ガイドライン

印刷・グラフィックサービス工業
個人情報保護ガイドライン -第5.0版-

一般社団法人日本グラフィックサービス工業会
2005年(平成17年)12月7日制定 第41年度第2回理事会
2007年(平成19年) 3月9日改定 第42年度第4回理事会
2014年(平成26年)4月1日公表 第49年度第3回理事会改定
2016年(平成28年)1月8日公表 第51年度第4回理事会改定
2018年(平成30年)6月2日改定 第54年度第2回理事会

序 文

 一般社団法人日本グラフィックサービス工業会は,日本国内の印刷・グラフィックサービス工業の事業者団体として個人情報保護の重要性を認識し,印刷・グラフィックサービス工業者の個人情報保護への自主的な取組みを促進・支援するため,その普及・啓発を図る。

この度,一般社団法人日本グラフィックサービス工業会では,個人情報の適切な保護について,事業者が体系的で経営活動全般を統合したマネジメントシステムを策定するため個人情報保護ガイドライン(以下「本ガイドライン」という。)を日本工業規格「個人情報保護に関するマネジメントシステム-要求事項」(JIS Q 15001:2017)及び個人情報の保護に関する法律,個人情報保護委員会のガイドライン等に準拠して制定した。

印刷・グラフィックサービス工業者は,個人情報を含む多種多様な情報を大量に取り扱う者の当然の責務として個人情報の適切な保護に努めなければならないが,そのためには,本ガイドラインに準拠した個人情報保護マネジメントシステムを速やかに策定し,実施し,維持し,及び継続的に改善していくことが必要である。なお,印刷・グラフィックサービス工業者は,個人情報保護マネジメントシステムを策定するに当って,それぞれの事業活動の実態に照らし個人情報との係わりを的確に把握した上で,本ガイドラインに規定した事項のほかに必要な項目を追加することができる。

本ガイドラインは,印刷・グラフィックサービス工業者の自由かつ公正な競争を阻害したり,法的義務を増大又は変更するために用いられることを意図したものではない。

印刷・グラフィックサービス工業者は,自由な情報流通の確保を前提とした高度情報通信社会の進展に資するため,個人情報の保護の必要性と個人情報の利用面等の有用性を共に認識し,両者を調和させるよう努めなければならない。

A.1 目的及び適用範囲

A.1.1 目的

本ガイドラインは,「個人情報の保護に関する法律(平成15年5月30日法律第57号)」(以下,「個人情報保護法」という。)及び「JIS Q 15001:2017個人情報保護マネジメントシステム-要求事項」(以下,「JIS規格」という。)に基づき,印刷・グラフィックサービス工業における個人情報の適切な取扱いに関する具体的な指針を定めるものであり,個人情報の適切な保護・利活用及び印刷・グラフィックサービス工業の健全なる発展を図ることを目的とするものである。

A.1.2 適用範囲

本ガイドラインは,個人情報を事業の用に供している,印刷・グラフィックサービス工業者を対象とし,印刷・グラフィックサービス工業者は,次の事項を行う際に,本ガイドラインを用いることができる。なお,本ガイドラインは,事業の用に供する個人情報について一律に取り扱うことを要求するものではなく,印刷・グラフィックサービス工業者のリスクアセスメントの結果に応じた取扱いを認めるものである。

(1)個人情報保護マネジメントシステムを確立し,実施し,維持し,かつ,改善する時。
(2)確立した個人情報保護マネジメントシステムが,本ガイドラインに適合していることについて自ら確認し,表明する時。
(3)確立した個人情報保護マネジメントシステムが本ガイドラインに適合していることについて外部機関に確認を求める時。

A.2 用語及び定義

本ガイドラインで用いる主な用語及び定義は,個人情報保護法及びJIS規格3 用語及び定義による。その他の主な用語及び定義は,次による。

  • 代表者
    印刷・グラフィックサービス工業者の代表権を有する者
  • 本人の同意
    本人が,個人情報の取扱いに関する情報を与えられた上で,自己に関する個人情報の取扱いについて承諾する意思表示。本人が子供又は事理を弁識する能力を欠く者の場合は,法定代理人等の同意も得なければならない。
  • 個人情報保護マネジメントシステム
    印刷・グラフィックサービス工業者が,自らの事業の用に供する個人情報について,その有用性に配慮しつつ,個人の権利利益を保護するための方針,体制,計画,実施,点検及び見直しを含むマネジメントシステム。
  • 委託元
    個人情報の取扱いを伴う業務の全部又は一部を委託する者をいう。
  • 委託先
    委託元から個人情報の取扱いを伴う業務の全部又は一部の委託を受ける者をいう。
  • 受託業務
    印刷・グラフィックサービス工業者が,委託先として委託元から受託する個人情報の取扱いを伴う各種印刷物の制作・製造及び同関連サービス(デジタル媒体による情報加工処理を含む。)に係わる業務,並びにその他全ての業務をいう。
  • 認識
    印刷・グラフィックサービス工業者の組織内で業務に従事する者が持つべき認識=教育を意味する。
  • パフォーマンス評価
    実績評価の意味で,業務実績を基準に照らし評価し合否を判定する。

A.3 管理目的及び管理策

A.3.1 一般

A.3.1.1 一般

この管理策に規定するA.3.2からA.3.8は,代表者によって権限を与えられた者によって,印刷・グラフィックサービス工業者が定めた手段に従って承認されなければならない。

