個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)

令和3年8月
(令和4年9月一部改正)
個人情報保護委員会

[PDF版 (PDF : 458KB)リンク先PDFファイルを別ウィンドウで開きます | 新旧対照表 (PDF : 494KB)リンク先PDFファイルを別ウィンドウで開きます ]

目次

【凡例】
「法」   個人情報の保護に関する法律(平成15年法律第57号)
「政令」  個人情報の保護に関する法律施行令(平成15年政令第507号)
「規則」  個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)
「通則ガイドライン」 個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年個人情報保護委員会告示第6号)
「平成27年改正法」   個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年法律第65号)
「令和2年改正法」      個人情報の保護に関する法律等の一部を改正する法律(令和2年法律第44号)

1 本ガイドラインの位置付け及び適用対象

1-1 本ガイドラインの位置付け

個人情報保護委員会は、事業者が個人情報の適正な取扱いの確保に関して行う活動を支援すること、及び当該支援により事業者が講ずる措置が適切かつ有効に実施されることを目的として、法第4条、第9条及び第131条に基づき具体的な指針として通則ガイドラインを定めているが、民間団体による個人情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)の個人情報、仮名加工情報又は匿名加工情報(以下「個人情報等」という。)の適正な取扱いを確保することを目的として、認定個人情報保護団体制度に関する部分に特化して分かりやすく一体的に示す観点から、通則ガイドラインとは別に、本ガイドラインを定めるものである。なお、本ガイドラインの別紙として、民間団体からの認定の申請等の手続や認定基準を示す。これは法第47条第1項に基づく認定を行うに当たっての国の審査基準としての性格を有するものである。

法の制定前において、我が国における民間部門の個人情報の保護は、業界団体等がガイドラインを策定し、その構成員等が当該ガイドラインを遵守することを中心に行われてきた。法においても、一般法である法の規律に加えて、分野ごとにより高い水準の個人情報保護が図られるべく、こうした民間団体による自主的な取組を尊重し、法に基づく取組を行っていくことを政府等が支援していくことを基本的な考え方としている。

法に規定する個人情報取扱事業者等の義務は、あらゆる分野を対象とする法の性格上、必要最小限度の規律であることから、各分野ごとに取り扱う個人情報の性質、利用方法、取扱いの実態等に即した、より高い水準の自主的な取組が期待されるものであり、民間団体による取組が果たす役割は大きい。 認定個人情報保護団体制度は、こうした考え方に沿って、個人情報等の適正な取扱いの確保を目的として業務を行う民間の団体を対象とする認定制度を設けることにより、その適切かつ効果的な活動の推進を図ろうとするものである。

認定個人情報保護団体は、個人情報等の取扱いに関して、事業者自身による苦情処理の取組を補完し、問題の自主的、実際的な解決を図るとともに、個人情報の保護及び適正かつ効果的な活用を図るため、個人情報保護指針を策定し、それが公表されたときは、対象事業者に対して当該指針を遵守させるため必要な指導、勧告等の措置をとることが義務付けられている等、民間部門における主体的な取組を促進する上で、極めて重要な役割が求められている。

また、事業者の実態に応じた法の適切な運用等を推進するために、認定個人情報保護団体が、対象事業者の運用実態や課題等の情報を収集し、それを個人情報保護委員会と共有するといった役割も期待されるところである。

本ガイドラインは、以上の制度趣旨等を踏まえ、以下のような最近の動向と必要性に応えるものとして、認定個人情報保護団体に求められる役割や望ましい取組の方向性、具体的な業務等を示すものである。

  • ①近年、技術やサービスの内容が複雑化・多様化し、市場の態様も急激に変化することが常態化する中で、行政機関と民間が有する情報量や専門性等に格差が生ずるなど、情報の非対称性が発生するケースが増大している。このような環境下にあっては、一般法である法の規律に加えて、民間団体がその専門性や柔軟性を生かして個人情報等の取扱いに関する自主ルールを策定して運用していくことや、積極的に構成員等に対して指導等を行っていくことがより求められ、認定個人情報保護団体制度の重要性が増大している。
  • ②認定個人情報保護団体の認定・監督等については、従来、主務大臣が行っていたが、平成27年改正法により、個人情報保護委員会に一元化されている。制度の意義、目的や今日的視点から強調されるべき側面等について、個人情報保護委員会として統一した方向性を示すとともに、認定個人情報保護団体の在り方等を分かりやすく明示する必要性が生じている。
  • ③令和2年改正法により、企業の特定分野(部門)を対象とする民間団体を認定できることとなり、裾野の広い分野で様々な民間団体が認定を受けることが期待される。これを機に、改めて、こういった民間団体が認定個人情報保護団体として活動するイメージを具体的に持てるようにするとともに、認定個人情報保護団体や対象事業者のみならず、苦情を申し出る主体でもある個人の側も、認定個人情報保護団体制度の仕組みを認識できるようにする必要がある。

認定個人情報保護団体制度における自主的な取組については、

  • (ア) 相互的な扶助・監視・苦情対応等の共同活動による、円滑かつ徹底した法の遵守、
  • (イ) 民間が有する専門性や柔軟性を活用することによる、基本的な法の履行よりも深化させた自主ルールの策定・運用、

の2つの側面が考えられるが、特に、今日においては、後者の側面の重要性が増している。

したがって、法の遵守のための取組はもちろん、上記(イ)のような自主ルールを策定して運用していくことや、積極的に対象事業者に対して分野に応じた個人情報等の適正な取扱いの確保のための指導等を行っていくことが今まで以上に求められる。

