SAAJTOP 目次 1適用範囲〜 2計画〜 3資源〜 4実施〜 5直接書面取得〜 6提供〜 
7匿名加工情報 8個人情報に関する権利               
「PMS要求事項【JIS Q 15001:2017】と「個人情報取扱規程」 管理策7   
  特定非営利活動法人 日本システム監査人協会 個人情報保護監査研究会
https://www.saaj.or.jp/shibu/kojin.html
主査:斎藤由紀子

   ▲3.4.2.8 個人データの提供〜   3.4.2.9 匿名加工情報〜    ▼3.4.4. 個人情報に関する本人の権利

新個人情報保護法では、個人情報の保護とともに有用性の確保が必要とされ、個人情報保護法第四章第二節に、匿名加工情報取扱事業者等の義務(36条〜39条)が新設されました。
http://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/
viewContents?lawId=415AC0000000057_20170530_428AC0000000051

関連して、個人情報保護法施行規則、個人情報保護法ガイドライン(匿名加工情報編)等が整備されています。 

今回も、附属書A(規定)および附属書B(参考)の要求事項を確認しつつ、できるかぎりシンプルな規程として「3300個人情報取扱規程」のサンプルをご紹介したいと思います
引用:日本規格協会「日本工業規格JIS Q 15001:2017個人情報保護マネジメントシステム要求事項」
赤字:【2006年版JIS】から追加、変更となった規格
青字:PMS監査研究会のコメント

A.3.4.2.9

匿名加工情報

法36〜39条
施行規則20〜23条
法GL(匿名加工編)

組織は、匿名加工情報の取扱いを行うか否かの方針を定めなければならない。 組織は、匿名加工情報を取扱う場合には、本人の権利利益に配慮し、かつ法令等の定めるところによって適切な取扱いを行う手順を確立し、維持しなければならない。
付属書
B:3.4.2.9

個人情報保護リスク軽減の観点から、組織は、匿名加工情報を安易に個人情報保護マネジメントシステムの対象外と捉えることなく、匿名加工情報の取扱いの各局面において復元のリスクがないかなどについてリスクアセスメント及びリスク対策を行うことが望ましい。

“匿名加工情報の取扱いを行うか否かの方針”とは、このリスクアセスメント及びリスク対策の結果である。したがって、当該方針の文書化及び外部への公表の要否についても、リスクアセスメント及びリスク対策を踏まえた運用となる。匿名加工情報取扱いのリスクアセスメント及びリスク対策は、A.3.3.3を参考に行うことが望ましい。

“適切な取り扱いを行う手順”は、法令等の遵守の観点から、文書化した情報として管理し、A.3.5を参考に内部規程の作成、記録の管理などを行うことが望ましい。

また、A.3.5に基づく教育の実施など、匿名加工情報を取り扱う担当者を踏まえた管理を行うことも有効であるといえる。組織が、付属書Aに示す管理策を参考に匿名加工情報を管理することが、“確立し、かつ、維持”につながる。

