ナレッジ

経済産業分野における個人情報保護法ガイドラインの改正

2014年に入って、経済産業省では「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正案が5月と9月の2回にわたって公表され、2つの改正案が同時に反映された形で、12月に正式に改正されました。

関連コンテンツ

はじめに

2014年に入って、経済産業省では「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(いわゆる経済産業分野の個人情報保護ガイドライン。以下ガイドラインという)の改正案が5月と9月の2回にわたって公表され、2つの改正案が同時に反映された形で、12月に正式に改正されています。
5月の改正案については、2015年に予定されている個人情報保護法の改正を視野に入れたものとなっており、2回目となる9月の改正案については、大規模な個人情報漏えい事件の発生と、それに伴う第三者への転売・流通が問題となったことを受けて行われています。本稿では2回にわたる改正案を反映した2014年12月のガイドライン改正内容について、主なポイントをまとめて整理しています。なお、2015年3月、第189回通常国会に改正案(個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案)が提出されています。改正案の可決・成立後、省庁が公開している各種のガイドラインはさらに改正される可能性があることをあらかじめご了承ください。
 

(1) 新たな脅威に備えたセキュリティ対策手法の例示を追加

事業者のセキュリティ対策を強化する観点から、従来掲載していなかった管理手法を追記しています。特に技術的安全管理措置については、具体的な例示が増えました。例えば、個人情報の電子的な入れ物そのものであるデータベースについて以下のような記述が追加されています。

*個人データを格納するためのデータベースを構成要素に含む情報システムを構築する場合には、当該情報システム自体へのアクセス制御に加えて、情報システムの構成要素であるデータベースへのアクセス制御を別に実施し、それぞれにアクセス権限を設定することが望ましい。

これらの例示を参考にしながら今一度、情報セキュリティ対策を整備する機会としても良いと考えられます。
 

(2) 「共同利用」制度の趣旨の明確化等

事業者からの問い合わせが多い「共同利用」制度についての追記が加わりました。従来その解釈と運用が曖昧で、適法性の判断が難しい場合があった「共同利用」について、より明確な定義が行われました。特に「「共同利用の趣旨」は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で当該個人データを共同して利用することである。」という部分が明確になったことから、自社とは無関係な第三者の企業に「共同利用」という枠組みを使って、本人の同意を得ずに個人情報を提供することは、事実上できないという解釈になっています。また責任を有する企業名や、個人情報を収集する目的の明示なども、具体的に行う必要があります。

(3) 消費者に対する分かりやすい説明のための参考事項を追記

個人情報を収集する際、利用目的などを明示して同意を取得する必要がありますが、同意取得の方法や、提示される文言がわかりにくく、明確な理解と同意を得られていないと、結果として消費者を不安にさせたり、大きな社会的非難にまで発展したりすることがあります。こうした問題を未然に防ぐために、改正案では「分かりやすい説明の実施に際して参考とすべき基準」を示しています。
この項目については、別途経済産業省から公表されている「パーソナルデータ利活用ビジネスの促進に向けた、消費者向け情報提供・説明の充実のための「評価基準」と「事前相談評価」のあり方について」や「「分かり易さに関する手法・アプローチ」に係るベストプラクティス集」などを参考にすることができます。
 

(4) 委託先の監督

2014年に発生した大規模な個人情報漏えい事件が、委託先企業の従業者によって引き起こされたことから、委託先の選定にあたって事業者が評価・確認するべき内容と委託先への配慮などが明示されました。具体的には以下のような点です。

  • 委託先の選定に当たり、委託先の安全管理措置を確認し、CPO等が評価する。
  • 定期的に(少なくとも年1回)、委託業務の監査を実施し、その結果について、CPO等が評価する。
  • 委託契約等において、委託先で個人データを取り扱う者の役職又は氏名、損害賠償責任を盛り込む。

ここで言うCPOとはチーフ・プライバシー・オフィサー(Chief Privacy Officer)です。
通常は企業等の中でプライバシー関連の最高責任者ということになります。
 

(5) 適正取得

2014年に発生した個人情報漏えい事件に関連して、個人情報が第三者に売却され、不正
に持ち出された情報であるとわからないままに流通していたこと(いわゆる名簿屋問題)
等から、適正な取得のあり方について具体的に例示等が追加されています。(特に本人では
ない第三者から情報を取得する場合)主な例示は以下のような点から構成されています。

  • 第三者からの取得する場合の確認すべき事項
  • 提供元の第三者に対する適法な入手の確認
  • 適正取得が確認できない情報の取り扱いに関する事項(取得の自粛等)

デロイト トーマツ グループでは、こうした個人情報保護法制の変化に対応しながら、情報・データの利活用とプライバシー保護を適切なバランスで実施していくことをお勧めしています。このガイドライン改正への対応を単なる個人情報保護で終わらせず、プライバシー保護へ、さらには情報とデータの利活用による新しい事業の成長と発展を下支えする「利益を生み出すためのリスク管理」へと、つなげる機会として捉えてみてはいかがでしょうか。

お役に立ちましたか?