基礎から学び直す個人情報保護法と最新の実務対応

##基礎から学び直す個情法と最新実務対応【弁護士向け】基礎から学び直す個人情報保護法と最新の実務対応 2025.3.17 於 GVA TECH株式会社

##基礎から学び直す個情法と最新実務対応「インターネット企業」と「法律事務所LEACT」で兼業をしています 2 世古修平（せこしゅうへい） ◼ インターネット企業（インハウス・正社員） ◼
法律事務所LEACT（弁護士 66期） ◼ IPA 独立行政法人情報処理推進機構（試験委員） ◼ 経済産業省（電子商取引及び情報財取引等に関する準則研究会委員）

##基礎から学び直す個情法と最新実務対応【@ インターネット企業】法務部門ではなく、プライバシー部門でインハウスとして働いています 3 投影のみ

##基礎から学び直す個情法と最新実務対応【@ 法律事務所LEACT】企業の法務部と、事務所の弁護士の先生方にサービスを提供しています 4 法務部向けサービス弁護士向けサービス出所：https://www.leact.law/

##基礎から学び直す個情法と最新実務対応【近刊】先月、シティライツ法律事務所の伊藤先生・倉﨑先生と本を出しました 5 出所：https://www.daiichihoki.co.jp/store/products/detail/105046.html

##基礎から学び直す個情法と最新実務対応感想はぜひ、随時X（旧Twitter）でハッシュタグを付けて教えてください 6 #基礎から学び直す個情法と最新実務対応

##基礎から学び直す個情法と最新実務対応そういえば、2025年からデスクに設置している画面が少し増えました 7

##基礎から学び直す個情法と最新実務対応本日はお忙しい中、本セミナーにご参加いただきありがとうございます 8

##基礎から学び直す個情法と最新実務対応本日のセミナーは、二弁でご好評いただいた研修のダイジェスト版です 9

##基礎から学び直す個情法と最新実務対応私が今年、この研修の講師に呼んでいただいた理由は何だろう？ 10 過去の講師陣

##基礎から学び直す個情法と最新実務対応私が今年、この研修の講師に呼んでいただいた理由は何だろう？ 11 過去の講師陣

##基礎から学び直す個情法と最新実務対応きっと、よりベーシックな部分のわかりやすさが求められているんだろう 12 公開している過去セミナー資料出所：https://speakerdeck.com/seko_shuhei

##基礎から学び直す個情法と最新実務対応わかりやすさ・企業内実務の生っぽさに振り切ってお届けしようと思います 13

##基礎から学び直す個情法と最新実務対応ここからの内容は、講師（世古）が普段の研修で用いている内容を含みます 16 ◼ 「基礎から振り返る個人情報保護法の実務対応」とはいえ、弁護士の皆さん相手には少し簡単すぎるかもしれません ◼ 簡単だなと感じた場合 ➢ 顧問先・勤務先で自分が研修をするとしたら…といった視
点で見ていただけると嬉しいです ➢ 非法律家向けの説明では一定の単純化もしています ◼ 難しいなと感じた場合 ➢ 個人情報保護法は難しく不親切な法律だと思います ➢ ぜひ資料も復習いただき理解を深めてください

##基礎から学び直す個情法と最新実務対応本日のお品書き ◼ 個人情報保護法の基礎 ➢ 個人情報保護法はなぜ難しい？ ➢ 個人情報の定義を正確に理解しよう ◼ 実務対応
➢ プラポリ作ってください ➢ 漏えいしちゃいました ➢ SaaSにデータ入れていいですか ➢ 今のプラポリで、協力会社に個人データを提供できますか ➢ 広告配信にメールアドレスを使っていいですか

##基礎から学び直す個情法と最新実務対応個人情報保護法が難しい理由は、大きく4つあると考えています 21 日常用語との乖離 1 技術理解の必要性 2 余白の広さ 3 裁判例の少なさ
4

##基礎から学び直す個情法と最新実務対応【理由①】日常用語との乖離がある 22 日常用語技術理解 ① ② 余白裁判例 ③
④

##基礎から学び直す個情法と最新実務対応日常用語として使う「個人情報」との間で定義に差異があるために 23 日常用語技術理解 ① ② 余白裁判例 ③
④ 氏名や住所のことですよね

##基礎から学び直す個情法と最新実務対応非法律家の方の、このような誤解を防ぎ切ることが難しいと感じます氏名や住所のことですよね個人情報（＝氏名や住所）は含まれていません 24 日常用語技術理解 ① ②
余白裁判例 ③ ④

##基礎から学び直す個情法と最新実務対応【理由②】技術理解が求められる 25 日常用語技術理解 ① ② 余白裁判例 ③
④

##基礎から学び直す個情法と最新実務対応とりわけ「データベース」についての理解は、この法律の根幹に関わります 26 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-6 日常用語技術理解 ① ② 余白裁判例
③ ④

##基礎から学び直す個情法と最新実務対応【ご参考】この辺りの本は、技術の初学者にもわかりやすくてお勧めです 27 出所：https://amzn.asia/d/gn7mqLf, https://amzn.asia/d/2FLEJ7j Web一般データベース日常用語技術理解
① ② 余白裁判例 ③ ④

##基礎から学び直す個情法と最新実務対応広告領域では、この技術理解を前提にビジネスを理解することになります 28 Cookie 出所：https://www.ebis.ne.jp/column/conversion-api-tools/, https://bruceclay.jpn.com/column/customer-match/ https://www.lycbiz.com/jp/column/yahoo-ads/marketing/cookiecookie-ads/ 日常用語技術理解 ①
② 余白裁判例 ③ ④

##基礎から学び直す個情法と最新実務対応広告領域では、この技術理解を前提にビジネスを理解することになります 29 Cookie カスタマーマッチ出所：https://www.ebis.ne.jp/column/conversion-api-tools/, https://bruceclay.jpn.com/column/customer-match/ https://www.lycbiz.com/jp/column/yahoo-ads/marketing/cookiecookie-ads/ 日常用語技術理解
① ② 余白裁判例 ③ ④

##基礎から学び直す個情法と最新実務対応広告領域では、この技術理解を前提にビジネスを理解することになります 30 Cookie カスタマーマッチコンバージョンAPI 出所：https://www.ebis.ne.jp/column/conversion-api-tools/, https://bruceclay.jpn.com/column/customer-match/ https://www.lycbiz.com/jp/column/yahoo-ads/marketing/cookiecookie-ads/ 日常用語
技術理解 ① ② 余白裁判例 ③ ④

##基礎から学び直す個情法と最新実務対応【理由③】余白の広さ 31 日常用語技術理解 ① ② 余白裁判例 ③
④

##基礎から学び直す個情法と最新実務対応海外法、社会情勢パブコメガイドライン、Q&A 超重要な情報が「個人情報保護法」には何も書いてないことがままあります 32 個人情報保護法日常用語技術理解 ①
② 余白裁判例 ③ ④

