実務Q&A
  • ニュース
  • 特集
  • 実務Q&A
  • 弁護士名鑑

個人情報取扱事業者に求められる安全管理措置はどのように変わったか

IT・情報セキュリティ 公開 更新

 改正個人情報保護法の施行により、個人情報取扱事業者に求められる安全管理措置はどのようになりますか。また、個人情報保護委員会は安全管理措置に関してどのようなガイドラインを定めるのでしょうか。

 改正個人情報保護法の全面施行前は、主務大臣である各省庁の長が事業分野ごとにガイドラインを定め、それぞれのガイドラインにおいて安全管理措置も定められていました。
 改正個人情報保護法の全面施行施行後は、個人情報保護委員会が、一元的にすべての事業者に適用されるガイドラインを定め、そのガイドラインにおいて安全管理措置が定められます。

解説

目次

  1. 安全管理措置
  2. 個人情報保護法ガイドラインへの一元化
  3. 個人情報保護法ガイドラインで定められる安全管理措置
    1. 個人情報保護法ガイドラインにおいて定められる内容
    2. 小規模事業者への配慮
    3. 個人情報保護法ガイドラインにおける安全管理措置
    4. 基本方針・個人情報取扱規程の策定・改訂
  4. 個人データの漏えい等の事案が発生した場合等の対応について
    1. 対象とする事案
    2. 漏えい等事案が発覚した場合に講ずべき措置
    3. 個人情報保護委員会等への報告
    4. 個人データ等と特定個人情報が漏えいした場合の対応の比較
  5. 従業者の監督(個人情報保護法21条、GL(通則編)3-3-3)
  6. 委託先の監督(個人情報保護法22条、GL(通則編)3-3-4)
    1. 適切な委託先の選定
    2. 委託契約の締結
    3. 委託先における個人データ取扱状況の把握

※本QAの凡例は注の通りです1

安全管理措置

 個人情報取扱事業者は、個人データについての安全管理措置(個人情報保護法20条)、従業者の監督(個人情報保護法21条)、委託先の監督(個人情報保護法22条)を講ずる義務を負います。「従業者の監督」と「委託先の監督」は広義の安全管理措置といえます。
 改正個人情報保護法においては、これらの規定について改正は全くありません。

(安全管理措置)
第20条  個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

(従業者の監督)
第21条  個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

(委託先の監督)
第22条  個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

 改正前の個人情報保護法の下では、各主務大臣が個人情報保護法に基づく勧告および命令等の監督権限を有しており、個人情報保護法8条等に基づき、事業分野ごとの個人情報保護等に関するガイドライン(以下「各省ガイドライン」といいます)を策定していました。そして各省ガイドラインにおいて安全管理措置も定められていました。
 たとえば、経済産業分野においては、経済産業大臣が「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を定め、その中で個人情報取扱事業者の安全管理措置を定めていました。
 また、金融分野においては、金融庁長官が「金融分野における個人情報保護に関するガイドライン」および「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」を定め、これらの中において金融機関が講ずべき安全管理措置を定めていました。

個人情報保護法ガイドラインへの一元化

 改正個人情報保護法の全面施行時(平成29年5月30日)には監督権限が個人情報保護委員会に一元化されます。これを踏まえて、個人情報保護委員会は、改正個人情報保護法4条(国の責務)、8条(地方公共団体「等」への支援)および51条(委員会の任務)に基づき、すべての事業分野に適用される汎用的な個人情報保護法ガイドライン(通則編外国にある第三者への提供編第三者提供時の確認・記録義務編匿名加工情報編を策定し、平成28年11月30日に告示として公布しました。
 これに伴って、改正個人情報保護法の全面施行により、改正前の各省ガイドラインは、原則として個人情報保護法ガイドラインに一元化されます。ただし、一部の分野については、個人情報の性質及び利用方法並びに改正前の規律の特殊性等を踏まえて、個人情報保護法ガイドラインを基礎として、当該分野においてさらに必要となる別途の規律を定めました。
 金融関連分野のガイドラインとしては以下のガイドラインが平成29年2月28日に告示として公布されました。

 その他にも、個人情報保護委員会は、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」、「国民健康保険組合における個人情報の適切な取扱いのためのガイダンス」、「国民健康保険団体連合会等における個人情報の適切な取扱いのためのガイダンス」、「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」等のガイドラインを定めています。

