金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針(暫定版)
  法令番号:平成29年個人情報保護委員会・金融庁告示第2号 改正: 辞書バージョン:14.0 翻訳日:令和3年7月7日
Practical Guideline on the Security Control Actions under the Guidelines for Protection of Personal Information in the Finance Sector (Tentative translation)
Law number: Notification of the Personal Information Protection Commission, Financial Services Agency No. 2 of 2017 Amendment: Dictionary Ver: 14.0 Translation date: July 7, 2021


金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針(暫定版)
Practical Guideline on the Security Control Actions under the Guidelines for Protection of Personal Information in the Finance Sector (Tentative translation)
金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針
Practical Guideline on the Security Control Actions under the Guidelines for Protection of Personal Information in the Finance Sector
平成29年2月
個人情報保護委員会
金融庁
February 2017
Personal Information Protection Commission
Financial Services Agency
金融分野における個人情報保護に関するガイドラインの
安全管理措置等についての実務指針
Practical Guideline on the Security Control Actions under the Guidelines for Protection of Personal Information in the Finance Sector
目次
Table of Contents
I.金融分野における個人情報保護に関するガイドライン第8条に定める安全管理措置の実施について
I. Implementation of Security Control Actions Specified in Article 8 of the Guidelines for Protection of Personal Information in the Finance Sector
(1)個人データの安全管理に係る基本方針・取扱規程等の整備
(1) Development of Basic Policies and Handling Rules, etc. for Security Control of Personal Data
1-1 個人データの安全管理に係る基本方針の整備
1-1 Development of Basic Policies for Security Control of Personal Data
1-2 個人データの安全管理に係る取扱規程の整備
1-2 Development of Handling Rules for Security Control of Personal Data
1-3 個人データの取扱状況の点検及び監査に係る規程の整備
1-3 Development of Rules for Inspection and Audit of the Handling Status of Personal Data
1-4 外部委託に係る規程の整備
1-4 Development of Rules for Outsourcing
(2)個人データの安全管理措置に係る実施体制の整備
(2) Development of an Implementation System for Security Control Actions for Personal Data
1)実施体制の整備に関する組織的安全管理措置
1) Institutional Security Control Measures for Development of an Implementation System
2-1 個人データ管理責任者等の設置
2-1Appointment of a Person Responsible for the Management of Personal Data, etc.;
2-2 就業規則等における安全管理措置の整備
2-2 Development of Security Control Actions in Rules of Employment, etc.
2-3 個人データの安全管理に係る取扱規程に従った運用
2-3 Operation in Line with the Handling Rules for Security Control of Personal Data
2-4 個人データの取扱状況を確認できる手段の整備
2-4 Development of Means to Check the Handling Status of Personal Data
2-5 個人データの取扱状況の点検及び監査体制の整備と実施
2-5 Development and Implementation of a System for Inspection and Audit of the Handling Status of Personal Data
2-6 漏えい事案等に対応する体制の整備
2-6 Development of a System for Responding to Information Leakage or Other Incidents
2)実施体制の整備に関する人的安全管理措置
2) Human Security Control Measures for Development of an Implementation System
3-1 従業者との個人データの非開示契約等の締結
3-1 Conclusion of a Non-Disclosure Contract Concerning Personal Data with Employees
3-2 従業者の役割・責任等の明確化
3-2 Clarification of Roles and Responsibilities of Employees
3-3 従業者への安全管理措置の周知徹底、教育及び訓練
3-3 Thorough Dissemination of Security Control Actions to Employees and Their Education and Training
3-4 従業者による個人データ管理手続の遵守状況の確認
3-4 Checking of Employees' Compliance with Predetermined Personal Data Management Procedures
3)実施体制の整備に関する技術的安全管理措置
3) Technological Security Control Measures for Development of Implementation System
4-1 個人データの利用者の識別及び認証
4-1 Identification and Authentication of Personal Data Users
4-2 個人データの管理区分の設定及びアクセス制御
4-2 Setting of Management Categories of Personal Data and Access Control
4-3 個人データへのアクセス権限の管理
4-3 Management of Authority to Access Personal Data
4-4 個人データの漏えい・毀損等防止策
4-4 Measures to Prevent the Leak and Damage, etc. of Personal Data
4-5 個人データへのアクセスの記録及び分析
4-5 Recording and Analysis of Access to Personal Data
4-6 個人データを取り扱う情報システムの稼動状況の記録及び分析
4-6 Recording and Analysis of Operation of the Information System Handling Personal Data
4-7 個人データを取り扱う情報システムの監視及び監査
4-7 Monitoring and Audit of the Information System Handling Personal Data
Ⅱ.金融分野における個人情報保護に関するガイドライン第9条に定める「従業者の監督」 について
II. "Supervision over Employees" Specified in Article 9 of the Guidelines for Protection of Personal Information in the Finance Sector
Ⅲ.金融分野における個人情報保護に関するガイドライン第10条に定める「委託先の監督」について
III. "Supervision over Outsourcees" Specified in Article 10 of the Guidelines for Protection of Personal Information in the Finance Sector
5-1・5-2 個人データ保護に関する委託先選定の基準
5-1·5-2 Criteria for Selecting Outsourcees for Protection of Personal Data
5-3・5-4 委託契約において盛り込むべき安全管理に関する内容
5-3·5-4 Matters Concerning Security Control to be Incorporated in an Outsourcing Contract
(別添1)金融分野における個人情報保護に関するガイドライン第8条第5項(2)に定める各管理段階における安全管理に係る取扱規程について
(Attachment 1) Handling Rules for Security Control at Each Stage Specified in Article 8, paragraph 5(2) of the Guidelines for Protection of Personal Information in the Finance Sector
6-1 取得・入力段階における取扱規程
6-1 Handling Rules at the Stage of Acquisition and Input of Data
6-2 利用・加工段階における取扱規程
6-2 Handling Rules at the Stage of Use and Processing of Data
6-3 保管・保存段階における取扱規程
6-3 Handling Rules at the Stage of Reservation and Retention of Data
6-4 移送・送信段階における取扱規程
6-4 Handling Rules at the Stage of Transfer and Sending of Data
6-5 消去・廃棄段階における取扱規程
6-5 Handling Rules at the Stage of Deletion and Disposal of Data
6-6 漏えい事案等への対応の段階における取扱規程
6-6 Handling Rules at the Time of Responding to Information Leakage or Other Incidents
(別添2)金融分野における個人情報保護に関するガイドライン第5条に定める「機微(センシティブ)情報」(生体認証情報を含む。)の取扱いについて
(Attachment 2) Handling of "Sensitive Information" (Including Biometric Information) Specified in Article 5 of the Guidelines for Protection of Personal Information in the Finance Sector
7-1・7-2
(別添3)金融分野における個人情報保護に関するガイドライン第2条第4項に規定する個人信用情報機関における会員管理について 19
(Attachment 3) Management of Members at a Personal Credit Data Institution Provided in Article 2, Paragraph 4 of the Guidelines for Protection of Personal Information in the Finance Sector
8-1 資格審査
8-1 Qualification Examination
8-2 モニタリング
8-2 Monitoring
8-3 不適正使用に対する処分
8-3 Disposition against Improper Use
8-4 外部監査
8-4 External Audit
I.金融分野における個人情報保護に関するガイドライン第8条に定める安全管理措置の実施について
I. Implementation of Security Control Actions Specified in Article 8 of the Guidelines for Protection of Personal Information in the Finance Sector
(1)個人データの安全管理に係る基本方針・取扱規程等の整備
(1) Development of Basic Policies and Handling Rules, etc. for Security Control of Personal Data
(個人データの安全管理に係る基本方針の整備)
(Development of Basic Policies for Security Control of Personal Data)
1-1 金融分野における個人情報保護に関するガイドライン(平成29年個人情報保護委員会・金融庁告示第1号。以下「金融分野ガイドライン」という。)第1条第1項に規定する金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第5項(1)①に基づき、次に掲げる事項を定めた個人データの安全管理に係る基本方針を策定し、当該基本方針を公表するとともに、必要に応じて基本方針の見直しを行わなければならない。
1-1 A personal information handling business operator in the finance sector provided in Article 1, paragraph 1 of the Guidelines for Protection of Personal Information in the Finance Sector (Notification of the Personal Information Protection Commission, Financial Services Agency No. 1 of 2017; hereinafter referred to as the "Guidelines in the Finance Sector") must formulate basic policies for security control of personal data specifying the following matters under Article 8, paragraph 5(1)(i) of the Guidelines in the Finance Sector") and publicize the basic policies, and must review the basic policies as necessary:
① 個人情報取扱事業者の名称
(i) the name of the personal information handling business operator;
② 安全管理措置に関する質問及び苦情処理の窓口
(ii) contact information on offices processing inquiries and complaints concerning security control actions;
③ 個人データの安全管理に関する宣言
(iii) pronouncement concerning the security control of personal data;
④ 基本方針の継続的改善の宣言
(iv) pronouncement of continuous improvement of the basic policies; and
⑤ 関係法令等遵守の宣言
(v) pronouncement of compliance with related laws and regulations.
