「情報サービス産業 個人情報保護ガイドライン」へ自動的に遷移します。
ページが切り替わらない場合はこちらをクリックしてください。 |
制定 1989年(平成元年) 7月 26日 第40回 理事会
改定 1997年(平成 9年) 11月26日 第116回 理事会
改定 2000年(平成12年) 5月10日 第140回 理事会
序 文
社団法人情報産業サービス協会は、我が国における情報サービス産業界を代表する団体として個人情報保護の重要性を認識し、情報サービス事業者の個人情報保護への自主的な取組みを促進・支援するため、平成元年に「情報サービス産業 個人情報保護ガイドライン」を策定以来、国内外の情勢の変化に対応し平成9年の改定を行うなど、一貫してその普及・啓発を図るとともに、個人情報保護の強化に取り組んできた。
また、平成10年4月に創設された「プライバシーマーク制度」における付与認定指定機関としてプライバシーマーク制度の普及にも努めてきた。
この度、個人情報の適切な保護について、事業者が体系的で経営活動全般を統合したマネジメント・システムとしてコンプライアンス・プログラムを策定するための規範として日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項」(JIS Q 15001)が制定されたことに伴い、社団法人情報サービス産業協会では、ガイドラインをこれに準拠して見直し、全面的に改定した。
情報サービス事業者は、個人情報を含む多種多様な情報を大量に取り扱う者の当然の責務として個人情報の適切な保護に努めなければならないが、そのためには、このガイドラインに準拠したコンプライアンス・プログラムを策定し、実施し、維持し、及び継続的に改善していくことが必要である。なお、情報サービス事業者は、コンプライアンス・プログラムを策定するに当って、それぞれの事業活動の実態に照らし個人情報との係わりを的確に把握した上で、このガイドラインに規定した事項のほかに必要な項目を追加することができる。
このガイドラインは、情報サービス事業者の自由かつ公正な競争を阻害したり、法的義務を増大又は変更するために用いられることを意図したものではない
情報サービス事業者は、自由な情報流通の確保を前提とした高度情報通信社会の進展に資するため、個人情報の保護の必要性と個人情報の利用面等の有用性を共に認識し、両者を調和させるよう努めなければならない。
個人情報保護に関する要求事項
第1章 総則
(適用範囲)
| 第1条 |
|
このガイドラインは、個人情報の全部若しくは一部を電子計算機などの自動処理システムによって処理している、又は自動処理システムによる処理を行うことを目的として書面などによって処理している、情報サービス事業者に適用する。 |
| 2. |
情報サービス事業者は、次の事項を行う際に、このガイドラインを用いることができる。
| (1) |
コンプライアンス・プログラムを策定し、実施し、維持し、改善すること |
| (2) |
策定したコンプライアンス・プログラムがこのガイドラインに適合していることについて自ら確認し、表明すること |
| (3) |
策定したコンプライアンス・プログラムがこのガイドラインに適合していることについてプライバシーマーク制度における付与機関である財団法人日本情報処理開発協会又は付与認定指定機関である社団法人情報サービス産業協会に確認を求めること |
|
|
(定義)
| 第2条 |
|
このガイドラインで用いる用語の定義は、次による。
(1) 個人情報
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、又は個人別に付けられた番号、記号その他の符号、画像若しくは音声によって当該個人を識別できるもの(当該情報だけでは識別できないが、他の情報と容易に照合することができ、それによって当該個人を識別できるものを含む。)をいう。
(2) 情報主体
一定の情報によって識別される、又は識別され得る個人をいう。
(3) 情報サービス事業者
情報サービス業を営む事業者(法人、その他の団体又は個人)をいう。
(4) 個人情報保護管理者
情報サービス事業者の内部において代表者によって指名された者であって、コンプライアンス・プログラムの実施及び運用に関する責任と権限を有する者をいう。
(5) 監査責任者
情報サービス事業者の代表者によって指名された者であって、個人情報保護管理者から独立した公平、かつ客観的な立場にあり、監査の実施及び報告を行う権限を有する者をいう。ただし、社外の第三者に監査業務を委託することを妨げない。
(6) 受領者
