ジャグラガイドライン

JaGra 個人情報保護ガイドライン 第7版

2005年(平成17年)12 月7 日制定 第 41年度第2回理事会
2007年(平成19年) 3月9日改定 第42年度第4回理事会改定
2014年(平成26年)4月1日公表 第49年度第3回理事会改定
2016年(平成28年)1月8日公表 第51年度第4回理事会改定
2018年(平成30年)6月2日改定 第54年度第2回理事会改定
2022年(令和4年)3 月18日改定 第 57年度第3回理事会改定
2024年(令和6年)3月22日 最終改訂 第59年度第6回理事会改定

序 文

一般社団法人日本グラフィックサービス工業会は、日本国内の印刷・グラフィックサービス工業の事業者団体として個人情報保護の重要性を認識し、印刷・グラフィックサービス工業者の個人情報保護への自主的な取組みを促進・支援するため、その普及・啓発を図る。この度、一般社団法人日本グラフィックサービス工業会では、個人情報の適切な保護について、事業者が体系的で経営活動全般を統合したマネジメントシステムを策定するため個人情報保護ガイドライン(以下「本ガイドライン」という。)を日本産業規格「個人情報保護に関するマネジメントシステム-要求事項」(JIS Q 15001:2023)及び個人情報の保護に関する法律、個人情報保護委員会のガイドライン等に準拠し、またJIPDEC「プライバシーマークにおけるPMS構築・運用指針」にも配慮して改定した。
印刷・グラフィックサービス工業者は、個人情報を含む多種 多様な情報を大量に取り扱う者の当然の責務として個人情報の適切な保護に努めなければならないが、そのためには、本ガイドラインに準拠した個人情報保護マネジメントシステムを速やかに策定し、実施し、維持し、及び継続的に改善していくことが必要である。なお、印刷・グラフィックサービス工業者は、 個人情報保護マネジメントシステムを策定するに当って、それぞれの事業活動の実態に照らし個人情報との係わりを的確に把握した上で、本ガイドラインに規定した事項のほかに必要な項目を追加することができる。
本ガイドラインは、印刷・グラフィックサービス工業者の自由かつ公正な競争を阻害したり、法的義務を増大又は変更するために用いられることを意図したものではない。印刷・グラフィックサービス工業者は、自由な情報流通の確保を前提とした高度情報通信社会の進展に資するため、個人情報の保護の必要性と個人情報の利用面等の有用性を共に認識し、両者を調和させるよう努めなければならない。

J.1 組織の状況

J.1.1 組織及びその状況の理解

  1. 事業者は、個人情報を取り扱う事業に関して、個人情報保護マネジメントシステムに影響を与えるような外部及び内部の課題を特定すること。

J.1.2 利害関係者のニーズ及び期待の理解

  1. 事業者は、次の事項を特定すること。
    a)個人情報保護マネジメントシステムに関連する利害関係者
    b)その利害関係者の、個人情報保護に関連する要求事項

J.1.3 法令、国が定める指針その他の規範

  1. 事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範(以下、「法令等」という。)を特定し参照する手順を内部規程として文書化すること。
  2. 法令等を特定し参照すること。

J.1.4 個人情報保護マネジメントシステムの適用範囲の決定

  1. 事業者は、自らの事業の用に供している全ての個人情報の取扱いを個人情報保護マネジメントシステムの適用範囲として定め、その旨を文書化すること。
  2. 文書化した情報を利用可能な状態にすること。

J.1.5 個人情報保護マネジメントシステム

  1. 事業者は、本ガイドラインに従って、必要なプロセス及びそれらの相互作用を含む、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、継続的に改善すること。

J.2 リーダーシップ

J.2.1 リーダーシップ及びコミットメント

  1. 代表者は、次の事項について統率し、その結果について責任を持つこと。
    a)事業者の戦略的な方向性と両立した、個人情報保護方針及び個人情報保護目的を確立する。
    b)個人情報保護マネジメントシステムの要求事項を事業者の業務手順に適切に組み入れる。
    c)個人情報保護マネジメントシステムに必要な資源を確保する。
    d)有効な個人情報保護マネジメント及び個人情報保護マネジメントシステム要求事項への適合の重要性を利害関係者に周知する。
    e)個人情報保護マネジメントシステムを適切に運用できるようにする。
    f)個人情報保護マネジメントシステムが計画通りに実施できるように、従業者を指揮・支援する。
    g)継続的改善を促進する。
    h)その他の関連する管理者がその職務領域において、統率力を発揮できるよう、その管理者に割り当てられた役割をサポートする。

J.2.2 個人情報保護方針

  1. 代表者は、次の事項を考慮して、個人情報保護方針を策定すること。
    a)事業の目的に対して適切であること。
    b)J.2.1 で定めた個人情報保護目的を含むか、又は個人情報保護目的の設定のための枠組みを示すこと。
    c)個人情報保護に関連して適用される要求事項を実施すること。
    d)個人情報保護マネジメントシステムの継続的改善を実施すること。
  2. 個人情報保護方針を文書化した情報には次の事項を含むこと。
    a)事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること[特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下、「目的外利用」という。)を行わないこと及びそのための措置を講じることを含む。]
    b)個人情報の取扱いに関する法令、国が定める指針その他の規範の遵守
    c)個人情報の漏えい、滅失又は毀損の防止及び是正に関する事項
    d)苦情及び相談への対応に関する事項
    e)個人情報保護マネジメントシステムの継続的改善に関する事項
    f)代表者の氏名
    g)制定年月日及び最終改正年月日
    h)個人情報保護方針の内容についての問合せ先
  3. 代表者は、個人情報保護方針を文書化した情報を、事業者内に周知するとともに、一般の人が入手可能な措置を講じること。

J.2.3.1 組織の役割、責任及び権限

  1. 代表者は、個人情報保護に関連する役割に対して、責任及び権限を従業者へ割り当てるとともに、その結果を利害関係者に周知すること。
  2. 責任及び権限を、次の事項を実施するために割り当てること。
    a)個人情報保護マネジメントシステムを、本ガイドラインの要求事項に適合させる。
    b)個人情報保護マネジメントシステムの運用の成果を代表者に報告させる。
  3. 役割及び役割に対する責任及び権限を、内部規程として文書化すること