 個人情報保護法ガイドラインにおいては、各省ガイドライン等により従来から共通的に示されてきた解釈は基本的に踏襲しつつ、改正法に係る国会審議や直近の社会情勢等も踏まえ、適切な解釈及び事例等が示されています。
 また、改正法附則11条において、「この法律の施行により旧個人情報保護法第2条第3項第5号に掲げる者が新たに個人情報取扱事業者となることに鑑み、特に小規模の事業者の事業活動が円滑に行われるよう配慮するものとする。」とされている点にも留意する必要があります(参照:「個人情報取扱事業者の範囲はどのように変わったか」)。

個人情報保護法ガイドラインで定められる安全管理措置

個人情報保護法ガイドラインにおいて定められる内容

 個人情報保護ガイドライン(通則編)「(別添)講ずべき安全管理措置の内容」においては、「組織的・人的・物理的・技術的」安全管理措置の観点ごとに「講じなければならない項目」および「手法例」が示されています2

 その安全管理措置の内容は、原則、番号法ガイドラインに準ずるものとなっています。
 その理由は、①番号法で求められる安全管理措置と、個人情報保護法が求める安全管理措置とでは、その基本的な要素(漏えい、滅失または毀損の防止その他の安全管理のために必要かつ適切な措置)がおおむね共通すること、②番号法ガイドラインの内容は、現在の各省庁の個人情報保護ガイドラインに共通する内容が反映されている(事業者における混乱は少ないものと想定)こと、③番号法ガイドラインの内容は、すでにすべての事業分野の事業者に適用されていることの3点です。

 なお、個人情報保護法ガイドラインが適用される事業者の規模・事業内容は非常に多様であるため、過剰反応防止等の観点から、汎用的かつわかりやすい内容とされています。
 そのうえで、詳細な手法等の例示及び技術的に専門的な内容等については、別途参考となり得る関連規格・指針等(ISO・JIS・IPA等)を示すほか、Q&Aその他の解説資料等において必要に応じて示される模様です。

個人情報保護法ガイドラインで定められる安全管理措置

小規模事業者への配慮

 委員会ガイドラインにおいては、番号法ガイドラインを参考に、中小規模事業者に対しては緩和された特例的な安全管理措置を許容されています(GL(通則編)「(別添)講ずべき安全管理措置の内容」)。

参考:「個人情報取扱事業者の範囲はどのように変わったか

 「中小規模事業者」とは、従業員の数が100人以下の個人情報取扱事業者のうち、以下の者を除くものです。

  • その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6か月以内のいずれかの日において5,000を超える者
  • 委託を受けて個人データを取り扱う者

個人情報保護法ガイドラインにおける安全管理措置

 個人情報保護法ガイドライン(通則編)の「(別添)講ずべき安全管理措置の内容」においては、以下のとおり安全管理措置について定めています。

(1)安全管理措置の内容

 安全管理措置は、①基本方針の策定、②取扱規程等の策定、③組織的安全管理措置、④人的安全管理措置、⑤物理的安全管理措置、⑥技術的安全管理措置からなります。

(2)基本方針

 個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要です。
 具体的に定める項目の例としては、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等が考えられます。
 個人情報取扱事業者が策定している「個人情報保護宣言」や「プライバシーポリシー」に相当するものです。

(3) 個人データの取扱いに係る規律

 個人情報保護法ガイドライン(通則編)の「(別添)講ずべき安全管理措置の内容」においては、以下のとおり、安全管理措置に関して、一般事業者と中小規模事業者に分けて、「講じなければならない項目」および「手法例」を示しています。

 「講じなければならない措置」として示している内容については、すべての個人情報取扱事業者において講じる必要がありますが、これを実践するための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであるため、必ずしも個人情報保護法ガイドライン(通則編)で示す例示の内容の全てを講じなければならないわけではなく、また、適切な手法は例示の内容のみに限定されるものではありません(Q&A7-1)。

①個人データの取扱いに係る規律の整備

個人データの取扱いに係る規律の整備

②組織的安全管理措置

組織的安全管理措置

③人的安全管理措置

人的安全管理措置

④物理的安全管理措置

物理的安全管理措置

⑤技術的安全管理措置

技術的安全管理措置

基本方針・個人情報取扱規程の策定・改訂

 上記3-3のとおり、個人情報保護法ガイドラインにおいては、安全管理措置に関して「講ずべき項目」と「手法例」が示されました。

 各事業者においては、マイナンバー対応の際策定した「取扱規程等」と同様に、基本方針および個人情報取扱規程を(これまで個人情報取扱事業者でなく個人情報取扱規程がない事業者については)新たに策定するかまたは(すでに基本方針(プライバシーポリシー)・個人情報取扱規程を策定している事業者については)それを改訂する必要があります。

