個人情報保護法とガイドライン
プライバシーマーク
プライバシーマーク取得するにあたり関係してくるものに、個人情報保護法と各省庁から出されているガイドラインというものがあります。
個人情報保護法には、事業者が何を行うべきかということが具体的に書かれていません。
例えば個人情報保護法の【第20条】では、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と記載されているのみで、何を行えばよいのかまで書かれていません。
それを補うためにあるのが各省庁から出されているガイドラインになります。
例えば経済産業省から出されているガイドラインの中に「人的安全管理措置」というものがありますが、従業者に対しての教育・訓練の実施を行うことが求められています。
他にも「組織的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」といった内容のものがあります。
事業者は、法律を具体的に解釈するものとして、各ガイドラインを検討する必要があり、プライバシーマーク取得の際にもこの内容が含まれてくることになります。
◆個人情報保護法のガイドライン見直しの方向へ
経済産業相は個人情報保護法のガイドライン(指針)を9月にも見直す方針を会見で明らかにしました。
通信教育大手「ベネッセコーポレーション」の顧客情報流出問題を受けた措置で、企業における個人情報管理の態勢を強化するため、より詳細な規定を盛り込むそうです。
見直しでは、企業が個人情報の管理を外部に委託する際に、委託先の業者の監督強化を求める。
名簿業者など第三者から情報を得る場合には入手経路の確認を促すほか、情報を管理する部署にカメラを設置するよう要請することも検討しているようです。
また、指針の見直しに先立って、経団連など5経済団体とIPAは8月26日に共同で「企業の内部不正防止に関する緊急セミナー」を開きます。
詳しくは⇒
(※なお、今回は定員になって申込みは終了している状況です。)
(http://www.ipa.go.jp/security/event/2014/insider_semi_20140826.html)
※セミナー終了後 1週間程度を目途に、開催の模様を公開予定。
YouTube「IPA Channel」( (http://www.youtube.com/user/ipajp) 別ウィンドウで開く )にて
◆「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正版が、2014年12月12日付で経済産業省から告示・施行されました。
ベネッセをはじめ、2014年に相次いで発生した内部不正やサイバー攻撃による個人情報の漏えい事案等を踏まえた内容になっています。
http://www.meti.go.jp/press/2014/12/20141212002/20141212002.html
主な改正点として、次の5項目が挙げられています。
(1)第三者からの適正な取得の徹底
(2)社内の安全管理措置の強化
(3)委託先等の監督の強化
(4)共同利用制度の趣旨の明確化
(5)消費者等本人に対する分かりやすい説明のための参考事項の追記
なお、経産省ではこの改訂についての説明会を開くとしていますが、東京の会場は即日満席になったようです。
皆さんの関心の高さがうかがえますね。
http://kojinjohohogo-guideline.jp/
バルクでは、新旧文書の比較検証を早速開始しました。また審査傾向の変化などにも着目して、皆様にフィードバックしていきたいと思います。