(個人データの安全管理に係る取扱規程の整備)
(Development of Handling Rules for Security Control of Personal Data)
1-2 金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第5項(1)②に規定する「個人データの安全管理に係る取扱規程の整備」として、金融分野ガイドライン第8条第5項(2)に規定する個人データの各管理段階における安全管理に係る取扱規程を整備し、各管理段階ごとに別添1に規定する事項を定めるとともに、必要に応じて規程の見直しを行わなければならない。
1-2 A personal information handling business operator in the finance sector must develop handling rules for security control of personal data at each stage provided in Article 8, paragraph 5(2) of the Guidelines in the Finance Sector and specify the matters provided in Attachment 1 for each stage and must review the rules as necessary as measures for "development of handing rules for security control of personal data" provided in Article 8, paragraph 5(1)(ii) of the Guidelines in the Finance Sector.
なお、全ての管理段階を同一人が取り扱う小規模事業者等においては、各管理段階ごとに取扱規程を定めることに代えて、全管理段階を通じた安全管理に係る取扱規程において次に掲げる事項を定めることも認められる。
It is permissible for a small personal information handling business operator in the finance sector, etc. in which one person handles personal data at all stages to specify the following matters in the handling rules for security control throughout all stages, instead of establishing handling rules at each stage:
① 取扱者の役割・責任
(i) roles and responsibilities of the person handling personal data;
② 取扱者の限定
(ii) limitation of the person handling personal data; and
③ 各管理段階において個人データの安全管理上必要とされる手続
(iii) procedures that are necessary for security control of personal data at each stage.
(個人データの取扱状況の点検及び監査に係る規程の整備)
(Development of Rules for Inspection and Audit of the Handling Status of Personal Data)
1-3 金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第5項(1)③に基づき、個人データの取扱状況に関する点検及び監査の規程を整備し、次に掲げる事項を定めるとともに、必要に応じて規程の見直しを行わなければならない。
1-3 A personal information handling business operator in the finance sector must develop rules for inspection and audit of the handling status of personal data under Article 8, paragraph 5(1)(iii) of the Guidelines in the Finance Sector and specify the following matters, and must review the rules as necessary.
なお、個人データ取扱部署が単一である事業者においては、点検により監査を代替することも認められる。
If such operator has only one division handling personal data, it is permissible for the operator to substitute inspections for audits.
① 点検及び監査の目的
(i) Purpose of inspection and audit
② 点検及び監査の実施部署
(ii) Division that implements inspection and audit
③ 点検責任者及び点検担当者の役割・責任
(iii) Roles and responsibilities of an inspection supervisor and an inspector in charge
④ 監査責任者及び監査担当者の役割・責任
(iv) Roles and responsibilities of an audit supervisor and an auditor in charge
⑤ 点検及び監査に関する手続
(v) Procedures for inspection and audit
(外部委託に係る規程の整備)
(Development of Rules for Outsourcing)
1-4 金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第5項(1)④に基づき、外部委託に係る取扱規程を整備し、次に掲げる事項を定めるとともに、定期的に規程の見直しを行わなければならない。
1-4 A personal information handling business operator in the finance sector must develop handling rules for outsourcing under Article 8, paragraph 5(1)(iv) of the Guidelines in the Finance Sector and specify the following matters, and must review the rules regularly:
① 委託先の選定基準
(i) criteria for selecting outsourcees; and
② 委託契約に盛り込むべき安全管理に関する内容
(ii) matters concerning security control to be incorporated in an outsourcing contract.
(2)個人データの安全管理措置に係る実施体制の整備
(2) Development of an Implementation System for Security Control Actions for Personal Data
1)実施体制の整備に関する組織的安全管理措置
1) Institutional Security Control Measures for Development of an Implementation System
金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第6項に基づき、個人データの安全管理措置に係る実施体制の整備における「組織的安全管理措置」として、次に掲げる措置を講じなければならない。
A personal information handling business operator in the finance sector must take the following measures as "institutional security control measures" in the development of an implementation system for security control actions for personal data under Article 8, paragraph 6 of the Guidelines in the Finance Sector:
① 個人データの管理責任者等の設置
(i) appointment of a person responsible for the management of personal data, etc.;
② 就業規則等における安全管理措置の整備
(ii) development of security control actions in rules of employment, etc.;
③ 個人データの安全管理に係る取扱規程に従った運用
(iii) operation in line with the handling rules for security control of personal data;
④ 個人データの取扱状況を確認できる手段の整備
(iv) development of means to check the handling status of personal data;
⑤ 個人データの取扱状況の点検及び監査体制の整備と実施
(v) development and implementation of a system for inspection and audit of the handling status of personal data; and
⑥ 漏えい事案等に対応する体制の整備
(vi) development of a system for responding to information leakage or other incidents.
(個人データ管理責任者等の設置)
(Appointment of a Person Responsible for the Management of Personal Data, etc.)
2-1 金融分野における個人情報取扱事業者は、「個人データの管理責任者等の設置」として次に掲げる役職者を設置しなければならない。
2-1 A personal information handling business operator in the finance sector must appoint the following executives as measures for "appointment of a person responsible for the management of personal data, etc.":
① 個人データの安全管理に係る業務遂行の総責任者である個人データ管理責任者
(i) a person responsible for the management of personal data who takes overall responsibility for performance of operations for security control of personal data; and
② 個人データを取り扱う各部署における個人データ管理者
(ii) a person managing personal data at each division who handles personal data.
なお、個人データ取扱部署が単一である事業者においては、個人データ管理責任者が個人データ管理者を兼務することも認められる。個人データ管理責任者は、株式会社組織であれば取締役又は執行役等の業務執行に責任を有する者でなければならない。
If such operator has only one division handling personal data, it is permissible for a person responsible for the management of personal data to also work as a person managing personal data. In a stock company organization, a person responsible for the management of personal data must be a person responsible for the execution of business, such as a director or executive officer.
(注)金融分野における個人情報取扱事業者は、「個人データの管理責任者等の設置」として、個人データの取扱いの点検・改善等の監督を行う部署又は合議制の委員会を設置することが望ましい。
(Note) It is desirable for a personal information handling business operator in the finance sector to have a division or committee with council system that supervises the inspection, improvement, etc. of the handling of personal data as measures for "appointment of a person responsible for the management of personal data, etc.".
2-1-1 金融分野における個人情報取扱事業者は、2-1①に規定する個人データ管理責任者に、次に掲げる業務を所管させなければならない。
2-1-1 A personal information handling business operator in the finance sector must have a person responsible for the management of personal data provided in 2-1(i) have administrative jurisdiction over the following operations:
① 個人データの安全管理に関する規程及び委託先の選定基準の承認及び周知
(i) approval and dissemination of rules for security control of personal data and criteria for selecting outsourcees;
② 個人データ管理者及び4-1に規定する「本人確認に関する情報」の管理者の任命
(ii) appointment of a person managing personal data and a person managing "identity verification information" provided in 4-1;
③ 個人データ管理者からの報告徴収及び助言・指導
(iii) collection of reports from a person managing personal data and provision of advice and guidance thereto;
④ 個人データの安全管理に関する教育・研修の企画
(iv) planning of education and training regarding security control of personal data; and
⑤ その他個人情報取扱事業者全体における個人データの安全管理に関すること
(v) other matters relating to security control of personal data at the personal information handling business operator as a whole.
2-1-2 金融分野における個人情報取扱事業者は、2-1②に規定する個人データ管理者に、次に掲げる業務を所管させなければならない。
2-1-2 A personal information handing business operator in the finance sector must have a person managing personal data provided in 2-1(ii) have administrative jurisdiction over the following operations:
① 個人データの取扱者の指定及び変更等の管理
(i) management of the designation and change, etc. of a person handling personal data;
② 個人データの利用申請の承認及び記録等の管理
(ii) management of the approval and record, etc. of applications for use of personal data;
③ 個人データを取り扱う保管媒体の設置場所の指定及び変更等
(iii) designation and change, etc. of the place where a reservation medium handling personal data is installed;
④ 個人データの管理区分及び権限についての設定及び変更の管理
(iv) management of the setting and change of the management categories of personal data and authority;
⑤ 個人データの取扱状況の把握
(v) understanding of the handling status of personal data;
⑥ 委託先における個人データの取扱状況等の監督
(vi) supervision of the handling status of personal data at outsourcees;
⑦ 個人データの安全管理に関する教育・研修の実施
(vii) implementation of education and training regarding the security control of personal data;
⑧ 個人データ管理責任者に対する報告
(viii) reports to a person responsible for the management of personal data; and
⑨ その他所管部署における個人データの安全管理に関すること
(ix) other matters relating to security control of personal data at a division over which the person managing personal data has administrative jurisdiction.
(就業規則等における安全管理措置の整備)
(Development of Security Control Actions in Rules of Employment, etc.)
2-2 金融分野における個人情報取扱事業者は、「就業規則等における安全管理措置の整備」として、次に掲げる事項を就業規則等に定めるとともに、従業者との個人データの非開示契約等の締結を行わなければならない。
2-2 A personal information handling business operator in the finance sector must specify the following matters in its rules of employment, etc. and must conclude a non-disclosure contract concerning personal data, etc. with its employees as measures for "development of security control actions in rules of employment, etc.":
① 個人データの取扱いに関する従業者の役割・責任
(i) roles and responsibilities of employees concerning handling of personal data; and
② 違反時の懲戒処分
(ii) disciplinary action at the time of violation.
