1)Privacy basic 2)JP reg 2-1)Reg 2-2)Tool 2-3)Pmark 2-4)DX 2-5)My number 3)EU reg 4)China Reg

1)Privacy basic 1-1)History(Global and Japan) 1-2)Term 1-3)Global A)Cooperation B)Important term for int. coop. C)JP strategy

1)Privacy basic 1-1)History(Global and Japan) （１） ●Yellow journalism 1890年Warren論文　 Right to be alone （２） ●Computing 1967年Alan Westin プライバシーと自由 Dismissal of federal center control individual's right to control the circulation of information relating to oneself （３） ●Privacy act for public sector 1974 （４） ●1980 OECD guideline with 8 principles *Computing violates Privacy *Domestic regulations prevents free international circulation and economical growth. 1 収集制限の原則 個人データを収集する際には、法律にのっとり、また公正な手段によって、個人データの主体（本人）に通知または同意を得て収集するべきである。 2 データ内容の原則 個人データの内容は、利用の目的に沿ったものであり、かつ正確、完全、最新であるべきである。 3 目的明確化の原則 個人データを収集する目的を明確にし、データを利用する際は収集したときの目的に合致しているべきである。 4 利用制限の原則 個人データの主体（本人）の同意がある場合、もしくは法律の規定がある場合を除いては、収集したデータをその目的以外のために利用してはならない。 5 安全保護の原則 合理的な安全保護の措置によって、紛失や破壊、使用、改ざん、漏えいなどから保護すべきである。 6 公開の原則 個人データの収集を実施する方針などを公開し、データの存在やその利用目的、管理者などを明確に示すべきである。 7 個人参加の原則 個人データの主体が、自分に関するデータの所在やその内容を確認できるとともに、異議を申し立てることを保証すべきである。 8 責任の原則 個人データの管理者は、これらの諸原則を実施する上での責任を有するべきである。 （５） ●1981年「個人データの自動処理に係る個人の保護に関する条約」 Council of Europe *OECDガイドラインとの類似 *データ保護権の最初の枠組み *日本、USもオブザーバー （６） ●1995 EUデータ保護指令 *加盟国は３年以内に法制度整備義務 *域外移転は原則違法 （７） ●2000 EU safe harbor decision （８） ●2011 APEC CBPR Cross Border Privacy Rules 適合性認証システム Accountability Agent （９） ●2013 Amended OECD guideline with 8 principles （１０） ●2015 Schrems 1st Judgement ※スノーデン （１１） ●2016 GDPR （１２） EU-US Privacy shield (denied on 2020) （１３） ●2018 CCPA ●2020 CPRA CPPA: California Privacy Protection Agency （１４） ●2019 EU委員会による日本の十分性認定 （１５） ●2021 中国PIPL （１６） ●2022 Global CBPR 企業認証 （１７） EU-US Data Protection Framework 諜報活動への保護措置追加 ２段階の審査 2023 EU-US Data Protection Framework 欧州委員会十分制認定 （１８） 2024 G-CBPR 文書公表 （１９）日本の歴史 ●宴のあと事件　 私生活をみだりに公開されないと いう法的保障ないし権利 ●憲法１３条幸福追求権 ●私人による侵害は私法一般条項の憲法の趣旨を反映して解釈適用し間接的に保護する。 ●1980　OECD ●1988 行政機関個人情報保護法 ●1998 Pmark started 消費者意識向上、事業者の社会的信用というインセンティブ ※JIS-Q15001 2023 ●2003→2005 個人情報保護法制定 ●2015->2017 想定されていなかったデータ、3年見直し ●2020->2022 越境 ●2021->2023 一本化 ●2014 特定個人情報委員会 ●2016 個人情報委員会

