改正個人情報保護法Q&Aと誰でもつくれる規程集 増補版(平成29年施行) これ一冊で即対応

　個人情報保護法のお勉強。 　特定した利用目的は、変更前の利用目的と関連性を有すると合理的に認められる範囲、すなわち、変更後の利用目的が変更前の利用目的からみて、社会通念上、「本人が通常予期し得る限度と客観的に認められる範囲」内で変更することができます。 　個人情報取扱事業者が個人データの第三者提供をするためには、あらかじめ本人の同意を得るのが原則です。本人から「事前の同意」を得ることを「オプトイン」ともいいます。 　これに対して、あらかじめ本人に対して個人データを第三者提供することについて通知または認識し得る状態にしておき、本人がこれに反対しない限り、同意したものとみなし、第三者提供することを認めることを、「オプトアウト」といいます。 　オプトアウトの方法による個人データの第三者提供の下記の各点において厳格化します。 ・「あらかじめ本人に通知し、または本人が容易に知り得る状態に置く措置」を限定 ・要配慮個人情報についてはオプトアウトの方法が利用できないことになる。 ・「あらかじめ本人に通知し、または本人が容易に知り得る状態に置く」事項(通知等事項)として「本人の求めを受け付ける方法」が追加される。 ・通知等事項について個人情報保護委員会にあらかじめ届け出なければならない。 ・個人情報保護委員会は、オプトアウトの届出があったときは当該届出に係る事項を公表しなければならない。 　「個人データの取扱いの委託」(保護法22条)とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいいます。具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定されます。 　このように、契約条項において、海外のクラウドサービス業者が、個人データを取り扱わない旨が定められており、適切にアクセス制御がなされている場合には、「外国にある第三者」への個人データの提供には該当しないものと考えられます。 　「個人情報取扱事業者」とは、…営利・非営利の別は問いません。したがって、分譲マンションの区分所有者(居住者)で構成される管理組合のように営利を目的としない活動を行う団体等も、その活動のために個人情報データベース等を利用していれば「個人情報取扱事業者」に該当します。 　講ずべき安全管理措置 ・個人データの取扱いに係る規律の整備 ■組織的安全管理措置 (1)組織体制の整備 (2)個人データの取扱いに係る規律に従った運用 (3)個人データの取扱状況を確認する手段の整備 (4)漏えい等の事案に対応する体制の整備　 (5)取扱状況の把握および安全管理措置の見直し ■人的安全管理措置 ・従業員の教育 ■物理的安全管理措置 (1)個人データを取り扱う区域の管理 (2)機器および電子媒体等の盗難等の防止 (3)電子媒体等を持ち運ぶ場合の漏えい等の防止 (4)個人データの削除および機器、電子媒体等の廃棄 ■技術的安全管理措置 (1)アクセス制御 (2)アクセス者の識別と認証 (3)外部からの不正アクセス等の防止 (4)情報システムの使用に伴う漏えい等の防止