(個人データの安全管理に係る取扱規程に従った運用)
(Operation in Line with the Handling Rules for Security Control of Personal Data)
2-3 金融分野における個人情報取扱事業者は、「個人データの安全管理に係る取扱規程に従った運用」として、個人データの安全管理に係る取扱規程に従った体制を整備し、当該取扱規程に従った運用を行うとともに、取扱規程に規定する事項の遵守状況の記録及び確認を行わなければならない。
2-3 A personal information handling business operator in the finance sector must develop a system in line with the handling rules for security control of personal data and operates it in line with the handling rules and must record and check compliance with the matters provided in the handling rules as measures for "operation in line with the handling rules for security control of personal data."
(個人データの取扱状況を確認できる手段の整備)
(Development of Means to Check the Handling Status of Personal Data)
2-4 金融分野における個人情報取扱事業者は、「個人データの取扱状況を確認できる手段の整備」として、次に掲げる事項を含む台帳等を整備しなければならない。
2-4 A personal information handling business operator in the finance sector must develop a ledger, etc. including the following matters as measures for "development of means to check the handling status of personal data":
① 取得項目
(i) acquisition item;
② 利用目的
(ii) utilization purposes;
③ 保管場所・保管方法・保管期限
(iii) place, method, and term of reservation,
④ 管理部署
(iv) a division managing personal data; and
⑤ アクセス制御の状況
(v) status of access control.
(個人データの取扱状況の点検及び監査体制の整備と実施)
(Development and Implementation of a System for Inspection and Audit of the Handling Status of Personal Data)
2-5 金融分野における個人情報取扱事業者は、「個人データの取扱状況の点検及び監査体制の整備と実施」として、個人データを取り扱う部署が自ら行う点検体制を整備し、点検を実施するとともに、当該部署以外の者による監査体制を整備し、監査を実施しなければならない。
2-5 A personal information handling business operator in the finance sector must implement inspections by developing an inspection system under which the division handling personal data conducts inspections itself and must implement audits by developing an audit system under which a person outside that division conducts audits as measures for "development and implementation of a system for inspection and audit of the handling status of personal data."
なお、個人データ取扱部署が単一である事業者においては、点検により監査を代替することも認められる。
If such operator has only one division handling personal data, it is permissible for the operator to substitute inspections for audits.
2-5-1 金融分野における個人情報取扱事業者は、個人データを取り扱う部署において点検責任者及び点検担当者を選任するとともに、点検計画を策定することにより点検体制を整備し、定期的及び臨時の点検を実施しなければならない。また、点検の実施後において、規程違反事項等を把握したときは、その改善を行わなければならない。
2-5-1 A personal information handling business operator in the finance sector must develop an inspection system by appointing an inspection supervisor and an inspector in charge in the division handling personal data and by formulating an inspection plan, and must implement regular and ad-hoc inspections. If it identifies any matter in violation of rules after the implementation of an inspection, it must make corrections.
2-5-2 金融分野における個人情報取扱事業者は、監査の実施に当たっては、監査対象となる個人データを取り扱う部署以外から監査責任者・監査担当者を選任し、監査主体の独立性を確保するとともに、監査計画を策定することにより監査体制を整備し、定期的及び臨時の監査を実施しなければならない。また、監査の実施後において、規程違反事項等を把握したときは、その改善を行わなければならない。
2-5-2 In implementing audits, a personal information handling business operator in the finance sector must develop an audit system by appointing an audit supervisor and an auditor in charge outside the division handling personal data to be audited so as to secure independence of the auditing body and by formulating an audit plan, and must implement regular and ad-hoc audits. If it identifies any matter in violation of rules after the implementation of an audit, it must make improvements.
なお、監査部署が監査業務等により個人データを取り扱う場合には、当該部署における個人データの取扱いについて、個人データ管理責任者が特に任命する者がその監査を実施しなければならない。
In the case where an audit division handles personal data in audit operations or the like, a person specially appointed by a person responsible for the management of personal data must audit the way in which personal data is handled in that division.
(注)金融分野における個人情報取扱事業者は、新たなリスクに対応するための、安全管理措置の評価、見直し及び改善に向けて、個人情報保護対策及び最新の技術動向を踏まえた情報セキュリティ対策に十分な知見を有する者による、社内の対応の確認(必要に応じ、外部の知見を有する者を活用し確認させることを含む。)等を実施することが望ましい。
It is desirable for a personal information handling business operator in the finance sector to verify the measures taken within the company to evaluate, review, and improve its security control actions so as to respond to new types of risks, by assigning this verification task to a person with sufficient knowledge on measures for protection of personal data and information security measures based on the latest technology developments (including outsourcing the verification task to a person with relevant knowledge outside the company as necessary).
(漏えい事案等に対応する体制の整備)
(Development of a System for Responding to Information Leakage or Other Incidents)
2-6 金融分野における個人情報取扱事業者は、「漏えい事案等に対応する体制の整備」として、次に掲げる体制を整備しなければならない。
2-6 A personal information handling business operator in the finance sector must develop the following systems as measures for "development of a system for responding to information leakage or other incidents":
① 対応部署
(i) a responding division;
② 漏えい事案等の影響・原因等に関する調査体制
(ii) an investigation system concerning the impacts, causes, etc. of the information leakage or other incidents;
③ 再発防止策・事後対策の検討体制
(iii) a system for reviewing preventive measures and ex-post measures; and
④ 自社内外への報告体制
(iv) a system for reporting to inside and outside the company.
2-6-1 金融分野における個人情報取扱事業者は、1-2③又は6-6-1に基づき、 自社内外への報告体制を整備するとともに、漏えい事案等が発生した場合には、次に掲げる事項を実施しなければならない。
2-6-1 A personal information handling business operator in the finance sector must develop a system for reporting to inside and outside the company based on 1-2(iii) or 6-6-1 and must implement the following matters if information leakage or any other incident occurs:
① 監督当局等への報告
(i) report that incident to the supervisory authority, etc.;
② 本人への通知等
(ii) inform the person in question of the facts concerning the incident; and
③ 二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の早急な公表
(iii) disclose the facts concerning the information leakage or other incident and preventive measures to the public without delay from the perspective of preventing secondary damage or the occurrence of any similar incidents.
2)実施体制の整備に関する人的安全管理措置
2) Human Security Control Measures for Development of an Implementation System
金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第6項に基づき、個人データの安全管理措置に係る実施体制の整備における「人的安全管理措置」として、次に掲げる措置を講じなければならない。
A personal information handling business operator in the finance sector must take the following measures as "human security control measures" in the development of an implementation system for security control actions for personal data under Article 8, paragraph 6 of the Guidelines in the Finance Sector:
① 従業者との個人データの非開示契約等の締結
(i) conclusion of a non-disclosure contract concerning personal data with employees;
② 従業者の役割・責任等の明確化
(ii) clarification of roles and responsibilities of employees;
③ 従業者への安全管理措置の周知徹底、教育及び訓練
(iii) thorough dissemination of security control actions to employees and their education and training; and
④ 従業者による個人データ管理手続の遵守状況の確認
(iv) checking of employees' compliance with predetermined personal data management procedures.
(従業者との個人データの非開示契約等の締結)
(Conclusion of a Non-Disclosure Contract Concerning Personal Data with Employees)
3-1 金融分野における個人情報取扱事業者は、「従業者との個人データの非開示契約等の締結」として、採用時等に従業者と個人データの非開示契約等を締結するとともに、非開示契約等に違反した場合の懲戒処分を定めた就業規則等を整備しなければならない。
3-1 A personal information handling business operator in the finance sector must conclude a non-disclosure contract concerning personal data, etc. with its employees upon recruiting them or on other occasions and must develop rules of employment, etc. specifying disciplinary actions in the case of violation of the non-disclosure contract, etc. as measures for "conclusion of a non-disclosure contract concerning personal data with employees."
(従業者の役割・責任等の明確化)
(Clarification of Roles and Responsibilities of Employees)
3-2 金融分野における個人情報取扱事業者は、「従業者の役割・責任等の明確化」として、次に掲げる措置を講じなければならない。
3-2 A personal information handling business operator in the finance sector must take the following measures as measures for "clarification of roles and responsibilities of employees":
① 各管理段階における個人データの取扱いに関する従業者の役割・責任の明確化
(i) clarification of roles and responsibilities of employees concerning handling of personal data at each stage;
② 個人データの管理区分及びアクセス権限の設定
(ii) setting of the management categories of personal data and authority to access;
③ 違反時の懲戒処分を定めた就業規則等の整備
(iii) development of rules of employment, etc. specifying disciplinary actions in the case of violation; and
④ 必要に応じた規程等の見直し
(iv) review of rules, etc. as necessary.
(従業者への安全管理措置の周知徹底、教育及び訓練)
(Thorough Dissemination of Security Control Actions to Employees and Their Education and Training)
3-3 金融分野における個人情報取扱事業者は、「従業者への安全管理措置の周知徹底、教育及び訓練」として、次に掲げる措置を講じなければならない。
3-3 A personal information handling business operator in the finance sector must take the following measures as measures for "through dissemination of security control actions to employees and their education and training":
① 従業者に対する採用時の教育及び定期的な教育・訓練
(i) provision of education to employees upon recruiting them and regular education and training to them;
② 個人データ管理責任者及び個人データ管理者に対する教育・訓練
(ii) provision of education and training to a person responsible for the management of personal data and persons managing personal data;
③ 個人データの安全管理に係る就業規則等に違反した場合の懲戒処分の周知
(iii) dissemination of disciplinary actions in the case of violation of rules of employment for security control of personal data, etc.; and
④ 従業者に対する教育・訓練の評価及び定期的な見直し
(iv) evaluation and regular review of education and training to employees.
