★基本方針と分野別ガイドライン

Tweet    [PR] 企業向けeラーニングサービス e 研修 【S-LMS+】

個人情報の保護に関する基本方針

2004年に4月に閣議決定された、わが国の個人情報保護を推進していくための基本的な方向性の指針です。 個人情報取扱事業者に関して特に重要な事項は６ (1) 個人情報取扱事業者に関する次の３項目です。

１．事業者が行う措置の対外的明確化

個人情報保護方針（プライバシーポリシー、プライバシーステートメント等）を策定して公開することで 対外的に分かりやすく個人情報保護を説明すること。

個人情報の漏えい等の事案が発生した場合は、可能な限り事実関係等を公表すること。

２．責任体制の確保

不正アクセスの防御対策、個人情報保護管理者の設置、内部関係者の個人情報アクセス制限 など事業者の内部における責任体制を確保するための仕組みを整備すること。

個人情報の取扱いを外部に委託する場合、委託契約の中で 個人情報の保護のための措置が委託先においても確保されるよう、それぞれの責任等を明確に定めること。

３．従業者の啓発

個人情報保護に関する教育研修を実施して、 従業者の啓発を図ることにより従業者の個人情報保護意識を徹底すること。


１．～３．の事項はJIS Q 15001の要求する 「個人情報保護方針」の策定、個人情報保護方針を具体的に実現する「個人情報保護マネジメントシステム」 「教育」にそれぞれ対応しています。

分野別ガイドライン

基本方針をさらに具体化するために、 事業分野の実情に応じたガイドライン（個人情報保護指針）が所管省庁で策定されて公開されています。 個人情報の保護に関するガイドラインについて

個人情報の保護に関して24分野で37のガイドラインが各省庁で策定・公開されていますが、一番適用事業対象が広く重要なのが経済産業省の 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」です。

分野別ガイドラインは個人情報保護法の義務規定を、各事業分野の実情に応じて具体化、詳細化して説明した指針です。

ガイドラインの表現には「しなければならない」と「望ましい」の表現の違いがあります。
「しなければならない」は罰則を伴う義務、「望ましい」は努力目標になります。
この表現の違いを意識しておくことがガイドラインを解釈するポイントになります。

個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

「５．個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格に 個人情報取扱事業者は、その事業規模及び活動に応じて、個人情報の保護のための マネジメントシステムを確立し実施し、維持し及び改善を行うことが望ましい。」とあります。

体制の整備に当たっては、日本工業規格JIS Q 15001「個人情報保護マネジメントシステム－要求事項」を 参考にすることができるとあります。 表現は「参考にすることができる」ですが実際には「参考にしろ」です。

また個人情報取扱事業者は個人情報保護方針（プライバシーポリシー、プライバシーステートメント等）を策定 し公表することが望ましいともあります。

プライバシーポリシーの参考には マネジメントシステムの継続的改善（PDCAサイクルのスパイラルアップ）にも触れるよう記述されています。

個人情報保護方針を策定したということは個人情報の保護マネジメントシステムが機能しているのとイコールと いうことになります。

個人情報を保護するには具体的にマネジメントシステムが必要になり、 マネジメントシステム規格としてJIS Q 15001が参考になるとあります。

　個人情報保護条例

ガイドラインだけでなく都道府県や市の、個人情報保護条例も押さえておく必要があります。

【都道府県　個人情報保護条例】

北海道・東北	北海道 |  青森 |  岩手 |  宮城   秋田 |  山形 |  福島
関東	東京 |  神奈川 |  埼玉 |  千葉   茨城 |  栃木 |  群馬
甲信越・北陸	新潟 |  山梨 |  長野  富山 |  石川 |  福井
東海	愛知 |  岐阜 |  静岡 |  三重
関西	大阪 |  京都 |  兵庫   滋賀  |  奈良  |  和歌山
中国	鳥取  |  島根 |  岡山 |  広島 |  山口
四国	徳島 |  香川 |  愛媛 |  高知
九州・沖縄	福岡  |  佐賀 |  長崎 |  熊本   大分 |  宮崎 |  鹿児島 |  沖縄

ＯＥＣＤ８原則、個人情報保護法、各種政令やガイドラインを取り込んだＪＩＳ規格とは JIS Q 15001とは