本ガイドラインの中で、「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法違反と判断される可能性がある。一方、「努めなければならない」、「望ましい」等と記述している事項については、認定個人情報保護団体による自主的な取組としての望ましい例を示すものでもあり、これらに従わなかったことをもって法違反と判断されるものではないが、認定個人情報保護団体制度の趣旨を踏まえ、業務の特性や規模に応じ可能な限り対応することが望まれるものである。

1-2 本ガイドラインの適用対象

本ガイドラインは、認定個人情報保護団体(認定を受けようとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下同じ。)を含む。以下同じ。)及びその対象事業者に適用される。

2 認定(法第47条第1項、第3項・第4項関係)

法第47条(第1項、第3項・第4項)
  1. 個人情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下この章において「個人情報取扱事業者等」という。)の個人情報、仮名加工情報又は匿名加工情報(以下この章において「個人情報等」という。)の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第3号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
    (1)~(3) (略)
  2. 第1項の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。
  3. 個人情報保護委員会は、第1項の認定をしたときは、その旨(第2項の規定により業務の範囲を限定する認定にあっては、その認定に係る業務の範囲を含む。)を公示しなければならない。

個人情報取扱事業者等の個人情報等の適正な取扱いの確保を目的として法第47条第1項各号に掲げる業務を行おうとする法人は、個人情報保護委員会の認定を受けることができる。

認定個人情報保護団体の業務の対象となる個人情報等から、個人関連情報が除かれているが、これは、個人関連情報だけを業務の対象とする法人が認定個人情報保護団体となることはできないことを示したものであり、業種や分野に応じた個人情報等の適正な取扱いの確保のために法の規律よりも深化させた自主ルールの策定・運用を行うという観点から、認定個人情報保護団体が個人情報、仮名加工情報又は匿名加工情報に加えて個人関連情報の適正な取扱いを促進するための各種の取組を自主的に実施すること自体は望ましい。

なお、個人情報保護委員会が申請のあった法人を認定したときは、個人情報保護委員会は、その旨を公示することとなる。

認定の申請の手続については、(別紙)認定個人情報保護団体の認定等の手続「2(認定の申請)」を参照のこと。

3 認定業務の範囲の限定(法第47条第2項関係)

法第47条(第2項)
  1. 前項の認定は、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができる。

認定個人情報保護団体制度は、個人情報等の取扱いに関する苦情の処理や情報提供等を行おうとする法人を個人情報保護委員会が認定し、分野ごとにより高い水準の個人情報保護等の推進を図る制度であるが、令和2年改正法による改正前の法においては、認定個人情報保護団体は、対象事業者の全ての分野(部門)を対象として、その業務を行うこととされていた。

しかしながら、個人情報取扱事業者等における業務実態の多様化やIT技術の進展に伴い、民間団体が特定分野における個人データの取扱いに関するルールを運用していくことや、積極的に対象事業者に対して指導等を行っていくことの重要性が増してきた。

また、個人情報取扱事業者等にとっても、事業展開が多様化・多角化される中で、当該個人情報取扱事業者等の業務の範囲に適合した認定個人情報保護団体を選択することが容易でなくなってきている。

こうした実態を踏まえ、令和2年改正法において、改正前の制度に加え、対象事業者の事業の種類その他の業務の範囲を限定して、認定業務を行おうとする法人(※)を認定できることとしている。

業務の範囲を限定しない場合、例えば、認定個人情報保護団体は、本人から申出のあった対象事業者の個人情報等の取扱いに関する苦情を選択的に受けることはできないが、業務の範囲を限定して認定を受けた場合、当該範囲内で苦情を受け付けることが可能となる。

個人情報保護委員会は、業務の範囲を限定する認定の申請のあった法人を認定したときは、認定をした旨とその認定業務の範囲を公示することとなる。

なお、業務の範囲を限定する認定を受けた団体であっても、法第47条第1項各号の業務については、いずれも実施する必要がある。

(※)例えば、特定分野(部門)の事業が業種横断的に行われている場合に、当該特定分野の個人情報等の取扱いを対象とする法人などが考えられる。

4 認定個人情報保護団体の業務

4-1 個人情報等の取扱いに関する苦情の処理(法第47条第1項第1号、第53条関係)

法第47条(第1項第1号)
  1. 個人情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下この章において「個人情報取扱事業者等」という。)の個人情報、仮名加工情報又は匿名加工情報(以下この章において「個人情報等」という。)の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第3号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
    • 業務の対象となる個人情報取扱事業者等(以下この節において「対象事業者」という。)の個人情報等の取扱いに関する第53条の規定による苦情の処理
法第53条
  1. 認定個人情報保護団体は、本人その他の関係者から対象事業者の個人情報等の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。
  2. 認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。
  3. 対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、これを拒んではならない。

個人情報取扱事業者等の個人情報等の取扱いに関する苦情は、基本的には当事者間で処理すべきものであり、個人情報の取扱いに関する苦情については、法においても個人情報取扱事業者はその処理に努めることとしているが(法第40条)、当事者であるがゆえに処理が困難な場合もある。そこで、当事者の立場を離れて公正な立場から認定個人情報保護団体が苦情の処理に当たることにより、実効的な苦情の処理が図られることが期待される。

認定個人情報保護団体は、対象事業者の個人情報等の取扱いに関する苦情について、当事者間で解決が困難である場合等、認定個人情報保護団体が当事者の立場を離れて公正な第三者としての立場から苦情処理に当たることにより、実効的な苦情処理を行わなければならない。

また、苦情申立人と対象事業者の両方に働きかけて円満な処理を図ることができるよう、苦情申立人に助言をし、対象事業者に苦情の内容を通知して、その迅速な処理を求める必要がある。