A.3.2 個人情報保護方針

A.3.2.1 内部向け個人情報保護方針

代表者は,内部向け個人情報保護方針を文書化した情報には次の事項を含めなければならない。

a)事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること[特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下,“目的外利用”という。)を行わないこと及びそのための措置を講じることを含む。]。

b)個人情報の取扱いに関する法令,国が定める指針その他の規範を遵守すること。

c)個人情報の漏えい,滅失又はき損の防止及び是正に関すること。

d)個人情報保護についての苦情及び相談への対応に関すること。

e)個人情報保護マネジメントシステムの継続的改善に関すること。

f)代表者の氏名

代表者は,内部向け個人情報保護方針を文書化した情報を,印刷・グラフィックサービス工業者内に伝達し,必要に応じて,利害関係者が入手可能にするための措置を講じなければならない。

A.3.2.2 外部向け個人情報保護方針

代表者は,外部向け個人情報保護方針を文書化した情報には,A.3.2.1に規定する内部向け個人情報保護方針の事項に加えて,次の事項も明記しなければならない。

a)制定年月日及び最終改定年月日

b)外部向け個人情報保護方針の内容についての問合せ先

代表者は,外部向け個人情報保護方針を文書化した情報について,一般の人が知り得るようにするための一般の人が入手可能な措置を講じなければならない。

A.3.3 計画

A.3.3.1 個人情報の特定

印刷・グラフィックサービス工業者は,自らの事業の用に供している全ての個人情報を特定するための手順を確立し,かつ,維持しなければならない。

印刷・グラフィックサービス工業者は,個人情報の項目,利用目的,保管場所,保管方法,アクセス権を有する者,利用期限,保管期限などを記載した,個人情報を管理するための台帳を整備するとともに,当該台帳の内容を少なくとも年一回,適宜に確認し,最新の状態で維持されるようにしなければならない。

印刷・グラフィックサービス工業者は,特定した個人情報については,A.3.3.3を踏まえて個人データと同様に取り扱わなければならない。

A.3.3.2 法令,国が定める指針その他の規範

印刷・グラフィックサービス工業者は,個人情報の取扱いに関する法令,国が定める指針その他の規範(以下,「法令等」という。)を特定し参照できる手順を確立し,かつ,維持しなければならない。法令等には次のものを含むが,A.3.3.1によって特定した個人情報の内容によって,その他の省庁や業界団体等が定める法令等を追加する。受託業務に供する目的のために委託元から委託される個人情報を取り扱う場合,委託元に適用される法令等もできる限り特定しその内容に留意した取扱いを行うことが望まれる。法令等の制定・改廃状況に注意し,常にその最新版を維持,参照する手順を定め実施する。

(1)個人情報保護法,行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(平成25年5月31日法律第27号),及び関連法令,政令,施行規則など

(2)個人情報保護委員会が定める個人情報の保護に関する法律についてのガイドライン(通則編),同(外国にある第三者への提供編),同(第三者提供時の確認・記録義務編),同(匿名加工情報編),特定個人情報の適正な取扱いに関するガイドライン(事業者編)(本文及び(別添)特定個人情報に関する安全管理措置),及びその他の関係省庁の個人情報保護のための指針,ガイドラインなど

(3)JIS規格

(4)本ガイドライン

A.3.3.3 リスクアセスメント及びリスク対策

印刷・グラフィックサービス工業者は,A.3.3.1によって特定した個人情報について,利用目的の達成に必要な範囲を超えた利用を行わないため,必要な対策を講じる手順を確立し,かつ,維持しなければならない。

印刷・グラフィックサービス工業者は,A.3.3.1によって特定した個人情報の取扱いについて,個人情報保護リスクを特定し,分析し,必要な対策を講じる手順を確立し,かつ,維持しなければならない。

印刷・グラフィックサービス工業者は,現状で実施し得る対策を講じた上で,未対応部分を残留リスクとして把握し,管理しなければならない。

印刷・グラフィックサービス工業者は,個人情報保護リスクの特定,分析及び講じた個人情報保護リスク対策を少なくとも年一回,適宜に見直さなければならない。

A.3.3.4 資源,役割,責任及び権限

代表者は,少なくとも,次の責任及び権限を割り当てなければならない。

a)個人情報保護管理者

b)個人情報保護監査責任者

代表者は,本ガイドラインの内容を理解し実践する能力のある個人情報保護管理者を印刷・グラフィックサービス工業者内部に属する者の中から指名し,個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え,業務を行わせなければならない。個人情報保護管理者は,個人情報保護マネジメントシステムの見直し及び改善の基礎として,代表者に個人情報保護マネジメントシステムの運用状況を報告しなければならない。

代表者は,公平,かつ,客観的な立場にある個人情報保護監査責任者を印刷・グラフィックサービス工業者内部に属する者の中から指名し,監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え,業務を行わせなければならない。

個人情報保護監査責任者は,監査を指揮し,監査報告書を作成し,代表者に報告しなければならない。監査員の選定及び監査の実施においては,監査の客観性及び公平性を確保しなければならない。