##基礎から学び直す個情法と最新実務対応【理由④】裁判例の少なさ 33 日常用語技術理解 ① ② 余白裁判例 ③
④

##基礎から学び直す個情法と最新実務対応実務的にあり得ないような主張が、是正される機会が少ないような気も… 34 畢竟独自の見解日常用語技術理解 ① ② 余白裁判例
③ ④

##基礎から学び直す個情法と最新実務対応法律は、個人情報について階層的に定義を置いています 36 個人情報個人データ保有個人データ

##基礎から学び直す個情法と最新実務対応まずは一番外側の、個人情報の定義について説明していきます 37 個人情報個人データ保有個人データ

##基礎から学び直す個情法と最新実務対応難しさの主たる原因は、日常用語と法律用語で定義に乖離があることです 38 法律用語での「個人情報」日常用語での「個人情報」

##基礎から学び直す個情法と最新実務対応条文を読んでみましょう 39 第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

##基礎から学び直す個情法と最新実務対応 40 まずは「生存する個人に関する情報」であることが個人情報の要件です第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

##基礎から学び直す個情法と最新実務対応 41 この点について、ガイドラインの解説を読んでみると… 第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限
られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。ガイドライン重要ポイント①

られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。ガイドライン重要ポイント②

られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。ガイドライン重要ポイント③

##基礎から学び直す個情法と最新実務対応 44 このように、生存する個人に関する情報は非常に範囲が広いです第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるものアクセスログ
推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴

##基礎から学び直す個情法と最新実務対応 45 日常用語では、基本4情報だけを個人情報と呼んだりもしますが第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるものアクセスログ

##基礎から学び直す個情法と最新実務対応 46 法律上はこれら全てが個人情報になり得ます第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるものアクセスログ

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 47 その上で、条文は個人情報に「次の各号」への該当性を求めています

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 48 つまり、ここの条件を満たした上で

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 49 かつ、かつ

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 50 こちらも同時に満たしたものが、法律上の「個人情報」になるわけですかつ

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 51 一号と二号がありますが、今日は一号について掘り下げて説明します

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 52 一号は、

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 53 本文部分（一行目）と

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 54 かっこがき部分（二行目）に分かれます

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 55 まずは一号の本文部分から読んでいきましょう

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 56 出所：https://doctorstretch.com/reserve/contact/ 具体のイメージを持ってもらうため、実際の申し込みフォームで見てみます

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 57 前提として、これらの項目は全て「生存する個人に関する情報」ですよね

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 58 その上で、これらの情報が一号本文「にも」該当するかを検討します

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 59 この時、どうしても「氏名」に注目してしまいがちなのですが氏名

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 60 条文には、「もの」全体が個人情報に該当すると書いてありますもの

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 61 むしろ「氏名、生年月日その他の」を消す方が読みやすいかもしれませんもの

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 62 つまり、この「氏名」の部分が個人情報なのではなく氏名

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 63 「もの」全体が個人情報に該当すると読まなければいけない訳ですもの

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 64 その結果、「もの」に含まれるのであれば構成要素も個人情報に該当します希望コース
希望日希望店舗

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 65 【中間まとめ】氏名、生年月日と同じまとまりの中にある情報は個人情報に該当します
アクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報

##基礎から学び直す個情法と最新実務対応第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 66 続いて、一号のかっこがきを読んでいきましょう

##基礎から学び直す個情法と最新実務対応ユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザーID Aサービス利用履歴情報
00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 67 ここで「ユーザー登録情報」と「利用履歴情報」のテーブルを想定します

##基礎から学び直す個情法と最新実務対応ユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 68 ユーザー登録情報は氏名を含み、先ほどの説明の通り全体が個人情報ですがアクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報

##基礎から学び直す個情法と最新実務対応ユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 69 利用履歴情報のテーブルには、氏名が含まれていないのが注目ポイントですアクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報

##基礎から学び直す個情法と最新実務対応ユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 70 ここで、利用履歴情報は「個人情報」になるのでしょうか？アクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報

00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 71 かっこがきは、「容易に照合」できるものは個人情報に含むといっています

00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 72 企業は一般に、データを活用する上でユーザーに対してIDを割り振りますが

00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 73 ユーザーIDはテーブル間での照合を容易にする機能を果たしていますユーザーIDで容易に照合

00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 74 そのため、「ユーザー登録情報」が個人情報であることは当然の前提としてこちらだけでなく

00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 75 「利用履歴情報」も、かっこがきにより個人情報に該当することになりますこちらも個人情報

##基礎から学び直す個情法と最新実務対応ユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 76 ユーザーIDに紐づく個人に関する情報は、基本的に全て個人情報です

##基礎から学び直す個情法と最新実務対応続いて、個人情報の一部である「個人データ」について説明します 77 個人情報個人データ保有個人データ

##基礎から学び直す個情法と最新実務対応少し読みにくいので間引いてみます 78 第十六条（略）「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの（利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。）をいう。一特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの二前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの（略）
3 この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

##基礎から学び直す個情法と最新実務対応少し読みにくいので間引いてみます 79 第十六条（略）「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの（利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。）をいう。一特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの二前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの（略）
3 この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

##基礎から学び直す個情法と最新実務対応この区別を知っていると何が嬉しいの？ 80

##基礎から学び直す個情法と最新実務対応最後に、保有個人データについて説明します 81 個人情報個人データ保有個人データ

##基礎から学び直す個情法と最新実務対応こちらも少し文言を間引いてみます 82 第十六条４この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。

##基礎から学び直す個情法と最新実務対応こちらも少し文言を間引いてみます 83 第十六条４この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。

##基礎から学び直す個情法と最新実務対応日常用語との差異を意識しつつ、定義を正確に理解しましょう 84 個人情報個人データ保有個人データ

##基礎から学び直す個情法と最新実務対応よく寄せられるクライアントからの相談を、ケースごとに解説します 86

##基礎から学び直す個情法と最新実務対応プライバシーポリシーは、結構気軽にご依頼いただく印象があります 89 「同業他社のコピペでいけますよね」「特商法と合わせて5万円でお願いします」

##基礎から学び直す個情法と最新実務対応そういったニーズも否定しませんが、今日は「そもそも」の話から始めます 90

➢ プラポリ作ってください • なぜプライバシーポリシーを作るのか • 何をプライバシーポリシーに書けばいいのか • 落としがちな内容って？ ➢ SaaSにデータ入れていいですか ➢ 漏えいしちゃいました ➢ 今のプラポリで、協力会社に個人データを提供できますか ➢ 広告配信にメールアドレスを使っていいですか

##基礎から学び直す個情法と最新実務対応日本には、プライバシーポリシーの作成を義務付ける法律はありません* 93 *「金融分野における個人情報保護に関するガイドライン」などでは若干の言及あり

##基礎から学び直す個情法と最新実務対応それでもなぜ、事業者がプライバシーポリシーを作成するかというと… 94 第三十二条 1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
2. 全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの知り得る状態に置かなければならない

➢ プラポリ作ってください • なぜプライバシーポリシーを作るのか • 何をプライバシーポリシーに書けばいいのか • 落としがちな内容って？ ➢ 漏えいしちゃいました ➢ SaaSにデータ入れていいですか ➢ 今のプラポリで、協力会社に個人データを提供できますか ➢ 広告配信にメールアドレスを使っていいですか

