「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(ガイドライン)の改正が12日に出ましたね。もともと「経済産業分野」の定義・範囲については明らかにはされていませんが、例えば不正競争防止法や産業競争力強化法といったところも所管の法令ですから、結構他業界にまたがっているということでしょうね。
経産省によれば改正の趣旨は、(1)第三者からの適正な取得の徹底(2)社内の安全管理措置の強化(3)委託先等の監督の強化(4)共同利用制度の趣旨の明確化(5)消費者等本人に対する分かりやすい説明のための参考事項の追記とのことです。
ざっと読んで気になった点を書いてみたいと思います。

① 情報受領時の確認について

「第三者からの提供(法第 23 条第1項各号に掲げる場合並びに個人情報の取扱いの委託、事業の承継及び共同利用に伴い、個人情報を提供する場合を除く。)により、個人情報(政令第2条第2号に規定するものから取得した個人情報を除く。)を取得する場合には、提供元の法の遵守状況(例えば、オプトアウト、利用目的、開示手続、問合せ・苦情の受付窓口を公表していることなど)を確認し、個人情報を適切に管理している者を提供元として選定するとともに、実際に個人情報を取得する際には、例えば、取得の経緯を示す契約書等の書面を点検する等により、当該個人情報の取得方法等を確認した上で、当該個人情報が適法に取得されたことが確認できない場合は、偽りその他不正の手段により取得されたものである可能性もあることから、その取得を自粛することを含め、慎重に対応することが望ましい。」
(ガイドライン21頁)


ガイドライン第17条の「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。」との点に関するガイドラインへの追記ですが、第三者から個人情報を取得する際には、その前に個人情報が不正に取得されたものでないか精査しろということのようです。「(法第
23 条第1項各号に掲げる場合並びに個人情報の取扱いの委託、事業の承継及び共同利用に伴い、個人情報を提供する場合を除く。)」と括弧内の除外事由もそれなりに広く規定されていますので、この義務を負うのは、例えば第三者提供を利用目的にしている事業者から情報を受領するような場合でしょうか。M&AにおけるDDでは、個人情報関連は一つのチェックポイントにはなっており、契約書やホームページ、マニュアルでのチェック、インタビューで触れることが多いですが、通常の事業においても同様に個人情報を受け入れる場面では慎重さが求められて来ますね。社内での業務フローにおいて個人情報を取り扱う業務の委託を検討する場合、CPO(個人情報保護管理者)等が関与できる仕組みを作る必要がありそうです。

②CPOの設置

「個人データの安全管理の実施及び運用に関する責任及び権限を有する者として、個人情報保護管理者(いわゆる、チーフ・プライバシー・オフィサー(CPO))を設置し、原則として、役員を任命すること」(ガイドライン27頁)

ガイドライン第20条「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」との点に関するガイドラインへの追記ですが、CPOは、原則「役員」とのことです。ここでいう役員の定義がないので、日本の会社法に則って取締役ということでしょうか?

次回は、委託先の管理監督について書いてみたいと思います。 

975411_541106855932403_799666229_n