2005年 11月 21日
誰でもわかる!簡単【個人情報保護法】18 ~ガイドライン解説7:組織的安全管理措置~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の8回目です。今回は、ガイドラインで安全管理措置として定められた4項目の最初の項目、「組織的安全管理措置」についてです。

この項目では、体制を整備したり、規定を設けたり、台帳管理をしたりといった、個人情報の管理の仕組み作りについて定められています。
この項目だけで6ページにも及び、実施事項について細かく記載されているので、

「こんなにやらなくちゃいけないの?」

と、ウンザリしてしまい、中身を見るのも嫌になってしまいそうですが、具体例を交えて記載してありますので、大変参考になる項目です。全体の構成を確認しながら見ていきましょう。

ここで重要なのが、「しなければならない」と記載された義務規定と「することが望まれる」と記載された努力義務規定についてです。

この項目で規定されている義務事項は以下の5つの項目です。

【組織的安全管理措置として講じなければならない事項】
①個人データの安全管理措置を講じるための組織体制の整備
②個人データの安全管理措置を定める規程等の整備と規程等に従った運用
③個人データの取扱い状況を一覧できる手段の整備
④個人データの安全管理措置の評価、見直し及び改善
⑤事故又は違反への対処

ただ、これらの項目については、漠然としていて、具体的に何をすれば良いのか、イメージがつきにくいでしょう。そこで、努力義務の規定として、【各項目について講じることが望まれる事項】で具体例を挙げて、こういう事はやった方がいいですよ。と記載しているのです。ただ、努力義務の規定ですから、会社ごとに必要な項目を出来る範囲でやれば良いということです。
簡単なチェックリストを作成してみました。自社に必要な項目は何か、確認してみてください。)

さらに、この項目の後半には、②個人データの安全管理措置を定める規程等の整備と規程等に従った運用で定められた規程の内容についていも定められています。
以下のような個人情報の取り扱いの流れに従い、それぞれ規程に記載することがのぞまれるとしています。
 (ⅰ)取得・入力
    ↓
 (ⅱ)移送・送信
    ↓
 (ⅲ)利用・加工
    ↓
 (ⅳ)保管・バックアップ
    ↓
 (ⅴ)消去・廃棄

ここで、注意していただきたいのが、ガイドラインに記載された項目を規程にしてしまってはいけないということです。企業によっては当然必要ない項目もあります。さらに出来ない項目を規程に記載すると、規程が形骸化してしまう恐れがあるからです。
これについても、十分内容を確認した上で、規程を作成する必要があるでしょう。
[PR]

by office-izutani | 2005-11-21 09:27 | 誰でも簡単【個人情報保護】


<< 誰でもわかる!簡単【個人情報保...      誰でもわかる!簡単【個人情報保... >>