金融分野における個人情報保護に関するガイドライン
Guidelines for the Protection of Personal Information in the Financial Sector
金融分野における個人情報保護に関するガイドライン
Guidelines for the Protection of Personal Information in the Financial Sector
金融分野における個人情報保護に関するガイドライン
Guidelines for the Protection of Personal Information in the Financial Sector
令和5年3月
個人情報保護委員会
金融庁
March 2023
Personal Information Protection Commission
Financial Services Agency
金融分野における個人情報保護に関するガイドライン
Guidelines for the Protection of Personal Information in the Financial Sector
目次
Table of Contents
第1条 目的等(法第1条関係) 3
Article 1 Purpose, etc. (Re: Article 1 of the Act)
第2条 利用目的の特定(法第17条関係) 6
Article 2 Specifying the Purpose of Use (Re: Article 17 of the Act)
第3条 同意の形式(法第18条、第27条、第28条及び第31条関係) 9
Article 3 Format of Consent (Re: Articles 18, 27, 28, and 31 of the Act)
第4条 利用目的による制限(法第18条関係) 10
Article 4 Restriction Due to Purpose of Use (Re: Article 18 of the Act)
第5条 機微(センシティブ)情報 11
Article 5 Sensitive Information
第6条 取得に際しての利用目的の通知等(法第21条関係) 14
Article 6 Notification of a Purpose of Use when Acquiring Personal Information (Re: Article 21 of the Act)
第7条 データ内容の正確性の確保等(法第22条関係) 16
Article 7 Maintaining the Accuracy of Data (Re: Article 22 of the Act)
第8条 安全管理措置(法第23条関係) 16
Article 8 Measures for Managing the Security of Personal Data (Re: Article 23)
第9条 従業者の監督(法第24条関係) 22
Article 9 Supervision of Employees (Re: Article 24 of the Act)
第10条 委託先の監督(法第25条関係) 23
Article 10 Supervision of an Entrusted Person (Re: Article 25 of the Act)
第11条 個人データ等の漏えい等の報告等(法第26条等関係) 26
Article 11 Reporting Leaks of Personal Data (Re: Article 26 of the Act)
第12条 第三者提供の制限(法第27条関係) 29
Article 12 Restrictions on Provision of Personal Data to Third Parties (Re: Article 27 of the Act)
第13条 外国にある第三者への提供の制限(法第28条関係) 32
Article 13 Restrictions on the Provision of Personal Data to Third Parties in Foreign Countries (Re: Article 28 of the Act)
第14条 個人関連情報の第三者提供の制限等(法第31条関係) 38
Article 14 Restrictions on the Provision of Information Related to Personal Information to Third Parties (Re: Article 31 of the Act)
第15条 保有個人データに関する事項の公表等(法第32条関係) 39
Article 15 Disclosure of Information about the Personal Data a Business Holds (Re: Article 32 of the Act)
第16条 開示(法第33条関係) 40
Article 16 Disclosure (Re: Article 33 of the Act)
第17条 理由の説明(法第36条関係) 40
Article 17 Explanation of Reasons (Re: Article 36 of the Act)
第18条 開示等の請求等に応じる手続(法第37条関係) 41
Article 15 Procedures for Dealing with Requests for Disclosure and Other Handling (Re: Article 37 of the Act)
第19条 個人情報取扱事業者による苦情の処理(法第40条関係) 42
Article 19 Complaint Processing by Businesses Handling Personal Information (Re: Article 40 of the Act)
第20条 個人情報保護宣言の策定(法第21条及び第32条並びに基本方針関係) 42
Article 20 Formulation of the Pronouncement Concerning the Protection of Personal Information (Re: Articles 21 and 32 of the Act and the Basic Policy)
第21条 ガイドラインの見直し 44
Article 21 Review of the Guidelines
第1条 目的等(法第1条関係)
Article 1 Purpose, etc. (Re: Article 1 of the Act)
1 本ガイドラインは、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「施行令」という。)、個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「施行規則」という。)及び個人情報の保護に関する基本方針(平成16年4月2日閣議決定。第20条において「基本方針」という。)並びに関係法令を踏まえ、個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年個人情報保護委員会告示第6号。以下「通則ガイドライン」という。)を基礎として、法第6条及び第9条に基づき、金融庁が所管する分野(以下「金融分野」という。)における個人情報について保護のための格別の措置が講じられるよう必要な措置を講じ、及び当該分野における事業者が個人情報の適正な取扱いの確保に関して行う活動を支援する具体的な指針として定めるものである。
1. The present Guidelines are formulated in accordance with the Act on the Protection of Personal Information (Act No. 57 of 2003; hereinafter referred to as the "Act"), the Enforcement Order of the Act on the Protection of Personal Information (Cabinet Order No. 507 of 2003; hereinafter referred to as the "Order"), the Enforcement Rules for the Act on the Protection of Personal Information (Rules of the Personal Information Protection Commission No. 3 of 2016; hereinafter referred to as the "Rules"), and the Basic Policy on the Protection of Personal Information (Cabinet Decision of April 2, 2004; referred to as the "Basic Policy" in Article 20) as well as related laws and regulations, and based on the Guidelines on the Act on the Protection of Personal Information (Volume on General Rules) (Public Notice of the Personal Information Protection Commission No. 6 of 2016; hereinafter referred to as the "General Rules Guidelines"), and pursuant to Articles 6 and 9 of the Act, to provide for specific guidelines for taking necessary measures to ensure that there are special measures in place to protect personal information in the sector under the jurisdiction of the Financial Services Agency (hereinafter referred to as the "financial sector"), and for supporting actions that businesses in this sector take to ensure the proper handling of personal information.
本ガイドラインにおいて特に定めのない部分については、通則ガイドライン、個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成28年個人情報保護委員会告示第7号。以下「外国第三者提供ガイドライン」という。)、同ガイドライン(第三者提供時の確認・記録義務編)(平成28年個人情報保護委員会告示第8号)、同ガイドライン(仮名加工情報・匿名加工情報編)(平成28年個人情報保護委員会告示第9号)及び同ガイドライン(認定個人情報保護団体編)(令和3年個人情報保護委員会告示第7号)が適用される。
Any matters not provided for in the present Guidelines are governed by the General Rules Guidelines and other volumes of the Guidelines on the Act on the Protection of Personal Information, namely the Volume on Provision to a Third Party in a Foreign Country (Public Notice of the Personal Information Protection Commission No. 7 of 2016; hereinafter referred to as the "Guidelines on Provision to a Third Party in a Foreign Country"), the Volume on Confirmation and Record-Keeping Obligations upon Third-Party Provision (Public Notice of the Personal Information Protection Commission No. 8 of 2016), the Volume on Pseudonymized Personal Information and Anonymized Personal Information (Public Notice of the Personal Information Protection Commission No. 9 of 2016), and the Volume on Certified Personal Information Protection Organizations (Public Notice of the Personal Information Protection Commission No. 7 of 2021).
