ジャグラガイドライン

JaGra 個人情報保護ガイドライン 第6版

2005 年(平成 17 年)12 月7 日制定 第 41年度第2回理事会
2007年(平成19年) 3月9日改定 第42年度第4回理事会
2014年(平成26年)4月1日公表 第49年度第3回理事会改定
2016年(平成28年)1月8日公表 第51年度第4回理事会改定
2018年(平成30年)6月2日改定 第54年度第2回理事会
2022 年(令和4年)3 月18日改定 第 57年度第3回理事会

序 文

一般社団法人日本グラフィックサービス工業会は、日本国内の印刷・グラフィックサービス工業の事業者団体として個人情報保護の重要性を認識し、印刷・グラフィックサービス工業者の個人情報保護への自主的な取組みを促進・支援するため、その普及・啓発を図る。この度、一般社団法人日本グラフィックサービス工業会では、個人情報の適切な保護について、事業者が体系的で経営活動全般を統合したマネジメントシステムを策定するため個人情報保護ガイドライン(以下「本ガイドライン」という。)を日本産業規格「個人情報保護に関するマネジメントシステム-要求事項」(JIS Q 15001:2017)及び個人情報の保護に関する法律、個人情報保護委員会のガイドライン等に準拠し、またJIPDEC「プライバシーマークにおけるPMS構築・運用指針」にも配慮して改定した。

印刷・グラフィックサービス工業者は、個人情報を含む多種 多様な情報を大量に取り扱う者の当然の責務として個人情報の適切な保護に努めなければならないが、そのためには、本ガイドラインに準拠した個人情報保護マネジメントシステムを速やかに策定し、実施し、維持し、及び継続的に改善していくことが必要である。なお、印刷・グラフィックサービス工業者は、 個人情報保護マネジメントシステムを策定するに当って、それぞれの事業活動の実態に照らし個人情報との係わりを的確に把握した上で、本ガイドラインに規定した事項のほかに必要な項目を追加することができる。

本ガイドラインは、印刷・グラフィックサービス工業者の自由かつ公正な競争を阻害したり、法的義務を増大又は変更するために用いられることを意図したものではない。印刷・グラフィックサービス工業者は、自由な情報流通の確保を前提とした高度情報通信社会の進展に資するため、個人情報の保護の必要性と個人情報の利用面等の有用性を共に認識し、両者を調和させるよう努めなければならない。

J.1 組織の状況

J.1.1 組織及びその状況の理解

事業者は、個人情報を取り扱う事業に関して、個人情報保護マネジメントシステムに影響を与えるような外部及び内部の課題を特定すること。

J.1.2 利害関係者のニーズ及び期待の理解

事業者は、次の事項を特定すること。

  1. a)個人情報保護マネジメントシステムに関連する利害関係者
  2. b)その利害関係者の個人情報保護に関連する要求事項

J.1.3 法令、国が定める指針その他の規範

事業者は、個人情報の取扱いに関する法令、 国が定める指針その他の規範(以下、「法令 等」という。)を特定し参照する手順を内部規程として文書化すること。

法令等を特定し参照すること

J.1.4 個人情報保護マネジメントシステムの適用範囲の決定

事業者は、自らの事業の用に供している全ての個人情報の取扱いを個人情報保護マネジ メントシステムの適用範囲として定め、その旨を文書化すること。

J.1.5 個人情報保護マネジメントシステム

事業者は、本ガイドラインに従って、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、継続的に改善すること。

J.2 リーダーシップ

J.2.1 リーダーシップ及びコミットメント

代表者は、次の事項について統率し、その結果について責任を持つこと。

  1. a)事業者の戦略的な方向性と両立した、個人情報保護方針及び個人情報保護目的を確立する
  2. b)個人情報保護マネジメントシステムの要求事項を事業者の業務手順に適切に組み入れる
  3. c)個人情報保護マネジメントシステムに必要な資源を確保する
  4. d)有効な個人情報保護マネジメント及び個人情報保護マネジメントシステム要求事項への適合の重要性を利害関係者に周知する
  5. e)個人情報保護マネジメントシステムを適切に運用できるようにする
  6. f)個人情報保護マネジメントシステムが計画通りに実施できるように、従業者を指揮・支援する
  7. g)継続的改善を促進する
  8. h)その他の関連する管理者がその職務領域において、統率力を発揮できるよう、その管理者に割り当てられた役割をサポートする

J.2.2 個人情報保護方針

代表者は、次の事項を考慮して、個人情報保護方針を策定すること。

  1. a)事業の目的に対して適切であること
  2. b)J.3.2 で定めた個人情報保護目的を含むか、又は個人情報保護目的の設定のための枠組 みを示すこと
  3. c)個人情報保護に関連して適用される要求事項を実施すること
  4. d)個人情報保護マネジメントシステムの継続的改善を実施すること

個人情報保護方針を文書化した情報には、次の事項を含むこと。

  1. a)事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること [特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下、「目的外利用」という。)を行わないこと及びそのための措置を講じることを含む]
  2. b)個人情報の取扱いに関する法令その他の規範の遵守
  3. c)個人情報の漏えい、滅失又はき損の防止及び是正に関する事項
  4. d)苦情及び相談への対応に関する事項
  5. e)個人情報保護マネジメントシステムの継続的改善に関する事項
  6. f) 代表者の氏名
  7. g)制定年月日及び最終改正年月日
  8. h)個人情報保護方針の内容についての問合せ先

代表者は、個人情報保護方針を文書化した情報を、事業者内に周知するとともに、一般の人が入手可能な措置を講じること。

J.2.3.1 組織の役割、責任及び権限

代表者は、個人情報保護に関連する役割に対して、責任及び権限を従業者へ割り当てるとともに、その結果を利害関係者に周知すること。

責任及び権限を、次の事項を実施するために割り当てること。

  1. a)個人情報保護マネジメントシステムを、本指針の要求事項に適合させる。
  2. b)個人情報保護マネジメントシステムの運用の成果をトップマネジメントに報告させる。 役割及び役割に対する責任及び権限を、内部規程として文書化すること。