個人情報保護監査責任者と個人情報保護管理者とは異なる者でなければならない。

A.3.3.5 内部規程

印刷・グラフィックサービス工業者は,次の事項を含む内部規程を文書化し,かつ,維持しなければならない。

a)個人情報を特定する手順に関する規定

b)法令,国が定める指針その他の規範の特定,参照及び維持に関する規定

c)個人情報保護リスクアセスメント及びリスク対策の手順に関する規定

d)印刷・グラフィックサービス工業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定

e)緊急事態への準備及び対応に関する規定

f)個人情報の取得,利用及び提供に関する規定

g)個人情報の適正管理に関する規定

h)本人からの開示等の請求等への対応に関する規定

i)教育などに関する規定

j)文書化した情報の管理に関する規定

k)苦情及び相談への対応に関する規定

l)点検に関する規定

m)是正処置に関する規定

n)マネジメントレビューに関する規定

o)内部規程の違反に関する罰則の規定

印刷・グラフィックサービス工業者は,事業の内容に応じて,個人情報保護マネジメントシステムが確実に適用されるように内部規程を改定しなければならない。

A.3.3.6 計画策定

印刷・グラフィックサービス工業者は,個人情報保護マネジメントシステムを確実に実施するために,少なくとも年一回,次の事項を含めて,必要な計画を立案し,文書化し,かつ,維持しなければならない。

a)A.3.4.5に規定する事項を踏まえた教育実施計画の立案及びその文書化

b)A.3.7.2に規定する事項を踏まえた内部監査実施計画及びその文書化

A.3.3.7 緊急事態への準備

印刷・グラフィックサービス工業者は,緊急事態を特定するための手順,及び,特定した緊急事態にどのように対応するかの手順を確立し,実施し,かつ,維持しなければならない。

印刷・グラフィックサービス工業者は,個人情報保護リスクを考慮し,その影響を最小限とするための手順を確立し,かつ,維持しなければならない。

また,印刷・グラフィックサービス工業者は,緊急事態が発生した場合に備え,次の事項を含む対応手順を確立し,かつ,維持しなければならない。

a)漏えい,滅失又はき損が発生した個人情報の内容を本人に速やかに通知するか,又は本人が容易に知り得る状態に置くこと。

b)二次被害の防止,類似事案の発生回避などの観点から,可能な限り事実関係,発生原因及び対応策を,遅滞なく公表すること。

c)事実関係,発生原因及び対応策を関係機関に直ちに報告すること。関係機関には次の機関などを含める。

1)委託元から取扱いを委託された個人情報に係る場合,委託元との契約等に従って委託元。この場合,緊急事態対応の内容について,本項の定めに基づいて委託元と協議する。

2)個人情報保護委員会,又は印刷・グラフィックサービス工業者が認定個人情報保護団体の対象事業者である場合,当該認定個人情報保護団体

3)一般社団法人日本グラフィックサービス工業会

4)犯罪によることが推定できる場合,管轄警察署

A.3.4 実施及び運用

A.3.4.1 運用手順

印刷・グラフィックサービス工業者は,個人情報保護マネジメントシステムを確実に実施するために,運用の手順を明確にしなければならない。

A.3.4.2 取得,利用及び提供に関する原則

A.3.4.2.1 利用目的の特定

印刷・グラフィックサービス工業者は,個人情報を取り扱うに当たっては,その利用目的をできる限り特定し,その目的の達成に必要な範囲内において行わなければならない。委託元から個人情報の取扱いの委託を受ける場合,委託元にその利用目的を確認するよう努めなければならない。

印刷・グラフィックサービス工業者は,利用目的の特定に当たっては,取得した情報の利用及び提供によって本人の受ける影響を予測できるように,利用及び提供の範囲を可能な限り,具体的に明らかにするよう配慮しなければならない。

A.3.4.2.2 適正な取得

印刷・グラフィックサービス工業者は,適法かつ公正な手段によって個人情報を取得しなければならない。

印刷・グラフィックサービス工業者が委託元から個人情報の取扱いの委託を受ける場合,委託元に当該個人情報が適法,かつ,公正な手段によって取得されたものであることを確認するよう努めなければならない。

A.3.4.2.3 要配慮個人情報

印刷・グラフィックサービス工業者は,新たに要配慮個人情報を取得する場合,あらかじめ書面による本人の同意を得ないで,以下の要配慮個人情報を取得してはならない。

  1. 思想,信条又は宗教に関する事項
  2. 人種,民族,門地,本籍地(所在都道府県に関する情報を除く。),社会的身分,病歴に関する事項
  3. 勤労者の団結権,団体交渉その他団体行動の行為に関する事項
  4. 集団示威行為への参加,請願権の行使その他の政治的権利の行使に関する事項
  5. 保健医療(ただし(12)を除く)又は性生活に関する事項
  6. その他社会的差別の原因となる事項
  7. 犯罪により害を被った事実
  8. 犯罪の経歴 前科(すなわち有罪の判決を受けこれが確定した事実)
  9. 本人を被疑者又は被告人として逮捕,捜索,差押え,勾留,公訴の提起その他の刑事事件に関する手続きが行われたこと(犯罪の経歴を除く)
  10. 本人を少年法に規定する少年又はその疑いのある者として調査,観護の措置,審判,保護処分その他の少年の保護事件に関する手続きが行われたこと
  11. 身体障害,知的障害,精神障害(発達障害を含む)その他心身の機能の障害があること
  12. 健康診断等の結果に基づき,又は,疾病,負傷その他の心身の変化を理由として,本人への医師等による指導又は診療若しくは調剤が行われたこと

ただし,次に掲げるいずれかに該当する場合には,書面による本人の同意を得ることを要しない。

a)法令に基づく場合

b)人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるとき

c)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得ることが困難であるとき

d)国の機関若しくは地方公共団体又はその委託を受けた者が,法令の定める事務を遂行することに対して協力する必要がある場合であって,本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき

e)その他,個人情報取扱事業者の義務などの適用除外とされている者及び個人情報保護委員会規則で定めた者によって公開された要配慮個人情報,又は政令で定められた要配慮個人情報であるとき

