【全5回】にわたって解説!
以下のような流れでご紹介している、改訂版の構築・運用指針の具体的な実施ポイントや変更点の解説。
・Vol1:J.1~J.3
・Vol2:J.4~7
・Vol3:J.8~J.8.7
・Vol4:J.8.8~J.8.10
・Vol5:J.9~J.11
今回は、Vol4となる【J.8.8~J.8.10】の項目。
Vol3の【J.8.1~J.8.7】に引き続き、個人情報の取得・利用及び提供に関するパートです。
・第三者提供をするとき
・匿名加工情報/仮名加工情報の取扱い
などの内容になっています。
大切な個人情報を事故なく適切に取り扱うために、しっかりと確認していきましょう。
目次
- J.8.8 個人データの提供に関する措置
- J.8.8.1 外国にある第三者への提供の制限
- J.8.8.2 第三者提供に係る記録の作成など
- J.8.8.3 第三者提供を受ける際の確認等
- J.8.8.4 個人関連情報の第三者提供の制限など
- J.8.9 匿名加工情報
- J.8.10 仮名加工情報
J.8 取得、利用及び提供に関する原則
J.8.8 個人データの提供に関する措置
※個人データに対する要求事項であっても、J.3.1.1(個人情報の特定)において特定した個人情報については、当該要求事項の対象となる。
※f)は、共同利用の実施に関する取決め(J.8.7の留意事項)を持って代替してもよい。
概要
個人データを第三者に提供する場合、自分の情報がどこから・どのように取得されたのかを明確にするため、原則として、あらかじめ必要事項(J.8.5のa)~d)に示す事項及び取得方法)を通知し、本人の同意を得ることを求めるもの。
実施ポイント
・J.3.1.1(個人情報の特定)において特定した個人情報についても、当該要求事項の対象となる。
・本人に通知し、又は本人の同意を必要としないのは、定められた例外事項(J.8.8のa)~i)の事項)に限定すること。
【整備すべき規定類】
・本人への通知書面
・本人の同意書面
・個人情報の特定に関する記録
・共同利用に関する契約
・本人に通知し、又は本人の同意を必要としないのは、定められた例外事項(J.8.8のa)~i)の事項)に限定すること。
【整備すべき規定類】
・本人への通知書面
・本人の同意書面
・個人情報の特定に関する記録
・共同利用に関する契約
【構築・運用指針改定による変更点】
■項目No.2 b)の修正
→原則個人情報保護法通りの対応を求める形に修正(一部上乗せを維持している箇所あり)
■項目No.2 b)の修正((8)の内容を具体化し(8)(9)として修正)
→個人情報保護委員会規則で定められている内容を具体的に示したものであり、求める内容に変更はない。
■項目No.2 c)の修正(「法人その他の団体…」の削除)
→JISの内容に合わせたもの
■項目No.2の修正(従来のf)を削除し、新たにf)~i)を追加)
→J.8.3a)~d)又はJ.8.3j)~i)のいずれかに該当する場合と記載していたものを、各項目を明記する形に修正したもので、求める内容に変更はない。
■項目No.3の削除(「※要配慮個人情報とは…を求めている」)
→項目No.2のb)の修正に伴う対応であり、求める内容に変更はなし
■項目No.2 b)の修正
→原則個人情報保護法通りの対応を求める形に修正(一部上乗せを維持している箇所あり)
■項目No.2 b)の修正((8)の内容を具体化し(8)(9)として修正)
→個人情報保護委員会規則で定められている内容を具体的に示したものであり、求める内容に変更はない。
■項目No.2 c)の修正(「法人その他の団体…」の削除)
→JISの内容に合わせたもの
■項目No.2の修正(従来のf)を削除し、新たにf)~i)を追加)
→J.8.3a)~d)又はJ.8.3j)~i)のいずれかに該当する場合と記載していたものを、各項目を明記する形に修正したもので、求める内容に変更はない。
■項目No.3の削除(「※要配慮個人情報とは…を求めている」)
→項目No.2のb)の修正に伴う対応であり、求める内容に変更はなし
J.8.8.1 外国にある第三者への提供の制限
※個人データに対する要求事項であっても、J.3.1.1(個人情報の特定)において特定した個人情報については、当該要求事項の対象となる。
概要