J.2.3.2 個人情報保護管理者と個人情報保護監査責任者

  1. 代表者は、本ガイドラインの内容を理解し実践する能力のある個人情報保護管理者を事業者内部に属する者の中から指名し、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせること。
  2. 個人情報保護管理者は、個人情報保護マネジメントシステムの見直し及び改善の基礎として、代表者に個人情報保護マネジメントシステムの運用状況を報告すること。
  3. 代表者は、公平、かつ、客観的な立場にある個人情報保護監査責任者を事業者内部に属する者の中から指名し、監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え、業務を行わせること。
  4. 個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、代表者に報告すること。
  5. 監査員の選定及び監査の実施においては監査の客観性及び公平性を確保すること。

J.2.4 管理目的及び管理策(一般)

  1. 管理策について、代表者又は代表者によって権限が与えられた者によって、事業者が定めた手段に従って承認すること。

J.3 計画(表題)

J.3.1.1 個人情報の特定

  1. 自らの事業の用に供している全ての個人情報を特定するための手順を内部規程として文書化すること。
  2. 個人情報を管理するための台帳を整備すること。
  3. 台帳には、少なくとも次の項目を含むこと。
    ・個人情報の項目
    ・利用目的
    ・保管場所
    ・保管方法
    ・アクセス権を有する者
    ・利用期限
    ・保管期限
    ・管理する個人情報の件数(概数でも可)
  4. 台帳の内容は少なくとも年一回、及び必要に応じて適宜に確認し、最新の状態で維持すること。

J.3.1.2 リスク及び機会に対処する活動(一般)

  1. 事業者は、個人情報保護マネジメントシステムの計画の策定に当たって、J.1.1 で把握した課題及びJ.1.2 で特定した要求事項を考慮し、次の事項を実現できるよう個人情報保護リスクアセスメント及び個人情報保護リスク対応を行うこと。
    a)事業者が意図した成果を達成できるようなマネジメントシステムの策定
    b)望ましくない影響の防止
    c)個人情報保護マネジメントシステムの継続的な改善
    2.事業者は、個人情報保護マネジメントシステムの計画の策定に当たって、次の事項を含むこと。
    d)リスクに対する対策の内容
    e)d)の対策を個人情報保護マネジメントシステムの手順に含めて実施する方法
    f)d)の対策の評価

J.3.1.3 個人情報保護リスクアセスメント

  1. 事業者は、個人情報保護リスクについて次の事項を踏まえて、個人情報保護リスクアセスメント(個人情報保護リスクを特定、分析及び評価)をするための手順を定めかつ実施すること。
    定めた手順及び実施した内容については、少なくとも年一回、及び必要に応じて適宜に見直すこと。
    a)次の観点を、個人情報保護のリスク基準とする。
    1)本人の権利利益の侵害
    2)本ガイドラインに定める事項
    3)法令及び国が定める指針その他の規範に関する事項
    4)個人情報の漏えい、紛失、滅失・毀損、改ざん、正確性の未確保、不正・不適正取得、目的外利用・提供、不正利用、開示等の求め等の拒否に関する事項
    b)繰り返し実施した個人情報保護リスクアセスメントに、一貫性及び妥当性があり、かつ、比較可能な結果を生み出すことを確実にする。
    c)個人情報保護リスクを特定する。
    1)事業者において、事業毎に、個人情報の取扱いを特定する。
    2)個人情報の取得、保管、利用及び消去等に至る各局面において、適正な保護措置を講じない場合に想定されるリスクを特定する。
    3)上記で特定したリスクのリスク所有者を特定する。
    d)個人情報保護リスクを分析・評価する。
    1)c)で特定したリスクと、a)のリスク基準とを比較する。
    2)リスク対応の優先順位を明らかにする。
  2. 事業者は、個人情報保護のリスクを特定、分析及び評価をするための手順を内部規程として文書化すること。
  3. 文書化した情報を利用可能な状態にすること。

J.3.1.4 個人情報保護リスク対応

  1. 事業者は、次の事項について、個人情報保護リスクへの対応手順を内部規程として文書化し、かつ実施すること。
    定めた手順及び実施した内容については、適宜見直すこと。
    a)個人情報保護リスクへの対応に当たっては、個人情報保護リスクアセスメントの結果を考慮して、必要な対応策(本ガイドライン及び事業者が必要であると決定した、個人情報保護に関するリスクを修正する対策を含む。)を策定すること。
    b)a)を踏まえて、個人情報保護リスクへの対応計画を策定し、実施すること。
    c)個人情報保護リスクへの対応計画及び実施した内容(現状で実施し得る対策を講じた上で、未対応部分を残留リスクとして把握し、管理することを含む。)について、原則として、代表者の承認を得ること。
  2. 事業者は、a)~c)を実施した記録を利用可能な状態にすること。

J.3.2 個人情報保護目的及びそれを達成するための計画策定

  1. 事業者は、次の事項を含めて、個人情報保護目的を達成するために計画すること。
    a)実施事項
    b)必要な資源
    c)責任者
    d)達成期限
    e)結果の評価方法

J.3.3 計画策定

  1. 事業者は、個人情報保護マネジメントシステムを確実に実施するために、次の事項を含めて、少なくとも年一回、及び必要に応じて適宜に必要な計画を立案し、文書化すること。
    a)教育実施計画
    b)内部監査実施計画

J.3.4 変更の計画策定

  1. 事業者は、個人情報保護マネジメントシステムの変更の必要性に関する決定をしたとき、その変更を計画すること。

J.4 支援

J.4.1 資源

  1. 事業者は、個人情報保護マネジメントシステムの確立、実施、維持及び継続的改善に必要な資源を決定・確保し、利害関係者へ提供すること。

J.4.2 力量

  1. 事業者は、次の事項を行うこと。
    a)事業者の個人情報保護に影響を与える業務をその管理下で遂行する者に対して、個人情報保護の観点から、従業者に必要とされる能力を決定する。
    b)a)の者に対して、a)で決定した能力及びJ.4.3 を充足するための処置を行い、必要な能力を備えることを確実にする。
    c)b)を実施した結果、必要な能力が備わっていない場合は、必要な能力を身につけるための処置をとるとともに、とった処置の有効性を評価する。
    d)a)~c)を実施した記録を利用可能な状態にする。

