改正個人情報保護法に基づく個人情報保護指針・個人情報取扱規程
(連載第1回)
弁護士法人三宅法律事務所
弁護士 渡 邉 雅 之
個人情報の保護に関する法律(以下「法」又は「保護法」といます。)の改正法について、現在のところ、施行日政令は公布されていませんが、早ければ平成29年4月1日に施行される可能性があります。平成28年10月5日に公布された関連政令の改正及び個人情報委員会規則が公布され、及び同月4日にはガイドライン案が公表されたため、個人情報取扱事業者は、改正法に基づく社内規程の整備が可能となりました。
筆者は、平成28年10月19日に所属する弁護士法人三宅法律事務所のホームページにおいて、改正法に基づく「個人情報保護方針」や「個人情報取扱規程」の雛形を公表いたしました(「改正個人情報保護法:個人情報保護指針・個人情報取扱規程など改正法に基づく規程をすべて公開!」)のでその内容のポイントを紹介いたします。
なお、「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)(案)」のことをそれぞれ「GL(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)」といいます。
【ホームページにおいて開示を予定しているもの】
「個人情報保護指針」、「当社における個人情報の取扱いについて」、「保有個人データの開示等の請求手続」の3つを開示しております。「個人情報保護指針」はGL(通則編)8-1(基本方針の策定)に基づくものです。「当社における個人情報の取扱いについて」は、個人情報の利用目的を公表するものです(法18条2項)。「当社における個人情報の取扱いについて」は、保有個人データに関する事項を公表するものです(法27条)。
【個人情報取扱規程】
「個人情報取扱規程」は、GL(通則編)8-2(個人データの取扱いに係る規律の整備)において策定することが求められているものです。
改正法で設けられる「個人識別符号」や「要配慮個人情報」の定義は詳細に亘るため、別紙としています(「別紙1 個人識別符号」「別紙2 要配慮個人情報」)。
個人データの安全管理措置については、組織的・人的・物理的・技術的安全管理措置がGL(通則編)8-3~8-6に規定されています。番号法の事業者ガイドラインに規定されている安全管理措置の内容とほぼ同じ内容です。個人情報取扱規程においては、この内容を第2章「安全管理措置」に規定しました。関連する書式として「別紙3 個人データの運用状況記録票」、「別紙4 個人情報管理台帳」、「別紙5 モニタリングシート」、「別紙6 入退室管理簿・鍵貸出管理台帳」、「別紙7 個人データ持ち運び記録簿」を設けました。なお、情報漏えいについては、別途「情報漏えい事案等対応手続」を社内規程として設けることとしています。
外国にある第三者への提供(法24条)については、同規程第28条に規定していますが、個人データの入力等の委託に関して、「別紙8 「適切かつ合理的な方法」及び「法第4章第1節の規定に沿った措置」」に基づき行うこととしています。
個人データの提供の際の確認・記録義務(法25条・26条)については、同規程第29条及び第30条に規定していますが、「別紙9 個人データ提供記録簿」及び「別紙10 個人データ受領記録簿」に記録することとしています。
保有個人データの開示等の請求等の手続については第4章において規定していますが、書式として、「別紙11 保有個人データ開示等請求書」、「別紙12 委任状」、「別紙13 保有個人データ開示等決定書」、「別紙14 保有個人データ不開示等決定書」を設けました。
これらの規程や書式の雛形により、個人情報取扱事業者としての対応は可能と考えます。
次回は、匿名加工情報等取扱規程の雛形などを紹介いたします。
(つづく)