##基礎から学び直す個情法と最新実務対応それでは具体的に「次に掲げる事項」を見てみましょう 96 第三十二条 1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
2. 全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの

##基礎から学び直す個情法と最新実務対応対応が必要な事項は「1号」から「4号」に分かれており 97 第三十二条 1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
2. 全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの

##基礎から学び直す個情法と最新実務対応 4号ではさらに、詳細を政令に飛ばしています 98 次頁詳細第三十二条 1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者
の氏名 2. 全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの

##基礎から学び直す個情法と最新実務対応そして「政令で定めるもの」は、具体的にいうと… 99 政令第十条法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 1. 法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。） 2.
当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 3. 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先政令の定め

##基礎から学び直す個情法と最新実務対応うーんと、なるほど…？ 100

##基礎から学び直す個情法と最新実務対応プライバシーポリシーとは「何か」を定めていないので、理解が定着しない 101 えーっと、なんか… 利用目的とか安全管理措置を定めた文書ですよね。

##基礎から学び直す個情法と最新実務対応【ボトムアップ】ではなく、【トップダウン】で俯瞰的に考えてみましょう 102

##基礎から学び直す個情法と最新実務対応そこで、Privacy policyの作成が義務付けられている国の法律を見てみます 103

##基礎から学び直す個情法と最新実務対応アメリカ（カリフォルニア州）での位置付けを見てみましょう 104 CCPA / CPRA § 7011. Privacy Policy.
(e) The privacy policy shall include the following information: 1.the business’s online and offline practices regarding the collection, use, sale, sharing, and retention of personal information 2.An explanation of the rights that the CCPA confers on consumers regarding their personal information 3.An explanation of how consumers can exercise their CCPA rights and consumers can expect from that process 4.Date the privacy policy was last updated.

##基礎から学び直す個情法と最新実務対応 § 7011. Privacy Policy. (e) The privacy policy shall
include the following information: 1.the business’s online and offline practices regarding the collection, use, sale, sharing, and retention of personal information 2.An explanation of the rights that the CCPA confers on consumers regarding their personal information 3.An explanation of how consumers can exercise their CCPA rights and consumers can expect from that process 4.Date the privacy policy was last updated. 単純化すると、「データの取扱い」と「権利」の記載を求めています 105 CCPA / CPRA プライバシーポリシーには、以下の情報を含めるものとする：・個人情報の取得、利用、販売、共有、および保持に関する事業者のオンラインおよびオフラインでの慣行・CCPAが消費者に与える個人情報に関する権利の説明・消費者がCCPAの権利を行使する方法と、そのプロセスから消費者が期待できることの説明・プライバシー・ポリシーの最終更新日

##基礎から学び直す個情法と最新実務対応なるほど、そうだとすると翻って… 106

##基礎から学び直す個情法と最新実務対応日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 107 法第三十二条 1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2.
全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの政令第十条法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。） •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先

##基礎から学び直す個情法と最新実務対応日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 108 法第三十二条 1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2.
全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの政令第十条法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。） •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先 ①「データの取扱い」についての記載

##基礎から学び直す個情法と最新実務対応日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 109 ②「権利」についての記載法第三十二条 1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
2. 全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの政令第十条法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。） •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先

##基礎から学び直す個情法と最新実務対応日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 110 ③その他の事務的な記載法第三十二条 1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
2. 全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの政令第十条法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。） •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先

##基礎から学び直す個情法と最新実務対応【まとめ】結局、プライバシーポリシーには何を書けばいいのか 111 プライバシーポリシーの要素 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと

##基礎から学び直す個情法と最新実務対応まずは、事業者における取得〜消去までのデータの取扱いを書きます 112 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと ◼ 個人情報保護法 ➢ 保有個人データの適正な取扱いの確保に関
し必要な事項 ◼ CCPA / CPRA ➢ 個人情報の取得、利用、販売、共有、および保持に関する事業者のオンラインおよびオフラインでの慣行取得利用安全管理提供消去

##基礎から学び直す個情法と最新実務対応つづいて、本人に法律上認められた権利とその行使方法を書きます 113 1.事業者のデータの取扱い 3.その他事務的なこと 2.本人の権利 What How ◼ 個人情報保護法
➢ 請求に応じる手続 ◼ CCPA / CPRA ➢ CCPAが消費者に与える個人情報に関する権利の説明 ➢ 消費者がCCPAの権利を行使する方法と、そのプロセスから消費者が期待できることの説明

##基礎から学び直す個情法と最新実務対応最後に、その他の事務的な（けれども大事な）ことを書きます 114 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと ◼ 個人情報保護法 ➢ 当該個人情報取扱事業者の氏名又は名称及
び住所並びに法人にあっては、その代表者の氏名 ◼ CCPA / CPRA ➢ プライバシー・ポリシーの最終更新日

##基礎から学び直す個情法と最新実務対応プライバシーポリシーには何を書けばいいか、ざっくり理解できましたか？ 115 プライバシーポリシーの要素 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと

##基礎から学び直す個情法と最新実務対応インシデントについての相談は、ある日突然やってきます 117

##基礎から学び直す個情法と最新実務対応しかもなぜか、「こと」はGWなどの長期休暇前や年末年始に起こりがち… 118

##基礎から学び直す個情法と最新実務対応満足度の振れ幅は大きく、外部専門家としての頑張りどころだと感じます 119

##基礎から学び直す個情法と最新実務対応【役割①】冷静にインシデント対応の全体像を描いてあげる 120 【個人情報保護委員会への報告】法第二十六条 1 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損（中略）が生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければ
ならない。【確報】規則第八条 2 前項の場合において、個人情報取扱事業者は、当該事態を知った日から30 日以内（当該事態が前条第 3 号に定めるものである場合にあっては、60 日以内）に、当該事態に関する前項各号に定める事項を報告しなければならない。

##基礎から学び直す個情法と最新実務対応【役割②】官公庁とのコミュニケーションをサポートする 121

##基礎から学び直す個情法と最新実務対応【役割③】社内担当者間のコミュニケーションをとりもつ 122

##基礎から学び直す個情法と最新実務対応【役割③】社内担当者間のコミュニケーションをとりもつ 123 法務技術広報・渉外経営・事業

##基礎から学び直す個情法と最新実務対応一方で、インシデント対応の何が辛いかというと… 124 法律についての誤解実務上の落とし穴個人情報の定義 1 漏えいの定義 2 漏えい元基準
3 おそれの定義 4 経営層の反対 1 技術理解の不足 2 グループ間共有 3 部署間連携 4

➢ プラポリ作ってください ➢ 漏えいしちゃいました • 法律についての誤解 • 実務上の落とし穴 ➢ SaaSにデータ入れていいですか ➢ 今のプラポリで、協力会社に個人データを提供できますか ➢ 広告配信にメールアドレスを使っていいですか

##基礎から学び直す個情法と最新実務対応個人情報の定義がブレていると、永遠に前提事実を確定できません 127 法律の誤解実務上の落とし穴個人情報の定義漏えいの定義 ① ② 漏えい元基準
おそれの定義 ③ ④