認定個人情報保護団体は、苦情の解決について必要があるときは、対象事業者に対して説明、又は資料の提供を求めることができ、この場合、対象事業者は正当な理由がないのに、これを拒むことはできない。

認定個人情報保護団体は、苦情に簡易・迅速に対応するため、人材の養成・確保を含む体制を整備しなければならない(苦情処理の体制については(別紙)認定個人情報保護団体の認定等の手続「3-1(業務を適正かつ確実に行うに必要な業務の実施の方法)」参照)。また、外部の有識者(学識者、弁護士、消費者団体など)との関係性を構築し必要に応じて相談できる体制を確保しておくことが望ましい。

4-2 対象事業者に対する情報の提供(法第47条第1項第2号関係)

法第47条(第1項第2号)
  1. (略)
    • 個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供

個人情報等の適正な取扱いの確保を実現するためには、個人情報取扱事業者等に適切な情報が提供されることが重要であり、特に法のように対象となる事業者が多岐にわたる場合には、民間団体がそれぞれの事業分野に関する専門性を生かしてきめ細かな情報の提供を行っていくことが有効である。

認定個人情報保護団体は、対象事業者における個人情報等の適正な取扱いの確保に寄与するため、対象事業者に対して関係法令や個人情報保護指針(詳細は6(個人情報保護指針)参照)を含む自主ルールの内容等について、情報提供を行う必要がある。なお、情報提供の手法としては、会報の制作・配布やセミナーの開催などが考えられる。

また、対象事業者における個人情報等の適正な取扱いを促し、対象事業者の個人情報等の取扱いに関する苦情の発生を未然に防止する観点から、苦情が多いケースなどを取りまとめて対象事業者に対して情報提供等を行うことが望ましい。

さらに、漏えい、滅失若しくは毀損(以下「漏えい等」という。)又はそのおそれのある事案(以下「漏えい等事案」という。)の情報を参考に、分野ごとの安全管理措置の水準を高め、より実効的な漏えい等の対策が自主的に行われるようにする観点から、漏えい等事案の傾向や求められる対策について対象事業者に対して情報提供を行うことが望ましい。

なお、これらの苦情や漏えい等事案の傾向などの情報については、個人情報保護委員会にも共有し、相互に連携を図っていき、全体として実効的な個人情報等の適正な取扱いの確保につなげていくことが重要である。

4-3 その他対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務(法第47条第1項第3号関係)

法第47条(第1項第3号)
  1. (略)
    • 前二号に掲げるもののほか、対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務

認定個人情報保護団体は、上記4-1(個人情報等の取扱いに関する苦情の処理)、4-2(対象事業者に対する情報の提供)以外にも、対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務を行わなければならない。

【対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務の事例】
事例1)対象事業者の従業者に対する研修
事例2)資料収集、調査研究
事例3)苦情処理業務を行っている旨及び苦情の申出先等の一般への周知広報
事例4)アジア太平洋経済協力(APEC)の越境プライバシールール(CBPR)システムに基づく、事業者のAPECプライバシーフレームワークへの適合性を認証するアカウンタビリティ・エージェントに係る業務(※1)

また、個人情報の取扱いが複雑化・高度化している中にあって、対象事業者が自身の個人情報の取扱い等について、いかに本人に対して透明性を確保しながら説明責任を果たしていくかも重要であり、そのための自主ルールを踏まえた指導等についても認定個人情報保護団体が積極的に行っていくことが望ましい。

さらに、対象事業者の従業員に対する研修、調査研究などの業務のほか、PIA(Privacy Impact Assessment、個人情報保護評価)(※2)を含むプライバシー・バイ・デザインの実践や、個人データの取扱いに関する責任者の設置を含む組織体制の整備などの個人情報等の適正な取扱いの確保に関する事項についても、対象事業者に対して積極的に推奨していくことが望ましい。

  • (※1)APEC CBPRシステムは、事業者のAPEC プライバシーフレームワークへの適合性を国際的に認証する制度。APEC の参加国・地域が本制度への参加を希望し、参加を認められた国がアカウンタビリティ・エージェントを登録する。このアカウンタビリティ・エージェントが、事業者の申請に基づき、当該事業者のAPEC プライバシーフレームワークへの適合性を認証する。我が国は、APEC CBPRシステムの参加国である。

    認定個人情報保護団体がアカウンタビリティ・エージェントに係る業務を併せて行おうとする場合の手続については、(別紙)認定個人情報保護団体の認定等の手続「2-3-1(業務の実施の方法に関する書類)」及び「4-2(変更の届出)」を参照のこと。

  • (※2)認定個人情報保護団体として、PIAの自主ルール(業界の特性を踏まえた実施の閾値や評価項目、第三者評価の在り方等)を定めた上で、当該自主ルールに沿った実施を対象事業者に求めていくといった取組も望ましい。
<対象事業者における個人データの漏えい等事案が発生した場合等における対応>

認定個人情報保護団体は、対象事業者が安全管理措置を適切に実施するために必要な助言や指導を行うことも期待されているところ、対象事業者の漏えい等事案を把握しておくことは、円滑な認定業務の遂行に資すると考えられる。

したがって、漏えい等事案について、法令上の義務である個人情報保護委員会等への報告(※)に加えて、自主的取組の一環として、対象事業者から当該事案の情報を受け付けることは有効である。個人情報保護委員会等への報告義務の対象となる事案以外のものを含め、事業分野の実態等を踏まえ、必要に応じて、認定個人情報保護団体が報告を受け付ける体制を確立し、対象事業者による当該事案への対応、再発防止のための措置や本人通知・公表等に対する実効的な指導・助言等を行うことが望ましい。

