改正個人情報保護法:5月30日施行前のチェックポイント
2017/05/01
【執筆者 渡邉雅之】
渡邉雅之弁護士の以下の書籍が刊行されています。
『これ一冊で即対応 平成29年施行改正個人情報保護法 Q&Aと誰でもつくれる規程集 増補版』(第一法規)_
『個人情報保護法・マイナンバー制度 法的リスク対策と取扱規程』(日本法令)
改正個人情報保護法とマイナンバー法の規程集は下記をご覧ください。
改正個人情報保護法・マイナンバー法:規程集
1 個人識別符号
改正法の全面施行により、個人情報(法2条1項)の定義に、新たに個人識別符号(法2条1項2号、2項)が加わります。個人識別符号とは、身体的特徴のうち本人認証が可能なもの(顔認証データ、指紋認証データ等)、個人に割り当てられた公的番号(運転免許証番号、旅券番号等)をいいます。
取扱規程や約款においては、個人識別符号に該当するものは多数あるので、下記のとおり、「法第2条第2項に定めるもの」として省略するか、または、「別紙」として規定することが考えられます。
_
第〇条(定義)
1 「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
�@ 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の近くによっては認識できない方式をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて評された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
�A 個人識別符号が含まれるもの
2 「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、【法第2条第2項/別紙1】で定めるものをいう 。
�@ 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
�A 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方法により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
_
2 要配慮個人情報
改正法の全面施行により、個人情報のうち、機微情報に該当するものが「要配慮個人情報」(法2条3項)として定義され、原則として本人の同意が必要となります(法17条2項)。
要配慮個人情報は多数あるので、取扱規程や約款においては、下記のとおり、「法第2条第3項」として省略するか、または、「別紙」として規定することが考えられます。
_
(定義)
第〇条 この規程において、次に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
1・2(略)
3 「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして【法第2条第3項/別紙2】で定める記述等が含まれる個人情報をいう。
_
(適正な取得)
第〇条 当社は、偽りその他不正な手段により個人情報を取得してはならない。
2 当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
�@ 法令に基づく場合
�A 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
�B 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
�C 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
�D 当該要配慮個人情報が、本人、国の機関、地方公共団体、法第76条1項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における法第76条第1項各号に掲げる者に相当する者により公開されている場合
�E 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
�F 法第23条第5項各号において、個人データである要配慮個人情報の提供を受けるとき。
_
_
3 個人情報データベース等
改正法の全面施行により、過去6か月以内のいずれの日においても個人情報データベース等を構成する個人情報の数が5,000を超えない者についての、個人情報取扱事業者から除外が廃止されます。そこで、個人情報取扱事業者の定義について下記のとおり修正することが考えられます。
_
(定義)
第〇条 この規程において、次に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
5 「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
�@ 国の機関
�A 地方公共団体
�B 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律 (平成15年法律第59号)第2条第1項 に規定する独立行政法人等をいう。)
�C 地方独立行政法人(地方独立行政法人法 (平成15年法律第118号)第2条第1項 に規定する地方独立行政法人をいう。)
�D その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去六月以内のいずれの日においても5,000を超えない者
_
4 第三者提供の確認・記録義務
改正法の全面施行により、個人情報取扱事業者は、個人データを第三者に提供したときは、第三者提供に係る記録を作成・保存の義務を負うことになります(法25条)。また、個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、確認を行うとともに記録の作成・保存義務を負います(法26条)。取扱規程には、以下のような規定を設けることが考えられます。
_
(第三者提供をする際の記録)
第〇条 当社は、個人データを第三者に提供したときは、第三者提供に係る記録を作成しなければならない。ただし、当該個人データの提供が第〇条第1項各号に該当する場合【注:法23条1項各号に該当する場合】又は同条6項各号のいずれかに該当する場合【注:法23条5項各号に該当する場合】は、この限りでない。