印刷・グラフィックサービス工業者は,要配慮個人情報の利用又は提供についても,前項と同様に実施しなければならない。さらに,要配慮個人情報のデータの提供についても,同様に実施しなければならない。

A.3.4.2.4 個人情報を取得した場合の措置

印刷・グラフィックサービス工業者は,個人情報を取得した場合は,あらかじめ,その利用目的を公表している場合を除き,速やかに,その利用目的を,本人に通知するか,又は公表しなければならない。ただし,次に掲げるいずれかに該当する場合には,本人への利用目的の通知又は公表は要しない。

a)利用目的を本人に通知するか,又は公表することによって本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがある場合

b)利用目的を本人に通知するか,又は公表することによって当該印刷・グラフィックサービス工業者の権利又は正当な利益を害するおそれがある場合

c)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって,利用目的を本人に通知するか,又は公表することによって当該事務の遂行に支障を及ぼすおそれがある場合

d)取得の状況からみて利用目的が明らかであると認められる場合。

A.3.4.2.5 A.3.4.2.4のうち本人から直接書面によって取得する場合の措置

印刷・グラフィックサービス工業者は,A.3.4.2.4の措置を講じた場合において,本人から,書面(電子的方式,磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下,同じ。)に記載された個人情報を直接取得する場合には,少なくとも,次に示す事項又はそれと同等以上の内容の事項を,あらかじめ,書面によって本人に明示し,書面によって本人の同意を得なければならない。

a)印刷・グラフィックサービス工業者の名称又は氏名

b)個人情報保護管理者(若しくはその代理人)の氏名又は職名,所属及び連絡先

c)利用目的

d)個人情報を第三者に提供することが予定される場合の事項

-第三者に提供する目的

-提供する個人情報の項目

-提供の手段又は方法

-当該情報の提供を受ける者又は提供を受ける者の印刷・グラフィックサービス工業者の種類,及び属性

-個人情報の取扱いに関する契約がある場合はその旨

e)個人情報の取扱いの委託を行うことが予定される場合には,その旨

f)A.3.4.4.4~A.3.4.4.7に該当する場合には,その請求等に応じる旨及び問合せ窓口

g)本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果

h)本人が容易に知覚できない方法によって個人情報を取得する場合には,その旨

ただし,人の生命,身体若しくは財産の保護のために緊急に必要がある場合は,又はただし書きA.3.4.2.4のa)~d)のいずれかに該当する場合は,本人に明示し,本人の同意を得ることを要しない。

A.3.4.2.6 利用に関する措置

印刷・グラフィックサービス工業者は,特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない。

特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は,あらかじめ,少なくとも,A.3.4.2.5のa)~f)に示す事項又はそれと同等以上の内容の事項を本人に通知し,本人の同意を得なければならない。ただし,A.3.4.2.3のa)~d)のいずれかに該当する場合には,本人の同意を得ることを要しない。

A.3.4.2.7 本人に連絡又は接触する場合の措置

印刷・グラフィックサービス工業者は,個人情報を利用して本人に連絡又は接触する場合には,本人に対して,A.3.4.2.5のa)~f)に示す事項又はそれと同等以上の内容の事項,及び取得方法を通知し,本人の同意を得なければならない。ただし,次に掲げるいずれかに該当する場合は,本人に通知し,本人の同意を得ることを要しない。

a)A.3.4.2.5のa)~f)に示す事項又はそれと同等以上の内容の事項を明示又は通知し,既に本人の同意を得ているとき

b)個人情報の取扱いの全部又は一部を委託された場合であって,当該個人情報を,その利用目的の達成に必要な範囲内で取り扱うとき

c)合併その他の事由による事業の承継に伴って個人情報が提供され,個人情報を提供する印刷・グラフィックサービス工業者が,既にA.3.4.2.5のa)~f)に示す事項又はそれと同等以上の内容の事項を明示又は通知し,本人の同意を得ている場合であって,承継前の利用目的の範囲内で当該個人情報を取り扱うとき

d)個人情報が特定の者との間で共同して利用され,共同して利用する者が,既にA.3.4.2.5のa)~f)に示す事項又はそれと同等以上の内容の事項を明示又は通知し,本人の同意を得ている場合であって,次に示す事項又はそれと同等以上の内容の事項を,あらかじめ,本人に通知するか,又は本人が容易に知り得る状態に置いているとき(以下,“共同利用”という。)

-共同して利用すること

-共同して利用される個人情報の項目

-共同して利用する者の範囲

-共同して利用する者の利用目的

-共同して利用する個人情報の管理について責任を有する者の氏名又は名称

-取得方法

e)A.3.4.2.4のd)に該当するため,利用目的などを本人に明示,通知又は公表することなく取得した個人情報を利用して,本人に連絡又は接触するとき

f)A.3.4.2.3のただし書きa)~d)のいずれかに該当する場合

A.3.4.2.8 個人データの提供に関する措置

印刷・グラフィックサービス工業者は,個人データを第三者に提供する場合には,あらかじめ,本人に対して,A.3.4.2.5のa)~d)に示す事項又はそれと同等以上の内容の事項,及び取得方法を通知し,本人の同意を得なければならない。ただし,次に掲げるいずれかに該当する場合は,本人に通知し,本人の同意を得ることを要しない。

a)A.3.4.2.5又はA.3.4.2.7の規定によって,既にA.3.4.2.5のa)~d)の事項又はそれと同等以上の内容の事項を本人に明示又は通知し,本人の同意を得ているとき

b)本人の同意を得ることが困難な場合であって,法令等が定める手続に基づいた上で,次に示す事項又はそれと同等以上の内容の事項を,あらかじめ,本人に通知するか,又はそれに代わる同等の措置を講じているとき