【Pマーク審査のポイント】

  • 匿名加工情報の取扱いを行うか否かの方針を定める。ただし、外部への公表は必須ではない。
  • 匿名加工情報とすることで、本人の同意を得ずに目的外利用、第三者提供が可能となる。
  • 個人情報保護法施行規則第19条(個人情報保護委員会規則で定める基準・・要約)
    1. 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該 全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
    2. 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
    3. 個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
    4. 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
    5. に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。
    6. 匿名加工情報についても、「個人情報管理台帳」で管理し、「リスク分析」を実施することがPMSとして有効である。
  • 匿名化しても、流通が規制される情報
    1. カルテなどの医療情報
    2. 電話など通信情報
    3. クレジットカードなどの信用情報
  • 法第36条〜39条「匿名加工情報取扱事業者」等の義務 ・・・・要約
    1. 個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
    2. 匿名加工情報の作成に用いた個人情報から削除した記述等及び加工の方法について、安全管理のための措置を講じなければならない。
    3. 匿名加工情報を作成したときは、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
    4. 匿名加工情報を第三者に提供するときは、匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表し、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
    5. 匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報を他の情報と照合してはならない。
    6. 匿名加工情報を作成したときは、苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
  • 施行規則第20条(加工方法等情報に係る安全管理措置の基準)・・・・要約
    1. 加工方法等情報(削除した記述、加工方法に関する情報等)を取り扱う者の権限及び責任を明確に定めること。
    2. 加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
    3. 加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること。
  • 施行規則第21条(個人情報取扱事業者による匿名加工情報の作成時における公表)・・・・要約
    1. 法第36条第三項の規定による公表は、匿名加工情報を作成した後、遅滞なく、インターネットの利用その他の適切な方法により行うものとする。
    2. 他の個人情報取扱事業者の委託を受けて匿名加工情報を作成した場合は、当該他の個人情報取扱事業者が当該匿名加工情報に含まれる個人に関する情報の項目を前項に規定する方法により公表するものとする。この場合においては、当該公表をもって当該個人情報取扱事業者が当該項目を公表したものとみなす。
  • 施行規則第22条(個人情報取扱事業者による匿名加工情報の第三者提供時における公表等)
    1. 法第36条第四項の規定による公表は、インターネットの利用その他の適切な方法により行うものとする。
    2. 法第36条第四項の規定による明示は、電子メールを送信する方法又は書面を交付する方法その他の適切な方法により行うものとする。

※個人情報取扱規程」のサンプルでは、「匿名加工情報の取扱いを行わない」とし、最小限の規定としています。

※ 「匿名加工情報取扱事業者」は、別途「匿名加工情報取扱規程」の策定が必要です。

【3300個人情報取扱規程】サンプル

3.4.2.9 匿名加工情報

当社は、匿名加工情報の取扱いを行わない

2 匿名加工情報の取扱いを開始する際は、事前に規程を定め、本人の権利利益に配慮し、かつ法令等の定めるところによって適切な取り扱いを行う手順を確立し、維持する。

A.3.4.3 適正管理(2006:3.4.3)

A.3.4.3.1 

正確性の確保

2006:3.4.3.1

法第19条

組織は、利用目的の達成に必要な範囲内において、個人データを、正確、かつ、最新の状態で管理しなければならない。

組織は、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

附属書B 3.4.3.1

正確性の確保とは、例えば、誤入力チェック、誤りなどを発見した場合の訂正、内容の更新、保存期間の設定、データのバックアップなどの手順を確立することである。

なお、取得した個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保することが望ましい。

個人データの消去にあたり、組織は、法令の定めによる保存期間などに留意することが望ましい。

【Pマーク審査のポイント】

  • 個人データだけでなく、個人情報についても同様に正確性の確保が計られなければならない。
  • 誤入力チェックは、画面と印刷物との照合、他者による再チェック、複数担当者の封入確認印の押印など、取扱う個人情報に応じて、安全管理規程や業務手順書に明確に定めておくこと。
  • データのバックアップは、情報システム単位で個別に手順書を定めておくこと。バックアップを取らないと判断した場合は、業務手順書等に「紙情報からの復元が可能」など、理由を記述すること。
  • 毎年「個人情報管理台帳」の見直し時期に、保存期間を経過した個人情報について、廃棄・消去等について件数を見直すこと。
  • 「個人情報管理台帳」の件数を更新した日を、消去記録とみなすことができる。
  • 「特定個人情報」、「要配慮個人情報」、「受託した個人情報」、「提供を受けた個人情報」については、個別に消去記録、返却記録を取っておくこと。 

【3300個人情報取扱規程】サンプル

3.4.3 適正管理

3.4.3.1 正確性の確保

当社は個人情報を正確かつ最新の状態で管理するため、「3430安全管理規程」を定め、これを維持する。

2 当社は、個人データ等を利用する必要がなくなったときは、「3430安全管理規程」6(個人情報の返却・廃棄・消去)の手順に従い、当該個人データまたは個人情報を遅滞なく消去するよう努めるものとする 。 

A.3.4.3.2 

安全管理措置

2006:3.4.3.2

法第20条

組織は、その取扱う個人情報の個人情報保護リスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要かつ適切な措置を講じなければならない。

