経産省、経済産業分野の個人情報保護ガイドラインを改正
岩田合同法律事務所
弁護士 村 上 雅 哉
我が国の個人情報保護法制においては、事業分野ごとに監督官庁が、個人情報の保護に関する法律(以下「個人情報保護法」という。)、同法施行令及び個人情報の保護に関する基本方針(個人情報保護法7条1項に基づき定められたもの)を踏まえたガイドライン等を策定しているところ、個人情報の保護を政府として総合的かつ一体的に推進する観点から、消費者庁が、全事業分野に共通するような標準的なガイドラインを公表し、各省庁は、ガイドラインの策定・見直し等に当たっては、これも参考とすることとされている。経済産業省が所管する経済産業分野(製造業、小売・卸売業、情報通信事業、インフラ事業など)については、経済産業省が「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を策定しており、経済産業省は、個人情報保護法の施行後の状況等諸環境の変化を踏まえて、このガイドラインを毎年見直すように努めている。今般、株式会社ベネッセコーポレーションからの個人情報の漏えい問題など、本年に相次いで発生した内部不正やサイバー攻撃による個人情報の漏えい事案を受け、同ガイドラインが改正され、平成26年12月21日付で告示・施行された。
同ガイドライン中、「しなければならない」と記載されている規定については、それに従わなかった場合は、経済産業大臣により、法の規定違反と判断され得る。一方、「望ましい」と記載されている規定については、それに従わなかった場合でも、法の規定違反と判断されることはないが、これらの規定についても、個人情報保護の推進の観点から、できるだけ取り組むことが望まれるものとされている。
主な改正点については、本稿末尾に記載した通りであるが、その中で特に留意すべきと思われる点について述べる。なお、いずれも対応することが「望ましい」とされている事項である。
第1に、第三者から個人情報を取得する場合には、適法に入手されていること等を確認することや、適法に入手されていることが確認できない場合は、取引を自粛することも含め慎重に対応することが挙げられている。そして、適法に入手されていることを確認する方法の例示として、取得の経緯を示す契約書等の書面の点検など、より徹底した対応が挙げられている(以上につき、ガイドライン21頁)。
第2に、社内の安全管理措置のうち、組織面での対応に関しては、個人データの安全管理の実施及び運用に関する責任及び権限を有する者として、個人情報保護管理者(いわゆる「CPO」)を設置し、原則として役員を任命することが挙げられている(ガイドライン27頁)。この「役員」の意義については、「取締役」、「代表取締役」、「執行役」、「理事」等が想定されているとのことである(パブリックコメント回答参照)。
さらに、委託先等の監督の強化については、委託先における安全管理措置について、委託先の社内体制や規程等の確認や実地検査等を行った上で、CPO等がそれらの措置が個人情報保護法20条で求められるものと同等であることを適切に評価することが挙げられている。また、委託先における委託された個人データの取扱状況を把握するために、委託元が定期的な監査を行う等することで適切な評価を行うことが挙げられている。さらに、委託先が再委託を行おうとする場合に、再委託先以降についても委託元が自ら又は委託先を通じて、上記と同様の措置を行うことが挙げられており、再委託の場合について委託元による監督の強化が挙げられている(以上につき、ガイドライン42頁)。なお、個人データの取扱いを外部に委託する場合にその委託に関する契約に盛り込むことが望まれる事項として、委託先で個人データを取り扱う者の氏名または役職を契約書等で明確にすることや、再委託を行うに当たって委託元への文書による事前報告又は承認を得るよう明記すること等が挙げられている(ガイドライン43頁)ことから、個人データについて外部委託を行っている場合には当該外部委託先との契約書のアップデイトが必要になるものと考えられる。
以上の各事項については、対応することが「望ましい」とされており、遵守を強制されるわけではない。しかしながら、個人情報の流出事故が発生し、事業者やその役員に対する損害賠償請求がなされる等した場合には、これら対応の如何が、過失が認められるか否かを裁判所が判断する場合のメルクマールとなり得るので、事業者においては、この改正に対応する必要があるのではないかと思われる。
参考:主な改正点
1 第三者からの適正な取得の徹底
・第三者から個人情報を取得する場合には、適法に入手されていること等を確認することが望ましい旨追記。
・適法に入手されていることが確認できない場合は、取引を自粛することを含め、慎重に対応することが望ましい旨追記。
2 社内の安全管理措置の強化
・外部からのサイバー攻撃対策の追加。
・内部不正対策の組織的、物理的、技術的安全管理措置の項目の追加。
3 委託先等の監督の強化
・内部不正対策の委託先の安全管理措置の確認、定期的な監査等の追加。
・再委託先以降も同様の措置を行うことが望ましい旨追記。
4 共同利用制度の趣旨の明確化
・事業者が共同利用を円滑に実施するために共同利用者における責任等を追加。
・共同利用者の範囲の明確化。
5 消費者等本人に対する分かりやすい説明のための参考事項の追記
・個人情報取扱事業者は、本人に対して、個人情報保護を推進する上での考え方や方針等について、分かりやすい表現で説明するために参考とすべき基準を追記。
(むらかみ・まさや)
岩田合同法律事務所パートナー。2001年東京大学法学部卒業。2003年弁護士登録。破産手続、民事再生や会社更生などの法的整理(債権者側および債務者側の双方から関与)や私的整理などの倒産案件や債権回収案件を中心に、上場企業、非上場企業のほか地方公共団体などを依頼者とする多種多様な案件について幅広い経験を有する。
岩田合同法律事務所 http://www.iwatagodo.com/
<事務所概要>
1902年、故岩田宙造弁護士(後に司法大臣、貴族院議員、日本弁護士連合会会長等を歴任)により創立。爾来、一貫して企業法務の分野を歩んできた、我が国において最も歴史ある法律事務所の一つ。設立当初より、政府系銀行、都市銀行、地方銀行、信託銀行、地域金融機関、保険会社、金融商品取引業者、商社、電力会社、重電機メーカー、素材メーカー、印刷、製紙、不動産、建設、食品会社等、我が国の代表的な企業等の法律顧問として、多数の企業法務案件に関与している。
<連絡先>
〒100-6310 東京都千代田区丸の内二丁目4番1号丸の内ビルディング10階 電話 03-3214-6205(代表)