J.2.3.2 個人情報保護管理者と個人情報保護監査責任者

代表者は、本ガイドラインの内容を理解し実践する能力のある個人情報保護管理者を事業者内部に属する者の中から指名し、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせること。

個人情報保護管理者は、個人情報保護マネジメントシステムの見直し及び改善の基礎として、代表者に個人情報保護マネジメントシステムの運用状況を報告すること。代表者は、公平、かつ、客観的な立場にある個人情報保護監査責任者を事業者内部に属する者の中から指名し、監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え、業務を行わせること。

個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、代表者に報告すること。

監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保すること。

J.2.4 管理目的及び管理策

管理策について、代表者又は代表者によって権限が与えられた者によって、事業者が定めた手段に従って 承認すること。

J.3 計画

J.3.1.1 個人情報の特定

自らの事業の用に供している全ての個人情報を特定するための手順を内部規程として 文書化すること。

個人情報を管理するための台帳を整備すること。

台帳には、少なくとも次の項目を含むこと。

  • 個人情報の項目
  • 利用目的
  • 保管場所
  • 保管方法
  • アクセス権を有する者
  • 利用期限
  • 保管期限

台帳の内容は少なくとも年一回、及び必要に応じて適宜に確認し、最新の状態で維持すること。

J.3.1.2 リスク及び機会に対処する活動

事業者は、個人情報保護マネジメントシステムの計画の策定にあたって、J.1.1 で把握し た課題及び J.1.2で特定した要求事項を考慮し、次の事項を実現できるよう個人情報保護 リスクアセスメント及び個人情報保護リスク対応を行うこと。

  1. a)事業者が意図した成果を達成できるようなマネジメントシステムの策定
  2. b)望ましくない影響の防止
  3. c)個人情報保護マネジメントシステムの継続的な改善
  4. 事業者は、個人情報保護マネジメントシステムの計画の策定にあたって、次の事項を含む こと。
  5. d)リスクに対する対策の内容
  6. e) d)の対策を個人情報保護マネジメントシステムの手順に含めて実施する方法
  7. f) d)の対策の評価

J.3.1.3 個人情報保護リスクアセスメント

事業者は、個人情報に関するリスクについて、次の事項を踏まえて、個人情報保護リスクアセスメント(リスクを特定、分析及び評価)をするための手順を定め、かつ実施すること。 手順及び実施した内容については、少なくとも年一回及び必要に応じて適宜に見直すこと。

  1. a)次の観点を、個人情報保護のリスク基準とする
    1. 1)本ガイドラインに定める事項
    2. 2)法令及び国が定める指針その他の規範に関する事項
    3. 3)個人情報の漏えい、滅失又はき損等に関する事項
  2. b)繰り返し実施した個人情報保護リスクアセスメントに、一貫性及び妥当性があり、 かつ、比較可能な結果を生み出すことを確実にする
  3. c)個人情報保護リスクを特定する
    1. 1)事業者において、事業毎に、個人情報の取扱いを特定する
    2. 2)個人情報の取得、保管、利用及び消去等に至る各局面において、適正な保護措置を講じない場合に想定されるリスクを特定する
    3. 3)上記で特定したリスクのリスク所有者を特定する
  4. d)個人情報保護リスクを分析・評価する
    1. 1) c)で特定したリスクと、a)のリスク基準とを比較する
    2. 2)リスク対応の優先順位を明らかにする

事業者は、個人情報保護のリスクを特定、分析及び評価をするための手順を内部規程として文書化すること。

J.3.1.4 個人情報保護リスク対応

事業者は、次の事項について、個人情報保護リスクへの対応手順を内部規程として文書化し、かつ実施すること。

手順及び実施した内容については、適宜見直すこと。

  1. a)個人情報保護リスクへの対応にあたっては、個人情報保護リスクアセスメントの結果を考慮して、必要な対応策(本指針及び事業者が必要であると決定した、個人情報保護に関するリスクを修正する対策を含む。)を策定すること
  2. b) a)を踏まえて、個人情報保護リスクへの対応計画を策定し、実施すること
  3. c)個人情報保護リスクへの対応計画及び実施した内容(現状で実施し得る対策を講じた上で、未対応部分を残留リスクとして把握し、管理することを含む。)について、原則として、トップマネジメントの承認を得ること

事業者は、a)~c)を実施した記録を保持すること。

J.3.2 個人情報保護目的及びそれを達成するための計画策定

事業者は、次の事項を含めて、個人情報保護目的を達成するために計画すること。

  1. a)実施事項
  2. b)必要な資源
  3. c)責任者
  4. d)達成期限
  5. e)結果の評価方法

J.3.3 計画策定

事業者は、個人情報保護マネジメントシステムを確実に実施するために、次の事項を含め て、少なくとも年一回及び必要に応じて適宜に必要な計画を立案し、文書化すること。

  1. a)教育実施計画
  2. b)内部監査実施計画

J.4 支援

J.4.1 資源

事業者は、個人情報保護マネジメントシステムの確立、実施、維持及び継続的改善に必要 な資源を決定・確保し、利害関係者へ提供すること。

J.4.2 力量

事業者は、次の事項を行うこと。

  1. a)事業者の個人情報保護に影響を与える業務をその管理下で遂行する者に対して、個人情報保護の観点から、従業者に必要とされる能力を決定する
  2. b) a)の者に対して、a)で決定した能力及び J.4.3 を充足するための処置を行い、必要な能力を備えることを確実にする
  3. c) b)を実施した結果、必要な能力が備わっていない場合は、必要な能力を身につけるための処置をとるとともに、とった処置の有効性を評価する
  4. d) a)~c)を実施した記録を保持する