2 本ガイドライン中「~なければならない」と記載されている規定について、それに従わない場合は、法の規定違反と判断され得る。
2. Failure to follow any of the provisions of the present Guidelines which are described with the phrase "must (do)" may be judged to constitute violation of the provisions of the Act.
また、本ガイドライン中「こととする」、「適切である」及び「望ましい」と記載されている規定については、金融分野における個人情報取扱事業者及び個人関連情報取扱事業者がその規定に従わない場合には、法の規定違反と判断されることはないが、当該規定は、金融分野の個人情報の性質及び利用方法に鑑み、個人情報の取扱いに関して、金融分野における個人情報取扱事業者及び個人関連情報取扱事業者に特に厳格な措置が求められる事項として規定されており、金融分野における個人情報取扱事業者及び個人関連情報取扱事業者においては、遵守に努めるものとする。
If businesses handling personal information and businesses handling information related to personal information in the financial sector fail to follow any of the provisions of the present Guidelines which are described with the phrases "is to (do)," "it is appropriate to (do)," or "it is desirable to (do)," the failure is not judged to constitute violation of the provisions of the Act. Nevertheless, businesses handling personal information and businesses handling information related to personal information in the financial sector are to strive to observe these provisions because these provisions are related to matters for which businesses handling personal information and businesses handling information related to personal information in the financial sector are required to take particularly strict measures in connection with the handling of personal information in view of the nature of the personal information in the financial sector and the way in which it is used.
3 本ガイドラインにおいて記載した具体例については、これに限定する趣旨で記載したものではなく、また、個別ケースによって別途考慮すべき要素があり得るので注意を要する。
3. It should be noted that cases subject to the present Guidelines are not limited to the specific examples described herein, and that factors other than those addressed in these examples may also need to be taken into consideration on a case-by-case basis.
4 金融分野における認定個人情報保護団体が個人情報保護指針を作成又は変更し、また、金融分野における事業者団体等が事業の実態及び特性を踏まえ、当該事業者団体等の会員企業等を対象とした自主的ルール(事業者団体ガイドライン等)を作成又は変更することもあり得るが、その場合は、認定個人情報保護団体の対象事業者や事業者団体等の会員企業等は、個人情報の取扱いに当たり、個人情報の保護に関する法令、通則ガイドライン、個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)及び本ガイドライン等に加えて、当該指針又はルールに沿った対応を行う必要がある。特に、認定個人情報保護団体においては、認定個人情報保護団体が対象事業者に対し個人情報保護指針を遵守させるために必要な措置をとらなければならないこととされていることを踏まえることも重要である。
4. Certified personal information protection organizations in the financial sector may formulate or revise the personal information protection guidelines of their own, and trade associations, etc. in the financial sector may formulate or revise their voluntary rules applicable to their member companies, etc. (trade association guidelines, etc.) in light of the actual conditions and characteristics of the business in this sector. In these cases, it is necessary for the covered businesses affiliated with the certified personal information protection organizations and the member companies, etc. of the trade associations, etc. to handle personal information in line with those guidelines or rules, in addition to the laws and regulations on the protection of personal information, the General Rules Guidelines, the Guidelines on the Act on the Protection of Personal Information (Volume on Certified Personal Information Protection Organizations), the present Guidelines, etc. In particular, it is important for certified personal information protection organizations to bear in mind that they have an obligation to take necessary measures to make their covered businesses comply with the personal information protection guidelines.
5 金融分野における個人情報取扱事業者は、個人情報の漏えい、滅失又は毀損(以下「漏えい等」という。)等を防止等するため、個人情報の保護に関する法令、通則ガイドライン、関係法令及び本ガイドライン等に従い、個人情報の適正な管理体制を整備する必要がある。
5. In order to prevent the leaking, loss, or damage (hereinafter referred to as "leaking, etc."), or any other similar incident involving personal information, it is necessary for businesses handling personal information in the financial sector to develop systems for proper management of personal information in accordance with the laws and regulations on the protection of personal information, the General Rules Guidelines, related laws and regulations, the present Guidelines, etc..
第2条 利用目的の特定(法第17条関係)
Article 2 Specifying the Purpose of Use (Re: Article 17 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the relevant matters except the following:
1 金融分野における個人情報取扱事業者が、法第17条に従い利用目的を特定するに際して、「自社の所要の目的で用いる」といった抽象的な利用目的では「できる限り特定」したものとはならない。利用目的は、提供する金融商品又はサービスを示した上で特定することが望ましく、次に掲げる例が考えられる。
1. When a business handling personal information in the financial sector specifies the purpose of use pursuant to the provisions of Article 17 of the Act, abstract expressions such as "(the information) will be used for a purpose required by our company" are not considered to satisfy the requirement of "specify as much as possible." The purpose of use should preferably be specified by indicating the financial instruments or services to be provided, as shown below.
(例)
(Examples)
・ 当社の預金の受入れ
・For accepting deposits
・ 当社の与信判断・与信後の管理
・For making credit decisions and credit management
・ 当社の保険の引受け、保険金・給付金の支払い
・For underwriting insurance and paying insurance proceeds or benefits
・ 当社又は関連会社・提携会社の金融商品・サービスの販売・勧誘
・For conducting sales and soliciting activities for financial instruments and services offered by our company or our affiliated companies or partner companies
・ 当社又は関連会社・提携会社の保険の募集
・For offering subscription to insurance of our company or our affiliated companies or partner companies
・ 当社内部における市場調査及び金融商品・サービスの開発・研究
・For conducting internal market surveys and research and development of financial instruments and services
・ 特定の金融商品・サービスの購入に際しての資格の確認
・For checking individuals' qualification for purchasing specific financial instruments and services
2 金融分野における個人情報取扱事業者は、特定の個人情報の利用目的が、法令等に基づき限定されている場合には、その旨を明示することとする。
2. When the purpose of use of particular personal information is limited by laws and regulations, a business handling personal information in the financial sector is to clearly indicate that fact.
