実務Q&A
  • ニュース
  • 特集
  • 実務Q&A
  • 弁護士名鑑

中小規模事業者は個人情報取扱規程・個人情報保護指針をどのように作成するべきか

IT・情報セキュリティ

 当社は従業員数が100人以下の企業ですが、改正個人情報保護法に対応するために、どのように個人情報取扱規程・個人情報保護指針を作成すればよいでしょうか。

 改正個人情報保護法では、過去6か月以内に5,000以下の個人情報を保有する者も個人情報取扱事業者としての義務を負うことになりますが、「個人情報保護法ガイドライン(通則編)(案)」において、「中小規模事業者」については、緩和された特例的な安全管理措置を許容されています。
 解説において、中小規模事業者に適用される緩和された(組織的・人的・物理的・技術的)安全管理措置を下に可能な限りシンプルな規程例を示しています。

解説

目次

  1. 中小規模事業者と緩和された特例的な安全管理措置
  2. 個人情報取扱規程(中小規模事業者用)の内容
  3. 個人情報保護法において講じなければならない措置と中小規模事業者における手法の例
  4. 個人情報取扱規程と別紙

中小規模事業者と緩和された特例的な安全管理措置

 改正個人情報保護法では、過去6か月以内に5,000以下の個人情報を保有する者も個人情報取扱事業者としての義務を負うことになりますが、平成28年10月4日に公表された「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」8((別添)講ずべき安全管理措置の内容)において、「中小規模事業者」については緩和された特例的な安全管理措置を許容されています。
 「中小規模事業者」とは、従業員の数が100人以下の個人情報取扱事業者のうち、①その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において5,000を超える者、及び、②委託を受けて個人データを取り扱う者を除くもののことです。これも番号法の事業者ガイドラインに準拠した取扱いです。

個人情報取扱規程(中小規模事業者用)の内容

 本稿で例として用意した「個人情報取扱規程(中小規模事業者用)」では、個人情報保護法ガイドライン(通則編)において、中小規模事業者に適用される緩和された(組織的・人的・物理的・技術的)安全管理措置を下に可能な限りシンプルな規程として作成しています。中小規模事業者以外の一般事業者においては適用される管理区域・取扱区域という概念も使用していません。記録関係もできる限り要しない内容としています。

 また、中小規模事業者が通常利用することが考えられない、「オプトアウト手続」(個人情報保護法23条2項~4項)や外国の第三者への提供の制限(個人情報保護法24条)に関する規定はしていません。「第三者提供に係る記録の作成等」(個人情報保護法25条)においても、オプトアウト手続による提供に関する規定をしていません。
 さらに、中小規模事業者は『開示等の請求等に応じる手続』(個人情報保護法32条)を公表しない場合が多いと考えこれも規定していません。
 もちろん、中小規模事業者がそれ以外の一般事業者と同様の安全管理措置に基づく規定の整備をすることは望ましいことです。また、上記で省略した規定についても規定することも考えられます。

個人情報保護法において講じなければならない措置と中小規模事業者における手法の例

 個人情報保護法において講じなければならない措置とされている項目について、中小規模事業者における手法の例を以下のとおりまとめました。

講じなければならない措置 中小規模事業者における手法の例示
◯基本方針
  • 具体的に定める項目としては、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等。
◯個人データの取扱いに係る規律の整備
  • 個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備する。
組織的安全管理措置
(1)組織体制の整備
  • 個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する。
(2)個人データの取扱いに係る規律に従った運用
  • あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する。
(3)個人データの取扱状況を確認する手段の整備
  • あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する。
(4)漏えい等の事案に対応する体制の整備
  • 漏えい等の事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する。
(5)取扱状況の把握及び安全管理措置の見直し
  • 責任ある立場の者が、個人データの取扱状況について、定期的に点検を行う。
人的安全管理措置
◯従業員の教育
  • 個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う。
  • 個人データについての秘密保持に関する事項を就業規則等に盛り込む。
物理的安全管理措置
(1)個人データを取り扱う区域の管理
  • 個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる。
(2)機器及び電子媒体等の盗難等の防止
  • 個人データを取り扱う機器、個人データが記録された電子媒体又は個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管する。
  • 個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定する。
(3)電子媒体等を持ち運ぶ場合の漏えい等の防止
  • 個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。
(4)個人データの削除及び機器、電子媒体等の廃棄
  • 個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄したことを、責任ある立場の者が確認する。
技術的安全管理措置
(1)アクセス制御
  • 個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する。
(2)アクセス者の識別と認証
  • 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する。
(3)外部からの不正アクセス等の防止
  • 個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
  • 個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。
(4)情報システムの使用に伴う漏えい等の防止
  • メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する。

個人情報取扱規程と別紙

 個人情報取扱規程と別紙、個人情報保護指針、当社における個人情報の取扱いについては以下を参照ください。

この続きを読む
渡邉 雅之弁護士

弁護士法人三宅法律事務所

  • コーポレート・M&A
  • IT・情報セキュリティ
  • 人事労務
  • 危機管理・内部統制
  • ファイナンス
  • 国際取引・海外進出
  • 訴訟・争訟
  • 不動産
  • 資源・エネルギー
  • ベンチャー
1995年東京大学法学部卒業。2001年弁護士登録。主な取扱分野は、個人情報保護法、金融規制法、マネロン・テロ資金供与、民暴対策など。著作『個人情報保護法Q&A 令和5年施行対応』(第一法規、2023)、「クラウド例外とは? 行政指導事案・注意喚起にみるクラウドサービス利用時の留意点」ビジネスガイド2024年7月号、「「個人データの第三者提供」に関する「クラウド例外」をめぐる留意点」労務事情2024年6月1日号(1493号)、『テーマ別 金融パーソンのための規制とコンプラ対応』(共著)(中央経済社、2023)ほか。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する
渡邉 雅之弁護士