(画面はガイドラインの表紙)
経済産業省は、12月12日に「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改訂版を発表しました。
経済産業省のガイドラインは、個人情報保護法の国内での施行における教科書のような存在で、とても重要な文書です。今回の改訂のポイントを簡単にまとめておきます。
1)委託先の監督の拡充
・委託先が中小企業の場合に、事業規模、実態、個人情報の性質及び量などを考慮に入れた措置を講じること。優越的地位にある場合、委託先に不当な負担を課さないこと。
・委託先の選定の際に評価するポイントを列記
・定期的な委託先業務の監査と再評価を推奨
・契約に「委託先担当者の氏名または役職」「損害賠償責任」を明記することを推奨
・再委託先、再々委託先に対しても、委託先と同様に監督することを推奨
2)安全管理の強化
望まれる手法の例示に下記を追加。
・個人情報保護管理者(CPO)については役員とし、個人データの取扱いを総括する部署や管理委員会を設置すること
・情報セキュリテイ対策に十分な知見を有する者による監査実施体制の構築
・スマホ、PC等の記録機能を有する機器の接続制限と機器の更新への対応
・入退館(室)の記録の保管
・私物媒体/機器の持ち込み禁止又は検査の実施
・カメラ撮影や作業立ち会い等による記録やモニタリングの実施
・管理者権限の分割
・アクセスログについて、速やかに外部に移動する、また管理者でも変更できないようにするなどの対策
・管理者によるアクセス状況を特に注意して監視すること
・許可していないソフトウェアの導入を防止する対策
・監視システムの設定の確認と定期的な動作確認
3)適正取得のための措置の追加
・第三者から個人情報を取得する場合、提供元の法の遵守状況と、適法に入手されていることを確認することを推奨
・第三者から個人情報を取得する場合、適法に入手されたことが確認できない場合は、取得の自粛などを推奨
4)新たな脅威に備えたセキュリティ対策手法の例示の追加
・ワンタイムパスワードの採用
・システムへのアクセス制御に加えて、データベースへのアクセス制御も行うこと
5)共同利用制度の趣旨の明確化など
・共同利用は「本人から見て当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある」場合のみ適用されるとの考え方を明記
6)消費者に対する分かりやすい説明のための参考事項追記
・利用目的の明示にとどまらず、さらに消費者に対して分かりやすく個人情報の取扱いについて説明するための記載項目を例示
7)その他
・「雇用管理分野における個人情報保護に関するガイドライン」に対応して、雇用管理情報の定義の明確化と、機微な情報が含まれることに配慮した取り扱いの徹底
・参考となる規格の中に「組織における内部不正防止ガイドライン」を追加
経済産業省からのリリース
http://www.meti.go.jp/press/2014/12/20141212002/20141212002.html
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(本文)
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/1212guideline.pdf
(私のコメント)
ベネッセ事件を受けての見直しになっており、大変時機を得た、内容的にも適切なものと思います。このガイドラインを更新し続けている経済産業省の努力には頭が下がります。
メンバー募集
オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報
興味がある方、ぜひこちらからご連絡ください!