1)第三者への提供を利用目的とすること

2)第三者に提供される個人データの項目

3)第三者への提供の手段又は方法

4)本人の請求などに応じて当該本人が識別される個人データの第三者への提供を停止すること

5)取得方法

6)本人からの請求などを受け付ける方法

c)法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって,かつ,本人又は当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって,b)の1)~6)で示す事項又はそれと同等以上の内容の事項を,あらかじめ,本人に通知するか,又は本人が容易に知り得る状態に置いているとき

d)特定した利用目的の達成に必要な範囲内において,個人データの取扱いの全部又は一部を委託するとき

e)合併その他の事由による事業の承継に伴って個人データを提供する場合であって,承継前の利用目的の範囲内で当該個人データを取り扱うとき

f)個人データを共同利用している場合であって,共同して利用する者の間で,A.3.4.2.7に規定する共同利用について契約によって定めているとき

g)A.3.4.2.3のただし書きa)~d)のいずれかに該当する場合

A.3.4.2.8.1 外国にある第三者への提供の制限

印刷・グラフィックサービス工業者は,法令等の定めに基づき,外国にある第三者に個人データを提供する場合には,あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。ただし,A.3.4.2.3のa)~d)のいずれかに該当する場合及びその他法令等によって除外事項が適用される場合には,本人の同意を得ることを要しない。

A.3.4.2.8.2 第三者提供に係る記録の作成など

印刷・グラフィックサービス工業者は,個人データを第三者に提供したときは,法令等の定めるところによって記録を作成し,保管しなければならない。ただし,A.3.4.2.3のa)~d)のいずれかに該当する場合,又は次に掲げるいずれかに該当する場合は,記録の作成を要しない。

a)個人情報取扱事業者が,利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

b)合併その他の事由による事業の承継に伴って個人データが提供される場合

c)特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって,その旨並びに共同して利用される個人データの項目,共同して利用する者の範囲,利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について,あらかじめ,本人に通知するか,又は本人が容易に知り得る状態に置いているとき。

A.3.4.2.8.3 第三者提供を受ける際の確認など

印刷・グラフィックサービス工業者は,第三者から個人データの提供を受けるに際しては,法令等の定めるところによって確認を行わなければならない。ただし,A.3.4.2.3のa)~d)のいずれかに該当する場合,又はA.3.4.2.8.2のa)~c)のいずれかに該当する場合は,確認を要しない。

印刷・グラフィックサービス工業者は,法令等の定めるところによって確認の記録を作成,保管しなければならない。

A.3.4.2.9 匿名加工情報

印刷・グラフィックサービス工業者は,匿名加工情報の取扱いを行うか否かの方針を定めなければならない。

印刷・グラフィックサービス工業者は,匿名加工情報を取り扱う場合には,本人の権利利益に配慮し,かつ,法令等の定めるところによって適切な取扱いを行う手順を確立し,かつ,維持しなければならない。

A.3.4.3 適正管理

A.3.4.3.1 正確性の確保

印刷・グラフィックサービス工業者は,利用目的の達成に必要な範囲内において,個人データを,正確,かつ,最新の状態で管理しなければならない。

印刷・グラフィックサービス工業者は,個人データを利用する必要がなくなったときは,当該個人データを遅滞なく消去するよう努めなければならない。

A.3.4.3.2 安全管理措置

印刷・グラフィックサービス工業者は,その取り扱う個人情報の個人情報保護リスクに応じて,漏えい,滅失又はき損の防止,その他の個人情報の安全管理のために組織的,人的,物理的及び技術的な,必要かつ適切な措置を講じなければならない。

当該措置は,個人情報が漏えい等した場合に本人が被る権利利益の侵害の大きさを考慮し,事業の規模及び性質,個人情報の取扱状況等のリスクに応じて必要かつ適切な内容としなければならない。

(1)個人情報の取扱いに係る規律の整備

印刷・グラフィックサービス工業者は,その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために,個人データの具体的な取扱いに係る規律を整備しなければならない。

具体的には,取得,利用,保存,提供,削除・廃棄等の段階ごとに,取扱方法,責任者・担当者及びその任務等について定める個人データの取扱規程を策定することが考えられる。なお,具体的に定める事項については,以降に記述する組織的安全管理措置,人的安全管理措置及び物理的安全管理措置の内容並びに情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)は技術的安全管理措置の内容を織り込むこと。

(2)組織的安全管理措置

印刷・グラフィックサービス工業者は,組織的安全管理措置として,次に掲げる措置を講じなければならない。

a)組織体制の整備

安全管理措置を講ずるための組織体制を整備しなければならない。

b)個人データの取扱いに係る規律に従った運用

あらかじめ整備された個人データの取扱いに係る規律に従って個人データを取り扱わなければならない。

なお,整備された個人データの取扱いに係る規律に従った運用の状況を確認するため,システムログ又は利用実績を記録することも重要である。

c)個人データの取扱状況を確認する手段の整備

個人データの取扱状況を確認するための手段を整備しなければならない。

d)漏えい等の事案に対応する体制の整備

漏えい等の事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備しなければならない。

なお,漏えい等の事案が発生した場合,二次被害の防止,類似事案の発生防止等の観点から,事案に応じて,事実関係及び再発防止策等を早急に公表することが重要である。

e)取扱状況の把握及び安全管理措置の見直し

個人データの取扱状況を把握し,安全管理措置の評価,見直し及び改善に取り組まなければならない。

(3)人的安全管理措置

印刷・グラフィックサービス工業者は,人的安全管理措置として,次に掲げる措置を講じなければならない。また,対象事業者は,従業者に個人情報を取り扱わせるに当たっては,A3.4.3.3に基づき従業者に対する監督をしなければならない。