J.4.3 認識

  1. 事業者は、従業者に対して、少なくとも年一回、及び必要に応じて適宜に教育を実施する手順(教育の理解度を確認する手順を含む。)を内部規程として文書化すること。
  2. 事業者は、従業者に対して、次の事項を認識させること。
    a)個人情報保護方針
    b)個人情報保護マネジメントシステムに適合することの重要性及び利点
    c)個人情報保護マネジメントシステムに適合するための役割及び責任
    d)個人情報保護マネジメントシステムに違反した際に予想される結果

J.4.4.1 コミュニケーション

  1. 事業者は、個人情報保護マネジメントシステムを構築・運用するにあたり、次の事項を考慮して、内外の利害関係者と意思疎通や情報共有を行うこと。
    a)コミュニケーションの内容(何を伝達するか。)
    b)コミュニケーションの実施時期
    c)コミュニケーションの対象者
    d)コミュニケーションの実施者
    e)コミュニケーションの実施手順
    f)コミュニケーションの実施方法

J.4.4.2 緊急事態への準備

  1. 事業者は、緊急事態が発生した場合に報告等が必要となる関係機関及び利害関係者をあらかじめ特定すること。
  2. 個人情報保護リスクを考慮し、その影響を最小限とするため、緊急事態を特定するための手順、及び特定した緊急事態にどのように対応するかの手順を内部規程として文書化すること。
  3. 緊急事態への準備及び対応に関する規定には、緊急事態が発生した場合に備え、次の事項を対応手順に含むこと。
    a)緊急事態が発生した個人情報の内容を本人に速やかに通知すること。
    b)二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及び対応策を、遅滞なく公表すること。
    c)事実関係、発生原因及び対応策を、関係機関及び利害関係者に直ちに報告すること。
    4.緊急事態が発生した場合、定めた手順に従って緊急事態への対応を実施すること。

J.4.5.1 文書化した情報(一般)

  1. 個人情報保護マネジメントシステムの基本となる次の要素に対応する書面を作成すること。
    a)個人情報保護方針
    b)内部規程
    c)内部規程に定める手順上で使用する様式
    d)計画書
    e)本ガイドラインが要求する記録
    f)その他、事業者が個人情報保護マネジメントシステムを実施する上で必要と判断した文書(記録を含む。)

J.4.5.2 文書化した情報の管理

  1. 個人情報保護マネジメントシステム及び本ガイドラインで要求されている文書化した情報は、次の事項を確実にするために管理すること。
    a)必要な時に、必要な所で、入手可能かつ利用に適した状態である。
    b)十分に保護されている(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)。
  2. 文書化した情報の管理に当たっては、次の事項を実施すること。
    c)配付、アクセス、検索及び利用
    d)読みやすさが保たれることを含む、保管及び保存
    e)変更の管理(例えば、版の管理)
    f)保持及び廃棄
  3. 個人情報保護マネジメントシステムに必要となる外部からの文書化した情報は、必要に応じて特定し、管理すること。

J.4.5.3 文書化した情報(記録を除く。)の管理

  1. 本ガイドラインが要求する全ての文書化した情報(記録を除く。)を管理する手順を、次の事項を含む内部規程として文書化すること。
    a)文書化した情報(記録を除く。)の発行及び改正に関すること。
    b)文書化した情報(記録を除く。)の改正の内容と版数との関連付けを明確にすること。
    c)必要な文書化した情報(記録を除く。)が必要なときに容易に参照できること。
    d)適切性及び妥当性に関する、適切なレビュー及び承認を行うこと。
  2. 文書化した情報(記録を除く。)の管理を実施すること。

J.4.5.4 内部規程

  1. 次の事項を含む内部規程を文書化すること。
    a)個人情報を特定する手順に関する規定
    b)法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
    c)個人情報保護リスクアセスメント及びリスク対応の手順に関する規定
    d)事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
    e)緊急事態への準備及び対応に関する規定
    f)個人情報の取得、利用及び提供に関する規定
    g)個人情報の適正管理(データ内容の正確性の確保等、安全管理措置、従業者の監督、委託先の監督)に関する規定
    h)本人からの開示等の請求等への対応に関する規定
    i)教育などに関する規定
    j)文書化した情報の管理に関する規定
    k)苦情及び相談への対応に関する規定
    l)監視、測定、分析及び評価、並びに内部監査に関する規定
    m)不適合及び是正処置に関する規定
    n)マネジメントレビューに関する規定
    o)内部規程の違反に関する罰則の規定
  2. 事業の内容に応じて、個人情報保護マネジメントシステムが確実に適用されるように内部規程を改正すること。

J.4.5.5 文書化した情報のうち、記録の管理

  1. 個人情報保護マネジメントシステム及び本ガイドラインで要求されている記録の管理についての手順を内部規程として文書化すること。
  2. 次の事項を含む必要な記録を作成すること。
    a)法令、国が定める指針及びその他の規範の特定に関する記録
    b)個人情報の特定に関する記録
    c)個人情報保護リスクアセスメント及び個人情報保護リスク対応に関する記録
    d)次の事項を含む管理策で要求する記録
    1)利用目的の特定に関する記録
    2)保有個人データに関する開示等(利用目的の通知,、開示,、内容の訂正,、追加又は削除、利用の停止又は消去,、第三者提供の停止)の請求等への対応記録
    3)第三者提供に係る記録
    4)第三者提供に関する開示等の請求等への対応記録
    5)個人情報の適正管理への対応記録
    e)教育などの実施記録
    f)苦情及び相談への対応記録
    g)緊急事態への対応記録
    h)監視、測定、分析及び評価の記録
    i)内部監査の記録
    j)マネジメントレビューの記録
    k)不適合及び是正処置の記録

