プライバシー業務従事者向け交流会「Data Privacy Night 」第6回を開催しました。
PR team2026年6月10日、恵比寿の「サンタルチア」にて、各社のデータプライバシー担当者が集まるディスカッションイベントが開催されました。
本イベントでは、『データプライバシーオフィサーが直面しそうなシナリオ集』を共通の題材として掲げ、参加者が2つの班に分かれてディスカッションを実施しました。各班では、日々実務の最前線でプライバシー保護やデータガバナンスに向き合う担当者ならではの、多角的な視点から活発な意見交換が行われました。
今回は、法令遵守の重要性と実務における運用負荷との間で生じる「現場の本音」、そして複雑な事例に対する「高度な法的解釈」をめぐり、終始熱を帯びた議論が交わされた2グループのセッションの模様をレポートします。
シナリオ集のテーマ
今回、共通の題材として掲げたシナリオ集の主なテーマ(個人情報関連)は以下の通りです。
- 個人情報
- 要配慮個人情報
- 仮名加工情報
- 個人情報提供のパターン(第三者提供・委託・共同利用・M&A)
- 個人情報の漏洩
ディスカッションの内容について
今回も前回に引き続き、2グループに分かれて、それぞれシナリオを選択し、ディスカッションが行われました。
以下、それぞれのグループのディスカッションの抜粋です。
デバイス紛失とグループIT統制の「格差」
社用携帯の紛失対策、本社は万全でも「海外子会社・国内孫会社」まで統制しきれるか?
営業部員が取引先等約200名分のデータが入った社用携帯を紛失したシナリオをもとに、IT統制の境界線について議論しました。
- 法的な判断:紛失はすべて「漏洩」になる?
個人情報保護法の施行規則に基づき、高度な暗号化が施されている、あるいは遠隔消去(リモートワイプ)が確実に成功したと確認できれば、法上の「漏洩等」には該当しないという点が確認されました。また、今回は200名分であるため、個人情報保護委員会(個情委)への報告閾値(1,000名超)には達しておらず、法的報告は義務ではないという結論になりました。 - 各社が頭を抱える共通の課題
参加各社とも、親会社レベルではMDM(モバイル端末管理)やローカル保存禁止などの統制が効いているものの、「海外の子会社や、国内の孫会社・関連会社にまで同様の厳格なIT統制を効かせるのは非常に難しい」という、グループ全体でのセキュリティガバナンスの難しさが共通の悩みとして浮かび上がりました。
個人情報の提供スキーム(第三者提供・委託・共同利用)
事務負担が重すぎる「第三者提供」を考慮し、「共同利用」の活用を検討
他社と共同開催するフォーラムの受付名簿をニュースレター配信等に利用する場合、法的な枠組みをどれにすべきかを議論しました。
- 現場の視点
「第三者提供」を選択した場合、提供先・提供元の双方に法律上の「確認・記録義務」が発生し、事務負担が重くなる点が懸念されます。そのため、オプトアウト手続きや特定の記録義務を伴わない方法として、事前の通知・公表によって要件を満たし得る「共同利用」の枠組みが、実務上選択しやすいのではないかという意見が出されました。 - 運用の一事例
セミナー開催時に、あらかじめ個人情報保護方針の末尾などに「共同利用に関する規定」を記載しておき、手続きをあわせて進める運用が、実務をスムーズにするアプローチの一つとして共有されました。
その他のディスカッション内容
| シナリオ | ディスカッション内容 |
| 全従業員向けアンケートをベンダーに委託する際、契約書に安全管理措置の規定がない。これは「漏洩」になる? | 議論の要旨:会社の意図に基づく提供(委託)であるため、直ちに「漏洩(意図しない流出)」に該当するわけではないと考えられますが、委託元の監督義務(法第25条)を十分に果たせていない可能性が指摘されました。 実務上の留意点:「長年の取引先で、過去の契約書に個人情報保護条項が含まれていない」というケースは現場で散見されます。気づいた時点で、後から覚書などを締結して規定を補完する対応が実務上推奨されるという知見が共有されました。 |
| 本社入口の防犯カメラ映像に「眼鏡をかけている人」が映っている。これは要配慮個人情報? | 議論の要旨:要配慮個人情報の趣旨は「不当な差別や偏見を生じさせないため」のものであり、一般的な眼鏡の着用や視力に関する情報は、これに該当しない可能性が高いという見解で一致しました。 実務上の留意点:要配慮個人情報の趣旨は「不当な差別や偏見を生じさせないため」のものであり、一般的な眼鏡の着用や視力に関する情報はこれに該当しないのではないか、という見解が示されました。また、防犯カメラ映像の扱いに関し、特定の個人を容易に検索できるような状態(データベース化)になっていなければ、実務上の管理や漏洩時の影響度合いなどの観点から、いわゆる「検索性の高い個人データ」とは切り離して考える余地があるのではないか、といった点もあわせて意見としてあがりました。 |
| 従業員の「風邪をひいている」という情報は要配慮個人情報(病歴)に該当する? | 議論の要旨:情報の出所や文脈に応じた慎重な判断が必要(ケースバイケース)であるという議論がありました。 実務上の留意点:医師の診断書や処方箋(お薬手帳)などを経由した客観的な医療情報であれば病歴として要配慮個人情報に該当する可能性が高いのではないか、という指摘がありました。一方で、本人が「風邪をひいたので有給休暇を取得します」と口頭やチャット等で自己申告したようなケースについては、必ずしもすべてが直ちに要配慮個人情報に該当するとは限らないのではないか(パブリックコメント等の解釈に照らしても議論の余地があるのではないか)という意見が出されました。 |
| 委託先のミスで90人分のデータが10日間ネット公開されていた。報告義務の「知った日」はいつからカウントする? | 議論の要旨:法令上の速報義務(事態を認識してから原則3日以内)における「知った日」は、委託先で事象が発生した日ではなく、委託元(自社)が事実を認識した日を起点としてカウントすると考えるのが一般的であるという認識が共有されました。 実務上の留意点:また、今回の事例は「90人分」であるため、漏洩したデータに要配慮個人情報やクレジットカード情報などの金銭的被害リスク(不正利用のリスク)が含まれていない場合は、法令上の「義務報告」の対象(1,000人超など)には該当しない可能性が考えられるのではないか、という見解が示されました。ただし、漏洩の具体的な内容や性質によっては慎重な個別判断が必要になるのではないか、という点もあわせて指摘されました。 |
| ショッピングアプリで収集するIPアドレス、クッキー、位置情報は個人情報? | 議論の要旨:単体で氏名等と紐づいていない場合は、原則として「個人関連情報」に該当すると考えられるものの、データが蓄積され、会員登録情報などと結合することで「容易照合性(他の情報と容易に照合して特定の個人を識別できる状態)」が生まれるかどうかが一つの目安になるのではないか、という点が話し合われました。 実務上の留意点:組織内でデータへのアクセス権限を厳格に隔離(アクセス不可能な別組織や別システムに分離)することにより、事実上の容易照合性を発生させにくくする(個人データ化のリスクを未然に低減する)といった、実務的なコントロール手法やアプローチについても意見が交わされました。 |
さいごに
今回よりスタートしたデータプライバシーオフィサーが直面するシナリオに基づいたディスカッションですが、各社のプライバシー業務における課題や取り組みについて具体的な意見や課題感をきくことができ、非常に勉強になりました。
今後もプライバシー従事者の皆様にとって有意義な時間を過ごしていただける交流の場として改善を図っていきたいと思います。
次回の「Data Privacy Night」については、日程と詳細が決まり次第、当サイトで告知させていただきます。
