このエントリーをはてなブックマークに追加 LINEで送る

本記事では、改正個人情報保護法対応を迎えるにあたり、プライバシーポリシー等で公開すべき情報において、変更が必要な点をピックアップし、具体例を交えて対応方法をご説明します。

改正個人情報保護法対応

個人情報保護法に定められている個人情報の取り扱いに関する公表事項を「個人情報保護方針」や「プライバシーポリシー」といった形で公開されております。
改正個人情報保護法対応により公開が必要となった以下の事項が明記されていない場合は、追記いただく必要がございます。その際に、記入例を参照いただければ幸いです。

全社共通して変更が必要なポイント

保有個人データに関する事項の公表等として以下を追加する必要がございます。

  1. 事業者の代表者名
  2. 事業者の住所
  3. 保有個人データの安全管理のために講じた措置

3. 安全管理のために講じた措置として以下について、記載します。

  • 基本方針の策定
  • 保有個人データの取り扱いに関する規則の整備
    • 個人情報の取扱いに関する規程を策定し、従業者に周知している。
  •  組織的安全管理措置
    • 個人情報保護に関する取り組みを推進する管理者を定めている。
    • 個人情報保護に関する社内規程の遵守状況を定期的に監査等で確認している。
  •  人的安全管理措置
    • 個人情報保護に関する教育を定期的に実施
    • 個人データに関わる業務を行う従業者とは機密保持に関する誓約書を締結している。
  • 物理的安全管理措置
    • オフィス等では入退室の制限を行っている。
  •  技術的安全管理措置
    • アクセス制御を実施し、必要最小限の担当者のみに個人情報へのアクセスを許可している。
    • ウイルス対策ソフトを導入し、外的な脅威から保護を行っている。
  • 外的環境の把握
    • 外部の事業者に個人データを委託する場合は、委託先の評価を行い適切な監督を行っている。
    • 海外の事業者に個人データを提供する場合は、当該外国の法整備状況等の確認を行い必要な情報をご本人に提供している。
安全管理措置に関する記入例
【安全管理措置】
当社は、個人情報保護のための体制の整備・改善、従業者に対する教育・啓発活動、個人情報を取り扱うエリアへの入退館管理および個人情報へのアクセス制御、ウイルス対策ソフトの導入等の情報セキュリティ施策によって、個人情報の安全管理措置を講じ、その漏えい等の防止に努めます。また、保有を継続しない個人情報は、適切な方法で確実に廃棄または消去します。

また当社は、これらの安全管理措置が適切に講じられていることを担保するために第三者機関による情報セキュリティに関する認証を取得し、継続的に個人情報保護体制を維持、改善してまいります。

上記のような項目を含んだ情報セキュリティ方針等を公開している場合、そのリンクを参照していただくことも可能です。

当社は、情報セキュリティに関する取組み方針として「情報セキュリティ方針」を確立しています。当社は、個人情報の漏えい、滅失又は毀損などのおそれに対して、必要かつ適切な安全対策を講じます。

共同利用を行っている場合

  1. 個人データの管理について責任を有する者の事業者名と住所、その代表者の氏名

仮名加工情報の取扱いを行っている場合

  1. 加工した情報の利用目的

加工して利用する個人情報の利用目的に、個人を識別できないように変更した上で、社内分析等に利用する旨が記載されている必要があります。具体的な記入例としては、以下をご参照ください。

記入例
  • 個人を識別できないように加工した情報を用い、利用者の属性及び利用状況を分析し、当社サービスの企画・開発・改善に役立てるために利用します。

第三者から個人関連情報を受け取り自社の個人データと照合している場合

  1. 第三者から個人関連情報の提供を受けそれを個人データと関連付けて利用している旨

上記を本人に明示し同意を取得する必要があります。

以下のような文言を、関連づけて利用する個人情報を取得する際に明示するプライバシーポリシー等、又は、ポップアップにより、同意を得る方法がございます。

記入例
  • 当社は、第三者が運営するデータ・マネジメント・プラットフォームからcookieにより収集されたウェブの閲覧履歴及びその分析結果を取得し、これをお客様の個人データと結び付けた上で、広告配信及び興味関心に合わせた当社からの情報提供のために利用します。

また、第三者から取得しているかどうかに関わらず、cookie等を個人データと関連付けて利用している場合、その利用している個人情報の利用目的にその利用について明記されていなければ追記の必要があります。

記入例
  • 当社が運営するWebサイトの訪問履歴等を分析し、本人の興味・関心に合わせた広告の配信、当社サービス及び提携先の提供するサービスに関する情報を提供するため
  • 当社が運営するWebサイトの訪問履歴等を分析し、当社サービスのマーケティング及びWebサイトの改善等の参考とするため

