TOP情報セキュリティ> 社内ガイドライン作成におけるポイント




個人情報保護法
常識として知っておきたい個人情報保護法

第4回:社内ガイドラインの作成
著者:日本ヒューレット・パッカード  佐藤 慶浩   2006/7/6
前のページ  1  2  3
社内ガイドライン作成におけるポイント

   それでは社内の個人情報保護ガイドラインを作成する際の文書構成のポイントについて解説していこう。ポイントは表2の通りだ。
  1. 分別の第1ステップで紹介したA〜Dごとにガイドラインを用意すること
  2. ガイドラインの中では、第2ステップでの分別を意識して対策を示すこと
  3. 個人情報のライフサイクルにそって注意事項を示すこと
  4. 個人情報保護法が求める「本人の関与」についての対応手順も具体的に示すこと
  5. 例外処理手順を示すこと

表2:社内ガイドライン作成のポイント

   それではそれぞれのポイントの注意点について解説する。


分別の第1ステップのA〜Dごとにガイドラインを用意する

   分別した個人情報ごとの対策に関係する業務は異なるため、それらを分けたガイドラインを作成すべきである。中には共通事項もあるだろうが、それぞれのガイドラインの読者は、業務ごとに異なることから、共通事項を重複してすべて記載する方が利用しやすいガイドラインになる。


第2ステップでの分別を意識して対策を示す

   どの種類の個人情報に、どの対策をするのかを具体的に示すのがよい。個人情報保護法対応のアプローチから対策を決めた企業では、この部分が抽象的になりやすい。なぜなら法律の一般的な解説書では、この部分が抽象的になっている場合が多いからだ。

   しかし自社の取り扱う個人情報に限定した場合、現場にわかりやすいようにそれぞれの項目を具体的に示すことができるだろう。また法律上の「個人情報」「個人データ」「保有個人データ」の3つに対する遵守事項を、ガイドラインの中でどのように規定するのかを示しておくのがよい。

   ハンドブックでは、それら3つを区別しながら遵守事項を適宜選択するのは煩雑になることから、すべてを最も厳しい「保有個人データ」として扱うように求めているが、そこまでしなくてもよいだろう。


個人情報のライフサイクルにそって注意事項を示す

   経済産業省のガイドラインでも示唆しているように、個人情報のライフサイクルの視点で対策を時系列に順序だてて整理するということである。ハンドブックでは、以下の項目を具体的に示している。

  • 個人情報の取得(利用目的の明記と同意確認)
  • 個人情報の第三者提供
  • 個人情報の保管
  • 個人情報へのアクセス
  • 個人情報の利用
  • 2005年4月1日より前からすでに保有している個人情報への処理
  • 個人情報の廃棄
  • 個人情報の通信
  • 個人情報の持ち出し
  • 個人情報の送付
  • 個人情報処理の外部委託

表3:個人情報のライフサイクルの例


個人情報保護法が求める「本人の関与」の対応手順を示す

   法律条文の通りに、表4にあげた事項について現場での対応手順を示す必要がある。開示、訂正、削除、消去といった一見普通の用語について、法律で定義されている用語として解釈しなければならないことを社内の担当者に周知する必要がある。

  • 開示要求への対応
  • 訂正要求への対応
  • 利用停止要求への対応
  • 削除・消去要求への対応

表4:「本人の関与」の対応手順

   例えば、個人データを消すことについて、法律上は要求の理由によって「削除」と「消去」の表現が異なる。登録されている内容が正しくないという理由だと「訂正等」の中で「削除」といい、利用目的に違反した、あるいは不正取得であるなどで利用停止させたいという理由だと「利用停止等」の中で「消去」というように用語を区別している。


例外処理手順を示す

   法律が定めていることではないが、社内における例外措置の手続きについて示す必要がある。

   例外措置の手続きを定めておかないと、例外が発生した際に現場で自己裁量してしまいかねない。かといって本当に例外を認めずに、ルールにあわなければビジネスを止めてしまえというのも現実的ではない。

   例外措置の手続きを明確に定めた上で、どのような例外が発生しているのかを管理することが重要なのである。

   例外を許容するということは管理を弱体化させてしまうように思うかもしれないが、実は例外を管理していない組織においては想定外の事故が発生した際に、再発防止策を立案できなくなる。例外を想定して管理を徹底する方が、例外を認めないよりもよいと考える。


次回は

   今回は業務委託の際の注意点と、社内ガイドライン作成の際の注意点について紹介した。次回は先ほど述べた個人情報のライフサイクルの各段階における具体的な対策内容について解説していく。

前のページ  1  2  3


日本ヒューレット・パッカード株式会社  佐藤 慶浩氏
著者プロフィール
日本ヒューレット・パッカード株式会社   佐藤 慶浩
1990年日本ヒューレット・パッカード(株)入社。OSF/1、OSF/DCE、マルチメディア、高可用性、インターネット技術支援を経て、米国にてセキュリティ製品の仕様開発に携わった後、情報セキュリティのコンサルティングに従事。また、国内初のインターネットバンキングでトラステッドOSを導入、インターネットトレーディングシステムでは性能改善のためユーティリティコンピューティングも設計。2004年からは、個人情報保護対策室長を務める。社外では、ISO/IEC国際標準セキュリティ委員会委員、情報ネットワーク法学会理事等の他、情報セキュリティ対策や個人情報保護についての講演をしている。現在、内閣官房情報セキュリティセンター参事官補佐を併任。
詳細はコチラ。
http://yosihiro.com/profile/


INDEX
第4回:社内ガイドラインの作成
  業務委託時の注意点と社内ガイドラインの作成
  委託業務における対策検討は委託元の責任
社内ガイドライン作成におけるポイント