2 第三者に個人データの提供をする場合の記録の作成方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法によるものとする。
3 前項の記録は、次項又は第5項に該当する場合を除き、第三者から個人データの提供をした都度、速やかに作成しなければならない。
4 第2項の記録は、当該第三者から継続的に若しくは反復して個人データの提供(第〇条第2項までの方法により個人データの提供を受けた場合を除く。)をしたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
5 第2項の記録は、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。
6 第〇条第2項に基づき【注:法23条2項のオプトアウト手続による場合】個人データを第三者に提供した場合は別紙〇−1の「個人データ提供記録簿」に以下の事項を記録するものとする。
�@ 当該個人データを提供した年月日
�A 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
�B 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
�C 当該個人データの項目
7 第〇条第1項【注:法23条1項に相当する規定】又は前条【注:法24条に相当する規定】に基づく本人の同意を得て個人データを第三者に提供した場合は別紙〇−2の「個人データ提供記録簿」に以下の事項を記録するものとする。
�@ 本人の同意を得ている旨
�A 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
�B 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
�C 当該個人データの項目
8 第6項及び前項の記載事項のうち、第2項から第5項までの方法により作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
9 当社は、第6項から前項までの規定により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
場合
期間
�@ 本人を当事者とする契約書等に基づく個人データの提供の場合
最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間
�A 個人データを継続的に若しくは反復して提供する場合
最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
�B 上記�@又は�A以外の場合
当該記録を作成した日から3年間
_
(第三者提供を受ける際の確認及び記録)
第〇条 当社は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第〇条第1項各号に該当する場合【注:法23条1項各号に該当する場合】又は同条6項各号【注:法23条5項各号に該当する場合】のいずれかに該当する場合は、この限りでない。
�@ 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
�A 当該第三者による当該個人データの取得の経緯
2 当社が、第三者から個人データの提供を受ける際の確認を行う方法は、確認を行う事項の区分に応じて、それぞれ次のとおりとする。
場合
方法
�@ 前項1号に該当する事項
個人データを提供する第三者から申告を受ける方法その他の適切な方法
�A 前項2号に該当する事項
個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法
_
3 前項にかかわらず、第三者から他の個人データの提供を受けるに際して前項の方法による確認(当該確認について記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う場合は、当該事項の内容と当該提供に係る確認事項の内容が同一であることの確認を行う方法によるものとする。
4 当社は、前3項に基づく確認を行ったときは、以下の区分に応じて以下の事項を記録しなければならない。
一 第〇条第2項の方法【注:法23条2項のオプトアウト手続による方法】により個人データの提供を受けた場合(別紙〇−1の「個人データ受領記録簿」に記録するものとする。)
�@ 個人データの提供を受けた年月日
�A 当該第三者の氏名又は名称
�B 当該第三者の住所
�C 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
�D 当該第三者による当該個人データの取得の経緯
�E 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
�F 当該個人データの項目
�G 法第23条第4項に基づき個人情報保護委員会による公表がされている旨
二 第〇条第1項【注:法23条1項に相当する規定】又は第〇条【注:法24条に相当する規定】に基づく本人の同意を得て第三者に提供した場合(別紙〇−2の「個人データ受領記録簿」に記録するものとする。)
�@ 本人の同意を得ている旨
�A 当該第三者の氏名又は名称
�B 当該第三者の住所
�C 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
�D 当該第三者による当該個人データの取得の経緯
�E当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
�F当該個人データの項目
三 個人情報取扱事業者ではない第三者から提供を受けた場合(別紙〇−3の「個人データ受領記録簿」に記録するものとする。)
�@ 当該第三者の氏名又は名称
�A 当該第三者の住所
�B 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
�C 当該第三者による当該個人データの取得の経緯
�D当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
�E当該個人データの項目
5 前項各号の記載事項のうち、既に作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
6 第4項の記録の作成方法は、前条第2項から第5項までの方法による。