J.5 運用

J.5.1 運用

  1. 個人情報保護マネジメントシステムを確実に実施するために、運用の手順を内部規程として文書化すること。
  2. 事業者は、本ガイドラインの要求事項を満たすため及びJ.3 で決定した活動について、計画し、実施し、管理すること。
  3. 事業者は、計画した変更を管理し、意図しない変更によって生じた結果をレビューし、必要に応じて、有害な影響を軽減する処置をとること。
  4. 事業者は、外部委託した業務がある場合は、管理の対象とすること。
  5. 事業者は本項2~4 についての記録を利用可能な状態にすること。

J.6 パフォーマンス評価

J.6.1 監視、測定、分析及び評価

  1. 各部門及び階層の管理者が定期的に、及び適宜に個人情報保護マネジメントシステムが適切に運用されていることを確認する手順を内部規程として文書化すること。
  2. 事業者は、個人情報保護マネジメントシステムが適切に運用されているかどうかを確認するために、次の事項を決定すること。
    a)対象とする個人情報保護マネジメントシステムの運用状況
    b)a)で対象とした運用状況の監視、測定、分析及び評価の方法
    c)a)で対象とした運用状況の監視及び測定の実施時期
    d)a)で対象とした運用状況の監視及び測定の実施者
    e)a)で対象とした運用状況の分析及び評価の時期
    f)a)で対象とした運用状況の分析及び評価の実施者
  3. 各部門及び各階層の管理者は、定期的に、及び適宜に個人情報保護マネジメントシステムが適切に運用されているかを確認し、不適合が確認された場合は、その是正処置を行うこと。
  4. 事業者は、監視及び測定の結果の証拠となる、文書化した情報を利用可能な状態にすること。
  5. 個人情報保護管理者は、定期的に、及び適宜に代表者に運用の確認の状況を報告すること。

J.6.2 内部監査

  1. 内部監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を内部規程として文書化すること。
  2. 事業者は、個人情報保護マネジメントシステムが次の事項の状況にあるか否かについて、少なくとも年一回、及び必要に応じて適宜に内部監査を実施すること。
    a)事業者の内部規程(事業者自身が規定した要求事項を含む)が、本ガイドラインの要求事項に適合している。
    b)個人情報保護マネジメントシステムが有効に実施され、維持されている。
  3. 個人情報保護監査責任者は、次の事項を行うこと。
    c)内部監査実施計画を策定、確立、実施及び維持する。その内部監査実施計画は、関連するプロセスの重要性及び前回までの内部監査の結果を考慮する。
    d)各内部監査について、監査目的、監査基準及び監査範囲を明確にする。
    e)内部監査プロセスの客観性及び公平性を確保する監査員を選定し、内部監査実施計画に従って、監査を実施する。
    f)内部監査の結果を内部監査報告書としてまとめ、管理層及び代表者に報告する。
  4. 内部監査実施計画及び内部監査結果の証拠となる、文書化した情報を利用可能な状態にすること。

J.6.3 マネジメントレビュー

  1. マネジメントレビューを実施する手順を内部規程として文書化すること。
  2. 代表者は、事業者の個人情報保護マネジメントシステムが、引き続き、適切、妥当かつ有効であることを確実にするために、少なくとも年一回、及び必要に応じて適宜にマネジメントレビューを実施すること。
  3. マネジメントレビューの実施に当たっては、次の事項を含むこと。
    a)前回までのマネジメントレビューの結果を踏まえた見直しの状況
    b)個人情報保護マネジメントシステムに関連する外部及び内部の問題点の変化
    c)以下の状況を踏まえた、現在の個人情報保護マネジメントシステムの運用状況の評価
    1)不適合及び是正処置
    2)監視及び測定の結果
    3)内部監査結果
    4)個人情報保護目的の達成
    d)利害関係者からのフィードバック
    e)リスクアセスメントの結果及びリスク対応計画の状況
    f)継続的改善の機会
  4. マネジメントレビューからのアウトプットには、継続的改善の機会及び個人情報保護マネジメントシステムのあらゆる変更の必要性に関する決定を含めること。
  5. 事業者は、マネジメントレビューの結果の証拠となる、文書化した情報を利用可能な状態にすること。

J.7 改善

J.7.1 不適合及び是正処置

  1. 1.事業者は、次の事項を含めて、不適合に対する是正処置を実施するための責任及び権限を定める手順を内部規程として文書化すること。
    a)その不適合に対処し、該当する場合には、必ず、次の事項を行う。
    1)その不適合を管理し、修正するための処置をとる。
    2)その不適合によって起こった結果に対処する。
    b)次の事項によって、その不適合の原因を除去するための処置を検討する。
    1)その不適合を調査及び分析する。
    2)その不適合の原因を特定する。
    3)類似の不適合の有無、又はそれが発生する可能性を検討する。
    c)是正処置を計画し、計画された処置を実施する。
    d)実施された全ての是正処置の有効性を調査、分析及び評価する。
    e)必要な場合には、個人情報保護マネジメントシステムの改善を行う。
  2. 不適合が明らかとなった場合、a)~e)の事項を実施すること。
  3. a)~e)の実施結果の証拠となる、文書化した情報を利用可能な状態にするとともに、原則として、代表者が承認すること。

J.7.2 継続的改善

  1. 事業者は、個人情報保護マネジメントシステムの適切性、妥当性及び有効性を継続的に改善すること。

J.8 取得、利用及び提供に関する原則

J.8.1 利用目的の特定

  1. 個人情報の利用目的をできる限り特定し、その目的の達成に必要な範囲内において取扱いを行うこと。
  2. .利用目的は、取得した情報の利用及び提供によって本人の受ける影響を予測できるように、利用及び提供の範囲を可能な限り具体的に明らかにすること。