安全管理措置に関する管理目的及び管理策は、付属書Cを参照

附属書B 3.4.3.2

保護法GL8-3

保護法GL8-4

保護法GL8-5

保護法GL8-6

安全管理措置は、緊急事態が発生した場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人情報の取扱状況などに起因する個人情報保護リスクに応じた必要かつ適切な措置を講じることが求められているのであって、全ての個人情報についての一律な措置を講じる必要がない。

安全管理措置とは、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、及び技術的安全管理措置をいう。

“組織的安全簡易措置”とは、安全管理について従業者(法第21条参照)の責任及び権限を明確に定め、安全管理に対する規程及び手順書を整備運用し、その実施状況を確認することをいう。

“人的安全管理措置”とは、従業者(個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員など)だけでなく、取締役、執行役、理事、監査役、監事、派遣社員なども含まれる。)に対する、業務上秘密と指定された個人データの非開示契約の締結、教育・訓練などを行うことをいう。

“物理的安全管理措置”とは、入退館(室)の管理、個人データの盗難の防止などの措置をいう。

“技術的安全管理措置”とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視など、個人データに対する技術的な安全管理措置をいう。

"必要かつ適切"とは、経済的に実行可能な最良の技術の適用に配慮することをいう。

"経済的に実行可能な最良の技術"は、組織の事業内容及び規模によって異なっても差し支えない。

個人情報の漏えい事例には、廃棄時の漏えいが多く見られることから、廃棄に当たっても、電子ファイルの消去、個人情報が打ち出された紙の破砕処理などによって、廃棄された個人情報が他者に流出することのないよう留意することが望ましい。

なお、安全管理措置については、個人情報保護リスク軽減の観点から、個人情報を対象としている。

【Pマーク審査のポイント】
  • 特定個人情報は、法定保存期間を経過した場合には、できるだけ速やかに、復元不可能な手段で廃棄又は削除しなければならない。そのため、「個人情報管理台帳」の年1回の見直し時期に、件数も見直されるはずである。
  • 個人データの取扱いの運用に関する手法として、以下の事例が示されている。
    • 個人データのアクセスの記録:システムログ、利用記録、業務日誌
    • 個人データの持ち運び状況:授受記録、持出記録、返却記録
    • 個人情報データベース等の削除・廃棄記録
    • 個人番号関係事務担当者の、特定個人情報へのアクセス記録
    • 個人データを取扱う区域の管理:入退室管理 

※「個人情報取扱規程」のサンプルにおいては、個別の措置については記述せず、「3430安全管理規程」を定めると規定するにとどめています。

【3300個人情報取扱規程】サンプル

3.4.3.2 安全管理措置

当社は個人情報を正確かつ最新の状態で管理するため、「3430安全管理規程」を定め、これを維持する。

 

A.3.4.3.3

従業者の監督

2006:3.4.3.3

法第21条

組織はその従業者に個人情報を取扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

付属書B
3.4.3.3

監査役に対する監督を実施する場合には、例えば、株主総会による選任権及び解任権を通じた監督が考えられ、取締役など業務執行者による監督は、内部監査の独立性が害されるため監督したことにならない。

なお、A.3.4.5の認識の管理策は、従業者に、個人情報保護マネジメントシステムの運用を確実に実施できる力量を備えさせるための管理策であり、従業者の監督とは意味合いが異なる。

また、組織が従業者に個人情報を取り扱わせる場合、個人データと同様に取り扱わせなければならないことについては、B.3.3.1参照。

【Pマーク審査のポイント】

  • 従業者との「機密保持誓約書」の締結が主眼である。
  • 「機密保持誓約書」と「個人情報の取扱いに関する通知及び同意文書」を混同しないこと。同じ文書として、署名欄を一つにしているケースがあるが、不適合である。
  • 派遣社員については、派遣元と受け入れ派遣社員との間で取り交わすことが望ましい。
  • 監視カメラについて 欧州では、企業が従業員に黙って社内に監視カメラを設置し、制裁金が科された事例が複数見られる。さらにGDPRによって、従業員との雇用契約とは別に同意の手続きが必要という認識となってきている。カメラの角度などによっては、同意を拒否する機会を与えるという認識が必要である。

