特定個人情報の適正な取扱いに関するガイドライン(事業者編)<3> | 京都で働くコンサルタントのブログ
2015-03-01 05:16:27

特定個人情報の適正な取扱いに関するガイドライン(事業者編)<3>

テーマ:情報セキュリティマネジメント
皆さん、こんにちは。
(株)マネジメント総研の小山です。

さて今回で3回目となりますが、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(以下、「ガイドライン」と表記します)についてご紹介します。

前回は、ガイドラインに挙げられている以下の保護措置のうち、(1)についてご紹介しましたので、今回は(2)についてご紹介します。

(1) 特定個人情報の利用制限
(2) 特定個人情報の安全管理措置
(3) 特定個人情報の提供制限等




(2) 特定個人情報の安全管理措置

○委託の取扱い

・個人番号関係事務/個人番号利用事務を委託する者は、
 ‘番号法に基づき委託者自らが果たすべき安全管理措置’
 と同等の措置が、委託先において講じられるよう、
 ‘必要かつ適切な監督’を行うことが求められています。

・‘必要かつ適切な監督’には、次の3つが含まれます。
 <1> 委託先の適切な選定
 <2> 安全管理措置に関する委託契約の締結
 <3> 委託先における特定個人情報の取扱状況の把握


・締結する委託契約には、次の事項等を盛込む必要があります。
 <1> 秘密保持義務
 <2> 事業所内からの特定個人情報の持出しの禁止
 <3> 特定個人情報の目的外利用の禁止
 <4> 再委託における条件
 <5> 漏洩事案等が発生した場合の委託先の責任
 <6> 委託契約終了後の特定個人情報の返却/廃棄
 <7> 従業者に対する監督・教育
 <8> 契約内容の遵守状況について報告を求める規定


・再委託については、“受託者は、最初の委託者の許諾を得た
 場合に限り再委託することができ、以降も同様”という
 条件がついていますので、注意が必要です。

・例えば、A→B→C→Dと順次委託される場合、
 Cは、最初の委託者であるAの許諾を得た場合に限り、
 Dに再委託することができます。

・また、A→B→C→Dと順次委託するような場合、
 Bに対するAの監督義務の内容には、再委託の適否だけではなく、
 BがC、Dに対して‘必要かつ適切な監督’を行っているかどうか
 を監督することも含まれます。

・従って、AはBに対する監督義務だけではなく、再委託先である
 C、Dに対しても間接的に監督義務を負うこととなります。

・また、ガイドラインのQ&Aには以下のような事項が挙げられています。
 <Q3-15>
  委託の取扱いについて、個人情報保護法と番号法の規定の違いは
  ありますか?

 <A3-15>
  個人情報保護法では、委託者が個人情報取扱事業者に該当する場合、
  委託先の監督義務を負います。
  また、委託先が再委託を行う場合、その委託先が個人情報取扱事業者に
  該当する場合は再委託先の監督義務を負いますが、個人情報取扱事業者
  に該当しない場合には再委託先の監督義務は負いません。
  番号法では、委託者が個人情報取扱事業者に該当するか否かに関係なく
  個人番号関係事務/個人番号利用事務の委託者は、委託先の監督義務を
  負うこととなります。
  また、委託先が再委託を行う場合の要件について、個人情報保護法では
  特段の規定はありませんが、番号法では、再委託以降の全ての段階の
  委託について、最初の委託者の許諾を得ることを要件としています。



○安全管理措置
・特定個人情報等(個人番号及び特定個人情報)の漏洩、滅失又は毀損の
 防止等、特定個人情報等の管理のために、必要かつ適切な安全管理措置
 を講じることが求められています。

・従業者に特定個人情報等を取扱わせるに当たっては、
 特定個人情報等の安全管理措置が適切に講じられるよう、
 当該従業者に対する必要かつ適切な監督を行うことが必要です。