外国にある第三者に個人データを提供している場合

  1. 当該外国の名称
  2. 当該外国における個人情報の保護に関する制度に関する情報
  3. 当該第三者が講ずる個人情報の保護のための措置に関する情報
  4. 上記に定める事項が特定できない場合、その旨及びその理由及び、代わりに本人に参考となるべき情報がある場合にはその情報
  5. 代わりに本人に参考となるべき情報が提供できない場合には、その旨及びその理由

「当該外国における個人情報の保護に関する制度に関する情報」は、個人情報保護委員会のウェブサイトを確認し、該当する外国に関する情報があれば、そのリンクを明示することで可能です。

また、以下に該当する場合は、公表の必要はございません。

個人情報保護委員会が認定した国(EU・英国)
個人情報保護委員会が定める体制を整備している者
①APECのCBPR認証を受けている企業(アメリカ・シンガポール・韓国など)
②契約やグループ内規程等で日本法を順守する企業

記入例
  • 当該外国の名称
    台湾
  • 当該外国における個人情報の保護に関する制度に関する情報
    個人情報保護委員会が公開している、台湾の個人情報の保護に関する制度等の調査をご参照ください。
    https://www.ppc.go.jp/files/pdf/taiwan_report.pdf
  • 当該第三者が講ずる個人情報の保護のための措置に関する情報
    提供先が、OECDプライバシーガイドライン8原則に基づき、個人データの取扱いについて我が国の個人情報取扱事業者に求められる措置と同水準の措置を講じていることを確認しました。

オプトアウトによる第三者提供を行っている場合

  1. 事業者の氏名又は名称及び住所、代表者の氏名
  2. その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
    1. 第三者に提供される個人データの更新の方法
    2. 当該届出に係る個人データの第三者への提供を開始する予定日

オプトアウトにより第三者提供を行う場合に、既存の公表事項に加え、上記項目を追記することが必要です。また、「要配慮個人情報」「偽りその他不正な手段により取得された個人情報」「オプトアウトにより提供を受けた個人情報」をオプトアウトにより第三者提供することは禁止されました。

記入例
  • 第三者に提供される個人データの更新の方法
    所定の方法にて最新の情報を取得した場合、既存のデータベースと新たに取得した情報を照合し、変更があった場合は変更があった部分を削除して最新の情報を入力する。
  • 当該届出に係る個人データの第三者への提供を開始する予定日
    当社は、2022年5月1日より当該情報を第三者へ提供します。
このエントリーをはてなブックマークに追加 LINEで送る

個人情報保護法でプライバシーポリシーに公表すべきこととは

本記事では、改正個人情報保護法対応を迎えるにあたり、プライバシーポリシー等で公開すべき情報において、変更が必要な点をピックアップし、具体例を交えて対応方法をご説明します。

改正個人情報保護法対応

個人情報保護法に定められている個人情報の取り扱いに関する公表事項を「個人情報保護方針」や「プライバシーポリシー」といった形で公開されております。
改正個人情報保護法対応により公開が必要となった以下の事項が明記されていない場合は、追記いただく必要がございます。その際に、記入例を参照いただければ幸いです。

全社共通して変更が必要なポイント

保有個人データに関する事項の公表等として以下を追加する必要がございます。

  1. 事業者の代表者名
  2. 事業者の住所
  3. 保有個人データの安全管理のために講じた措置

3. 安全管理のために講じた措置として以下について、記載します。

  • 基本方針の策定
  • 保有個人データの取り扱いに関する規則の整備
    • 個人情報の取扱いに関する規程を策定し、従業者に周知している。
  •  組織的安全管理措置
    • 個人情報保護に関する取り組みを推進する管理者を定めている。
    • 個人情報保護に関する社内規程の遵守状況を定期的に監査等で確認している。
  •  人的安全管理措置
    • 個人情報保護に関する教育を定期的に実施
    • 個人データに関わる業務を行う従業者とは機密保持に関する誓約書を締結している。
  • 物理的安全管理措置
    • オフィス等では入退室の制限を行っている。
  •  技術的安全管理措置
    • アクセス制御を実施し、必要最小限の担当者のみに個人情報へのアクセスを許可している。
    • ウイルス対策ソフトを導入し、外的な脅威から保護を行っている。
  • 外的環境の把握
    • 外部の事業者に個人データを委託する場合は、委託先の評価を行い適切な監督を行っている。
    • 海外の事業者に個人データを提供する場合は、当該外国の法整備状況等の確認を行い必要な情報をご本人に提供している。
安全管理措置に関する記入例
【安全管理措置】
当社は、個人情報保護のための体制の整備・改善、従業者に対する教育・啓発活動、個人情報を取り扱うエリアへの入退館管理および個人情報へのアクセス制御、ウイルス対策ソフトの導入等の情報セキュリティ施策によって、個人情報の安全管理措置を講じ、その漏えい等の防止に努めます。また、保有を継続しない個人情報は、適切な方法で確実に廃棄または消去します。

