皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日の投稿の文末で、「『セブンｰイレブン』ともあろう大手企業が何故これほどまでにお粗末なミステイクを犯してしまったのかは謎である」ことを書きましたが、報道で流れる記者会見の内容を見る限りでは『単なるわかっていない方達』という印象しかありませんでした。

そんな彼らの『犯した罪』は彼らが想像している以上に大きな問題です。

7payはスマホ決済への信頼を損ねた

昨日に続き『個人向け』のような記事なってしまいますが、これは『事業者』にとっても他人事ではないような気もします。

さて、今回の『7pay』の『アカウント乗っ取り』、『不正利用』問題に関してですが、彼らは『モバイル決済（キャッシュレス）サービス』を行ってはいけないタイプの考え方に受け取れます。

それは『脆弱性は見つからなかった』という発言がすべてです。

『システム』や『セキュリティ』というものを知らない方々なのか、あのような仕様でそのようなことを繰り返し強調できるというのは非常に恐ろしい方々であるとしか言いようがないと思えます。

また、『クレジットカード会社に連絡を！』＆『警察に被害届を出して！』の一点張りで『コールセンター』の対応にもがっかりし、もう『モバイル決済（キャッシュレス）サービス』を使いたくないという意見も出ています。

この問題、『7pay』だけの問題ではなくなりそうです。

『○○Pay』という『モバイル決済（キャッシュレス）サービス』全体に対する信頼を損ねてしまったような状況になってしまっています。

今後このような『大失態』が繰り返されないよう、『モバイル決済（キャッシュレス）サービス』に対する『ガイドライン』を設け、それをクリアしたものだけがリリースされるくらいにした方が良いのではないでしょうか。

＜個人情報の保護に関する法律＞

第23条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
１　法令に基づく場合
２　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
３　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
４　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先日、『Tカード』の運営会社が裁判所の令状なしに捜査当局に個人情報を提供していた問題が物議を醸す事態となっています。

さて、あなたの会社の『個人情報保護方針』はどのようになっていますか？

Tカード問題を自社に置き換えた場合

今回『Tカード』の運営会社が行った内容は、

警察からの『捜査関係事項照会書』に回答をしたということです。

これが法的に問題か？と言うとそうではありません。

冒頭に書いた『個人情報の保護に関する法律』の『法令に基づく場合』に該当するため問題ではありません。

（他にも『裁判官の発する令状に基づく捜査』、『税務署の所得税等に関する調査』、『弁護士会からの照会』なども『法令に基づく場合』に該当します。）

問題視されているのは『個人情報保護方針』などに明記されずに内々だけで方針を変更していたことが大きいです。

つまり、予め『個人情報保護方針』などにおいて『法令に基づく場合』は個人情報の提供をすることがある旨を開示しておけば良かった話しかと思います。

（問題視された後、同社は2019年1月21日付にて個人情報保護方針を改訂しています。）

さて、あなたの会社の『個人情報保護方針』はどのように明記されていますか？

そこが問題です。

個人情報を本人の同意なく第三者に提供はしないものの、法令に基づく場合は例外として提供することがあるということが明記されているかどうかです。

ただし、『法令に基づく場合』の要請であったとしても社内的な精査を行うか、弁護士に相談するなど慎重な対応が必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、いよいよ改正個人情報保護法が施行されたわけですが、近しいところに聞いた限りでは全くもってその認識はありませんでした。

そのようなこともあり、今日は改正個人情報保護法のおさらいです。

改正個人情報保護法の基本をチェック

まず、今まで適用除外とされていた小規模事業者（保有する個人情報が5000人以下の企業）に対しても個人情報保護法の対象になります。

個人事業主も例外ではなく、『個人情報を取得して、事業の用に供する者』すべてが対象になります。

そして、以下のことが必要になってきます。

１．個人情報を取得する際、利用目的を定め、本人に告知する

予め利用目的を特定し、本人に伝えるか、ホームページや店頭での掲示などにて公表する必要がある

２．取得した個人情報は定めた目的以外には使用しない

取得した個人情報は特定した利用目的の範囲内で利用する

取得済みの個人情報を特定の目的以外で利用したい場合、予め本人の同意が必要

３．取得した個人情報は安全に管理する

電子ファイルのパスワード保護、セキュリティソフトの活用、紙媒体は施錠可能なところに保管など

４．個人情報を第三者に提供する際、本人の同意を得る

個人情報を第三者に提供する場合は、原則、本人の同意が必要

法令に基づく『警察からの照会』などの場合、災害時などの人命に関わる場合で本人から同意を得るのが困難な場合、商品配送時の配送業者への業務委託などは同意が不要

５．本人からの『個人情報の開示請求』に応じる

保有している個人情報に関して、本人からの開示、訂正等の請求に応じる必要がある

これらのことを基本に、個人情報を保護しなければいけません。

当然、個人情報保護に対する社員教育も必要になります。

参考として、以下の記事もご覧ください。

『改正個人情報保護法施行日迫る』

『個人情報保護法を再度確認する』