会員特典
 

 

経済産業省個人情報保護ガイドライン
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A
 

2.(3)個人データの管理 2)安全管理措置
 
ガイドラインに記載されている「個人情報保護管理者(チーフ・プライバシー・オフィサー)」については、各事業所ではなく、各企業ごとに設置すると考えてよいですか。
各事業所ごとに責任者を設置してもよいですが、それらを統括する個人情報保護管理者(チーフ・プライバシー・オフィサー)は各企業ごとに設置するということを想定しています。(2005.1.14/7.28修正)
 
「個人情報保護管理者(チーフ・プライバシー・オフィサー)」の選任にあたっては、専門的知識を持っている者が選任されるほうが、より望ましいとは思いますが、特段の資格等は不要と考えてよいですか。
個人情報保護管理者の選任にあたっては特段の資格等が必要というわけではありません。(2005.1.14)
 
入館時に備え付けの名簿に住所氏名を記入してもらっています。次の入館者が見える状態ですが、問題はないのですか。
当面は、そのような扱いを希望しない来館者に対しては、別の用紙に記入してもらうなどの対応が最低限必要です。来館者の意識、悪用のリスク、名簿の必要性、記載事項の選択、他の代替手段の有無などに基づいて、社会情勢の変化を踏まえて必要かつ適切な措置を講じていくことが必要です。(2005.1.14)
 
業務を委託する際に、委託先との関係でどのような点に注意しなければならないですか。
法は、委託者に対して委託先監督責任を課していますが、個人情報の取扱いについて何ら取り決めをしないまま、漏えいがあった際の責任を一方的に受託者に押しつける、ということでは、委託先監督責任の観点からは不十分です。個人情報をどのように取り扱うのかについて、事前に、具体的内容について、十分協議して、委託者と受託者の責任分担を明確にしておく必要があります。(2004.10.19/2005.1.14修正/7.28修正)
 
会社から個人情報に関する誓約書を提出するようにいわれました。この誓約書では、自分の過失で情報漏えい等の事故が起きたときは、従業者個人が損害を賠償するように求められています。このようなことは個人情報保護法で規定されているのですか。
規定されていません。個人データの漏えい等を防止するための人的安全管理措置として、事業者は従業者との間で非開示契約を締結するとともに、同契約に違反した場合の措置に関する規程を整備することが求められますが、これは必ずしも損害賠償の約束を含むものではありません。なお、当該誓約書において損害賠償額を予定したり、違約金を定めている場合は、労働基準法第16条に違反します。(2007.3.30)
 

当社は、運送事業を営んでいますが、荷主からお預かりした宛先リスト(個人データ)を紛失してしまった場合、

(1) 当社はどのような責任を負いますか。

(2) 荷主はどのような責任を負いますか。

(1) 法第20条(安全管理措置)、法第21条(従業者の監督)違反になり得ます。

(2) 荷主にとっては、個人データの委託になりますので、法第22条(委託先の監督)違反になり得ます。 (2005.7.28)

 
ガイドラインでは「人的安全管理措置として講じなければならない事項」として、「従業者に対する内部規程等の周知・教育・訓練の実施」が定められています。そのために、社内研修を実施する予定ですが、年に1回程度で足りますか。
すべての場合に通じるような一定の頻度の定めはありません。個人データを取り扱う業種・規模の程度により異なりますが、適切な内容の研修がなされていれば、年1回でも少ないとはいえません。ただ、関連法令・社内規程の改定があった場合等は、速やかに研修を行うことが必要です。(2005.7.28)
 
社内連絡網を目に付く場所に貼り出すことは許されますか。
許されますが、貼り出す場合は、それを取り扱うことが必要な従業者以外の不特定多数の目に付く場所を避けるべきです。(2007.3.30)
 
