書いてあること

  • 主な読者:個人情報の適正な取り扱いを徹底させるに当たって「個人情報保護規程」のひな型が欲しい経営者
  • 課題:具体的に何を定めればよいかが分からない
  • 解決策:個人情報の取得・利用、保管・管理、第三者提供、開示請求等への対応などについて定める

1 個人情報の漏洩は経営を脅かす重大なリスク

個人情報の漏洩は経営を脅かす重大なリスクです。2022年4月施行の改正個人情報保護法では、漏洩が発生し、不正に利用されることにより財産的被害が生じるおそれがある場合や、不正の目的をもって行われたおそれがある場合などに、

  • 個人情報保護委員会への報告
  • 本人への通知

が義務付けられました。このような漏洩リスクの発生に備え、社内規程を策定・改訂し、体制を整備しておく必要があります。

なお、以下のコンテンツや個人情報保護委員会のページが参考になります。

■改正個人情報保護法 特集■
https://www.ppc.go.jp/news/kaiseihou_feature/
■個人情報の保護に関する法律についてのガイドライン(通則編)■
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
■個人情報の保護に関する法律についてのガイドラインに関するQ&A■
https://www.ppc.go.jp/personalinfo/faq/APPI_QA/
■漏えい等の対応とお役立ち資料■
https://www.ppc.go.jp/personalinfo/legal/leakAction/

2 個人情報保護規程のひな型

以降で紹介するひな型は一般的な事項をまとめたものであり、個々の企業によって定めるべき内容が異なってきます。実際にこうした規程を作成する際は、必要に応じて専門家のアドバイスを受けることをお勧めします。

【個人情報保護規程のひな型】

第1章 総則

第1条(目的)
本規程は、当社が保有する個人情報について、個人情報の保護に関する法律(以下「個人情報保護法」)および関連する政省令、ガイドライン等を遵守しつつ、適正に取り扱うための基本事項を定めることにより、個人の権利利益を保護することを目的とする。

第2条(用語の定義)
本規程において、各用語の意義は、個人情報保護法その他関連法令等の定義に従い、次に定めるところによる。
1.個人情報
生存する個人に関する情報であって、次のいずれかに該当するものをいう。
  ・当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む)
  ・個人識別符号が含まれるもの
2.個人識別符号
次のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
  ・特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
  ・個人に提供される役務の利用もしくは個人に販売される商品の購入に関し割り当てられ、または個人に発行されるカードその他の書類に記載され、もしくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者もしくは購入者または発行を受ける者ごとに異なるものとなるように割り当てられ、または記載され、もしくは記録されることにより、特定の利用者もしくは購入者または発行を受ける者を識別することができるもの
3.要配慮個人情報
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取り扱いに特に配慮を要する個人情報をいう。
4.個人情報データベース等
個人情報を含む情報の集合物であって、次に掲げるものをいう。
  ・特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
  ・特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
5.個人データ
個人情報データベース等を構成する個人情報をいう。
6.保有個人データ
会社が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データで、6カ月以上保有するものをいう。
7.本人
個人情報によって識別される特定の個人をいう。
8.本人の同意
本人が自己の個人情報の利用または提供に関する情報を与えられた上で、当該個人情報の収集、利用または提供について了承する明確な意思表示をいう。

第3条(適用範囲)
本規程は、当社において処理される全ての個人情報、個人データおよび保有個人データ(以下「個人情報等」)の取り扱いについて定めるものとし、当社の業務に従事する全ての従業員等(正社員・契約社員・嘱託社員・パート社員・アルバイト社員等の雇用関係にある従業員の他、取締役、監査役、執行役、派遣社員等を含む。以下同じ)に対して適用するものとする。対象となる個人情報等について、記録されている媒体が電子的なものであるか、紙であるかなどの形態を問わない。

第2章 個人情報の取り扱い

第4条(利用目的の特定)
1)個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない。
2)利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

第5条(利用目的による制限)
1)あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。ただし、法令に特別の規定がある場合を除く。
2)合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。ただし、法令に特別の規定がある場合を除く。
3)利用目的の達成に必要な範囲内か否かが不明な場合は、都度、個人情報保護管理者に判断を求めるものとする。

第6条(適正な取得)
1)個人情報の取得は業務上必要な範囲内で、適正かつ適法な手段により行うものとする。
2)要配慮個人情報は、あらかじめ本人の同意を得ずに取得してはならない。ただし、法令に特別の規定がある場合を除く。

第7条(取得に際しての利用目的の通知等)
1)個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、または公表しなければならない。
2)書面(電子メール、当社ウェブサイトへの記入等も含む)により本人から直接個人情報を取得する場合は、本人に対してあらかじめ利用目的を明示しなければならない。ただし、人の生命、身体または財産の保護のために緊急に必要がある場合は、この限りでない。
3)利用目的を変更した場合は、変更された利用目的について、本人に通知し、または公表しなければならない。

第8条(データ内容の正確性の確保等)
利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めるものとする。

第9条(安全管理措置)
1)取り扱う個人データの漏洩、滅失または毀損の防止その他の個人データの安全管理のために、組織的、人的、物理的、技術的に必要かつ適切な措置を講じるものとする。
2)個人データの取り扱いについて必要な事項は、「個人情報安全管理細則」に定める。

第10条(従業員等の監督)
個人情報保護管理者は、従業員等が個人データを取り扱うに当たり、必要かつ適切な監督を行うものとする。

第11条(委託先の監督)
1)個人データの取り扱いの一部または全部を外部委託する場合は、別途定める「外部委託管理規程」(省略)に従って、委託先における個人情報保護の体制が十分であることを確認した上で、委託先を選定しなければならない。
2)委託先に対して次の各号の事項を契約によって規定し、十分な個人情報保護の水準を担保するよう努めるものとする。
  1.委託する個人データの適法かつ適切な取り扱い(当該個人データに対する人的、物理的、技術的な安全管理措置を委託先が講じることを含む)
  2.委託する個人データに関する秘密保持
  3.委託する個人データの当該業務以外の使用禁止
  4.委託する個人データを取り扱う上での安全対策
  5.再委託に関する事項(再委託は原則禁止とし、再委託がやむを得ない場合は事前に書面による当社の同意を要し、委託先が再委託先と連帯して責任を負うことの確認)
  6.契約内容が遵守されていることの確認
  7.委託する個人データに関する事故が生じた際の責任
  8.契約終了時の個人情報の返却および抹消

第12条(第三者提供の制限)
あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。ただし、法令に特別の規定がある場合を除く。

第13条(外国にある第三者への提供の制限)
外国にある第三者に個人データを提供する場合には、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。ただし、法令に特別の規定がある場合を除く。

第14条(第三者提供に係る記録の作成等)
個人データを第三者に提供したときは、当該個人データを提供した年月日、当該第三者の氏名または名称その他の個人情報保護委員会規則で定める事項に関する記録を作成し、当該記録を個人情報保護委員会規則で定める期間保存しなければならない。ただし、法令に特別の規定がある場合を除く。

第15条(第三者提供を受ける際の確認等)
1)第三者から個人データの提供を受けるに際しては、当該第三者の氏名または名称および住所並びに法人(法人でない団体で代表者または管理人の定めのあるものにあっては、その代表者または管理人)の氏名、当該第三者による当該個人データの取得の経緯の確認を行わなければならない。ただし、法令に特別の規定がある場合を除く。
2)第1項の規定による確認を行ったときは、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成し、当該記録を個人情報保護委員会規則で定める期間保存しなければならない。