J.4.3 認識

事業者は、従業者に対して、少なくとも年一回及び必要に応じて適宜に教育を実施する手順(教育の理解度を確認する手順を含む)を内部規程として文書化すること。

事業者は、従業者に対して、次の事項を認識させること。

  1. a)個人情報保護方針
  2. b)個人情報保護マネジメントシステムに適合することの重要性及び利点
  3. c)個人情報保護マネジメントシステムに適合するための役割及び責任
  4. d)個人情報保護マネジメントシステムに違反した際に予想される結果

J.4.4.1 コミュニケーション

事業者は、個人情報マネジメントシステムを構築・運用するにあたり、次の事項を考慮して、内外の利害関係者と意思疎通や情報共有を行うこと。

  1. a)コミュニケーションの内容(何を伝達するか。)
  2. b)コミュニケーションの実施時期
  3. c)コミュニケーションの対象者
  4. d)コミュニケーションの実施者
  5. e)コミュニケーションの実施手順
  6. f)コミュニケーションの実施方法

J.4.4.2 緊急事態への準備

緊急事態を特定するための手順及び特定した緊急事態にどのように対応するかの手順を内部規程として文書化すること。

緊急事態への準備及び対応に関する規定には、個人情報保護リスクを考慮し、その影響を最小限とするための手順を含むこと。

緊急事態への準備及び対応に関する規定には、緊急事態が発生した場合に備え、次の事項を対応手順に含むこと。

  1. a)漏えい、滅失又はき損等が発生した個人情報の内容を本人に速やかに通知するか、又は本人が容易に知り得る状態に置くこと。
  2. b)二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及び対応策を、遅滞なく公表すること。
  3. c)事実関係、発生原因及び対応策を関係機関に直ちに報告すること。

緊急事態が発生した場合、定めた手順に従って緊急事態への対応を実施すること。

J.4.5.1 文書化した情報

個人情報保護マネジメントシステムの基本となる次の要素に対応する書面を作成すること。

  1. a)個人情報保護方針
  2. b)内部規程
  3. c)内部規程に定める手順上で使用する様式
  4. d)計画書
  5. e)本指針が要求する記録
  6. f)その他、事業者が個人情報保護マネジメントシステムを実施する上で必要と判断した文書(記録を含む。)

J.4.5.2 文書化した情報の管理

個人情報保護マネジメントシステム及び本ガイドラインで要求されている文書化した情報は、次の事項を確実にするために管理すること。

  1. a)必要な時に、必要な所で、入手可能かつ利用に適した状態である
  2. b)十分に保護されている(例えば、機密性の 喪失、不適切な使用及び完全性の喪失からの保護)
  3. 文書化した情報の管理にあたっては、次の事項を実施すること。
  4. c)配付、アクセス、検索及び利用
  5. d)読みやすさが保たれることを含む、保管及び保存
  6. e)変更の管理(例えば、版の管理)
  7. f)保持及び廃棄

個人情報保護マネジメントシステムに必要となる外部からの文書化した情報は、必要に応じて特定し、管理すること。

J.4.5.3 文書化した情報(記録を除く)の管理

本ガイドラインが要求する全ての文書化した情報(記録を除く。)を管理する手順を、次の事項を含 む内部規程として文書化すること

  1. a)文書化した情報(記録を除く。)の発行及び改正に関すること
  2. b)文書化した情報(記録を除く。)の改正の内容と版数との関連付けを明確にすること
  3. c)必要な文書化した情報(記録を除く。)が必要なときに容易に参照できること
  4. d)適切性及び妥当性に関する、適切なレビュー及び承認を行うこと

文書化した情報(記録を除く。)の管理を実施すること。

J.4.5.4 内部規程

次の事項を含む内部規程を文書化すること。

  1. a)個人情報を特定する手順に関する規定
  2. b)法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
  3. c)個人情報保護リスクアセスメント及びリスク対策の手順に関する規定
  4. d)事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定 e)緊急事態への準備及び対応に関する規定
  5. f)個人情報の取得、利用及び提供に関する規定
  6. g)個人情報の適正管理に関する規定
  7. h)本人からの開示等の請求等への対応に関する規定
  8. i)教育などに関する規定
  9. j)文書化した情報の管理に関する規定
  10. k)苦情及び相談への対応に関する規定
  11. l)点検に関する規定
  12. m)是正処置に関する規定
  13. n)マネジメントレビューに関する規定
  14. o)内部規程の違反に関する罰則の規定

事業の内容に応じて、個人情報保護マネジメントシステムが確実に適用されるように内 部規程を改正すること。

J.4.5.5 文書化した情報のうち、記録の管理

個人情報保護マネジメントシステム及び本ガイドラインで要求されている記録の管理についての手順を内部規程として文書化すること。

次の事項を含む必要な記録を作成すること。

  1. a)個人情報の特定に関する記録
  2. b)法令、国が定める指針及びその他の規範の特定に関する記録
  3. c)個人情報保護リスクの認識、分析及び対策に関する記録
  4. d)計画書
  5. e)利用目的の特定に関する記録
  6. f)保有個人データに関する開示等(利用目的の通知、開示、内容の訂正、追加又は削除、 利用の停止又は消去、第三者提供の停止)の請求等への対応記録
  7. g)教育などの実施記録
  8. h)苦情及び相談への対応記録
  9. i)運用の確認の記録
  10. j)内部監査報告書
  11. k)是正処置の記録
  12. l)マネジメントレビューの記録