自宅の連絡先や携帯電話番号等を記した緊急連絡網には、どのような管理が必要ですか。
緊急連絡網等は、それを取り扱うことが必要な関係者に限定して共有するのが原則であると考えられます。そのためには、それを取り扱うことが必要な従業者以外の不特定多数の目に付く場所に備え置くことを避けるなど、盗難や紛失といったリスクに対する合理的な対策が求められます。(2007.3.30)
 
従業者が業務上使用している携帯電話に登録している個人データについては、どのような管理が必要ですか。
携帯電話には電話帳、メールなど、多くの個人データが記録されており、紛失、盗難等を防止するための対策を講じる必要があります。携帯電話に備わっているセキュリティ機能や画面ロック機能等を利用して、紛失、盗難の際に携帯電話内の個人データが漏えいしないように適切な対策を講じることが望まれます。(2007.3.30)
 
電話帳機能のある業務用の携帯電話を紛失した場合、主務大臣に個人情報紛失事故として届け出る必要がありますか。
紛失により、個人データの漏えい等が疑われる場合には、主務大臣等に報告することが望まれます。(2007.3.30)
 
当社は通信販売会社です。このたび通信販売システムを刷新することになりました。新しい通信販売システムを本番稼動させる前に、販売データが適切に処理できることを確認するためのテストを予定していますが、そのときに現在の通信販売の実績データを利用してテストをすることは問題ありませんか。
個人データをテストデータとして利用することが一切禁じられているわけではありません。事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な安全管理措置を講じていれば、テストデータとして利用することも可能です。例えば、テストの手順を定め、テスト実施場所やテスト用機器、テスト従事者等を必要最小限に限定するなどの適切な措置を取ることが少なくとも必要と考えられます。(2007.3.30)
 
個人データの安全管理のために必要かつ適切な措置を講じている会社に対して個人データの取扱いを委託する場合であれば、委託業務を実施するには不要な項目が含まれた個人データを渡しても構いませんか。
個人データの取扱いを委託する際に、委託先に提供する個人データは、個人データの漏えい等のリスクを低減させるため、当該委託業務の実施のために必要な項目に限定する必要があると考えられます。(2007.3.30)
 
当社では、電話帳を元に電話をかけ、当社のパンフレットを送ることについて承諾した人の住所、氏名、電話番号の一覧表をパソコンで作成しています。このように電話帳などを元に入手できる情報だけで構成されているデータについても、安全管理措置を講じる必要がありますか。
例え電話帳が元になっていても、本問のようにパンフレット送付を承諾した人だけを抜き出して一覧表にまとめたものは個人情報データベース等に該当しますので、必要かつ適切な安全管理措置を講じる必要があります。(2007.3.30)
 
個人情報を複写、複製することは問題ありませんか。
利用目的の達成に必要な範囲内であれば、問題ありませんが、必要最小限度に限られます。また、個人データの取扱いを外部に委託している場合には、委託先との間に「委託契約範囲外の複写、複製」を禁止事項とする契約を締結することが望まれます。(2007.3.30)
 
許された範囲内において個人情報の複写、複製を行った場合、当該複写物、複製物をどのように扱えばいいですか。
複写物・複製物であっても、それ自体、個人情報であるため、各義務規定に従って取り扱う必要があります。(2007.3.30)
 
個人データが漏えい等したが、本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて少ないと考えられるため、「影響を受ける可能性のある本人への連絡」や、「事実関係、再発防止策等の公表」を省略しても差し支えないと考えられる場合の例として挙げられている「高度な暗号化等の秘匿化が施されている場合」とは、どのような場合ですか。
例えば、電子政府推奨暗号リスト又はISO/IEC18033に掲げられている暗号アルゴリズムによって個人データを適切に暗号化し、かつ、復号(平文化)のためのかぎ(鍵)が適切に管理されていると認められる場合など、十分な秘匿性が確保されている場合は、「高度な暗号化等の秘匿化が施されている場合」に該当すると考えられます。(2007.3.30)
 
 
 
PAGE TOP ▲