中小規模事業者用の個人情報取扱規程・個人情報保護指針(連載第3回)
弁護士法人三宅法律事務所
弁護士 渡 邉 雅 之
改正個人情報保護法では、過去6月以内に5,000以下の個人情報を保有する者も個人情報取扱事業者としての義務を負うことになりますが、個人情報保護法ガイドライン(通則編)8((別添)講ずべき安全管理措置の内容)においては、「中小規模事業者」として、緩和された特例的な安全管理措置を許容されています。
「中小規模事業者」とは、従業員の数が100人以下の個人情報取扱事業者のうち、①その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において5,000を超える者、及び、②委託を受けて個人データを取り扱う者を除くもののことです。これも番号法の事業者ガイドラインに準拠した取扱いです。
『個人情報取扱規程(中小規模事業者用)』では、個人情報保護法ガイドライン(通則編)において、中小規模事業者に適用される緩和された(組織的・人的・物理的・技術的)安全管理措置を下に可能な限りシンプルな規程として作成しております。中小規模事業者以外の一般事業者においては適用される管理区域・取扱区域という概念も使用しておりません。記録関係もできる限り要しない内容としております。
また、中小規模事業者が通常利用することが考えられない、「オプトアウト手続」(改正法23条2項~4項)や外国の第三者への提供の制限(改正法24条)に関する規定はしておりません。『第三者提供に係る記録の作成等』(改正法25条)においても、オプトアウト手続による提供に関する規定をしておりません。
さらに、中小規模事業者は『開示等の請求等に応じる手続』(改正法32条)を公表しない場合が多いと考えこれも規定しておりません。
もちろん、中小規模事業者がそれ以外の一般事業者と同様の安全管理措置に基づく規定の整備をすることは望ましいことです。また、上記で省略した規定についても規定することも考えられます。
| 講じなければならない措置 |
|
| 〇基本方針 |
|
| 〇個人データの取扱いに係る規律の整備 |
|
| 組織的安全管理措置 | |
| (1) 組織体制の整備 |
|
| (2) 個人データの取扱いに係る規律に従った運用 |
|
| (3) 個人データの取扱状況を確認する手段の整備 |
|
| (4) 漏えい等の事案に対応する体制の整備 |
|
| (5) 取扱状況の把握及び安全管理措置の見直し |
|
| 人的安全管理措置 | |
| 〇従業員の教育 |
|
| 物理的安全管理措置 | |
| (1) 個人データを取り扱う区域の管理 |
|
| (2) 機器及び電子媒体等の盗難等の防止 |
|
|
(3) 電子媒体等を持ち運ぶ場合の漏えい等の防止 |
|
| (4) 個人データの削除及び機器、電子媒体等の廃棄 |
|
| 技術的安全管理措置 | |
| (1) アクセス制御 |
|
| (2) アクセス者の識別と認証 |
|
| (3) 外部からの不正アクセス等の防止 |
|
| (4) 情報システムの使用に伴う漏えい等の防止 |
|
- 〇 個人情報取扱規程(中小規模事業者用)
- 〇 別紙1 個人識別符号
- 〇 別紙2 要配慮個人情報
- 〇 別紙3 個人データ提供記録簿
- 〇 別紙4 個人データ受領記録簿
- 〇 個人情報保護指針
- 〇 当社における個人情報の取扱いについて