個人情報にしても、特定個人情報にしても、基本方針(プライバシーポリシー、プライバシーステートメント)を作っている企業等が多いと思いますが、そこに記載すべき事項として、各ガイドラインの比較をしたいと思います。
※ガイドラインは旧盤が混じっていますのでお気を付けください。折を見て最新のものも引用したいと思います。
1.基本方針の法的位置づけ
もともと、基本方針については、閣議決定されている「個人情報の保護に関する基本方針」の中で記述があるにとどまり、法的義務ではないと一般には解されます。
もっとも一部のガイドラインでは、安全管理措置等の一環として、基本方針を作成することを重要視しています。しかし、個人応報保護基本方針というものは、安全管理措置というよりも、個人情報保護法遵守、消費者との関係性構築、CSR等として、もっと高次のレベルから捉えた方が妥当であると私は考えます。
私のこの考え方は、ガイドラインの中では、下記旧経済産業省の考え方に近いと思われます。なお、金融庁ガイドラインでは、作成・公表義務をガイドライン上で課しています。
「個人情報の保護に関する基本方針」に以下の記述があります。
事業者が個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)を策定・公表することにより、個人情報を目的外に利用しないことや苦情処理に適切に取り組むこと等を宣言するとともに、事業者が関係法令等を遵守し、利用目的の通知・公表、開示等の個人情報の取扱いに関する諸手続について、あらかじめ、対外的に分かりやすく説明することが、事業活動に対する社会の信頼を確保するために重要である。
以下の記述があります。
個人情報の保護に関する法律についてのガイドライン (通則編) 平成28年11月 (平成 31 年 1 月一部改正) 個人情報保護委員会 87頁
個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。
具体的に定める項目の例としては、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等
以下の記述があります。
特定個人情報の適正な取扱いに関するガイドライン(事業者編)(本文及び(別添)特定個人情報に関する安全管理措置) 50ページ
A 基本方針の策定
特定個人情報等の適正な取扱いの確保について組織として取り組むため
に、基本方針を策定することが重要である。
≪手法の例示≫
* 基本方針に定める項目としては、次に掲げるものが挙げられる。
・ 事業者の名称
・ 安全管理措置に関する事項
・ 質問及び苦情処理の窓口 等
行政機関・地方公共団体等ガイドライン51ページでは記述が薄い。
A 基本方針の策定
特定個人情報等の適正な取扱いの確保について組織として取り組むため
に、基本方針を策定することが重要である。
金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針(平成17年1月6日金融庁告示第1号)10ページ 第10条の5(1)①
5 金融分野における個人情報取扱事業者は、個人データの安全管理に係る基本方針・
取扱規程等の整備として、次に掲げる「組織的安全管理措置」を講じなければならな
い。
(組織的安全管理措置)
⑴ 規程等の整備
② 個人データの安全管理に係る取扱規程の整備
④ 外部委託に係る規程の整備
⑵ 各管理段階における安全管理に係る取扱規程
① 取得・入力段階における取扱規程
② 利用・加工段階における取扱規程
③ 保管・保存段階における取扱規程
④ 移送・送信段階における取扱規程
⑤ 消去・廃棄段階における取扱規程
⑥ 漏えい事案等への対応の段階における取扱規程
金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針Ⅰ(1)1ページ
1-1 「金融分野における個人情報保護に関するガイドライン」(平成16年金融庁告示第67号。以下「ガイドライン」という。)第1条第1項に規定する金融分野における個人情報取扱事業者は、ガイドライン第10条第5項(1)①に基づき、次に掲げる事項を定めた個人データの安全管理に係る基本方針を策定し、当該基本方針を公表するとともに、必要に応じて基本方針の見直しを行わなければならない。
① 個人情報取扱事業者の名称
② 安全管理措置に関する質問及び苦情処理の窓口
(2)個人情報保護を推進する上での考え方や方針の策定等個人情報取扱事業者は、「個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)」を策定し、それをウェブ画面への掲載又は店舗の見やすい場所への掲示等により公表し、あらかじめ、対外的に分かりやすく説明することが、消費者等本人との信頼関係を構築し事業活動に対する社会の信頼を確保するために重要である。
個人情報取扱事業者は、一定の事項に関して公表しなければならないが(2-1-8 参照)、事業者の個人情報保護を推進する上での考え方や方針には、消費者等、本人の権利利益の保護の観点から、以下に掲げる点を考慮した事項を盛り込み、本人からの求めに一層対応していくことも重要である。
●事業の内容及び規模を考慮した適切な個人情報の取扱いに関すること。
(ア)取得する個人情報の利用目的(法第18条関係)
すべての利用目的を列記するのではなく、事業内容を勘案して顧客の種類ごとに利用目的を限定して示すなど、事業内容の特性、規模及び実態に応じ、本人にとって利用目的がより明確になるようにすることが望ましい。
(イ)<個人データの取扱いの委託を行う場合>(法第22条関係)
事業内容の特性、規模及び実態に応じ委託処理の透明化を進めることを盛り込むことが望ましい。
・個人データの委託を行うこと。
・委託する事務の内容
(ウ)<本人の同意なく第三者提供する場合>(法第23条第2項及び第3項関係)
・利用目的に第三者提供が含まれていること。
・第三者への提供の手段又は方法
・本人の求めに応じて第三者への提供を停止すること。
(エ)<共同利用する場合>(法第23条第4項及び第5項)
・特定の者との間で共同利用すること。
・共同して利用される個人データの項目
・共同利用者の範囲
・共同して利用する者の利用目的
・共同して利用する者のうち、個人データの管理について責任を有する者の氏名又は名称
(オ)以下の保有個人データに関すること(法第24条、第25条及び第27条関係)。
個人情報の取得元又は取得方法(取得源の種類等)を可能な限り具体的に明記したり、本人から求めがあった場合には、ダイレクトメールの発送停止等自主的に利用停止に応じたりするなど、事業活動の特性、規模、実態を考慮して、本人からの求めに対応していくことを盛り込むことが望ましい。
・自己の氏名又は名称
・「開示等の求め」に応じる手続(定めた場合に限る。)
・保有個人データの利用目的の通知及び開示に係る手数料の額(定めた場合に限る。)
・苦情の申出先(認定個人情報保護団体の対象事業者※である場合には当該認定個人
情報保護団体の名称及び苦情解決の申出先を含む。)
(カ)開示等の求めに応じる手続に関すること(法第29条関係)。
・受け付ける方法(定めた場合に限る。)
(キ)問い合わせ及び苦情の受付窓口に関すること(法第23条第5項、第24条第1項、第29条第1項及び第31条関係)。
●個人情報の保護に関する法律を遵守すること。
●個人情報の安全管理措置に関すること。
※「認定個人情報保護団体の対象事業者」とは、認定個人情報保護団体の構成員である個人情報取扱事業者(傘下企業)、又は団体が苦情処理等の業務を行うことについて当該団体と契約関係等にある事業者等
※はてなダイアリーの方に、同様のブログを2017.2.10に書きました。個人情報保護法のガイドラインに関する記載を追記しようと思って、これを書きましたが、はてなダイアリーが終了しているため、どれを更新すればよいかよくわからず、はてなブログで新規投稿として記載することにしました。