J.8.2 適正な取得

  1. 事業者は、適法かつ公正な手段によって個人情報を取得すること。

J.8.3 要配慮個人情報などの取得

  1. 要配慮個人情報の取得に際しては、要配慮個人情報の取得、利用、又は提供(要配慮個人情報のデータの提供含む)する旨について、あらかじめ書面によって明示し、書面によって本人の同意を得ること。
  2. 要配慮個人情報を取得する際、あらかじめ書面によって本人の同意を得ることを要しないのは、以下の場合に限定すること。
    a)法令に基づく場合
    b)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
    c)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
    d)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
    e)当該要配慮個人情報が、法令等により個人情報取扱事業者の義務などの適用除外とされている者及び個人情報保護委員会規則で定めた者によって公開された要配慮個人情報であるとき
    f)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
    g)特定した利用目的の達成に必要な範囲内において、要配慮個人情報の取扱いの全部又は一部を委託することに伴って当該要配慮個人情報の提供を受けるとき
    h)合併その他の事由による事業の承継に伴って要配慮個人情報の提供を受ける場合であって、承継前の利用目的の範囲内で当該要配慮個人情報を取り扱うとき
    i)J.8.7 のd)によって、特定の者との間で共同して利用される要配慮個人情報を当該特定の者から提供を受けるとき
    j)当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
    k)学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)
  3. 個人情報に、性生活、性的指向又は労働組合に関する情報が含まれる場合には、当該情報を要配慮個人情報と同様に取り扱うこと。

J.8.4 個人情報を取得した場合の措置

  1. 個人情報を取得した場合は、あらかじめ、その利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し、又は公表すること。
  2. 本人に利用目的を通知し、又は公表を要しないのは、以下の場合に限定すること。
    a)利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
    b)利用目的を本人に通知し、又は公表することによって当該事業者の権利又は正当な利益を害するおそれがある場合
    c)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがある場合
    d)取得の状況からみて利用目的が明らかであると認められる場合

J.8.5 J.8.4 のうち本人から直接書面によって取得する場合の措置

  1. 本人から、書面に記載された個人情報を直接取得する場合には、少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、書面によって本人の同意を得ること。
    a)事業者の名称又は氏名
    b)個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
    c)利用目的
    d)個人情報を第三者に提供することが予定される場合の事項
    -第三者に提供する目的
    -提供する個人情報の項目
    -提供の手段又は方法
    -当該情報の提供を受ける者又は提供を受ける者の事業者の種類、及び属性
    -個人情報の取扱いに関する契約がある場合はその旨
    e)個人情報の取扱いの委託を行うことが予定される場合には、その旨
    f)J.10.4~J.10.7 に該当する場合には、その請求等に応じる旨及び問合せ窓
    g)本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本   人に生じる結果
    h)本人が容易に知覚できない方法によって個人情報を取得する場合には、その旨
  2. あらかじめ書面によって本人に明示し、書面によって本人の同意を得ないのは、以下の場合に限定すること。
    ・人の生命、身体若しくは財産の保護のために緊急に必要がある場合
    ・以下のいずれかに該当し、J.8.4 の措置を要しない場合
    1)利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
    2)利用目的を本人に通知し、又は公表することによって当該事業者の権利又は正当な利益を害するおそれがある場合
    3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがある場合
    4)取得の状況からみて利用目的が明らかであると認められる場合

J.8.6 利用に関する措置

  1. 個人情報を利用する場合には、本人の同意の有無に関わらず、違法又は不当な行為を助長し、又は誘発するおそれのあるものを除くこと。
  2. 特定した利用目的の達成に必要な範囲内で個人情報を利用すること。
  3. 特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、少なくとも、J.8.5 のa)~f)に示す事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得ること。
  4. 特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合に、本人の同意を得ることを要しないのは、以下の場合に限定すること。a)法令に基づく場合
    b)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
    c)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
    d)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
    e)当該個人情報取扱事業者が学術研究機関等である場合であって、学術研究目的で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
    f)学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)

J.8.7 本人に連絡又は接触する場合の措置

  1. 個人情報を利用して本人に連絡又は接触する場合には、本人に対して、J.8.5 のa)~f)に示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得ること。
  2. 個人情報を利用して本人に連絡又は接触する場合のうち、本人に通知し、本人の同意を得ることを要しない場合を、利用する個人情報が以下の場合に限定すること。
    a)J.8.5 の措置において、あらかじめ、利用目的として個人情報を利用して本人に連絡又は接触することを含め、J.8.5 のa)~f)に示す事項又はそれと同等以上の内容の事項を明示し、既に本人の同意を得ているとき
    b)個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取り扱うとき
    c)合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供する事業者が、既にJ.8.5 のa)~f)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき
    d)個人情報が特定の者との間で、適法かつ公正な手段によって、共同して利用されている場合であって、以下の1)~5)に示す事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、共同して利用する者との間で共同利用について契約によって定めているとき
    1)共同して利用すること
    2)共同して利用される個人情報の項目
    3)共同して利用する者の範囲
    4)共同して利用する者の利用目的
    5)共同して利用する個人情報の管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
    e)J.8.4 のd)に該当する場合に取得した個人情報を利用して、本人に連絡又は接触するとき
    f)法令に基づく場合
    g)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
    h)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
    i)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき

J.8.8 個人データの提供に関する措置

  1. 個人データを第三者に提供する場合には、あらかじめ、本人に対して、当該個人データを第三者に提供することに関して、J.8.5のa)~d)に示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得ること。
  2. 個人データを第三者に提供する場合に、本人に通知し、本人の同意を得ることを要しない場合は、以下の場合に限定すること。
    a)J.8.5 の規定によって、個人データを第三者に提供することに関して、既にJ.8.5 のa)~d)の事項又はそれと同等以上の内容の事項を本人に明示し、本人の同意を得ているとき、又はJ.8.7 の規定によって、既にJ.8.5 のa)~d)の事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得ているとき
    b)本人の同意を得ることが困難な場合、かつ本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、法令等が定める手続に基づいた上で、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たとき。ただし、第三者に提供される個人データが要配慮個人情報又は偽りその他不正の手段により取得された個人データ若しくは他の個人情報取扱事業者からこの項b)の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
    1)第三者への提供を行う事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
    2)第三者への提供を利用目的とすること
    3)第三者に提供される個人データの項目
    4)第三者に提供される個人データの取得の方法
    5)第三者への提供の方法
    6)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
    7)本人の求めを受け付ける方法
    8)第三者に提供される個人データの更新方法
    9)当該届出に係る個人データの第三者への提供を開始する予定日
    c)特定した利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供されるとき
    d)合併その他の事由による事業の承継に伴って個人データが提供される場合であって、承継前の利用目的の範囲内で当該個人データを取り扱うとき
    e)J.8.7 の2 項d)によって、特定の者との間で共同して利用される個人データが当該特定の者に提供されるとき
    f)法令に基づく場合
    g)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
    h)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
    i)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
    j)個人情報取扱事業者が学術研究機関等である場合であって、個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)
    k)個人情報取扱事業者が学術研究機関等である場合であって、個人データを学術研究目的で提供する必要があるとき(個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(個人情報取扱事業者と第三者が共同して学術研究を行う場合に限る。)
    l)第三者が学術研究機関等である場合であって、第三者が個人データを学術研究目的で取り扱う必要があるとき(個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)

J.8.8.1 外国にある第三者への提供の制限

  1. 外国にある第三者に個人データを提供する場合、以下のいずれかを満たすこと。ただし、J.8.8 のf)~l)のいずれかに該当する場合はこれに限らない。
    a)あらかじめ外国にある第三者への提供を認める旨の本人の同意がある場合
    b)個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供をする場合
    c)個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域にある第三者への提供をする場合
  2. 1項のa)によって外国にある第三者に個人データを提供する場合は、あらかじめ、次に掲げる事項について、当該本人に必要な情報を提供すること。
    d)当該外国の名称
    e)適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
    f)当該第三者が講ずる個人情報の保護のための措置に関する情報
    g)d)~f)に定める事項が特定できない場合、その旨及びその理由
    h)g)に該当する場合であって、d)~f)の事項に代わる本人に参考となるべき情報がある場合には、当該情報
    i)g)及びh)に該当する場合について情報提供できない場合には、g)及びh)に定める事項に代えて、その旨及びその理由
  3. 1項のb)によって外国にある第三者に個人データを提供する場合には、あらかじめ、次に掲げる事項について、必要な措置を講じること。
    j)当該第三者による相当措置の実施状況並びに相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容について、適切かつ合理的な方法による定期的な確認
    k)当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供の停止
    l)本人の求めを受けた場合には、情報提供することにより当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合を除き、遅滞なく、以下の情報の提供
    1)当該第三者による体制の整備の方法
    2)当該第三者が実施する相当措置の概要
    3)j)による確認の頻度及び方法
    4)当該外国の名称
    5)当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要<
    6)当該第三者による相当措置の実施に関する支障の有無及びその概要<
    7) 6)の支障に関して、k)により講ずる措置の概要
  4. 3項のl)で、本人の求めに係る情報の全部又は一部について提供しない旨の決定をしたときは、本人に対して、遅滞なく、その旨を通知するとともに、その理由を説明すること。

J.8.8.2 第三者提供に係る記録の作成等

  1. 個人データを第三者に提供したときは、当該個人データの提供について必要な記録を作成すること。
  2. 個人データを第三者に提供したときに、当該個人データの提供に関する記録の作成を要しない場合を、以下の場合に限定すること。
    a)特定した利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供されるとき
    b)合併その他の事由による事業の承継に伴って個人データを提供される場合であって、承継前の利用目的の範囲内で当該個人データを取り扱うとき
    c)J.8.7のd)によって、特定の者との間で共同して利用される個人データが当該特定の者に提供されるとき
    d)法令に基づく場合
    e)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
    f)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
    g)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
    h)個人情報取扱事業者が学術研究機関等である場合であって、個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)
    i)個人情報取扱事業者が学術研究機関等である場合であって、個人データを学術研究目的で提供する必要があるとき(個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(個人情報取扱事業者と第三者が共同して学術研究を行う場合に限る。)
    j)第三者が学術研究機関等である場合であって、第三者が個人データを学術研究目的で取り扱う必要があるとき(個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
  3. 個人データを第三者に提供したことに関する記録を作成した場合、当該記録を必要な期間保管すること。
  4. 個人データを提供したときに、提供先が実施する第三者提供を受ける際の確認等に対し、適切に応じること。

J.8.8.3 第三者提供を受ける際の確認等

  1. 第三者から個人データの提供を受けるに際しては、必要な確認を行うこと。
  2. 第三者から個人データの提供を受けるに際して、確認を要しないのは、以下の場合に限定すること。
    a)特定した利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託されることに伴って当該個人データの提供を受けたとき
    b)合併その他の事由による事業の承継に伴って個人データの提供を受けた場合であって、承継前の利用目的の範囲内で当該個人データを取り扱うとき
    c)J.8.7 のd)によって、特定の者との間で共同して利用される個人データを当該特定の者から提供を受けたとき
    d)法令に基づく場合
    e)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
    f)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
    g)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
    h)個人情報取扱事業者が学術研究機関等である場合であって、個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)
    i)個人情報取扱事業者が学術研究機関等である場合であって、個人データを学術研究目的で提供する必要があるとき(個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(個人情報取扱事業者と第三者が共同して学術研究を行う場合に限る。)
    j)第三者が学術研究機関等である場合であって、第三者が個人データを学術研究目的で取り扱う必要があるとき(個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
  3. 第三者から個人データの提供を受けるに際して確認を行ったときは、必要な記録を作成すること。
  4. 第三者から個人データの提供を受けるに際して確認を行った記録は、必要な期間保管すること。