J.5 運用

J.5.1 運用

個人情報保護マネジメントシステムを確実に実施するために、運用の手順を内部規程として文書化すること。

事業者は、本指針の要求事項を満たすため及び J.3 で決定した活動について、計画し、実施し、管理すること。

事業者は、計画した変更を管理し、意図しない変更によって生じた結果をレビューし、必要に応じて、有害な影響を軽減する処置をとること。

事業者は、外部委託した業務がある場合は、管理の対象とすること。

事業者は、本項についての記録を保持すること。

J.6 パフォーマンス評価

J.6.1 監視、測定、分析及び評価

各部門及び階層の管理者が定期的に、及び適宜にマネジメントシステムが適切に運用さ れていることを確認する手順を内部規程として文書化すること。

事業者は、個人情報保護マネジメントシステムが適切に運用されているかどうかを確認するために、次の事項を決定すること。

  1. a)対象とする個人情報保護マネジメントシステムの運用状況
  2. b) a)で対象とした運用状況の監視、測定、分析及び評価の方法
  3. c) a)で対象とした運用状況の監視及び測定の実施時期
  4. d) a)で対象とした運用状況の監視及び測定の実施者
  5. e) a)で対象とした運用状況の分析及び評価の時期
  6. f) a)で対象とした運用状況の分析及び評価の実施者

各部門及び各階層の管理者は、定期的に、及び適宜にマネジメントシステムが適切に運用されているかを確認し、不適合が確認された場合は、その是正処置を行うこと。

事業者は、監視及び測定の結果の証拠として、文書化した情報を保持すること。

個人情報保護管理者は、定期的に、及び適宜にトップマネジメントに運用の確認の状況を報告すること。

J.6.2 内部監査

監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を内部規程として文書化すること。

事業者は、個人情報保護マネジメントシステムが次の事項の状況にあるか否かについて、 少なくとも年一回及び必要に応じて適宜に内部監査を実施すること。

  1. a)事業者が規定した要求事項及び本指針の要求事項に適合している
  2. b)個人情報保護マネジメントシステムが有効に実施され、維持されている
  3. 個人情報保護監査責任者は、次の事項を行うこと。
  4. c)内部監査実施計画を策定、確立、実施及び維持する。その内部監査実施計画は、関連するプロセスの重要性及び前回までの監査の結果を考慮する
  5. d)各監査について、監査基準及び監査範囲を明確にする
  6. e)監査プロセスの客観性及び公平性を確保する監査員を選定し、内部監査実施計画に従って、監査を実施する
  7. f)監査の結果を監査報告書としてまとめ、管理層及び代表者に報告する
  8. g)内部監査実施計画及び監査結果の証拠として、文書化した情報を保持する

J.6.3 マネジメントレビュー

マネジメントレビューを実施する手順を内部規程として文書化すること。

代表者は、事業者の個人情報保護マネジメントシステムが、引き続き、適切、妥当かつ有効であることを確実にするために、少なくとも年一回及び必要に応じて適宜にマネジメントレビューを実施すること。

マネジメントレビューの実施にあたっては、次の事項を考慮すること。

  1. a)前回までのマネジメントレビューの結果を踏まえた見直しの状況
  2. b)個人情報保護マネジメントシステムに関連する外部及び内部の問題点の変化
  3. c)以下の状況を踏まえた、現在の個人情報保護マネジメントシステムの運用状況の評価
    1. 1)不適合及び是正処置
    2. 2)確認及び点検の結果
    3. 3)監査結果
    4. 4)個人情報保護目的の達成
  4. d)利害関係者からのフィードバック
  5. e)リスクアセスメントの結果及びリスク対応計画の状況
  6. f)継続的改善の機会

マネジメントレビューからのアウトプットには、継続的改善の機会及び個人情報保護マネジメントシステムのあらゆる変更の必要性に関する決定を含めること。

事業者は、マネジメントレビューの結果の証拠として、文書化した情報を保持すること。

J.7 改善

J.7.1 不適合及び是正処置

事業者は、次の事項を含めて、不適合に対する是正処置を実施するための責任及び権限を定める手順を内部規程として文書化すること。

  1. a)その不適合に対処し、該当する場合には、必ず、次の事項を行う
    1. 1)その不適合を管理し、修正するための処置をとる
    2. 2)その不適合によって起こった結果に対処する
  2. b)次の事項によって、その不適合の原因を除去するための処置を検討する
    1. 1)その不適合を調査及び分析する
    2. 2)その不適合の原因を特定する
    3. 3)類似の不適合の有無、又はそれが発生する可能性を検討する
  3. c)是正処置を計画し、計画された処置を実施する
  4. d)実施された全ての是正処置の有効性を調査、分析及び評価する
  5. e)必要な場合には、個人情報保護マネジメントシステムの改善を行う

不適合が明らかとなった場合、a)~e)の事項を実施すること。

a)~e)の実施結果について、文書化した情報を保持するとともに、原則として、代表者が承認すること。

J.7.2 継続的改善

事業者は、個人情報保護マネジメントシステムの適切性、妥当性及び有効性を継続的に改 善すること。

J.8 取得、利用及び提供に関する原則

J.8.1 利用目的の特定

個人情報の利用目的をできる限り特定し、その目的の達成に必要な範囲内において取扱 いを行うこと。

利用目的は、取得した情報の利用及び提供によって本人の受ける影響を予測できるよう に、利用及び提供の範囲を可能な限り具体的に明らかにすること。

J.8.2 適正な取得

事業者は、適法かつ公正な手段によって個人情報を取得すること。

J.8.3 要配慮個人情報

新たに要配慮個人情報を取得、利用又は提供並びに要配慮個人情報のデータを提供する 場合、あらかじめ書面による本人の同意を得ること。

要配慮個人情報を取得、利用する際、書面による本人の同意を得ることを要しないときとは、以下の場合に限定すること。

  1. a)法令に基づく場合
  2. b)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  3. c)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  4. d)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
  5. e)当該要配慮個人情報が、法令等により個人情報取扱事業者の義務などの適用除外とされている者及び個人情報保護委員会規則で定めた者によって公開された要配慮個人情報であるとき
  6. f) 本人を目視し、又は撮影することにより、 その外形上明らかな要配慮個人情報を取得又は利用する場合
  7. g)個人情報保護法二十七条第五項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき
  8. h)個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
  9. i)学術研究機関等から当該要配慮個人情報を取得し、利用する場合であって、当該要配慮個人情報を学術研究目的で取得し、利用する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)

