【経営】

個人情報保護ガイドラインの改正について


  昨年、大量の個人情報漏えい事故が発生し、各企業においても様々な見直し等を行ってきているところ、経済産業省は、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を改正し施行しました。主な改正点は、第三者からの適正な取得の徹底、社内の安全管理措置の強化、委託先の監督の強化、共同利用制度の趣旨の明確化、消費者等本人に対する分かりやすい説明のための参考事項の追記等となっています。

■個人情報保護ガイドラインの改正概要
1.背景
経済産業省は、相次いで発生した内部不正やサイバー攻撃による個人情報の漏えい事案を受け、同様事案の発生を防ぐための組織における対策を検討してきました。そこで、個人情報保護法で規定された事業者の義務をより具体化・詳細化した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成21年10月9日厚生労働省・経済産業省告示第2号)について、個人情報保護ガイドライン検討委委員会を開催し、有識者の意見を踏まえ、パブリックコメントを実施した上で改正を行い、平成26年12月12日付で施行しました。

2.主な改正点
(1)第三者からの適正な取得の徹底
・第三者から個人情報を取得する場合には、適法に入手されていること等を確認することが望ましい旨追記
・適法に入手されていることが確認できない場合は、取引を自粛することを含め、慎重に対応することが望ましい旨追記

(2)社内の安全管理措置の強化
◎外部からのサイバー攻撃対策の追加
【管理手法の追記】
有効であると考えられる管理手法を望まれる手法として追記。
・データベースへのアクセス制御
・ワンタイムパスワード等
・不要アカウントの無効化
・管理者権限の分割
・アクセス記録
・ウイルス対策ソフトウェアの有効性確認
・データ移送時の秘匿化

◎内部不正対策の組織的、物理的、技術的安全管理措置の項目の追加
【組織的安全管理】
・個人情報保護管理者(CPO)への役員の任命など、社内体制を整備すること。
・情報セキュリティ等に十分な知見を有する者による社内の監査体制を構築すること。
・スマートフォン等の記録機能を有する機器の接続制限を行う社内規程を整備すること。
【物理的安全管理】
・業務上許可を得ていない記録機能を有する媒体・機器の持ち込み・持ち出しの禁止と検査を実施すること。
・カメラによる撮影や立ち会い等による記録又はモニタリングを実施すること。
・個人情報を取り扱う部屋への入退室記録の保存をすること。
【技術的安全管理】
・個人情報の監視システムについて、その動作を定期確認すること。
・個人情報へのアクセスやダウンロードのログ(記録)について、不正が疑われる異常な記録の存否を定期確認すること。

(3)委託先等の監督の強化
◎内部不正対策の委託先の安全管理措置の確認、定期的な監査等の追加
【委託先の監督】
・委託先の選定に当たり、委託先の安全管理措置を確認し、CPO等が評価すること。
・定期的に委託業務の監査を実施し、その結果について、CPO等が評価すること。
・委託契約等において、委託先で個人データを取り扱う者の役職又は氏名、損害賠償責任を盛り込むこと。

◎再委託先以降も同様の措置を行うことが望ましい旨追記
【再委託先の監督】
・委託元は、委託先が再委託を行う場合には、委託先から、事前報告又は承認を求めること。
・委託元は、委託先を通じて、又は必要に応じて自らが、再委託先に対し、定期的な監査を実施すること。
・再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とすること。

(4)共同利用制度の趣旨の明確化
・事業者が共同利用を円滑に実施するために共同利用者における責任等を追加。
・共同利用者の範囲の明確化。

(5)消費者等本人に対する分かりやすい説明のための参考事項の追記
・個人情報取扱事業者は、本人に対して、個人情報保護を推進する上での考え方や方針等について、分かりやすい表現で説明するために参考とすべき基準を追記。
 
1.個人情報の取扱いに関する情報として、以下の7項目が記載されていること
 (1)提供するサービスの概要
 (2)取得する個人情報と取得の方法
 (3)個人情報の利用目的
 (4)個人情報や個人情報を加工したデータの第三者への提供の有無及び提供先
 (5)消費者等本人による個人情報の提供の停止の可否、訂正及びその方法
 (6)問合せ先
 (7)保存期間、廃棄
2.取得する個人情報の項目とその取得方法について、可能な限り細分化し、具体的に記載していること
3.取得する個人情報の項目やその取得方法のうち、消費者等本人にとって分かりにくいものを明確に記載していること
4.取得する個人情報の利用目的を特定し、具体的に記載していること
5.個人情報の利用目的が、取得する個人情報の項目と対応して記載されていること
6.取得する個人情報の利用目的のうち、消費者等本人にとって分かりにくいものを明確に記載していること
7.個人情報取扱事業者が取得する個人情報や個人情報を加工したデータを第三者に提供する場合、その提供先(事後的に提供先を変更する場合は提供先の選定条件を含む)及び提供目的が記載されていること
8.個人情報取扱事業者が取得した個人情報を加工したデータを第三者に提供する場合、その加工方法が記載されていること
9.消費者等本人が個人情報取扱事業者による個人情報の取得の中止又は利用の停止が可能であるかが記載され、可能である場合には取得の中止方法又は利用の停止方法を明示して記載していること
 



詳しくは下記参照先をご覧ください。

参照ホームページ[経済産業省]
http://www.meti.go.jp/press/2014/12/20141212002/20141212002.html


Copyright SBI Business Solutions Co., Ltd. All rights reserved.