4 安全管理措置等
- Q4-1
安全管理措置の内容は個人情報保護法と業法のどちらでも義務化されているが、求められていることはどう違うのか。
- A4-1
業法の体系において、監督指針等に以下の規定が盛り込まれていることからも分かるように、基本的に個人情報保護法の体系及び業法の体系で求めている措置は同じです。ただし、措置の対象となっている情報の範囲などに若干の違いがあります。
- ○ 個人である顧客に関する情報については、業法施行規則等の規定に基づき、その安全管理及び従業者の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置として以下の措置が講じられているか。
- 金融分野ガイドライン第8条及び第9条の規定に基づく措置
- 実務指針I、2及び別添2の規定に基づく措置
- ○ 個人である顧客に関する情報の取扱いを委託する場合には、業法施行規則等の規定に基づき、その委託先の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置として以下の措置が講じられているか。
- 金融分野ガイドライン第 10 条の規定に基づく措置
- 実務指針3の規定に基づく措置
個人情報保護法では、安全管理措置の対象は「個人データ」に限定されています。つまり、「個人情報データベース等」を構成していない個人情報は安全管理措置の対象ではなく、反対に、「個人情報データベース等」に含まれていれば、例えば、金融機関自身の雇用管理情報や株主情報の中に含まれる個人データ、法人顧客に関する情報の中に含まれる個人データなど、個人顧客に関する情報でないものも措置の対象となります。
一方、各業法の体系においては、安全管理措置の対象は「個人顧客情報」とされており、金融機関自身の雇用管理情報や株主情報の中に含まれる個人情報、法人顧客に関する情報の中に含まれる個人情報は、措置の対象外となります。
- ○ 個人である顧客に関する情報については、業法施行規則等の規定に基づき、その安全管理及び従業者の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置として以下の措置が講じられているか。