##基礎から学び直す個情法と最新実務対応個人情報の定義がブレていると、永遠に前提事実を確定できません 128 （法律用語での）個人情報は漏えいしていないですか？法律の誤解実務上の落とし穴個人情報の定義漏えいの定義
① ② 漏えい元基準おそれの定義 ③ ④

##基礎から学び直す個情法と最新実務対応個人情報の定義がブレていると、永遠に前提事実を確定できません（日常用語での）個人情報は漏えいしていません 129 （法律用語での）個人情報は漏えいしていないですか？法律の誤解
実務上の落とし穴個人情報の定義漏えいの定義 ① ② 漏えい元基準おそれの定義 ③ ④

##基礎から学び直す個情法と最新実務対応やはり普段から、定義の浸透を図っておいてもらうことが重要です法律の誤解実務上の落とし穴個人情報の定義漏えいの定義 ① ② 漏えい元基準おそれの定義
③ ④ 130

##基礎から学び直す個情法と最新実務対応「漏えい」の定義は結構シンプルです 131 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-1 法律の誤解実務上の落とし穴個人情報の定義漏えいの定義 ① ②
漏えい元基準おそれの定義 ③ ④

##基礎から学び直す個情法と最新実務対応例えばこんなケースは「漏えい」に該当するでしょうか設定ミスにより、ユーザーの情報が意図せず公開され、 Googleにクローリングされて検索可能な状態になってしまったが、それ以上のアクセスは確認されていない 132 法律の誤解実務上の落とし穴個人情報の定義漏えいの定義
① ② 漏えい元基準おそれの定義 ③ ④

##基礎から学び直す個情法と最新実務対応これは漏えいに該当します 133 法律の誤解実務上の落とし穴個人情報の定義漏えいの定義 ① ② 漏えい元基準
おそれの定義 ③ ④ 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-1

##基礎から学び直す個情法と最新実務対応先ほどの「ユーザー登録情報」と「利用履歴情報」を思い出してくださいユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザーID Aサービス
利用履歴情報 00001 00002 ユーザー登録情報利用履歴情報法律の誤解実務上の落とし穴個人情報の定義漏えいの定義 ① ② 漏えい元基準おそれの定義 ③ ④ 134

##基礎から学び直す個情法と最新実務対応ここで「ユーザー登録情報」が被害にあった場合… ユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報法律の誤解
実務上の落とし穴個人情報の定義漏えいの定義 ① ② 漏えい元基準おそれの定義 ③ ④ 135

##基礎から学び直す個情法と最新実務対応個人データの「漏えい」に該当するという結論に違和感はないと思いますユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報法律の誤解
実務上の落とし穴個人情報の定義漏えいの定義 ① ② 漏えい元基準おそれの定義 ③ ④ 136

##基礎から学び直す個情法と最新実務対応それでは、「利用履歴情報」が被害にあった場合はどうでしょうか？ユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報法律の誤解実務上の落とし穴
個人情報の定義漏えいの定義 ① ② 漏えい元基準おそれの定義 ③ ④ 137

##基礎から学び直す個情法と最新実務対応ここについては、個人情報保護委員会から答えが出ていますユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報 ”対象となった情報が個人データに該当するかどうかは、当該個人データを漏えい等した個人情報取扱事業者を基
準に考えることになります。” 出所：「個人情報の保護に関する法律についてのガイドライン（通則編）の一部を改正する告示案」に関する意見募集結果（ https://public-comment.e- gov.go.jp/servlet/PcmFileDownload?seqNo=0000223334 ）法律の誤解実務上の落とし穴個人情報の定義漏えいの定義 ① ② 漏えい元基準おそれの定義 ③ ④ 138

##基礎から学び直す個情法と最新実務対応つまり、「漏えい先」にとってその情報が個人データか否かは関係なくユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報法律の誤解実務上の落とし穴

##基礎から学び直す個情法と最新実務対応「漏えい元」が個人データとして管理するデータが漏れたら漏えいなのですユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報ユーザーID 氏名
電話番号メールアドレス 00001 00002 ユーザー登録情報法律の誤解実務上の落とし穴個人情報の定義漏えいの定義 ① ② 漏えい元基準おそれの定義 ③ ④ 140

##基礎から学び直す個情法と最新実務対応よって、「利用履歴情報」が単独で被害にあった場合も漏えいに該当しますユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報法律の誤解実務上の落とし穴

##基礎から学び直す個情法と最新実務対応漏えいは、「おそれ」があれば個人情報保護委員会への報告が必要です 142 法律の誤解実務上の落とし穴個人情報の定義漏えいの定義 ① ② 漏えい元基準

##基礎から学び直す個情法と最新実務対応この「おそれ」は、中身があるようでない定義にいつも悩まされます 143 法律の誤解実務上の落とし穴個人情報の定義漏えいの定義 ① ② 漏えい元基準

##基礎から学び直す個情法と最新実務対応 PPCと交渉する上では、技術系コンサル企業のレポート等も結構役立ちます 144 法律の誤解実務上の落とし穴個人情報の定義漏えいの定義 ① ② 漏えい元基準

➢ プラポリ作ってください ➢ 漏えいしちゃいました • 法律についての誤解 • 実務上の落とし穴 ➢ SaaSにデータ入れていいですか ➢ 今のプラポリで、協力会社に個人データを提供できますか ➢ 広告配信にメールアドレスを使っていいですか

##基礎から学び直す個情法と最新実務対応続いて実務上の落とし穴をご説明します 146 法律についての誤解実務上の落とし穴個人情報の定義 1 漏えいの定義 2 漏えい元基準
3 おそれの定義 4 経営層の反対 1 技術理解の不足 2 グループ間共有 3 部署間連携 4

##基礎から学び直す個情法と最新実務対応「これ本当に報告しなきゃいけないの」 147 法律の誤解実務上の落とし穴経営層の反対技術理解の不足 ① ② グループ間共有
部署間連携 ③ ④

##基礎から学び直す個情法と最新実務対応インシデント対応訓練で「報告」を現実感を持って認識してもらいましょう 148 法律の誤解実務上の落とし穴経営層の反対技術理解の不足 ① ② グループ間共有

##基礎から学び直す個情法と最新実務対応技術部門の説明が理解できない 149 法律の誤解実務上の落とし穴経営層の反対技術理解の不足 ① ② グループ間共有

##基礎から学び直す個情法と最新実務対応広く浅く知識を得るため、資格試験を勉強してみるのはいかがでしょうか 150 法律の誤解実務上の落とし穴経営層の反対技術理解の不足 ① ② グループ間共有
部署間連携 ③ ④ 出所：https://www.ipa.go.jp/shiken/kubun/sg/about.html

##基礎から学び直す個情法と最新実務対応相手の土俵で会話ができると、本音の情報を引き出すことができます 151 法律の誤解実務上の落とし穴経営層の反対技術理解の不足 ① ② グループ間共有

