実務Q&A
  • ニュース
  • 特集
  • 実務Q&A
  • 弁護士名鑑

改正個人情報保護法に対応した個人情報保護指針・個人情報取扱規程はどのように作成するべきか

IT・情報セキュリティ

改正個人情報保護法に対応した個人情報保護指針や個人情報取扱規程はどのように作成するべきでしょうか。

平成28年10月5日に公布された個人情報保護法の関連政令の改正および個人情報委員会規則の公布、同月4日に公表された個人情報の保護に関する法律についてのガイドライン案にしたがって作成するべきです。
 規程の内容については解説を参照ください。

解説

目次

  1. 改正個人情報保護法の関連政令、規則、ガイドラインの改正
  2. ホームページでの開示を想定したもの
  3. 個人情報取扱規程と別紙

※本QAの凡例は以下のとおりです。

  • 個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法

改正個人情報保護法の関連政令、規則、ガイドラインの改正

 個人情報の保護に関する法律の改正法について、現在のところ、施行日政令は公布されていませんが、早ければ平成29年4月1日に施行される可能性があります。平成28年10月5日に公布された関連政令の改正および個人情報委員会規則が公布され、同月4日にはガイドライン案が公表されたため、個人情報取扱事業者は、改正法に基づく社内規程の整備が可能となりました。
 なお、以下では「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編および匿名加工情報編)(案)」のことをそれぞれ「GL(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)」としています。ガイドラインの案については「電子政府の総合窓口のホームページ」を参照ください。

ホームページでの開示を想定したもの

 「個人情報保護指針」、「当社における個人情報の取扱いについて」、「保有個人データの開示等の請求手続」の3つを用意しました。「個人情報保護指針」はGL(通則編)8-1(基本方針の策定)に基づくものです。「当社における個人情報の取扱いについて」は、個人情報の利用目的を公表するものです(個人情報保護法18条1項)。「保有個人データの開示等の請求手続」は、保有個人データに関する事項を公表するものです(個人情報法27条)。

個人情報取扱規程と別紙

 「個人情報取扱規程」は、GL(通則編)8-2(個人データの取扱いに係る規律の整備)において策定することが求められているものです。  改正法で設けられる「個人識別符号」や「要配慮個人情報」の定義は詳細にわたるため、別紙としています(「別紙1 個人識別符号」「別紙2 要配慮個人情報」)。

 個人データの安全管理措置については、組織的・人的・物理的・技術的安全管理措置がGL(通則編)8-3~8-6に規定されています。番号法の特定個人情報の適正な取扱いに関するガイドライン(事業者編)に規定されている安全管理措置の内容とほぼ同じ内容です。個人情報取扱規程においては、この内容を第2章「安全管理措置」に規定しました。関連する書式として「別紙3 個人データの運用状況記録票」、「別紙4 個人情報管理台帳」、「別紙5 モニタリングシート」、「別紙6 入退室管理簿・鍵貸出管理台帳」、「別紙7 個人データ持ち運び記録簿」を設けました。
 なお、情報漏えいについては、別途「情報漏えい事案等対応手続」を社内規程として設けることとしています。

 外国にある第三者への提供(個人情報保護法24条)については、個人情報取扱規程第28条に規定していますが、個人データの入力等の委託に関して、「別紙8 「適切かつ合理的な方法」及び「法第4章第1節の規定に沿った措置」」に基づき行うこととしています。
 個人データの提供の際の確認・記録義務(法25条・26条)については、個人情報取扱規程第29条および第30条に規定していますが、「別紙9 個人データ提供記録簿」および「別紙10 個人データ受領記録簿」に記録することとしています。

 保有個人データの開示等の請求等の手続については個人情報取扱規程第4章において定めていますが、書式として、「別紙11 保有個人データ開示等請求書」、「別紙12 委任状」、「別紙13 保有個人データ開示等決定書」、「別紙14 保有個人データ不開示等決定書」を設けました。

この続きを読む
渡邉 雅之弁護士

弁護士法人三宅法律事務所

  • コーポレート・M&A
  • IT・情報セキュリティ
  • 人事労務
  • 危機管理・内部統制
  • ファイナンス
  • 国際取引・海外進出
  • 訴訟・争訟
  • 不動産
  • 資源・エネルギー
  • ベンチャー
1995年東京大学法学部卒業。2001年弁護士登録。主な取扱分野は、個人情報保護法、金融規制法、マネロン・テロ資金供与、民暴対策など。著作『個人情報保護法Q&A 令和5年施行対応』(第一法規、2023)、「クラウド例外とは? 行政指導事案・注意喚起にみるクラウドサービス利用時の留意点」ビジネスガイド2024年7月号、「「個人データの第三者提供」に関する「クラウド例外」をめぐる留意点」労務事情2024年6月1日号(1493号)、『テーマ別 金融パーソンのための規制とコンプラ対応』(共著)(中央経済社、2023)ほか。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する
渡邉 雅之弁護士