経済産業分野における個人情報保護法ガイドラインの改正ポイント解説

個人情報

平成26年12月12日、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(改正ガイドライン)が改正されました。

改正のポイントは大きく6点あります。

  1. 個人情報を第三者から取得する際の措置の具体化(17条関係)
  2. 個人データの安全管理措置の強化―内部不正対策(20条関係)
  3. 個人データの安全管理措置の強化―外部からのサイバー攻撃対策(20条関係)
  4. 個人データ取扱いの委託先等の監督の強化(22条関係)
  5. 個人データの共同利用制度についての説明の明確化(23条4項3号関係)
  6. 消費者等本人に対する「分かりやすい説明の実施に際して参考とすべき基準」の追記

 以下、詳しくみていきましょう。 

1 個人情報を第三者から取得する場合の望ましい措置の具体化(17条関係)

企業が業者から個人情報を取得する場合に、「提供する個人情報は適法・公正に取得したものであることを保証する」旨の「誓約書」を取得するのみで、情報提供元の取得状況を確認しないという対応が少なくありません。
しかし、ベネッセの顧客情報漏洩事件では、ジャストシステムが、漏洩者が名簿業者に提供した顧客情報を購入したのではないかということで問題となりました。このように、形式的な対応では十分とはいえません。

そこで、改正ガイドラインでは、第三者から個人情報を取得する場合の望ましい措置として、以下の事項が追加されました。

  1. 提供元の選定の際、当該提供元の法の遵守状況(例えば、オプトアウト、利用目的、開示手続、問合せ・苦情の受付窓口を公表していることなど)を確認する
  2. 個人情報の取得の際、例えば、取得の経緯を示す契約書等の書面を点検する等により、その取得方法等を確認する
  3. 提供元が当該個人情報を適法に取得したことが確認できない場合は、偽りその他不正の手段により取得されたものである可能性もあることから、その取得を自粛することを含め、慎重に対応する

2 個人データの安全管理措置の強化(20条関係)

(1) 内部不正対策の強化

近時、ベネッセの顧客情報流出事件を筆頭に、内部者によって大量の個人情報が漏洩する事案が発生していますが、その原因は、個人情報データベースを取り扱う場所に私物のデバイス(スマートフォン・USB等)を持ち込むことができ、当該データベースに接続できる状態になっていた、個人データへのアクセス・ダウンロードを監視するシステムが設定されていなかった、個人情報のダウンロードのログ(記録)について定期的な確認が行われておらず、長期間にわたり漏洩の事実を把握できていなかった、などがあります。

そこで、改正ガイドラインでは、内部不正に対する安全管理のための望ましい措置として、以下の事項が追加されました。

A 組織的安全管理措置の望ましい事項
  1. 社内体制の強化として、個人情報保護管理者(CPO)には、原則として役員を任命すること
  2. 監査実施体制の例として、個人情報保護・情報セキュリティ対策に十分な知見を有する者(必要に応じ、外部者を活用することを含む)が社内対応を確認すること
  3. 社内規程に、記録機能を有する機器(スマートフォン・パソコン等)の接続制限を行うこと、媒体・機器の更新に対応すること等を記載すること
B 物理的安全管理措置の望ましい事項
  1. 入退館(室)記録をとること
  2. 業務上許可を得ずに記録機能を有する媒体・機器の持込み・持出しをすることを禁止し、検査を実施すること
  3. カメラ撮影や作業立会い等による記録・モニタリングを実施すること
C 技術的安全管理措置の望ましい事項
  1. 個人データへのアクセス・ダウンロードの記録(ログ)については、不正が疑われる異常な記録の存否を、定期的に確認すること
  2. 採取した①の記録の漏洩・滅失・毀損からの保護のため、当該記録を外部記録媒体・ログ収集用のサーバ等に速やかに移動すること
  3. 特権ユーザー(システム管理者等)によっても記録の改ざん・不正消去ができないよう対策し、特権ユーザーによる個人データへのアクセス状況については特に注意して監視すること
  4. 個人データの監視システムを利用する場合には、業務上の送受信の実態に合わせた適切な設定を行うとともに、定期的にその動作を確認すること

 

(2) 外部からのサイバー攻撃対策の強化(技術的安全管理措置の望ましい事項)

近時、三菱UFJニコスに対するOpenSSLの脆弱性を狙った不正アクセスの問題や、マルウェアを用いたデータ流出事案等、外部からのサイバー攻撃により大量の個人情報が漏洩する事案が発生しており、これらのサイバー攻撃は企業に甚大な被害をもたらす可能性があります。しかし、従来のガイドラインでは、外部からのサイバー攻撃について十分な対応策が記載されておらず、また企業において基本的な理解が浸透していない部分があります。

そこで、改正ガイドラインは、技術的安全管理措置として、以下に記載する外部からの脅威に備えたセキュリティ対策・管理手法の例示を追加しました。なお、改正ガイドラインは、有効かつ一般的な手法として既に記載してきたものの、相当程度の企業が実施していない、「ファイアウォールの設置」「ウイルスソフトウェアの導入」を冒頭に記載しています。

