金融分野における個人情報保護に関するガイドライン
Guidelines for Protection of Personal Information in the Finance Sector
金融分野における個人情報保護に関するガイドライン
Guidelines for Protection of Personal Information in the Finance Sector
金融分野における個人情報保護に関するガイドライン
Guidelines for Protection of Personal Information in the Finance Sector
平成29年2月
個人情報保護委員会
金融庁
February 2017
Personal Information Protection Commission
Financial Services Agency
金融分野における個人情報保護に関するガイドライン
Guidelines for Protection of Personal Information in the Finance Sector
目次
Table of Contents
第1条 目的等(法第1条関係)
Article 1 Purpose, etc. (relevant to Article 1 of the Act)
第2条 利用目的の特定(法第15条関係)
Article 2 Specification of Utilization Purposes (relevant to Article 15 of the Act)
第3条 同意の形式(法第16条、第23条及び第24条関係)
Article 3 Format of Consent (relevant to Articles 16, 23 and 24 of the Act)
第4条 利用目的による制限(法第16条関係)
Article 4 Restriction due to Utilization Purposes (relevant to Article 16 of the Act)
第5条 機微(センシティブ)情報
Article 5 Sensitive Information
第6条 取得に際しての利用目的の通知等(法第18条関係)
Article 6 Notification, etc. of Utilization Purposes upon Acquisition (relevant to Article 18 of the Act)
第7条 データ内容の正確性の確保等(法第19条関係)
Article 7 Assurance etc. about the Accuracy of Data Contents (relevant to Article 19 of the Act)
第8条 安全管理措置(法第20条関係)
Article 8 Security Control Actions (relevant to Article 20)
第9条 従業者の監督(法第21条関係)
Article 9 Supervision over Employees (relevant to Article 21 of the Act)
第10条 委託先の監督(法第22条関係)
Article 10 Supervision over Outsourcees (relevant to Article 22 of the Act)
第11条 第三者提供の制限(法第23条関係)
Article 11 Restriction on Personal Information Provision to a Third Party (relevant to Article 23 of the Act)
第12条 保有個人データに関する事項の公表等(法第27条関係)
Article 12 Public Disclosure etc. on Matters Relating to Retained Personal Data (relevant to Article 27 of the Act)
第13条 開示(法第28条関係)
Article 13 Disclosure (relevant to Article 28 of the Act)
第14条 理由の説明(法第31条関係)
Article 14 Explanation of Reasons (relevant to Article 31 of the Act)
第15条 開示等の請求等に応じる手続(法第32条関係)
Article 15 Procedures for Responding to a Demand for Disclosure, etc. (relevant to Article 32 of the Act)
第16条 個人情報取扱事業者による苦情の処理(法第35条関係)
Article 16 Complaint Processing by Personal Information Handling Companies (relevant to Article 35 of the Act)
第17条 個人情報等の漏えい事案等への対応
Article 17 Responses to Personal Information Leakage, etc.
第18条 個人情報保護宣言の策定(法第18条、第27条及び基本方針関係)
Article 18 Formulation of the Pronouncement Concerning Protection of Personal Information (relevant to Articles 18 and 27 of the Act and the Basic Policy)
第19条 ガイドラインの見直し
Article 19 Review of the Guidelines
第1条 目的等(法第1条関係)
Article 1 Purpose, etc. (relevant to Article 1 of the Act)
1 本ガイドラインは、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「施行令」という。)、個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「施行規則」という。)及び個人情報の保護に関する基本方針(平成16年4月2日閣議決定。第18条において「基本方針」という。)を踏まえ、個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年個人情報保護委員会告示第6号。以下「通則ガイドライン」という。)を基礎として、法第6条及び第8条に基づき、金融庁が所管する分野(以下「金融分野」という。)における個人情報について保護のための格別の措置が講じられるよう必要な措置を講じ、及び当該分野における事業者が個人情報の適正な取扱いの確保に関して行う活動を支援する具体的な指針として定めるものである。
1. The present Guidelines are formulated in accordance with the Act on the Protection of Personal Information (Act No. 57 of 2003; hereinafter referred to as the "Act"), the Enforcement Order of Enforce the Act on the Protection of Personal Information (Cabinet Order No. 507 of 2003; hereinafter referred to as the "Order"), the Rules for Enforcement of the Act on the Protection of Personal Information (Rules of the Personal Information Protection Commission No. 3 of 2016; hereinafter referred to as the "Rules"), and the Basic Policy on the Protection of Personal Information (Cabinet Decision of April 2, 2004; referred to as the "Basic Policy" in Article 18), and based on the Guidelines on the Act on the Protection of Personal Information (Volume on General Rules) (Notification of the Personal Information Protection Commission No. 6 of 2016; hereinafter referred to as the "General Rules Guidelines"), and pursuant to Articles 6 and 8 of the Act, to provide for specific guidance for taking necessary measures so that special measures for the protection of personal information will be taken in the sector under the jurisdiction of the Financial Services Agency (hereinafter referred to as the "finance sector"), and for supporting activities to be carried out by persons engaging in business in this sector to ensure the proper handling of personal information.
本ガイドラインにおいて特に定めのない部分については、通則ガイドライン、個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成28年個人情報保護委員会告示第7号)、同ガイドライン(第三者提供時の確認・記録義務編)(平成28年個人情報保護委員会告示第8号)及び同ガイドライン(匿名加工情報編)(平成28年個人情報保護委員会告示第9号)が適用される。
Any matters not provided for in the present Guidelines are governed by the General Rules Guidelines and other volumes of the Guidelines on the Act on the Protection of Personal Information, namely the Volume on Provision to a Third Party in a Foreign Country (Notification of the Personal Information Protection Commission No. 7 of 2016), the Volume on Confirmation and Record-Keeping Obligations upon Third-Party Provision (Notification of the Personal Information Protection Commission No. 8 of 2016), and the Volume on Anonymously Processed Information (Notification of the Personal Information Protection Commission No. 9 of 2016).
2 本ガイドライン中「~なければならない」と記載されている規定について、それに従わない場合は、法の規定違反と判断され得る。
2. Failure to follow any of the provisions of the present Guidelines which are described with the phrase "must (do)" may be judged to constitute violation of the provisions of the Act.
また、本ガイドライン中「こととする」、「適切である」及び「望ましい」と記載されている規定については、金融分野における個人情報取扱事業者がその規定に従わない場合には、法の規定違反と判断されることはないが、当該規定は、金融分野の個人情報の性質及び利用方法に鑑み、個人情報の取扱いに関して、金融分野における個人情報取扱事業者に特に厳格な措置が求められる事項として規定されており、金融分野における個人情報取扱事業者においては、遵守に努めるものとする。
If personal information handling business operators in the finance sector fail to follow any of the provisions of the present Guidelines which are described with the phrases "is to (do)," "it is appropriate to (do)," or "it is desirable to (do)," the failure is not judged to constitute violation of the provisions of the Act. Nevertheless, personal information handling business operators in the finance sector are to strive to observe these provisions because these provisions are related to matters for which personal information handling business operators in the finance sector are required to take particularly strict measures in connection with the handling of personal information in light of the nature and method of use of personal information in the finance sector.
3 本ガイドラインにおいて記載した具体例については、これに限定する趣旨で記載したものではなく、また、個別ケースによって別途考慮すべき要素があり得るので注意を要する。
3. It should be noted that cases subject to the present Guidelines are not limited to the specific examples described herein, and that factors other than those addressed in these examples may also need to be taken into consideration on a case-by-case basis.