個人データの漏えい等の事案が発生した場合等の対応について

 個人データや匿名加工情報を作成する際の加工方法等情報が漏えいした場合の対応については、個人情報保護法ガイドライン(通則編)「4 漏えい等の事案が発生した場合等の対応」において、「漏えい等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める」こととされているが、これを受けて「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年2月16日個人情報保護委員会告示第1号)で以下のとおり定められています。  

対象とする事案

 次の①から③までのいずれかに該当する事案(以下「漏えい等事案」といいます)を対象とします。  

  1. 個人情報取扱事業者が保有する個人データ(特定個人情報に係るものを除く)の漏えい、滅失、毀損
  2. 個人情報取扱事業者が保有する匿名加工情報の作成に用いた個人情報から削除した記述等および個人識別符号(特定個人情報に係るものを除く)ならびに個人情報保護法36条1項の規定により行った加工の方法に関する情報(以下「加工方法等情報」といいます)の漏えい
  3. 上記1または2のおそれ

漏えい等事案が発覚した場合に講ずべき措置

 個人情報取扱事業者は、漏えい等事案が発覚した場合は、次の(1)から(6)に掲げる事項について必要な措置を講ずることが望ましいとされています。

(1)事業者内部における報告及び被害の拡大の防止

 責任ある立場の者にただちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。

  • 責任ある立場の者」の役職は限定されていませんが、あらかじめ、取扱規程等により、漏えい等事案が発覚した場合の適切かつ迅速な報告連絡体制を整備しておくことが必要です(Q&A12-1)。
  • たとえば、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等の LAN ケーブルを抜いてネットワークからの切り離しを行うなどの措置を直ちに行うこと等が考えられます(Q&A12-2)。

(2)事実関係の調査および原因の究明

 漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。

(3)影響範囲の特定

 上記(2)で把握した事実関係による影響の範囲を特定する。  

  • 把握した事実関係による影響の範囲を特定する」とは、たとえば、個人データの漏えいの場合は、漏えいした個人データに係る本人の数、漏えいした個人データの内容、漏えいした手段、漏えいした原因等を踏まえ、影響の範囲を特定することが考えられます(Q&A12-3)。

(4)再発防止策の検討及び実施

 上記(2)の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を速やかに講ずる。

(5)影響を受ける可能性のある本人への連絡等

 漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、または本人が容易に知り得る状態に置く。

  • 本人が容易に知り得る状態に置く」とは、本人がアクセス(ログイン)できるホームページへの掲載や専用窓口の設置による対応などが考えられます(Q&A12-4)。
  • 漏えい等事案の内容等に応じて」とは、たとえば、漏えい等事案に係る個人データまたは加工方法等情報について、第三者に閲覧されることなく速やかに回収した場合、高度な暗号化等の秘匿化がされている場合、漏えい等をした事業者以外では特定の個人を識別することができない場合であって本人に被害が生じるおそれがない場合など、漏えい等事案によって本人の権利利益が侵害されておらず、二次被害の防止の観点からも必要はないと認められる場合等には、本人への連絡等や公表を省略することも考えられます。なお、公表については、サイバー攻撃による場合等で、公表することでかえって被害の拡大につながる可能性があると考えられる場合にはこれを差し控え、専門機関等に相談することも考えられます。また、漏えい等事案の影響を受ける可能性のある本人すべてに連絡がついた場合に公表を省略することも考えられます(Q&A12-5)。

(6)事実関係および再発防止策等の公表

 漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表する。

個人情報保護委員会等への報告

 個人情報取扱事業者は、漏えい等事案が発覚した場合は、その事実関係および再発防止策等について、個人情報保護委員会等に対し、次のとおり速やかに報告するように努めることとされています。

(1)報告の方法

 原則として、個人情報保護委員会に報告します。ただし、認定個人情報保護団体の対象事業者である個人情報取扱事業者は、当該認定個人情報保護団体に報告します。
 上記にかかわらず、個人情報保護法44条1項に基づき個人情報保護法40条1項に規定する個人情報保護委員会の権限(報告徴収および立入検査)が事業所管大臣に委任されている分野における個人情報取扱事業者の報告先は、別途公表するところによります。