  1. アクセス権限者の認証時における、ワンタイムパスワード、物理的なデバイス(ICカード等)等による認証
  2. 個人データを取り扱う情報システム及び当該システム内のデータベースに対する、アクセス制御・アクセス権限の設定
  3. アクセス権限に係る不要アカウントの無効化、アカウントの初期設定パスワードの変更
  4. 個人データを取り扱う情報システム内における、管理者権限の分割
  5. 個人データを取り扱う情報システム内の、ウイルス対策ソフトウェアの有効性・安定性確認(例:パターンファイル・修正ソフトウェアの更新の確認)
  6. インターネット・無線LAN等による個人データ送信時における、個人データの暗号化等の秘匿化(例:SSL、S/MINE等)
  7. 個人データを取り扱う情報システムへの外部からのアクセス状況の監視(例:IDS・IPS等)

3 個人データ取扱いの委託先等の監督の強化(22条関係)

ベネッセの顧客情報漏洩事件は、システム開発・運用を行っているグループ会社の業務委託先の従業員によってなされました。このように、システム開発・管理の委託先(子会社)における安全管理措置が十分でなく、そこから個人情報が不正に持ち出されたケース、委託業務の一部が委託先から他の企業へ再委託・再々委託されていることを充分に把握できておらず、委託先等を適切に監督していなかったといったケースは、少なくありません。

そこで、改正ガイドラインでは、個人データの取扱いの委託先・再委託先の監督のために望ましい措置として、以下の項目を追加しました。

(1) 委託先の監督のために望ましい措置
  1. 委託先の選定の際、委託先の安全管理措置(改正ガイドライン41・42頁に詳細な項目があります。)を社内体制・規程のチェック・実地検査等で確認した上、CPO等が評価する
  2. 委託契約書において、委託先で個人データを取り扱う者の役職または氏名、損害賠償責任を盛り込む
  3. 委託先における個人データの取扱状況を、定期的に監査する等した上、CPO等が、委託内容の見直しの検討を含め評価する
(2) 再委託先等の監督のために望ましい措置
  1. 委託先が再委託を行おうとする場合、委託先から、再委託する業務内容・再委託先の個人データの取扱方法等につき、事前報告・承認の申請を求める(委託契約書にも記載する)
  2. 委託先を通じて又は必要に応じて自らが、再委託先における個人データの取扱方法等に関し、定期的な監査を実施する
  3. 再々委託の場合以降も、同様の措置を行う

4 個人データの共同利用制度についての説明の明確化(23条4項3号関係)

企業ポイント・サービス等のため、提携企業間で個人データを共同利用することは、一定の要件をみたせば、本人の事前同意を得なくとも可能です(23条4項3号)。しかし、新規でこのようなサービスをスタートさせた企業の中には、「提携企業の範囲が明確でなくても共同利用が可能である」と誤解する者も少なからず存在するようです。

そこで、改正ガイドラインでは、以下のように「共同利用制度の趣旨」「共同利用者の範囲の明確化が必要であること」を明記しています。

「共同利用の趣旨」は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で当該個人データを共同して利用することである。
したがって、共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある。
なお、当該範囲が明確である限りにおいては、事業者の名称等を個別にすべて列挙する必要がない場合もある

 

5 消費者等本人に対する「分かりやすい説明の実施に際して参考とすべき基準」の追記

パーソナルデータの利活用によるサービスを行う事業者は、消費者(ユーザー等)からパーソナルデータを取得する際、プライバシーポリシー等で説明を行う必要がありますが、冗長で分かりにくいものが少なくありません。

そこで、改正ガイドラインでは、このような表現を避け、消費者等本人に誤解を与えることなく分かりやすい表現で表示するため、以下の基準が追加されました。

分かりやすい説明の実施に際して参考とすべき基準(※一部加工してあります。)

1.記載事項

 個人情報の取扱いに関する情報として、以下の7項目が記載されていること

 1)提供するサービスの概要
 2)取得する個人情報・取得方法
 3)個人情報の利用目的
 4)個人情報・加工データの第三者提供の有無及び提供先
 5)消費者等本人による個人情報の提供停止の可否、訂正及びその方法
 6)問合せ先
 7)保存期間、廃棄

2.記載方法
(1)取得する個人情報とその取得方法

 可能な限り細分化し、具体的に記載していること
 取得する個人情報のうち消費者等本人にとって分かりにくいものを、明確に記載
  していること

(2)個人情報の利用目的

 利用目的を特定し、具体的に記載していること
 利用目的が、個人情報の項目と対応して記載されていること
 利用目的のうち消費者等本人にとって分かりにくいものを、明確に記載している
  こと

(3)第三者提供の有無及び個人情報・加工データの提供先

 提供先(事後的に提供先を変更する場合は提供先の選定条件を含む)
  及び提供目的が記載されていること
 加工データを第三者提供する場合、その加工方法が記載されていること

(4)消費者等本人による個人情報の提供停止の可否及びその方法
 消費者等本人により個人情報の取得中止又は利用停止が可能であるかが記載され
  可能である場合には取得中止方法又は利用停止方法を明示して記載していること 

主にBtoCのビジネスを行う企業においては、法務担当者と技術担当者とが連携して、改正ガイドラインを参考にしながら社内の個人情報保護対策に取り組むことが、顧客からの信頼を得ることにつながり、ひいては企業イメージの向上に役立つものとなるでしょう。

参考

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成26年12月12日改正)」(経産省HP)

 http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/1212guideline.pdf

Category:個人情報

TAGS:個人情報保護法ガイドラインの改正ポイントを解説

著者
クレア法律事務所>
クレア法律事務所

クレア法律事務所のスタッフブログです。

記事の一覧

その他のブログ記事

最新ブログ記事