3 金融分野における個人情報取扱事業者が、与信事業に際して、個人情報を取得する場合においては、利用目的について本人の同意を得ることとし、契約書等における利用目的は他の契約条項等と明確に分離して記載することとする。この場合、事業者は取引上の優越的な地位を不当に利用し、与信の条件として、与信事業において取得した個人情報を当該事業以外の金融商品のダイレクトメールの発送等に利用することを利用目的として同意させる行為を行うべきではなく、本人は当該ダイレクトメールの発送等に係る利用目的を拒否することができる。
3. When a business handling personal information in the financial sector acquires personal information in the course of conducting credit business, the business is to obtain the consent of the identifiable person for its purpose of use and state that purpose of use in a written agreement clearly apart from other contractual terms, etc. In this case, the business should not exploit its advantageous business position and force the person to agree, as a condition of credit extension, with the utilization of their personal information it has acquired through the credit business for such purpose as sending direct email concerning financial instruments in its business other than the credit business. The identifiable person can reject such purpose of use of sending direct email.
4 金融分野における個人情報取扱事業者が、与信事業に際して、個人情報を個人信用情報機関(個人の返済能力に関する情報の収集及び与信事業を行う個人情報取扱事業者に対する当該情報の提供を業とするものをいう。以下同じ。)に提供する場合には、その旨を利用目的に明示しなければならない。さらに、明示した利用目的について本人の同意を得ることとする。
4. When a business handling personal information in the financial sector provides, in the course of conducting credit business, any personal information to a personal credit data institution (meaning an institution that provides the information on individuals' repayment capacity, in the course of trade, to businesses handling personal information that collect those types of information and conduct credit business; the same applies hereinafter), the business must clearly indicate that fact as a purpose of use. Furthermore, the business is to obtain the consent of the person for that purpose of use thus clearly indicated.
5 法第17条第2項に定める「変更前の利用目的と関連性を有すると合理的に認められる範囲」については、次に掲げる例が考えられる。
5. With regard to "the extent that can be appreciably linked to the purpose of use before the alteration" as specified in Article 17, paragraph (2) of the Act, the following can be considered as examples:
(許容例)
(Allowable example)
「商品案内等を郵送」→「商品案内等をメール送付」
"For sending written information on financial instruments by post" → "For sending written information on financial instruments by email"
(認められない例)
(Unallowable example)
「アンケート集計に利用」→「商品案内等の郵送に利用」
"For tabulating questionnaire answers" → "For sending written information on financial instruments by post"
第3条 同意の形式(法第18条、第27条、第28条及び第31条関係)
Article 3 Format of Consent (Re: Articles 18, 27, 28, and 31 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the relevant matters except the following:
金融分野における個人情報取扱事業者は、法第18条第1項及び第2項、第27条第1項、第28条第1項並びに第31条第1項第1号(金融分野における個人情報取扱事業者が個人関連情報取扱事業者から同項の規定による個人関連情報の提供を受けて個人データとして取得する場合に限る。)に定める本人の同意を得る場合には、原則として、書面(電磁的記録を含む。以下同じ。)によることとする。
When obtaining the consent of the identifiable person as specified in Article 18, paragraphs (1) and (2), Article 27, paragraph (1), Article 28, paragraph (1), and Article 31, paragraph (1), item (i) of the Act (limited to the case where a business handling personal information in the financial sector acquires information related to personal information as personal data under the provisions of that paragraph from a business handling information related to personal information), a business handling personal information in the financial sector is to do so in writing, in principle (including an electronic or magnetic record; the same applies hereinafter).
なお、事業者があらかじめ作成された同意書面を用いる場合には、文字の大きさ及び文章の表現を変えること等により、個人情報の取扱いに関する条項が他と明確に区別され、本人に理解されることが望ましい。または、あらかじめ作成された同意書面に確認欄を設け本人がチェックを行うこと等、本人の意思が明確に反映できる方法により確認を行うことが望ましい。
When a business uses a consent form prepared in advance, it is desirable that the terms concerning the handling of personal information are indicated in a manner clearly distinguishable from other terms by such means as using larger fonts or different expressions so that the content thereof is explicitly understood by the identifiable person. Otherwise, it is desirable to conduct confirmation by a method in which the identifiable person's intent is clearly expressed by such means as preparing check boxes in a ready-made consent form that the person can fill in.
第4条 利用目的による制限(法第18条関係)
Article 4 Restriction Due to Purpose of Use (Re: Article 18 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the relevant matters except the following:
法第18条第3項の場合の例としては、通則ガイドライン3-1-5(利用目的による制限の例外)に掲げている場合以外に、次に掲げる場合が考えられる。
The following can be considered as examples of the cases referred to in Article 18, paragraph (3) of the Act, beyond the cases set forth in 3-1-5 (Exception of Restriction Due to Purpose of Use) of the General Rules Guidelines:
① 法令(条例を含む。以下この条及び次条第1項において同じ。)に基づく場合
(i) Cases in which the handling of personal information is based on laws and regulations (including local ordinances; hereinafter the same applies in this Article and paragraph 1 of the following Article)
(例)
(Examples)
・ 犯罪による収益の移転防止に関する法律(平成19年法律第22号)第8条第1項に基づき疑わしい取引を届け出る場合
・A case of reporting a suspicious transaction based on the provisions of Article 8, paragraph (1) of the Act on Prevention of Transfer of Criminal Proceeds (Act No. 22 of 2007)
・ 金融商品取引法(昭和23年法律第25号)第210条、第211条等に基づく証券取引等監視委員会の職員による犯則事件の調査に応じる場合
・A case of answering a criminal investigation conducted by officials of the Securities and Exchange Surveillance Commission based on the provisions of Articles 210 and 211, etc. of the Financial Instruments and Exchange Act (Act No. 25 of 1948)
なお、法令に、第三者が個人情報の提供を求めることができる旨の規定はあるが、正当な事由に基づきそれに応じないことができる場合には、金融分野における個人情報取扱事業者は、当該法令の趣旨に照らして目的外利用の必要性と合理性が認められる範囲内で対応するよう留意する。
In the case where there are legal provisions to the effect that a third party may request the provision of personal information but that such request may be rejected for justifiable grounds, a business handling personal information in the financial sector is to give consideration to making a response within the scope wherein the necessity and reasonableness of the use of information for a purpose other than the purpose of use can be found in light of the purport of the relevant laws and regulations.
② 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(ii) Cases in which there is a need to cooperate with a national government organ, local government, or person entrusted thereby with performing the functions prescribed by laws and regulations, and obtaining the consent of the identifiable person is likely to interfere with the performance of those functions
(例)
(Example)
・ 振り込め詐欺に利用された口座に関する情報を警察に提供する場合
・A case of providing the police with information on accounts used for a bank transfer fraud
なお、金融分野における個人情報取扱事業者は、任意の求めの趣旨に照らして目的外利用の必要性と合理性が認められる範囲内で対応するよう留意する。
A business handling personal information in the financial sector is to give consideration to making a response within the scope wherein the necessity and reasonableness of the use of the information for a purpose other than the purpose of use can be found in light of the purport of the relevant non-mandatory request.
