個人情報の漏洩について、個人情報保護法やガイドラインでどのように定められているかを説明します。
「漏洩」に該当するかどうか微妙な事例についても紹介します。
個人情報の漏洩についてのクレームとは、「貴社に登録した個人情報を使ったと思われるダイレクトメールが届いている」「貴社に登録したクレジットカードで不正利用が発生した」などのお問い合わせやクレームのことです。
初期対応から事実関係の調査・公表までの一連の経過において対応方法を間違えると、漏洩の発覚が遅れ、不測の損害を被るおそれがあります。根拠のないクレームだと軽視することなく、慎重に対応しましょう。
個人情報の漏洩についての当局報告とは、個人情報保護法に定められている4つの類型のいずれかの「事態」が発生した際に、個人情報保護委員会に行う報告のことです。
一定の要件をみたす個人情報の漏洩事案が生じた場合は、当局報告を行わなければなりません。
報告義務が生じる要件や、個人情報保護委員会などの報告先、報告方法について説明します。
個人情報の漏洩についての本人通知とは、個人情報の漏洩が生じたことを本人に通知することです。
個人情報保護法により、一定の類型に該当する漏洩事案では、本人通知を行わなければなりません。
本人通知が必要となる場合や、通知すべき事項について解説します。
個人情報保護法の第三者提供を行うには、あらかじめ本人の同意を得なければならないのが原則です。
本人から同意を得ることが難しい場合には、例外規定を活用して本人の同意なしで提供できるかどうかを検討することになります。
「提供元基準」「提供元基準」は、個人情報の第三者提供に当たるかどうかを判断するための2種類の考え方です。
「提供元基準」「提供元基準」の内容と、これらの違いを説明します。
なお、個人情報の第三者提供に関する一般的な解説については、「個人情報の第三者提供とは(定義、例外)」を参照してください。
コラムを読む
委託先に対する個人情報の提供については、個人情報保護法で定める要件をみたせば、本人の同意を得る必要はありません。
委託に伴う提供が許される範囲と、委託先に対する監督方法について確認しましょう。
共同利用者間における個人情報の提供は、一定の要件をみたせば、本人の同意を得る必要はありません。
ただし、個人情報保護法で許される範囲を超えた提供を行ってしまうと、同意なく第三者提供を行ったとの評価を受けるおそれもあります。
個人情報の共同利用とは何か、定義を確認しましょう。
ChatGPTなどの生成AIを活用したサービスが普及しつつありますが、企業が生成AIを利用するにあたっては、生成AIの利用により生じる法的論点にも配慮が必要です。
生成AIの利用に関する個人情報保護法上の論点を解説します。