パスワードを忘れた? アカウント作成
13403211 journal
情報漏洩

yasuokaの日記: Orarioの倒産と「個人情報」の流出

日記 by yasuoka

つい先日、佐藤智晶『個人情報の流出と損害賠償責任』(判例時報, No.2336 (2017年9月1日), pp.133-141)をベースに、Orarioのこれまでと今後を議論するハメになった。ただ、議論の中心は、いわゆる「ハッキング等」による「個人情報」の流出ではなく、仮にOrarioが倒産した際、各18大学の学生からかき集めた「個人情報」の行方はどうなるのか、という点だった。

現時点の個人情報保護法(2017年5月30日版)は、第23条で「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」としているものの、第4項第2号で「合併その他の事由による事業の承継に伴って個人データが提供される場合」は「第三者に該当しないものとする」としている。つまり、倒産してしまった場合は、承継会社等に「個人情報」が移ってしまう。学生本人に返されたりするわけではない。ただし、第16条第2項で「個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。」となっていることから、承継会社等における「個人情報」の扱いに、歯止めが無いわけではない。

したがって、各18大学が当該「個人情報」を取り返したいのなら、Orarioが倒産した際に、承継会社等として名乗りを上げるという方法が考えられるわけだ。ところが、独立行政法人等個人情報保護法には、こういう「事業承継」に関する規定がない。こと京都大学に限って言えば、どうやって「個人情報」を「承継」したらいいのか、私(安岡孝一)にはイマイチわからない。うーん、ヨソの承継会社に「個人情報」が流れていくのを、指をくわえて見てるしかないのかしら。

この議論は、yasuoka (21275)によって「 ログインユーザだけ」として作成されている。 ログインしてから来てね。
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...