外国にある第三者に個人データを提供するとき、原則としてJ.8.8.1のa)~c)のいずれかを満たすとともに、それぞれのケースにおいて必要な対応を求めるもの。
実施ポイント
・J.3.1.1(個人情報の特定)において特定した個人情報についても、当該要求事項の対象となる。
・外国にある第三者に該当するかどうかは、個人データを提供する個人情報取扱事業者と別の法人格を有するかで判断する。・あらかじめ本人から同意を得て、外国にある第三者に個人データを提供する場合(J.8.8.1のa)の場合)は、必要な情報(J.8.8.1のd)~i)の事項)を本人に提供すること。
・個人情報保護委員会規則で定める基準に適合する体制を整備している外国にある第三者に個人情報を提供する場合(J.8.8.1のb)の場合)は、必要な措置(J.8.8.1のi)~l)の事項)を講じること。
・J.8.8.1のl)で本人の求めにかっかる情報を提供しない旨の決定をした場合、本人に遅滞なく通知し、その理由を説明すること。
【整備すべき規定類】
・本人の同意書面
・個人情報の特定に関する記録
・外国にある第三者に該当するかどうかは、個人データを提供する個人情報取扱事業者と別の法人格を有するかで判断する。・あらかじめ本人から同意を得て、外国にある第三者に個人データを提供する場合(J.8.8.1のa)の場合)は、必要な情報(J.8.8.1のd)~i)の事項)を本人に提供すること。
・個人情報保護委員会規則で定める基準に適合する体制を整備している外国にある第三者に個人情報を提供する場合(J.8.8.1のb)の場合)は、必要な措置(J.8.8.1のi)~l)の事項)を講じること。
・J.8.8.1のl)で本人の求めにかっかる情報を提供しない旨の決定をした場合、本人に遅滞なく通知し、その理由を説明すること。
【整備すべき規定類】
・本人の同意書面
・個人情報の特定に関する記録
【構築・運用指針改定による変更点】
■項目No.1の修正「f)J.8.3のa)~d)、又はj)~i)のいずれか)」→J.8.8のf)~l)のいずれか」
→J.8.8個人データの提供に関する措置のただし書きが適用されることを明確にしたものであり、求める内容に変更ははない。
■留意事項の修正(e)は…情報提供することが望ましい」を追加)
→JISの内容に合わせたもので、求める内容に変更はない。
■項目No.1の修正「f)J.8.3のa)~d)、又はj)~i)のいずれか)」→J.8.8のf)~l)のいずれか」
→J.8.8個人データの提供に関する措置のただし書きが適用されることを明確にしたものであり、求める内容に変更ははない。
■留意事項の修正(e)は…情報提供することが望ましい」を追加)
→JISの内容に合わせたもので、求める内容に変更はない。
J.8.8.2 第三者提供に係る記録の作成など
-J.8.8(A.3.4.2.8).png)
※個人データに対する要求事項であっても、J.3.1.1(個人情報の特定)において特定した個人情報については、当該要求事項の対象となる。
概要
個人データを第三者に提供した場合、必要な記録の作成・保管を求めるもの。
実施ポイント
・J.3.1.1(個人情報の特定)において特定した個人情報についても、当該要求事項の対象となる。
・個人データの第三者提供の記録の作成を要しないのは、定められた例外事項(J.8.8.2のa)~j)の事項)に該当する場合に限定すること。
・個人データの第三者提供の記録は、必要な期間保管すること。
・個人データを提供したときに、提供先が実施する第三者提供を受ける際の確認等に対し、適切に応じること。
【整備すべき規定類】
・第三者提供記録
・個人データの第三者提供の記録の作成を要しないのは、定められた例外事項(J.8.8.2のa)~j)の事項)に該当する場合に限定すること。
・個人データの第三者提供の記録は、必要な期間保管すること。
・個人データを提供したときに、提供先が実施する第三者提供を受ける際の確認等に対し、適切に応じること。
【整備すべき規定類】
・第三者提供記録
【構築・運用指針改定による変更点】
■項目No.2c)の修正「個人データを共同利用している場合…」→「J.8.7のd)によって、特定の者との間で…」
→本指針の共同利用する場合の要求事項に準じることを明確にしたもので、求める内容に変更はない。
■項目No.2c)の修正「個人データを共同利用している場合…」→「J.8.7のd)によって、特定の者との間で…」
