人の同意を確認する必要がありますか？

8-2 Cookieの取扱い

Q42 クッキー(Cookie)について、自社サイトに掲載したポリシーで説明しているので、第三者提供は自由に行ってよいのですか？

8-3 同意取得した場合の記録の方法

Q43 個人関連情報を第三者提供する際に、同意取得はウェブサイト上の「同意する」ボタンを押してもらう以上に同意の記録を残す必要はありませんか？

8-4 個人関連情報と他の概念との関係

Q44 個人関連情報と匿名加工情報、仮名加工情報の関係はどのように整理できますか？

第9章 域外適用

9-1 域外適用の対象範囲

Q45 海外の事業者に日本の個人情報保護法の適用はあるのですか？

9-2 域外適用の実効性とその対応

Q46 海外の事業者への規制は実効性はあるのですか？

第10章 罰則

10-1 厳罰化

Q47 事業者が個人情報保護法違反をした場合、どのような刑罰が科されますか？

10-2 どのような場合に処罰されるか

Q48 本人からの保有個人データの開示請求を無視した事業者は処罰されますか？

10-3 漏えい等と処罰の関係

Q49 個人データが漏えいしたにもかかわらず何もしなかった事業者は処罰されますか？

Q50 処罰以外に、事業者名が公表されることはありますか？ 公表されるのであれば、どのような場合に公表されるのですか？

第11章 医療・学術分野の規定の見直し

11-1 官民の規律統一化

Q51 どのような機関に民間部門の規制が適用されるのですか？

Q52 国公立大学の病院に民間部門の規制が課されることで、これまでの治療や研究に問題はありませんか？

11-2 学術研究の適用除外規定の精緻化

Q53 学術研究機関についてどのような法改正が行われたのですか？

Q54 我が国の学術研究機関にはEUのGDPRの十分性認定の効力が及ばないということと、令和3年改正法には関係がありますか？

Q55 学術研究機関にも安全管理措置や開示等請求に関する義務は課されますか？

Q56 当社で保有する個人データについて、研究機関からウイルス研究のために提供してほしいとの要請を受けましたが、本人の同意を得ずに提供してもよいですか？

Q57 研究機関が民間企業と共同で新製品の研究開発を行う場合、「学術研究目的」には当たらないのですか？

第12章 地方公共団体等の個人情報の取扱い

12-1 共通ルールの適用

Q58 地方公共団体の「共通ルール」とはどのようなものですか？

12-2 地方公共団体における個人情報の取扱い

Q59 地方公共団体は、同意なく要配慮個人情報を取得できるのですか？

第13章 法律と条例の関係

13-1 法律と条例の関係

Q60 改正法と各自治体の個人情報保護条例はどのような関係になるのですか？

Q61 地方公共団体が独自に厳しい義務を規定することは可能なのでしょうか？

第14章 個人情報保護委員会の権限と行政機関の規制

14-1 個人情報保護委員会の権限

Q62 個人情報保護委員会は、行政機関に対してどのような監督権限を持つことになりますか？

Q63 情報公開法に基づく行政機関の開示決定に対しても、個人情報保護委員会は監督するのですか？

Q64 個人情報保護委員会が権限を委任しているか否かは、どうしたらわかるのですか？

14-2 行政機関に対する規制

Q65 行政機関が外国にある事業者に対して個人情報を同意なく提供した場合、何か問題がありますか？

付録

1 個人情報保護法令和2年改正 重要ポイント対応チェックリスト

2 プライバシーポリシー雛形

奥付