4 金融分野における認定個人情報保護団体が個人情報保護指針を作成又は変更し、また、金融分野における事業者団体等が事業の実態及び特性を踏まえ、当該事業者団体等の会員企業等を対象とした自主的ルール(事業者団体ガイドライン等)を作成又は変更することもあり得るが、その場合は、認定個人情報保護団体の対象事業者や事業者団体等の会員企業等は、個人情報の取扱いに当たり、個人情報の保護に関する法令、通則ガイドライン及び本ガイドライン等に加えて、当該指針又はルールに沿った対応を行う必要がある。特に、認定個人情報保護団体においては、法改正により、認定個人情報保護団体が対象事業者に対し個人情報保護指針を遵守させるために必要な措置をとらなければならないこととされたことを踏まえることも重要である。
4. Accredited personal information protection organizations in the finance sector may formulate or revise the personal information protection guidelines of their own, and trade associations, etc. in the finance sector may formulate or revise their voluntary rules applicable to their member companies, etc. (trade association guidelines, etc.) in light of the actual conditions and characteristics of the business in this sector. In these cases, it is necessary for the covered business operators affiliated with the accredited personal information protection organizations and the member companies, etc. of the trade associations, etc. to handle personal information in line with those guidelines or rules, in addition to the laws and regulations on the protection of personal information, the General Rules Guidelines, the present Guidelines, etc. In particular, it is important for accredited personal information protection organizations to bear in mind that as a result of the recent amendment of the Act, they now have an obligation to take necessary measures to have their covered business operators observe the personal information protection guidelines.
5 金融分野における個人情報取扱事業者は、個人情報の漏えい、不正流出等を防止等するため、個人情報の保護に関する法令、通則ガイドライン及び本ガイドラインのほか、関係法令等に従い、個人情報の適正な管理体制を整備する必要がある。
5. In order to prevent divulgation, unauthorized leakage, or any other similar incident involving personal information, it is necessary for personal information handling business operators in the finance sector to develop systems for appropriate control of personal information in accordance with the laws and regulations on the management of personal information, the General Rules Guidelines, the present Guidelines, etc. as well as other related laws and regulations.
第2条 利用目的の特定(法第15条関係)
Article 2 Specification of Utilization Purposes (relevant to Article 15 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the matters except the following.
1 金融分野における個人情報取扱事業者が、法第15条に従い利用目的を特定するに際して、「自社の所要の目的で用いる」といった抽象的な利用目的では「できる限り特定」したものとはならない。利用目的は、提供する金融商品又はサービスを示した上で特定することが望ましく、次に掲げる例が考えられる。
1. When a personal information handling business operator in the finance sector specifies utilization purposes pursuant to the provisions of Article 15 of the Act, abstract expressions such as "(the information) will be used for a purpose required by our company" are not considered to satisfy the requirement of "as explicitly as possible." Utilization purposes should preferably be specified by indicating the financial instruments or services to be provided, as shown below.
(例)
(Examples)
・ 当社の預金の受入れ
・For accepting deposits
・ 当社の与信判断・与信後の管理
・For making credit decisions and credit management
・ 当社の保険の引受け、保険金・給付金の支払い
・For underwriting insurance and paying insurance proceeds or benefits
・ 当社又は関連会社・提携会社の金融商品・サービスの販売・勧誘
・For conducting sales and soliciting activities for financial instruments and services offered by our company or our affiliated companies or partner companies
・ 当社又は関連会社・提携会社の保険の募集
・For offering subscription to insurance of our company or our affiliated companies or partner companies
・ 当社内部における市場調査及び金融商品・サービスの開発・研究
・For conducting internal market surveys and research and development of financial instruments and services
・ 特定の金融商品・サービスの購入に際しての資格の確認
・For checking individuals' qualification for purchasing specific financial instruments and services
2 金融分野における個人情報取扱事業者は、特定の個人情報の利用目的が、法令等に基づき限定されている場合には、その旨を明示することとする。
2. When utilization purposes of specific personal information are limited by laws and regulations, a personal information handling business operator in the finance sector is to clearly indicate that fact.
3 金融分野における個人情報取扱事業者が、与信事業に際して、個人情報を取得する場合においては、利用目的について本人の同意を得ることとし、契約書等における利用目的は他の契約条項等と明確に分離して記載することとする。この場合、事業者は取引上の優越的な地位を不当に利用し、与信の条件として、与信事業において取得した個人情報を当該事業以外の金融商品のダイレクトメールの発送等に利用することを利用目的として同意させる行為を行うべきではなく、本人は当該ダイレクトメールの発送等に係る利用目的を拒否することができる。
3. When a personal information handling business operator in the finance sector acquires personal information in the course of conducting credit business, the operator is to obtain the consent of the person in question for its utilization purposes and state those utilization purposes in a written contract clearly apart from other contractual terms, etc. In this case, the operator should not exploit its advantageous business position and force the person to agree, as a condition of credit extension, with the utilization of their personal information it has acquired through the credit business for such purpose as sending direct email concerning financial instruments in its business other than the credit business. The person in question can reject such utilization purpose for sending direct email.
4 金融分野における個人情報取扱事業者が、与信事業に際して、個人情報を個人信用情報機関(個人の返済能力に関する情報の収集及び与信事業を行う個人情報取扱事業者に対する当該情報の提供を業とするものをいう。以下同じ。)に提供する場合には、その旨を利用目的に明示しなければならない。さらに、明示した利用目的について本人の同意を得ることとする。
4. When a personal information handling business operator in the finance sector provides, in the course of conducting credit business, any personal information to a personal credit data institution (meaning an institution that provides the information on individuals' repayment capacity, in the course of trade, to personal information handling business operators that collect those types of information and conduct credit business; the same applies hereinafter), the operator must clearly indicate that fact as a utilization purpose. Furthermore, the operator is to obtain the consent of the person for that utilization purpose thus clearly indicated.
5 法第15条第2項に定める「変更前の利用目的と関連性を有すると合理的に認められる範囲」については、次に掲げる例が考えられる。
5. With regard to "the scope recognized as reasonably relevant to the pre-altered utilization purpose" as specified in Article 15, paragraph (2) of the Act, the following can be considered as examples.
(許容例)
(Allowable example)
「商品案内等を郵送」→「商品案内等をメール送付」
"For sending written information on financial instruments by post" → "For sending written information on financial instruments by email"
(認められない例)
(Unallowable examples)
「アンケート集計に利用」→「商品案内等の郵送に利用」
"For tabulating questionnaire answers" → "For sending written information on financial instruments by post"
第3条 同意の形式(法第16条、第23条及び第24条関係)
Article 3 Format of Consent (relevant to Articles 16, 23 and 24 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the matters except the following.
金融分野における個人情報取扱事業者は、法第16条、第23条及び第24条に定める本人の同意を得る場合には、原則として、書面(電磁的記録を含む。以下同じ。)によることとする。
When obtaining the consent of the person in question as specified in Articles 16, 23 and 24 of the Act, a personal information handling business operator in the finance sector is to do so in writing (including an electronic or magnetic record; the same applies hereinafter).
なお、事業者があらかじめ作成された同意書面を用いる場合には、文字の大きさ及び文章の表現を変えること等により、個人情報の取扱いに関する条項が他と明確に区別され、本人に理解されることが望ましい。または、あらかじめ作成された同意書面に確認欄を設け本人がチェックを行うこと等、本人の意思が明確に反映できる方法により確認を行うことが望ましい。
When an operator uses a consent form prepared in advance, it is desirable that the terms concerning the handling of personal information are indicated in a manner clearly distinguishable from other terms by such means as using larger fonts and different expressions so that the content thereof is explicitly understood by a person in question. Otherwise, it is desirable to confirm the person in question's intent is clearly expressed by such means as preparing check boxes in a ready-made consent form that the person can fill in.
