実務指針１－２において整備することが求められている「個人データの安全管理に係る取扱規程」は、各事業者においては「細則」「マニュアル」等、名称や形式を問わないという理解でよいか。また、個々の規程の構成が実務指針と一致せずとも、当該事業者で定めるルール全体として実務指針に規定する措置に対応していれば、事業者全体の「個人データの安全管理に係る取扱規程」として問題ないか。

4　安全管理措置等

Q4-4

実務指針１－２において整備することが求められている「個人データの安全管理に係る取扱規程」は、各事業者においては「細則」「マニュアル」等、名称や形式を問わないという理解でよいか。また、個々の規程の構成が実務指針と一致せずとも、当該事業者で定めるルール全体として実務指針に規定する措置に対応していれば、事業者全体の「個人データの安全管理に係る取扱規程」として問題ないか。

A4-4

実務指針１－２で定める「個人データの安全管理に係る取扱規程」は、管理段階ごとに措置内容等を明確化することを求めるものであり、その名称や形式の統一を求めるものではありません。

したがって、個々の規程の構成を実務指針の記載と一致させる必要は必ずしもないほか、管理段階ごとの取扱規程を、業務単位や商品単位ごとのように、実務に即して盛り込むことも可能です。

ただし、その際には、事業者全体として、①実務指針７－１から７－６－１までに定められた事項が管理段階ごとに全て盛り込まれていること、②事業者内の部署や商品ごとに定めた規程において盛り込まない事項がある場合には合理的な理由があること、が求められます。