7 当社は、第4項又第5項により作成した記録を、前条第9項の場合に応じて所定の期間保存するものとする。
_
もっとも、一般の事業者が本人の同意を得て個人データを第三者提供する場合は、ほとんど、「解釈により提供者及び受領者に確認・記録義務が適用されない場合」(個人情報保護法ガイドライン(確認・記録義務編)2-2-1)、「解釈により受領者に確認・記録義務が適用されない場合」(同ガイドライン2-2-2)に該当し、確認・記録義務は適用されないと考えてよいです。特に、解釈上の例外である「本人に代わって提供する場合」に該当するケースが多いでしょう。
確認・記録義務がないと整理した事業者においては、以下のような簡易な規定をすることも考えられます。
(第三者提供をする際の記録)
第〇条 当社は、個人データを第三者に提供したときは、法第25条に基づき記録を作成及び保存するものとする。
(第三者提供を受ける際の確認及び記録)
第〇条 当社は、第三者から個人データの提供を受けるに際しては、法第26条に基づき、確認並びに記録の作成及び保存をするものとする。
_
5 オプトアウト手続に関する規定
改正法の全面施行により、オプトアウト手続が厳格化し、「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置く」方法が定められるとともに、個人情報保護委員会への事前の届出が必要となります(法23条2項)。取扱規程には、以下の下線のような追加をすることが考えられます。
_
(第三者提供の制限)
第〇条 当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(略)
2 当社は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
�@ 第三者への提供を利用目的とすること。
�A 第三者に提供される個人データの項目
�B 第三者への提供の方法
�C 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
�D 本人の求めを受け付ける方法
3 当社は、前項第2号、第3号又は第5号に掲げる事項を変更する場合は、変更する内容について、規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4 第2項及び前項における「あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く」とは以下のいずれかの措置を講ずることをいう。
�@ 第三者に提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間をおくこと。
�A 本人が第三者に提供される個人データの項目等の第1項各号の事項を確実に認識できる適切かつ合理的な方法によること。
5 当社は、第2項及び第3項による個人情報保護委員会に対する届出事項が同委員会により公表された後、速やかに、インターネットの利用その他の適切な方法により、第三者に提供される第2項各号の事項(変更があったときは、変更後の事項)を公表するものとする。
6 ・7(略)【注:法23条第5項各号に該当する場合の規定】
_
6 外国にある第三者への提供の制限
改正法の全面施行により、個人情報取扱事業者が、個人データを外国にある第三者に提供する場合には、法23条は適用されず、法24条の規定が適用されることになります。法24条においては、個人情報取扱事業者は、外国にある第三者に個人データを提供するには、法23条1項各号に該当する場合を除き、原則として、あらかじめ外国にある第三者への提供を認める旨の本人の同意がなければならなくなります。
ただし、「個人情報保護委員会規則で定める国・地域にある第三者への提供に該当する場合」又は「個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供に該当する場合」は、法24条ではなく法23条の規律が適用されます。
「個人情報保護委員会規則で定める国・地域にある第三者への提供に該当する場合」は定められなかったので、「個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供に該当する場合」である「個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第一節の規定の趣旨に沿った措置の実施が確保されていること」(個人情報の保護に関する法律施行規則11条1号)及び「個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること」(同条2号)についてのみ規定例においては定めています。
前者の「適切かつ合理的な方法」及び「法第4章第1節の規定の趣旨に沿った措置」については、「個人情報の保護に関する法律ついてガイドラン(第三者提供時の確認・記録義務編)」に規定されている具体例を別紙で規定しています。
_
(外国にある第三者への提供の制限)
第〇条 前条にかかわらず、当社が外国(本邦の域外にある国又は地域をいう。以下同じ。)にある第三者(個人情報取扱事業者に該当する者を除く。)に個人データを提供する場合は、前条第1項各号に該当する場合を除き、あらかじめ当該外国の第三者への提供を認める旨の本人同意を得なければならない。ただし、以下のいずれかに該当する場合は前条【注:法23条の個人データの第三者提供の制限に関する規定】を適用するものとする。
�@ 当該外国の第三者が「適切かつ合理的な方法」により、「法第4章第1節の規定の趣旨に沿った措置」を講じている場合
�A 当該外国の第三者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けている場合
2 前項第1号における「適切かつ合理的な方法」及び「法第4章第1節の規定の趣旨に沿った措置」は、別紙〇(「適切かつ合理的な方法」及び「法第4章第1節の規定の趣旨に沿った措置」)に規定するところに従う。
_
(別紙〇)
_
「適切かつ合理的な方法」及び「法第4章第1節の規定の趣旨に沿った措置」
_
個人情報取扱規程第〇条に定める「適切かつ合理的な方法」及び「法第4章第1節の規定の趣旨に沿った措置」は以下のとおりとする。
_
1 適切かつ合理的な方法
「外国にある事業者に個人データの取扱いを委託する場合」及び「同一の企業グループ内で個人データを移転する場合」ついて、それぞれ以下に定めるとおりとする。
