◇SH0371◇金融庁、「金融分野における個人情報保護に関するガイドライン」等の改正案に対するパブリックコメントの結果　鈴木正人（2015/07/16）

金融庁、「金融分野における個人情報保護に関するガイドライン」等の改正案に対するパブリックコメントの結果

岩田合同法律事務所

弁護士　鈴　木　正　人

　金融庁は、2015年7月2日、「金融分野における個人情報保護に関するガイドライン」及び「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」の改正案（以下「本改正案」という。）に対するパブリックコメントの結果等を公表した（改正部分について以下「本改正」という。）。

　本改正案の概要については、本年4月に掲載された佐藤喬城弁護士執筆のタイムラインで解説されている。そこで、今回は、実務上影響が大きいパブリックコメントの結果（以下「本パブコメ回答」という。）について紹介する。なお、本改正については本年7月9日より適用されている。

　まず、本改正のうち「金融分野における個人情報保護に関するガイドライン」（平成21年金融庁告示第63号）（以下「金融庁GL」という。）12条（委託先の監督）に関して、3項1号において、個人データの取扱いの委託先の選定に当たって、必要に応じて委託先において同データを取扱う場所に赴く又はこれに代わる合理的な方法による確認を行った上で評価することが望ましい旨が追加されており、「合理的な方法による確認」の内容が実務上問題となる。こちらについては、個別事例毎に実態に即して判断する必要があるが、委託開始前に「個人データ取扱委託先の安全管理措置に関する確認書」等を委託先から提出してもらう方法や第三者による監査報告書を委託先から受け入れる方法も含まれる旨の見解が示された（本パブコメ回答4番）。

　また、同号において、（委託先への）定期的な監査を行う等が追加されたが、仮に委託先がプライバシーマーク認定等を取得している場合でも、委託元が実地検査や書面による報告等を実施して、委託先における個人データの取扱状況を把握する必要がある旨の見解が示された（同回答8番）。

　さらに、同号で再委託先の監督に関する留意事項が追加されたが、再委託先の直接監督の要否に関して、本人の個人データを漏えい等した場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱い状況等に起因するリスクに応じて、委託先を通じた監督のみとせず、委託元の再委託先の監督も含めて適切な措置を講じる必要がある旨の見解が示されており（同回答11番）、金融機関は状況次第で再委託先の直接監督を行うかどうか判断することが要請されよう。

　次に、本改正のうち「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」」（平成17年金融庁告示第1号）（以下「実務指針」という。）I. 4-5（個人データへのアクセスの記録及び分析）について、個人データへのアクセスに加えて操作も記録の対象に追加され、また、I. 4-7（個人データを取り扱う情報システムの監視及監査）について監視対象に個人データのアクセス状況などが追加された。この点、当該アクセス・操作は外部のものに限られず、事業者内部のものも含まれる旨の見解が示された（同回答23番、28番）。

　また、本改正のうち実務指針III.5-3（注）では委託契約に委託先において個人データを取り扱う者の氏名・役職又は部署名を盛り込むことが望ましい旨が追加されたが、委託契約締結後に担当者が変更した場合について委託契約書等を改訂する必要まではないが、当該変更を委託先のみならず委託元においても把握することが望ましい旨の見解が示された（同回答30番）。個人データの取扱いの委託をする際に参考になる。

【図表】本改正の概要