(従業者による個人データ管理手続の遵守状況の確認)
(Checking of Employees' Compliance with Predetermined Personal Data Management Procedures)
3-4 金融分野における個人情報取扱事業者は、「従業者による個人データ管理手続の遵守状況の確認」として、1-2の個人データの安全管理に係る取扱規程に定めた事項の遵守状況について、2-3に基づく記録及び確認を行うとともに、2-5に基づき点検及び監査を実施しなければならない。
3-4 A personal information handling business operator in the finance sector must conduct recording and checking based on 2-3 with respect to compliance with the matters specified in the handling rules for security control of personal data stated in 1-2 and must implement inspection and audit based on 2-5 as measures for "checking of employee's compliance with predetermined personal data management procedures."
3)実施体制の整備に関する技術的安全管理措置
3) Technological Security Control Measures for Development of Implementation System
金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第6項に基づき、個人データの安全管理措置に係る実施体制の整備における「技術的安全管理措置」として、次に掲げる措置を講じなければならない。
A personal information handling business operator in the finance sector must take the following measures as "technological security control measures" in the development of an implementation system for security control actions for personal data under Article 8, paragraph 6 of the Guidelines in the Finance Sector:
① 個人データの利用者の識別及び認証
(i) identification and authentication of personal data users;
② 個人データの管理区分の設定及びアクセス制御
(ii) setting of management categories of personal data and access control;
③ 個人データへのアクセス権限の管理
(iii) management of authority to access personal data;
④ 個人データの漏えい・毀損等防止策
(iv) measures to prevent the leak and damage, etc. of personal data;
⑤ 個人データへのアクセスの記録及び分析
(v) recording and analysis of access to personal data;
⑥ 個人データを取り扱う情報システムの稼動状況の記録及び分析
(vi) recording and analysis of operation of the information system handling personal data;
⑦ 個人データを取り扱う情報システムの監視及び監査
(vii) monitoring and audit of the information system handling personal data.
(個人データの利用者の識別及び認証)
(Identification and Authentication of Personal Data Users)
4-1 金融分野における個人情報取扱事業者は、「個人データの利用者の識別及び認証」として、次に掲げる措置を講じなければならない。
4-1 A personal information handling business operator in the finance sector must take the following measures as measures for "identification and authentication of personal data users":
① 本人確認機能の整備
(i) development of identity verification function;
② 本人確認に関する情報の不正使用防止機能の整備
(ii) development of function to prevent unauthorized use of identity verification information; and
③ 本人確認に関する情報が他人に知られないための対策
(iii) measures for keeping identity verification information private.
(個人データの管理区分の設定及びアクセス制御)
(Setting of Management Categories of Personal Data and Access Control)
4-2 金融分野における個人情報取扱事業者は、「個人データの管理区分の設定及びアクセス制御」として、次に掲げる措置を講じなければならない。
4-2 A personal information handling business operator in the finance sector must take the following measures as measures for "setting of management categories of personal data and access control":
① 従業者の役割・責任に応じた管理区分及びアクセス権限の設定
(i) setting of management categories and authority to access according to the roles and responsibilities of employees;
② 事業者内部における権限外者に対するアクセス制御
(ii) access control to unauthorized persons within the operator; and
③ 外部からの不正アクセスの防止措置
(iii) measures for preventing unauthorized access from outside.
4-2-1 金融分野における個人情報取扱事業者は、「外部からの不正アクセスの防止措置」として、次に掲げる措置を講じなければならない。
4-2-1 A personal information handling business operator in the finance sector must take the following measures as "measures for preventing unauthorized access from outside":
① アクセス可能な通信経路の限定
(i) limitation of accessible communication pathways;
② 外部ネットワークからの不正侵入防止機能の整備
(ii) development of function to prevent hacking from external networks;
③ 不正アクセスの監視機能の整備
(iii) development of function to monitor unauthorized access; and
④ ネットワークによるアクセス制御機能の整備
(iv) development of network-based access control function.
(個人データへのアクセス権限の管理)
(Management of Authority to Access Personal Data)
4-3 金融分野における個人情報取扱事業者は、「個人データへのアクセス権限の管理」として、次に掲げる措置を講じなければならない。
4-3 A personal information handling business operator in the finance sector must take the following measures as measures for "management of authority to access personal data":
① 従業者に対する個人データへのアクセス権限の適切な付与及び見直し
(i) appropriate granting of authority to access personal data to employees and review thereof;
② 個人データへのアクセス権限を付与する従業者数を必要最小限に限定すること
(ii) limitation of the number of employees to which authority to access personal data is granted to the minimum necessary; and
③ 従業者に付与するアクセス権限を必要最小限に限定すること
(iii) limitation of authority to access granted to employees to the minimum necessary.
(個人データの漏えい・毀損等防止策)
(Measures to Prevent the Leak and Damage, etc. of Personal Data)
4-4 金融分野における個人情報取扱事業者は、「個人データの漏えい・毀損等防止策」として、個人データの保護策を講ずることとともに、障害発生時の技術的対応・復旧手続を整備しなければならない。
4-4 A personal information handling business operator in the finance sector must take measures to protect personal data and must develop technological responses and recovery procedures upon occurrence of a failure as "measures to prevent the leak and damage, etc. of personal data."
4-4-1 金融分野における個人情報取扱事業者は、「個人データの保護策を講ずること」として、次に掲げる措置を講じなければならない。
4-4-1 A personal information handling business operator in the finance sector must take the following measures as "measures to protect personal data":
① 蓄積データの漏えい防止策
(i) measures to prevent the leak of data at rest;
② 伝送データの漏えい防止策
(ii) measures to prevent the leak of transmission data; and
③ コンピュータウイルス等不正プログラムへの防御対策
(iii) defense measures against computer virus and other malicious programs.
4-4-2 金融分野における個人情報取扱事業者は、「障害発生時の技術的対応・復旧手続の整備」として、次に掲げる措置を講じなければならない。
4-4-2 A personal information handling business operator in the finance sector must take the following measures as measures for "development of technological responses and recovery procedures upon occurrence of a failure":
① 不正アクセスの発生に備えた対応・復旧手続の整備
(i) development of responses and recovery procedures in preparation for occurrence of unauthorized access;
② コンピュータウイルス等不正プログラムによる被害時の対策
(ii) measures to be taken upon receipt of damage by computer virus and other malicious programs; and
③ リカバリ機能の整備
(iii) development of recovery function.
(個人データへのアクセスの記録及び分析)
(Recording and Analysis of Access to Personal Data)
4-5 金融分野における個人情報取扱事業者は、「個人データへのアクセスの記録及び分析」として、個人データへのアクセスや操作を記録するとともに、当該記録の分析・保存を行わなければならない。また、不正が疑われる異常な記録の存否を定期的に確認しなければならない。
4-5 A personal information handling business operator in the finance sector must record access to and manipulation of personal data and must analyze and retain those records as measures for "recording and analysis of access to personal data." It must also check the existence of abnormal records indicating suspicion of unauthorized access regularly.
(個人データを取り扱う情報システムの稼動状況の記録及び分析)
(Recording and Analysis of Operation of the Information System Handling Personal Data)
4-6 金融分野における個人情報取扱事業者は、「個人データを取り扱う情報システムの稼動状況の記録及び分析」として、個人データを取り扱う情報システムの稼動状況を記録するとともに、当該記録の分析・保存を行わなければならない。
4-6 A personal information handling business operator in the finance sector must record the operation of the information system handling personal data and must analyze and retain those records as measures for "recording and analysis of operation of the information system handling personal data."
(個人データを取り扱う情報システムの監視及び監査)
(Monitoring and Audit of the Information System Handling Personal Data)
4-7 金融分野における個人情報取扱事業者は、「個人データを取り扱う情報システムの監視及び監査」として、個人データを取り扱う情報システムの利用状況、個人データへのアクセス状況及び情報システムへの外部からのアクセス状況を4-5及び4-6により監視するとともに、監視システムの動作の定期的な確認等、監視状況についての点検及び監査を行わなければならない。また、セキュリティパッチの適用や情報システム固有の脆弱性の発見・その修正等、ソフトウェアに関する脆弱性対策を行わなければならない。
4-7 A personal information handling business operator in the finance sector must monitor the status of use of the information system handling personal data, status of access to personal data, and status of access to the information system from outside based on 4-5 and 4-6 and must inspect and audit the status of monitoring, for example, by regularly checking operations of the monitoring system as measures for "monitoring and audit of the information system handling personal data." It must also take measures for vulnerability concerning software, including application of a security patch and discovery, correction, etc. of vulnerability unique to the information system.
Ⅱ.金融分野における個人情報保護に関するガイドライン第9条に定める「従業者の監督」 について
II. "Supervision over Employees" Specified in Article 9 of the Guidelines for Protection of Personal Information in the Finance Sector
金融分野における個人情報取扱事業者は、金融分野ガイドライン第9条に基づき、「Ⅰ.(2)2)実施体制の整備に関する人的安全管理措置」に規定する措置を講ずることにより、従業者に対し「必要かつ適切な監督」を行わなければならない。
A personal information handling business operator in the finance sector must exercise "necessary and appropriate supervision" over its employees by taking measures provided in "I.(2)2) Human Security Control Measures for Development of Implementation System."