第4条 利用目的による制限(法第16条関係)
Article 4 Restriction due to Utilization Purposes (relevant to Article 16 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the matters except the following.
法第16条第3項の場合の例としては、通則ガイドライン3-1-5(利用目的による制限の例外)に掲げている場合以外に、次に掲げる場合が考えられる。
The following can be considered as examples of the cases referred to in Article 16, paragraph (3) of the Act, beyond the cases set forth in 3-1-5 (Exception of Restriction due to Utilization Purposes) of the General Rules Guidelines.
① 法令に基づく場合
(i) cases in which the handling of personal information is based on laws and regulations
(例)
(Examples)
・ 犯罪による収益の移転防止に関する法律(平成19年法律第22号)第8条第1項に基づき疑わしい取引を届け出る場合
・A case of reporting a suspicious transaction based on the provisions of Article 8, paragraph (1) of the Act on Prevention of Transfer of Criminal Proceeds (Act No. 22 of 2007)
・ 金融商品取引法(昭和23年法律第25号)第210条、第211条等に基づく証券取引等監視委員会の職員による犯則事件の調査に応じる場合
・A case of answering an investigation of a criminal case conducted by officials of the Securities and Exchange Surveillance Commission based on the provisions of Articles 210 and 211, etc. of the Financial Instruments and Exchange Act (Act No. 25 of 1948)
なお、法令に、第三者が個人情報の提供を求めることができる旨の規定はあるが、正当な事由に基づきそれに応じないことができる場合には、金融分野における個人情報取扱事業者は、当該法令の趣旨に照らして目的外利用の必要性と合理性が認められる範囲内で対応するよう留意する。
In the case where there are legal provisions to the effect that a third party may request the provision of personal information but that such request may be rejected for justifiable grounds, a personal information handling business operator in the finance sector is to give consideration to making a response within the scope wherein the necessity and reasonableness of the information utilization for unintended purposes can be found in light of the purport of the relevant laws and regulations.
② 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(ii) cases in which there is a need to offer cooperation to a national government organ, local public entity, or a person entrusted thereby in their performance of affairs prescribed in laws and regulations, and obtaining the consent of the person in question may impede the performance of those affairs
(例)
(Example)
・ 振り込め詐欺に利用された口座に関する情報を警察に提供する場合
・A case of providing the police with information on accounts used for a bank transfer fraud
なお、金融分野における個人情報取扱事業者は、任意の求めの趣旨に照らして目的外利用の必要性と合理性が認められる範囲内で対応するよう留意する。
A personal information handling business operator in the finance sector is to give consideration to making a response within the scope wherein the necessity and reasonableness of the utilization of the information for unintended purposes can be found in light of the purport of the relevant non-mandatory request.
第5条 機微(センシティブ)情報
Article 5 Sensitive Information
1 金融分野における個人情報取扱事業者は、法第2条第3項に定める要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを除く。)に関する情報(本人、国の機関、地方公共団体、法第76条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの、又は、本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。以下「機微(センシティブ)情報」という。)については、次に掲げる場合を除くほか、取得、利用又は第三者提供を行わないこととする。
1. A personal information handling business operator in the finance sector is not to acquire, use or provide to a third party any personal information requiring special care specified in Article 2, paragraph (3) of the Act and information on individuals' membership in a labor union, family origin, registered domicile, healthcare, and sex life (among these, excluding the matters falling under the category of the personal information requiring special care) (excluding any information made public by the person in question themselves or by a national government organ, local public entity, or any of those set forth in the items of Article 76, paragraph (1) of the Act or the items of Article 6 of the Rules, and seemingly-clear information acquired by visual observation, filming or photographing of the person in question; hereinafter referred to as "sensitive information"), except for the following cases.
① 法令等に基づく場合
(i) cases in which the provision of personal information is based on laws and regulations
② 人の生命、身体又は財産の保護のために必要がある場合
(ii) cases in which the provision of personal information is necessary for the protection of people's lives, bodies or property
③ 公衆衛生の向上又は児童の健全な育成の推進のため特に必要がある場合
(iii) cases in which the provision of personal information is especially necessary for the improvement of public hygiene and the promotion of the sound growth of children
④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
(iv) cases in which there is a need to offer cooperation to a national government organ, local public entity, or a person entrusted thereby in their performance of affairs prescribed in laws and regulations
⑤ 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得、利用又は第三者提供する場合
(v) cases in which there is a need to acquire, use or provide to a third party any sensitive information of its employees, etc. concerning their affiliation to or membership in a political or religious group or labor union within the scope necessary for the performance of affairs relating to withholding taxes, etc.
⑥ 相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者提供する場合
(vi) cases in which the operator acquires, uses or provides to a third party any sensitive information to the extent necessary for performing the transfer of rights and obligations arising from inheritance procedures
⑦ 保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用又は第三者提供する場合
(vii) cases in which the operator acquires, uses or provides to a third party any sensitive information based on the consent of the person in question to the extent necessary for performing its services from the necessity to ensure appropriate operation of its insurance business or other business in the finance sector
⑧ 機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合
(viii) cases in which the operator uses any biometric information, which falls under the category of sensitive information, based on the consent of the person in question for the purpose of identity verification
2 金融分野における個人情報取扱事業者は、機微(センシティブ)情報を、前項に掲げる場合に取得、利用又は第三者提供する場合には、同項に掲げる事由を逸脱した取得、利用又は第三者提供を行うことのないよう、特に慎重に取り扱うこととする。
2. When a personal information handling business operator in the finance sector acquires, uses or provides to a third party any sensitive information in the cases set forth in the preceding paragraph, the operator is to handle the information with extreme caution so as to avoid acquisition, use or provision to a third party of the information beyond the grounds set forth in the same paragraph.
3 金融分野における個人情報取扱事業者は、機微(センシティブ)情報を、第1項に掲げる場合に取得、利用又は第三者提供する場合には、例えば、要配慮個人情報を取得するに当たっては、法第17条第2項に従い、あらかじめ本人の同意を得なければならないとされていることなど、個人情報の保護に関する法令等に従い適切に対応しなければならないことに留意する。
3. When a personal information handling business operator in the finance sector acquires, uses or provides to a third party any sensitive information in the cases set forth in paragraph (1), the operator is to give consideration to the need to make a response appropriately in accordance with laws and regulations, etc. concerning the protection of personal information, such as the legal requirement to obtain the consent of the person in question in advance upon obtaining personal information requiring special care pursuant to the provisions of Article 17, paragraph (2) of the Act.
4 金融分野における個人情報取扱事業者は、機微(センシティブ)情報を第三者へ提供するに当たっては、法第23条第2項(オプトアウト)の規定を適用しないこととする。なお、機微(センシティブ)情報のうち要配慮個人情報については、同項において、オプトアウトを用いることができないとされていることに留意する。
4. Article 23, paragraph (2) of the Act (opt-out provision) is not to be applied in the case where a personal information handling business operator in the finance sector provides sensitive information to a third party. It should be noted that the same paragraph provides that, of all sensitive information available, an opt-out policy cannot be applied to personal information requiring special care.
第6条 取得に際しての利用目的の通知等(法第18条関係)
Article 6 Notification, etc. of Utilization Purposes upon Acquisition (relevant to Article 18 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the matters except the following.