対象事業者に漏えい等事案の報告を求めるに当たり、認定個人情報保護団体は、漏えい等報告の基準や報告方法といった内容について、個人情報保護指針(詳細は6(個人情報保護指針)参照)を含む自主ルールに盛り込むといった対応も望ましい。

なお、個人情報保護委員会等への報告義務の対象となる事案については、報告事項を個人情報保護委員会等が求める内容とできる限り一致させるなど、対象事業者の過度な負担とならないよう努める必要がある。

また、事業者が複数の認定個人情報保護団体の対象事業者となっている場合において、当該対象事業者の過度な負担とならないよう努める必要がある。

  • (※)個人情報取扱事業者は、法令上の義務の対象となる漏えい等事案が発覚した場合、個人情報保護委員会又は事業所管大臣に報告しなければならない。通則ガイドライン「3-5(個人データの漏えい等の報告等)」を参照のこと。

5 対象事業者(法第52条関係)

法第52条
  1. 認定個人情報保護団体は、認定業務の対象となることについて同意を得た個人情報取扱事業者等を対象事業者としなければならない。この場合において、第54条第4項の規定による措置をとったにもかかわらず、対象事業者が同条第1項に規定する個人情報保護指針を遵守しないときは、当該対象事業者を認定業務の対象から除外することができる。
  2. 認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。

苦情処理への協力や個人情報保護指針の遵守等に対する対象事業者の一律に明確な意思表示を求めることにより、対象事業者による積極的な取組を促進するため、認定個人情報保護団体は、認定業務の対象となることについて同意を得た個人情報取扱事業者等を対象事業者としなければならない。

認定個人情報保護団体は、個人情報保護指針を遵守しない対象事業者に対し、当該個人情報保護指針を遵守させるために必要な指導、勧告その他の措置をとったにもかかわらず、当該対象事業者が当該個人情報保護指針を遵守しないときは、当該対象事業者を認定業務の対象から除外することができる

認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。

【対象事業者の氏名又は名称の公表の事例】
事例1)インターネット上のホームページやパンフレット等への掲載
事例2)事業所等への掲示

6 個人情報保護指針(法第54条、規則第40条~第42条関係)

法第54条
  1. 認定個人情報保護団体は、対象事業者の個人情報等の適正な取扱いの確保のために、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続その他の事項又は仮名加工情報若しくは匿名加工情報に係る作成の方法、その情報の安全管理のための措置その他の事項に関し、消費者の意見を代表する者その他の関係者の意見を聴いて、この法律の規定の趣旨に沿った指針(以下この節及び第6章において「個人情報保護指針」という。)を作成するよう努めなければならない。
  2. 認定個人情報保護団体は、前項の規定により個人情報保護指針を作成したときは、個人情報保護委員会規則で定めるところにより、遅滞なく、当該個人情報保護指針を個人情報保護委員会に届け出なければならない。これを変更したときも、同様とする。
  3. 個人情報保護委員会は、前項の規定による個人情報保護指針の届出があったときは、個人情報保護委員会規則で定めるところにより、当該個人情報保護指針を公表しなければならない。
  4. 認定個人情報保護団体は、前項の規定により個人情報保護指針が公表されたときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとらなければならない。
規則第40条

法第54条第2項の規定による届出は、別記様式第5による届出書によるものとする。

規則第41条

法第54条第3項の規定による公表は、インターネットの利用その他の適切な方法により行うものとする。

規則第42条

認定個人情報保護団体は、法第54条第3項の規定による公表がされた後、遅滞なく、インターネットの利用その他の適切な方法により、同条第2項の規定により届け出た個人情報保護指針を公表するものとする。

認定個人情報保護団体は、法の定める規律が一般法としての必要最小限度のものであることを踏まえ、対象事業者の個人情報等の適正な取扱いを確保し、分野ごとにより高い水準の個人情報保護が図られるよう、取り扱う個人情報等の性質、利用方法、取扱いの実態等に即した自主ルールとして、個人情報保護指針の作成に努めなければならない。

個人情報保護指針は、法の趣旨に沿って策定される必要があるが、単に法の内容を落とし込むのみならず、事業分野等の実態に応じた自主ルールとして、利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続、仮名加工情報、匿名加工情報に係る作成の方法、その情報の安全管理のための措置等について、細目や事例を盛り込んでいくことが望ましい(※)。

個人情報保護指針における自主ルールの織り込みについて、例えば、当該事業分野における個人関連情報なども含めた適切な取扱いを促進するための各種の取組を自主的に実施することは、認定個人情報保護団体制度の趣旨を適切に踏まえた取組と考えられる。

(※)個人情報保護指針の策定上の留意点として、自主ルール部分がない場合に、通則ガイドライン等を単にそのまま網羅的に記載することや、自主ルール部分が僅少である場合に、通則ガイドライン等の網羅的な記載に加え、その該当箇所が明確ではない記載振りとすることは、次の理由により、適当ではない。

  • ①当該認定個人情報保護団体としては、通則ガイドライン等の軽微な改正や当該事業分野にほとんど関係のない改正も含めて、その都度、個人情報保護指針にこれを反映させるといった煩雑な対応が求められる。また、実際には、個人情報保護指針への反映までにある程度の時間を要することになるほか、さらにこうした反映を失念した場合には、その個人情報保護指針が、通則ガイドライン等とは異なる不正確な内容のままとなってしまうことになる。
  • ②対象事業者にとっても、個人情報保護指針の内容を理解し遵守していく上で、上述①の事情により、通則ガイドライン等を正確に反映していない個人情報保護指針の遵守を強いられることになりかねないほか、僅少な自主ルールの該当箇所がどこにあるのか読み解くための非効率な作業負担を強いられることになってしまうことになる。