    要配慮個人情報を提供する際、書面による本人の同意を得ることを要しないときとは、J.8.3のa)~d)又は、以下の場合に限定すること。

  10. j)個人情報取扱事業者が学術研究機関等である場合であって、個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)
  11. k)個人情報取扱事業者が学術研究機関等である場合であって、個人データを学術研究目的で提供する必要があるとき(個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(個人情報取扱事業者と第三者が共同して学術研究を行う場合に限る。)
  12. l)第三者が学術研究機関等である場合であって、第三者が個人データを学術研究目的で取り扱う必要があるとき(個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)

J.8.4 個人情報を取得した場合の措置

個人情報を取得した場合は、あらかじめ、その利用目的を公表している場合を除き、速や かにその利用目的を本人に通知し、又は公表すること。

本人に利用目的を通知し、又は公表を要しないのは、以下の場合に限定すること。

  1. a)利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  2. b)利用目的を本人に通知し、又は公表することによって当該組織の権利又は正当な利益を害するおそれがある場合
  3. c)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがある場合
  4. d)取得の状況からみて利用目的が明らかであると認められる場合

J.8.5  J.8.4 のうち本人から直接書面によって取得する場合の措置

本人から、書面に記載された個人情報を直接取得する場合には、少なくとも、次に示す事 項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、書面によって本人の同意を得ること。

  1. a)組織の名称又は氏名
  2. b)個人情報保護管理者(若しくはその代理人) の氏名又は職名、所属及び連絡先
  3. c)利用目的
  4. d)個人情報を第三者に提供することが予定される場合の事項
    • -第三者に提供する目的
    • -提供する個人情報の項目
    • -提供の手段又は方法
    • -当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
    • -個人情報の取扱いに関する契約がある場合はその旨
  5. e)個人情報の取扱いの委託を行うことが予定される場合には、その旨
  6. f) J.10.4~J.10.7 に該当する場合には、その請求等に応じる旨及び問合せ窓口
  7. g)本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
  8. h)本人が容易に知覚できない方法によって個人情報を取得する場合には、その旨

あらかじめ書面によって本人に明示し、書面によって本人の同意を得ないのは、以下の場合に限定すること。

  • 人の生命、身体若しくは財産の保護のために緊急に必要がある場合
  • 以下のいずれかに該当し、J.8.4 の措置を要しない場合
  1. 1)利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  2. 2)利用目的を本人に通知し、又は公表することによって当該組織の権利又は正当な利益を害するおそれがある場合
  3. 3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがある場合
  4. 4)取得の状況からみて利用目的が明らかであると認められる場合

J.8.6 利用に関する措置

個人情報を利用する場合には、本人の同意の有無に関わらず、違法又は不当な行為を助長し、又は誘発するおそれのあるものを除くこと。

特定した利用目的の達成に必要な範囲内で個人情報を利用すること。

特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、少なくとも、J.8.5 の a)~f)に示す事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得ること。

特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合に、本人の同意 を得ることを要しないのは、以下のいずれかに該当する場合に限定すること。

  1. a)法令に基づく場合
  2. b)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
  3. c)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
  4. d)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
  5. e)当該個人情報取扱事業者が学術研究機関等である場合であって、学術研究目的で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
  6. f)学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)

J.8.7 本人に連絡又は接触する場合の措置

個人情報を利用して本人に連絡又は接触する場合には、本人に対して、J.8.5 の a)~f)に示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得ること。 個人情報を利用して本人に連絡又は接触する場合のうち、本人に通知し、本人の同意を得ることを要しない場合を、利用する個人情報が以下の場合に限定すること。

  1. a) J.8.5 の措置において、あらかじめ、利用目的として個人情報を利用して本人に連絡又は接触することを含め、J.8.5 の a)~f)に示す事項又はそれと同等以上の内容の事項を明示し、既に本人の同意を得ているとき
  2. b) 個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取り扱うとき
  3. c) 合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供する組織が、既に J.8.5 の a)~f)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき
  4. d) 個人情報が特定の者との間で共同して利用され、共同して利用する者が、既に共同して利用することに関して、J.8.5 の a)~f) に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、以下の 1)~6)に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知するか、又は本人が容易に知り得る状態に置いているとき(以下、「共同利用」という。)
    1. 1)共同して利用すること
    2. 2)共同して利用される個人情報の項目
    3. 3)共同して利用する者の範囲
    4. 4)共同して利用する者の利用目的
    5. 5)共同して利用する個人情報の管理について責任を有する者の氏名又は名称及び住所及び並びに法人にあっては、その代表者の氏名
    6. 6)取得方法
  5. e) J.8.4 の d)に該当し利用目的などを本人に明示、通知又は公表することなく取得した個人情報を利用して、本人に連絡又は接触するとき
  6. f) J.8.3 の a)~d)のいずれかに該当する場合

J.8.8 個人データの提供に関する措置

  1. 個人データを第三者に提供する場合には、あらかじめ、本人に対して、当該個人データを 第三者に提供することに関して、J.8.5 の a) ~d)に示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得ること。
  2. 個人データを第三者に提供する場合に、本人に通知し、本人の同意を得ることを要しない場合は、以下の場合に限定すること。
    1. a)J.8.5 の規定によって、個人データを第三者に提供することに関して、既に J.8.5 の a) ~d)の事項又はそれと同等以上の内容の事項を本人に明示し、本人の同意を得ているとき、又は J.8.7 の規定によって、既に J.8.5 の a)~d)の事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得ているとき
    2. b)本人の同意を得ることが困難な場合であって、法令等が定める手続に基づいた上で、 次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又はそれに代わる同等の措置を講じているとき
      1. 1)事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
      2. 2)第三者への提供を利用目的とすること
      3. 3)第三者に提供される個人データの項目
      4. 4)第三者への提供の手段又は方法
      5. 5)本人の請求などに応じて当該本人が識別される個人データの第三者への提供を停止すること
      6. 6)取得方法
      7. 7)本人からの請求などを受け付ける方法
      8. 8)その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
    3. c)法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関 する情報であって、かつ、本人又は当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって、法令等が定める手続に基づいた上で、b)の 1)~8)で示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
    4. d)特定した利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託するとき
    5. e)合併その他の事由による事業の承継に伴って個人データを提供する場合であって、承継前の利用目的の範囲内で当該個人データを取り扱うとき
    6. f)個人データを共同利用している場合であって、共同して利用する者の間で、J.8.7 に規定する共同利用について契約によって定めているとき
    7. g) J.8.3 のa)~d)、又は、J.8.3のj)~l)いずれかに該当する場合
  3. 2項 b)の適用にあたっては、以下の 1)~3)を除くこと。
    1. 1)要配慮個人情報
    2. 2)偽りその他不正の手段により取得された個人データ
    3. 3)個人情報保護法二十七条第二項、又は J.8.8 の前項 b)により提供された個人データ(提供されたデータに対して、その全部又は一部を複製し、又は加工したものを含む)