1 金融分野における個人情報取扱事業者が行う法第18条第1項に定める「通知」については、原則として、書面によることとする。また、同項に定める「公表」については、自らの金融商品の販売方法等の事業の態様に応じ、インターネットのホームページ等での公表、事務所の窓口等への書面の掲示・備付け等適切な方法によらなければならない。
1. A "notification" by a personal information handling business operator in the finance sector as specified in Article 18, paragraph (1) of the Act is to be given in writing, in principle. Furthermore, regarding the "disclosure to the public" specified in the same paragraph, a personal information handling business operator in the finance sector must employ appropriate methods, such as making the relevant matters public on its website, etc. or posting or keeping the document at a business office counter, etc., depending on the sales method of its financial instruments or other mode of business.
2 金融分野における個人情報取扱事業者は、与信事業に際して、法第18条第2項に従い、本人から直接書面に記載された当該本人の個人情報を取得する場合は、利用目的を明示する書面に確認欄を設けること等により、利用目的について本人の同意を得ることが望ましい。
2. When a personal information handling business operator in the finance sector acquires personal information stated in a document directly from a person in question in the course of conducting credit business pursuant to the provisions of Article 18, paragraph (2) of the Act, it is desirable for the operator to obtain the consent of the person in question for utilization purposes of that personal information by such means as preparing check boxes in a document clarifying the utilization purposes to confirm the intent of the person in question.
なお、与信事業に際して、申込時に利用目的について本人の同意を得る場合、当該申込時に利用目的について同意を得た個人情報については法第18条第1項に基づく「通知又は公表」を要しないが、それ以降に取得する情報については、あらかじめ利用目的を公表していない限り、利用目的を本人に通知し、又は公表しなければならない。
When a personal information handling business operator in the finance sector obtains, in the course of conducting credit business, the consent of person in question for utilization purposes of a person’s personal information at the time of receiving an application, the "notification or disclosure to the public" under Article 18, paragraph (1) of the Act is not required for the relevant personal information for which the consent of the person in question for the utilization purposes has thus been obtained upon application, but with regard to any other information acquired thereafter, the operator must notify the person in question of its utilization purposes or disclose them to the public, unless it has disclosed those utilization purposes to the public in advance.
3 法第18条第4項の場合の例としては、通則ガイドライン3-2-5(利用目的の通知等をしなくてよい場合)に掲げている場合以外に、次に掲げる場合が考えられる。
3. The following can be considered as examples of the cases referred to in Article 18, paragraph (4) of the Act, in addition to the cases set forth in 3-2-5 (Cases in which Notification etc. of Utilization Purposes is not Required) of the General Rules Guidelines.
① 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(i) cases in which notification to a person in question or disclosure to the public of the utilization purpose may damage life, body or property or other rights and interests of the person in question or a third party
(例)
(Example)
・ 暴力団等の反社会的勢力情報、疑わしい取引の届出の対象情報、振り込め詐欺に利用された口座に関する情報及び業務妨害行為を行う悪質者情報の提供者が逆恨みを買うおそれがある場合
・A case in which there is a possibility that provision of information on an organized crime group or other antisocial forces, information on what the relevant party should be notified of as a suspicious transaction, information on accounts used for a bank transfer fraud or information on malicious persons who obstruct business operations may have the information provider subject to unjustified resentment
② 利用目的を本人に通知し、又は公表することにより金融分野における個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
(ii) cases in which notification to a person in question or disclosure to the public of the utilization purpose may damage the right or legitimate interests of the relevant personal information handling business operator in the finance sector
(例)
(Examples)
・ 開発中の新サービス、営業ノウハウが明らかになることにより、企業の健全な競争を害する場合
・A case in which notification, etc. of the utilization purpose results in disclosing a new service or business know-how under development, thereby hindering sound competition of the company
・ 振り込め詐欺に利用された口座に関する情報を取得したことが明らかになることにより、情報提供を受けた企業に害が及ぶ場合
・A case in which notification, etc. of the utilization purpose results in disclosing the fact that the operator has acquired information on accounts used for a bank transfer fraud, which may harm the company from which the information was acquired
第7条 データ内容の正確性の確保等(法第19条関係)
Article 7 Assurance etc. about the Accuracy of Data Contents (relevant to Article 19 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the matters except the following.
金融分野における個人情報取扱事業者は、預金者又は保険契約者等の個人データの保存期間については契約終了後一定期間内とする等、保有する個人データの利用目的に応じ保存期間を定め、当該期間を経過した個人データを消去することとする。
A personal information handling business operator in the finance sector is to determine a retention period of personal data it retains depending on the utilization purposes thereof, such as fixing the retention period for personal data on a depositor or a policyholder, etc. to be within a certain period of time after the termination of the contract, and should delete personal data after the lapse of that determined retention period.
第8条 安全管理措置(法第20条関係)
Article 8 Security Control Actions (relevant to Article 20)
1 金融分野における個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のため、安全管理に係る基本方針・取扱規程等の整備及び安全管理措置に係る実施体制の整備等の必要かつ適切な措置を講じなければならない。必要かつ適切な措置は、個人データの取得・利用・保管等の各段階に応じた「組織的安全管理措置」、「人的安全管理措置」及び「技術的安全管理措置」を含むものでなければならない。
1. A personal information handling business operator in the finance sector must establish basic policies and handling rules for security control of personal data, develop a system for security control measures, and take other necessary and appropriate measures in order to prevent the leak, loss or damage of personal data it handles or otherwise ensure security control of personal data. Necessary and appropriate measures must include institutional security control measures, human security control measures, and technological security control measures in accordance with each stage of acquisition, utilization and preservation, etc. of personal data.
当該措置は、個人データが漏えい、滅失又は毀損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質、個人データの取扱状況及び個人データを記録した媒体の性質等に起因するリスクに応じたものとする。
These measures are to be those corresponding to risks arising from the nature of the business, the handling status of personal data, the nature of the medium wherein personal data is recorded and other factors, in consideration of the significance of infringement of rights and interests that may be suffered by the person in question in the event of a leak, loss or damage of personal data.
例えば、不特定多数者が書店で随時に購入可能な名簿で、事業者において全く加工をしていないものについては、個人の権利利益を侵害するおそれは低いと考えられることから、それを処分するために文書細断機等による処理を行わずに廃棄し、又は廃品回収に出したとしても、事業者の安全管理措置の義務違反にはならない。
For example, in the case of a name list that can be purchased by unspecified and large number of persons at any time at book stores and for which an operator makes no alterations, as such data is unlikely to cause any infringement of individuals' rights and interests, even if the operator has disposed of it without shredding it with a shredder or otherwise treating it or has handed it over to a recycling service provider, this does not constitute a violation to its obligation to take security control actions.
2 この条における「組織的安全管理措置」とは、個人データの安全管理措置について従業者(法第21条参照)の責任と権限を明確に定め、安全管理に関する規程等を整備・運用し、その実施状況の点検・監査を行うこと等の、個人情報取扱事業者の体制整備及び実施措置をいう。
2. The "institutional security control measures" in this Article means measures for system development and actions to be taken by a personal information handling business operator for security control of personal data, such as to clearly determine the responsibility and authority of each employee (see Article 21 of the Act), establish and implement rules on security control, and inspect and audit the implementation status.
3 この条における「人的安全管理措置」とは、従業者との個人データの非開示契約等の締結及び従業者に対する教育・訓練等を実施し、個人データの安全管理が図られるよう従業者を監督することをいう。
3. The "human security control measures" in this Article means to conclude a non-disclosure contract with employees and provide them with education and training, thereby supervising employees so as to ensure security control of personal data.