##基礎から学び直す個情法と最新実務対応グループ会社を形成する親会社で、漏えい等が発生したと想像してください 152 法律の誤解実務上の落とし穴経営層の反対技術理解の不足 ① ② グループ間共有

##基礎から学び直す個情法と最新実務対応グループ間では大抵、相互に個人データの受委託関係が発生しています委託 153 法律の誤解実務上の落とし穴経営層の反対技術理解の不足 ① ②
グループ間共有部署間連携 ③ ④

##基礎から学び直す個情法と最新実務対応またその上で、共同利用の定めがあったり委託共同利用 154 法律の誤解実務上の落とし穴経営層の反対技術理解の不足 ①
② グループ間共有部署間連携 ③ ④

##基礎から学び直す個情法と最新実務対応グループ外との受委託関係がある場合もあり、こうなると… 委託共同利用 155 法律の誤解実務上の落とし穴経営層の反対技術理解の不足 ①

##基礎から学び直す個情法と最新実務対応被害にあったのは、どこの保有個人データなのかが不明確になりがちです委託共同利用 156 法律の誤解実務上の落とし穴経営層の反対技術理解の不足 ①

##基礎から学び直す個情法と最新実務対応普段から、データフローを把握しておいてもらいましょう 157 法律の誤解実務上の落とし穴経営層の反対技術理解の不足 ① ② グループ間共有

##基礎から学び直す個情法と最新実務対応緊急事態では、部署間での利害対立が表面化しがちです 158 法律の誤解実務上の落とし穴経営層の反対技術理解の不足 ① ② グループ間共有

##基礎から学び直す個情法と最新実務対応時間枠を抑えて定例会議を設けてしまい、関係者に情報共有しましょう 159 法律の誤解実務上の落とし穴経営層の反対技術理解の不足 ① ② グループ間共有

##基礎から学び直す個情法と最新実務対応主要なステークホルダーはバイネームで意識しておくことも重要です 160 法律の誤解実務上の落とし穴経営層の反対技術理解の不足 ① ② グループ間共有
部署間連携 ③ ④ 法務技術広報・渉外経営・事業

##基礎から学び直す個情法と最新実務対応 SaaSや生成AIサービスを使いたいという相談は、定期的に来ますよね 162

##基礎から学び直す個情法と最新実務対応データは自社内で完結することが減り、社外に連携することが増えました 163 出所：https://corp.freee.co.jp/news/0717bundle_by_freee.html

##基礎から学び直す個情法と最新実務対応この際、社外に個人データを「提供」するには法的な根拠が必要になります 164

##基礎から学び直す個情法と最新実務対応なお先ほどの「漏えい元基準」と同じく「提供元基準」が採用されていますユーザーID Aサービス利用履歴情報 00001 00002 ユーザーID 氏名電話番号
メールアドレス 00001 00002 ユーザー登録情報利用履歴情報

##基礎から学び直す個情法と最新実務対応つまり、氏名自体をSaaSに入れないとしてもユーザーID Aサービス利用履歴情報 00001 00002 ユーザーID 氏名電話番号
メールアドレス 00001 00002 ユーザー登録情報利用履歴情報こちらだけでなく

##基礎から学び直す個情法と最新実務対応自社にとって個人データであれば、提供には法的根拠が必要ということですユーザーID Aサービス利用履歴情報 00001 00002 ユーザーID 氏名電話番号
メールアドレス 00001 00002 ユーザー登録情報利用履歴情報こちらも個人データ

##基礎から学び直す個情法と最新実務対応この「提供」の段階で選択しうる法的根拠は、主として3つあります 168 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２
◼ 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る 3 ◼ 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得同意取得同意取得自社プラポリ自社プラポリ自社プラポリ監督義務監督義務監督義務

##基礎から学び直す個情法と最新実務対応第三者提供は、提供先にデータをあげてしまうことです 169 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２
◼ 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る 3 ◼ 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得同意取得同意取得自社プラポリ自社プラポリ自社プラポリ監督義務監督義務監督義務第三者提供委託クラウド例外

##基礎から学び直す個情法と最新実務対応第三者提供では、同意を「漏れなく」「適法に」取得できるかが鍵です 170 漏れなく同意取得提供第三者提供委託クラウド例外

##基礎から学び直す個情法と最新実務対応第三者提供では、同意を「漏れなく」「適法に」取得できるかが鍵です 171 漏れなく同意取得提供取得同意提供
第三者提供委託クラウド例外

##基礎から学び直す個情法と最新実務対応第三者提供では、同意を「漏れなく」「適法に」取得できるかが鍵です 172 漏れなく適法に本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。（ガイドライン通則編）同意取得
提供取得同意提供第三者提供委託クラウド例外

##基礎から学び直す個情法と最新実務対応第三者提供では、同意を「漏れなく」「適法に」取得できるかが鍵です 173 漏れなく適法に本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。（ガイドライン通則編）次章詳細同意
取得提供取得同意提供第三者提供委託クラウド例外

##基礎から学び直す個情法と最新実務対応第三者提供は、提供先にデータをあげてしまうことです 174 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##基礎から学び直す個情法と最新実務対応委託は、自社の責任の下で提供先にデータを預けることです 175 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##基礎から学び直す個情法と最新実務対応ここでいう個人データの取扱いの「委託」は、個人情報保護法独自の概念なので 176 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4 第三者提供委託クラウド例外

##基礎から学び直す個情法と最新実務対応 SaaS利用契約など、民法上の業務委託契約以外でも該当し得ます 177 個人情報保護法上の「個人データの取扱いの委託」民法上の業務委託出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4 第三者提供委託
クラウド例外

##基礎から学び直す個情法と最新実務対応委託は、自社の責任の下で提供先にデータを預けることです 178 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##基礎から学び直す個情法と最新実務対応クラウド例外は、委託の特殊パターンだと理解するのが良いと思います 179 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##基礎から学び直す個情法と最新実務対応提供先が個人データを取り扱わないときは「提供」に該当しません 180 FAQの記載出所： https://www.ppc.go.jp/all_faq_index/faq1-q7-53/ 第三者提供委託クラウド例外

##基礎から学び直す個情法と最新実務対応クラウド例外は、自社環境の拡張であると理解するのもいいかもしれません 181 出所：https://www.ppc.go.jp/all_faq_index/faq1-q7-54/ FAQの記載第三者提供委託クラウド例外

##基礎から学び直す個情法と最新実務対応クラウド例外は、委託の特殊パターンだと理解するのが良いと思います 182 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##基礎から学び直す個情法と最新実務対応データに対する、提供元/提供先それぞれの影響力の度合いが異なります 183 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1
第三者提供提供元提供先

##基礎から学び直す個情法と最新実務対応クラウド例外は、提供元の影響力が一番強いオプションです 184 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1

##基礎から学び直す個情法と最新実務対応委託は、3つのオプションの中でちょうど中間地点に位置します 185 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1

##基礎から学び直す個情法と最新実務対応第三者提供は、提供先の影響力が一番強いオプションです 186 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1

##基礎から学び直す個情法と最新実務対応現状は混迷を深めていますが… 187 出所：https://www.ppc.go.jp/files/pdf/241217_sankoushiryou-1-2.pdf 個人情報保護委員会ヒアリング（板倉先生）