Ⅲ.金融分野における個人情報保護に関するガイドライン第10条に定める「委託先の監督」について
III. "Supervision over Outsourcees" Specified in Article 10 of the Guidelines for Protection of Personal Information in the Finance Sector
金融分野における個人情報取扱事業者は、金融分野ガイドライン第10条第3項に基づき、個人データを適正に取り扱っていると認められる者を選定し、個人データの取扱いを委託するとともに、委託先における当該個人データに対する安全管理措置の実施を確保しなければならない。
A personal information handling business operator in the finance sector must select an entity that is found to be properly handling personal data and outsource the handling of personal data thereto and must secure implementation of security control actions for the personal data at the outsourcee under Article 10, paragraph 3 of the Guidelines in the Finance Sector.
(個人データ保護に関する委託先選定の基準)
(Criteria for Selecting Outsourcees for Protection of Personal Data)
5-1 金融分野における個人情報取扱事業者は、個人データの取扱いを委託する場合には、金融分野ガイドライン第10条第3項①に基づき、次に掲げる事項を委託先選定の基準として定め、当該基準に従って委託先を選定するとともに、当該基準を定期的に見直さなければならない。
5-1 If a personal information handling business operator in the finance sector outsources the handling of personal data, it must specify the following matters as criteria for selecting outsourcees and select an outsourcee in accordance with those criteria and must review those criteria regularly under Article 10, paragraph 3(i) of the Guidelines in the Finance Sector:
① 委託先における個人データの安全管理に係る基本方針・取扱規程等の整備
(i) development of basic policies and handling rules for security control of personal data at outsourcees;
② 委託先における個人データの安全管理に係る実施体制の整備
(ii) development of a system for security control of personal data at outsourcees;
③ 実績等に基づく委託先の個人データ安全管理上の信用度
(iii) credibility of outsourcees in terms of security control of personal data based on actual records, etc.; and
④ 委託先の経営の健全性
(iv) soundness of management of outsourcees.
5-1-1 委託先選定の基準においては、「委託先における個人データの安全管理に係る基本方針・取扱規程等の整備」として、次に掲げる事項を定めなければならない。
5-1-1 Criteria for selecting outsourcees must specify the following matters as measures for " development of basic policies and handling rules for security control of personal data at outsourcees":
① 委託先における個人データの安全管理に係る基本方針の整備
(i) development of basic policies for security control of personal data at outsourcees;
② 委託先における個人データの安全管理に係る取扱規程の整備
(ii) development of handling rules for security control of personal data at outsourcees;
③ 委託先における個人データの取扱状況の点検及び監査に係る規程の整備
(iii) development of rules for inspection and audit of the handling status of personal data at outsourcees; and
④ 委託先における外部委託に係る規程の整備
(iv) development of rules for outsourcing at outsourcees.
5-1-2 委託先選定の基準においては、「委託先における個人データの安全管理に係る実施体制の整備」として、Ⅰ.(2)1)の組織的安全管理措置、同2)の人的安全管理措置及び同3)の技術的安全管理措置に記載された事項を定めるとともに、委託先から再委託する場合の再委託先の個人データの安全管理に係る実施体制の整備状況に係る基準を定めなければならない。
5-1-2 Criteria for selecting outsourcees must specify the matters described in institutional security control measures stated in I.(2)1), human security control measures stated in 2) of the same, and technological security control measures stated in 3) of the same and must set criteria for the status of development of a system for security control of personal data at outsourcees in the case of sub-outsourcing from outsourcees as measures for "development of a system for security control of personal data at outsourcees."
5-2 金融分野における個人情報取扱事業者は、5-3に基づき、委託契約後に委託先選定の基準に定める事項の委託先における遵守状況を定期的又は随時に確認するとともに、委託先が当該基準を満たしていない場合には、委託先が当該基準を満たすよう監督しなければならない。
5-2 A personal information handling business operator in the finance sector must check outsourcee's compliance with the matters specified in criteria for selecting outsourcees regularly or as needed based on 5-3 after conclusion of an outsourcing contract. If an outsourcee does not meet those criteria, the operator must supervise the outsourcee so that the outsourcee meets those criteria.
(委託契約において盛り込むべき安全管理に関する内容)
(Matters Concerning Security Control to be Incorporated in an Outsourcing Contract)
5-3 金融分野における個人情報取扱事業者は、委託契約において、次に掲げる安全管理に関する事項を盛り込まなければならない。
5-3 A personal information handling business operator in the finance sector must incorporate the following matters concerning security control in an outsourcing contract:
① 委託者の監督・監査・報告徴収に関する権限
(i) authority over the supervision and audit of the outsourcee and the collection of reports therefrom;
② 委託先における個人データの漏えい、盗用、改ざん及び目的外利用の禁止
(ii) prohibition of leaking, stealing, altering, and using personal data for unintended purposes by the outsourcee;
③ 再委託における条件
(iii) conditions concerning sub-outsourcing; and
④ 漏えい事案等が発生した際の委託先の責任
(iv) responsibility of the outsourcee in the event of information leakage or any other incident.
(注)
(Notes)
・金融分野における個人情報取扱事業者は、「再委託における条件」として、再委託の可否及び再委託を行うに当たっての委託元への文書による事前報告又は承認等を、委託契約に盛り込むことが望ましい。
· It is desirable for a personal information handling business operator in the finance sector to incorporate the advisability of sub-outsourcing and written report to or approval from the operator, etc. before sub-outsourcing in an outsourcing contract as "conditions concerning sub-outsourcing."
・金融分野における個人情報取扱事業者は、委託先において個人データを取り扱う者の氏名・役職又は部署名を、委託契約に盛り込むことが望ましい。
· It is desirable for a personal information handling business operator in the finance sector to incorporate the name and the post or name of the division of a person handling personal data at an outsourcee in an outsourcing contract.
5-4 金融分野における個人情報取扱事業者は、5-3に基づき、定期的に監査を行う等により、定期的又は随時に委託先における委託契約上の安全管理措置等の遵守状況を確認するとともに、当該契約内容が遵守されていない場合には、委託先が当該契約内容を遵守するよう監督しなければならない。また、金融分野における個人情報取扱事業者は、定期的に委託契約に盛り込む安全管理措置を見直さなければならない。
5-4 A personal information handling business operator in the finance sector must check outsourcee's compliance with the security control actions, etc. incorporated in the outsourcing contract, regularly or as needed, through conducting audits regularly or taking other actions based on 5-3. If the outsourcee does not comply with the content of the contract, the operator must supervise the outsourcee so that the outsourcee complies with the content of the contract. A personal information handling business operator in the finance sector must also review the security control actions incorporated in an outsourcing contract regularly.
(別添1)金融分野における個人情報保護に関するガイドライン第8条第5項(2)に定める各管理段階における安全管理に係る取扱規程について
(Attachment 1) Handling Rules for Security Control at Each Stage Specified in Article 8, paragraph 5(2) of the Guidelines for Protection of Personal Information in the Finance Sector
金融分野における個人情報取扱事業者は、1-2に基づき、各管理段階ごとの安全管理に係る取扱規程において、6-1から6-6-1までの事項を定めなければならない。
A personal information handling business operator in the finance sector must specify the matters stated in 6-1 to 6-6-1 in handling rules for security control at each stage based on 1-2.
(取得・入力段階における取扱規程)
(Handling Rules at the Stage of Acquisition and Input of Data)
6-1 金融分野における個人情報取扱事業者は、取得・入力段階における取扱規程において、次に掲げる事項を定めなければならない。
6-1 A personal information handling business operator in the finance sector must specify the following matters in handling rules at the stage of acquisition and input of data:
① 取得・入力に関する取扱者の役割・責任
(i) roles and responsibilities of a person handling personal data in relation to acquisition and input of data;
② 取得・入力に関する取扱者の限定
(ii) limitation of persons handling personal data in relation to acquisition and input of data;
③ 取得・入力の対象となる個人データの限定
(iii) limitation of personal data to be acquired and input;
④ 取得・入力時の照合及び確認手続
(iv) comparison and checking procedures at the time of acquisition and input of data;
⑤ 取得・入力の規程外作業に関する申請及び承認手続
(v) application and approval procedures for acquisition and input operations that are not specified in the rules;
⑥ 機器・記録媒体等の管理手続
(vi) management procedures for equipment, recording medium, etc.;
⑦ 個人データへのアクセス制御
(vii) control of access to personal data; and
⑧ 取得・入力状況の記録及び分析
(viii) recording and analysis of the status of acquisition and input of data.
(注)金融分野における個人情報取扱事業者は、取得・入力段階における取扱規程について、「個人データへのアクセス制御」として、次に掲げる事項を定めることが望ましい。
(Note) It is desirable for a personal information handling business operator in the finance sector to specify the following matters in handling rules at the stage of acquisition and input of data as measures for "control of access to personal data."
① 入館(室)者による不正行為の防止のための、業務実施場所及び情報システム等の設置場所の入退館(室)管理の実施
(i) Implementation of management of entry into and exit from the place where operations are implemented and the place where an information system, etc. is installed to prevent a person who enters such place from committing an unauthorized act
(例)入退館(室)の記録の保存
(e.g.) Retention of the record of entry into and exit from such place
② 盗難等の防止のための措置
(ii) Measures for preventing theft, etc.