→本指針の共同利用する場合の要求事項に準じることを明確にしたもので、求める内容に変更はない。
J.8.8.3 第三者提供を受ける際の確認等
-J.8.8(A.3.4.2.8)-1.png)
※個人データに対する要求事項であっても、J.3.1.1(個人情報の特定)において特定した個人情報については、当該要求事項の対象となる。
概要
個人データを第三者に提供を受ける場合、必要な確認及び必要な記録の作成・保管を求めるもの。
実施ポイント
・J.3.1.1(個人情報の特定)において特定した個人情報についても、当該要求事項の対象となる。
【整備すべき規定類】
・第三者提供を実施した際に作成した記録
【整備すべき規定類】
・第三者提供を実施した際に作成した記録
【構築・運用指針改定による変更点】
■項目No.2c)の修正「個人データを共同利用している場合…」→「J.8.7のd)によって、特定の者との間で…」
→本指針の共同利用する場合の要求事項に準じることを明確にしたもので、求める内容に変更はない。
■留意事項の追加「※記録にあたっては…」
→JISの表現に合わせたもので、求める内容に変更はない。
■項目No.2c)の修正「個人データを共同利用している場合…」→「J.8.7のd)によって、特定の者との間で…」
→本指針の共同利用する場合の要求事項に準じることを明確にしたもので、求める内容に変更はない。
■留意事項の追加「※記録にあたっては…」
→JISの表現に合わせたもので、求める内容に変更はない。
J.8.8.4 個人関連情報の第三者提供の制限など
※個人関連情報とは、生存する個人に関連する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを指す。
※2項の「個人データとして取得する」とは、提供先の第三者において、個人データに個人関連情報を付加する等、個人データとして利用しようとする場合を指す。(提供先の第三者が、個人関連情報を直接個人データに紐付けて利用しない場合は、提供先の第三者が保有する個人データとの容易照合性が排除しきれないとしても、直ちに「個人データとして取得する」に該当しない)
※2項の「想定される」とは、個人データとして取得することを現に想定している場合、又は一般人の認識(同種の事業を営む事業者の一般的な判断力・理解力を前提とする認識)を基準として通常想定できる場合を指す。
※a)で同意を取得する主体は、本人と接点を持ち、情報を利用する主体となる提供先であるが、同等の本人の権利利益の保護が図られることを前提に、提供元が代行してもよい。
※2項は、個人関連情報の提供元が、当該第三者から申告を受ける方法その他の適切な方法によって本人同意が得られていることを確認することになるが、提供先の第三者から申告を受ける場合、提供元は、その申告内容を一般的な注意力をもって確認することで足りる。
概要
第三者が個人関連情報を個人データとして取得することが想定される場合、提供元もしくは提供先があらかじめ本人に対して個人関連情報の提供に関する事項を通知又は明示し、同意を得るとともに、必要事項について確認することを求めるもの。
実施ポイント
・個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを指す。・個人関連情報を外国にある第三者に提供した場合は、J.8.8.1外国にある第三者への提供の制限に従い、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じること。・法令等の定めに従い、確認の記録を作成・保管すること。
【整備すべき規定類】
・個人情報の取得、利用及び提供に関する規定
・個人関連情報の確認記録
【整備すべき規定類】
・個人情報の取得、利用及び提供に関する規定
・個人関連情報の確認記録
【構築・運用指針改定による変更点】
■項目No.1の修正(「個人関連情報を取り扱う場合には…内部規定として文書化すること」を削除)
→JISの改正に合わせたもの。構築・運用指針では、J.4.5.4内部規定において規定化を求めており、求める内容に変化はありません。