J.8.8.1 外国にある第三者への提供の制限

  1. 外国にある第三者に個人データを提供する場合、以下のいずれかを満たすこと。ただし、J.8.3 の a)~d)、又は、J.8.3 の j)~l)のいずれかに該当する場合はこれに限らない。
    1. a)あらかじめ外国にある第三者への提供を認める旨の本人の同意がある場合
    2. b)個人データの取扱いについて、個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供をする場合
    3. c)個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域にある第三者への提供をする場合
  2. 1項の a)によって外国にある第三者に個人データを提供する場合は、あらかじめ、法令等の定めるところによって、次に掲げる事項について、当該本人に必要な情報を提供すること。
    1. d)当該外国の名称
    2. e)当該外国における個人情報の保護に関する制度に関する情報
    3. f)当該第三者が講ずる個人情報の保護のための措置に関する情報
    4. g) d)~f)に定める事項が特定できない場合、その旨及びその理由
    5. h) g)に該当する場合であって、d)~f)の事項に代わる本人に参考となるべき情報がある場合には、当該情報
    6. i) g)及び h)に該当する場合について情報提供できない場合には、g)及び h)に定める事項に代えて、その旨及びその理由
  3. 1項の b)によって外国にある第三者に個人データを提供する場合には、あらかじめ、法令等の定めるところによって、次に掲げる事項について、必要な措置を講じること。
    1. j)当該第三者による相当措置の実施状況並びに相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容について、適切かつ合理的な方法による定期的な確認
    2. k)当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供の停止
    3. l)本人の求めを受けた場合には、情報提供することにより当該組織の業務の適正な実施に著しい支障を及ぼすおそれがある場合を除き、遅滞なく、以下の情報の提供
      1. 1)当該第三者による体制の整備の方法
      2. 2)当該第三者が実施する相当措置の概要
      3. 3) j)による確認の頻度及び方法
      4. 4)当該外国の名称
      5. 5)当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
      6. 6)当該第三者による相当措置の実施に関する支障の有無及びその概要
      7. 7)前号の支障に関して、k)により講ずる措置の概要
  4. 3項の l)で、本人の求めに係る情報の全部又は一部について提供しない旨の決定をしたときは、本人に対して、遅滞なく、その旨を通知するとともに、その理由を説明すること。 

J.8.8.2 第三者提供に係る記録の作成など

個人データを第三者に提供したときは、当該個人データの提供について必要な記録を作 成すること。

個人データを第三者に提供したときに、当該個人データの提供に関する記録の作成を要しない場合を、以下の場合に限定すること。

  1. a)特定した利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託するとき
  2. b)合併その他の事由による事業の承継に伴って個人データを提供する場合であって、承継前の利用目的の範囲内で当該個人データを取り扱うとき
  3. c)個人データを共同利用している場合であって、共同して利用する者の間で、J.8.7に規定する共同利用について契約によって定めているとき
  4. d)法令に基づく場合
  5. e)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  6. f)公衆衛生の向上、又は児童の健全な育成の推進のために特に必要がある場合であって、 本人の同意を得ることが困難であるとき
  7. g)国の機関、若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
  8. h)個人情報取扱事業者が学術研究機関等である場合であって、個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)
  9. i)個人情報取扱事業者が学術研究機関等である場合であって、個人データを学術研究目的で提供する必要があるとき(個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(個人情報取扱事業者 と第三者が共同して学術研究を行う場合に限る。)
  10. j)第三者が学術研究機関等である場合であって、第三者が個人データを学術研究目的で取り扱う必要があるとき(個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)

個人データを第三者に提供したことに関する記録を作成した場合、当該記録を必要な期 間、保管すること。

個人データを提供したときに、提供先が実施する第三者提供を受ける際の確認等に対し、 適切に応じること。

J.8.8.3 第三者提供を受ける際の確認など

第三者から個人データの提供を受けるに際しては、必要な確認を行うこと。

第三者から個人データの提供を受けるに際して、確認を要しないのは、以下の場合に限定すること。

  1. a)特定した利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託されたとき
  2. b)合併その他の事由による事業の承継に伴って個人データを提供される場合であって、承継前の利用目的の範囲内で当該個人データを取り扱うとき
  3. c)個人データを共同利用している場合であって、共同して利用する者の間で、J.8.7 に規定する共同利用について契約によって定めているとき
  4. d)法令に基づく場合
  5. e)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  6. f)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  7. g)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
  8. h)個人情報取扱事業者が学術研究機関等である場合であって、個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)
  9. i)個人情報取扱事業者が学術研究機関等である場合であって、個人データを学術研究目的で提供する必要があるとき(個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(個人情報取扱事業者 と第三者が共同して学術研究を行う場合に限る。)
  10. j)第三者が学術研究機関等である場合であって、第三者が個人データを学術研究目的で取り扱う必要があるとき(個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)