(例)カメラによる撮影や作業への立会い等による記録又はモニタリングの実施
(e.g.) Implementation of recording or monitoring by filming or photographing with a camera, making observation of operations or by another method
(例)記録機能を持つ媒体の持込み・持出し禁止又は検査の実施
(e.g.) Prohibition of bringing in or out a medium with a recording function or implementation of inspections
③ 不正な操作を防ぐための、個人データを取り扱う端末に付与する機能の、業務上の必要性に基づく限定
(iii) Limitation of functions added to a terminal handling personal data based on the necessity in terms of operations to prevent unauthorized manipulation
(例)スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応
(e.g.) Limitation of connection of equipment with a recording function, including smartphones and computers, and response to updating of equipment
(利用・加工段階における取扱規程)
(Handling Rules at the Stage of Use and Processing of Data)
6-2 金融分野における個人情報取扱事業者は、利用・加工段階における取扱規程において、組織的安全管理措置及び技術的安全管理措置を定めなければならない。
6-2 A personal information handling business operator in the finance sector must specify institutional security control measures and technological security control measures in handling rules at the stage of use and processing of data.
6-2-1 利用・加工段階における取扱規程に関する組織的安全管理措置は、次に掲げる事項を含まなければならない。
6-2-1 Institutional security control measures included in handling rules at the stage of use and processing of data must include the following matters:
① 利用・加工に関する取扱者の役割・責任
(i) roles and responsibilities of a person handling personal data in relation to use and processing of data;
② 利用・加工に関する取扱者の限定
(ii) limitation of persons handling personal data in relation to use and processing of data;
③ 利用・加工の対象となる個人データの限定
(iii) limitation of personal data to be used and processed;
④ 利用・加工時の照合及び確認手続
(iv) comparison and checking procedures at the time of use and processing of data;
⑤ 利用・加工の規程外作業に関する申請及び承認手続
(v) application and approval procedures for use and processing operations that are not specified in the rules;
⑥ 機器・記録媒体等の管理手続
(vi) management procedures for equipment, recording medium, etc.;
⑦ 個人データへのアクセス制御
(vii) control of access to personal data;
⑧ 個人データの管理区域外への持出しに関する上乗せ措置
(viii) additional measures against bringing personal data outside the controlled area; and
⑨ 利用・加工状況の記録及び分析
(ix) recording and analysis of the status of use and processing of data.
(注)金融分野における個人情報取扱事業者は、利用・加工段階における取扱規程について、「個人データへのアクセス制御」として、次に掲げる事項を定めることが望ましい。
(Note) It is desirable for a personal information handling business operator in the finance sector to specify the following matters in handling rules at the stage of use and processing of data as measures for "control of access to personal data."
① 入館(室)者による不正行為の防止のための、業務実施場所及び情報システム等の設置場所の入退館(室)管理の実施
(i) Implementation of management of entry into and exit from the place where operations are implemented and the place where an information system, etc. is installed to prevent a person who enters such place from committing an unauthorized act
(例)入退館(室)の記録の保存
(e.g.) Retention of the record of entry into and exit from such place
② 盗難等の防止のための措置
(ii) Measures for preventing theft, etc.
(例)カメラによる撮影や作業への立会い等による記録又はモニタリングの実施
(e.g.) Implementation of recording or monitoring by filming or photographing with a camera, making observation of operations or by another method
(例)記録機能を持つ媒体の持込み・持出し禁止又は検査の実施
(e.g.) Prohibition of bringing in or out a medium with a recording function or implementation of inspections
③ 不正な操作を防ぐための、個人データを取り扱う端末に付与する機能の、業務上の必要性に基づく限定
(iii) Limitation of functions added to a terminal handling personal data based on the necessity in terms of operations to prevent unauthorized manipulation
(例)スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応
(e.g.) Limitation of connection of equipment with a recording function, including smartphones and computers, and response to updating of equipment
6-2-1-1 「個人データの管理区域外への持出しに関する上乗せ措置」は、次に掲げる事項を含まなければならない。
6-2-1-1 "Additional measures against bringing personal data outside the controlled area" must include the following matters:
① 個人データの管理区域外への持出しに関する取扱者の役割・責任
(i) roles and responsibilities of a person handling personal data in relation to bringing personal data outside the controlled area;
② 個人データの管理区域外への持出しに関する取扱者の必要最小限の限定
(ii) limitation of persons handling personal data in relation to bringing personal data outside the controlled area to the minimum necessary;
③ 個人データの管理区域外への持出しの対象となる個人データの必要最小限の限定
(iii) limitation of personal data to be brought outside the controlled area to the minimum necessity;
④ 個人データの管理区域外への持出し時の照合及び確認手続
(iv) comparison and checking procedures at the time of bringing personal data outside the controlled area;
⑤ 個人データの管理区域外への持出しに関する申請及び承認手続
(v) application and approval procedures for bringing personal data outside the controlled area;
⑥ 機器・記録媒体等の管理手続
(vi) management procedures for equipment, recording medium, etc.; and
⑦ 個人データの管理区域外への持出し状況の記録及び分析
(vii) recording and analysis of the status of bringing personal data outside the controlled area.
6-2-2 利用・加工段階における取扱規程に関する技術的安全管理措置は、次に掲げる事項を含まなければならない。
6-2-2 Technological security control measures included in handling rules at the stage of use and processing of data must include the following matters:
① 個人データの利用者の識別及び認証
(i) identification and authentication of personal data users;
② 個人データの管理区分の設定及びアクセス制御
(ii) setting of management categories of personal data and access control;
③ 個人データへのアクセス権限の管理
(iii) management of authority to access personal data;
④ 個人データの漏えい・毀損等防止策
(iv) measures to prevent the leak and damage, etc. of personal data;
⑤ 個人データへのアクセス記録及び分析
(v) recording and analysis of access to personal data; and
⑥ 個人データを取り扱う情報システムの稼動状況の記録及び分析
(vi) recording and analysis of operation of the information system handling personal data.
(保管・保存段階における取扱規程)
(Handling Rules at the Stage of Reservation and Retention of Data)
6-3 金融分野における個人情報取扱事業者は、保管・保存段階における取扱規程において、組織的安全管理措置及び技術的安全管理措置を定めなければならない。
6-3 A personal information handling business operator in the finance sector must specify institutional security control measures and technological security control measures in handling rules at the stage of reservation and retention of data.
6-3-1 保管・保存段階における取扱規程に関する組織的安全管理措置は、次に掲げる事項を含まなければならない。
6-3-1 Institutional security control measures included in handling rules at the stage of reservation and retention of data must include the following matters:
① 保管・保存に関する取扱者の役割・責任
(i) roles and responsibilities of a person handling personal data in relation to reservation and retention of data
② 保管・保存に関する取扱者の限定
(ii) limitation of persons handling personal data in relation to reservation and retention of data
③ 保管・保存の対象となる個人データの限定
(iii) limitation of personal data to be reserved and retained
④ 保管・保存の規程外作業に関する申請及び承認手続
(iv) application and approval procedures for reservation and retention operations that are not specified in the rules
⑤ 機器・記録媒体等の管理手続
(v) management procedures for equipment, recording medium, etc.
⑥ 個人データへのアクセス制御
(vi) control of access to personal data
⑦ 保管・保存状況の記録及び分析
(vii) recording and analysis of the status of reservation and retention of data
⑧ 保管・保存に関する障害発生時の対応・復旧手続
(viii) response and recovery procedures upon occurrence of a failure in reservation and retention of data.
(注)金融分野における個人情報取扱事業者は、保管・保存段階における取扱規程について、「個人データへのアクセス制御」として、次に掲げる事項を定めることが望ましい。
(Note) It is desirable for a personal information handling business operator in the finance sector to specify the following matters in handling rules at the stage of reservation and retention of data as measures for "control of access to personal data."
① 入館(室)者による不正行為の防止のための、業務実施場所及び情報システム等の設置場所の入退館(室)管理の実施
(i) Implementation of management of entry into and exit from the place where operations are implemented and the place where an information system, etc. is installed to prevent a person who enters such place from committing an unauthorized act
(例)入退館(室)の記録の保存
(e.g.) Retention of the record of entry into and exit from such place
② 盗難等の防止のための措置
(ii) Measures for preventing theft, etc.
(例)カメラによる撮影や作業への立会い等による記録又はモニタリングの実施
(e.g.) Implementation of recording or monitoring by filming or photographing with a camera, making observation of operations or by another method
(例)記録機能を持つ媒体の持込み・持出し禁止又は検査の実施
(e.g.) Prohibition of bringing in or out a medium with a recording function or implementation of inspections
③ 不正な操作を防ぐための、個人データを取り扱う端末に付与する機能の、業務上の必要性に基づく限定
(iii) Limitation of functions added to a terminal handling personal data based on the necessity in terms of operations to prevent unauthorized manipulation
(例)スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応
(e.g.) Limitation of connection of equipment with a recording function, including smartphones and computers, and response to updating of equipment
6-3-2 保管・保存段階における取扱規程に関する技術的安全管理措置は、次に掲げる事項を含まなければならない。
6-3-2 Technological security control measures included in handling rules at the stage of reservation and retention of data must include the following matters:
① 個人データの利用者の識別及び認証
(i) identification and authentication of personal data users;
② 個人データの管理区分の設定及びアクセス制御
(ii) setting of management categories of personal data and access control;
③ 個人データへのアクセス権限の管理
(iii) management of authority to access personal data;
④ 個人データの漏えい・毀損等防止策
(iv) measures to prevent the leak and damage, etc. of personal data;
⑤ 個人データへのアクセス記録及び分析
(v) recording and analysis of access to personal data; and
⑥ 個人データを取り扱う情報システムの稼動状況の記録及び分析
(vi) recording and analysis of operation of the information system handling personal data.