##基礎から学び直す個情法と最新実務対応基本的には、SaaS利用は委託であると整理するのをお勧めします 188 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##基礎から学び直す個情法と最新実務対応先ほど、個人データを「提供」するには法的な根拠が必要であることと 190

##基礎から学び直す個情法と最新実務対応選択しうる法的根拠は、主として3つあることを説明しました 191 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##基礎から学び直す個情法と最新実務対応ここで、「第三者提供」で整理する必要がある典型ケースを紹介します 192 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

##基礎から学び直す個情法と最新実務対応まずは提供先での独自利用が想定され、委託で整理できないケース 193 ①提供先での独自利用が想定されるケース ②提供先での突合が想定されるケース出所：https://www.ppc.go.jp/all_faq_index/faq1-q7-38/

##基礎から学び直す個情法と最新実務対応続いて提供先での突合が予想され、同じく委託と整理できないケースです 194 ①提供先での独自利用が想定されるケース ②提供先での突合が想定されるケース出所：https://www.ppc.go.jp/all_faq_index/faq1-q7-41/

##基礎から学び直す個情法と最新実務対応【再掲】これらのケースで必要な、適法な第三者提供同意の取得方法について検討します 195 漏れなく適法に本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。（ガイドライン通則編）次章詳細
同意取得提供取得同意提供

➢ プラポリ作ってください ➢ 漏えいしちゃいました ➢ SaaSにデータ入れていいですか ➢ 今のプラポリで、協力会社に個人データを提供できますか • どこで取得すればいいの • どうやって取得すればいいの ➢ 広告配信にメールアドレスを使っていいですか

##基礎から学び直す個情法と最新実務対応【ケース①】プライバシーポリシー多くの企業が、プライバシーポリシーの中で同意を取得しています 198 出所：https://www.kodansha.co.jp/privacy/index.html

##基礎から学び直す個情法と最新実務対応【ケース②】フォーム末尾個別の案件で取得する場合、フォームの末尾等で取得することもあります 199 出所：https://seminar.nikkei.co.jp/registration

##基礎から学び直す個情法と最新実務対応より理想的な同意取得の方法は、例えば以下の資料が参考になります 200 GDPR 電気通信事業法出所：https://www.ppc.go.jp/files/pdf/doui_guideline.pdf,https://www.soumu.go.jp/main_content/000734726.pdf

➢ プラポリ作ってください ➢ 漏えいしちゃいました ➢ SaaSにデータ入れていいですか ➢ 今のプラポリで、協力会社に個人データを提供できますか • どこで取得すればいいの • どうやって取得すればいいの ➢ 広告配信にメールアドレスを使っていいですか

##基礎から学び直す個情法と最新実務対応 202 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-6-1 これは「必要と考えられる合理的かつ適切な範囲の内容」の解釈の問題です

##基礎から学び直す個情法と最新実務対応講師個人としては、①目的②主体③客体を示すのがフェアだと考えています 203 何のために第三者提供をするのか目的誰に対して第三者提供をするのか主体何の情報を第三者提供するのか客体

##基礎から学び直す個情法と最新実務対応例えばこちらのプライバシーポリシーでは 204 出所：https://www.coca-cola.com/jp/ja/legal/privacy-policy

##基礎から学び直す個情法と最新実務対応広告を配信するために、という①目的と 205

##基礎から学び直す個情法と最新実務対応ハッシュ化したメールアドレス等をという②客体と 206

##基礎から学び直す個情法と最新実務対応広告配信事業者に、という③主体を明示しています 207

##基礎から学び直す個情法と最新実務対応よく「利用目的の記載のみで同意と評価できないか」と相談がありますが… 208 出所：https://privacy.rakuten.co.jp/

##基礎から学び直す個情法と最新実務対応同意の対象を確定できないので、さすがにそれは無理だと考えています 209 出所：https://privacy.rakuten.co.jp/

##基礎から学び直す個情法と最新実務対応同意の対象を確定できないので、さすがにそれは無理だと考えています 210 出所：https://privacy.rakuten.co.jp/ なお例示している楽天グループ株式会社さんは、後続の章できちんと第三者提供同意を取得されています

##基礎から学び直す個情法と最新実務対応ここからは、実際に見られるプラポリの記載を一緒に見てみましょう 211

##基礎から学び直す個情法と最新実務対応【事例１】 212 弊社グループは、以下に定める場合、取得情報を第三者に提供します。 • 本サービスを提供するために弊社グループが必要と判断した、本サービス上での情報の提供の場お客様は、提供された他のお客様の情報を、本サービスの利用規約に従った本サービスの利用に必要な範囲でのみ利用するものとし、それぞれのお客様の事前の同意なく、他のお客様の情報を第三者に提供してはなりません。また、取得情報は、本サービス上で弊社グループが定
める期間、公開されます。 • 弊社グループがサービスの運営および提供において必要と判断した場合 ①目的： ②主体： ③客体：

##基礎から学び直す個情法と最新実務対応【事例２】 213 当社は、利用者の同意を得ることなく、各アプリ及び各サービスにて利用者から取得・保存した利用者情報を第三者に開示又は提供することはありません。ただし、以下の場合は除きます。 1. 法令に基づく場合 2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得
ることが困難であるとき 3. 国の機関若しくは地方公共団体又はその委託を受けたものが、法令の定めにより遂行することに協力する必要がある場合であって、本人の同意を得ることによりその遂行に支障を及ぼすおそれがあるとき 4. 上記各号のほか、社会通念上、当社が必要と判断した場合であって、本人の同意を得ることが困難であるとき ①目的： ②主体： ③客体：

##基礎から学び直す個情法と最新実務対応【事例３】 214 （前略）以下の場合においては、氏名や住所など直接特定の個人を識別することができる情報を除外した上で、当社は第三者に対して、必要な範囲でパーソナルデータを提供いたします。 1. 当社のサービス等の提供に必要な場合（当社のサービス等に関する広告、プロモー
ション活動等に必要な場合を含みます） 2. 当社のサービス等の品質向上のために必要な場合 3. 当社の新たなサービス等の検討のために必要な場合 4. 調査・研究・分析のために研究機関に提供する場合 ①目的： ②主体： ③客体： 3 1

##基礎から学び直す個情法と最新実務対応【事例４】 215 当社は、お客様が商品を購入された際、お客様に関する情報、購入した商品に関する情報および商品の配送が伴う場合は配送先に関する情報（以下「購入情報」と総称します。）を、商品の提供に必要な範囲で販売者に提供します。 ①目的： ②主体： ③客体： 3
1 2

##基礎から学び直す個情法と最新実務対応【事例５】 216 ご注文時におけるクレジットカードを利用された決済時において、お客様がご利用契約されているクレジットカード会社からの依頼に基づき、ご登録いただいている以下のお客様の情報を提供する場合がございます。（提供の目的）クレジットカード番号などの情報の盗用による不正利用を防ぎ、安全にクレジットカードをご利用いただくため。（提供する項目）
・カード名義人、ご登録の郵便番号、ご住所、E-mailアドレス（提供方法）・電子データ ①目的： ②主体： ③客体： 3 1 2

