改正個人情報保護法における改正事項の一つに、保有個人データに関する公表事項ついて追加となっている事項があります。
上記の赤字事項が該当するものです。
これらは、実務的には、自社ホームページでのプライバシーポリシー等で明確にすることが一般的です。具体的にどのような文言を示したらよいか、以下、通則ガイドラインに示されている文言を記載します。
(基本方針の策定)
事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定
(個人データの取扱いに係る規律の整備)
事例)取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人データの取扱規程を策定
(組織的安全管理措置)
事例1)個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者及び当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備
事例2)個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施
(人的安全管理措置)
事例1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施
事例2)個人データについての秘密保持に関する事項を就業規則に記載
(物理的安全管理措置)
事例1)個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施
事例2)個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施
(技術的安全管理措置)
事例1)アクセス制御を実施して、担当者及び取り扱う個人情報データベース等の範囲を限定
事例2)個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入
(外的環境の把握)
事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施
参照:
個人情報の保護に関する法律についてのガイドライン(通則編)
この他、本人への開示を行う方法が、書面から本人が請求した方法(電子ファイルでの提供等)に変更となり、第三者提供した場合の記録の開示も対象となりますので、このことの記載があるプライバシーポリシー(個人情報の取り扱い)は見直す必要があります。
実際に、プライバシーポリシー(個人情報の取り扱い)は、Pマークの審査では、よく指摘を受ける項目です。
プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針との整合性も確認しながら、ホームページに掲載するプライバシーポリシー(個人情報の取り扱い)を整備する必要があります。