第5条 機微(センシティブ)情報
Article 5 Sensitive Information
1 金融分野における個人情報取扱事業者は、法第2条第3項に定める要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを除く。)に関する情報(本人、国の機関、地方公共団体、学術研究機関等、法第57条第1項各号に掲げる者若しくは施行規則第6条各号に掲げる者により公開されているもの、又は、本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。以下「機微(センシティブ)情報」という。)については、次に掲げる場合を除くほか、取得、利用又は第三者提供を行わないこととする。
1. A business handling personal information in the financial sector is not to acquire, use, or provide to a third party any sensitive personal information specified in Article 2, paragraph (3) of the Act and information on individuals' membership in a labor union, family origin, registered domicile, healthcare, and sex life (among these, excluding the matters falling under the category of sensitive personal information) (excluding any information made open to the public by a person identifiable by that information, a national government organ, a local government, an academic research institution or the equivalent, a person set forth in each item of Article 57, paragraph (1) of the Act, or a person set forth in each item of Article 6 of the Rules, and seemingly-clear information acquired by visual observation, filming, or photographing of the identifiable person; hereinafter referred to as "sensitive information"), except for the following cases:
① 法令等に基づく場合
(i) Cases in which the provision of personal information is based on laws and regulations
② 人の生命、身体又は財産の保護のために必要がある場合
(ii) Cases in which there is a need to protect the life, wellbeing, or property of an individual
③ 公衆衛生の向上又は児童の健全な育成の推進のため特に必要がある場合
(iii) Cases in which there is a special need to improve public wellbeing or promote healthy child development
④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
(iv) Cases in which there is a need to cooperate with a national government organ, local government, or person entrusted thereby with performing the functions prescribed by laws and regulations
⑤ 法第20条第2項第6号に掲げる場合に機微(センシティブ)情報を取得する場合、法第18条第3項第6号に掲げる場合に機微(センシティブ)情報を利用する場合、又は法第27条第1項第7号に掲げる場合に機微(センシティブ)情報を第三者提供する場合
(v) Cases of acquiring any sensitive information in the case set forth in Article 20, paragraph (2), item (vi) of the Act, cases of using any sensitive information in the case set forth in Article 18, paragraph (3), item (vi) of the Act, or cases of providing any sensitive information to a third party in the case set forth in Article 27, paragraph (1), item (vii) of the Act
⑥ 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得、利用又は第三者提供する場合
(vi) Cases in which there is a need to acquire, use or provide to a third party any sensitive information of its worker, etc. concerning their affiliation to or membership in a political or religious group or labor union within the scope necessary for the performance of affairs relating to withholding taxes, etc.
⑦ 相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者提供する場合
(vii) Cases in which the business acquires, uses or provides to a third party any sensitive information to the extent necessary for performing the transfer of rights and obligations arising from inheritance procedures
⑧ 保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用又は第三者提供する場合
(viii) Cases in which the business acquires, uses or provides to a third party any sensitive information based on the consent of the identifiable person to the extent necessary for performing its services from the necessity to ensure appropriate business operation of its insurance business or other business in the financial sector
⑨ 機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合
(ix) Cases in which the business uses any biometric information, which falls under the category of sensitive information, based on the consent of the identifiable person for the purpose of identity verification
2 金融分野における個人情報取扱事業者は、機微(センシティブ)情報を、前項に掲げる場合に取得、利用又は第三者提供する場合には、同項に掲げる事由を逸脱した取得、利用又は第三者提供を行うことのないよう、特に慎重に取り扱うこととする。
2. When a business handling personal information in the financial sector acquires, uses or provides to a third party any sensitive information in the cases set forth in the preceding paragraph, the business is to handle the information in a particularly prudent manner so as to avoid acquisition, use or provision to a third party of the information beyond the grounds set forth in the same paragraph.
3 金融分野における個人情報取扱事業者は、機微(センシティブ)情報を、第1項に掲げる場合に取得、利用又は第三者提供する場合には、例えば、要配慮個人情報を取得するに当たっては、法第20条第2項に従い、あらかじめ本人の同意を得なければならないとされていることなど、個人情報の保護に関する法令等に従い適切に対応しなければならないことに留意する。
3. When a business handling personal information in the financial sector acquires, uses or provides to a third party any sensitive information in the cases set forth in paragraph 1, the business is to give consideration to the need to make a response appropriately in accordance with laws and regulations, etc. concerning the protection of personal information, such as the legal requirement to obtain the consent of the identifiable person in advance upon acquiring sensitive personal information pursuant to the provisions of Article 20, paragraph (2) of the Act.
4 金融分野における個人情報取扱事業者は、機微(センシティブ)情報を第三者へ提供するに当たっては、法第27条第2項(オプトアウト)の規定を適用しないこととする。なお、機微(センシティブ)情報のうち要配慮個人情報については、同項において、オプトアウトを用いることができないとされていることに留意する。
4. Article 27, paragraph (2) of the Act (opt-out provision) is not to be applied in the case where a business handling personal information in the financial sector provides sensitive information to a third party. It should be noted that the same paragraph provides that, of all sensitive information available, an opt-out policy cannot be applied to sensitive personal information.
第6条 取得に際しての利用目的の通知等(法第21条関係)
Article 6 Notification of a Purpose of Use when Acquiring Personal Information (Re: Article 21 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the relevant matters except the following:
1 金融分野における個人情報取扱事業者が行う法第21条第1項に定める「通知」については、原則として、書面によることとする。また、同項に定める「公表」については、自らの金融商品の販売方法等の事業の態様に応じ、インターネットのホームページ等での公表、事務所の窓口等への書面の掲示・備付け等適切な方法によらなければならない。
1. A "notification" by a business handling personal information in the financial sector as specified in Article 21, paragraph (1) of the Act is to be given in writing, in principle. Furthermore, regarding the "disclosure to the public" specified in the same paragraph, a business handling personal information in the financial sector must employ appropriate methods, such as making the relevant matters public on its website, etc. or posting or keeping the document at a business office counter, etc., depending on the sales method of its financial instruments or other mode of business.
2 金融分野における個人情報取扱事業者は、与信事業に際して、法第21条第2項に従い、本人から直接書面に記載された当該本人の個人情報を取得する場合は、利用目的を明示する書面に確認欄を設けること等により、利用目的について本人の同意を得ることが望ましい。
2. When a business handling personal information in the financial sector acquires personal information which appears in a document directly from an identifiable person in the course of conducting credit business pursuant to the provisions of Article 21, paragraph (2) of the Act, it is desirable for the business to obtain the consent of the identifiable person for the purpose of use of that personal information by such means as preparing check boxes in a document clarifying the purpose of use to confirm the intent of the identifiable person.