【3300個人情報取扱規程】サンプル


3.4.3.3 従業者の監督

当社は従業者に個人情報を取扱わせるに当たって、必要、かつ適切な監督を行う。そのため「3430安全管理規程」を定めこれを維持する。

2 従業者との雇用契約時に、個人情報を含む機密保持義務遵守のため「3433-01機密保持誓約書」を締結する。

3 「3433-01機密保持誓約書」記載の機密保持義務は、雇用契約終了後も一定期間有効とする。

A.3.4.3.4

委託先の監督

2006:3.4.3.4

法第22条

組織は、個人データの取扱いの全部又は一部を委託する場合、特定した利用目的の範囲で委託契約を締結しなければならない。 組織は、個人データの取扱いの全部又は一部を委託する場合は、十分な個人データの保護水準を満たしている者を選定しなければならない。このため、事業者は、委託を受ける者を選定する基準を確立しなければならない。委託を受ける者を選定する基準には、少なくとも委託する当該業務に関しては、自社と同等以上の個人情報保護の水準にあることを客観的に確認できることを含めなければならない。
組織は、個人データの取扱いの全部又は一部を委託する場合は,委託する個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
組織は、次に示す事項を契約によって規定し、十分な個人データの保護水準を担保しなければならない。

a) 委託者及び受託者の責任の明確化
b) 個人データの安全管理に関する事項
c) 再委託に関する事項
d) 個人データの取扱状況に関する委託者への報告の内容及び頻度
e) 契約内容が遵守されていることを委託者が、定期的に、及び適宜に確認できる事項
f) 契約内容が遵守されなかった場合の措置
g) 事件・事故が発生した場合の報告・連絡に関する事項
h) 契約終了後の措置

組織は、当該契約書などの書面を少なくとも個人データの保有期間にわたって保存しなければならない。

付属書B
3.4.3.3

委託を行う場合においては、委託者は、消費者など、本人の権利利益保護の観点から、事業内容の特性、規模及び実態に応じ、委託の有無、委託する事務の内容を明らかにするなど、委託処理の透明化を進めることが望ましい。A.3.4.3.4における委託先には、個人も含まれる。

“必要かつ適切な監督”には、組織が、A.3.4.3.2に基づき安全管理措置を講じることが含まれる。例えば、委託者が委託する業務内容に対して必要のない個人データを提供しないよう安全管理措置を講じることはA.3.4.3.2に適合する。一方、委託者が必要のない個人データを委託先に提供した結果、委託先が個人データを漏えいした場合には、委託者についても、A.3.4.3.2に適合しない。

また、個人データの取扱いの全部又は一部を委託する場合に限らず、委託先への個人情報の提供又は委託先との間での個人情報の授受が発生する場合は、B.3.3.1参照。

委託先が倉庫業、運送業、データセンター(ハウジング、ホスティング)などの事業者であって、当該事業者に取り扱わせる情報に個人データが含まれるかを知らせることなく預ける場合であっても、委託者は委託するものが個人データであることを知っているわけであるから、A.3.4.3.4における監督の対象に含まれる。ただし、“個人データ”に関する条項を契約書に盛り込まなくてもよい。

A.3.4.3.4の a) ~g)の事項は、いかなる場合にも契約によって規定することを要求するものではなく、取り扱う個人データのリスクに応じて規定する内容が変わっても差し支えない。

A.3.4.3.4b)個人データの安全管理に関する事項には、次の事項が含まれる。

個人データの漏えい防止及び盗用禁止に関する事項
委託範囲外の加工及び利用の禁止
委託先契約範囲外の複写及び複製の禁止
委託契約期間
委託契約終了後の個人情報の返還・消去・廃棄に関する事項
A.3.4.3.4c)再委託に関する事項には、次の事項が含まれる。
再委託を行うに当たっての委託者への文書による報告

個人データの取り扱いを再委託する場合、委託元との契約に、再委託を行うに当たっての委託元への文書による事前報告又は承認について盛り込むことが望ましい。

委託元が委託先について“必要かつ適切な監督”を行っていない場合で、委託先が再委託をした際に、再委託先が適切といえない取り扱いを行ったことによって、何らかの問題が生じたときは、元の委託元がその責めを負うことがあり得るので、再委託する場合は注意をすることが望ましい。