a)雇用契約時及び委託契約時における非開示契約の締結

b)従業者の教育

従業者には,個人情報の適正な取扱いを周知徹底するとともに,A.3.4.5に基づき適切な教育を行わなければならない。

(4)物理的安全管理措置

印刷・グラフィックサービス工業者は,物理的安全管理措置として,次に掲げる措置を講じなければならない。

a)個人データを取り扱う区域の管理

個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域(以下「管理区域」という。)及びその他の個人データを取り扱う事務を実施する区域(以下「取扱区域」という。)について,それぞれ適切な管理を行わなければならない。

b)機器及び電子媒体等の盗難等の防止

個人データを取り扱う機器,電子媒体及び書類等の盗難又は紛失等を防止するために,適切な管理を行わなければならない。

c)電子媒体等を持ち運ぶ場合の漏えい等の防止

個人データが記録された電子媒体又は書類等を持ち運ぶ場合,容易に個人データが判明しないよう,安全な方策を講じなければならない。

なお,「持ち運ぶ」とは,個人データを管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいい,事業所内の移動等であっても,個人データの紛失・盗難等に留意する必要がある。

d)個人データの削除及び機器,電子媒体等の廃棄

個人データを削除し又は個人データが記録された機器,電子媒体等を廃棄する場合は,復元不可能な手段で行わなければならない。

また,個人データを削除した場合,又は,個人データが記録された機器,電子媒体等を廃棄した場合には,削除又は廃棄した記録を保存することや,それらの作業を委託する場合には,委託先が確実に削除又は廃棄したことについて証明書等により確認することも重要である。

(5)技術的安全管理措置

印刷・グラフィックサービス工業者は,情報システム(パソコン等の機器を含む。)を使用して個人情報を取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。),技術的安全管理措置として,次に掲げる措置を講じなければならない。

a)アクセス制御

担当者及び取り扱う個人情報データベース等の範囲を限定するために,適切なアクセス制御を行わなければならない。

b)アクセス者の識別と認証

個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを,識別した結果に基づき認証しなければならない。

c)外部からの不正アクセス等の防止

個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し,適切に運用しなければならない。

d)情報システムの使用に伴う漏えい等の防止

情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ,適切に運用しなければならない。

安全管理措置に関する管理目的及び管理策は,取り扱う個人情報の個人情報保護リスクのリスク分析の結果に応じて,JIS規格附属書C(参考)を参照しても良い。

A.3.4.3.3 従業者の監督

印刷・グラフィックサービス工業者は,その従業者に個人データを取り扱わせるに当たっては,当該個人データの安全管理が図られるよう,当該従業者に対する必要かつ適切な監督を行わなければならない。

A.3.4.3.4 委託先の監督

印刷・グラフィックサービス工業者は,個人データの取扱いの全部又は一部を委託する場合,特定した利用目的の範囲内で委託契約を締結しなければならない。

印刷・グラフィックサービス工業者は,個人データの取扱いの全部又は一部を委託する場合は,十分な個人データの保護水準を満たしている者を選定しなければならない。このため,印刷・グラフィックサービス工業者は,委託を受ける者を選定する基準を確立しなければならない。委託を受ける者を選定する基準には,少なくとも委託する当該業務に関しては,自社と同等以上の個人情報保護の水準にあることを客観的に確認できることを含めなければならない。

印刷・グラフィックサービス工業者は,個人データの取扱いの全部又は一部を委託する場合は,委託する個人データの安全管理が図られるよう,委託を受けた者に対する必要かつ適切な監督を行わなければならない。

印刷・グラフィックサービス工業者は,次に示す事項を契約によって規定し,十分な個人データの保護水準を担保しなければならない。

a)委託者及び受託者の責任の明確化

b)個人データの安全管理に関する事項

c)再委託に関する事項

d)個人データの取扱状況に関する委託者への報告の内容及び頻度

e)契約内容が遵守されていることを委託者が,定期的に,及び適宜に確認できる事項

f)契約内容が遵守されなかった場合の措置

g)事件・事故が発生した場合の報告・連絡に関する事項

h)契約終了後の措置

印刷・グラフィックサービス工業者は,当該契約書などの書面を少なくとも個人データの保有期間にわたって保存しなければならない。

A.3.4.4 個人情報に関する本人の権利

A.3.4.4.1 個人情報に関する権利

印刷・グラフィックサービス工業者は,保有個人データに関して,本人から開示等の請求等を受け付けた場合は,A.3.4.4.4~A.3.4.4.7の規定によって,遅滞なくこれに応じなければならない。ただし,次に掲げるいずれかに該当する場合は,保有個人データには当たらない。

a)当該個人データの存否が明らかになることによって,本人又は第三者の生命,身体又は財産に危害が及ぶおそれのあるもの

b)当該個人データの存否が明らかになることによって,違法又は不当な行為を助長する,又は誘発するおそれのあるもの

c)当該個人データの存否が明らかになることによって,国の安全が害されるおそれ,他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの

d)当該個人データの存否が明らかになることによって,犯罪の予防,鎮圧又は捜査その他の公共の安全及び秩序維持に支障が及ぶおそれのあるもの

印刷・グラフィックサービス工業者は,保有個人データに該当しないが,本人から求められる利用目的の通知,開示,内容の訂正,追加又は削除,利用の停止,消去及び第三者への提供の停止の請求などの全てに応じることができる権限を有する個人情報についても,保有個人データと同様に取り扱わなければならない。