(移送・送信段階における取扱規程)
(Handling Rules at the Stage of Transfer and Sending of Data)
6-4 金融分野における個人情報取扱事業者は、移送・送信段階における取扱規程において、組織的安全管理措置及び技術的安全管理措置を定めなければならない。
6-4 A personal information handling business operator in the finance sector must specify institutional security control measures and technological security control measures in handling rules at the stage of transfer and sending of data.
6-4-1 移送・送信段階における取扱規程に関する組織的安全管理措置は、次に掲げる事項を含まなければならない。
6-4-1 Institutional security control measures included in handling rules at the stage of transfer and sending of data must include the following matters:
① 移送・送信に関する取扱者の役割・責任
(i) roles and responsibilities of a person handling personal data in relation to transfer and sending of data;
② 移送・送信に関する取扱者の限定
(ii) limitation of persons handling personal data in relation to transfer and sending of data;
③ 移送・送信の対象となる個人データの限定
(iii) limitation of personal data to be transferred and sent;
④ 移送・送信時の照合及び確認手続
(iv) comparison and checking procedures at the time of transfer and sending of data;
⑤ 移送・送信の規程外作業に関する申請及び承認手続
(v) application and approval procedures for transfer and sending operations that are not specified in the rules;
⑥ 個人データへのアクセス制御
(vi) control of access to personal data;
⑦ 移送・送信状況の記録及び分析
(vii) recording and analysis of the status of transfer and sending of data; and
⑧ 移送・送信に関する障害発生時の対応・復旧手続
(viii) response and recovery procedures upon occurrence of a failure in transfer and sending of data.
6-4-2 移送・送信段階における取扱規程に関する技術的安全管理措置は、次に掲げる事項を含まなければならない。
6-4-2 Technological security control measures included in handling rules at the stage of transfer and sending of data must include the following matters:
① 個人データの利用者の識別及び認証
(i) identification and authentication of personal data users;
② 個人データの管理区分の設定及びアクセス制御
(ii) setting of management categories of personal data and access control;
③ 個人データへのアクセス権限の管理
(iii) management of authority to access personal data;
④ 個人データの漏えい・毀損等防止策
(iv) measures to prevent the leak and damage, etc. of personal data; and
⑤ 個人データへのアクセス記録及び分析
(v) recording and analysis of access to personal data.
(消去・廃棄段階における取扱規程)
(Handling Rules at the Stage of Deletion and Disposal of Data)
6-5 金融分野における個人情報取扱事業者は、消去・廃棄段階における取扱規程において、次に掲げる事項を定めなければならない。
6-5 A personal information handling business operator in the finance sector must specify the following matters in handling rules at the stage of deletion and disposal of data:
① 消去・廃棄に関する取扱者の役割・責任
(i) roles and responsibilities of a person handling personal data in relation to deletion and disposal of data;
② 消去・廃棄に関する取扱者の限定
(ii) limitation of persons handling personal data in relation to deletion and disposal of data;
③ 消去・廃棄時の照合及び確認手続
(iii) comparison and checking procedures at the time of deletion and disposal of data:
④ 消去・廃棄の規程外作業に関する申請及び承認手続
(iv) application and approval procedures for deletion and disposal operations that are not specified in the rules;
⑤ 機器・記録媒体等の管理手続
(v) management procedures for equipment, recording medium, etc.;
⑥ 個人データへのアクセス制御
(vi) control of access to personal data; and
⑦ 消去・廃棄状況の記録及び分析
(vii) recording and analysis of the status of deletion and disposal of data.
(漏えい事案等への対応の段階における取扱規程)
(Handling Rules at the Time of Responding to Information Leakage or Other Incidents)
6-6 金融分野における個人情報取扱事業者は、漏えい事案等への対応の段階における取扱規程において、次に掲げる事項を定めなければならない。
6-6 A personal information handling business operator in the finance sector must specify the following matters in handling rules at the time of responding to information leakage or other incidents:
① 対応部署の役割・責任
(i) roles and responsibilities of the division responding to information leakage or other incidents;
② 漏えい事案等への対応に関する取扱者の限定
(ii) limitation of persons handling personal data in relation to response to information leakage or other incidents;
③ 漏えい事案等への対応の規程外作業に関する申請及び承認手続
(iii) application and approval procedures for operations to respond to information leakage or other incidents that are not specified in the rules;
④ 漏えい事案等の影響・原因等に関する調査手続
(iv) procedures for investigation of the impacts, causes, etc. of information leakage or other incidents;
⑤ 再発防止策・事後対策の検討に関する手続
(v) procedure for review of preventive measures and ex-post measures;
⑥ 自社内外への報告に関する手続
(vi) procedures for reports to inside and outside the company; and
⑦ 漏えい事案等への対応状況の記録及び分析
(vii) recording and analysis of the status of response to information leakage or other incidents.
6-6-1 自社内外への報告に関する手続は、次に掲げる事項を含まなければならない。
6-6-1 The procedures for reports to inside and outside the company must include the following matters:
① 監督当局等への報告
(i) report that incident to the supervisory authority, etc.;
② 本人への通知等
(ii) inform the person in question of the facts concerning the incident; and
③ 二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の早急な公表
(iii) disclose the facts concerning information leakage or other incident and preventive measures, etc. to the public without delay from the perspective of preventing secondary damage or the occurrence of any similar incidents.
(別添2)金融分野における個人情報保護に関するガイドライン第5条に定める「機微(センシティブ)情報」(生体認証情報を含む。)の取扱いについて
(Attachment 2) Handling of "Sensitive Information" (Including Biometric Information) Specified in Article 5 of the Guidelines for Protection of Personal Information in the Finance Sector
金融分野における個人情報取扱事業者は、金融分野ガイドライン第5条に基づき、機微(センシティブ)情報について、同条第1項各号に掲げられた場合を除き、取得、利用又は第三者提供を行わず、同条第2項に基づき、同条第1項各号の事由を逸脱した取得、利用又は第三者提供を行うことのないよう、本実務指針Ⅰ~Ⅲに規定する措置に加えて、7-1、7-1-1、7-1-2、7-1-3、7-1-4、7-1-5及び7-2に規定する措置を実施することとする。また、機微(センシティブ)情報に該当する生体認証情報(機械による自動認証に用いられる身体的特徴のうち、非公知の情報。以下同じ。)の取扱いについては、別添2に規定する全ての措置を実施しなければならない。
A personal information handling business operator in the finance sector is not to acquire, use or provide to a third party sensitive information under Article 5 of the Guidelines in the Finance Sector, except for the cases set forth in the items of paragraph 1 of the same Article and is to implement measures provided in 7-1, 7-1-1, 7-1-2, 7-1-3, 7-1-4, 7-1-5, and 7-2, in addition to the measures provided in I to III of this Practical Guideline so as to avoid acquisition, use or provision to a third party of the information beyond the grounds referred to in the items of paragraph 1 of the same Article under paragraph 2 of the same Article. With regard to handling of biometric information, which falls under the category of sensitive information (information on physical characteristics that are used for automatic authentication by machine that is not publicly known; the same applies hereinafter), a personal information handling business operator in the finance sector must implement all the measures provided in Attachment 2.
7-1 金融分野における個人情報取扱事業者は、1-2に規定する「個人データの各管理段階における安全管理に係る取扱規程」において、機微(センシティブ)情報の取扱いについて規程を整備するとともに、情報通信技術の状況等を踏まえ、必要に応じて、当該規程の見直しを行うこととする。
7-1 A personal information handling business operator in the finance sector is to develop rules for handling of sensitive information in "handling rules for security control of personal data at each stage" provided in 1-2 and is to review those rules as necessary in light of the status of information and communications technology, etc.
7-1-1 金融分野における個人情報取扱事業者は、6-1に規定する取得・入力段階における取扱規程において、機微(センシティブ)情報の取扱いについては、6-1に規定する事項に加えて、次に掲げる事項を定めることとする。
7-1-1 With regard to handling of sensitive information, a personal information handling business operator in the finance sector is to specify the following matters, in addition to the matters provided in 6-1, in handling rules at the stage of acquisition and input of data provided in 6-1:
① 金融分野ガイドライン第5条第1項各号に定める場合のみによる取得
(i) acquisition only in the cases specified in the items of Article 5, paragraph 1 of the Guidelines in the Finance Sector;
② 取得・入力を行う取扱者の必要最小限の限定
(ii) limitation of persons handling personal data who acquire and input data to the minimum necessary; and
③ 取得に際して本人同意が必要である場合における本人同意の取得及び本人への説明事項
(iii) obtainment of the consent of the person in question and matters to be explained to the person in question in the case where the consent of the person in question is necessary for acquisition of data.