第三者から個人データの提供を受けるに際して確認を行ったときは、必要な記録を作成 すること。

第三者から個人データの提供を受けるに際して確認を行った記録は、必要な期間保存すること。

J.8.8.4 個人関連情報の第三者提供の制限など

  1. 個人関連情報を取り扱う場合には、法令等の定めるところによって、適切な取扱いを行う手順を内部規程として文書化すること。
  2. 第三者が個人関連情報を個人データとして取得することが想定される場合、当該個人関連情報を当該第三者に提供するに際しては、J.8.3 の a)~d)、又は、J.8.3 の j)~l)のいずれかに該当する場合を除き、あらかじめ、次に掲げる事項又はそれと同等以上の内容の事項について、法令等の定めるところによって、確認を行うこと。
    1. a)当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして、取得することを認める旨の当該本人の同意が得られていること。
    2. b)外国にある第三者への提供にあっては、a)の本人の同意を得ようとする場合において、法令等で定めるところによって、以下の 1)~3)に示す事項について、あらかじめ、当該本人に提供されていること。
      1. 1)当該外国における個人情報の保護に関する制度
      2. 2)当該第三者が講ずる個人情報の保護のための措置
      3. 3)その他当該本人に参考となるべき情報
  3. 個人関連情報を外国にある第三者に提供した場合には、J.8.8.1 で定めるところによって、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じること。
  4. 法令等の定めるところによって、以下の事項について、確認の記録を作成、保管すること。

《個人関連情報の提供元の確認の記録事項》

  1. c) a)で本人の同意が得られていることを確認した旨及び外国にある個人情報取扱事業者にあっては、b)で本人に情報の提供が行われていることを確認した旨
  2. d)個人関連情報を提供した年月日
  3. e)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
  4. f)当該個人関連情報の項目
  5. 《個人関連情報の提供先の確認の記録事項》
  6. g) a)で本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては、b)で本人に情報の提供が行われている旨
  7. h)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
  8. i)当該個人データ(個人関連情報)によって識別される本人の氏名その他当該本人を特定するに足りる事項
  9. j)当該個人関連情報の項目

J.8.9 匿名加工情報

匿名加工情報の取扱いを行うか否かの方針を定めること。

匿名加工情報を取り扱う場合には、法令等の定めるところによって、以下の事項に関する 適切な取扱いを行う手順を内部規程として文書化すること。

  1. a)適切な加工方法の決定、及び加工の実施
  2. b)加工方法等情報の安全管理措置
  3. c)匿名加工情報を作成、及び提供することに関する公表
  4. d)匿名加工情報の取扱いにおいて識別行為を防止する措置
  5. e)匿名加工情報の安全管理、苦情処理、その他の適正な取扱いのための措置、及び当該措置の公表

匿名加工情報を取り扱う場合には、定めた手順に従うこと。

J.8.10 仮名加工情報

  1. 仮名加工情報を取り扱う場合には、法令等の定めるところによって、適切な取扱いを行う手順を内部規程として文書化すること。
  2. 仮名加工情報を作成する場合には、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして、個人情報保護委員会規則で定める基準に従い、個人情報を加工すること。
  3. 仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じること。
  4. 仮名加工情報を利用する場合には、以下を実施すること。
    1. a)利用目的をできる限り特定し、法令に基づく場合を除くほか、その目的の達成に必要な範囲内において行うこと
    2. b)あらかじめその利用目的を公表している場合及び法令に基づく場合を除き、速やかに、その利用目的を公表すること
    3. c)仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合しないこと
    4. d)電話をかけ、郵便若しくは信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用しないこと
  5. 仮名加工情報を提供する場合には、以下の場合を除き、仮名加工情報である個人データを第三者に提供しないこと。
    1. e)仮名加工情報の取扱いの全部又は一部を、J.9.4 と同等の措置を講じたうえで委託する場合
    2. f)仮名加工情報が特定の者との間で共同して利用され、共同して利用する者が、既に共同して利用する場合(J.8.5 の a)~f)に示す事項又はそれと同等以上の 内容の事項を明示又は通知し、本人の同意を得ている場合であって、以下の 1)~6)に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置く場合)
      1. 1)共同して利用すること
      2. 2)共同して利用される仮名加工情報の項目
      3. 3)共同して利用する者の範囲
      4. 4)共同して利用する者の利用目的
      5. 5)共同して利用する仮名加工情報の管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
      6. 6)取得方法
    3. g)合併その他の事由による事業の承継に伴って仮名加工情報を提供する場合
    4. h)法令に基づく場合
  6. 仮名加工情報の取扱いに関する苦情の適切かつ迅速な対応を行うこと。
  7. 仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去すること。

J.9 適正管理

J.9.1 正確性の確保

利用目的の達成に必要な範囲内において、個人データを、正確、かつ、最新の状態で管理すること。

個人データの管理(利用する必要がなくなった場合の消去を含む。)は、定めた手順に基づ いて適切に行うこと。

J.9.2 安全管理措置

取り扱う個人情報の個人情報保護リスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の安全管理のために、法令に基づき必要かつ適切な措置を講じること。

J.9.3 従業者の監督

個人データを取り扱う従業者に対して必要かつ適切な監督を行うこと。

J.9.4 委託先の監督

個人データの取扱いの全部又は一部を委託する場合、十分な個人データの保護水準を満 たしている者を選定するための委託先選定基準を確立し、委託先を選定すること。

個人データの取扱いの全部又は一部を委託する場合、特定した利用目的の範囲内で委託 契約を締結すること。

次に示す事項が盛り込まれた契約を締結すること。

  1. a)委託者及び受託者の責任の明確化
  2. b)個人データの安全管理に関する事項
  3. c)再委託に関する事項
  4. d)個人データの取扱状況に関する委託者への報告の内容及び頻度
  5. e)契約内容が遵守されていることを委託者が、定期的に、及び適宜に確認できる事項
  6. f)契約内容が遵守されなかった場合の措置
  7. g)事件・事故が発生した場合の報告・連絡に関する事項
  8. h)契約終了後の措置