4 この条における「技術的安全管理措置」とは、個人データ及びそれを取り扱う情報システムへのアクセス制御及び情報システムの監視等の、個人データの安全管理に関する技術的な措置をいう。
(4) The "technological security control measures" in this Article means technological measures concerning security control of personal data, such as to limit access to personal data and the information system handling such data, and to monitor that information system.
5 金融分野における個人情報取扱事業者は、個人データの安全管理に係る基本方針・取扱規程等の整備として、次に掲げる「組織的安全管理措置」を講じなければならない。
5. A personal information handling business operator in the finance sector must take institutional security control measures as follows for establishing basic policies and handling rules for security control of personal data.
(組織的安全管理措置)
(Institutional security control measures)
⑴ 規程等の整備
(1) Development of rules, etc.
① 個人データの安全管理に係る基本方針の整備
(i) Development of basic policies for security control of personal data
② 個人データの安全管理に係る取扱規程の整備
(ii) Development of handling rules for security control of personal data
③ 個人データの取扱状況の点検及び監査に係る規程の整備
(iii) Development of rules for inspection and audit of the handling status of personal data
④ 外部委託に係る規程の整備
(iv) Development of rules for outsourcing
⑵ 各管理段階における安全管理に係る取扱規程
(2) Handling rules for security control at each stage
① 取得・入力段階における取扱規程
(i) Handling rules at the stage of acquisition and input of data
② 利用・加工段階における取扱規程
(ii) Handling rules at the stage of use and processing of data
③ 保管・保存段階における取扱規程
(iii) Handling rules at the stage of reservation and retention of data
④ 移送・送信段階における取扱規程
(iv) Handling rules at the stage of transfer and sending of data
⑤ 消去・廃棄段階における取扱規程
(v) Handling rules at the stage of deletion and disposal of data
⑥ 漏えい事案等への対応の段階における取扱規程
(vi) Handling rules at the time of responding to information leakage or other incidents
6 金融分野における個人情報取扱事業者は、個人データの安全管理に係る実施体制の整備として、次に掲げる「組織的安全管理措置」、「人的安全管理措置」及び「技術的安全管理措置」を講じなければならない。
6. A personal information handling business operator in the finance sector must take institutional security control measures, human security control measures and technological security control measures as follows for developing a system for security control of personal data.
(組織的安全管理措置)
(Institutional security control measures)
① 個人データの管理責任者等の設置
(i) Appointment of person responsible for the management of personal data, etc.
② 就業規則等における安全管理措置の整備
(ii) Development of security control actions in rules of employment, etc.
③ 個人データの安全管理に係る取扱規程に従った運用
(iii) Operation in line with the handling rules for security control of personal data
④ 個人データの取扱状況を確認できる手段の整備
(iv) Development of means to check the handling status of personal data
⑤ 個人データの取扱状況の点検及び監査体制の整備と実施
(v) Development and implementation of a system for inspection and audit of the handling status of personal data
⑥ 漏えい事案等に対応する体制の整備
(vi) Development of a system for responding to information leakage or other incidents
(人的安全管理措置)
(Human security control measures)
① 従業者との個人データの非開示契約等の締結
(i) Conclusion of a non-disclosure contract concerning personal data with employees
② 従業者の役割・責任等の明確化
(ii) Clarification of roles and responsibilities of employees
③ 従業者への安全管理措置の周知徹底、教育及び訓練
(iii) Thorough dissemination of security control actions to employees and their education and training
④ 従業者による個人データ管理手続の遵守状況の確認
(iv) Checking of employees' compliance with predetermined personal data management procedures
(技術的安全管理措置)
(Technological security control measures)
① 個人データの利用者の識別及び認証
(i) Identification and authentication of personal data users
② 個人データの管理区分の設定及びアクセス制御
(ii) Setting of management categories of personal data and access control
③ 個人データへのアクセス権限の管理
(iii) Management of authority to access personal data
④ 個人データの漏えい・毀損等防止策
(iv) Measures to prevent the leak and damage, etc. of personal data
⑤ 個人データへのアクセスの記録及び分析
(v) Recording and analysis of access to personal data
⑥ 個人データを取り扱う情報システムの稼働状況の記録及び分析
(vi) Recording and analysis of operation of the information system handling personal data
⑦ 個人データを取り扱う情報システムの監視及び監査
(vii) Monitoring and audit of the information system handling personal data
第9条 従業者の監督(法第21条関係)
Article 9 Supervision over Employees (relevant to Article 21 of the Act)
1 金融分野における個人情報取扱事業者は、法第21条に従い、個人データの安全管理が図られるよう、適切な内部管理体制を構築し、その従業者に対する必要かつ適切な監督を行わなければならない。
1. A personal information handling business operator in the finance sector must develop an appropriate internal control system and exercise necessary and appropriate supervision over its employees pursuant to the provisions of Article 21 of the Act in order to ensure security control of personal data.
当該監督は、個人データが漏えい、滅失又は毀損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じたものとする。
The supervision is to correspond to risks arising from the nature of the business, the handling status of personal data and other factors, in consideration of the significance of infringement of rights and interests that may be suffered by the person in question in the event of a leak, loss or damage of personal data.
2 この条における「従業者」とは、個人情報取扱事業者の組織内にあって直接又は間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、事業者との間の雇用関係にない者(取締役、執行役、理事、監査役、監事、派遣社員等)も含まれる。
2. The "employees" in this Article means persons engaging in the business of a personal information handling business operator within its organization under direct or indirect control and supervision of the operator, not limited to employees having an employment relationship (regular employees, contract employees, fixed-term employees, part-timers and casual staff, etc.) but including those without an employment relationship with the operator (directors, executive officers, board members, company auditors, inspectors and temporary staff, etc.).
3 金融分野における個人情報取扱事業者は、次に掲げる体制整備等により、従業者に対し必要かつ適切な監督を行わなければならない。
3. A personal information handling business operator in the finance sector must exercise necessary and appropriate supervision over its employees through developing a system as follows.
① 従業者が、在職中及びその職を退いた後において、その業務に関して知り得た個人データを第三者に知らせ、又は利用目的外に使用しないことを内容とする契約等を採用時等に締結すること。
(i) To conclude a contract upon recruiting an employee to ensure that the employee will not disclose to a third party any personal data that the person has come to know in the course of performing their duties or use such data for unintended purposes while being employed and after resigning from the job
② 個人データの適正な取扱いのための取扱規程の策定を通じた従業者の役割・責任の明確化及び従業者への安全管理義務の周知徹底、教育及び訓練を行うこと。
(ii) To clarify the roles and responsibilities of its employees through establishing handling rules to ensure proper handling of personal data, and thoroughly disseminate the obligation to ensure security control among its employees and provide them with education and training
③ 従業者による個人データの持出し等を防ぐため、社内での安全管理措置に定めた事項の遵守状況等の確認及び従業者における個人データの保護に対する点検及び監査制度を整備すること。
(iii) To develop a system for checking its employees' compliance with the matters specified in internal security control rules and inspecting and auditing their attitudes toward the protection of personal data in order to prevent them from taking out any personal data
第10条 委託先の監督(法第22条関係)
Article 10 Supervision over Outsourcees (relevant to Article 22 of the Act)
1 金融分野における個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、法第22条に従い、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
1. When a personal information handling business operator in the finance sector outsources the partial or entire handling of personal data, the operator must exercise necessary and appropriate supervision over the relevant outsourcee, pursuant to the provisions of Article 22 of the Act, so as to ensure security control of the outsourced personal data.