##基礎から学び直す個情法と最新実務対応【事例６】 217 当社は、よりお客さまに関連性の強い広告を配信するため、広告配信、効果測定、分析等を行なうためにお客さまの同意の上、以下のとおり広告配信事業者（外国にある場合を含みます。）に個人データを提供することがあります。提供先の広告配信事業者：以下を含みます（リストは随時更新します。） • A社 •
B社 • … 提供する個人データ：ハッシュ化したメールアドレス等（上記2.（1）のとおり当社が自ら取得したものであって、元のメールアドレス等に戻せない形式に加工したものです。）上記のほか、当社は、次に掲げる場合を除き、本人の同意を得ることなく個人データを第三者へ提供しません。（後略） ①目的： ②主体： ③客体： 3 1 2

##基礎から学び直す個情法と最新実務対応資料冒頭で言及した、広告領域におけるカスタマーマッチの話です 219 Cookie カスタマーマッチコンバージョンAPI

##基礎から学び直す個情法と最新実務対応相談が多いにも関わらず、誤解が多い領域なので少し掘り下げて説明します 220

➢ プラポリ作ってください ➢ 漏えいしちゃいました ➢ SaaSにデータ入れていいですか ➢ 今のプラポリで、協力会社に個人データを提供できますか ➢ 広告配信にメールアドレスを使っていいですか • カスタマーマッチの仕組み • ハッシュ化の位置付け • 混ぜるな危険

##基礎から学び直す個情法と最新実務対応まず自社で保有する、ユーザーのメールアドレス等をハッシュ化します 223 自社個人情報データベース等ハッシュ化個人データ【凡例】：メールアドレスなど
：ハッシュ化したメールアドレスなど：ターゲットユーザーの情報カスタマーマッチの仕組み

##基礎から学び直す個情法と最新実務対応ハッシュ化した個人データを、他社（プラットフォーマー）に提供します 224 提供自社他社（プラットフォーマー）個人情報データベース等ハッシュ化
個人データ【凡例】：メールアドレスなど：ハッシュ化したメールアドレスなど：ターゲットユーザーの情報カスタマーマッチの仕組み

##基礎から学び直す個情法と最新実務対応他社は、受け取ったデータを、個人情報データベース等にぶつけます 225 提供自社他社（プラットフォーマー）個人情報データベース等個人情報
データベース等ハッシュ化個人データ【凡例】：メールアドレスなど：ハッシュ化したメールアドレスなど：ターゲットユーザーの情報カスタマーマッチの仕組み

##基礎から学び直す個情法と最新実務対応浮かび上がったターゲットユーザーに対して効率的に広告等を配信できます 226 提供広告配信自社他社（プラットフォーマー）個人情報データベース等
個人情報データベース等ハッシュ化個人データ個人情報データベース等他社（広告ネットワーク）【凡例】：メールアドレスなど：ハッシュ化したメールアドレスなど：ターゲットユーザーの情報カスタマーマッチの仕組み

##基礎から学び直す個情法と最新実務対応この提供が委託ですか？第三者提供ですか？というのが後に議論になります 227 他社（プラットフォーマー）【凡例】：メールアドレスなど：ハッシュ化したメールアドレスなど：ターゲットユーザーの情報「混ぜるな危険」って何だっけ
提供自社個人情報データベース等ハッシュ化個人データ

##基礎から学び直す個情法と最新実務対応【再掲】先ほど「ハッシュ化」した個人データを他社に提供することを説明しました 229 提供自社他社（プラットフォーマー）個人情報データベース等
ハッシュ化個人データ【凡例】：メールアドレスなど：ハッシュ化したメールアドレスなど：ターゲットユーザーの情報カスタマーマッチの仕組みハッシュ化とは個人情報該当性

##基礎から学び直す個情法と最新実務対応難しい部分なので、「ハッシュ化」について少し説明を補足します 230 ハッシュ化とは個人情報該当性

##基礎から学び直す個情法と最新実務対応ハッシュ化は、入力情報を別のランダムなデータに変換する関数・機構です氏名山田太郎田中次郎仮ID gfaw42 fa923fd ハッシュ化とは個人情報該当性
231

##基礎から学び直す個情法と最新実務対応ハッシュ化後データをハッシュ関数に入れても元データには戻りません氏名山田太郎田中次郎仮ID gfaw42 fa923fd ハッシュ化とは個人情報該当性
232

##基礎から学び直す個情法と最新実務対応しかし、入力が同じなら「今日の出力」と「明日の出力」は同じになります 2025/2/19 氏名山田太郎田中次郎仮ID gfaw42 fa923fd 2025/2/20
氏名山田太郎田中次郎仮ID gfaw42 fa923fd ハッシュ化とは個人情報該当性 233

##基礎から学び直す個情法と最新実務対応続いて、「ハッシュ化をしても引き続き個人情報ですよ」という話をしますハッシュ化とは個人情報該当性氏名山田太郎田中次郎仮ID gfaw42 fa923fd
個人情報個人情報 234

##基礎から学び直す個情法と最新実務対応本件について説明したQ＆Aがあるので、これに沿ってご説明します* * Q&Aは匿名加工情報の話ですが、「匿名加工情報」を「ハッシュ化データ」と読み替えてみてください出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q15-14 ハッシュ化とは個人情報該当性 235

##基礎から学び直す個情法と最新実務対応個人に関する情報を、個人情報と非個人情報に分けたときに個人に関する情報個人情報非個人情報ハッシュ化とは個人情報該当性 236

##基礎から学び直す個情法と最新実務対応非個人情報の特別な類型として、匿名加工情報があります個人に関する情報個人情報非個人情報匿名加工情報ハッシュ化とは個人情報該当性 237

##基礎から学び直す個情法と最新実務対応先ほどのQ＆Aは、この匿名加工情報を作るときの説明でしたが個人に関する情報個人情報非個人情報匿名加工情報ハッシュ化とは個人情報該当性 238

##基礎から学び直す個情法と最新実務対応当該議論は、匿名加工情報ではない非個人情報を作る時にも妥当します個人に関する情報個人情報非個人情報匿名加工情報ハッシュ化とは個人情報該当性 239

##基礎から学び直す個情法と最新実務対応そして、Q15-14の前半部分では氏名と仮IDの対応表が問題になっていますがハッシュ化とは個人情報該当性 240

##基礎から学び直す個情法と最新実務対応まずはそもそも、なぜ仮IDの対応表が問題になるのかの説明から入りますハッシュ化とは個人情報該当性 241

##基礎から学び直す個情法と最新実務対応氏名とそれに紐づいた利用履歴情報は当然個人情報に該当しますが氏名利用履歴情報山田太郎 XXXXXX 田中次郎 YYYYYY 個人情報ハッシュ化とは
個人情報該当性 242

##基礎から学び直す個情法と最新実務対応この「氏名」をハッシュ化するなどして仮IDに置き換えたら氏名利用履歴情報山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報
gfaw42 XXXXX fa923fd YYYYY 個人情報氏名をハッシュ化して仮IDにハッシュ化とは個人情報該当性 243

