個人情報取扱いにかかる社内規程に関するQ&A

更新日:2024年4月30日

BD3個人情報取扱いにかかる社内規程

BD3-1個人情報の取扱規程(安全管理措置)はなぜ設置しなければならないのでしょうか?

個人情報保護法第23条(安全管理措置)において、個人情報を取扱う事業者は、取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされているためです。

なお、令和6年4月1日施行の個人情報保護法規則改正により、安全管理のために必要かつ適切な措置を置かなければならない個人データには、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる」ことになりました。

BD3-2個人情報と個人データの違いは何ですか?

個人情報とは、データベース化されていない散在情報のことをいい、個人データとは、特定の個人情報をデータベース化して検索することが出来るようにしたもの等をいいます。

例えば、Web上でECサイトを通じて利用者が氏名、配送先住所、クレジットカード情報を入力したとします。その場合、利用者が入力した氏名、配送先住所と購入品情報が個人情報取扱事業者のWebサーバに到達し、データベースを構成した時点で「個人データ」となり、データベースを構成する以前は「個人情報」となります。

また、例えば、オフラインで営業担当者がお客様から紙の申込書で氏名、住所、申込商品の情報等をもらい、会社に持って帰って来て会社でデータベース化をする場合には、データベースに入力する前までは「個人情報」、データベースに入力後は「個人データ」となります。

そして、これらの「個人データ」として取り扱う前の「個人情報」が、「個人データとし取り扱うことを予定しているもの」となります。

BD3-3どのような取扱規程を作成するのが望ましいのでしょうか?

事業の規模及び性質、個人データの取扱状況、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容であれば、その方法は特に定められてはいません。

なお、従業員が100人以下の中小規模事業者についても、大企業と同じように安全管理措置を講じなければなりませんが、取り扱う個人データの数量及び個人データを取り扱う従業者数が一定程度にとどまること等を踏まえ、円滑にその義務を履行出来るようなものであれば構わないとされています。

BD3-4委託先の個人データの取扱いについても、委託元が責任を問われるのでしょうか?

問われることがあります。

個人データの取り扱いを含む業務を委託する場合には、個人データの安全管理が図られるよう委託先に対する必要かつ適切な監督を行わなければなりません。

留意する事項は次の3つです。

  1. 適切な委託先の選定
  2. 委託契約の締結
  3. 委託先における個人データ取扱状況の把握

よって、個人データの取扱いを含む業務を委託する場合には、委託締結を締結して、適切に委託先を監督する必要があります。