1-2)Term ●情報プライバシー（information Privacy） 個人、グループ、または組織が、自分に関する情報がいつ、どのように、どの程度まで他者に伝達されるかを自ら決定する権利を有することをいいます。例えば、金融情報、医療情報、政府の記録、インターネット上の個人の活動記録等が含まれます。 ●身体に関するプライバシー（bodily privacy） 人の身体的存在とその侵害に焦点を当てたプライバシーです。このような侵害は、遺伝子検査、薬物検査、体腔検査等の形で行われる場合があります。また、避妊、中絶、養子縁組等の問題も含まれます。 ●領域に関するプライバシー（territorial privacy） 他の個人の生活に干渉する権限に制限を設けることに関係するプライバシーです。「生活」とは、家庭に限らず、職場や公共の場等も「生活」の定義に含まれる場合があります。個人の領域に関するプライバシーへの侵害は、通常、ビデオ監視、IDチェック、同様の技術や手続の使用等の監視の形がとられます。 ●通信に関するプライバシー（communications privacy） 郵便物、電話での会話、電子メールその他のコミュニケーション行動や機器を含む通信手段の保護が含まれます

1-3)Global A)Cooperation A1)GPA Global Privacy Assembly GPAリファレンスパネル A2)G7データ保護・プライバシー機関ラウンドテーブル 2023年 DFFT（Data Free Flow with Trust） 生成AIを始めとする先端技術 執行協力 A3)OECD デジタル経済政策委員会 デジタル経済セキュリティ・プライバシー作業部会 A4)APEC A5)APPA（Asia Pacific Privacy Authorities）（アジア太平洋プライバシー機関）フォーラム B)Important term for int. coop. B1)Data Localization 一定の重要データの越境移転を制限する法制度 ①データの移転そのものを制限するもの ②自国内に顧客などから収集したデータ（企業保有データ等も含む。）を保有・保管するために制限するもの(国内にも保管を要請など？) B2)DFFT: Data Free Flow with Trust 2024年1月31日、日本とEUとの間で、「経済上の連携に関する日本国と欧州連合との間の協定を改正する議定書」（日・EU経済連携協定改正議定書）の署名　7/1効力発生 C)JP strategy ＜内容＞ C1)DFFT G7 round table 生成AIに関する声明 GPAでも。 C2)相互認証の枠組み EU, Britain ●企業認証制度(CBPR) C3)グローバルなモデル契約条項 C4)リスク対応（無制限なガバメントアクセス、data localization） ＜方法＞ C5)国際協力 ●枠組みによる協力 ●二国間執行協力 ●法制度整備支援 ●各国行政、専門家のネットワーキングと、情報発信

2)JP reg 2-1)Reg A)Structure B)Basic concept C)4 rules C1)Obtain and Use C2)Store and Manage C3)3rd party C4)Claim D)Enforcement D1)Stats D2)域外適用 D3)匿名 D4)仮名 D5)個人関連情報 D6)認定個人情報団体 D7)適用除外

2-1)Reg A)Structure A1)目的 ●個人情報の有用性に配慮しつつ、個人の権利利益を保護する。 A2)個人情報保護委員会　 ●委員長１名委員８名　２０１６年より。 ●５ミッション 基本方針策定推進 監視監督 国際協力 苦情あっせん 広報啓発 ※マイナンバー法はデジタル庁が所管 A3)制度の官民一元化２０１７年　 業種横断　事業所管大臣に立ち入り検査等権限委任可能。重畳的管轄、管轄不明、の課題を解決。 ●個人情報・匿名加工情報など定義の統一 A4)保護法の下位ルール ５ガイドライン（通則、外国第三者、第三者提供記録、仮名匿名、認定団体）、１QA ※金融、医療、情報通信など、特定分野のガイドライン ※認定個人情報保護団体による自主規制ルール ※EU,英国十分制認定のための補完ルール