なお、与信事業に際して、申込時に利用目的について本人の同意を得る場合、当該申込時に利用目的について同意を得た個人情報については法第21条第1項に基づく「通知又は公表」を要しないが、それ以降に取得する情報については、あらかじめ利用目的を公表していない限り、利用目的を本人に通知し、又は公表しなければならない。
When a business handling personal information in the financial sector obtains, in the course of conducting credit business, the consent of an identifiable person for the purpose of use of the person’s personal information at the time of receiving an application, the "notification or disclosure to the public" under Article 21, paragraph (1) of the Act is not required for the relevant personal information for which the consent of the identifiable person for the purpose of use has thus been obtained upon application, but with regard to any other information acquired thereafter, the business must notify the identifiable person of its purpose of use or disclose this to the public, unless the purpose of use has already been disclosed to the public.
3 法第21条第4項の場合の例としては、通則ガイドライン3-3-5(利用目的の通知等をしなくてよい場合)に掲げている場合以外に、次に掲げる場合が考えられる。
3. The following can be considered as examples of the cases referred to in Article 21, paragraph (4) of the Act, in addition to the cases set forth in 3-2-5 (Cases in which Notification of a Purpose of Use is not Required) of the General Rules Guidelines:
① 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(i) Notifying the identifiable person of the purpose of use or disclosing this to the public is likely to harm the life, wellbeing, property, or other rights or interests of the identifiable person or a third party
(例)
(Example)
・ 暴力団等の反社会的勢力情報、疑わしい取引の届出の対象情報、振り込め詐欺に利用された口座に関する情報及び業務妨害行為を行う悪質者情報の提供者が逆恨みを買うおそれがある場合
・A case in which there is a possibility that provision of information on an organized crime group or other antisocial forces, information on what the relevant party should be notified of as a suspicious transaction, information on accounts used for a bank transfer fraud, or information on malicious persons who obstruct business operations may have the information provider subject to unjustified resentment
② 利用目的を本人に通知し、又は公表することにより金融分野における個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
(ii) Notifying the identifiable person of the purpose of use or disclosing this to the public is likely to harm the rights or legitimate interests of the business handling personal information in the financial sector
(例)
(Examples)
・ 開発中の新サービス、営業ノウハウが明らかになることにより、企業の健全な競争を害する場合
・A case in which notification, etc. of the purpose of use results in disclosing a new service or business know-how under development, thereby hindering sound competition of the company
・ 振り込め詐欺に利用された口座に関する情報を取得したことが明らかになることにより、情報提供を受けた企業に害が及ぶ場合
・A case in which notification, etc. of the purpose of use results in disclosing the fact that the business has acquired information on accounts used for a bank transfer fraud, which may harm the company from which the information was acquired
第7条 データ内容の正確性の確保等(法第22条関係)
Article 7 Maintaining the Accuracy of Data (Re: Article 22 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the relevant matters except the following:
金融分野における個人情報取扱事業者は、預金者又は保険契約者等の個人データの保存期間については契約終了後一定期間内とする等、保有する個人データの利用目的に応じ保存期間を定め、当該期間を経過した個人データを消去することとする。
A business handling personal information in the financial sector is to determine a period for keeping the personal data it holds depending on the purpose of use thereof, such as fixing the period for keeping personal data on a depositor or a policyholder, etc. to be within a certain period of time after the termination of the contract, and should delete personal data after the lapse of that determined period.
第8条 安全管理措置(法第23条関係)
Article 8 Measures for Managing the Security of Personal Data (Re: Article 23)
1 金融分野における個人情報取扱事業者は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のため、安全管理に係る基本方針・取扱規程等の整備及び安全管理措置に係る実施体制の整備等の必要かつ適切な措置を講じなければならない。必要かつ適切な措置は、個人データの取得・利用・保管等の各段階に応じた「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」、「技術的安全管理措置」及び「外的環境の把握」を含むものでなければならない。
1. A business handling personal information in the financial sector must establish basic policies, handling rules, etc. for managing the security of personal data, develop implementation systems for measures for managing the security of personal data, and take other necessary and appropriate measures for managing the security of personal data including preventing the leaking, etc. of the personal data it handles. The necessary and appropriate measures must include institutional measures for managing the security of personal data, personnel measures for managing the security of personal data, physical measures for managing the security of personal data, technological measures for managing the security of personal data, and identification of the external environment in accordance with each stage of acquisition, utilization and storage, etc. of personal data.
当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質、個人データの取扱状況及び個人データを記録した媒体の性質等に起因するリスクに応じたものとする。
These measures are to be those corresponding to risks arising from the nature of the business, the handling status of personal data, the nature of the medium wherein personal data is recorded and other factors, in consideration of the significance of infringement of rights and interests that may be suffered by the identifiable person in the event of the leaking, etc. of personal data.
例えば、不特定多数者が書店で随時に購入可能な名簿で、事業者において全く加工をしていないものについては、個人の権利利益を侵害するおそれは低いと考えられることから、それを処分するために文書細断機等による処理を行わずに廃棄し、又は廃品回収に出したとしても、事業者の安全管理措置の義務違反にはならない。
For example, in the case of a name list that can be purchased by unspecified and large number of persons at any time at book stores and for which a business makes no alterations, as such data is unlikely to cause any infringement of individual rights and interests, even if the business has disposed of it without shredding it with a shredder or otherwise treating it or has handed it over to a recycling service provider, this does not constitute a violation to its obligation to take measures for managing the security of personal data.
2 この条における「組織的安全管理措置」とは、個人データの安全管理措置について従業者(法第24条参照)の責任と権限を明確に定め、安全管理に関する規程等を整備・運用し、その実施状況の点検・監査を行うこと等の、個人情報取扱事業者の体制整備及び実施措置をいう。
2. The "institutional measures for managing the security of personal data" in this Article means measures for system development and actions to be taken by a business handling personal information for managing the security of personal data, such as to clearly determine the responsibility and authority of each employee (see Article 24 of the Act), establish and implement rules on security management, and inspect and audit the implementation status.
3 この条における「人的安全管理措置」とは、従業者との個人データの非開示契約等の締結及び従業者に対する教育・訓練等を実施し、個人データの安全管理が図られるよう従業者を監督することをいう。
3. The "personnel measures for managing the security of personal data" in this Article means to conclude a non-disclosure contract concerning personal data with employees and provide them with education and training, thereby supervising employees so as to ensure the secure management of personal data.
