金融分野の組織における個人情報保護の考え方を調べてみました。
金融分野における個人情報保護に関するガイドライン
https://www.fsa.go.jp/common/law/kj-hogo-2/01.pdf
金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針
https://www.fsa.go.jp/common/law/kj-hogo-2/03.pdf
発行機関:金融庁
発行年月日:2018年2月
概要
金融庁では、「個人情報の保護に関する法律」の内容を踏まえ、金融分野の組織における個人情報保護のための指針を、「金融分野における個人情報保護に関するガイドライン 」として公開しています。
上記ガイドラインに記載のないものについては、個人情報保護委員会が公開している
「個人情報の保護に関する法律についてのガイドライン(通則編)」が適用されます。
https://www.ppc.go.jp/files/pdf/guidelines01.pdf
つまり、「金融分野における個人情報保護に関するガイドライン」は「個人情報保護に関する法律についてのガイドライン」の例外(金融分野への適用)に当たるガイドラインと考えられます。
また、「金融分野における個人情報保護に関するガイドライン 」の中で、「~なければならない」と記載されている規定については、それに従わない場合、法の規定違反と判断される場合があります。
「金融分野における個人情報保護に関するガイドライン」章構成
第1条 目的等(法第1条関係)
第2条 利用目的の特定(法第 15 条関係)
第3条 同意の形式(法第 16 条、第 23 条及び第 24 条関係)
第4条 利用目的による制限(法第 16 条関係)
第5条 機微(センシティブ)情報
第6条 取得に際しての利用目的の通知等(法第 18 条関係)
第7条 データ内容の正確性の確保等(法第 19 条関係)
第8条 安全管理措置(法第 20 条関係)
第9条 従業者の監督(法第 21 条関係)
第 10 条 委託先の監督(法第 22 条関係)
第 11 条 第三者提供の制限(法第 23 条関係)
第 12 条 保有個人データに関する事項の公表等(法第 27 条関係)
第 13 条 開示(法第 28 条関係)
第 14 条 理由の説明(法第 31 条関係)
第 15 条 開示等の請求等に応じる手続(法第 32 条関係)
第 16 条 個人情報取扱事業者による苦情の処理(法第 35 条関係)
第 17 条 個人情報等の漏えい事案等への対応
第 18 条 個人情報保護宣言の策定(法第 18 条、第 27 条及び基本方針関係)
第 19 条 ガイドラインの見直し
第2条では個人情報の利用目的について、「自社の所要の目的で用いる」というような抽象的な表現ではなく、「当社の預金の受入れ」のような、より具体的な特定を求めています。
また、第4条では個人情報の利用に関して、本来の利用目的以外の用途(振り込め詐欺の被害にあった利用者の口座情報を警察に提供する、等)について指針を示しています。
第8条では、個人データの安全管理のため、基本方針や取扱規程の整備、安全管理措置の実施体制の整備を求めています。
安全管理措置は個人データの取得・利用・保管等の各段階における、「組織的安全管理措置」、「人的安全管理措置」及び「技術的安全管理措置」に分類しています。
第8条第5項の規定内容
金融分野における個人情報取扱事業者は、個人データの安全管理に係る基本方針・取扱規程等の整備として、次に掲げる「組織的安全管理措置」を講じなければならない。
(組織的安全管理措置)
⑴ 規程等の整備
① 個人データの安全管理に係る基本方針の整備
② 個人データの安全管理に係る取扱規程の整備
③ 個人データの取扱状況の点検及び監査に係る規程の整備
④ 外部委託に係る規程の整備
⑵ 各管理段階における安全管理に係る取扱規程
① 取得・入力段階における取扱規程
② 利用・加工段階における取扱規程
③ 保管・保存段階における取扱規程
④ 移送・送信段階における取扱規程
⑤ 消去・廃棄段階における取扱規程
⑥ 漏えい事案等への対応の段階における取扱規程第8条第6項の規定内容
金融分野における個人情報取扱事業者は、個人データの安全管理に係る実施体制の整備として、次に掲げる「組織的安全管理措置」、「人的安全管理措置」及び「技術的安全管理措置」を講じなければならない。
(組織的安全管理措置)
① 個人データの管理責任者等の設置
② 就業規則等における安全管理措置の整備
③ 個人データの安全管理に係る取扱規程に従った運用
④ 個人データの取扱状況を確認できる手段の整備
⑤ 個人データの取扱状況の点検及び監査体制の整備と実施
⑥ 漏えい事案等に対応する体制の整備
(人的安全管理措置)
① 従業者との個人データの非開示契約等の締結
② 従業者の役割・責任等の明確化
③ 従業者への安全管理措置の周知徹底、教育及び訓練
④ 従業者による個人データ管理手続の遵守状況の確認
(技術的安全管理措置)
① 個人データの利用者の識別及び認証
② 個人データの管理区分の設定及びアクセス制御
③ 個人データへのアクセス権限の管理
④ 個人データの漏えい・毀損等防止策
⑤ 個人データへのアクセスの記録及び分析
⑥ 個人データを取り扱う情報システムの稼働状況の記録及び分析
⑦ 個人データを取り扱う情報システムの監視及び監査
「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」では、上記の第8条に加えて、第9条「従業者の監督」、第10条「委託先の監督」について、具体的な指針を公開しています。
※「金融分野における個人情報保護に関するガイドライン」章構成の赤字部分