  • 個人情報保護法44条1項に基づき個人情報保護法40条1項に規定する個人情報保護委員会の権限(報告徴収および立入検査)が事業所管大臣に委任されている分野およびその報告先については、今後関係行政機関と調整のうえで考え方を定め、個人情報保護委員会のホームページへの掲載等の方法により公表される予定です(Q&A12-7)。

(2)報告を要しない場合(報告の軽微基準)

 次の①または②のいずれかに該当する場合は、報告を要しません。この場合も、事実関係の調査および原因の究明ならびに再発防止策の検討および実施をはじめとする上記4-2の各対応を実施することが望ましいです。

 なお、個人情報保護委員会への報告を要しない場合でも報告することは可能です。また、個人情報保護委員会等への報告を要しない場合に形式的に該当する場合であっても、漏えい等事案に係る個人データまたは加工方法等情報の件数が膨大であるなど社会的影響が大きいと考えられる事案の場合には、個人情報保護委員会等への報告を行うことが望ましいと考えられます(Q&A12-8)。  

① 実質的に外部に漏えいしていないと判断される場合

 「実質的に個人データまたは加工方法等情報が外部に漏えいしていないと判断される場合」には、たとえば、次のような場合が該当します。

  • 漏えい等の事案に係る個人データまたは加工方法等情報について高度な暗号化等の秘匿化がなされている場合
  • 漏えい等の事案に係る個人データまたは加工方法等情報を第三者に閲覧されないうちにすべてを回収した場合
  • 漏えい等の事案に係る個人データまたは加工方法等情報によって特定の個人を識別することが漏えい等の事案を生じた事業者以外ではできない場合(ただし、漏えい等の事案に係る個人データまたは加工方法等情報のみで、本人に被害が生じるおそれのある情報が漏えい等した場合を除く)
  • 個人データまたは加工方法等情報の滅失または毀損にとどまり、第三者が漏えい等の事案に係る個人データまたは加工方法等情報を閲覧することが合理的に予測できない場合

 ちなみに、委託先において漏えい等事案が発生した場合であっても、委託元が漏えい等事案に係る個人データまたは加工方法等情報について最終的な責任を有することに変わりありませんので、原則として、委託元が個人情報保護委員会等へ報告するよう努める必要があります。ただし、漏えい等事案に係る個人データまたは加工方法等情報の実際の取扱状況を知る委託先が報告の内容を作成したり、委託元および委託先の連名で報告するといったことが妨げられるものではありません(Q&A12-9)。

 「高度な暗号化等の秘匿化がされている場合」に該当するためには、当該漏えい等事案が生じた時点の技術水準に照らして、漏えい等事案に係る情報について、これを第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられるとともに、そのような暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されていることが必要と解されます。

 第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置としては、適切な評価機関等により安全性が確認されている電子政府推奨暗号リストや ISO/IEC18033 等に掲載されている暗号技術が用いられ、それが適切に実装されていることが考えられます。また、暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されているといえるためには、①暗号化した情報と復号鍵を分離するとともに復号鍵自体の漏えいを防止する適切な措置を講じていること、②遠隔操作により暗号化された情報もしくは復号鍵を削除する機能を備えていること、または③第三者が復号鍵を行使できないように設計されていることのいずれかの要件を満たすことが必要と解されます(Q&A12-10)。

② FAX・メールの誤送信または荷物の誤配等のうち軽微なものの場合

 「軽微なもの」には、たとえば、FAXもしくはメールの誤送信、または荷物の誤配等のうち、宛名および送信者名以外に個人データまたは加工方法等情報が含まれていない場合が該当します。

個人データ等と特定個人情報が漏えいした場合の対応の比較

 以下のとおり、個人データ等が漏えいした場合と特定個人情報が漏えいした場合の対応は異なります。

個人データ等が漏えいした場合と特定個人情報が漏えいした場合の対応の比較

従業者の監督(個人情報保護法21条、GL(通則編)3-3-3)

 個人情報取扱事業者は、その従業者に個人データを取り扱わせるにあたって、個人情報保護法20条に基づく安全管理措置を遵守させるよう、当該従業者に対し必要かつ適切な監督をしなければなりません。その際、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模および性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む)等に起因するリスクに応じて、個人データを取り扱う従業者に対する教育、研修等の内容及び頻度を充実させるなど、必要かつ適切な措置を講ずることが望ましいです。