A.3.4.4.2 開示等の請求等に応じる手続

印刷・グラフィックサービス工業者は,開示等の請求等に応じる手続として次の事項を定めなければならない。

a)開示等の請求等の申出先

b)開示等の請求等に際して提出すべき書面の様式その他の開示等の請求等の方式

c)開示等の請求等をする者が,本人又は代理人であることの確認の方法

d)A.3.4.4.4又はA.3.4.4.5による場合の手数料(定めた場合に限る。)の徴収方法

印刷・グラフィックサービス工業者は,本人からの開示等の請求等に応じる手続を定めるに当たっては,本人に過重な負担を課するものとならないよう配慮しなければならない。

印刷・グラフィックサービス工業者は,A.3.4.4.4又はA.3.4.4.5によって本人からの請求などに応じる場合に,手数料を徴収するときは,実費を勘案して合理的であると認められる範囲内において,その額を定めなければならない。

A.3.4.4.3 保有個人データに関する事項の周知など

印刷・グラフィックサービス工業者は,当該保有個人データに関し,次の事項を本人の知り得る状態(本人の請求などに応じて遅滞なく回答する場合を含む。)に置かなければならない。

a)印刷・グラフィックサービス工業者の氏名又は名称

b)個人情報保護管理者(若しくはその代理人)の氏名又は職名,所属及び連絡先

c)全ての保有個人データの利用目的[A.3.4.2.4のa)~c) までに該当する場合を除く。]

d)保有個人データの取扱いに関する苦情の申出先

e)当該印刷・グラフィックサービス工業者が認定個人情報保護団体の対象事業者である場合にあっては,当該認定個人情報保護団体の名称及び苦情の解決の申出先

f)A.3.4.4.2によって定めた手続

A.3.4.4.4 保有個人データの利用目的の通知

印刷・グラフィックサービス工業者は,本人から,当該本人が識別される保有個人データについて,利用目的の通知を求められた場合には,遅滞なくこれに応じなければならない。ただし,A.3.4.2.4のただし書きa)~c)のいずれかに該当する場合,又はA.3.4.4.3のc)によって当該本人が識別される保有個人データの利用目的が明らかな場合は利用目的の通知を必要としないが,そのときは,本人に遅滞なくその旨を通知するとともに,理由を説明しなければならない。

A.3.4.4.5 保有個人データの開示

印刷・グラフィックサービス工業者は,本人から,当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。)の請求を受けたときは,法令の規定によって特別の手続が定められている場合を除き,本人に対し,遅滞なく,当該保有個人データを書面(開示の請求を行った者が同意した方法があるときは,当該方法)によって開示しなければならない。ただし,開示することによって次のa)~c)のいずれかに該当する場合は,その全部又は一部を開示する必要はないが,そのときは,本人に遅滞なくその旨を通知するとともに,理由を説明しなければならない。

a)本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがある場合

b)当該印刷・グラフィックサービス工業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

c)法令に違反する場合

A.3.4.4.6 保有個人データの訂正,追加又は削除

印刷・グラフィックサービス工業者は,本人から,当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの訂正,追加又は削除(以下,この項において“訂正等”という。)の請求を受けた場合は,法令の規定によって特別の手続が定められている場合を除き,利用目的の達成に必要な範囲内において,遅滞なく必要な調査を行い,その結果に基づいて,当該保有個人データの訂正等を行わなければならない。また,印刷・グラフィックサービス工業者は,訂正等を行ったときは,その旨及びその内容を,本人に対し,遅滞なく通知し,訂正等を行わない旨の決定をしたときは,その旨及びその理由を,本人に対し,遅滞なく通知しなければならない。

A.3.4.4.7 保有個人データの利用又は提供の拒否権

印刷・グラフィックサービス工業者が,本人から当該本人が識別される保有個人データの利用の停止,消去又は第三者への提供の停止(以下,この項において“利用停止等”という。)の請求を受けた場合は,これに応じなければならない。また,措置を講じた後は,遅滞なくその旨を本人に通知しなければならない。ただし,A.3.4.4.5のただし書きa)~c)のいずれかに該当する場合は,利用停止等を行う必要はないが,そのときは,本人に遅滞なくその旨を通知するとともに,理由を説明しなければならない。

A.3.4.5 認識

印刷・グラフィックサービス工業者は,従業者に,関連する各部門及び階層における次の事項を認識させる手順を確立し,かつ,維持しなければならない。

a)個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針)