当該監督は、個人データが漏えい、滅失又は毀損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質並びに個人データの取扱状況等に起因するリスクに応じたものとする。
The supervision is to correspond to risks arising from the scale and nature of the outsourced business, the handling status of personal data and other factors, in consideration of the significance of infringement of rights and interests that may be suffered by the person in question in the event of a leak, loss or damage of personal data.
2 「委託」には、契約の形態や種類を問わず、金融分野における個人情報取扱事業者が他の者に個人データの取扱いの全部又は一部を行わせることを内容とする契約の一切を含む。
2. The "outsourcing" includes the entirety of outsourcing contracts, irrespective of the form or type thereof, under which a personal information handling business operator in the finance sector has another entity carry out the whole or part of the handling of personal data.
3 金融分野における個人情報取扱事業者は、個人データを適正に取り扱っていると認められる者を選定し委託するとともに、取扱いを委託した個人データの安全管理措置が図られるよう、個人データの安全管理のための措置を委託先においても確保しなければならない。なお、二段階以上の委託が行われた場合には、委託先の事業者が再委託先等の事業者に対して十分な監督を行っているかについても監督を行わなければならない。
3. A personal information handling business operator in the finance sector must select an entity that is found to be properly handling personal data as an outsourcee and secure measures for security control of personal data also at that outsourcee so that security control measures are taken for the outsourced personal data. In the case where an outsourcee further outsources personal information-related duties, the operator must also supervise whether the outsourcee sufficiently supervises the sub-outsourcees.
具体的には、金融分野における個人情報取扱事業者は、例えば、以下を実施すること。
Specifically, a personal information handling business operator in the finance sector is to conduct the following, for example.
① 個人データの安全管理のため、委託先における組織体制の整備及び安全管理に係る基本方針・取扱規程の策定等の内容を委託先選定の基準に定め、当該基準を定期的に見直さなければならない。
(i) The operator must specify the requirements to develop an organizational system and establish basic policies and handling rules for security control as the criteria for selecting outsourcees and review those criteria regularly in order to ensure the security control of the personal information.
なお、委託先の選定に当たっては、必要に応じて個人データを取り扱う場所に赴く又はこれに代わる合理的な方法による確認を行った上で、個人データ管理責任者等が適切に評価することが望ましい。
When selecting an outsourcee, it is desirable that the operator checks the candidate's capabilities by visiting the place where personal data is handled, as necessary, or by other reasonable methods and has its employee responsible for the management of personal data make an evaluation of the candidate appropriately.
② 委託者の監督・監査・報告徴収に関する権限、委託先における個人データの漏えい・盗用・改ざん及び目的外利用の禁止、再委託に関する条件及び漏えい等が発生した場合の委託先の責任を内容とする安全管理措置を委託契約に盛り込むとともに、定期的に監査を行う等により、定期的又は随時に当該委託契約に定める安全管理措置等の遵守状況を確認し、当該安全管理措置を見直さなければならない。
(ii) The operator must incorporate in an outsourcing contract specific security control actions that clarify the authority on the supervision and audit of and the collection of reports from the outsourcee, prohibition of the leak of, stealing and alteration and the utilization of personal data for unintended purposes by the outsourcee, conditions concerning sub-outsourcing and the responsibility of the outsourcee in the event of information leakage, etc. At the same time, the operator must check the outsourcee's compliance with the security control actions incorporated in the outsourcing contract, regularly or as needed, and review those measures through conducting audits regularly or taking other actions.
なお、委託契約に定める安全管理措置等の遵守状況については、個人データ管理責任者等が、当該安全管理措置等の見直しを検討することを含め、適切に評価することが望ましい。
It is desirable that the operator has its employee responsible for the management of personal data review the security control actions incorporated in the outsourcing contract and appropriately evaluate the outsourcee's compliance therewith.
委託先が再委託を行おうとする場合は、委託元は委託を行う場合と同様、再委託の相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先に事前報告又は承認手続を求める、直接又は委託先を通じて定期的に監査を実施する等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、再委託先が法第20条に基づく安全管理措置を講ずることを十分に確認することが望ましい。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。
When an outsourcee intends to outsource the relevant duties to another entity, it is desirable that the operator sufficiently confirms that the outsourcee appropriately supervises the sub-outsourcee of this Article and that the sub-outsourcee takes security control actions based on Article 20 of the Act, as in the case with the outsourcee, by such means as requesting the outsourcee to make a report on the sub-outsourcee, the content of duties to be sub-outsourced, and sub-outsourcee's method of handling personal data in advance or go through prior approval process and implementing regular audits by themselves or making the outsourcee do so. The same applies to cases of further sub-outsourcing.
第11条 第三者提供の制限(法第23条関係)
Article 11 Restriction on Personal Information Provision to a Third Party (relevant to Article 23 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the matters except the following.
1 金融分野における個人情報取扱事業者は、法第23条に従い、第三者提供についての同意を得る際には、原則として、書面によることとし、当該書面における記載を通じて、
① 個人データを提供する第三者
② 提供を受けた第三者における利用目的
③ 第三者に提供される情報の内容
を本人に認識させた上で同意を得ることとする。
1. When obtaining a person in question's consent for the provision of personal information to a third party pursuant to the provisions of Article 23 of the Act, a personal information handling business operator in the finance sector is to do so in writing, in principle, and have the person in question understand the following through the statements in that written document in advance.
(i) The third party to which the personal data is provided
(ii) The utilization purposes of the third party receiving the provision of the personal data
(iii) The content of the information to be provided to the third party
2 個人信用情報機関に対する提供
2. Personal data provided to personal credit data institutions
個人信用情報機関に対して個人データが提供される場合には、個人信用情報機関を通じて当該機関の会員企業にも情報が提供されることとなるため、個人信用情報機関に個人データを提供する金融分野における個人情報取扱事業者が本人の同意を得ることとする。
As personal data provided to a personal credit data institution will be eventually provided to its member companies through the institution, a personal information handling business operator in the finance sector that provides personal data to personal credit data institutions is to obtain consent from a person in question.
本人から同意を得るに当たっては、本人が、個人データが個人信用情報機関を通じて当該機関の会員企業にも提供されることを明確に認識した上で、同意に関する判断を行うことができるようにすることとする。このため、事業者は、同意を得る書面に、前項に定める事項のほか、個人データが当該機関の会員企業にも提供される旨の記載及び当該機関の会員企業として個人データを利用する者の表示を行うこととする。
When obtaining consent from a person in question, the operator is to ensure that the person clearly understands the fact that the personal data will also be provided to member companies of a personal credit data institution via the institution before making a decision as to whether or not to give consent. Therefore, the operator is to indicate in a consent form the fact that the personal data will also be provided to member companies of the institution and the companies that will use the personal data as member companies of the institution, in addition to the matters prescribed in the preceding paragraph.