■項目No.1の修正(「第三者が個人関連情報を個人データとして取得することが想定される場合、次に示す事項又はそれと同等以上の事項を、あらかじめ、本人に対して通知又は明示し、本人が識別される個人データとして取得することを認める旨の同意を得ること。≪同意を取得する主体が個人関連情報の提供先である場合に、提供先が本人に対して通知又は明示する事項≫1)…≪同意を取得する主体が個人関連情報の提供元である場合に、提供元が本人に対して通知又は明示する事項≫1)…」を追加)
→JISの表現に合わせたもので、個人情報保護法で要求する内容に対する上乗せ事項となる。なお構築・運用指針では分かりやすさを重視し、「提供先が主体の場合」「提供元が主体の場合」それぞれの立場によって分けて通知事項を記載している。
■項目No.1の修正(「個人関連情報を取り扱う場合には…内部規定として文書化すること」を削除)
→JISの改正に合わせたもの。構築・運用指針では、J.4.5.4内部規定において規定化を求めており、求める内容に変化はありません。
■項目No.1の修正(「第三者が個人関連情報を個人データとして取得することが想定される場合、次に示す事項又はそれと同等以上の事項を、あらかじめ、本人に対して通知又は明示し、本人が識別される個人データとして取得することを認める旨の同意を得ること。≪同意を取得する主体が個人関連情報の提供先である場合に、提供先が本人に対して通知又は明示する事項≫1)…≪同意を取得する主体が個人関連情報の提供元である場合に、提供元が本人に対して通知又は明示する事項≫1)…」を追加)
→JISの表現に合わせたもので、個人情報保護法で要求する内容に対する上乗せ事項となる。なお構築・運用指針では分かりやすさを重視し、「提供先が主体の場合」「提供元が主体の場合」それぞれの立場によって分けて通知事項を記載している。
J.8.9 匿名加工情報
※匿名加工情報とは、各区部ごとに定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものを指す。
一 個人情報保護法第2条第1項第1号に該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 同条第1項第2号に該当する個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
※匿名加工情報、及び加工方法等情報は、リスクアセスメントを実施した上で適切な取扱いを行うこと。
※e)については、取扱いのリスクを踏まえ実施すべきかを判断すること。
概要
匿名加工情報を取り扱う場合は、法令等の定めるところによって、適切な取扱いを行う手順を定めて運用することを求めるもの。
実施ポイント
・匿名加工情報とは、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものである。・匿名加工情報、及び加工方法等情報は、リスクアセスメントを実施したうえで適切に取り扱うこと。
【整備すべき規定類】
・個人情報の取得、利用及び提供に関する規定
【整備すべき規定類】
・個人情報の取得、利用及び提供に関する規定
【構築・運用指針改定による変更点】
■留意事項の追加(「※b)の加工方法等情報のうち…)
→JISの改正に合わせたもの。さらに加工方法等情報のうち、その情報を用いて当該個人情報を復元することができるものについては、匿名加工情報の作成後は破棄する必要があることを明確に記載した。
■留意事項の追加(「※b)の加工方法等情報のうち…)
→JISの改正に合わせたもの。さらに加工方法等情報のうち、その情報を用いて当該個人情報を復元することができるものについては、匿名加工情報の作成後は破棄する必要があることを明確に記載した。
J.8.10 仮名加工情報
※仮名加工情報とは、各区分ごとに定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報を指す。
一 個人情報保護法第2条第1項第1号に該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 同条第1項第2号に該当する個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
※a)は、本人を識別しない、内部での分析・利用であることを条件とすることを含む。
※b)は、作成に用いた個人情報の利用目的とは異なる目的で利用する場合に、利用目的の公表を行うこと。