このため、こうした場合の個人情報保護指針については、例えば、通則ガイドライン等を複写するのではなく、当該指針が通則ガイドライン等を基礎としているものであることと、当該指針に定めのない部分は通則ガイドライン等が適用されることを明示した上で、自主ルール部分がない場合には、その旨を明確にすることで足り、僅少の自主ルール部分があれば、これのみを記載することで足りる。

認定個人情報保護団体は、個人情報保護指針の内容が公平かつ適正なものとなるよう、事業者のみならず、個人情報等に係る本人の側である消費者の意見を代表する者をはじめ、多様な関係者の意見を聴いて、個人情報保護指針を策定していくことが望ましい。

また、各分野の情勢変化に応じて、不断に見直しを図っていくことが望ましい。

認定個人情報保護団体は、個人情報保護指針を作成したとき(変更したときを含む。)は、遅滞なく、個人情報保護委員会に届け出なければならない。

当該届出があったときは、個人情報保護委員会は、インターネットの利用その他の適切な方法により当該個人情報保護指針を公表することとなる。また、当該公表がされた後、認定個人情報保護団体は、インターネットの利用その他の適切な方法により個人情報保護指針を公表(※)する必要がある。

認定個人情報保護団体は、対象事業者に個人情報保護指針を遵守させるために、必要な指導、勧告等を行なわなければならない。

(※)基本的には「インターネットの方法」による公表が望ましいが、認定個人情報保護団体の特性などにより、当該方法以外の適切な方法による公表も可能である。

7 目的外利用の禁止(法第55条関係)

法第55条

認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用してはならない。

認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務以外の目的のために利用してはならない。

認定業務の実施に際して知り得た情報を他の業務のために利用する場合のほか、当該情報を認定業務に関わりのない第三者に提供したり、悪用したりする行為についても、認定業務の用に供する目的以外の利用に該当する。

【認定業務の実施に際して知り得た情報の事例】
事例1)苦情の申出に当たって本人から提出された書類等に記載されている情報
事例2)法第53条第2項の規定に基づき対象事業者から提出された書類等に記載されている情報
事例3)法第54条第4項に基づく指導等の際に把握した対象事業者における個人情報等の管理実態等に関する情報

なお、苦情の処理に際して知り得た情報を統計化等した上で、対象事業者に対して、苦情の傾向や事例等に関する情報提供等に利用したり、個人情報等の適正な取扱いに関する調査研究等に利用したりすることは、本条違反とはならない。

8 名称の使用制限(法第56条関係)

法第56条

認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない。

認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれと紛らわしい名称を用いてはならない。

【紛らわしい名称の事例】
事例1)認定個人情報保護協会
事例2)個人情報保護認証団体
事例3)個人情報保護委員会指定個人情報保護協会

なお、認定を受けていない者が、自らの構成員等に対し、苦情の処理、情報の提供その他当該構成員等の個人情報等の適正な取扱いの確保に関し必要な業務を行うことは可能である。

9 報告の徴収(法第153条関係)

法第153条

委員会は、第4章第5節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。

個人情報保護委員会は、法第4章第5節の規定の適切な施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関して、報告を求めることができる旨を定めたものである。報告を求められた認定個人情報保護団体は、文書又は口頭による説明や資料の提出等をする必要がある。

【報告の事例】
事例)各年度における認定業務に関する活動状況の報告

(別紙)認定個人情報保護団体の認定等の手続

1 本別紙の位置付け

この(別紙)認定個人情報保護団体の認定等の手続は、認定個人情報保護団体に係る認定その他の必要な事項を定めるものであり、同時に、法第47条に基づく認定を行うにあたっての審査基準としての性格を有するものである。

なお、この別紙において使用する用語は、法令において使用する用語の例による。

2 認定の申請(法第47条第1項~第3項、政令第14条第1項・第2項関係)

法第47条(第1項~第3項)
  1. 個人情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下この章において「個人情報取扱事業者等」という。)の個人情報、仮名加工情報又は匿名加工情報(以下この章において「個人情報等」という。)の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第3号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
    (1)~(3) (略)
  2. 前項の認定は、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができる。
  3. 第1項の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。
政令第14条(第1項・第2項)
  1. 法第47条第3項の規定による申請は、次に掲げる事項を記載した申請書を個人情報保護委員会に提出してしなければならない。
    • 名称及び住所並びに代表者又は管理人の氏名
    • 認定の申請に係る業務を行おうとする事務所の所在地
    • 認定の申請に係る業務の概要(対象事業者が取り扱う情報が個人情報、仮名加工情報又は匿名加工情報のいずれであるかの別を含む。)
    • 法第47条第2項の規定により業務の範囲を限定する認定を受けようとする者にあっては、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲
  2. 前項の申請書には、次に掲げる書類を添付しなければならない。
    • 定款、寄附行為その他の基本約款
    • 認定を受けようとする者が法第48条各号の規定に該当しないことを誓約する書面
    • 認定の申請に係る業務の実施の方法を記載した書類
    • 認定の申請に係る業務を適正かつ確実に行うに足りる知識及び能力を有することを明らかにする書類
    • 最近の事業年度における事業報告書、貸借対照表、収支決算書、財産目録その他の経理的基礎を有することを明らかにする書類(申請の日の属する事業年度に設立された法人にあっては、その設立時における財産目録)
    • 役員の氏名、住所及び略歴を記載した書類
    • 対象事業者の氏名又は名称を記載した書類及び認定の申請に係る業務の対象となることについて同意した者であることを証する書類
    • 認定の申請に係る業務以外の業務を行っている場合は、その業務の種類及び概要を記載した書類
    • その他参考となる事項を記載した書類