2-1)Reg B)Basic concept B1)個人情報 生存する個人に関する情報であって、 ①特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。） または ②個人識別符号が含まれるもの ●本人の氏名 ●生年月日、連絡先、所属に関する情報と本人の氏名を組み合わせた情報 ● 本人が判別できる映像情報（防犯カメラに記録された情報等） ●特定の個人を識別できる音声録音情報（本人の氏名が含まれる等） ●特定の個人を識別できるメールアドレス（kojin_ichiro@example.com 等） ●取得後、新たな情報が付加され、または照合された結果、識別できる場合 ● 官報等で公にされている特定の個人を識別できる情報 B2)個人識別符号 その情報だけでも特定の個人を識別できる番号、記号、符号等で、個人 情報に該当します。個人識別符号は、政令や規則で限定的に列挙 • 例えば ①DNA、歩行の態様等の生体情報で、特定の個人を識別するに足りるもの ②公的な番号として、パスポート番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、保険証番号 等 B3)要配慮個人情報 個人情報のうち、不当な差別、偏見その他の不利益が生じないように 取扱いに配慮を要する情報 • 人種 • 信条 • 社会的身分 • 病歴 • 犯罪の経歴 • 犯罪により害を被った事実 •心身の機能の障害 •「健康診断等」の結果 • 医師等により診療等が行われたこと •被疑者または被告人とする刑事手続 •少年の保護事件に関する手続 B4)「個人情報データベース等」 体系的に構成した、個人情報を含む情報の集合物や、 一定の規則（例えば、五十音順等）で整理・分類し、 特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているもの。 B5)「個人データ」 「個人情報データベース等」を構成する個人情報 B6)個人情報DBではない 不特定多数販売目的で実際に販売できる。 他の情報を加えずに本来の用途に供している （市販の電話帳、住宅地図、職員録、カーナビ等） 入力前の入力用帳票 B7)個人情報取り扱い事業者 個人情報ｄｂを事業のために使っている者 B8)保有個人データ 個人情報取り扱い事業者が要請対応権限のある個人データ ※半年以内消去予定でも対象と改正 B9)保有個人データではない４類型 ・本人に危害（家庭内暴力） ・違法行為誘発（反社） ・国の安全（要人行動予定） ・犯罪予防（振り込め詐欺使用口座）

C1)Obtain and Use 1.目的の特定 2.目的の通知・公表 3.取得適正（虚偽説明等） 4.利用目的制限の原則と例外 5.違法・他者被害助長禁止 6.要配慮個人情報(事前同意と例外)

C1)Obtain and Use　detailed 1.目的の特定 ●事業目的、マーケティング目的、はNG. ●行動関心を分析する場合はその旨。 2.目的の通知・公表 ●直接取得時は利用目的「明示」。黙示ではない意味。 ●以下は不要。 ・他者の権利（児童虐待）、 ・事業者の正当な利益（暴力団）、 ・国（被疑者）、 ・自明（名刺と連絡や広告宣伝メール送付） 3.取得適正（虚偽説明等） 4.利用目的制限の原則と例外 ●関連性があると通常予期できる変更は可能。 ●利用目的変更時は通知か公表。 ●本人同意のための連絡は目的内利用。 ●目的外利用ケース ・法令 ・生命等保護 ・公衆衛生（臨床試験）、児童育成 ・国 ・学術研究機関 5.違法・他者被害助長禁止 6.要配慮個人情報(事前同意と例外) ●通知公表ではなく同意 ●同意不要なケース ・法令 ・外形上明らか ・直接取得 ・法令 ・生命等保護 ・公衆衛生（臨床試験）、児童育成 ・国 ・学術研究機関

C2)Store and Manage 1.安全管理措置 2.正確性 3.漏えい報告（委員会、本人） 4.従業者監督 5.委託先監督

C2)Store and Manage detailed 1.安全管理措置 ●基本方針で意思を宣言 ●具体策を決めて規程化 ●組織策：責任者・状況確認方法・緊急対応手順・評価 ●人的対策：研修、就業規則 ●物理策：区域設定、盗難防止、運搬時対策、復元不能廃棄・証明 ●技術策：アクセス管理、不正アクセス対策、使用時漏洩対策 ●外的環境：外国規制把握 2.正確性（結局削除のこと） ●努力義務 ●保有の合理的理由がなくなれば、削除、識別不能化 3.漏えい報告（委員会、本人） ●閲覧可能でも報告 ●復元不能でも報告 ●個人データでなくともDB入力予定なら報告 ●発生時対応 社内報告・拡大停止・事実原因・影響範囲特定・再発防止・委員会と本人に報告・公表 ●報告対象：個人データ １件：要配慮・財産的損害・不正の目的 １０００件：その他 ●速報３－５日、確報３０日以内（不正目的６０日） ※いずれかの部署が知った時 ※期限日が土日祝日年末年始なら翌日。 ●本人通知不要 ・初期対応未了で被害拡大リスク ・漏洩可能性など対策不能でかえって混乱が生じる ・通知困難（連絡先がない、古い）で公表で代替 ●本人通知項目 概要、データ項目、原因、二次被害 4.従業者監督 監督義務違反 ・遵守状況未確認 ・不遵守放置 5.委託先監督 ●委託先提供に同意不要 ●選定、契約（対策指示、再委託方針）、評価