全ての委託先を漏れなく特定すること。

委託契約書は当該個人データの保有期間にわたって保存すること。

委託契約に基づき、委託先を適切に監督すること。

J.10 個人情報に関する本人の権利

J.10.1 個人情報に関する権利

保有個人データに関して、本人から 開示等の請求等を受けた場合、J.10.4~ J.10.7 の規定によって、遅滞なくこれに応じること。

J.8.8.2 及び J.8.8.3 で作成した第三者提供記録に関して、本人から開示等の請求等を受けた場合、J.10.5 の規定によって、遅滞なくこれに応じること。

保有個人データ又は第三者提供記録に当たらないものとして、次に掲げるいずれかに限定すること。

  1. a)当該個人データ又は当該第三者提供記録の存否が明らかになることによって、本人又は第三者の生命、身体又は財産に危害が及ぶおそれのあるもの
  2. b)当該個人データ又は当該第三者提供記録の存否が明らかになることによって、違法又は不当な行為を助長する、又は誘発するおそれのあるもの
  3. c)当該個人データ又は当該第三者提供記録の存否が明らかになることによって,国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ、又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの
  4. d)当該個人データ又は当該第三者提供記録の存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の公共の安全及び秩序維持に支障が及ぶおそれのあるもの

J.10.2 開示等の請求等に応じる手続

保有個人データ又は第三者提供記録の開示等の請求等に応じる手続として、次の事項を文書化すること。

  1. a)開示等の請求等の申出先
  2. b)開示等の請求等に際して提出すべき書面の様式その他の開示等の請求等の方式
  3. c)開示等の請求等をする者が、本人又は代理人であることの確認の方法
  4. d) J.10.4 又は J.10.5による手数料(定めた場合に限る。)の徴収方法

保有個人データ又は第三者提供記録の開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負 担を課するものとならないよう配慮すること。

本人からの請求などに応じる場合に、手数料を徴収するときは、実費を勘案して合理的で あると認められる範囲内において、その額を定めること。

J.10.3 保有個人データ又は第三者提供記録に関する事項の周知など

保有個人データ又は第三者提供記録に関して、次の事項を本人の知り得る状態(本人の請求などに応じて遅滞なく回答する場合を含む。)に置くこと。

  1. a)組織の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
  2. b)個人情報保護管理者(若しくはその代理人) の氏名又は職名、所属及び連絡先
  3. c)全ての保有個人データの利用目的(J.8.4 の a)~c)までに該当する場合を除く。)
  4. d)保有個人データの取扱いに関する苦情の申出先
  5. e)当該組織が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先
  6. f) J.10.2 によって定めた手続
  7. g)保有個人データの安全管理のために講じた措置(本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)

J.10.4 保有個人データの利用目的の通知

  1. 本人から、当該本人が識別される保有個人データについて、利用目的の通知を求められた 場合、遅滞なくこれに応じること。
  2. 本人から、当該本人が識別される保有個人データについて、利用目的の通知を求められた 場合であって、利用目的の通知を必要としないのは以下の場合に限定すること。
    • J.8.4 の a)~c)のいずれかに該当する場合
    • J.10.3 の c)によって当該本人が識別される保有個人データの利用目的が明らかな場合
  3. 前2項の各事由のいずれかに該当する場合、本人に遅滞なくその旨を通知するとともに、理由を説明すること。

J.10.5 保有個人データ又は第三者提供記録の開示

  1. 本人から、当該本人が識別される保有個人データ又は第三者提供記録の開示の請求を受けた場合、法令によって特別の手続が定められている場合を除き、本人に対し、遅滞なく、電磁的記録の提供も含めて当該本人が指定した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)によって開示すること。
  2. 本人から、当該本人が識別される保有個人データ又は第三者提供記録の開示の請求を受けた場合であって、全部又は一部の開示を必要としないのは以下の場合に限定すること。
    1. a)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
    2. b)当該組織の業務の適正な実施に著しい支障を及ぼすおそれがある場合
    3. c)法令に違反する場合
  3. 1項の当該本人が指定した方法について、当該方法による開示が困難であるとして、書面での交付とした場合、もしくは、前2. 項の各事由のいずれかに該当する場合、本人に遅滞なくその旨を通知するとともに、理由を説明すること。

J.10.6 保有個人データの訂正、追加又は削除

本人から、当該本人が識別される保有個人データの訂正等(訂正、追加又は削除)の請求 を受けた場合、法令の規定により特別の手続が定められている場合を除き、利用目的の達 成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該保有 個人データの訂正等を行うこと。

本人から保有個人データの訂正等の請求を受けて訂正等を行った場合は、その旨及びそ の内容を本人に遅滞なく通知すること。

本人から保有個人データの訂正等の請求を受けたが応じなかった場合、その旨及びその 理由を本人に遅滞なく通知すること。

J.10.7 保有個人データの利用又は提供の拒否権

本人から当該本人が識別される保有個人データの利用停止等(利用の停止、消去又は第三者への提供の停止)の請求に応じること。

本人からの当該本人が識別される保有個人データの利用停止等の請求に応じた場合、遅滞なくその旨を本人に通知すること。

本人からの当該本人が識別される保有個人データの利用停止等の請求に応じなかった場合は J.10.5 の a)~c)に該当する場合に限定すること。

J.10.5 の a)~c)のいずれかに該当する場合、本人に遅滞なくその旨通知するとともに、理 由を説明すること。

J.11 苦情及び相談への対応

J.11.1 苦情及び相談への対応

個人情報の取扱い及び個人情報保護マネジメントシステムに関して、本人からの苦情及 び相談を受け付けて、適切かつ迅速な対応を行う手順が内部規程として文書化すること。 苦情及び相談への対応を実施すること。

苦情の申立て先は、本人にとって明確にすること。

認定個人情報保護団体の対象事業者となっている場合は、当該団体の苦情解決の申し出先も明示すること。

本人からの苦情及び相談を受け付けて、適切かつ迅速な対応を行うための体制を整備すること。