個人情報保護
- 「個人情報保護法」とは、どのような法律ですか。
- 企業は個人情報保護法対応で実際にどのようなことをすればよいですか。
- 個人情報とは具体的にどのようなことですか。
- フルネームの氏名は、同姓同名のケースがあるため、個人情報にはあたらないと考えてよいですか。
- ビジネス用に利用している名刺も個人情報ですか。
- 個人情報に含まれる一例として、登記に記載されている法人の代表者の氏名等は個人情報ですか。
- 役職員・従業員の情報も個人情報として保護しなければなりませんか。
- お客様からのお問い合わせ等の電話の通話内容を録音しています。これも個人情報ですか。
- 個人情報保護法に説明のある「他の情報と容易に照合できる」とは具体的にどのようなことですか。
- 個人識別符号とは何ですか。
- メールアドレスが流出した場合などでもメールアドレス自体は個人識別符号ではないので、個人情報にはあたりませんか。
- 広告効果を図るためにカメラで性別や年齢を抽出しています。顔がわかる画像等は個人情報にあたると思いますが、こちらも個人情報にあたりますか。
- 個人情報データベース等と個人データとは何ですか。
- 電話帳、住宅地図、職員録、カーナビゲーションシステムなどが個人情報データベース等から除外されたとのことですが、除外されたことによって何が変わりましたか。
- 出席者が記載されているワード形式の議事録など、データ内を全文検索すれば個人名を検索できる場合、個人情報データベース等(個人データ)に該当しますか。
- 個人名と融資額が表形式で記入されている「紙」は、個人情報データベース等にあたりますか。また、個人データに当たる可能性はありますか。
- 五十音順に並べられた名刺入れは「容易に」検索できる条件に当てはまりそうな気がしますが、そこから取り出した名刺は、個人データですか。
- 名前順に並ばれたものは個人データに当たるとのことですが、日付順に並べた伝票は、個人情報データベース等にあたりますか。
- 顧客に記入してもらった「申込書」をデータベースに入力しています。データベースへ入力前の申込書は個人データですか。
- 顧客情報管理データベースから1件だけプリントアウトした場合、この出力紙は個人情報ですか個人データですか。
- 保有個人データとはなんですか。
- マンションの管理組合など法人格がない団体や個人も、個人情報取扱事業者になりますか。
- 海外の法人が個人情報取扱事業者になる場合とは、どのような場合ですか。
- 要配慮個人情報とは何ですか。
- 個人情報よりもさらに慎重に扱わなけらばならないと思われる要配慮個人情報ですが、取り扱いにどのような規制がありますか。
- 労働安全衛生法に定められた年1回の健康診断に「上乗せ」して、半年に1回健康診断を実施しています。結果を取得するのに本人の同意が必要でしょうか。
- 採用時にはたくさんの個人情報を受け取りますが、情報収集について気をつけるべき点はありますか。
- 採用時のリファレンス調査は個人情報保護法によって規制されますか。
- 採用時に本人から直接受け取った履歴書に、病歴や犯罪歴などの要配慮個人情報が記載されていました。どのように取り扱ったらよいですか。
- 従業員から「母が心臓病で入院したので有休を取ります」との連絡を受けました。従業員の母から同意を得る必要があるのでしょうか。
- 勤務先が宗教団体である事実は要配慮個人情報にあたりますか。
- 改正個人情報保護法が施行される以前から既に社内にある要配慮個人情報について、本人の同意が必要ですか。
- 個人情報の取扱いにおいてそのほかの書類等と同様に、未成年者から同意をとる際には親権者の同意が必要ですか。
- 個人情報を取り扱うにあたって、問題なく進めるには企業としてどのようなことをすればよいでしょうか。
- 企業が保有する個人情報を利用する際には利用目的はどのように記載したらよいのでしょうか。
- 企業が保有する個人情報を第三者提供するためには、利用目的に第三者提供を含めておく必要がありますか。
- 統計情報は個人情報や匿名加工情報ではありませんが、統計情報を作成することを利用目的にする必要がありますか。