「当該機関の会員企業として個人データを利用する者」の表示は、「当該機関の会員企業として個人データを利用する者」の外延を本人に客観的かつ明確に示すものであることが必要であり、会員企業の名称を記載する方法若しくは当該機関の規約等及び会員企業名を常時公表しているインターネットのホームページ(苦情処理の窓口の連絡先等、第18条の内容を記載したもの)のアドレスを記載する方法等により、本人が同意の可否を判断するに足りる具体性をもって示すことをいう。また、本人に表示する個人信用情報機関の規約等においては、機関の加入資格及び会員企業の外延が明確に示されるとともに、個人データの適正管理、情報の目的外利用の防止等の観点から、安全管理体制の整備、守秘義務の遵守及び違反に対する制裁措置等を明確に記載することが適切である。
"Companies that will use the personal data as member companies of the institution" need to be indicated in a manner that the outline of those users is objectively and clearly presented to a person in question, and the indication should be specific enough to enable the person in question to decide whether or not to give consent. Concrete methods of doing this include the indication of the names of member companies or the indication of the address of the institution's website wherein rules, etc. of the institution and the names of member companies are constantly made public (which contains the contact information on a complaint handling office and other contents referred to in Article 18). Rules, etc. of the personal credit data institution to be presented to the person in question should clearly indicate the eligibility for membership in the institution and the outline of member companies, and should also contain clear explanations on the development of its security control system, the confidentiality obligation and penalties for a violation thereto, from the perspective of ensuring proper management of personal data and preventing utilization of information for unintended purposes.
なお、金融分野における個人情報取扱事業者は、個人信用情報機関から得た資金需要者の返済能力に関する情報については、当該資金需要者の返済能力の調査以外の目的に使用することのないよう、慎重に取り扱うこととする。
A personal information handling business operator in the finance sector is to carefully handle information on the repayment capacity of a person seeking funds that it acquired from a personal credit data institution so as not to use that information for purposes other than the investigation on that person's repayment capacity.
3 与信事業における法第23条第2項(オプトアウト)の規定の適用
3. Application of Article 23, paragraph (2) of the Act (opt-out provision) in the credit business
金融分野における個人情報取扱事業者は、与信事業に係る個人の返済能力に関する情報を個人信用情報機関へ提供するに当たっては、法第23条第2項の規定を適用しないこととし、前項に従い本人の同意を得ることとする。
Article 23, paragraph (2) of the Act is not to be applied in the case where a personal information handling business operator in the finance sector provides information on an individual's repayment capacity in relation to the credit business to a personal credit data institution, and the operator is to obtain the consent of the person in pursuant to the provisions of the preceding paragraph.
4 法第23条第5項第3号に定める通知等(共同利用の際の通知等)
4. Notification, etc. specified in Article 23, paragraph (5), item (iii) of the Act (notification, etc. at the time of jointly utilizing personal data)
金融分野における個人情報取扱事業者は、法第23条第5項第3号に定める「通知」については、原則として、書面によることとする。
A personal information handling business operator in the finance sector is to make a notification as specified in Article 23, paragraph (5), item (iii) of the Act in writing, in principle.
金融分野における個人情報取扱事業者による「共同して利用する者の範囲」の通知等については、共同して利用する者を個別に列挙することが望ましい。また、共同して利用する者の外延を示すことにより本人に通知等する場合には、本人が容易に理解できるよう共同して利用する者を具体的に特定しなければならない。外延を示す具体例としては、
・ 当社及び有価証券報告書等に記載されている、当社の子会社
・ 当社及び有価証券報告書等に記載されている、当社の連結対象会社及び持分法適用会社
といった方法が適切である。
With regard to a notification, etc. concerning "the scope of a jointly utilizing person," it is desirable to list the persons who jointly utilize the personal data respectively. When intending to notify a person in question of the joint users by indicating the outline thereof, a personal information handling business operator in the finance sector must specifically identify them to enable the person in question to easily understand who they are. As concrete examples of indicating the outline of joint users, the following are appropriate.
・Our company and our subsidiaries listed in the annual securities report
・Our company and our consolidated companies and equity method affiliates listed in the annual securities report
なお、同号は、同号に定める「個人データの管理について責任を有する者」以外の共同して利用する者における安全管理責任等を免除する趣旨ではないことに留意する。
It should be noted that Article 23, paragraph (5), item (iii) of the Act does not mean to exempt the responsibility, etc. for security control of persons who jointly utilize personal data other than "those responsible for controlling the personal data" as specified in the same item.
第12条 保有個人データに関する事項の公表等(法第27条関係)
Article 12 Public Disclosure etc. on Matters Relating to Retained Personal Data (relevant to Article 27 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the matters except the following.
金融分野における個人情報取扱事業者が、法第27条に従い、保有個人データに関する事項を本人の知り得る状態に置く際には、自らの金融商品の販売方法等の事業の態様に応じて適切な方法による必要があり、継続的に公表を行う方法として、例えば、第18条に定める「個人情報保護宣言」と一体としてインターネットのホームページでの常時掲載を行うこと、又は事務所の窓口等での常時掲示・備付けを行うこと等が考えられる。
When a personal information handling business operator in the finance sector puts the matters concerning personal data it retains into a state where a person in question has access thereto pursuant to the provisions of Article 27 of the Act, the operator needs to employ appropriate methods depending on the sales method of its financial instruments or other mode of business. Possible methods for public disclosure on a continuous basis include regularly posting them on its website together with the "Pronouncement Concerning Protection of Personal Information" as specified in Article 18, or regularly posting or keeping them at a business office counter, etc.
第13条 開示(法第28条関係)
Article 13 Disclosure (relevant to Article 28 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the matters except the following.
法第28条第2項第2号の場合の例としては、通則ガイドライン3-5-2(保有個人データの開示)に掲げている場合以外に、次に掲げる場合が考えられる。
The following can be considered as examples of the cases referred to in Article 28, paragraph (2), item (ii) of the Act, in addition to the cases set forth in 3-5-2 (Disclosure of Retained Personal Data) of the General Rules Guidelines.
(例)
(Examples)
・ 与信審査内容等の個人情報取扱事業者が付加した情報の開示請求を受けた場合
・A case in which disclosure of information added by the personal information handling business operator, such as the contents of the credit examination, has been requested
・ 保有個人データを開示することにより評価・試験等の適正な実施が妨げられる場合
・A case in which disclosure of the retained personal data may hinder proper assessment or testing, etc.
・ 企業秘密が明らかになるおそれがある場合
・A case in which there is a risk of leading to disclosure of trade secrets
なお、開示すべき保有個人データの量が多いことのみでは法第28条第2項第2号の場合に該当しない。
Only a large volume of retained personal data subject to disclosure does not fall under the case specified in Article 28, paragraph (2), item (ii) of the Act.
第14条 理由の説明(法第31条関係)
Article 14 Explanation of Reasons (relevant to Article 31 of the Act)
金融分野における個人情報取扱事業者は、法第31条に従い、法第27条第3項、第28条第3項、第29条第3項又は第30条第5項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合において、本人に対しその理由を説明する際には、措置をとらないこととし、又は異なる措置をとることとした判断の根拠及び根拠となる事実を示すこととする。
Pursuant to the provisions of Article 31 of the Act, when a personal information handling business operator in the finance sector informs a person in question that it would not take all or some of the actions requested or demanded by the person in question or would take actions different from the requested or demanded one, under the provision of Article 27, paragraph (3), Article 28, paragraph (3), Article 29, paragraph (3) or Article 30, paragraph (5) of the Act, and explains the reasons therefor, the operator is to present to the person in question the grounds for deciding not to take that action or to take the relevant different action and the facts to support those grounds.
第15条 開示等の請求等に応じる手続(法第32条関係)
Article 15 Procedures for Responding to a Demand for Disclosure, etc. (relevant to Article 32 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the matters except the following.
1 金融分野における個人情報取扱事業者は、法第32条に従い、開示等の請求等を受け付ける方法を定めた場合には、第18条に定める「個人情報保護宣言」と一体としてインターネットのホームページでの常時掲載を行うこと、又は事務所の窓口等での掲示・備付け等を行うこととする。
1. When a personal information handling business operator in the finance sector has decided on a method of receiving a request or demand for disclosure, etc. pursuant to the provisions of Article 32 of the Act, the operator is to regularly post that method on its website together with the "Pronouncement Concerning Protection of Personal Information" as specified in Article 18, or regularly posting or keeping it at a business office counter, etc.