2-1 認定の申請の流れ

認定業務を行おうとする法人は、本ガイドラインを確認し、認定基準を理解し、申請書類を整えた上で、2-2(認定申請書)及び2-3(認定申請書添付書類)に示す書類を提出すること。

なお、法第48条に規定する欠格事由に該当する者は、認定を受けることができない。

申請書類の作成に当たって不明な点等がある場合には、事前に個人情報保護委員会に相談を行うことができる。

2-2 認定申請書

認定業務を行おうとする法人による法第47条第3項の認定の申請は、別記様式第1号による申請書を個人情報保護委員会に提出してしなければならない。

なお、法第47条第2項の規定により業務の範囲を限定する認定を受ける場合は、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を記載しなければならない。

2-3 認定申請書添付書類

認定申請書には、次に掲げる書類を添付しなければならない。

  • ①定款、寄附行為その他の基本約款
  • ②認定を受けようとする者が法第48条各号の規定に該当しないことを誓約する書面
  • ③認定の申請に係る業務の実施の方法を記載した書類(詳細は2-3-1(業務の実施の方法に関する書類)参照)
  • ④認定の申請に係る業務を適正かつ確実に行うに足りる知識及び能力を有することを明らかにする書類(詳細は2-3-2(業務の適正かつ確実な実施のための知識及び能力を明らかにする書類)参照)
  • ⑤最近の事業年度における事業報告書、貸借対照表、収支決算書、財産目録その他の経理的基礎を有することを明らかにする書類(申請の日の属する事業年度に設立された法人にあっては、その設立時における財産目録)(詳細は2-3-3(経理的基礎を証する書類)参照)
  • ⑥役員の氏名、住所及び略歴を記載した書類
  • ⑦対象事業者の氏名又は名称を記載した書類及び認定の申請に係る業務の対象となることについて同意した者であることを証する書類
  • ⑧認定の申請に係る業務以外の業務を行っている場合は、その業務の種類及び概要を記載した書類
  • ⑨その他参考となる事項を記載した書類(詳細は2-3-4(その他参考となる事項を記載した書類)参照)
2-3-1 業務の実施の方法に関する書類

政令第14条第2項第3号の「認定の申請に係る業務の実施の方法を記載した書類」は、次に掲げるものでなければならない。

  • ①認定後速やかに個人情報保護指針を届け出ることを予定している場合にあっては、法第54条第 2 項に基づき規則第 40 条で定める様式で求められる「届け出る個人情報保護指針に係る事項」について記載した書類
  • ②法第47条第1項第1号に規定する苦情の処理に係る準則(※1)
  • ③法第47条第1項第2号に規定する対象事業者に対する情報の提供に係る書類(※2)
  • ④法第47条第1項第3号に規定する業務についての実施の方法を記載した書類(※3)

(※1)「苦情の処理に係る準則」には、次に掲げる事項が定められていなければならない。

  • (ⅰ)苦情の処理の目的
  • (ⅱ)苦情の処理の実施体制
  • (ⅲ)苦情の処理を行う組織の責務
  • (ⅳ)苦情の処理の結果の記録及び保存並びに集計結果の公表に関する事項(苦情の処理の結果の記録及び集計結果の公表の様式は、別記様式第2号に準じて作成しなければならない。)
  • (ⅴ)人材育成のための研修に関する事項
  • (ⅵ)苦情の処理に係る業務についての監査
  • (ⅶ)苦情の処理の受付窓口に関する事項
  • (ⅷ)苦情の処理に係る手続に関する事項

(※2)「対象事業者に対する情報の提供に係る書類」については、次に掲げる事項が定められていなければならない。

  • (ⅰ)情報提供の目的
  • (ⅱ)情報提供の実施要領

(※3)「業務についての実施の方法を記載した書類」については、次に掲げる事項が定められていなければならない。

  • (ⅰ)対象事業者に対して個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとる体制に関する事項
  • (ⅱ)対象事業者における個人データの漏えい等事案が発生した場合の対応を行う場合には、当該対応に関する事項
  • (ⅲ)その他必要な業務の目的及び実施要領(※4)

(※4)認定の申請をする者が、APECプライバシーフレームワークへの適合性を認証するアカウンタビリティ・エージェントに係る業務(以下「アカウンタビリティ・エージェントに係る業務」という。)を併せて行おうとする場合には、次に掲げる事項を記載した書類を添付しなければならない。

  • (ⅰ)公正性に関する次に掲げる事項
    • イ 利益相反に対応するための方針、体制及び手続
    • ロ 利益相反に対応するための内部組織上及び手続上の予防措置
    • ハ 利益相反が顕在化した際の開示並びに業務の廃止に係る体制及び手続
  • (ⅱ)アカウンタビリティ・エージェントに係る業務の運用に関する次に掲げる事項
    • イ APECの示すプライバシーフレームワークを満たす認証枠組、要件及び手続に係る事項
    • ロ 適切な認証を実施するための手続に係る事項
    • ハ 対象事業者に対する継続的なモニタリング及びレビュー等のための手続に係る事項
    • ニ 再認証を行うための手続に係る事項
    • ホ 苦情の処理及び紛争の処理のための手続に係る事項
    • へ 認証要件を対象事業者に実施させるための権限に関する書類
    • ト 認証要件に合致しない対象事業者に対する処分のための手続に係る事項
    • チ 個人情報保護委員会との連携のための手続に係る事項
2-3-2 業務の適正かつ確実な実施のための知識及び能力を明らかにする書類