- 個人情報の利用目的のなかで「通知・公表」が必要な場合と、「明示」が必要な場合の違いが、よくわかりません。
- 個人情報の利用目的を本人に晒せる方法としての「通知・公表」と「明示」は、どのように違うのですか。
- 弊社の従業員に対しても履歴書等から個人情報を受け取る際は、利用目的を通知・公表する必要がありますか。
- 弊社の従業員に対して個人情報の利用目的を伝える際、どのような方法が一番よいでしょうか。
- 個人情報の利用目的を通知・公表しなくてもよい場合はありますか。それはどのような場合でしょうか。
- 名刺交換をした人に名刺に記載のあるメールアドレス宛にダイレクトメールを送ることは、目的外利用になりませんか。
- 防犯対策強化のために万引犯の情報を記録しておくことは、目的外利用になりますか。
- 警察の捜査に任意に応じて知っている限りの情報を提供することは問題ありませんか。
- 元々の利用目的に記載のないダイレクトメールの送信などを追加したいのですが、利用目的の変更等の「同意」のために、手元にある個人情報を利用して本人に連絡することは、目的外利用になりませんか。
- 「法令に基づく場合」第三者提供は同意なしに可能とありますが、弁護士会照会に応じて情報を提供することは問題ありませんか。
- 個人情報の利用目的にダイレクトメールを発送すること等を後から追加することはできますか。
- 現在までの個人情報の利用目的に第三者提供が記載されていません。後から追加できますか。
- 個人データを取り扱う際に滅失・毀損・漏洩しないために講じる「安全管理措置」とは具体的に何をすべきですか。
- 個人データを取り扱う際のガイドラインには様々な安全管理措置が記載されていますが、何をどこまでやればよいのでしょうか。
- 大企業は安全管理措置のガイドラインに添うよう工夫すべきだとわかるのですが、規模が小さめの中小企業においては安全管理措置を行うにあたり何をすべきですか。
- 「中小規模事業者」に当たる場合はガイドラインが緩和されますが、「中小規模事業者」か否かの基準となる個人情報の件数とは、データの件数ではなく、本人の人数ということで間違いないでしょうか。
- 安全管理措置の1つのある「プライバシーポリシー」とは何ですか。どのようなことを書けばよいですか。
- 個人データのガイドラインには「個人データの取り扱いに係る規律の整備」と記載がありますが、どのようなことをすればよいですか。
- 中小規模事業者です。中小企業においても、個人データについての社内規程を作らなければなりませんか。
- 小規模事業のため、従業員数名程度の個人情報しか取り扱いがありません。そのような場合でも個人情報における社内規程を作る必要がありますか。
- 個人データに関して子会社をどのように管理すべきでしょうか。一から社内規定を作るのは大変なので、親会社のものを適用することはできますか。
- マイナンバーに関する「特定個人情報取扱規程」と、「個人情報取扱規程」の関係をどのように整理したらよいでしょうか。両者を作る際、留意する点はありますか。
- 弊社が要配慮個人情報や匿名加工情報などを取り扱っていませんが、取り扱わない場合にも社内規程に記載しておくことが必要ですか。
- 個人データを取り扱う際に滅失・毀損・漏洩しないための「組織的安全管理措置」とは具体的にどのようなことをする義務がありますか。
- 個人情報取扱責任者とは、通常、役員が就任するものなのでしょうか。
- 役員クラスの「個人情報取扱責任者」と、課長クラスの「個人情報管理者」の両方を設置しました。役割分担はどうしたらよいでしょうか。
- 個人データのガイドライン上では「取扱状況の把握及び安全管理措置の見直し」の頻度は定められていませんが、年に1回で大丈夫でしょうか。
- 「個人情報取扱台帳」を詳細に作っていくと、膨大な手間がかかります。どのようにしたらよいでしょうか。また、概括的な記載にすることも可能ですか。
- 個人データを取り扱う際に滅失・毀損・漏洩しないための「人的安全管理措置」として、何をする義務がありますか。
- 人的安全管理措置のために個人情報の取扱いについて記載した就業規則に改定する必要がありますか。
- 人的安全管理のための従業員教育はどのようなことをしたらよいですか。簡単なものを教えてください。