(1)外国にある事業者に個人データの取扱いを委託する場合
提供元及び提供先間の契約、確認書、覚書等において定める。
(2)同一の企業グループ内で個人データを移転する場合
提供元及び提供先に共通して適用される内規、プライバシーポリシー等において定める。
_
2 法第4章第1節の規定の趣旨に沿った措置
当社が、外国にある事業者に顧客データの入力業務を委託する場合についての具体的な措置は、以下に定める事項のとおりとする。
_
法第15条
利用目的の特定
委託契約において、外国にある事業者による利用目的を特定する。
法第16条
利用目的による制限
委託契約において、委託の内容として、外国にある事業者による利用目的の範囲内での事務処理を規定する。
法第17条
適正な取得
外国にある事業者が委託契約に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。
法第18条
取得に際しての利用目的の通知等
日本にある個人情報取扱事業者から顧客に対して利用目的の通知等をする。
法第19条
データ内容の正確性の確保等
委託契約によりデータ内容の正確性の確保等について規定するか、又は、データ内容の正確性の確保等に係る責任を個人データの提供元たる個人情報取扱事業者が負うことになる。
法第20条
安全管理措置
委託契約により外国にある事業者が安全管理措置を講ずる旨を規定する。GL(通則編)「(別添)講ずべき安全管理措置の内容」を参照。
法第21条
従業者の監督
委託契約により外国にある事業者の従業者の監督に係る措置を規定する。
法第22条
委託先の監督
委託契約により外国にある事業者の再委託先の監督に係る措置を規定する。
�@適切な委託先の選定
�A委託契約の締結
�B委託先における個人データ取扱状況の把握
法第23条
第三者提供の制限
委託契約により外国にある事業者からの個人データの第三者提供を禁止する。
法第24条
外国にある第三者への提供の制限
委託契約により外国にある事業者からの個人データの第三者提供を禁止する。
外国の事業者から更に外国にある第三者に個人データの取扱いを再委託する場合には、法22条の委託先の監督義務のほか、法第4章第1節の規定の趣旨に沿った措置の実施を確保する。
法第27条〜第33条、第35条
保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の処理
提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、委託元が保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の処理に係る義務を履行することについて明確にする。
なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
_
なお、外国にある第三者に個人データを提供しない事業者においては、規定自体を追加しないことも考えられます。
_
7 外国にある第三者への委託契約書への追加
上記6で説明した外国にある事業者に個人データの取扱いを委託する場合には、委託契約書(英文)については、下記のような覚書(Side Letter Agreement)で必要な規定を追加することが考えられます。
_
SIDE LETTER AGREEMENT
This Side Letter Agreement (this “Agreement”) is made as of [___ ], 2017, by and among [________________ ], a company incorporated in [ _ _ _ _ _] (the “Data Importer”) and [________________ ] (the “Data Exporter”).
RECITALS
WHEREAS, the Data Importe and_the Data Exporter have entered into Data Protection Agreement, dated as of [___ ], 2017 (the_“Data Protection Agreement”); and
WHEREAS, the Data Importer and the Data Exporter desire to enter into this Agreement to comply with the restrictions pursuant to the Act on the Protection of Personal Information of Japan (Act No. 57 of 2006, as amended, the “APPI”) and the Guideline for Protection of Personal Information (Chapter for transfer to foreign third party)_(Personal Information Protection Commission Notification No 7 of 2016, as amended, “Guideline”).
NOW, THEREFORE, in consideration of the foregoing, the parties hereto, intending to be legally bound, hereby agree as follows:
1._Personal Data
Parties of this Agreement shall treat ‘personally identifiable information’ pursuant to the Act on the APPI as “Personal Data” under Clause 1(a) of the Data Protection Agreement.
2. Sensitive Information
If the personal data falls within the definition of “personal data taking extra attention” under the APPI, the Data Exporter may obtain such information upon the consent of the data subject.