 「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれます。

【従業者に対して必要かつ適切な監督を行っていない事例】

事例1
従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを確認しなかった結果、個人データが漏えいした場合

事例2
内部規程等に違反して個人データが入ったノート型パソコンまたは外部記録媒体を繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、当該パソコンまたは当該記録媒体が紛失し、個人データが漏えいした場合

委託先の監督(個人情報保護法22条、GL(通則編)3-3-4)

 個人情報取扱事業者は、個人データの取扱いの全部または一部を委託する場合3は、委託を受けた者(以下「委託先」という)において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければなりません。具体的には、個人情報取扱事業者は、個人情報保護法20条に基づき自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うものとされています4

 その際、委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質および量を含む)等に起因するリスクに応じて、次の6-1から6-3までに掲げる必要かつ適切な措置を講じなければなりません5

適切な委託先の選定

 委託先の選定にあたっては、委託先の安全管理措置が、少なくとも個人情報保護法20条および個人情報保護法ガイドライン(通則編)で委託元に求められるものと同等であることを確認するため、同ガイドライン「8((別添)講ずべき安全管理措置の内容)」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければなりません。

委託契約の締結

 委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましいです。

委託先における個人データ取扱状況の把握

 委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査したうえで、委託の内容等の見直しを検討することを含め、適切に評価することが望ましいです。
 また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は以下の事項を行うことが望ましいです6。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様です。

  1. 委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受けまたは承認を行うこと
  2. 委託先を通じてまたは必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと
  3. 再委託先が個人情報保護法20条に基づく安全管理措置を講ずることを十分に確認すること
【委託を受けた者に対して必要かつ適切な監督を行っていない事例】

事例1
個人データの安全管理措置の状況を契約締結時およびそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合

事例2
個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合

事例3
再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合

事例4
契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合
<追記>
2018年1月4日(木)17:35:改正個人情報保護法の施行により、内容面を一部修正・追加いたしました。
    • 個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
    • 改正前個人情報保護法:全面改正前の個人情報の保護に関する法律
    • 個人情報保護法ガイドライン(通則編):個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)
    • 個人情報保護法ガイドライン(確認記録義務編):個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)(平成28年11月30日個人情報保護委員会告示第8号)
    • 個人情報保護法ガイドライン(匿名加工情報編):個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)(平成28年11月30日個人情報保護委員会告示第9号)
    • 個人情報保護法ガイドライン(外国第三者提供編)、GL(外国第三者提供編):個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成28年11月30日個人情報保護委員会告示第7号)
    • Q&A:「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(平成29年2月16日個人情報保護委員会)

    ↩︎

  2. 参照:個人情報保護委員会「個人情報保護法ガイドラインにおける安全管理措置及び小規模の事業者への配慮に関する基本的な考え方(概要)」 ↩︎

  3. 「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいいます。具体的には、個人データの入力(本人からの取得を含む)、編集、分析、出力等の処理を行うことを委託すること等が想定されます。 ↩︎

  4. 委託元が個人情報保護法20条の求める水準を超える高い水準の安全管理措置を講じている場合に、委託先に対してもこれと同等の措置を求める趣旨ではなく、法律上は、委託先は、個人情報保護法20条が求める水準の安全管理措置を講じれば足りると解されます。 ↩︎

  5. 委託先の選定や委託先における個人データ取扱状況の把握にあたっては、取扱いを委託する個人データの内容や規模に応じて適切な方法をとる必要がありますが、たとえば、必要に応じて個人データを取り扱う場所に赴くまたはこれに代わる合理的な方法(口頭による確認を含む)により確認することが考えられます。 ↩︎

  6. 委託元が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が再委託をした際に、再委託先が不適切な取扱いを行ったときは、元の委託元による法違反と判断され得るので、再委託をする場合は注意を要します。 ↩︎

この続きを読む
渡邉 雅之弁護士

弁護士法人三宅法律事務所

  • コーポレート・M&A
  • IT・情報セキュリティ
  • 人事労務
  • 危機管理・内部統制
  • ファイナンス
  • 国際取引・海外進出
  • 訴訟・争訟
  • 不動産
  • 資源・エネルギー
  • ベンチャー
東京大学法学部卒、日特建設株式会社、株式会社広済堂ホールディングス、株式会社代々木アニメーション学院の社外取締役就任。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する
渡邉 雅之弁護士