- 個人情報の人的安全管理措置においての従業員教育は年1 回でよいですか。
- 情報漏洩等を防ぐための安全措置として、個人データを取り扱うオフィスに監視カメラを設置してモニタリングしても構いませんか。
- 個人データを取り扱う際に滅失・毀損・漏洩しないための「物理的安全管理措置」として何をする義務がありますか。
- 個人情報の「取扱区域」が、ほぼ全社にわたることになる場合、具体的に何をすればよいのでしょうか。
- 安全管理措置を徹底するためには、従業員の私物の携帯電話・スマホをどのように管理すべきでしょうか。
- 個人データを取り扱う際に滅失・毀損・漏洩しないための「技術的安全管理措置」として何をする義務がありますか。
- 安全管理措置の一環として、個人データをメールで送信する際は、暗号化、パスワードによる保護をすべきですか。
- ウイルスメールが届いたのですが、そのような標的型メール攻撃には、どのように対応すべきでしょうか。
- 個人情報保護法に記載のある、個人データの取扱における委託先の監督とは、具体的に何をすればよいですか。
- 安全管理措置のガイドラインにも記載のある個人情報における「適切な委託先の選定」とは、要するに何をどのように確認すればよいのですか。
- データ移行のテストのために氏名を「●●」にしたデータを開発ベンダに提供するのは、委託先に対する個人データの提供になりますか。
- 個人情報の記載があるものを普通郵便で発送しても大丈夫でしょうか。紛失した場合、責任を問われますか。
- 誤って取得した個人情報について、本人に返却するのと自社で廃棄するのでは、どちらがよいでしょうか。
- 個人情報が漏洩した場合、本人への連絡が必要ですか。
- 個人情報が漏洩した場合、ホームページへの公表が必要ですか。
- 個人情報が漏洩した場合、個人情報保護委員会への報告が必要ですか。
- 個人データの第三者提供には、どのような規制がありますか。また、その規制の例外はどのような場合ですか。
- 安全管理のために万引犯の情報を他店と共有することには、本人の同意が必要ですか。
- 建築元請会社です。労働安全衛生法、建築業法に従って下請会社から情報提供を受けるのに、同意が必要なのでしょうか。
- 会社内で、別の部署や別の支店に個人データを提供するのは、第三者提供にあたりますか。
- 人材紹介の会社が、登録者の情報を、氏名等を伏せた状態で紹介先の会社に提供するのは、個人データの第三者提供になりますか。第三者提供にあたる場合、オプトアウトの届出が必要になりますか。
- 債権を売却する際に、譲受候補者に対し、債務者や保証人の情報を提供することには、同意が必要でしょうか。
- 賃貸不動産の所有権等を譲渡する際に、譲受人または譲受候補者に対し、賃借人の情報(レントロール等)を提供することには、同意が必要でしょうか。
- グループ企業の監査のために親会社・子会社内で個人データのやりとりをするのは、第三者提供にあたるのでしょうか。
- 個人情報における個人データのオプトアウトによる第三者提供とはどのようなことですか。
- 個人情報保護委員会のウェブサイトに、オプトアウトの届出の制度は名簿屋対策である旨が記載されています。名簿屋ではない会社は届出をする必要はないのですか。
- 個人データのオプトアウトは届出を取消ししたり、撤回することはできますか。
- 個人データの取り扱いの委託を受けている会社が、オプトアウトの届出をすることができますか。
- ガイドラインにはオプトアウトについてホームページ内の本人がわかりやすい場所に記載があれば良いとされていますが、ホームページを開設していない会社は、オプトアウトによる第三者提供はできないのですか。
- 「委託」とはどのような場合に該当しますか。
- 「委託元」から「委託先」への提供に本人の同意が不要なことはわかりましたが、「委託先」で集めた個人データを「委託元」に渡すのにも、同意は不要ですか。
- システム保守はどのような場合において個人データ取り扱いの委託になり、監督義務が生じますか。
- 契約の条項で個人データを取り扱わない旨が定められ、通常は適切なアクセス制御で、個人情報の中身を閲覧することはない場合でも、バックアップの作業や緊急メンテナンス等で閲覧する可能性がある場合は、委託になるのでしょうか。
