【全5回】にわたって解説!
以下のような流れでご紹介している、改訂版の構築・運用指針の具体的な実施ポイントや変更点の解説。
・Vol1:J.1~J.3
・Vol2:J.4~7
・Vol3:J.8~J.8.7
・Vol4:J.8.8~J.8.10
・Vol5:J.9~J.11
今回は、ついに最後のVol5となる【J.9~J.11】の項目です。
・適正管理
・個人情報に関する本人の権利
・苦情及び相談への対応
など、管理策の要求事項のパートとなります。
大切な個人情報の適切な管理のために、しっかりと確認していきましょう。
目次
- J.9.1 正確性の確保
- J.9.2 安全管理措置
- J.9.3 従業者の監督
- J.9.4 委託先の監督
- J.10.1 個人情報に関する権利
- J.10.2 開示等の請求等に応じる手続き
- J.10.3 保有個人データ又は第三者提供記録に関する事項の周知など
- J.10.4 保有個人データの利用目的の通知
- J.10.5 保有個人データ又は第三者提供記録の開示
- J.10.6 保有個人データの訂正、追加又は削除
- J.10.7 保有個人データの利用又は提供の拒否権
- J.11.1 苦情及び相談への対応
- まとめ
※個人データに対する要求事項であっても、J.3.1.1(個人情報の特定)において特定した個人情報については、当該要求事項の対象となる。
概要
取り扱う個人データについて、利用目的の達成に必要な範囲内において、正確、かつ、最新の状態で管理することを求めるもの。
当該個人データを利用する必要がなくなったときに遅滞なく消去することも含む。なお、法令の定めにより保存期間が定められている場合はこの限りではない。
・取得した個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確、かつ最新の状態で管理すればよい。・個人データの消去とは、当該個人データを個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む。
【整備すべき規定類】
・個人情報の適正管理に関する規定に定めた記録
・個人情報の特定に関する記録
※必要かつ適切な安全管理措置とは、個人情報が漏えい等の緊急事態が発生した場合に被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況、個人情報の性質及び量、記録した媒体の性質等に起因するリスクに応じた必要かつ適切な措置を講じることをいう。なお、この定義は個人情報保護法で定められている事項であり、必要かつ適切な安全管理措置を講じていないことで法令に違反することがあることに留意する必要がある。
※学術研究目的で行う個人データの取扱いについても、当該要求事項の対象となる。
概要
取り扱う個人情報のリスクに応じて、必要かつ適切な安全管理措置を講じることを求めるもの。
・安全管理措置は、組織的・人的・物理的・技術的の4つの観点を組み合わせて実施することが重要である。
【整備すべき規定、様式、記録等】
・個人情報保護リスクアセスメント及び個人情報保護リスク対応に関する記録
・内部規定
・内部規定に定めた記録
・個人情報の適正管理への対応記録
■項目No.2の追加「外部サービスを利用する場合であって…」
→JISの表現に合わせたもの(従来はJ.9.4委託先の監督に基づいた対応を求めていた)
概要
個人データを取り扱う従業者に対して、必要かつ適切な監督を行うことを求めるもの。
・個人データを取り扱う従業者に対して、個人データの漏えいが生じた場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人情報の取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じることが望ましい。
【整備すべき規定、様式、記録等】
・個人情報の適正管理に関する規定
・内部規定の違反に関する罰則の規定
-J.8.8(A.3.4.2.8).png)
※委託先選定基準には、次の内容を含むこと。
・少なくとも委託する当該業務に関しては、自社と同等以上の個人情報保護の水準にあること。
・契約に規定する事項に対応可能なことを客観的に確認できること。
概要
個人データの取扱いの全部又は一部を委託する場合、委託先選定基準を確立し委託先を選定するとともに、委託契約に基づいて委託先を適切に監督することを求めるもの。
・委託先選定基準には次の内容を含むこと。
→少なくとも委託する当該業務に関しては、自社と同等以上の個人情報の保護の水準にあること
→契約に規定する事項に対応できることを客観的に確認できること
【整備すべき規定、様式、記録等】
・委託先の選定記録
・委託契約書
・委託先の監督に関する記録
-J.8.8(A.3.4.2.8)-1.png)
概要
保有個人データ又は第三者提供記録に関して本人から開示等(利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、第三者提供記録の開示、消去及び第三者への提供の停止)の請求等を受けた場合に、一部例外を除き遅滞なくこれに応じることを求めるもの。
【整備すべき規定、様式、記録等】・開示等の請求等への対応記録
概要
・保有個人データ又は第三者提供記録について、本人からの開示等の請求等に応じる手続きを定めることを求めるもの。
・当該手続きが本人に過重な負担を課するものにならないよう、手数料を徴収するときは合理的であると認められる範囲内に金額を定めるように配慮すること。