4 この条における「物理的安全管理措置」とは、個人データを取り扱う区域の管理、機器及び電子媒体等の盗難の防止、電子媒体等を持ち運ぶ場合の漏えい等の防止並びに機器及び電子媒体等の廃棄等の個人データの安全管理に関する物理的な措置をいう。
4. The "physical measures for managing the security of personal data" in this Article means physical measures concerning the secure management of personal data, such as to manage the area in which personal data is handled, prevent theft of equipment and electronic media, etc., to prevent the leaking, etc. of personal data when carrying electronic media, etc., and to dispose of equipment and electronic media, etc.
5 この条における「技術的安全管理措置」とは、個人データ及びそれを取り扱う情報システムへのアクセス制御及び情報システムの監視等の、個人データの安全管理に関する技術的な措置をいう。
5. The "technological measures for managing the security of personal data" in this Article means technological measures concerning the secure management of personal data, such as to control access to personal data and the information system handling such data, and to monitor that information system.
6 この条における「外的環境の把握」とは、外国において個人データを取り扱う場合に、当該外国の個人情報の保護に関する制度等を把握することをいう。金融分野における個人情報取扱事業者は、外国において個人データを取り扱う場合には、外的環境を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。
6. The "identification of the external environment" in this Article means, in the case of handling personal data in a foreign country, to identify the personal information protection system, etc. of that foreign country. When a business handling personal information in the financial sector handles personal data in a foreign country, it must take the necessary and appropriate measures for managing the security of personal data after identifying the external environment.
7 金融分野における個人情報取扱事業者は、個人データの安全管理に係る基本方針・取扱規程等の整備として、次に掲げる「組織的安全管理措置」を講じなければならない。
7. A business handling personal information in the financial sector must take institutional measures for managing the security of personal data as follows for establishing basic policies, handling rules, etc. for managing the security of personal data.
(組織的安全管理措置)
(Institutional measures for managing the security of personal data)
⑴ 規程等の整備
(1) Development of rules, etc.
① 個人データの安全管理に係る基本方針の整備
(i) Development of basic policies for managing the security of personal data
② 個人データの安全管理に係る取扱規程の整備
(ii) Development of handling rules for managing the security of personal data
③ 個人データの取扱状況の点検及び監査に係る規程の整備
(iii) Development of rules for inspection and audit of the handling status of personal data
④ 外部委託に係る規程の整備
(iv) Development of rules for entrustment
⑵ 各管理段階における安全管理に係る取扱規程
(2) Handling rules for the secure management at each stage
① 取得・入力段階における取扱規程
(i) Handling rules at the stage of acquisition and input of data
② 利用・加工段階における取扱規程
(ii) Handling rules at the stage of use and processing of data
③ 保管・保存段階における取扱規程
(iii) Handling rules at the stage of storage and keeping of data
④ 移送・送信段階における取扱規程
(iv) Handling rules at the stage of transfer and sending of data
⑤ 消去・廃棄段階における取扱規程
(v) Handling rules at the stage of deletion and disposal of data
⑥ 漏えい等事案(漏えい等又はそのおそれのある事案をいう。以下同じ。)への対応の段階における取扱規程
(vi) Handling rules at the time of responding to a case of leaking, etc. (meaning a case in which leaking, etc. occurs or is likely to occur; the same applies hereinafter)
8 金融分野における個人情報取扱事業者は、個人データの安全管理に係る実施体制の整備として、次に掲げる「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」及び「技術的安全管理措置」を講じなければならない。
8. A business handling personal information in the financial sector must take institutional measures for managing the security of personal data, personnel measures for managing the security of personal data, physical measures for managing the security of personal data, and technological measures for managing the security of personal data as follows for developing implementation systems for managing the security of personal data.
(組織的安全管理措置)
(Institutional measures for managing the security of personal data)
① 個人データの管理責任者等の設置
(i) Appointment of a person responsible for the management of personal data, etc.
② 就業規則等における安全管理措置の整備
(ii) Development of measures for managing the security of personal data in rules of employment, etc.
③ 個人データの安全管理に係る取扱規程に従った運用
(iii) Operation in line with the handling rules for managing the security of personal data
④ 個人データの取扱状況を確認できる手段の整備
(iv) Development of means to check the handling status of personal data
⑤ 個人データの取扱状況の点検及び監査体制の整備と実施
(v) Development and implementation of systems for inspection and audit of the handling status of personal data
⑥ 漏えい等事案に対応する体制の整備
(vi) Development of systems for responding to cases of leaking, etc.
(人的安全管理措置)
(Personnel measures for managing the security of personal data)
① 従業者との個人データの非開示契約等の締結
(i) Conclusion of a non-disclosure contract concerning personal data with employees
② 従業者の役割・責任等の明確化
(ii) Clarification of roles and responsibilities of employees
③ 従業者への安全管理措置の周知徹底、教育及び訓練
(iii) Informing all employees of the measures for managing the security of personal data and education and training of employees
④ 従業者による個人データ管理手続の遵守状況の確認
(iv) Checking of employees' compliance with predetermined personal data management procedures
(物理的安全管理措置)
(Physical measures for managing the security of personal data)
① 個人データの取扱区域等の管理
(i) Management of the area in which personal data is handled, etc.
② 機器及び電子媒体等の盗難等の防止
(ii) Prevention of theft of equipment and electronic media, etc.
③ 電子媒体等を持ち運ぶ場合の漏えい等の防止
(iii) Prevention of the leaking, etc. of personal data when carrying electronic media, etc.
④ 個人データの削除及び機器、電子媒体等の廃棄
(iv) Deletion of personal data and disposal of equipment and electronic media, etc.
(技術的安全管理措置)
(Technological measures for managing the security of personal data)
① 個人データの利用者の識別及び認証
(i) Identification and authentication of personal data users
② 個人データの管理区分の設定及びアクセス制御
(ii) Setting of management categories of personal data and access control
③ 個人データへのアクセス権限の管理
(iii) Management of authority to access personal data
④ 個人データの漏えい等防止策
(iv) Measures to prevent the leaking, etc. of personal data
⑤ 個人データへのアクセスの記録及び分析
(v) Recording and analysis of access to personal data
⑥ 個人データを取り扱う情報システムの稼働状況の記録及び分析
(vi) Recording and analysis of the operation status of information systems for handling of personal data
⑦ 個人データを取り扱う情報システムの監視及び監査
(vii) Monitoring and audit of the information systems for handling of personal data
第9条 従業者の監督(法第24条関係)
Article 9 Supervision of Employees (Re: Article 24 of the Act)
1 金融分野における個人情報取扱事業者は、法第24条に従い、個人データの安全管理が図られるよう、適切な内部管理体制を構築し、その従業者に対する必要かつ適切な監督を行わなければならない。
1. A business handling personal information in the financial sector must develop an appropriate internal management system and exercise the necessary and adequate supervision over its employees to ensure the secure management of the personal data pursuant to the provisions of Article 24 of the Act.