個人情報の提供を受ける法人、その他の団体又は個人をいう。
(7) 情報主体の同意
情報主体が、収集、利用又は提供に関する情報を与えられた上で、自己に関する個人情報の収集、利用又は提供について承諾する意思表示をいう。ただし、情報主体が子ども等の場合は、保護者の同意も得たことをいう。
(8) コンプライアンス・プログラム(CP)
情報サービス事業者が自ら保有する個人情報を保護するための方針、組織、計画、実施、監査及び見直しを含むマネジメント・システムをいう。
(9) 収集目的
個人情報の利用及び提供の範囲を定め、情報主体の同意の対象となるものをいう。
(10) 利用
情報サービス事業者が当該事業者内で個人情報を処理することをいう。
(11) 提供
情報サービス事業者が当該事業者外のものに自ら保有する個人情報を利用可能にすることをいう。
(12) 預託
事業者が当該事業者以外のものに情報処理を委託するなどのために自ら保有する個人情報を預けることをいう。
|
|
(個人情報保護方針)
| 第3条 |
|
情報サービス事業者の代表者は、次の事項を含む個人情報保護方針を定めるとともに、これを実行し維持しなければならない。また、当該代表者は、この方針を文書化し、役員及び従業員に周知させるとともに一般の人が入手可能な措置を講じなくてはならない。
| (1) |
情報サービス事業の内容及び規模を考慮した適切な個人情報の収集、利用及び提供に関すること |
| (2) |
個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなどの予防並びに是正に関すること |
| (3) |
個人情報に関する法令及びその他の規範を遵守すること |
| (4) |
コンプライアンス・プログラムの継続的改善に関すること |
|
|
第2章 体制及び責任
(体制)
| 第4条 |
|
情報サービス事業者は、コンプライアンス・プログラムを効果的に実施するために役割、責任及び権限を定め、文書化し、かつ役員及び従業員に周知しなければならない。 |
| 2. |
情報サービス事業者の代表者は、コンプライアンス・プログラムの実施及び管理に不可欠な資源を用意しなければならない。 |
|
(個人情報保護管理者、監査責任者、対応窓口の指名)
| 第5条 |
|
情報サービス事業者の代表者は、このガイドラインの内容を理解し実践する能力のある個人情報保護管理者を当該事業者の内部から指名し、コンプライアンス・プログラムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならない。 |
| 2. |
情報サービス事業者の代表者は、このガイドラインの内容を理解し、個人情報保護管理者から独立した公平かつ客観的な立場にある者を監査責任者として指名ないし委託し、コンプライアンス・プログラムの監査に関する責任及び権限を与え、監査を行わせなければならない。 |
| 3. |
個人情報保護管理者は、個人情報及びコンプライアンス・プログラムに関しての苦情・相談を受け付けて対応する窓口を常設し、この連絡先を情報主体に告知しなければならない。 |
|
第3章 計 画
(個人情報の特定とリスク調査)
| 第6条 |
|
情報サービス事業者は、自ら保有するすべての個人情報を特定するための手順を確立し、維持しなければならない。 |
| 2. |
情報サービス事業者は、特定した個人情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど)を調査の上、適正な保護措置を講じない場合の影響を認識しなければならない。 |
|
(法令及びその他の規範)
| 第7条 |
情報サービス事業者は、個人情報に関する法令及びその他の規範を特定し、参照できる手順を確立し、維持しなければならない。 |
(内部規程)
| 第8条 |
|
情報サービス事業者は、個人情報を保護するための内部規程を策定し、維持しなければならない。 |
| 2. |
前項の内部規程には、次の事項を盛り込まなければならない。
| (1) |
情報サービス事業者の各部門及び階層における個人情報を保護するための権限及び責任の規定 |
| (2) |
個人情報の収集、利用、提供及び管理の規定 |
| (3) |
情報主体からの個人情報に関する開示、訂正及び削除の規定 |
| (4) |
個人情報保護に関する教育の規定 |
| (5) |
個人情報保護に関する監査の規定 |
| (6) |
内部規程の違反に関する罰則の規定 |
|
| 3. |