政令第14条第2項第4号の「認定の申請に係る業務を適正かつ確実に行うに足りる知識及び能力を有することを明らかにする書類」は、次に掲げるものでなければならない。

  • ①認定業務を行う組織の概要
  • ②認定業務の組織の責任者の氏名及び役職並びに職務経歴等に関する事項
2-3-3 経理的基礎を証する書類

政令第14条第2項第5号の「最近の事業年度における事業報告書、貸借対照表、収支決算書、財産目録その他の経理的基礎を有することを明らかにする書類」は、次に掲げるものでなければならない。

  • ①過去2年程度の事業報告書、貸借対照表、収支決算書、財産目録その他の経理的基礎を有することを明らかにする書類(申請の日の属する事業年度に設立された法人にあっては、その設立時における財産目録)
  • ②認定業務を実施する3年程度における収支の見込み及びその算出根拠
2-3-4 その他参考となる事項を記載した書類

政令第14条第2項第9号の「その他参考となる事項を記載した書類」については、当該法人の活動内容が分かるパンフレットなどの概要資料や、当該法人における個人情報保護を推進する上での考え方や方針(いわゆるプライバシーポリシー、プライバシーステートメント等)などを必要に応じて添付すること。

3 認定の基準(法第48条・第49条関係)

法第48条
次の各号のいずれかに該当する者は、前条第1項の認定を受けることができない。
  • この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない者
  • 第155条第1項の規定により認定を取り消され、その取消しの日から2年を経過しない者
  • その業務を行う役員(法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む。以下この条において同じ。)のうちに、次のいずれかに該当する者があるもの
    • イ 禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない者
    • ロ 第155条第1項の規定により認定を取り消された法人において、その取消しの日前30日以内にその役員であった者でその取消しの日から2年を経過しない者
法第49条
個人情報保護委員会は、第47条第1項の認定の申請が次の各号のいずれにも適合していると認めるときでなければ、その認定をしてはならない。
  •  第47条第1項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められているものであること。
  •  第47条第1項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎を有するものであること。
  •  第47条第1項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによって同項各号に掲げる業務が不公正になるおそれがないものであること。

個人情報保護委員会は、政令第14条第1項に規定する申請書及び同条第2項に掲げる添付書類に記載された事項について審査し、法第48条に規定する欠格事由とあわせ、次の3-1から3-3の全ての基準に適合すると認めるときは、その認定をすることとなる。

3-1 業務を適正かつ確実に行うに必要な業務の実施の方法(法第49条第1号関係)

  • 認定業務を行う組織及びその運営について明確かつ合理的に定められており、次のいずれにも適合するものであること。
    • ①認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用しないことについて適切かつ明確に定められていること。
    • ②認定業務の実施状況について、少なくとも、年1回、個人情報保護委員会に報告することとしていること。
  • 業務の実施の方法が通則ガイドライン、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年個人情報保護委員会告示第7号)、「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年個人情報保護委員会告示第8号)及び「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」(平成28年個人情報保護委員会告示第9号)その他個人情報の保護に関する法律に係る告示等に準拠していること。
  • 苦情の処理に係る業務について、次のいずれにも適合するものであること。
    • ①当事者の一方に偏することなく公平に業務が実施される体制が確保されていること。
    • ②対象事業者が確実に苦情の処理に応じることが確保されていること。
    • ③苦情の処理について公正な第三者の意見を踏まえることができる体制が整備されていること。
  • 対象事業者に対する情報の提供の方法について、次のいずれにも適合するものであること。
    • ①情報の提供の目的が、対象事業者の個人情報等の適正な取扱いを確保するために必要なものであること。
    • ②情報の提供の目的を達成するために必要な実施内容、実施の体制及び実施の計画が整備されていること。
  • 法第47条第1項第3号に規定する業務について、次のいずれにも適合するものであること。
    • ①認定後速やかに個人情報保護指針を届け出ることを予定している場合にあっては、対象事業者に対して個人情報保護指針を遵守させるための指導、勧告その他の措置を行う体制が整備されていること。
    • ②対象事業者における個人データの漏えい等事案が発生した場合の対応を行う場合には、当該対応(個人情報保護委員会への報告を含む。)が適正かつ明確に定められていること。
    • ③その他必要な業務の目的が、対象事業者の個人情報等の適正な取扱いを確保するために必要なものであること。
    • ④その他必要な業務の目的を達成するために必要な実施内容、実施の体制及び実施の計画が整備されていること。

3-2 業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎(法第49条第2号関係)

  • 認定業務を適正かつ確実に行うための組織が存在すること。
  • 認定業務を適正かつ確実に行うために必要かつ適切な人員等を整備していること。
  • 認定業務を相当な期間維持することが可能な程度に経営状態が良好であること。
  • 債務超過の状態にないこと。

3-3 法第47条第1項各号に掲げる業務以外の業務を行っている場合(法第49条第3号関係)

認定の申請に係る業務以外の業務を行っている場合には、当該業務を行うことによって認定の申請に係る業務が不公正になるおそれがないこと。

4 変更の認定等(法第50条、政令第14条第3項・第4項、規則第39条・第40条関係)

