第9回 法務研究会　実施報告
「令和2年個人情報保護法改正と実務対応
―ベンダーの立場からみる、クラウドサービスにおける『情報』との関わり方―」

開催日時

2022年6月30日(木)　15:00〜16:30

主催

ASPICセミナー事務局

講演内容

タイトル

「令和2年個人情報保護法改正と実務対応
　—ベンダーの立場からみる、クラウドサービスにおける『情報』との関わり方—」

講師

御宿・長町法律事務所 弁護士　松元優季様

講演概要

最初に、令和2年に個人情報保護法が改正された直後、改正された法令について解説していただいた内容をあらためて、解説していただきました。

【改正の概要】

1. 個人の権利の在り方

1. �@ 利用停止・消去等の個人の請求権について
2. �A 保有個人データの開示方法(現行では、原則、書面の交付)
3. �B 個人データの授受に関する第三者提供記録について
4. �C 6ヶ月以内に消去する短期保存データについて
5. �D オプトアウト規定

2. 事業者の守るべき責務の在り方

1. �@ 漏えい等が発生し、個人の権利利益を害するおそれが大きい場合
2. �A 違法又は不当な行為を助長する等の不適正な方法により個人情報を利用

3. 事業者による自主的な取組を促す仕組みの在り方

1. �@ 認定団体制度について

4.データ利活用の在り方

1. �@ 氏名等を削除した「 仮名加工情報 」を創設
2. �A 提供元では個人データに該当しないが、提供先において個人データとなることが想定される「 個人関連情報 」の第三者提供

5.ペナルティの在り方

1. �@ 委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げ
2. �A 命令違反等の罰金について

6.法の域外適用・越境移転の在り方

1. �@ 日本国内にある者に係る個人情報等を取り扱う外国事業者
2. �A 外国にある第三者への個人データの提供時

これらの改正点で、クラウドサービスを行う事業者が特に注意する点について、具体的事例を挙げて解説されました。

質問・コメント

次のような質問がありました。

1. Q1:R2個人情報保護法改正において、不要となった情報の廃棄を行った場合、記録は必要ですか?また、取得した本人への通知は必要でしょうか?
2. Q2:取り扱う、とはB社の例で「分析」となっていましたが閲覧、コピー、印刷、編集、削除はいかがですか?質問の意図としては、「取り扱わない」と契約規定に明記したいのですが、サービスの維持管理のために、たとえば故障ストレージの入れ替え、基盤の更改のために暗号化データのまま複製することはあるので、躊躇しております。
   サービス維持のための上記行為は「取扱う」となるのでしょうか?
3. Q3:アクセス制御をおこなう、とは、取り扱わないような、完全なる技術的なしくみ(暗号化し、その暗号カギはお客さま管理など)を設けていることまで求められるのでしょうか?それとも、暗号化保守アクセスできる人を困難なしくみを多重に設けており、現実的には不可、という体制では「アクセス制御している」と言ってはいけないのでしょうか?
4. Q4:自社のサイトでGoogleアナリティクスを使用していますが、Cookieを使用し端末識別はできますが、個人名まではわかりません。個人関連情報になりますでしょうか?

講演模様

資料

• 
• 

本件問合せ先

ASPICクラウド研究会事務局
E-mail：seminar@aspicjapan.org
TEL：03-6662-6591