情報管理に関するQ&A

情報管理に関するQ&A・情報管理に関するQ&A・情報管理に関する質問・疑問をクレア法律事務所の弁護士がオンライン上で回答しています。

電子帳簿保存法が改正されたと聞きました。注文書や契約書などの電子取引の情報を電子...

1 はじめに いわゆる電子帳簿保存法(電子計算機を使用して作成する国税関係帳簿書類の保存方法等の特例に関する法律。以下、「法」といいます)は、「電子取引を行った場合には、財務省令で定めるところにより、当該電子取引の取引情報に係る電磁的記録を保存しなければならない。」と定めています(法第10条本文)。 上記法第10条の財務省令とは、電子帳簿保存法規則(電子計算機を使用して作成する国税関係帳簿...

Q会社が独自に収集・分析した「広告と消費動向の関連性を示すデータ」を、商品として...

A 御社のデータが不正競争防止法の「限定提供データ」に該当する場合、「限定提供データ」に係る不正取得、使用、開示行為に対して法的保護が受けられます。 1 限定提供データとは  限定提供データとは「業として特定の者に提供する情報として電磁的方法(電子的方法、磁気的方法その他人の知覚によっては認識することができない方法をいう。次項において 同じ。)により相当量蓄積され、及び管理されている技術上又は...

Q. 令和2年6月12日に公布された改正個人情報保護法(一部を除き公布後2年以内...

1 匿名加工情報  まず、「匿名加工情報」とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことをいいます(法2条9項参照)。ポイントは、加工した情報は元の情報に復元できないという点です。  なお、加工は次のように適切に行わなければなりません。 ・特定の個人を識別することができる記述等の全部又は一部の削除(例:氏名や住所等の削除) ・個人識別...

従業員の新型コロナウイルスに関する個人情報はどのように取り扱えばいいでしょうか。

1 個人情報の取得方法  新型コロナウイルスに罹患した事実の有無や、陽性反応が出た旨の検査結果といった情報は個人情報保護法(以下「法」といいます。)上の「要配慮個人情報」に該当するため(法2条3項、同施行令2条2号、3号参照)、原則として取得の際に本人の同意が必要です(法17条2項)。  もっとも、書面または口頭等により本人から直接取得する場合は、本人が当該情報を提供したことをもって当該情報を...

2018年5月25日から施行されるGDPR(EU一般データ保護規則)は、どのよう...

EU域内に拠点を有する日本企業がその活動に関連して行う自動処理される個人データの取り扱いについて適用されるほか、EU域内に拠点がない日本企業にも一定の場合にGDPRが適用される場合があります(第1)。適用対象となれば、第2で説明するような義務が課されます。仮に、守らなければ、罰則があります(第3)。 第1 GDPRが適用対象となる日本企業の範囲について 1 EU域内に拠点を有する日本企業につい...

当社のライバル会社が、当社の製品を購入して分解してその仕組みを調べ上げ(リバース...

いわゆるリバースエンジニアリング(製品などを分解・解析し、その仕組みを明らかにすること)によって容易に取得できる情報は営業秘密にはあたらないので、ライバル会社がこれを利用することは違法ではありません。このような場合は事前に、秘密保護のための対策を講じる必要があります。 解説 リバースエンジニアリングは違法?  他社の「営業秘密」にあたる技術上の秘密を不正に取得・使用することは、不正競争防止法違反と...

当社は、観光業向けのコンサルティング事業をしています。交通機関の利用履歴、位置情...

ビックデータの利用に関しては、現在(Nov.2013)、確定したルールといったものはありませんが、パーソナルデータの取得に際しての利用者への利用目的等の告知、オプトアウト手続、収集から利用までの過程における統制、データから個人を識別できないような措置(非識別化/匿名化)、などのそれぞれについて、配慮した取扱いが求められる方向にあります。 解説 パーソナルデータの利用・活用については、ルールが明確で...

当社では、従業員の職務状況、情報セキュリテイ規程の運用を内部監査するため、重要員...

無制限に認められるのではなく、監視や調査の必要性があり、相当な範囲の監視・調査であれば認められるというべきです。 解説 従業員による私的なメールや、ネットサーフィンは、従業員のプライバシーにかかわる情報となるので、たとえPCが会社の所有物であったとしても、会社が無制限に監視・調査できるとまでは考えられていません。 東京地方裁判所平成14年2月26日判決は、従業員に対する誹謗中傷メールが会社に届き、...

当社では、これまで社内サーバーの業務システムを使っていましたが、クラウドサービス...

クラウドサービス業者の選定において、セキュリティ監査をクリアした業者を選定し、運用を開始後は、適切な運用がなされるよう継続的に情報管理のPDCA(plan do check action)サイクルを回すべきです。 解説 企業などの組織における情報セキュリティマネジメントシステムの仕様を定めた規格として、日本工業規格 JIS Q 27002 情報セキュリティマネジメントの実践のための規範があります。...