経済産業省は、個人情報保護法の改正に先立ち、大量の個人情報の漏えい事案等を踏まえ、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を改正し、告示・施行しました。(2014.12.12.)
主な改正点は、以下の通りです。
- 第三者からの適正な取得の徹底
- 社内の安全管理措置の強化
- 委託先等の監督の強化
- 共同利用制度の趣旨の明確化
- 消費者等本人に対する分かりやすい説明のための参考事項の追記
・第三者から個人情報を取得する場合には、適法に入手されていること等を確認することが望ましい旨追記。
・適法に入手されていることが確認できない場合は、取引を自粛することを含め、慎重に対応することが望ましい旨追記。
・外部からのサイバー攻撃対策の追加。
・内部不正対策の組織的、物理的、技術的安全管理措置の項目の追加。
・内部不正対策の委託先の安全管理措置の確認、定期的な監査等の追加。
・再委託先以降も同様の措置を行うことが望ましい旨追記。
・事業者が共同利用を円滑に実施するために共同利用者における責任等を追加。
・共同利用者の範囲の明確化。
・個人情報取扱事業者は、本人に対して、個人情報保護を推進する上での考え方や方針等について、分かりやすい表現で説明するために参考とすべき基準を追記。
- 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
(2014年12月12日厚生労働省・経済産業省告示第4号) - (参考1)経済産業分野ガイドライン改正の概要
- (参考2)経済産業分野ガイドライン新旧対照表
また、独立行政法人情報処理推進機構(IPA)において、内部関係者の不正行為による情報漏えいを防止するための「組織における内部不正防止ガイドライン」も改正されています。(2014年9月26日)
今回の改訂版の発行は、本年発生した漏えい事例を分析した結果、以下の3点を強調すべきと加筆したものです。
- 経営層によるリーダーシップの強化
- 情報システム管理運用の委託における監督強化
- 高度化する情報通信技術への対応
経営者が自らの責任で行うことの強い意識を持ちリーダーシップを発揮することが必要であるため、経営層の責任を明確化した。
業務委託先のセキュリティ対策・体制が、扱う情報の重要度に相応かどうかを契約前、契約中にも確認・評価することを追加した。
高度化する情報通信技術に付随して高まるリスクを確実に把握することが可能な、体制、教育などの人的対策、技術の進展に沿った最適な対策の必要性について強調した。