平成26年12月12日、経済産業省は、大量の個人情報の漏えい事案等を踏まえ、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を改正し告示・施行しました。主な改正点は、第三者からの適正な取得の徹底、社内の安全管理措置の強化及び委託先の監督の強化及び共同利用制度の趣旨の明確化等となっています。
■改正の概要
経済産業省は、今年、相次いで発生した内部不正やサイバー攻撃による個人情報の漏えい事案を受け、同様事案の発生を防ぐための組織における対策を検討してきました。この度、個人情報保護法で規定された事業者の義務をより具体化・詳細化した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成21年10月9日厚生労働省・経済産業省告示第2号)について、必要な手続きが終了したことから本日の施行となったものです。
◎主な改正点
(1)第三者からの適正な取得の徹底
・第三者から個人情報を取得する場合は、適法に入手されていること等を確認することが望ましい旨追記。
・適法に入手されていることが確認できない場合は、取引を自粛することを含め、慎重に対応することが望ましい旨追記。
(2)社内の安全管理措置の強化
・外部からのサイバー攻撃対策の追加。
・内部不正対策の組織的、物理的、技術的安全管理措置の項目の追加。
(3)委託先等の監督の強化
・内部不正対策の委託先の安全管理措置の確認、定期的な監査等の追加。
・再委託先以降も同様の措置を行うことが望ましい旨追記。
(4)共同利用制度の趣旨の明確化
・事業者が共同利用を円滑に実施するために共同利用者における責任等を追加。
・共同利用者の範囲の明確化。
(5)消費者等本人に対する分かりやすい説明のための参考事項の追記
・個人情報取扱事業者は、本人に対して、個人情報保護を推進する上での考え方や方針等について、分かりやすい表現で説明するために参考とすべき基準を追記。