C3)3rd party 1.第三者提供制限と例外 2. 確認・記録 3. 外国第三者提供制限

C3)3rd party 1.第三者提供制限と例外 ●原則本人の同意が必要。 ●クラウドサービスは約款上個人データを取り扱うこととなっているかどうか。 ●提供先は個別明示不要。範囲属性は望ましい。 ●同意不要 ・法令、生命、公衆衛生児童・国・学術利用 ・オプトアウト ※所定事項の本人通知公表・委員会届出 （項目、取得方法、提供方法、請求方法、更新方法、開始予定日） ・委託 ・事業承継（合併、分社、事業譲渡。契約前も提供可だが安全管理目的の契約が必要。） ・共同利用（通知公表　項目・共同範囲・目的・責任法人代表者） 2. 確認・記録 ●（合法性の）確認 ・取得先・取得方法 ・取得契約書がよいが提供者の誓約書でもよい ●確認結果の記録（３年） ＜提供元＞ ・本人同意：第三者・本人氏名・項目・同意 ・オプトアウト：＋提供年月日　ー同意 ＜提供先＞ ・本人同意：＋取得経緯 ・オプトアウト：＋委員会公表 ※非業者から：ー同意 ●対象外 ・本人提供（SNS） ・本人の代理（振り込み） ・本人と一体（同席家族） ・公開 3. 外国第三者提供制限 ●外国にある法人は該当、外国法人の日本支店は非該当。 ●外国クラウド（個人情報を扱わない）に個人情報を保管するなら法制度調査の上国名公表義務（特定できないときはその旨と理由、参考情報として候補国名） ●同意獲得時の提供情報 ・国名 ・法令情報（有無、指標情報、OECDガイドライン対応、その他影響制度） ・提供先の保護措置 ●同意不要 ・日本と同等水準にある国（EEAと英国） or ・提供先の体制が適合（契約確認orCBPR。適合性の年１程度定期的確認、有事提供停止） or ・法令、生命、公衆衛生児童、国、学術研究

1. 管理事項公表 2. 利用目的通知請求 3. データ開示請求 4. 第三者提供記録開示請求 5. 訂正・追加・削除請求 6. 利用停止・消去・第三者提供停止請求 7. 理由説明 8. 請求受付方法指定 9. 裁判上の訴えの事前請求 10.苦情処理

C4)Claim 1. 管理事項公表 ●業者情報 ●利用目的 ●請求手続と手数料 ●安全管理措置（支障のない範囲で概括） ●苦情申出先 2. 利用目的通知請求 ●通知不要 ・公表で自明、生命、自社正当利益、国 ●不通知決定時には通知 3. データ開示請求 ●本人識別は詳細指定がない。 ●開示不要 ・本人利益（病名開示） ・業者の正当利益（採点情報） ・法令違反 4. 第三者提供記録開示請求 ●記録義務のある範囲のみ。 ●対象外（政令） ・生命（被害者支援） ・違法行為助長（暴力団） ・国（要人行動） ・犯罪予防（犯罪者） ●対象外（法） ・本人利益（病名開示） ・業者の正当利益（繰り返し請求） ・法令違反 5. 訂正・追加・削除請求 ●誤りとの理由で請求 ●利用目的達成に必要な範囲で調査 6. 利用停止・消去・第三者提供停止請求 ●法令違反理由による対応 ●必要性消滅・漏洩・権利侵害リスク理由による対応 ※保護されない目的のための請求は対応不要 ※対応困難な場合、金銭対応や再発防止約束など代替策もありえる。 7. 理由説明 ●努力義務 8. 請求受付方法指定 9. 裁判上の訴えの事前請求 ●裁判上請求する場合裁判外で前置。到着後２週間経過して提訴可能。 ●請求拒否時は２週間不要。 10.苦情処理 ●苦情申し出先の公表

