15 コンプライアンス, 情報セキュリティ, 個人情報保護法, その他

はじめに

経済産業省は12月12日、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（以下、「ガイドライン」とする）を改正したと発表した。今回の改正は、ベネッセコーポレーションの顧客情報漏洩事件などを受けての措置となる。
そこで、今回は、「ガイドライン」の改正点について紹介する。

主な追加点

主な改正点は、以下の5つとなり、これらの点について新たな規定が追加された。

（１）第三者からの適正な取得の徹底
第三者からの個人情報の適正な取得を徹底するため、①個人情報の提供元の法の遵守状況を確認し、個人情報を適切に管理している者を提供元として選定すること、②個人情報を取得する際には、取得の経緯を示す契約書等の書面を点検するなど取得方法等を確認すること、③当該個人情報が適法に取得されたことを確認できない場合は、その取得の自粛を含め、慎重に対応することが望ましいとされた。

（２）社内の安全管理措置の強化
社内の安全管理措置の例として、まず、①個人情報保護管理者（CPO）を設置する際には、原則として役員を任命すること、②社内の個人データの取扱いを監督する「管理委員会」の設置をすること、③入退館（室）の際には許可を得ていない記録機能を持つ媒体等の持ち込み等の禁止と検査の実施をすること、④カメラによる撮影や作業への立入り等による記録またはモニタリングの実施をすることなどが追加された。
また、個人データへのアクセスの記録の手法では、システム管理者等の特権ユーザーのアクセス権限を用いても、採取した記録を改竄・不正消去できないように対策することが望ましいとされた。

（３）委託先等の管理の強化
委託先等の管理の強化策として、①委託先の選定や委託先における個人データ取り扱い状況の把握について、個人情報保護管理者（CPO）が適切に評価すること、②委託先が再委託・再々委託を行おうとする場合には、委託元は、個人データの取扱方法等について、事前報告または承認を求めること等により、安全管理措置を確認することが望ましいとされた。

（４）共同利用制度の趣旨の明確化
①個人情報の共同利用者の範囲については、消費者等本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要があるとされ、また、②共同利用する個人データについて、取得時の利用目的をすべて、本人に通知するなどしなければならないとされた。さらに、③個人データの管理責任者の氏名等を本人に通知するなどしなければならないとされた。

（５）消費者等本人に対する分かりやすい説明のための参考事項の追記
消費者等本人に対する分かりやすい説明のための参考事項として、①提供するサービスの概要、②取得する個人情報と取得の方法、③個人情報の利用目的、④個人情報や個人情報を加工したデータの第三者への提供の有無及び提供先、⑤消費者等本人による個人情報の提供の停止の可否、訂正及びその方法、⑥問合せ先、⑦保存期間、廃棄が追記された。

一般に、ガイドラインは法的拘束力を持つものではないが、行政処分などを行なう際の判断基準となっている。また、個人情報の漏洩が発生すれば、個人情報保護法に基づく刑事罰や民事上の損害賠償責任にとどまらず、企業の信用低下などの間接的な損害も大きい。
そこで、企業は、今回の改正に合わせて個人情報の管理に関する規程を見直すことが必要となるが、それにとどまらず、取引先企業との契約書への条項の追加、プライバシーポリシーやサービス利用規約の改定、情報管理体制の構築とそのための社内ルールの作成などが必要となってくる。