法第50条
  1. 第47条第1項の認定(同条第2項の規定により業務の範囲を限定する認定を含む。次条第1項及び第155条第1項第5号において同じ。)を受けた者は、その認定に係る業務の範囲を変更しようとするときは、個人情報保護委員会の認定を受けなければならない。ただし、個人情報保護委員会規則で定める軽微な変更については、この限りでない。
  2. 第47条第3項及び第4項並びに前条の規定は、前項の変更の認定について準用する。
政令第14条(第3項・第4項)
  1. 前二項の規定は、法第50条第1項の変更の認定について準用する。
  2. 認定個人情報保護団体は、第1項各号に掲げる事項若しくは第2項第2号から第4号まで、第6号若しくは第8号に掲げる書類に記載した事項に変更(法第50条第1項の変更の認定に伴うものを除く。)があったとき、又は同条第1項ただし書の個人情報保護委員会規則で定める軽微な変更をしたときは、遅滞なく、その旨(第2項第3号に掲げる書類に記載した事項に変更があったときは、その旨及びその理由)を記載した届出書を個人情報保護委員会に提出しなければならない。
規則第39条

法第50条第1項の個人情報保護委員会規則で定める軽微な変更は、法第47条第1項各号に定める業務の内容の実質的な変更を伴わないものとする。

規則第40条

法第54条第2項の規定による届出は、別記様式第5による届出書によるものとする。

4-1 変更の認定

認定個人情報保護団体は、認定に係る業務の範囲を変更しようとするときは、個人情報保護委員会の認定を受けなければならない(軽微な変更に該当する場合を除く)。

認定個人情報保護団体による法第50条第2項において準用する法第47条第3項の変更の認定の申請は、別記様式第3号による申請書を個人情報保護委員会に提出してしなければならない。

なお、変更の認定に際しても、2-3(認定申請書添付書類)に掲げる添付書類を全て提出しなければならない。

4-2 変更の届出

認定個人情報保護団体は、次に掲げる事項若しくは次に掲げる書類に記載した事項に変更(変更の認定に伴うものを除く。)があったとき又は業務の範囲の軽微な変更があったときには、認定を受ける必要はないが、遅滞なく、その旨(下記⑤に記載した事項に変更があったときは、その理由を含む。)を記載した別記様式第4号による変更届出書を個人情報保護委員会に提出しなければならない。なお、変更の認定を受けた者については、改めて当該変更に係る届出を行う必要はない。

「法第47条第1項各号に定める業務の内容の実質的な変更を伴わないもの」とは、例えば、法令の制定又は改廃に伴い当然必要とされる形式的な変更や、取り扱う商品やサービスの内容に変更があったとしても、公示されている認定業務の範囲からみて、通常、本人が苦情を申し出る範囲と齟齬がないものが考えられる。

変更届出書には、変更後の書類(下記④~⑧に限る。)を添付しなければならない(※)。

また、個人情報保護指針の変更の届出は、規則第40条で定める様式によりしなければならない。

  • ①名称及び住所並びに代表者又は管理人の氏名
  • ②認定の申請に係る業務を行おうとする事務所の所在地
  • ③認定の申請に係る業務の概要(対象事業者が取り扱う情報が個人情報、仮名加工情報又は匿名加工情報のいずれであるかの別を含む。)
  • ④認定を受けようとする者が法第48条各号の規定に該当しないことを誓約する書面
  • ⑤認定の申請に係る業務の実施の方法を記載した書類
  • ⑥認定の申請に係る業務を適正かつ確実に行うに足りる知識及び能力を有することを明らかにする書類
  • ⑦役員の氏名、住所及び略歴を記載した書類
  • ⑧認定の申請に係る業務以外の業務を行っている場合は、その業務の種類及び概要を記載した書類

(※)認定個人情報保護団体がアカウンタビリティ・エージェントに係る業務を併せて行おうとする場合には、当該認定個人情報保護団体は、2-3-1(業務の実施の方法に関する書類)に掲げる書類に加えて次に掲げる事項を記載した書類を変更届出書に添付して、個人情報保護委員会に提出しなければならない。

  • (ⅰ)アカウンタビリティ・エージェントに係る業務を行う組織に関する次に掲げる事項
    • イ アカウンタビリティ・エージェントに係る業務を行う組織の概要
    • ロ アカウンタビリティ・エージェントに係る業務の責任者の氏名及び役職並びに職務経歴等に関する事項
  • (ⅱ)アカウンタビリティ・エージェントに係る業務を適正かつ確実に行うに足りる実施体制を示す次に掲げる事項
    • イ アカウンタビリティ・エージェントに係る業務の実施に係る人員に関すること
    • ロ 認定個人情報保護団体の財務状況等に関すること

5 廃止の届出(法第51条第1項、政令第15条関係)

法第51条(第1項)
  1. 第47条第1項の認定(前条第1項の変更の認定を含む。)を受けた者(以下この節及び第6章において「認定個人情報保護団体」という。)は、その認定に係る業務(以下この節及び第6章において「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を個人情報保護委員会に届け出なければならない。
政令第15条
認定個人情報保護団体は、認定業務を廃止しようとするときは、廃止しようとする日の3月前までに、次に掲げる事項を記載した届出書を個人情報保護委員会に提出しなければならない。
  •  名称及び住所並びに代表者又は管理人の氏名
  •  法第53条第1項の申出の受付を終了しようとする日
  •  認定業務を廃止しようとする日
  •  認定業務を廃止する理由

認定個人情報保護団体は、認定業務を廃止しようとするときは、廃止しようとする日の3月前までに、次に掲げる事項を記載した届出書を個人情報保護委員会に提出しなければならない。

  • ①名称及び住所並びに代表者又は管理人の氏名
  • ②苦情の申出の受付を終了しようとする日
  • ③認定業務を廃止しようとする日
  • ④認定業務を廃止する理由