・ガイドライン別添の「特定個人情報に関する安全管理措置(事業者編)」
 には、安全管理措置の要点及び具体的な内容として、以下のような事項が
 記載されています。

 <1> 安全管理措置の検討に当たって明確にすべき事項
  A 個人番号を取扱う事務の範囲
  B 特定個人情報等の範囲
  C 特定個人情報等の事務取扱担当者

 <2> 安全管理措置の検討手順
  A 個人番号を取扱う事務の範囲の明確化
  B 特定個人情報等の範囲の明確化
  C 特定個人情報等の事務取扱担当者の明確化
  D 特定個人情報等の安全管理措置に関する基本方針の策定
  E 取扱規程等の策定

 <3> 講ずべき安全管理措置の内容
  A 基本方針の策定
  B 取扱規程等の策定
  C 組織的安全管理措置
   a 組織体制の整備
   b 取扱規程等に基づく運用
   c 取扱状況を確認する手段の整備
   d 情報漏洩等事案に対応する体制の整備
   e 取扱状況の把握及び安全管理措置の見直し
  D 人的安全管理措置
   a 事務取扱担当者の監督
   b 事務取扱担当者の教育
  E 技術的安全管理措置
   a 特定個人情報等を取扱い区域の管理
   b 機器及び電子媒体等の盗難等の防止
   c 電子媒体等を持ち出す場合の漏洩等の防止
   d 個人番号の削除、機器及び電子媒体等の廃棄
  F 技術的安全管理措置
   a アクセス制御
   b アクセス者の識別と認証
   c 外部からの不正アクセス等の防止
   d 情報漏洩等の防止


・なお、以下の要件を満たす「中小規模事業者」については、
 取扱う個人番号の数量が少なく、取扱う従業者も限定的であること等から、
 特例的な対応方法が示されています。
 *次に掲げる事業者を除く、従業員が100人以下の事業者。
  ・個人番号利用事務実施者
  ・個人番号関係事務/個人番号利用事務を業務として行う受託者
  ・金融分野の事業者
  ・個人情報取扱事業者

   (個人データの取扱いが、過去6カ月のうち1度でも5000件を
    超えたことがある事業者)
 ※従業員が100人以下の事業者であっても、5000件超の個人データを
  保有している場合は、「中小規模事業者」の枠外となる点に注意が
  必要です。

・具体的な安全管理措置について、ガイドラインのQ&Aには以下のような
 例も挙げられています。
 <Q14-2>
  「b 取扱規程等に基づく運用」及び「c 取扱状況を確認する手段の
  整備」の【中小規模事業者における対応方法】における「取扱状況の
  分かる記録を保存する」とは、どのように考えることが適切ですか?

 <A14-2>  例えば、以下の方法が考えられます。
  ・業務日誌等において、例えば、特定個人情報等の入手・廃棄、
   源泉徴収票の作成日、本人への交付日、税務署への提出日等の、
   特定個人情報等の取扱い状況を記録する。
  ・取扱規程、事務リスト等に基づくチェックリストを利用して
   事務を行い、その記入済みのチェックリストを保存する。




今回はここまでにしたいと思います。

委託に際しては、最初の委託者の許諾を得ることが必要であったり、安全管理措置として、取扱規程等の策定が求められていたり、留意すべき事項があることがご理解いただけたのではないでしょうか。


次回は、残りの「(3) 特定個人情報の提供制限等」について、ご紹介してまいりたいと思います。


以上、ご参考になれば幸いです。



なお、今回ご紹介した資料(PDF)は以下のとおりです。

▼特定個人情報の適正な取扱いに関するガイドライン(事業者編)
http://www.ppc.go.jp/files/pdf/261211guideline2.pdf

▼ガイドライン Q&A
http://www.ppc.go.jp/files/pdf/261211qanda.pdf


また、バックナンバーは以下のとおりです。

▼特定個人情報の適正な取扱いに関するガイドライン(事業者編)<1>
http://ameblo.jp/management-souken/entry-11984133805.html

▼特定個人情報の適正な取扱いに関するガイドライン(事業者編)<2>
http://ameblo.jp/management-souken/entry-11990417890.html



株式会社マネジメント総研さんをフォロー

ブログの更新情報が受け取れて、アクセスが簡単になります

Ameba人気のブログ

Amebaトピックス