このため、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、再委託先に対し、A.3.4.3.2に基づき少なくとも委託する当該業務に関しては、自社と同等以上の個人情報保護の水準にあることを客観的に確認することが望ましい。確認の例としては、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法などについて、委託先から事前報告又は承認を求めること、委託先を通じて又は必要に応じて自らが、定期的に、及び適宜に監督を実施することなどがある。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とすることが望ましい。

【必要かつ適切な監督を行っていない場合】

事例1)

再委託の条件に関する指示を委託先に行わず、かつ、委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託し、再委託先が個人データを漏えいした場合。

事例2) 契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにも関わらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を講じなかった結果、委託元の認知しない再委託が行われ、その再委託先が個人データを漏えいした場合。

なお、人材派遣事業者との人材派遣契約、清掃事業者との契約、オフィスの賃貸借契約などは、個人データの取扱いを含まない限り、A.3.4.3.4の対象外として差し支えない。これらは広くA.3.4.3.2に含まれるものであり、このような事業者とは、守秘義務に関する事項を盛り込んだ契約を締結することが望ましい。

【Pマーク審査のポイント】

  • 委託先選定基準に基づいて委託先を選定し、定期的に再評価を実施していること。
  • 「個人情報委託先リスト」等で、全ての委託先が漏れなく特定されていることが確認できること。
  • 再委託先がある場合は、「個人情報委託先リスト」等で、確認できること。
  • 特定個人情報の再委託については、最初の委託者の許諾が必要である。
  • 委託先とは、A.3.4.3.4のa)〜h)の内容が盛り込まれた契約を締結していること。
  • 委託契約書が個人情報の保有期間にわたって保存されていること。
  • 委託先に渡した個人情報について、返却記録、消去・廃棄記録があること。

【3300個人情報取扱規程】サンプル


3.4.3.4 委託先の監督

当社は個人情報の取扱いの全部又は一部を委託する場合、十分な個人情報の保護水準を満たしている者を選定し、全社の委託先について「3434-01委託先管理台帳」を作成し管理する。

2 委託先選定基準として以下を定める。

3434-02委託先調査票  (A:シンプル)
3434-03委託先調査票  (B:詳細)
C 3434-09委託先調査票  (C:個人番号関係事務)
D 3434-08委託先自己評価票(D:再評価用)

3 各部門長は、個人情報を委託する前に、「3421個人情報取得・変更申請書」および、前項に規定するA~Dのいずれかに必要事項を記載し、個人情報保護管理者の承認を得る。

4 部門長は、委託先と下記の内容を含めた「3434-04業務委託契約書」又は、「3434-10業務委託契約書(個人番号関係事務)」を締結し、原本を個人情報保護管理者宛に提出する。個人情報保護管理者は、委託契約に係る個人情報の保有期間にわたって、当該契約書を保管する。

a) 委託者および受託者の責任の明確化
b) 個人情報の安全管理に関する事項
 漏えい・盗用防止
 範囲外加工・利用禁止
 範囲外複写禁止
 委託契約期間
 契約終了後の返還・消去・廃棄
c) 再委託に関する事項
d) 個人情報の取扱状況に関する委託者への報告の内容及び頻度
e) 契約内容が遵守されていることを委託者が定期的に、及び適宜に確認できる事項
f) 契約内容が遵守されなかった場合の措置
g) 事件・事故が発生した場合の報告・連絡に関する事項
h) 契約終了後の措置

5 部門長は、「3303PMS年間計画書(兼点検表)」に従い、委託先について毎年1回以上および、委託先について安全管理上の懸念があった場合に再調査を実施し、個人情報保護管理者へ提出する。再評価は状況に応じて、第2項に規定するA)~D)のいずれかの委託先選定基準を使用する。

6 部門長は、個人情報を委託する都度、「3434-06委託業務指示書」および「3434-07委託業務指示書管理台帳」もしくはそれにかわる個人情報の授受記録によって個人情報の所在を管理しなければならない。

7 部門長は、「3434-07委託業務指示書管理台帳」を毎月点検する。 8 個人情報保護管理者は、第2項に規定した委託先選定基準の内容が社会情勢や環境の変化に適合しているかどうか、毎年1回以上点検しなければならない。

3.4.4 個人情報に関する本人の権利