7-1-1-1 機微(センシティブ)情報に該当する生体認証情報の取扱いは、取得・入力段階における取扱規程において、7-1-1に規定する事項に加えて、次に掲げる事項を含まなければならない。
7-1-1-1 With regard to handling of biometric information, which falls under the category of sensitive information, handling rules at the stage of acquisition and input of data must include the following matters, in addition to the matters provided in 7-1-1:
① なりすましによる登録の防止策
(i) measures to prevent registration by impersonation;
② 本人確認に必要な最小限の生体認証情報のみの取得
(ii) acquisition of only biometric information that is the minimum necessary for identity verification; and
③ 生体認証情報の取得後、基となった生体情報の速やかな消去
(iii) prompt deletion of biological information that served as the basis for biometric information after acquisition of the biometric information.
7-1-2 金融分野における個人情報取扱事業者は、6-2に規定する利用・加工段階における取扱規程において、機微(センシティブ)情報の取扱いについては、6-2-1、6-2-1-1及び6-2-2に規定する事項に加えて、次に掲げる事項を定めることとする。
7-1-2 With regard to handling of sensitive information, a personal information handling business operator in the finance sector is to specify the following matters, in addition to the matters provided in 6-2-1, 6-2-1-1, and 6-2-2, in handling rules at the stage of use and processing of data provided in 6-2:
① 金融分野ガイドライン第5条第1項各号に定める目的のみによる利用・加工
(i) use and processing only for the purposes specified in the items of Article 5, paragraph 1 of the Guidelines in the Finance Sector;
② 利用・加工を行う取扱者の必要最小限の限定
(ii) limitation of persons handling personal data who use and process data to the minimum necessary;
③ 利用に際して本人同意が必要である場合における本人同意の取得及び本人への説明事項
(iii) obtainment of the consent of the person in question and matters to be explained to the person in question in the case where the consent of the person in question is necessary for use of data; and
④ 必要最小限の者に限定したアクセス権限の設定及びアクセス制御の実施
(iv) setting of authority to access limited to the minimum necessary number of persons and implementation of access control.
7-1-2-1 機微(センシティブ)情報に該当する生体認証情報の取扱いは、利用段階における取扱規程において、7-1-2に規定する事項に加えて、次に掲げる事項を含まなければならない。
7-1-2-1 With regard to handling of biometric information, which falls under the category of sensitive information, handling rules at the stage of use of data must include the following matters, in addition to the matters provided in 7-1-2:
① 偽造された生体認証情報による不正認証の防止措置
(i) measures to prevent unlawful authentication based on forged biometric information;
② 登録された生体認証情報の不正利用の防止措置
(ii) measures to prevent unauthorized use of registered biometric information;
③ 残存する生体認証情報の消去
(iii) deletion of remaining biometric information;
④ 認証精度設定等の適切性の確認
(iv) checking of the appropriateness of setting of accuracy of authentication, etc.; and
⑤ 生体認証による本人確認の代替措置における厳格な本人確認手続
(v) strict identity verification procedure in a substitute for identity verification based on biometric authentication.
7-1-3 金融分野における個人情報取扱事業者は、6-3に規定する保管・保存段階における取扱規程において、機微(センシティブ)情報の取扱いについては、6-3-1及び6-3-2に規定する事項に加えて、次に掲げる事項を定めることとする。
7-1-3 With regard to handling of sensitive information, a personal information handling business operator in the finance sector is to specify the following matters, in addition to the matters provided in 6-3-1 and 6-3-2, in handling rules at the stage of reservation and retention of data provided in 6-3:
① 保管・保存を行う取扱者の必要最小限の限定
(i) limitation of persons handling personal data who reserve and retain data to the minimum necessary; and
② 必要最小限の者に限定したアクセス権限の設定及びアクセス制御の実施
(ii) setting of authority to access limited to the minimum necessary number of persons and implementation of access control.
7-1-3-1 機微(センシティブ)情報に該当する生体認証情報の取扱いは、保管・保存段階における取扱規程において、7-1-3に規定する事項に加えて、保存時における生体認証情報の暗号化を含まなければならないほか、サーバー等における氏名等の個人情報との分別管理を含むこととする。
7-1-3-1 With regard to handling of biometric information, which falls under the category of sensitive information, handling rules at the stage of reservation and retention of data must include encryption of biometric information at the time of retention, in addition to the matters provided in 7-1-3, and are to include management of such biometric information separately from personal information, such as the name of the person in question, at a server, etc.
7-1-4 金融分野における個人情報取扱事業者は、6-4に規定する移送・送信段階における取扱規程において、機微(センシティブ)情報の取扱いについては、6-4-1及び6-4-2に規定する事項に加えて、次に掲げる事項を定めることとする。
7-1-4 With regard to handling of sensitive information, a personal information handling business operator in the finance sector is to specify the following matters, in addition to the matters provided in 6-4-1 and 6-4-2, in handling rules at the stage of transfer and sending of data provided in 6-4:
① 金融分野ガイドライン第5条第1項各号に定める目的のみによる移送・送信
(i) transfer and sending of data only for the purposes specified in the items of Article 5, paragraph 1 of the Guidelines in the Finance Sector; and
② 必要最小限の者に限定したアクセス権限の設定及びアクセス制御の実施
(ii) setting of authority to access limited to the minimum necessary number of persons and implementation of access control.
7-1-5 金融分野における個人情報取扱事業者は、6-5に規定する消去・廃棄段階における取扱規程において、機微(センシティブ)情報の取扱いについては、6-5に規定する事項に加えて、消去・廃棄を行う取扱者の必要最小限の限定について定めることとする。
7-1-5 With regard to handling of sensitive information, a personal information handling business operator in the finance sector is to specify limitation of persons handling personal data who delete and dispose of data to the minimum necessary, in addition to the matters provided in 6-5, in handling rules at the stage of deletion and disposal of data provided in 6-5.
7-1-5-1 機微(センシティブ)情報に該当する生体認証情報の取扱いは、消去・廃棄段階における取扱規程において、7-1-5に規定する事項に加えて、生体認証情報を本人確認に用いる必要性がなくなった場合は、速やかに保有する生体認証情報を消去することを含まなければならない。
7-1-5-1 With regard to handling of biometric information, which falls under the category of sensitive information, handling rules at the stage of deletion and disposal of data must include prompt deletion of retained biometric information in the case where it becomes unnecessary to use the biometric information for identity verification, in addition to the matters provided in 7-1-5.
7-2 金融分野における個人情報取扱事業者は、2-5-2に規定する監査の実施に当たっては、機微(センシティブ)情報に該当する生体認証情報の取扱いに関し、外部監査を行うとともに、必要に応じて、その他の機微(センシティブ)情報の取扱いについても外部監査を行うこととする。
7-2 In implementing audit provided in 2-5-2, a personal information handling business operator in the finance sector is to conduct external audit of handling of biometric information, which falls under the category of sensitive information, and is to conduct external audit of handling of other sensitive information as necessary.
(別添3)金融分野における個人情報保護に関するガイドライン第2条第4項に規定する個人信用情報機関における会員管理について
(Attachment 3) Management of Members at a Personal Credit Data Institution Provided in Article 2, Paragraph 4 of the Guidelines for Protection of Personal Information in the Finance Sector
個人信用情報機関は、その会員が適正に個人信用情報(信用情報機関に登録される資金需要者の返済能力に関する情報。以下同じ。)を登録・照会し、個人信用情報を返済能力の調査以外の目的のために使用しないことを確保するため、本実務指針Ⅰ.(2)に規定する措置に加え、8-1から8-4までの措置を講ずることとする。
A personal credit data institution is to take measures specified in 8-1 to 8-4, in addition to the measures provided in I.(2) of this Practical Guideline, to ensure that its members properly register and inquire about personal credit data (information on the repayment capacity of a person seeking funds that is registered in the personal credit data institution; the same applies hereinafter) and do not use personal credit data for purposes other than investigation of repayment capacity.
(資格審査)
(Qualification Examination)
8-1 個人信用情報機関は、入会申込時においては、適正な事業者のみが会員となるよう、あらかじめ定めた入会基準に基づき、厳正に入会審査を行うこととする。
8-1 A personal credit data institution is to conduct membership examination rigorously based on the predetermined criteria for membership so that only proper business operators become its members.
(モニタリング)
(Monitoring)
8-2 個人信用情報機関は、入会後においては、会員が入会基準を逸脱し、また返済能力の調査以外の目的のために個人信用情報を使用しないよう、会員による個人信用情報へのアクセスに対する適切かつ継続的なモニタリングを行うこととする。
8-2 After a business operator becomes a member, a personal credit data institution is to conduct appropriate and continuous monitoring of the member's access to personal credit data so that the member neither goes beyond the criteria for membership nor uses personal credit data for purposes other than investigation of repayment capacity.
(不適正使用に対する処分)
(Disposition against Improper Use)
8-3 個人信用情報機関は、個人信用情報の不適正な使用があった場合、あらかじめ定めた会員管理に関する規程に基づき、利用停止、退会その他の処分を実施するとともに再発防止策を講ずることとする。
8-3 Upon improper use of personal credit data, a personal credit data institution is to implement suspension of use, withdrawal from membership, and other disposition under the predetermined rules for management of membership and is to take preventive measures
(外部監査)
(External Audit)
8-4 個人信用情報機関は、個人信用情報機関における金融分野ガイドライン及び本実務指針に従った安全管理措置が実施されていることを確認するため、外部監査を受けることとする。
8-4 A personal credit data institution is to be subject to external audit to check that security control actions in accordance with the Guidelines in the Finance Sector and this Practical Guideline are implemented by the personal credit data institution.