3. Purpose of utilizing personal data
The data importer agrees and warrants that it will process the personal data only on behalf of the data exporter and within the purpose of utilization of the data exporter shown to a data subject by the data exporter.
4. Assurance etc. about the Accuracy of Data Contents
The data importer agrees and warrants to strive to keep personal data accurate and up to date within the scope necessary to achieve a utilization purpose, and to delete the personal data without delay when such utilization has become unnecessary.
5. Transfer restriction
The data importer agrees and warrants that it will not transfer the personal data.
6. Handling of Personal Data
The data exporter agrees and warrants that it will correspond to data subjects’ request for disclosure, correction, suspension of utilization, or suspension of processing of his/her personal data._
7. Unlawful access of Personal Data
The data exporter agrees and warrants that If it becomes aware of any unlawful access to personal data of a data subject, stored on its equipment or in its facilities, or unauthorized access to such equipment or facilities resulting in loss, disclosure, or alteration of personal data of the data subject, it will promptly: (i) notify the data exporter of the security breach; and (ii) sincerely cooperate with the data exporter for investigating the security breach and for taking reasonable steps to mitigate the effects and to minimize any damage resulting from the security breach.
_
IN WITNESS WHEREOF, the parties hereto, intending to be legally bound by the terms hereof, have caused this Agreement to be executed as of the date first above written by their officers or other representatives thereunto duly authorized.
_
_
_
_
[_________________________ ]
_
_
_
_
_
By:
_
/s/
_
_
_
_
_
Name:
_
_
Title:
_
_
_
_
_
_
_
_
[_________________________ ]
_
_
_
_
_
By:
_
/s/
_
_
_
_
_
Name:
_
_
Title:
_
_
_
_
8 保有個人データの開示・訂正・利用停止等
改正法の全面施行により、開示、訂正等、利用停止等、第三者提供の停止等について、裁判上の請求もできることが明確化されます(法28条1項、29条1項、30条1項、3項)。
これに伴い、取扱規程における規定においても「開示の求め」や「訂正等の求め」という文言を「開示の請求」や「訂正等の請求」に改める必要があります。
_
9 安全管理措置
「個人情報の保護に関する法律ついてガイドラン(通則編)」の「8 (別添) 講ずべき安全管理措置の内容」において以下の措置を「講じなければならない措置」として定めています。取扱規程には、安全管理措置としてこれらの項目に関する事項を定める必要があります。
これに対して、当該ガイドラインに規定されている「具体的な手法」については必ずしも全てこれを実施する必要はありません。たとえば、「個人データを取り扱う区域の管理」については、取扱区域に関する具体例である「壁又は間仕切り等の設置、座席配置の工夫、のぞき込みを防止する措置の実施等による、権限を有しない者による個人データの閲覧等の防止」を全て実施する必要があるわけではありません。
組織的安全管理措置
・組織体制の整備
・個人データの取扱いに係る規律に従った運用
・個人データの取扱状況を確認する手段の整備
・漏えい等の事案に対応する体制の整備
人的安全管理措置
・従業員の教育
物理的安全管理措置
・個人データを取扱う区域の管理
・機器及び電子媒体等の盗難等の防止
・電子媒体等を持ち運ぶ場合の漏洩等の防止
・個人データの削除及び機器、電子媒体等の廃棄
技術的安全管理措置
・アクセス制御
・アクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報システムの使用に伴う漏えい等の防止
_
10 委託契約書の留意点
「個人情報の保護に関する法律ついてガイドラン(通則編)」3−3−4においては「委託先の監督」として、委託契約に定める事項として以下の事項を規定しています(努力義務)。
�@委託先における委託された個人データの取扱状況を委託元が合理的に把握すること(努力義務)
*定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討する。
�A委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第20条に基づく安全管理措置を講ずることを十分に確認(努力義務)
(i)委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと
(ii)委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること
これらの事項は既に締結済みの個人データの取扱いの委託に関する契約においては規定済みの場合が多いと考えられます。
なお、再委託先については、「事前承認」だけでなく「事前報告」も許容されていますが、上記6・7のとおり、外国にある第三者への委託がなされる場合もあり得るので、「事前承認」としておくべきです。
_