2 法第32条第3項及び施行令第10条第3号に基づき、開示等の請求等をする者が本人又は施行令第11条に定める代理人であることの確認の方法を定めるに当たっては、十分かつ適切な確認手続とするよう留意することとする。
2. Based on Article 32, paragraph (3) of the Act and Article 10, item (iii) of the Order, when a personal information handling business operator in the finance sector determines a method of verifying that a person who makes a request or demand for disclosure, etc. falls under the person in question or an agent specified in Article 11 of the Order, the operator is to give consideration to ensuring that sufficient and appropriate verification procedures are achieved.
なお、施行令第11条第2号の代理人による開示等の請求等に対して、事業者が本人にのみ直接開示等することは妨げられない。
An operator is not precluded from disclosing the relevant personal data directly only to the person in question in response to a request or demand made by an agent referred to in Article 11, item (ii) of the Order.
第16条 個人情報取扱事業者による苦情の処理(法第35条関係)
Article 16 Complaint Processing by Personal Information Handling Business Operators (relevant to Article 35 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the matters except the following.
法第35条第2項に定める必要な体制の整備の例としては、通則ガイドライン3-6(個人情報の取扱いに関する苦情処理)に掲げているもの以外に、苦情処理に当たる従業者への十分な教育・研修が考えられる。
Provision of sufficient education and training to employees engaging in complaint processing is one of the examples of the development of a necessary system specified in Article 35, paragraph (2) of the Act, in addition to what is set forth in 3-6 (Processing of Complaints Concerning Handling of Personal Information) of the General Rules Guidelines.
第17条 個人情報等の漏えい事案等への対応
Article 17 Responses to Personal Information Leakage, etc.
1 金融分野における個人情報取扱事業者は、個人情報の漏えい事案等又は匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第36条第1項の規定により行った加工の方法に関する情報の漏えい事案(以下「個人情報等の漏えい事案等」という。)の事故が発生した場合には、監督当局等に直ちに報告することとする。
1. In the event of the leakage of any personal information or the leakage of information concerning descriptions, etc. and individual identification codes deleted from personal information used to produce anonymously processed information and information relating to a processing method carried out pursuant to the provisions of Article 36, paragraph (1) of the Act (hereinafter referred to as "personal information leakage or other incident"), a personal information handling business operator in the finance sector is to immediately report that incident to the supervisory authority, etc.
2 金融分野における個人情報取扱事業者は、個人情報等の漏えい事案等の事故が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、当該事案等の事実関係及び再発防止策等を早急に公表することとする。
2. In the event of the leakage of personal information or any other related incident, a personal information handling business operator in the finance sector is to disclose the facts concerning the incident and preventive measures to the public without delay from the perspective of preventing secondary damage or the occurrence of any similar incidents.
3 金融分野における個人情報取扱事業者は、個人情報等の漏えい事案等の事故が発生した場合には、当該事案等の対象となった本人に速やかに当該事案等の事実関係等の通知等を行うこととする。
3. In the event of the leakage of personal information or other related incident, a personal information handling business operator in the finance sector is to promptly inform the person in question involved in the relevant incident of the facts concerning the incident.
第18条 個人情報保護宣言の策定(法第18条、第27条及び基本方針関係)
Article 18 Formulation of the Pronouncement Concerning Protection of Personal Information (relevant to Articles 18 and 27 of the Act and the Basic Policy)
1 金融分野における個人情報取扱事業者は、個人情報に対する取組方針を、あらかじめ分かりやすく説明することの重要性に鑑み、事業者の個人情報保護に関する考え方及び方針に関する宣言(いわゆるプライバシーポリシー、プライバシーステートメント等。本ガイドラインにおいて「個人情報保護宣言」という。)を策定し、例えば、次に掲げる内容をインターネットのホームページへの常時掲載又は事務所の窓口等での掲示・備付け等により、公表することとする。
1. In consideration of the significance of explaining policies related to personal information in advance in an easy-to-understand manner, a personal information handling business operator in the finance sector is to formulate the pronouncement concerning its ideas and policies concerning protection of personal information (so-called privacy policy or privacy statement, etc.; referred to as the "pronouncement concerning protection of personal information" in the present Guidelines) and disclose the following matters to the public by such means as regularly posting them on its website or regularly posting or keeping them at a business office counter, etc.
① 関係法令等の遵守、個人情報を目的外に利用しないこと及び苦情処理に適切に取り組むこと等、個人情報保護への取組方針の宣言
(i) Pronouncement of policies concerning protection of personal information, such as the compliance with related laws and regulations, prohibition of utilization of personal information for unintended purposes and proper processing of complaints
② 法第18条における個人情報の利用目的の通知・公表等の手続についての分かりやすい説明
(ii) Simple explanation of procedures for notification and public disclosure of the utilization purposes of personal information under Article 18 of the Act
③ 法第27条における開示等の手続等、個人情報の取扱いに関する諸手続についての分かりやすい説明
(iii) Simple explanation of procedures for disclosure, etc. under Article 27 of the Act or other various procedures for handling of personal information
④ 個人情報の取扱いに関する質問及び苦情処理の窓口
(iv) Contact information on offices processing inquiries and complaints concerning handling of personal information
2 個人情報保護宣言には、消費者等、本人の権利利益保護の観点から、事業活動の特性、規模及び実態に応じて、次に掲げる点を考慮した記述をできるだけ盛り込むことが望ましい。
2. It is desirable that the pronouncement concerning protection of personal information incorporates as many descriptions as possible in consideration of the following points, depending on the characteristics, scale and actual status of business activities, from the perspective of protecting rights and interests of a person in question, including general consumers.
① 保有個人データについて本人から求めがあった場合には、ダイレクトメールの発送停止など、自主的に利用停止等に応じること。
(i) When a person in question makes a request, the operator will suspend sending of direct email or otherwise voluntarily suspend the utilization of the personal data it retains.
② 委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進めること。
(ii) The operator endeavors to increase transparency regarding outsourcing, such as clarifying whether it outsources any business or the content of outsourced business if any.
③ 事業者がその事業内容を勘案して顧客の種類ごとに利用目的を限定して示したり、事業者が本人の選択による利用目的の限定に自主的に取り組むなど、本人にとって利用目的がより明確になるようにすること。
(iii) The operator devises means to clarify utilization purposes for the respective person in question, through efforts such as presenting limited utilization purposes separately by the type of customers in consideration of the business contents or voluntarily endeavoring to limit utilization purposes based on each choice by the person in question.
④ 個人情報の取得元又はその取得方法(取得源の種類等)を可能な限り具体的に明記すること。
(iv) The operator is to indicate sources and methods of acquiring personal information (types of information sources, etc.) as concretely as possible.
第19条 ガイドラインの見直し
Article 19 Review of the Guidelines
個人情報の保護についての考え方は、社会情勢の変化、国民の認識の変化、技術の進歩、国際動向等に応じて変わり得るものであり、本ガイドラインは、法の施行後の状況等諸環境の変化を踏まえて、必要に応じ見直しを行うものとする。
Basic concepts on the protection of personal information can change in tandem with changes in social conditions or people's awareness, advancement of technology and international trends. Therefore, the present Guidelines are to be reviewed as necessary in light of changes in circumstances after the enforcement of the Act.
anges in circumstances after the enforcement of the Act.