当該監督は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じたものとする。
The supervision is to correspond to risks arising from the nature of the business, the handling status of personal data and other factors, in consideration of the significance of infringement of rights and interests that may be suffered by the identifiable person in the event of the leaking, etc. of personal data.
2 この条における「従業者」とは、個人情報取扱事業者の組織内にあって直接又は間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、事業者との間の雇用関係にない者(取締役、執行役、理事、監査役、監事、派遣社員等)も含まれる。
2. The "employees" in this Article means persons engaged in the business of a business handling personal information within its organization under direct or indirect control and supervision of the business, not limited to employees having an employment relationship (regular employees, contract employees, fixed-term employees, part-timers and casual staff, etc.) but including those without an employment relationship with the business (directors, executive officers, board members, company auditors, auditors and temporary staff, etc.).
3 金融分野における個人情報取扱事業者は、次に掲げる体制整備等により、従業者に対し必要かつ適切な監督を行わなければならない。
3. A business handling personal information in the financial sector must exercise the necessary and adequate supervision over its employees through developing a system as follows:
① 従業者が、在職中及びその職を退いた後において、その業務に関して知り得た個人データを第三者に知らせ、又は利用目的外に使用しないことを内容とする契約等を採用時等に締結すること。
(i) To conclude a contract upon recruiting an employee to ensure that the employee will not disclose to a third party any personal data acquired in the course of that employee's work or use such data for any purpose other than the purpose of use while being employed and after resigning from the job
② 個人データの適正な取扱いのための取扱規程の策定を通じた従業者の役割・責任の明確化及び従業者への安全管理義務の周知徹底、教育及び訓練を行うこと。
(ii) To clarify the roles and responsibilities of its employees through establishing handling rules to ensure proper handling of personal data, and inform all employees of the measures for managing the security of personal data and provide them with education and training
③ 従業者による個人データの持出し等を防ぐため、社内での安全管理措置に定めた事項の遵守状況等の確認及び従業者における個人データの保護に対する点検及び監査制度を整備すること。
(iii) To develop a system for checking its employees' compliance with the matters specified as internal measures for managing the security of personal data and inspecting and auditing their attitudes toward the protection of personal data in order to prevent them from taking out any personal data
第10条 委託先の監督(法第25条関係)
Article 10 Supervision of an Entrusted Person (Re: Article 25 of the Act)
1 金融分野における個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、法第25条に従い、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
1. If a business handling personal information in the financial sector entrusts another person with all or part of the handling of personal data, it must exercise the necessary and adequate supervision over the person it entrusts, pursuant to the provisions of Article 25 of the Act, so as to ensure the secure management of the personal data with whose handling it entrusts that person.
当該監督は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質並びに個人データの取扱状況等に起因するリスクに応じたものとする。
The supervision is to correspond to risks arising from the scale and nature of the entrusted business, the handling status of personal data and other factors, in consideration of the significance of infringement of rights and interests that may be suffered by the identifiable person in the event of the leaking, etc. of personal data.
2 「委託」には、契約の形態や種類を問わず、金融分野における個人情報取扱事業者が他の者に個人データの取扱いの全部又は一部を行わせることを内容とする契約の一切を含む。
2. The "entrustment" includes the entirety of contracts, irrespective of the form or type thereof, under which a business handling personal information in the financial sector has another entity carry out the whole or part of the handling of personal data.
3 金融分野における個人情報取扱事業者は、個人データを適正に取り扱っていると認められる者を選定し委託するとともに、取扱いを委託した個人データの安全管理措置が図られるよう、個人データの安全管理のための措置を委託先においても確保しなければならない。なお、二段階以上の委託が行われた場合には、委託先の事業者が再委託先等の事業者に対して十分な監督を行っているかについても監督を行わなければならない。
3. A business handling personal information in the financial sector must select a person that is found to be properly handling personal data as a person to whom the handling of personal data is to be entrusted and ensure that measures for managing the security of personal data are also taken by that entrusted person so that security management measures are taken for the entrusted personal data. In the case where an entrusted person further entrusts personal information-related duties, the business must also supervise whether the entrusted person sufficiently supervises the further entrusted persons.
具体的には、金融分野における個人情報取扱事業者は、例えば、以下を実施すること。
Specifically, a business handling personal information in the financial sector is to conduct the following, for example:
① 個人データの安全管理のため、委託先における組織体制の整備及び安全管理に係る基本方針・取扱規程の策定等の内容を委託先選定の基準に定め、当該基準を定期的に見直さなければならない。
(i) The business must specify the requirements to develop an organizational system and establish basic policies and handling rules for managing the security of personal data as the criteria for selecting the persons to whom the handling of personal data is to be entrusted and review those criteria regularly in order to ensure the secure management of the personal data.
なお、委託先の選定に当たっては、必要に応じて個人データを取り扱う場所に赴く方法(テレビ会議システム等(映像と音声の送受信により相手の状態を相互に認識できる方法をいう。)を利用する方法を含む。以下同じ。)又はこれに代わる合理的な方法による確認を行った上で、個人データ管理責任者等が適切に評価することが望ましい。
When selecting a person to whom the handling of personal data is to be entrusted, it is desirable that the business checks the candidate's capabilities by visiting the place where personal data is handled (including a method of using a video conferencing system, etc. (meaning a method that enables persons to recognize each other's conditions through audio and visual transmissions); the same applies hereinafter), as necessary, or by other reasonable methods and has the person responsible for the management of personal data, etc. make an evaluation of the candidate appropriately.
② 委託者の監督・監査・報告徴収に関する権限、委託先における個人データの漏えい等の防止及び目的外利用の禁止、再委託に関する条件並びに漏えい等事案が発生した場合の委託先の責任を内容とする安全管理措置を委託契約に盛り込むとともに、定期的に監査を行う等により、定期的又は随時に当該委託契約に定める安全管理措置等の遵守状況を確認し、当該安全管理措置を見直さなければならない。
(ii) The business must incorporate in an entrustment contract specific measures for managing the security of personal data that clarify the authority of the entrustor on the supervision and audit of and the calling for reports , prevention of the leaking, etc. and prohibition of use of personal data for any purpose other than the purpose of use by the entrusted person, conditions concerning further entrustment of the handling of personal data and the responsibility of the entrusted person in the event of a case of leaking, etc. At the same time, the business must check the entrusted person's compliance with the measures for managing the security of personal data incorporated in the entrustment contract, regularly or as needed, and review those measures through conducting audits regularly or taking other actions.
