プライバシーポリシー｜安全管理措置条項

今回は、プライバシーポリシーの作り方ということで、安全管理措置条項について見てみたいと思います。

ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。

安全管理措置条項の法的意味

安全管理措置条項の法的意味は、個人情報取扱事業者には、保有個人データに関する所定事項の公表義務があり（法32条1項）、講じた安全管理措置の内容もその公表事項のひとつになっているため（施行令10条1号）、これをプライバシーポリシーに記載することである。

ただし、その保有個人データの安全管理に支障を及ぼすおそれがあるものについては、公表の必要はない（施行令10条1号括弧書き）。

▽法32条1項4号

（保有個人データに関する事項の公表等）
第三十二条　個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。
四　前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの

　↓　施行令10条1号

（保有個人データの適正な取扱いの確保に関し必要な事項）
第十条　法第三十二条第一項第四号の政令で定めるものは、次に掲げるものとする。
一　法第二十三条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。）

「本人の知り得る状態」とは、本人が知ろうとすれば、知ることができる状態に置くことをいう。

▽通則ガイドライン3-8-1

（※1）「本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）」とは、ホームページへの掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとすれば、知ることができる状態に置くことをいい、常にその時点での正確な内容を本人の知り得る状態に置かなければならない。必ずしもホームページへの掲載、又は事務所等の窓口等へ掲示すること等が継続的に行われることまでを必要とするものではないが、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。

安全管理措置についていえば、問合せ窓口を掲載したうえで、概要や一部をホームページに掲載し、本人からの問合せがあれば具体的な内容を遅滞なく回答する体制を構築しておく、という対応も可能とされている。

もっとも、"ガイドラインに沿って適切に安全管理措置を実施しています"、といった内容の掲載や回答のみでは不十分である。

▽通則ガイドライン3-8-1

　なお、本人の知り得る状態については、本人の求めに応じて遅滞なく回答する場合を含むため、講じた措置の概要や一部をホームページに掲載し、残りを本人の求めに応じて遅滞なく回答を行うといった対応も可能であるが、例えば、「個人情報の保護に関する法律についてのガイドライン（通則編）」に沿って安全管理措置を実施しているといった内容の掲載や回答のみでは適切ではない。

▽ガイドラインQ&A 9-3

　「法第23条の規定により保有個人データの安全管理のために講じた措置」（法第32条第1項第4号・施行令第10条第1号）について、ホームページにおいては、安全管理措置の概要及び問合せ窓口を掲載し、安全管理措置の具体的な内容については、本人からの問合せに応じて遅滞なく回答する、という対応を取ることはできますか。

　個人情報取扱事業者は、「保有個人データの安全管理のために講じた措置」について、「本人の知り得る状態」に置く必要がありますが、「本人の知り得る状態」は、「本人の求めに応じて遅滞なく回答する場合」を含みます。
　例えば、ホームページにおいて、安全管理措置の概要及び問合せ窓口を掲載し、本人からの問合せがあれば、安全管理措置の具体的な内容を遅滞なく回答する体制を構築している場合には、保有個人データの安全管理のために講じた措置について、「本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）」に置いたこととなります。
（令和3年9月追加）

安全管理措置の内容

安全管理措置（法23条）の具体的内容として、通則ガイドラインでは、

• 基本方針の策定
• 個人データの取扱いに係る規程の整備
• 組織的安全管理措置
• 人的安全管理措置
• 物理的安全管理措置
• 技術的安全管理措置
• 外的環境の把握

が挙げられている（通則ガイドライン10（別添））。

ざっくりと全体をイメージすると、

• プライバシーポリシーを作成しましょう（基本方針の策定）
• 個人情報保護に関する社内規程を整備しましょう（個人データの取扱いに係る規程の整備）
• 責任者の明確化と業務分掌を適切に行い、ルールに則った運用がされているか実態のチェックを怠らず、PDCAを回しましょう（組織的安全管理）
• 従業員を教育しましょう（人的安全管理措置）
• 書庫に鍵をかける、離席時のスクリーンセーバー、オフィスの入退出管理など、基本的なアナログ管理をしっかりやりましょう（物理的安全管理措置）
• 内部的なアクセス権者の限定、外部からのサイバー攻撃への防御など、情報セキュリティ対策を講じましょう（技術的安全管理措置）
• 外国で個人データを取り扱う場合はその国の制度等を把握しましょう（外的環境の把握）

という感じである（※あくまでもイメージづくりのための大ざっぱな内容）。

通則ガイドラインには、上記の項目に沿って詳細な内容が書かれているが、これらを全て講じないといけないわけではない（あくまでも例示）。

▽通則ガイドラインQ&A 10-1

　ガイドライン（通則編）（10（別添）講ずべき安全管理措置の内容）に示されている項目を全て講じないと違法になりますか。

　ガイドライン（通則編）では、講じなければならない措置及び当該措置を実践するための手法の例等を示しています。
　「講じなければならない措置」として示している内容については、全ての個人情報取扱事業者において講じていただく必要がありますが、これを実践するための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであるため、必ずしもガイドライン（通則編）で示す例示の内容の全てを講じなければならないわけではなく、また、適切な手法は例示の内容のみに限定されるものではありません。

