コラム

個人情報保護規程とは?その概要や作成のポイントを整理


企業が守るべき情報として「個人情報」の重要性が増しておりますが、その個人情報保護を取り組むための第一歩として、個人情報保護規程の作成があります。

当記事では、その概要や作成のポイントなどを整理しました。

作成を考えた時に、担当者の方は確実に知っておくべき情報ですので、しっかりと下記をご確認してください。

個人情報保護規程とは

個人情報保護規程とは、個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備し組織として個人情報保護対策を実施するために作成する必要があるもののこと。

個人情報保護委員会が公開している「個人情報の保護に関する法律についてのガイドライン(通則編)」の「8-2 個人データの取扱いに係る規律の整備」では、「個人情報取扱事業者は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備しなければならない。」とあります。

個人情報保護規程の必要性

社内には既に就業規則や業務手順書などがあると思います。
それらは、従業員ひとりひとりがある一定のルールに則って意思決定を行い、組織の統制をはかるためにあります。

個人情報保護対策を実施するにあたっては、同様に「個人情報保護規程」を作成するのが望ましいと思います。漏えい事故を未然に防ぐために、個人情報を取り扱うための仕組みや手順を定めます。

例えば、窓口業務を考えてみましょう。

個人情報保護法では、

法第18条(第1項)
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなけれ ばならない。

とあります。顧客に申込書の記載をお願いする際に、利用目的を本人に通知、又は公表しなくてはならないわけですが、受付担当者に「公表してください」と言うだけで対応できるでしょうか?

実務で対応する場合、例えば「様式XX 個人情報の取り扱いに関する利用目的」という書式を作成し、規程に「顧客に申込書をお渡しする時に、同時に様式XX 個人情報の取り扱いに関する利用目的を渡す。」と記載をする必要があるかもしれません。

また、利用目的による制限には、

法第16条(第1項)
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

とあります。

事例ですが、受付担当者が親しくなった顧客に年賀状を送り問題になったことがあります。顧客からすると突然年賀状が来て「どうやって、私の住所を知ったんだ?」となったわけです。顧客のからしても、提出した個人情報を担当者が勝手に見て年賀状を送られたのは納得できないでしょうし、法律的にも利用目的以外の用途に使われているので、法令違反となる可能性があります。

規程では「知り得た個人情報を、特定されている業務以外での利用を禁ずる」などの記述が必要かもしれません。

このように、法律は抽象的な記載がされているため、ひとりひとり、微妙にとらえかたが違ってきます。これを「個人情報保護規程」という形で、自社の従業員のレベル、組織のレベルに合わせてわかりやすく翻訳して記載することで、ある一定の水準に合わせることができます。

ライフサイクルに応じた規程を作成する

個人情報保護規程を作成する場合、ライフサイクルを意識して作成する必要があります。個人情報のライフサイクルとは「取得」「保管」「利用・提供」「廃棄・削除」というように、
・実際に顧客から個人情報を預かり、
・預かったものを安全に保管し、
・業務で利用したり、委託先に提供をし、
・不要になった時は廃棄をしたり、削除を求められた時には削除を行う
というようなプロセスのことです。

それぞれに、法律で定められた事項がありますので、対応した規程を作成します。

取得に関して見落としがちなのが、顧客だけでなく、自社の従業員や取引先の担当者の情報を預かる場合です。

また、保管に関しては「安全に保管する」ということを想像してみてください。多くの方が「キャビネットに鍵をかけています」と答えます。ところが、それでは、安全に保管しているとは言えません。

法第20条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

ここでいう「必要かつ適切な措置」とは、

  • 組織的安全管理措置
  • 人的安全管理措置
  • 物理的安全管理措置
  • 技術的安全管理措置

の内容を織り込むことが重要であるとされているからです。
「キャビネットに鍵をかけています」というのは物理的安全管理措置は対応していますということになります。ですが、組織的にはどうですか?と質問をすると答えられない場合が多いように思います。

利用・提供、廃棄・削除に関しても、私たちが一般的に想像している以上に法律で求められていることは多いのです。

大切なのは見栄えより、実施できること

「個人情報保護規程を作りましょう」とお話しをすると、「市販の本を買ってきて流用します」ということを仰る担当者がいらっしゃいます。

もちろん、それでも構いませんが「そのサンプル規程、守れますか?」というところです。市販のサンプル規程やガイドラインに沿って規程を作るだけで十分でしょうか?

ニュースでも報道されるような大手企業や行政機関は規程がなかったのでしょうか?

そのようなことはないと思います。立派な規程があるはずです。では、どうして漏えい事故を起こしてしまったのかというと、「ルールを徹底していなかった」そして「徹底されていることを確認する仕組みがなかった」ということだろうと思います。

「PDCA」という言葉を良く耳にすると思いますが、個人情報保護規程は「P」の部分でしかありません。しかし、漏えいしたときに問われるには「DCA」の部分です。

P:ルールを作る
D:ルールを守る
C:守られているか確認する
A:是正する

ということは、サンプル規程では意味がないのです。組織の成熟度によって、ルールが守れる規程を作る必要があるわけです。そして、毎年、成熟度が上って(または下がって)いくに従って、規程も見直しが必要となるわけです。

完璧な見栄えの良い規程ではなく、身の丈にあった規程を作ることが重要だろうと思います。

ガイドラインの読み方

個人情報の保護に関する法律についてのガイドライン(通則編)

自社で個人情報保護規程を作成しようと思っている場合、以下の点について意識されると作りやすいかもしれません。

例えば、

法第15条(第1項)
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法違反と判断される可能性があるということになります。「義務」ですね。

一方、

法第35条
1 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努
めなければならない。

「努めなければならない」、「望ましい」等と記述している事項については、これらに従わなかったことをもって直ちに法違反と判断されることはありません。「努力義務」です。ただし、可能な限り対応することを求められていますので、個人的には対応したほうが良いと考えます。

また、ガイドラインで頻出する表現としては、

  • 「本人に認識される合理的かつ適切な方法」
  • 「本人にとって一般的かつ合理的に想定できる程度」
  • 「合理的に認められる範囲」
  • 「社会通念上」

などがあります。これは解釈によって様々なとらえかたができます。そのため、個人情報保護規程にはより具体的に定めた方が良いだろうと思います。

一度、ガイドラインに目を通していただくと、「意外とぼやっとした表現が多いな」という印象を持つのではないでしょうか。