##基礎から学び直す個情法と最新実務対応こっちの情報は、ひょっとして非個人情報になりますか？という話です仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 氏名利用履歴情報
山田太郎 XXXXXX 田中次郎 YYYYYY 個人情報非個人情報？ハッシュ化とは個人情報該当性 244

##基礎から学び直す個情法と最新実務対応そして、仮IDの対応表を破棄する必要がありますか？という部分ですがハッシュ化とは個人情報該当性 245

##基礎から学び直す個情法と最新実務対応絵で表すとこのような話です氏名仮ID 山田太郎 abcde 山田次郎 fghij 氏名利用履歴情報
山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 個人情報非個人情報？対応表ハッシュ化とは個人情報該当性 246

##基礎から学び直す個情法と最新実務対応対応表は「破棄する必要がある」というのがA15-14の答えですハッシュ化とは個人情報該当性 247

##基礎から学び直す個情法と最新実務対応なぜなら、左のテーブルから対応表を容易に照合することができますし氏名仮ID 山田太郎 abcde 山田次郎 fghij 氏名利用履歴情報

##基礎から学び直す個情法と最新実務対応対応表から、右のテーブルも容易に照合することができてしまいます氏名仮ID 山田太郎 abcde 山田次郎 fghij 氏名利用履歴情報

##基礎から学び直す個情法と最新実務対応よって、対応表を削除しないと容易照合性を否定することができません氏名仮ID 山田太郎 abcde 山田次郎 fghij 氏名利用履歴情報
山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 個人情報非個人情報？個人情報ハッシュ化とは個人情報該当性対応表 250

##基礎から学び直す個情法と最新実務対応続いて後半、「乱数等のパラメータ」は破棄する必要があるでしょうかハッシュ化とは個人情報該当性 251

##基礎から学び直す個情法と最新実務対応先ほどまでの検討結果から、対応表が残っているとよくないので氏名仮ID 山田太郎 abcde 山田次郎 fghij 氏名利用履歴情報

##基礎から学び直す個情法と最新実務対応対応表は破棄することにしました氏名仮ID 山田太郎 abcde 山田次郎 fghij 氏名利用履歴情報

##基礎から学び直す個情法と最新実務対応対応表の元になった「乱数等のパラメータ」は残していいかという問いです氏名仮ID 山田太郎 abcde 山田次郎 fghij 氏名利用履歴情報
山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 個人情報非個人情報？ハッシュ化とは個人情報該当性 254

##基礎から学び直す個情法と最新実務対応そして、 A15-14の答えは「破棄する必要があります」というものですハッシュ化とは個人情報該当性 255

##基礎から学び直す個情法と最新実務対応何故なら、「乱数等のパラメータ」を残しているのであれば氏名利用履歴情報山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID
利用履歴情報 gfaw42 XXXXX fa923fd YYYYY 個人情報非個人情報？ハッシュ化とは個人情報該当性 256

##基礎から学び直す個情法と最新実務対応それは対応表を残していることと実質的には変わりませんよね氏名利用履歴情報山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報
gfaw42 XXXXX fa923fd YYYYY 個人情報氏名仮ID 山田太郎 abcde 山田次郎 fghij 非個人情報？個人情報ハッシュ化とは個人情報該当性 257

##基礎から学び直す個情法と最新実務対応なぜなら、入力が同じなら「今日の出力」と「明日の出力」は同じですから 2024/10/17 氏名山田太郎田中次郎仮ID gfaw42 fa923fd 2024/10/18
氏名山田太郎田中次郎仮ID gfaw42 fa923fd ハッシュ化とは個人情報該当性 258

##基礎から学び直す個情法と最新実務対応「乱数等のパラメータ」があれば、対応表があるのと同じです氏名利用履歴情報山田太郎 XXXXXX 田中次郎 YYYYYY 仮ID 利用履歴情報
gfaw42 XXXXX fa923fd YYYYY 個人情報氏名仮ID 山田太郎 abcde 山田次郎 fghij 非個人情報？個人情報ハッシュ化とは個人情報該当性 259

##基礎から学び直す個情法と最新実務対応よって、非個人情報にしたいのであれば破棄する必要がありますハッシュ化とは個人情報該当性 260

##基礎から学び直す個情法と最新実務対応【再掲】この提供が委託ですか？第三者提供ですか？というのが後に議論になります 262 他社（プラットフォーマー）【凡例】：メールアドレスなど：ハッシュ化したメールアドレスなど：ターゲットユーザーの情報
「混ぜるな危険」って何だっけ提供自社個人情報データベース等ハッシュ化個人データ

##基礎から学び直す個情法と最新実務対応一般に「混ぜるな危険」と呼ばれている論点です出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-41 263

##基礎から学び直す個情法と最新実務対応解決方法が2つ示されています 264

##基礎から学び直す個情法と最新実務対応ひとつめは第三者提供と整理した上で、提供元で同意を取得するパターン解決方法① 265

##基礎から学び直す個情法と最新実務対応ひとつめは第三者提供と整理した上で、提供元で同意を取得するパターン提供自社（提供元）他社（提供先）個人データ同意取得解決方法①
266

##基礎から学び直す個情法と最新実務対応ひとつめは第三者提供と整理した上で、提供元で同意を取得するパターン出所：https://www.coca-cola.com/jp/ja/legal/privacy-policy 解決方法① 267

##基礎から学び直す個情法と最新実務対応ふたつめは委託と整理した上で、提供先で同意を取得するパターンです解決方法② 268

##基礎から学び直す個情法と最新実務対応ふたつめは委託と整理した上で、提供先で同意を取得するパターンです提供個人データ同意取得解決方法② 自社（委託元）他社（委託先）
269

##基礎から学び直す個情法と最新実務対応ふたつめは委託と整理した上で、提供先で同意を取得するパターンです出所：https://policies.google.com/privacy?hl=ja%22+%5Cl+%22footnote-other-sites#footnote-link-info 解決方法② 270

##基礎から学び直す個情法と最新実務対応でも、今までプラットフォーマーから再同意取られたことってあったっけ？疑問① 271

##基礎から学び直す個情法と最新実務対応渡したデータって、本当に委託の範囲でしか使われないんだっけ？既存機能の改善？新機能の開発別プロダクトの開発疑問② 272

##基礎から学び直す個情法と最新実務対応本当に委託でいけるかは、リスク踏まえて判断すべきことだと思います結論 273

##基礎から学び直す個情法と最新実務対応以上、大変な長時間お付き合いいただきありがとうございました 274

##基礎から学び直す個情法と最新実務対応ご清聴いただきありがとうございました！世古修平（せこしゅうへい） Website（事務所）：https://www.leact.law/ Website（個人）：https://www.seko-law.info/ X（旧Twitter）：@seko_law Mail
：[email protected] 275

基礎から学び直す個人情報保護法と最新の実務対応

基礎から学び直す個人情報保護法と最新の実務対応

More Decks by SEKO_Shuhei

Featured

Transcript