D)Enforcement D1)Stats ●刑事罰　DB不正提供　個人１年、５０万円以下、法人１億円以下。 ●報告2023 7075件 ●報告徴収73 ●勧告3 ●指導助言333 ・決済代行業者の不正アクセス ・USBメモリ一時紛失 ・医療機関から医療機器メーカーに手術動画 ・グループ会社による閲覧・営業利用 ・別人証明書交付 ・破産者情報を地図データと連結 ・名刺システムのアクセスを転職先に ・オプトアウトで違法行為等助長リスク未確認 ・生成AI,サーマルカメラ

D)Enforcement D2)域外適用 ●外国業者が、日本国内者の個人情報を、物品サービス提供関連で取り扱う場合は適用。 ※外国親会社が日本法人従業員情報を労務目的で扱う場合は対象外。

D)Enforcement D3)匿名 ●匿名加工情報 特定の個人を識別することができないように個人情報を加工したもので、当 該個人情報を復元できないようにした情報 ●匿名加工情報を作成または第三者に提供する際、本人の同意は不要だが、項目・提供方法・提供情報が匿名加工である旨を公表。 ※社内安全管理の一環、あるいは統計情報作成目的なら対象外。 ●匿名加工基準：識別情報、識別符号、連結符号、特異な記述を削除 ●識別行為の禁止（他の情報との照合、加工情報取得）

D)Enforcement D4)仮名 ●他の情報と照合しない限り特定の個人を識別することができないように加工された個人に関する情報 ※対照表と照合すれば本人が分かる程度まで加工されたもの（照合が容易なら個人情報に該当） ●本人通知を想定していない（公表を想定） ※個人情報を加工した時は取得時公表不要だが、他者から取得したときは利用目的公表が必要、など。 第十七条第二項（利用目的変更の関連性による限定） 第二十六条（漏洩時報告） 第三十二条から第三十九条まで（請求対応） の規定は、適用しない。

D)Enforcement D7)適用除外 ●報道 ●著述 ●宗教 ●政治 ※学術研究　安全管理措置と請求対応は通常と同様

特定の個人を識別することができないように個人情報を加工したもので、当 該個人情報を復元できないようにした情報

不要

あらかじめ、第三者に提供される匿名加工情報に含 まれる①個人に関する情報の項目および②その提供方法を公表するとともに、③提供する情報が匿名 加工情報である旨を明示する必要があります

2-2)Tool A)Check list B)Internal Policy and Manual C)Data mapping

A)Why B)Definition and Scene C)3保護措置 C1)利用制限 C2)安全管理措置 C3)提供制限 D)廃棄 E)請求対応 F)評価 G)委員会監督・罰則 H)保護法との相違点

2-5)My number A)目的 ●社会保障、税、災害対策における行政運営の効率化 ●懸念：国家による一元管理、不正追跡、財産等被害 ●保護法の特例として、利用目的、再委託、第三者提供の厳格化。 B)定義 ●日本国内に住民票を持っている全住民に通知される、一人 ひとり異なる12桁の番号 C)利用目的の限定 C1)社会保障 ●年金 ●労働：雇用保険、ハローワーク ●福祉・医療・その他：医療保険、福祉分野の給付、生活保護の実施等 C2)税 ●確定申告 C3)災害対策 ●被災者生活再建支援金、被災者台帳 D)安全管理措置の厳格化 ●再委託には委託者の許諾が必要。 ●可能な利用目的以外で、個人番号の提供を求めてはならない。収集保管も。 ●本人から提供を受ける場合は本人確認。 E)廃棄 ●保存期間経過後は削除廃棄しなければならない。 ※保護法は努力義務 G)第三者提供 ●記録作成不要