情報サービス事業者は、事業の内容に応じて、コンプライアンス・プログラムが確実に適用されるように内部規程を改定しなければならない。 |
|
(計画書)
| 第9条 |
情報サービス事業者は、個人情報を保護するために必要な教育、監査などの計画を少なくとも年1回立案し、文書化し、かつ維持しなければならない。 |
第4章 実施及び運用
第1節 個人情報の収集に関する措置
(収集の原則)
| 第10条 |
個人情報の収集は、収集目的を明確に定め、その目的の達成に必要な限度において行わなければならない。 |
(収集方法の制限)
| 第11条 |
個人情報の収集は、適法、かつ公正な手段によって行わなければならない。 |
(特定の機微な個人情報の収集の禁止)
| 第12条 |
情報サービス事業者は、次に示す内容を含む個人情報の収集、利用又は提供を行ってはならない。ただし、これらの収集、利用又は提供について、明示的な情報主体の同意、法令に特別の規定がある場合、及び司法手続上必要不可欠である場合は、この限りでない。
| (1) |
思想、信条及び宗教に関する事項 |
| (2) |
人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項 |
| (3) |
勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項 |
| (4) |
集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項 |
| (5) |
保健医療及び性生活に関する事項 |
|
(情報主体から直接収集する場合の措置)
| 第13条 |
情報サービス事業者は、情報主体から直接に個人情報を収集する場合、情報主体に対して、少なくとも、次に示す事項又はそれと同等以上の内容の事項を書面若しくはこれに代わる方法によって通知し、情報主体の同意を得なければならない。
| (1) |
個人情報に関する問合せ部署名及び連絡先 |
| (2) |
収集目的 |
| (3) |
個人情報の提供を行うことが予定される場合には、その目的、当該情報の受領者及び個人情報の取扱いに関する契約の有無 |
| (4) |
個人情報の預託を行うことが予定される場合には、その旨 |
| (5) |
情報主体が個人情報を与えることの任意性及び当該情報を与えなかった場合に情報主体に生じる結果 |
| (6) |
個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場合に訂正又は削除を要求する権利の存在、並びに当該権利を行使するための具体的な方法 |
|
(情報主体以外から間接的に収集する場合の措置)
| 第14条 |
情報サービス事業者は、情報主体以外から間接的に個人情報を収集する場合、情報主体に対して、少なくとも、前条(1)(4)、(6)に示す事項を書面又はこれに代わる方法によって通知し、情報主体の同意を得なければならない。ただし、次に示すいずれかに該当する場合は、この限りでない。
| (1) |
情報主体からの個人情報の収集時に、あらかじめ自己への情報の提供を予定している旨前条(3)に従い情報主体の同意を得ている提供者から収集を行う場合 |
| (2) |
情報処理を委託するなどのために個人情報を預託される場合 |
| (3) |
情報主体の保護に値する利益が侵害されるおそれのない収集を行う場合 |
|
第2節 個人情報の利用及び提供に関する措置
(利用及び提供の原則)
| 第15条 |
個人情報の利用及び提供は、情報主体が同意を与えた収集目的の範囲内で行わなければならない。ただし、次に示すいずれかに該当する場合は、情報主体の同意を必要としない。
| (1) |
法令の規定による場合 |
| (2) |
情報主体又は公衆の生命、健康、財産などの重大な利益を保護するために必要な場合 |
|
(収集目的の範囲外の利用及び提供の場合の措置)
| 第16条 |
情報主体が同意を与えた収集目的の範囲外で個人情報の利用及び提供を行う場合は、少なくとも、第13条(1)(4)、(6)に示す事項を書面又はこれに代わる方法によって情報主体に通知し、事前の情報主体の同意の下に行わなければならない。 |
第3節 個人情報の適正管理義務
(個人情報の正確性の確保)
| 第17条 |
個人情報は、収集目的に応じ必要な範囲内において、正確、かつ最新の状態で管理しなければならない。 |
(個人情報の利用の安全性の確保)
| 第18条 |
個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど個人情報に関するリスクに対して、合理的な安全対策を講じなければならない。 |
