4 安全管理措置等
- Q4-1
安全管理措置の内容は個人情報保護法と各業法のどちらでも義務化されているが、求められていることはどう違うのか。
- A4-1
各業法の体系において、監督指針等に以下の規定が盛り込まれていることからも分かるように、基本的に個人情報保護法の体系及び各業法の体系で求めている措置は同じです。ただし、措置の対象となっている情報の範囲などに若干の違いがあります。
- ○ 個人である顧客に関する情報については、業法施行規則等の規定に基づき、その安全管理及び従業者の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置として以下の措置が講じられているか。
- 金融分野ガイドライン第8条及び第9条の規定に基づく措置
- 実務指針I、2及び別添2の規定に基づく措置
- ○ 個人である顧客に関する情報の取扱いを委託する場合には、業法施行規則等の規定に基づき、その委託先の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置として以下の措置が講じられているか。
- 金融分野ガイドライン第 10 条の規定に基づく措置
- 実務指針3の規定に基づく措置
個人情報保護法では、安全管理措置の対象は「個人データ」に限定されています。したがって、例えば、金融機関自身の雇用管理情報や株主情報の中に含まれる個人データ、法人顧客に関する情報の中に含まれる個人データなど、個人顧客に関する情報でないものも措置の対象となります。なお、「個人データ」を対象とする安全管理措置の中には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる点に留意する必要があります。
一方、各業法の体系においては、安全管理措置の対象は「個人顧客情報」とされており、金融機関自身の雇用管理情報や株主情報の中に含まれる個人情報、法人顧客に関する情報の中に含まれる個人情報は、措置の対象外となります。
- ○ 個人である顧客に関する情報については、業法施行規則等の規定に基づき、その安全管理及び従業者の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置として以下の措置が講じられているか。