J.8.8.4 個人関連情報の第三者提供の制限等

  1. 第三者が個人関連情報を個人データとして取得することが想定される場合、次に示す事項又はそれと同等の事項を、あらかじめ、本人に対して通知又は明示し、本人が識別される個人データとして取得することを認める旨の同意を得ること。
    《同意を取得する主体が個人関連情報の提供先である場合に、提供先が本人に対して通知又は明示する事項》
    1)提供先の事業者の名称又は氏名
    2)提供先の事業者の個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
    3)個人関連情報の提供を受けて個人データとして取得した後の利用目的
    4)個人関連情報の項目
    5)個人関連情報の取得方法
    6)個人関連情報の取扱いに関する契約がある場合はその旨
    《同意を取得する主体が個人関連情報の提供元である場合に、提供元が本人に対して通知又は明示する事項》
    1)提供元の事業者の名称又は氏名
    2)提供元の事業者の個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
    3)個人関連情報の提供を受けて個人データとして取得した後の利用目的
    4)個人関連情報の項目
    5)提供する手段又は方法
    6)個人関連情報の提供を受けて個人データとして取得する者
    7)個人関連情報の取扱いに関する契約がある場合はその旨
  2. 第三者が個人関連情報を個人データとして取得することが想定される場合、当該個人関連情報を当該第三者に提供するに際しては、J.8.8 のf)~l)のいずれかに該当する場合を除き、あらかじめ、次に掲げる事項又はそれと同等以上の内容の事項について、確認を行うこと。
    a)1項に基づき、当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
    b)外国にある第三者への提供にあっては、a)の本人の同意を得ようとする場合において、法令等で定めるところによって、あらかじめ、以下の1)~3)に示す事項について、当該本人に提供されていること。
    1)当該外国の名称
    2)当該外国における個人情報の保護に関する制度に関する情報
    3)当該第三者が講ずる個人情報の保護のための措置に関する情報
  3. 個人関連情報を外国にある第三者に提供した場合には、J.8.8.1 で定めるところによって、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じること。
  4. 以下の事項について、確認の記録を作成、保管すること。
    《個人関連情報の提供元の確認の記録事項》
    c)a)で本人の同意が得られていることを確認した旨及び外国にある第三者への提供にあっては、b)で本人に情報の提供が行われていることを確認した旨
    d)個人関連情報を提供した年月日
    e)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
    f)当該個人関連情報の項目
    《個人関連情報の提供先の確認の記録事項》
    g)a)で本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては、b)で本人に情報の提供が行われている旨
    h)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
    i)当該個人データ(個人関連情報)によって識別される本人の氏名その他当該本人を特定するに足りる事項
    j)当該個人関連情報の項目

J.8.9 匿名加工情報

  1. 匿名加工情報の取扱いを行うか否かの方針を定めること。
  2. 匿名加工情報を取り扱う場合には、以下の事項に関する適切な取扱いを行う手順を内部規程として文書化すること。
    a)適切な加工方法の決定、及び加工の実施
    b)加工方法等情報の安全管理措置
    c)匿名加工情報を作成、及び提供することに関する公表
    d)匿名加工情報の取扱いにおいて識別行為を防止する措置
    e)匿名加工情報の安全管理、苦情処理、その他の適正な取扱いのための措置、及び当該措置の公表
  3. 匿名加工情報を取り扱う場合には、定めた手順に従うこと。

J.8.10 仮名加工情報

  1. 仮名加工情報の取扱いを行うか否かの方針を定めること。
  2. 仮名加工情報を取り扱う場合には、適切な取扱いを行う手順を内部規程として文書化すること。
  3. 仮名加工情報を作成する場合には、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして、個人情報保護委員会規則で定める基準に従い、個人情報を加工すること。
  4. 仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じること。
  5. 仮名加工情報を利用する場合には、以下を実施すること。
    a)利用目的をできる限り特定し、法令に基づく場合を除くほか、その目的の達成に必要な範囲内において行うこと
    b)あらかじめその利用目的を公表している場合、又はJ.8.4 のa)~d)のいずれかに該当する場合を除き、速やかに、その利用目的を公表すること
    c)仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合しないこと
    d)電話をかけ、郵便若しくは信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用しないこと
  6. 仮名加工情報を提供する場合には、以下の場合に限定すること。
    e)仮名加工情報の取扱いの全部又は一部を、J.9.4 と同等の措置を講じた上で委託する場合
    f)仮名加工情報が特定の者との間で、適法かつ公正な手段によって、共同して利用されている場合であって、以下の1)~5)に示す事項をあらかじめ公表するとともに、共同して利用する者との間で共同利用について契約によって定めているとき
    1)共同して利用すること
    2)共同して利用される仮名加工情報の項目
    3)共同して利用する者の範囲
    4)共同して利用する者の利用目的
    5)共同して利用する仮名加工情報の管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
    g)合併その他の事由による事業の承継に伴って仮名加工情報を提供する場合
    h)法令に基づく場合
  7. 仮名加工情報の取扱いに関する苦情の適切かつ迅速な対応を行うこと。
  8. 仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去すること。

J.9 適正管理

J.9.1 正確性の確保

  1. 利用目的の達成に必要な範囲内において、個人データを、正確、かつ、最新の状態で管理すること。
  2. 個人データの管理(利用する必要がなくなった場合の消去を含む。)は、定めた手順に基づいて適切に行うこと。

J.9.2 安全管理措置

  1. 取り扱う個人情報の個人情報保護リスクに応じて、漏えい、滅失又は毀損の防止その他の個人情報の安全管理のために、法令に基づき必要かつ適切な措置を講じること。
  2. 外部サービスを利用する場合であって、当該サービス提供事業者が当該個人データを取り扱わないことになっているサービスを利用する場合は、適切な安全管理措置が図られるよう、あらかじめサービス内容の把握、評価等を行ったうえで選定すること。

J.9.3 従業者の監督

  1. 個人データを取り扱う従業者に対して必要かつ適切な監督を行うこと。

J.9.4 委託先の監督

  1. 個人データの取扱いの全部又は一部を委託する場合、十分な個人データの保護水準を満たしている者を選定するための委託先選定基準を確立し、委託先を選定すること。
  2. 個人データの取扱いの全部又は一部を委託する場合、特定した利用目的の範囲内で委託契約を締結すること。
  3. 次に示す事項が盛り込まれた契約を締結すること。
    a)委託者及び受託者の責任の明確化
    b)個人データの安全管理に関する事項
    c)再委託に関する事項
    d)個人データの取扱状況に関する委託者への報告の内容及び頻度
    e)契約内容が遵守されていることを委託者が、定期的に、及び適宜に確認できる事項
    f)契約内容が遵守されなかった場合の措置
    g)事件・事故が発生した場合の報告・連絡に関する事項
    h)契約終了後の措置
  4. 全ての委託先を漏れなく特定すること。
  5. 委託契約書は当該個人データの保有期間にわたって保存すること。
  6. 委託契約に基づき、委託先を適切に監督すること。