(個人情報を預託する場合の措置)
| 第19条 |
|
情報処理を委託するなどのために個人情報を預託する場合は、十分な個人情報の保護水準を満たしている者を選定する基準を確立しなければならない。また契約によって、次に示す内容を規定し、その保護水準を担保しなければならない。
| (1) |
個人情報に関する秘密保持に関する事項 |
| (2) |
再委託に関する事項 |
| (3) |
事故時の責任分担に関する事項 |
| (4) |
契約終了時の個人情報の返却及び消去に関する事項 |
|
| 2. |
前項の契約などの書面又はこれに代わる記録は、個人情報の保有期間にわたって保存しなければならない。 |
|
第4節 個人情報に関する情報主体の権利
(個人情報に関する権利)
| 第20条 |
情報サービス事業者は、情報主体から自己の情報について開示を求められた場合、合理的な期間内に、これに応じなければならない。また、開示の結果、誤った情報があり、訂正又は削除を求められた場合は、合理的な期間内にこれに応じるとともに、訂正又は削除を行った場合は、可能な範囲内で当該個人情報の受領者に対して通知を行わなければならない。 |
(個人情報の利用又は提供の拒否権)
| 第21条 |
情報サービス事業者は、その保有している個人情報について、情報主体から自己の情報についての利用又は第三者への提供を拒まれた場合、これに応じなければならない。ただし、次に示すいずれかに該当する場合は、この限りでない。
| (1) |
法令の規定による場合 |
| (2) |
情報主体又は公衆の生命、健康、財産などの重大な利益を保護するために必要な場合 |
|
第5節 苦情及び相談
(苦情及び相談)
| 第22条 |
情報サービス事業者は、個人情報及びコンプライアンス・プログラムに関して、情報主体からの苦情及び相談を受け付けて対応しなければならない。 |
第6節 教 育
(教育)
| 第23条 |
|
情報サービス事業者は、役員及び従業員に、適切な教育を行わなければならない。 |
| 2. |
情報サービス事業者は、関連する各部門及び階層においてその従業員に、次の事項を自覚させる手順を確立し維持しなければならない。
| (1) |
コンプライアンス・プログラムに適合することの重要性及び利点 |
| (2) |
コンプライアンス・プログラムに適合するための役割及び責任 |
| (3) |
コンプライアンス・プログラムに違反した際に予想される結果 |
|
|
第7節 文書作成及び文書管理
(コンプライアンス・プログラム文書の作成)
| 第24条 |
情報サービス事業者は、書面又はこれに代わる方法で、コンプライアンス・プログラムの基本となる要素を記述しなければならない。 |
(文書の管理)
| 第25条 |
情報サービス事業者は、このガイドラインが要求するすべての文書を管理しなければならない。 |
第5章 監 査
(監査)
| 第26条 |
|
情報サービス事業者は、コンプライアンス・プログラムがこのガイドラインの要求事項と合致していること及びその運用状況を定期的に監査しなければならない。 |
| 2. |
監査責任者は、監査を指揮し、監査報告書を作成し情報サービス事業者の代表者に報告しなければならない。 |
| 3. |
情報サービス事業者は、監査報告書を管理し、保管しなければならない。 |
|
第6章 コンプライアンス・プログラムの見直し
(情報サービス事業者の代表者による見直し)
| 第27条 |
情報サービス事業者の代表者は、監査報告書及びその他の経営環境などに照らして、適切な個人情報の保護を維持するために、少なくとも年1回コンプライアンス・プログラムを見直さなければならない。 |
第7章 罰 則
(罰則)
| 第28条 |
情報サービス事業者は、第8条により策定した内部規程に違反した従業員に対して就業規則に基づき懲戒を行わなければならない。 |
第8章 改 廃
(改廃)
| 第29条 |
このガイドラインの改廃は、プライバシーマーク審査会において行い、理事会の承認を得るものとする。 |
- このガイドラインの解説書は
「11-J011 情報サービス事業者のための個人情報保護のあり方」として販売しております。
(会員 ¥3,500 団体傘下 ¥5,200 一般 ¥7,000)解説書のお申込は【購入申込書】をご利用下さい。 - 参考:プライバシーマーク制度Q&A(ガイドライン編)
本ガイドラインについて寄せられた質問への回答を掲載しています。
社団法人 情報サービス産業協会