- 1社が複数の会社に委託をしている場合、委託先同士で直接個人データを提供することは、委託に伴う提供になりますか。
- インターネット上でターゲティング広告を出稿するために、IDをDSP事業者にCookieやタグ等を提供するのは、個人データの提供にはあたりませんか。
- 「共同利用」というものがピンときません。どのようなものですか。
- 共同利用の規定にある「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に」とありますが、「あらかじめ」とは、共同利用するよりも前ということですか。それとも個人データの取得の前ということですか。
- 共同利用する者の範囲として社名を列挙する必要はないとのことですが、具体的にどのように記載すればよいのでしょうか。
- ガイドライン上にはトレーサビリティとして個人データを提供する側(提供者)に、どのような義務がありますか。
- ガイドライン上にはトレーサビリティとして個人データの提供を受ける側(受領者)に、どのような義務がありますか。
- どのような場合にトレーサビリティの義務を免れますか。トレーサビリティの例外を教えてください。
- トレーサビリティの記録義務において「本人の氏名等」の個人情報を記録する方法は、具体的にどのようにしたらよいでしょうか。
- 個人データを取り扱う中で「外国にある第三者」への提供について、どのような場合にどのような規制が及ぶのですか。
- 個人データを外国にある第三者に提供する場合の同意はどのように求めればよいのですか。「外国に提供することがあります」といっておけばOK でしょうか。
- 改正法の施行前に収集を終えている個人データについても外国にある第三者に提供する場合などは同意が必要ですか。
- 契約書・覚書で個人情報取扱事業者の義務を確保するというのは、具体的にどのように記載すればよいのですか。
- グループ企業内で海外法人を含めて個人データをやりとりする場合、どのようにしたら本人の同意が不要になりますか。
- 外国にある第三者に提供する予定ですが、提供先がAPECのCBPRの加盟国でない(日本よりも低水準の個人情報保護法を設けている国の)場合にはどうしたらよいですか。
- 本人から、会社内で保有する個人データを削除するように要求がありました。応じる必要がありますか。
- 個人情報の開示等を求められた場合、本人であることをどのように確認したらよいですか。
- 個人情報の中でも匿名加工情報とは何ですか。
- 匿名加工情報の取り扱いには、どのような規制がありますか。
- 匿名加工情報において「作成したとき」に公表するという義務がありますが、これは作成するたびに毎回公表しなければならないのですか。
- 匿名加工情報を取り扱う予定はありませんが、匿名加工情報取扱規程を策定した方がよいでしょうか。
- 匿名加工情報として取り扱う際に、どこまで個人情報と思われるものを削除するべきか迷っているのですが、氏名と個人識別符号を削除すれば加工方法として十分ですか。
- データ移行のテストのために氏名を「●●」にしたデータを作成するのは、匿名加工情報の作成になりますか。
- 顧客からのクレームを社内で共有する際に、氏名を「●●」にするのは、匿名加工情報の作成になりますか。
- 統計情報が匿名加工情報ではないみたいですが、一体何が匿名加工情報になるのでしょうか。
- クラウドサービスを利用することはクラウド事業者に個人データを提供しているのかなと感じますが「委託」にあたりますか。
- クラウドサービスの利用が委託にあたらない場合、どのような規制が及びますか。
- 海外法人のクラウドサービスを利用している場合、海外にある第三者への提供として本人の同意が必要になりますか。
- 提供元の会社において個人データにあたらない情報は、提供先において個人データにあたるとしても自由に提供できるのでしょうか。
- 誰の情報かわからない匿名加工情報においても取り扱いによってプライバシー権を侵害するというケースはあり得ますか。
- 防犯カメラの設置により顔認証などの個人情報を取得してしまう点で気をつけるべきことはありますか。