J.10 個人情報に関する本人の権利

J.10.1 個人情報に関する権利

  1. 保有個人データに関して、本人から開示等の請求等を受けた場合、J.10.4~J.10.7 の規定によって、遅滞なくこれに応じること。
  2. J.8.8.2 及びJ.8.8.3 で作成した第三者提供記録に関して、本人から開示等の請求等を受けた場合、J.10.5 の規定によって、遅滞なくこれに応じること。
  3. 保有個人データ又は第三者提供記録に当たらないものとして、次に掲げるいずれかに限定すること。
    a)当該個人データ又は当該第三者提供記録の存否が明らかになることによって、本人又は第三者の生命、身体又は財産に危害が及ぶおそれのあるもの
    b)当該個人データ又は当該第三者提供記録の存否が明らかになることによって、違法又は不当な行為を助長する、又は誘発するおそれのあるもの
    c)当該個人データ又は当該第三者提供記録の存否が明らかになることによって、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの
    d)当該個人データ又は当該第三者提供記録の存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の公共の安全及び秩序維持に支障が及ぶおそれのあるもの

J.10.2 開示等の請求等に応じる手続

  1. 保有個人データ又は第三者提供記録の開示等の請求等に応じる手続として、次の事項を文書化すること。
    a)開示等の請求等の申出先
    b)開示等の請求等に際して提出すべき書面の様式その他の開示等の請求等の方  法
    c)開示等の請求等をする者が、本人又は代理人であることの確認の方法
    d)J.10.4 又はJ.10.5 による手数料(定めた場合に限る。)の徴収方法
  2. 保有個人データ又は第三者提供記録の開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮すること。
  3. 本人からの請求などに応じる場合に、手数料を徴収するときは、実費を勘案して合理的であると認められる範囲内において、その額を定めること。

J.10.3 保有個人データ又は第三者提供記録に関する事項の周知など

  1. 保有個人データ又は第三者提供記録に関して、次の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くこと。
    a)事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
    b)個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
    c)全ての保有個人データの利用目的(J.8.4のa)~c)までに該当する場合を除く。)
    d)保有個人データの取扱いに関する苦情の申出先
    e)当該事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先
    f)J.10.2 によって定めた手続
    g)保有個人データの安全管理のために講じた措置(本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)

J.10.4 保有個人データの利用目的の通知

  1. 本人から、当該本人が識別される保有個人データについて、利用目的の通知を求められた場合、遅滞なくこれに応じること。
  2. 本人から、当該本人が識別される保有個人データについて、利用目的の通知を求められた場合であって、利用目的の通知を必要としないのは以下の場合に限定すること。
    ・J.8.4 のa)~c)のいずれかに該当する場合
    ・J.10.3 のc)によって当該本人が識別される保有個人データの利用目的が明らかな場合
  3. 2項の各事由のいずれかに該当する場合、本人に遅滞なくその旨を通知するとともに、理由を説明すること。

J.10.5 保有個人データ又は第三者提供記録の開示

  1. 本人から、当該本人が識別される保有個人データ又は第三者提供記録の開示の請求を受けた場合、法令によって特別の手続が定められている場合を除き、本人に対し、遅滞なく、電磁的記録の提供も含めて当該本人が指定した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)によって開示すること。
  2. 本人から、当該本人が識別される保有個人データ又は第三者提供記録の開示の請求を受けた場合であって、全部又は一部の開示を必要としないのは以下の場合に限定すること。
    a)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
    b)当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
    c)法令に違反する場合
  3. 1項の当該本人が指定した方法について、当該方法による開示が困難であるとして、書面での交付とした場合、若しくは、2項の各事由のいずれかに該当する場合、本人に遅滞なくその旨を通知するとともに、理由を説明すること。

J.10.6 保有個人データの訂正、追加又は削除

  1. 本人から、当該本人が識別される保有個人データの訂正等(訂正、追加又は削除)の請求を受けた場合、法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該保有個人データの訂正等を行うこと。
  2. 本人から保有個人データの訂正等の請求を受けて訂正等を行った場合は、その旨及びその内容を本人に遅滞なく通知すること。
  3. 本人から保有個人データの訂正等の請求を受けたが応じなかった場合、本人に遅滞なくその旨を通知するとともに、理由を説明すること。

J.10.7 保有個人データの利用又は提供の拒否権

  1. 本人から当該本人が識別される保有個人データの利用停止等(利用の停止、消去又は第三者への提供の停止)の請求に応じること。
  2. 本人からの当該本人が識別される保有個人データの利用停止等の請求に応じた場合、遅滞なくその旨を本人に通知すること。
  3. 本人からの当該本人が識別される保有個人データの利用停止等の請求に応じなかった場合は以下のいずれかに該当する場合に限定し、本人に遅滞なくその旨を通知するとともに、理由を説明すること。
    a)当該保有個人データの利用停止等に多額の費用を要する場合等の理由により、利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき
    b)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
    c)当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
    d)法令に違反する場合

J.11 苦情及び相談への対応

J.11.1 苦情及び相談への対応

  1. 個人情報の取扱い及び個人情報保護マネジメントシステムに関して、本人からの苦情及び相談を受け付けて、適切かつ迅速な対応を行う手順が内部規程として文書化すること。
  2. 本人からの苦情及び相談を受け付けて、適切かつ迅速な対応を行うための体制を整備すること。
  3. 苦情及び相談の申出先(認定個人情報保護団体の対象事業者となっている場合は、当該団体の苦情解決の申出先も含む)について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くこと。
  4. 苦情及び相談への対応を実施すること。

以上