経済産業省は2014年12月12日、個人情報保護法の「経済産業分野を対象とするガイドライン」を改正し、同日に告示・施行したと発表した。ベネッセコーポレーションの顧客情報の漏洩事件などを受けて、「第三者からの適正な取得の徹底」「社内の安全管理措置の強化」のほか、「委託先の監督強化」や消費者に分かりやすい説明をする方法の参考基準を追記した。

 このうち第三者からの個人情報の提供を受けて取得する場合は、オプトアウト(利用停止)や利用目的、開示手続き、問い合わせ・苦情受付窓口の公表などの提供元の法の遵守状況や、取得の経緯を示す契約書面の点検や取得方法の確認などを求めた。適法に取得されたことが確認できない場合は、「取得を自粛することを含め、慎重に対応することが望ましい」としている。

 社内の安全管理措置の強化では、原則として役員を個人情報保護管理者(CPO)を責任者として任命し、社内の個人データの取り扱いを監督する「管理委員会」の設置を例示した。

 さらに取り扱い規程への記載例として、記録機能がある機器の接続の制限や媒体機器の更新への対応を盛り込んだ。物理的措置として、入退室の記録やカメラによる撮影、作業への立ち会いなどによる記録またはモニタリングの実施も例示した。「個人データへのアクセスの記録」の手法では、「システム管理者などの特権ユーザーのアクセス権限を用いても、採取した記録を改ざん・不正消去できないよう、対策することが望ましい」とした。

 委託先の監督強化では、定期的な監査などでCPOらが「委託の内容などの見直しを検討することを含め、適切に評価することが望ましい」とした。委託先の再委託や再委託先が再々委託をする場合も、個人データの取扱方法などの事前報告または承認を求め、安全管理措置の確認が望ましいとしている。共同利用では、消費者ら本人が「どの事業者まで将来利用されるか判断できる程度に明確にする必要がある」とした。

 消費者に分かりやすい説明をするための参考基準では、個人情報を取り扱うサービスで「取得する個人情報と取得の方法」「個人情報の利用目的」などの7項目の記載を求めている。経産省が3月に公表した分かりやすさの「評価基準」を基に、「個人情報や個人情報を加工したデータの第三者への提供の有無及び提供先」「消費者等本人による個人情報の提供の停止の可否、訂正及びその方法」「問合せ先」「保存期間、廃棄」も挙げている。

[発表資料へ]