b)個人情報保護マネジメントシステムに適合することの重要性及び利点

c)個人情報保護マネジメントシステムに適合するための役割及び責任

d)個人情報保護マネジメントシステムに違反した際に予想される結果

印刷・グラフィックサービス工業者は,認識させる手順に,全ての従業者に対する教育を少なくとも年一回,適宜に行うことを含めなければならない。

A.3.5 文書化した情報

A.3.5.1 文書化した情報の範囲

印刷・グラフィックサービス工業者は,次の個人情報保護マネジメントシステムの基本となる要素を書面で記述しなければならない。

a)内部向け個人情報保護方針

b)外部向け個人情報保護方針

c)内部規程

d)内部規程に定める手順上で使用する様式

e)計画書

f)本ガイドラインが要求する記録及び印刷・グラフィックサービス工業者が個人情報保護マネジメントシステムを実施する上で必要と判断した記録

A.3.5.2 文書化した情報(記録を除く。)の管理

印刷・グラフィックサービス工業者は,本ガイドラインが要求する全ての文書化した情報(記録を除く。)を管理する手順を確立し,実施し,かつ,維持しなければならない。

文書化した情報(記録を除く。)の管理の手順には,次の事項が含まれなければならない。

a)文書化した情報(記録を除く。)の発行及び改定に関すること

b)文書化した情報(記録を除く。)の改定の内容と版数との関連付けを明確にすること

c)必要な文書化した情報(記録を除く。)が必要なときに容易に参照できること

A.3.5.3 文書化した情報のうち記録の管理

印刷・グラフィックサービス工業者は,個人情報保護マネジメントシステム及び本ガイドラインの要求事項への適合を実証するために必要な記録として,次の事項を含む記録を作成し,かつ,維持しなければならない。

a)個人情報の特定に関する記録

b)法令,国が定める指針及びその他の規範の特定に関する記録

c)個人情報保護リスクの認識,分析及び対策に関する記録

d)計画書

e)利用目的の特定に関する記録

f)保有個人データに関する開示等(利用目的の通知,開示,内容の訂正,追加又は削除,利用の停止又は消去,第三者提供の停止)の請求等への対応記録

g)教育などの実施記録

h)苦情及び相談への対応記録

i)運用の確認の記録

j)内部監査報告書

k)是正処置の記録

l)マネジメントレビューの記録

印刷・グラフィックサービス工業者は,記録の管理についての手順を確立し,実施し,かつ,維持しなければならない。

A.3.6 苦情及び相談への対応

印刷・グラフィックサービス工業者は,個人情報の取扱い及び個人情報保護マネジメントシステムに関して,本人からの苦情及び相談を受け付けて,適切かつ迅速な対応を行う手順を確立し,かつ,維持しなければならない。

印刷・グラフィックサービス工業者は,上記の目的を達成するために必要な体制の整備を行わなければならない。

A.3.7 パフォーマンス評価

A.3.7.1 運用の確認

印刷・グラフィックサービス工業者は,個人情報保護マネジメントシステムが適切に運用されていることが印刷・グラフィックサービス工業者の各部門及び階層において定期的に,及び適宜に確認されるための手順を確立し,実施し,かつ,維持しなければならない。

各部門及び各階層の管理者は,定期的に,及び適宜にマネジメントシステムが適切に運用されているかを確認し,不適合が確認された場合は,その是正処置を行わなければならない。

個人情報保護管理者は,代表者による個人情報保護マネジメントシステムの見直しに資するため,定期的に,及び適宜に代表者にその状況を報告しなければならない。

A.3.7.2 内部監査

印刷・グラフィックサービス工業者は,個人情報保護マネジメントシステムのJIS規格への適合状況及び個人情報保護マネジメントシステムの運用状況を少なくとも年一回,適宜に監査しなければならない。

印刷・グラフィックサービス工業者は,監査の計画及び実施,結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を確立し,実施し,かつ,維持しなければならない。

個人情報保護監査責任者は,監査員に,自己の所属する部署の内部監査をさせてはならない。

A.3.7.3 マネジメントレビュー

代表者は,印刷・グラフィックサービス工業者の個人情報保護マネジメントシステムが,引き続き,適切,妥当かつ有効であることを確実にするために,少なくとも年一回,適宜に個人情報保護マネジメントシステムを見直さなければならない。

マネジメントレビューにおいては,次の事項を考慮しなければならない。

a)監査及び個人情報保護マネジメントシステムの運用状況に関する報告b)苦情を含む外部からの意見

b)苦情を含む外部からの意見

c)前回までの見直しの結果に対するフォローアップ

d)個人情報の取扱いに関する法令,国の定める指針その他の規範の改正状況

e)社会情勢の変化,国民の認識の変化,技術の進歩などの諸環境の変化

f)印刷・グラフィックサービス工業者の事業領域の変化

g)内外から寄せられた改善のための提案

h)リスクアセスメントの結果及びリスク対応計画の状況

マネジメントレビューからのアウトプットには,継続的改善の機会,及び個人情報保護マネジメントシステムのあらゆる変更の必要性に関する決定を含めなければならない。印刷・グラフィックサービス工業者は,マネジメントレビューの結果の証拠として,文書化した情報を保持しなければならない。

A.3.8 是正処置

印刷・グラフィックサービス工業者は,不適合に対する是正処置を確実に実施するための責任及び権限を定める手順を確立し,実施し,かつ,維持しなければならない。その手順には,次の事項を含めなければならない。

a)不適合の内容を確認する。

b)不適合の原因を特定し,是正処置を立案する。

c)期限を定め,立案された処置を実施する。

d)実施された是正処置の結果を記録する。

e)実施された是正処置の有効性をレビューする。

A.4 改廃

本ガイドラインの改廃は,一般社団法人日本グラフィックサービス工業会個人情報保護委員会の発議により一般社団法人日本グラフィックサービス工業会理事会の承認を得るものとする。

 

個人情報保護ガイドラインダウンロード

本ガイドラインのPDF版は下記よりダウンロードいただけます。
個人情報保護ガイドライン第5.0版(409KB, PDF)

PDFファイルをご覧いただくためにはAdobe Readerが必要です。