また当社は、これらの安全管理措置が適切に講じられていることを担保するために第三者機関による情報セキュリティに関する認証を取得し、継続的に個人情報保護体制を維持、改善してまいります。

上記のような項目を含んだ情報セキュリティ方針等を公開している場合、そのリンクを参照していただくことも可能です。

当社は、情報セキュリティに関する取組み方針として「情報セキュリティ方針」を確立しています。当社は、個人情報の漏えい、滅失又は毀損などのおそれに対して、必要かつ適切な安全対策を講じます。

共同利用を行っている場合

  1. 個人データの管理について責任を有する者の事業者名と住所、その代表者の氏名

仮名加工情報の取扱いを行っている場合

  1. 加工した情報の利用目的

加工して利用する個人情報の利用目的に、個人を識別できないように変更した上で、社内分析等に利用する旨が記載されている必要があります。具体的な記入例としては、以下をご参照ください。

記入例
  • 個人を識別できないように加工した情報を用い、利用者の属性及び利用状況を分析し、当社サービスの企画・開発・改善に役立てるために利用します。

第三者から個人関連情報を受け取り自社の個人データと照合している場合

  1. 第三者から個人関連情報の提供を受けそれを個人データと関連付けて利用している旨

上記を本人に明示し同意を取得する必要があります。

以下のような文言を、関連づけて利用する個人情報を取得する際に明示するプライバシーポリシー等、又は、ポップアップにより、同意を得る方法がございます。

記入例
  • 当社は、第三者が運営するデータ・マネジメント・プラットフォームからcookieにより収集されたウェブの閲覧履歴及びその分析結果を取得し、これをお客様の個人データと結び付けた上で、広告配信及び興味関心に合わせた当社からの情報提供のために利用します。

また、第三者から取得しているかどうかに関わらず、cookie等を個人データと関連付けて利用している場合、その利用している個人情報の利用目的にその利用について明記されていなければ追記の必要があります。

記入例
  • 当社が運営するWebサイトの訪問履歴等を分析し、本人の興味・関心に合わせた広告の配信、当社サービス及び提携先の提供するサービスに関する情報を提供するため
  • 当社が運営するWebサイトの訪問履歴等を分析し、当社サービスのマーケティング及びWebサイトの改善等の参考とするため

外国にある第三者に個人データを提供している場合

  1. 当該外国の名称
  2. 当該外国における個人情報の保護に関する制度に関する情報
  3. 当該第三者が講ずる個人情報の保護のための措置に関する情報
  4. 上記に定める事項が特定できない場合、その旨及びその理由及び、代わりに本人に参考となるべき情報がある場合にはその情報
  5. 代わりに本人に参考となるべき情報が提供できない場合には、その旨及びその理由

「当該外国における個人情報の保護に関する制度に関する情報」は、個人情報保護委員会のウェブサイトを確認し、該当する外国に関する情報があれば、そのリンクを明示することで可能です。

また、以下に該当する場合は、公表の必要はございません。

個人情報保護委員会が認定した国(EU・英国)
個人情報保護委員会が定める体制を整備している者
①APECのCBPR認証を受けている企業(アメリカ・シンガポール・韓国など)
②契約やグループ内規程等で日本法を順守する企業

記入例
  • 当該外国の名称
    台湾
  • 当該外国における個人情報の保護に関する制度に関する情報
    個人情報保護委員会が公開している、台湾の個人情報の保護に関する制度等の調査をご参照ください。
    https://www.ppc.go.jp/files/pdf/taiwan_report.pdf
  • 当該第三者が講ずる個人情報の保護のための措置に関する情報
    提供先が、OECDプライバシーガイドライン8原則に基づき、個人データの取扱いについて我が国の個人情報取扱事業者に求められる措置と同水準の措置を講じていることを確認しました。

オプトアウトによる第三者提供を行っている場合

  1. 事業者の氏名又は名称及び住所、代表者の氏名
  2. その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
    1. 第三者に提供される個人データの更新の方法
    2. 当該届出に係る個人データの第三者への提供を開始する予定日

オプトアウトにより第三者提供を行う場合に、既存の公表事項に加え、上記項目を追記することが必要です。また、「要配慮個人情報」「偽りその他不正な手段により取得された個人情報」「オプトアウトにより提供を受けた個人情報」をオプトアウトにより第三者提供することは禁止されました。

記入例
  • 第三者に提供される個人データの更新の方法
    所定の方法にて最新の情報を取得した場合、既存のデータベースと新たに取得した情報を照合し、変更があった場合は変更があった部分を削除して最新の情報を入力する。
  • 当該届出に係る個人データの第三者への提供を開始する予定日
    当社は、2022年5月1日より当該情報を第三者へ提供します。
Author: 宮崎 俊一
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする