GTM-MML4VXJ
Skip to main content

English

Japan

  1. ホーム >
  2. コラム >
  3. オピニオン >
  4. シリーズ【個人情報保護はこう変わる】(4)全企業で策定が必要な「基本方針」

シリーズ【個人情報保護はこう変わる】(4)全企業で策定が必要な「基本方針」

-すでにプライバシーポリシー等を制定していれば、別途作成は原則不要-

2016年12月1日(木曜日)

1.ガイドライン(通則編)に記載された「基本方針の策定」とは

2016年11月30日 個人情報保護ガイドライン案(4編、以下ガイドライン)に対するパブリックコメント募集結果が公開されました。

また2017年春の改正個人情報保護法の全面施行時に適用される正式ガイドラインも同時に公開されています。これらの新しいガイドラインは、現在、省庁ごとに定めていたガイドラインを置き換えるものです。全面施行時には、新しいガイドラインに準拠することが求められます。

ガイドラインで策定を求める「基本方針」とは、個人情報の適正な取り扱いを組織として取り組むための宣言書と説明できます。メインのガイドラインである通則編で触れており、すべて事業者が守るべき安全管理措置の1つとして記載されています。

【図表1】個人情報保護ガイドライン(通則編)における基本方針の策定

個人情報保護ガイドライン(通則編)
8-1基本方針の策定
個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。
具体的に定める項目の例としては、
「事業者の名称」、
「関係法令・ガイドライン等の遵守」、
「安全管理措置に関する事項」、
「質問及び苦情処理の窓口」等が考えられる。

安全管理措置は、大規模事業者と中小規模事業者(注1)とでは、実施すべき措置内容の濃淡が異なっているものが大半を占めますが、基本方針の策定については区別がありません。すべての事業者が策定することが義務付けられていますので、未策定の企業は、2017年春の施行までには策定しなければなりません。

なお、基本方針は作れば良いというものではありません。個人情報保護関連法令に基づいて個人情報を取り扱うことを会社として定めるということですので、経営会議等で決議します。なお、上場企業など社外取締役(注2)の選任が義務付けられている企業では、これらコンプライアンスに関連する決議は社外取締役のみならず社外監査役も出席する取締役会で決議すること企業がほとんどのようです。

2.いわゆるプライバシーポリシーとは

現在でも、プライバシーポリシーや個人情報保護方針などの名称で、ホームページで公開している企業は少なくありません。例えば上場企業では、ほとんどの企業が公開していますし、上場していなくとも、例えば人材派遣会社、印刷会社など個人情報を取り扱う企業は積極的に公開しています。

企業がこれらを公開する根拠は、従前からの個人情報保護法と政令です。次のように規定されています。

【図表2】個人情報保護法における保有個人データに関する事項の本人への周知

保有個人データに関する事項の本人への周知 改正個人情報保護法 第27条関係
1 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

(1) 当該個人情報取扱事業者の氏名又は名称
(2) 全ての保有個人データの利用目的
(3) 保有個人データの利用目的の通知の求め又は開示、訂正、利用停止等の請求に応じる手続(および手数料の額)
(4) 保有個人データの取扱いに関する苦情の申出先

法令では、ホームページで公開することは義務ではなく、求められれば速やかに提示することで事足りるのですが、実務上はホームページで公開する方が、運用負荷が少なく便利です。

また、保有個人データとは、厳密には、個人情報や個人データとは定義が異なりますが、「保有個人データの利用目的」とするのではなく、「個人情報の収集目的」または「個人情報の利用目的」のようにアレンジしているケースも少なくありません。

3.基本方針は、別個で新たに策定する必要はあるか

基本方針とプライバシーポリシーは、ご覧のように、例えば「質問及び苦情処理の窓口」と「保有個人データの取扱いに関する苦情の申出先」のように共通する項目もあります。できれば共通にしたい希望もあるでしょう。

現在、プライバシーポリシーを公開している企業が、似たような基本方針を別個に作成するには、取締役会等の承認等、相応の手間と時間がかかります。合理的とは言えません。

では、個人情報保護委員会は、どのような見解を出したのでしょうか? ガイドライン案が公開された2016年10月から、気にされているお客さまも多々ありました。答えは、「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意見募集結果」に示されました。

【図表3】パブリックコメント募集結果における基本方針の取り扱い

本ガイドライン(通則編)案において、策定することが重要であるとしている「基本方針」は、個人データの適正な取扱いの確保について組織として取り組むために、個人情報取扱事業者が必要と考える任意の内容を取りまとめるものであるため、既に個人情報取扱事業者がいわゆるプライバシーポリシー等を定めている場合、当該プライバシーポリシー等をこの「基本方針」として捉えていただくことも可能と考えます。
なお、基本方針及びプライバシーポリシーのいずれも、その内容は個人情報取扱事業者が必要と考える任意の内容とすることができると考えますので、特に、プライバシーポリシー等に加えて基本方針を作成することを求めるものではありません。

したがって、現在、プライバシーポリシーを策定している企業においては、個人情報保護ガイドライン(通則編)で求める項目を満たしているのであれば、新たに基本方針を策定しなくても結構です。

なお、これら求める項目は例示であって強制ではないとの記載もありますが、ガイドラインにある項目は最低限満たすことをお勧めしております。

特に、プライバシーマークを取得している企業では、プライバシーポリシーは個人情報保護法以上の項目開示を求めており、今回の基本方針で求める項目は十分に満たしていると考えます。

4.終わりに

現在(2016年11月時点)では、新法であるマイナンバー法と、現在の個人情報保護法とが混在しており、ガイドラインも同じく混在しております。これが、2017年春に改正個人情保護法が全面施行されたタイミングで、ガイドライン等も含めて新法に統一されます。

マイナンバー法においても、基本方針の策定が謳われていますが、マイナンバー法は個人情報保護法の特別法ですので、マイナンバー法に規定がない条項は、個人情報保護法が適用されます。現在、その関係が理解されておらず、若干、混乱しているケースも散見されます。今回、新たな正式ガイドラインが公開されましたので、一旦、整理して見直しをしておくことをお勧めします。

注釈

(注1) : 中小規模事業者 : ガイドライン通則編で規定されており、従業員数が100人以下の事業者を言う。マイナンバー法ガイドラインと同様である。ただし、5000人分を超える個人情報を持つ事業者(現行法においても個人情報保護法の遵守義務がある事業者)や、個人情報を取り扱う業務を受託している事業者は除かれる。

(注2) : 社外取締役 : 当該会社と直接の利害関係を持たない取締役を言い、業務執行は行わず、主にコンプライアンス面でのチェック機能を果たす。また第三者としての意見表明やアドバイス等も有益であると考えられている。上場企業は証券取引所のルールで選任が義務付けられている。なお、上場していなくとも指名委員会等設置会社や、新しい組織形態である監査等委員会設置会社では社外取締役の選任が必須である。

シリーズ【個人情報保護はこう変わる】

関連サービス

【個人情報マネジメント支援サービス】
PUSH型の情報提供やご相談などを通じて、マイナンバー制度や改正個人情報保護法への対応を側面からご支援します。月額払いも可能な、3種の基本サービスタイプをご用意しました。


上 茂之

上 茂之(うえ しげゆき)
株式会社富士通総研 金融・地域事業部 エキスパートコンサルタント 兼 富士通株式会社マーケティング戦略室番号制度推進室員
2007年富士通総研入社。これまで、個人情報保護、情報セキュリティ、内部統制、事業継続計画、金融機関におけるシステムリスク管理態勢構築など、リスクマネジメント分野をテーマとしたコンサルティング業務に従事。2014年からは国のマイナンバー調査業務に参画し、民間企業におけるマインバー対応、個人情報保護対応やサイバーセキュリティに関するコンサルティング業務に従事中である。