【整備すべき規定、様式、記録等】・本人からの開示等の請求等への対応に関する規定
■留意事項の追加(「※事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データ又は第三者提供記録を特定するに足りる事項の提示を求めることができる」を追加)
→JISの表現に合わせたもの
概要
保有個人データ又は第三者提供記録について、本人(又は代理人)が開示等の請求等を行うに当たって必要な情報を、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置くことを求めるもの。
ただし、本人の知り得る状態に置くことにより、当該保有個人データ又は第三者提供記録の安全管理に支障をきたすものについては除外される。
概要
本人から、当該本人が識別される保有個人データについて、利用目的の通知を求められた場合、遅滞なく応じることを求めるもの。
→J.8.4個人情報を取得した場合の措置のa)~c)のいずれかに該当する場合。
→J.10.3保有個人データ又は第三者提供記録に関する事項の周知などのc)によって、当該本人が識別される保有個人データの利用目的が明らかな場合
・利用目的の通知を必要としない場合であっても、本人に遅滞なくその旨を通知し、理由を説明すること
・本人の請求等の対応状況の記録を作成する
【整備すべき規定、様式、記録等】
・保有個人データに関する開示等の請求等への対応記録
-J.8.8(A.3.4.2.8).png)
※学術研究目的で行う保有個人データの取扱いも、本要求事項の対象となる。
概要
本人から、当該本人が識別される保有個人データ又は第三者提供記録の開示の請求を受けた場合、原則として遅滞なく、電磁的記録の提供も含めて当該本人が指定した方法によって開示することを求めるもの。
・本人が指定した方法による開示が困難として書面での交付とした場合、もしくは上記の理由により開示しない場合、本人に遅滞なくその旨を通知するとともに、理由を説明すること。
・学術研究目的で行う保有個人データの取扱いについても、本項は適用される。
【整備すべき規定、様式、記録等】
・保有個人データに関する開示等の請求等への対応記録
■留意事項の追加(「※当該本人が識別される保有個人データ又は第三者提供記録が存在しないときは、その旨を本人に遅滞な通知すること」を追加)
→JISの表現に合わせたものであり、要求する内容に変更はない。
概要
本人から、当該本人が識別される保有個人データの訂正等(訂正、追加又は削除)の請求を受けた場合、法令の規定により特別の手続きが定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該保有個人データの訂正等を行うことを求めるもの。
・訂正等を行わないと決定した場合、はその旨及びその理由を本人に遅滞なく通知すること。
【整備すべき規定、様式、記録等】
・保有個人データに関する開示等の請求等への対応記録
概要
本人から、当該本人が識別される保有個人データの訂正等(訂正、追加又は削除)の請求を受けた場合は、一部例外を除き本人から求めがあれば応じることをを求めるもの。
・利用目的等の請求に応じなかった場合は、本項で定めるのa)~d)に限定していること。
・上記の理由により、利用停止等の請求に応じなかった場合、本人に遅滞なくその旨を通知するとともに、その理由を説明すること。
【整備すべき規定、様式、記録等】
・保有個人データに関する開示等の請求等への対応記録
■項目No.3の修正(「本人からの…J.10.5のa)~c)に限定していること」→「本人からの…以下のいずれかに該当する場合に限定し、本人に遅滞なくその旨を…」)
→改訂前の構築・運用指針では2つの項目に分かれていたものをマージしたもので、要求する内容に変更はない。今回の改訂により新たに「a)当該保有個人データの利用停止等に多額の…」が追加されているが、法令に定めているものに基づくもので、要求する内容に変更はない。
概要
個人情報に関する取扱い、及び個人情報保護マネジメントシステムに関して本人からの苦情及び相談を受け付け、受け付けた際には適切かつ迅速な対応すること、またそのための体制を整備することを求めるもの。
【整備すべき規定、様式、記録等】
・苦情及び相談への対応に関する規定
・苦情及び相談への対応記録
■項目No.3の修正(「苦情及び相談の申出先(認定個人情報保護団体の対象事業者になっている場合は、当該団体の苦情解決の申出先も含む)について、本人の知り得る状態…に置くこと」に修正)
→従来より求めていたものを明確にしたもので、要求する内容に変更はない。
今回は、【J.9~J.11】の構築・運用指針の項目について解説しました。
委託先の監督、第三者提供や開示請求、そして苦情及び相談への対応など個人情報を管理するための行動策が具体的になっている項目です。
J.5運用の詳細となりますので、改めて一緒に見直してみましょう。
株式会社Runway labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
セキュリティツールなどの導入支援なども行っておりますので、セキュリティ面について不安を抱えている企業様や担当者様がいらっしゃいましたら、ぜひお気軽にご相談ください。
→お問い合わせはこちらから
この記事を書いたのは、株式会社Runway-labo.で情シスのアシスタントをしているAnya。趣味はピラティスで身体を動かした後に餃子とハイボール片手に昼飲み。そしてコナン君をこよなく愛する。