安全管理措置条項の記載項目

上記のように安全管理措置として講じるべき内容は個々の事業者で異なるので、本人の知り得る状態に置くべき内容も、個々に異なるとされている。

▽通則ガイドライン3-8-1

　当該安全管理のために講じた措置は、事業の規模及び性質、保有個人データの取扱状況（取り扱う保有個人データの性質及び量を含む。）、保有個人データを記録した媒体等に起因するリスクに応じて、必要かつ適切な内容としなければならない。このため、当該措置の内容は個人情報取扱事業者によって異なり、本人の知り得る状態に置く安全管理のために講じた措置の内容についても個人情報取扱事業者によって異なる。

実際は、安全管理措置条項では、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置（プラス、外国での取り扱いがあるような会社では外的環境の把握）あたりに触れるにとどめ、あとは問合せ窓口を掲載しているものが多いように思う（「本人の求めに応じて遅滞なく回答する」のパターン）。

組織的安全管理措置

個人情報取扱事業者は、組織的安全管理措置として、以下のような措置を講じなければならない（通則ガイドライン10-3参照）。

• 組織体制の整備
• 個人データの取扱いに係る規律に従った運用
• 個人データの取扱状況を確認する手段の整備
• 漏えい等事案に対応する体制の整備
• 取扱状況の把握及び安全管理措置の見直し

本人の知り得る状態に置く内容の例としては、以下のようなものが挙げられている。

▽通則ガイドライン3-8-1-⑴

（組織的安全管理措置）
事例1）個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者及び当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備
事例2）個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施

人的安全管理措置

個人情報取扱事業者は、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない（＝従業員の教育）（通則ガイドライン10-4参照）。

本人の知り得る状態に置く内容の例としては、以下のようなものが挙げられている。

▽通則ガイドライン3-8-1-⑴

（人的安全管理措置）
事例1）個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施
事例2）個人データについての秘密保持に関する事項を就業規則に記載

物理的安全管理措置

個人情報取扱事業者は、物理的安全管理措置として、以下のような措置を講じなければならない（通則ガイドライン10-5参照）。

• 個人データを取り扱う区域の管理
• 機器及び電子媒体等の盗難等の防止
• 電子媒体等を持ち運ぶ場合の漏えい等の防止
• 個人データの削除及び機器、電子媒体等の廃棄

本人の知り得る状態に置く内容の例としては、以下のようなものが挙げられている。

▽通則ガイドライン3-8-1-⑴

（物理的安全管理措置）
事例1）個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施
事例2）個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施

技術的安全管理措置

個人情報取扱事業者は、技術的安全管理措置として、以下のような措置（いわゆる情報セキュリティ対策）を講じなければならない（通則ガイドライン10-6参照）。

• アクセス制御
• アクセス者の識別と認証
• 外部からの不正アクセス等の防止
• 情報システムの使用に伴う漏えい等の防止

本人の知り得る状態に置く内容の例としては、以下のようなものが挙げられている。

▽通則ガイドライン3-8-1-⑴

（技術的安全管理措置）
事例1）アクセス制御を実施して、担当者及び取り扱う個人情報データベース等の範囲を限定
事例2）個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入

外的環境の把握

個人情報取扱事業者は、外国において個人データを取り扱う場合、その外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない（通則ガイドライン10-7参照）。

本人の知り得る状態に置く内容の例としては、以下のようなものが挙げられている。

▽通則ガイドライン3-8-1-⑴

（外的環境の把握）
事例）個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施（※8）

従業者の監督・委託先の監督

以上のほか、根拠条文は異なるが、従業者の監督（法24条）と委託先の監督（法25条）も、安全管理措置の一環であるため、安全管理措置に関して本人の知り得る状態に置くことの内容として記載する必要がある。

▽ガイドラインQ&A 9-4

　従業者の監督（法第24条）・委託先の監督（法第25条）についても、「法第23条の規定により保有個人データの安全管理のために講じた措置」（法第32条第1項第4号・施行令第10条第1号）として、本人の知り得る状態に置く必要がありますか。

　法第24条及び法第25条は、法第23条の安全管理措置の一環として、従業者及び委託先に対する監督義務を明記するものであり、従業者及び委託先に対する監督は、法第23条の安全管理措置の一部を成します。このため、従業者及び委託先に対する監督についても、法第23条の規定により保有個人データの安全管理のために講じた措置として、本人の知り得る状態に置く必要があります。
（令和3年9月追加）

これも、実際、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置などと並んで（特に従業員の監督は人的安全措置でもあるので一緒に書くと自然）、あるいはまた別の項目として、さらっとプライバシーポリシーに記載されていることが多いと思われる。

結び

今回は、プライバシーポリシーの作り方ということで、安全管理措置条項について見てみました。

［注記］
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。

プライバシーポリシーの作り方に関するその他の記事

参考文献・主要法令等