※7項は、取扱いのリスクを踏まえ実施すべきかどうかを判断すること。
※漏えい等の報告等については、J.4.4.2(緊急事態への準備)を踏まえて対応すること。
※なお、以下は適用除外される。
・利用目的の変更(本人を識別しない、内部での分析・利用であることを前提に、新たな利用目的で利用可能)
・開示・利用停止の請求対応
概要
仮名加工情報を取り扱う場合は、本人の権利利益に配慮し、かつ、法令等の定めるところによって、適切な取扱いを行う手順を定めて運用することを求めるもの。
実施ポイント
・仮名加工情報とは、他の情報と照合しない限り特定の個人を識別することができないように加工された個人に関する情報である。
・仮名加工情報を漏えい等した場合、J.4.4.2緊急事態への準備に基づいて対応すること。
・仮名加工情報が個人情報であるか否かにかかわらず、J.9.2安全管理措置、J.9.3従業者の監督、J.9.4委託先の監督、J.11.1苦情及び相談への対応を踏まえて対応すること。
【整備すべき規定類】
・個人情報の取得、利用及び提供に関する規定
・個人情報の適正管理に関する規定に定めた記録
・仮名加工情報を漏えい等した場合、J.4.4.2緊急事態への準備に基づいて対応すること。
・仮名加工情報が個人情報であるか否かにかかわらず、J.9.2安全管理措置、J.9.3従業者の監督、J.9.4委託先の監督、J.11.1苦情及び相談への対応を踏まえて対応すること。
【整備すべき規定類】
・個人情報の取得、利用及び提供に関する規定
・個人情報の適正管理に関する規定に定めた記録
【構築・運用指針改定による変更点】
■項目No.1の追加(「仮名加工情報の取扱いを行うか否かの方針を定めること」)
→JISの改正に合わせたもの。J.8.9匿名加工情報と同様の構成。
■項目No.6の修正(「…仮名加工情報である個人データを…」→「…以下の場合に限定すること」)
→e)~h)の適用対象が、全ての仮名加工情報に適用されることから修正したもの
■項目No.6 f)の修正(「…共同して利用され…本人が容易に知り得る状態に置く場合」→「…適法かつ公正な手段によって、共同して利用され…契約によって定めているとき」)
→構築・運用指針おける共同して利用する場合の要求事項に準じることを明確に表現したもの。留意事項に追記した内容も同様である。
■留意事項の追加(「※仮名加工情報が個人情報であるか否かに関わらず…」)
→法令で求められる内容を明確にしたもので、求める内容に変更はない。
■項目No.1の追加(「仮名加工情報の取扱いを行うか否かの方針を定めること」)
→JISの改正に合わせたもの。J.8.9匿名加工情報と同様の構成。
■項目No.6の修正(「…仮名加工情報である個人データを…」→「…以下の場合に限定すること」)
→e)~h)の適用対象が、全ての仮名加工情報に適用されることから修正したもの
■項目No.6 f)の修正(「…共同して利用され…本人が容易に知り得る状態に置く場合」→「…適法かつ公正な手段によって、共同して利用され…契約によって定めているとき」)
→構築・運用指針おける共同して利用する場合の要求事項に準じることを明確に表現したもの。留意事項に追記した内容も同様である。
■留意事項の追加(「※仮名加工情報が個人情報であるか否かに関わらず…」)
→法令で求められる内容を明確にしたもので、求める内容に変更はない。
まとめ
今回は、【J.8.8~J.8.10】の構築・運用指針の項目について解説しました。
「匿名加工情報?仮名加工情報って?」といった、用語の部分についても解説を入れておりますので、参考になりますと幸いです。
次回は、ついに最後のVol5となる【J.9~J.11】の項目解説をしますので、ぜひご覧ください。
株式会社Runway labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
セキュリティツールなどの導入支援なども行っておりますので、セキュリティ面について不安を抱えている企業様や担当者様がいらっしゃいましたら、ぜひお気軽にご相談ください。
→お問い合わせはこちらから
この記事を書いたのは、株式会社Runway-labo.で情シスのアシスタントをしているAnya。趣味はピラティスで身体を動かした後に餃子とハイボール片手に昼飲み。そしてコナン君をこよなく愛する。