◇SH0894◇中小規模事業者用の個人情報取扱規程・個人情報保護指針(連載第3回) 渡邉雅之(2016/11/24)

未分類

中小規模事業者用の個人情報取扱規程・個人情報保護指針(連載第3回)

弁護士法人三宅法律事務所

弁護士 渡 邉 雅 之

 改正個人情報保護法では、過去6月以内に5,000以下の個人情報を保有する者も個人情報取扱事業者としての義務を負うことになりますが、個人情報保護法ガイドライン(通則編)8((別添)講ずべき安全管理措置の内容)においては、「中小規模事業者」として、緩和された特例的な安全管理措置を許容されています。

 「中小規模事業者」とは、従業員の数が100人以下の個人情報取扱事業者のうち、①その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において5,000を超える者、及び、②委託を受けて個人データを取り扱う者を除くもののことです。これも番号法の事業者ガイドラインに準拠した取扱いです。

 『個人情報取扱規程(中小規模事業者用)』では、個人情報保護法ガイドライン(通則編)において、中小規模事業者に適用される緩和された(組織的・人的・物理的・技術的)安全管理措置を下に可能な限りシンプルな規程として作成しております。中小規模事業者以外の一般事業者においては適用される管理区域・取扱区域という概念も使用しておりません。記録関係もできる限り要しない内容としております。

 また、中小規模事業者が通常利用することが考えられない、「オプトアウト手続」(改正法23条2項~4項)や外国の第三者への提供の制限(改正法24条)に関する規定はしておりません。『第三者提供に係る記録の作成等』(改正法25条)においても、オプトアウト手続による提供に関する規定をしておりません。

 さらに、中小規模事業者は『開示等の請求等に応じる手続』(改正法32条)を公表しない場合が多いと考えこれも規定しておりません。

 もちろん、中小規模事業者がそれ以外の一般事業者と同様の安全管理措置に基づく規定の整備をすることは望ましいことです。また、上記で省略した規定についても規定することも考えられます。

 
講じなければならない措置
  1.   中小規模事業者における手法の例示
〇基本方針
  1.   具体的に定める項目としては、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等。
〇個人データの取扱いに係る規律の整備
  1. ・ 個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備する。
組織的安全管理措置
(1) 組織体制の整備
  1. ・ 個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する。
(2) 個人データの取扱いに係る規律に従った運用
  1. ・ あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する。
(3) 個人データの取扱状況を確認する手段の整備
  1. ・ あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する。
(4) 漏えい等の事案に対応する体制の整備
  1. ・ 漏えい等の事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する。
(5) 取扱状況の把握及び安全管理措置の見直し
  1. ・ 責任ある立場の者が、個人データの取扱状況について、定期的に点検を行う。
人的安全管理措置
〇従業員の教育
  1. ・ 個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う。
  2. ・ 個人データについての秘密保持に関する事項を就業規則等に盛り込む。
物理的安全管理措置
(1) 個人データを取り扱う区域の管理
  1. ・ 個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる。
(2) 機器及び電子媒体等の盗難等の防止
  1. ・ 個人データを取り扱う機器、個人データが記録された電子媒体又は個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管する。
  2. ・ 個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定する。
(3) 電子媒体等を持ち運ぶ場合の漏えい等の防止
 
  1. ・ 個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。
(4) 個人データの削除及び機器、電子媒体等の廃棄
  1. ・ 個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄したことを、責任ある立場の者が確認する。
技術的安全管理措置
(1) アクセス制御
  1. ・ 個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する。
(2) アクセス者の識別と認証
  1. ・ 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する。
(3) 外部からの不正アクセス等の防止
  1. ・ 個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
  2. ・ 個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。
(4) 情報システムの使用に伴う漏えい等の防止
  1. ・ メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する。
     

 

  1. 〇 個人情報取扱規程(中小規模事業者用)
  2. 〇 別紙1  個人識別符号
  3. 〇 別紙2  要配慮個人情報
  4. 〇 別紙3  個人データ提供記録簿
  5. 〇 別紙4  個人データ受領記録簿
  6. 〇 個人情報保護指針
  7. 〇 当社における個人情報の取扱いについて

 

 

タイトルとURLをコピーしました