第16条(保有個人データに関する事項の公表等)
1)保有個人データに関し、次の各号の事項を、当社ウェブサイトで掲載もしくは窓口等で掲示・備え付け等を行い、本人の知り得る状態に置くものとする。
  1.当社の名称
  2.当社の保有個人データの利用目的(法令に特別の規定がある場合を除く)
  3.本人からの保有個人データの開示の求めおよび、その内容の訂正、追加または削除(以下「訂正等」)の請求、利用の停止または消去(以下「利用停止等」)の請求に応じる手続き
  4.手続きに係る手数料の額を定めたときは、その手数料の額
  5.当社が行う保有個人データの取り扱いに関する苦情の申出先
2)本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人であることを確認した上で、遅滞なくこれを通知するものとする。ただし、法令に特別の規定がある場合を除く。
3)保有個人データについて、求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なくその旨を通知するものとする。この場合、その理由を説明するよう努めるものとする。

第17条(開示)
1)保有個人データについて、本人から、当該本人が識別される保有個人データの開示の請求を受けたときは、本人であることを確認した上で、合理的な期間で応じるものとする。ただし、法令に特別の規定がある場合を除く。
2)保有個人データについて、本人からの開示の請求の全部もしくは一部に応じない旨の決定をしたとき、または当該保有個人データが存在しないときは、本人に対し、遅滞なくその旨を通知するものとする。この場合、その理由を説明するよう努めるものとする。

第18条(訂正等)
1)保有個人データについて、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって訂正等の請求を受けたときは、その内容の訂正等に関して法令の規定により特別の手続きが定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行う。
2)保有個人データについて、本人からの訂正等の請求により内容の全部もしくは一部について訂正等を行ったとき、または訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なくその旨(訂正等を行ったときは、その内容を含む)を通知するものとする。この場合、その理由を説明するよう努めるものとする。

第19条(利用停止等)
1)保有個人データについて、本人から、当該本人が識別される保有個人データの利用停止等の請求を受け、その請求に理由があることが判明したときは、利用停止等の請求を認める原因を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行う。
2)保有個人データについて、本人からの利用停止等の請求の全部もしくは一部について利用停止等を行ったとき、または利用停止等を行わない旨の決定をしたときは、本人に対し、遅滞なくその旨を通知するものとする。この場合、その理由を説明するよう努めるものとする。

第20条(開示等の求めに応じる手続き)
保有個人データについて、本人から、当該本人が識別される保有個人データの利用目的の通知、開示、訂正等、利用停止等の求めを受けるに際し、個人情報保護管理者は、あらかじめ本人確認方法、対応の期限および料金、開示等の求めに応じる手続きの具体的内容を含んだ手順を定めるものとする。

第21条(苦情および相談)
個人情報の取り扱いについて本人から苦情および相談を受け付け、対応する窓口を常設するものとする。この窓口への連絡方法は本人が容易に分かる方法で通知または公表するものとする。

第22条(教育)
1)従業員等に対して、個人情報保護の重要性等について理解させ、遵守の徹底が図られるよう必要な教育方針を定める。
2)従業員等は、教育方針に基づき実施される研修を受けなければならない。

第3章 監査

第23条(監査)
個人情報の取り扱いが法令、個人情報保護委員会が定めるガイドライン、本規程(本規程に基づく「個人情報安全管理細則」を含む)、その他の規範と合致していることを定期的に監査するものとし、個人情報保護監査責任者がその責を負う。なお、代表者は個人情報保護監査責任者を兼任できない。

第24条(体制の見直し)
代表者は、前条による監査結果に照らし、必要に応じて個人情報の取り扱いに関する安全対策、諸施策を見直し、改善しなければならない。

第4章 その他

第25条(所管官庁への報告)
個人データの漏洩の事実または漏洩の恐れを把握した場合には、その事実関係および再発防止策等について、個人情報保護委員会等に対し、速やかに報告するものとする。

第26条(罰則)
従業員等が故意または重大な過失により、本規程に違反した場合、就業規則または契約および法令に照らして処分を決定する。

第27条(改廃)
本規程の改廃は、取締役会において行うものとする。

附則
本規程は、○年○月○日より施行する。

以上(2022年11月)
(監修 Earth&法律事務所 弁護士 岡部健一)

pj60085
画像:ESB Professional-shutterstock

Leave a comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です