なお、委託契約に定める安全管理措置等の遵守状況については、個人データ管理責任者等が、当該安全管理措置等の見直しを検討することを含め、適切に評価することが望ましい。
It is desirable that the business has the person responsible for the management of personal data, etc. review the measures for managing the security of personal data incorporated in the entrustment contract and appropriately evaluate the entrusted person's compliance therewith.
委託先が再委託を行おうとする場合は、委託元は委託を行う場合と同様、再委託の相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先に事前報告又は承認手続を求め、かつ、直接又は委託先を通じて定期的に監査を実施する等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと及び再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましい。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。
When an entrusted person intends to entrust the relevant duties to another person, it is desirable that the business sufficiently confirms that the entrusted person appropriately supervises the further entrusted person of this Article and that the further entrusted person takes measures for managing the security of personal data based on Article 23 of the Act, as in the case with the entrusted person, by such means as requesting the entrusted person to make a report on the further entrusted person, the content of duties to be further entrusted, and the further entrusted person's method of handling personal data in advance and go through prior approval process and implementing regular audits by themselves or making the entrusted person do so. The same applies to cases in which a further entrusted person entrusts the relevant duties to yet another person.
第11条 個人データ等の漏えい等の報告等(法第26条等関係)
Article 11 Reporting Leaks of Personal Data (Re: Article 26 of the Act)
以下の事項の他は通則ガイドラインの例による(施行規則第7条各号関係に限る。)。
The General Rules Guidelines govern the relevant matters except the following (limited to matters related to the items of Article 7 of the Rules):
1 金融分野における個人情報取扱事業者は、施行規則第7条各号に定める事態を知ったときは、通則ガイドライン3-5-3(個人情報保護委員会への報告)に従って、個人情報保護委員会(法第150条の規定により金融庁長官等が報告を受理する権限の委任を受けている場合にあっては金融庁長官等、法第170条の規定により地方公共団体の長等が報告を受理する権限に属する事務を行う場合にあっては地方公共団体の長等)に報告しなければならない。
1. If a business handling personal information in the financial sector learns about any of the situations specified in the items of Article 7 of the Rules, it must report the situation to the Personal Information Protection Commission (the Commissioner of the Financial Services Agency, etc. if the Commissioner of the Financial Services Agency, etc. has been delegated the authority to receive reports pursuant to the provisions of Article 150 of the Act, and the head of a local government, etc. if the head of a local government, etc. is to manage the administrative affairs under the authority to receive reports pursuant to the provisions of Article 170 of the Act) in accordance with 3-5-3 (Report to the Personal Information Protection Commission) of the General Rules Guidelines.
また、金融分野における個人情報取扱事業者は、その取り扱う個人である顧客等に関する個人データの漏えい等が発生し、又は発生したおそれがある事態を知ったときは、関係法令に従って、監督当局に報告しなければならない。
In addition, if a business handling personal information in the financial sector learns about a situation in which leaking, etc. has occurred or is likely to have occurred for personal data concerning a customer, etc. that is an individual, which it handles, it must report the situation to the supervisory authority in accordance with related laws and regulations.
2 金融分野における個人情報取扱事業者は、次に掲げる事態(前項に規定する事態を除く。)を知ったときは、同項の規定に準じて、監督当局に報告することとする。
2. If a business handling personal information in the financial sector learns about any of the following situations (excluding the situations prescribed in the preceding paragraph), it must report the situation to the supervisory authority in accordance with the provisions of the same paragraph:
① その取り扱う個人情報の漏えい等が発生し、又は発生したおそれがある事態
(i) A situation in which leaking, etc. has occurred or is likely to have occurred for personal data it handles
② その取り扱う仮名加工情報に係る削除情報等(法第41条第1項の規定により行われた加工の方法に関する情報にあっては、その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるものに限る。次項において同じ。)又は匿名加工情報に係る加工方法等情報の漏えいが発生し、又は発生したおそれがある事態
(ii) A situation in which leaking, etc. has occurred or is likely to have occurred for deleted or other related information pertaining to pseudonymized information (if the deleted or other related information is information on the means of processing carried out pursuant to the provisions of Article 41, paragraph (1) of the Act, limited to information that can be used for restoring the personal information that was used to prepare the pseudonymized personal information; the same applies in the following paragraph) or information on the means of processing pertaining to anonymized personal information, which it handles
3 金融分野における個人情報取扱事業者は、施行規則第7条各号に定める事態を知ったときは、通則ガイドライン3-5-4(本人への通知)に従い、本人への通知等を行わなければならない。
3. If a business handling personal information in the financial sector learns about any of the situations specified in the items of Article 7 of the Rules, it must give a notification, etc. to the identifiable person in accordance with 3-5-4 (Notification to the Identifiable Person) of the General Rules Guidelines.
また、金融分野における個人情報取扱事業者は、次に掲げる事態(施行規則第7条各号に定める事態を除く。)を知ったときも、これに準じて、本人への通知等を行うこととする。
In addition, also if a business handling personal information in the financial sector learns about any of the following situations (excluding the situations prescribed in the preceding paragraph), it is to give a notification, etc. to the identifiable person in accordance with the above:
① その取り扱う個人データ(仮名加工情報である個人データを除く。)の漏えい等が発生し、又は発生したおそれがある事態
(i) A situation in which leaking, etc. has occurred or is likely to have occurred for personal data it handles (excluding personal data that constitutes pseudonymized personal information)
② その取り扱う個人情報(仮名加工情報である個人情報を除く。)の漏えい等が発生し、又は発生したおそれがある事態
(ii) A situation in which leaking, etc. has occurred or is likely to have occurred for personal information it handles (excluding personal information that constitutes pseudonymized personal information)
③ その取り扱う仮名加工情報に係る削除情報等又は匿名加工情報に係る加工方法等情報の漏えいが発生し、又は発生したおそれがある事態
(iii) A situation in which leaking, etc. has occurred or is likely to have occurred for deleted or other related information pertaining to pseudonymized information or information on the means of processing pertaining to anonymized personal information, which it handles
4 金融分野における個人情報取扱事業者は、第1項及び第2項に規定する事態が発覚した場合は、当該事態の内容等に応じて、次に掲げる事項について必要な措置を講じなければならない。
4. If the situation prescribed in paragraph 1 or 2 has been detected, a business handling personal information in the financial sector must take necessary measures on the following matters, according to the content, etc. of the situation:
① 事業所内部における報告及び被害の拡大防止
(i) Reporting within the place of business and prevention of expansion of damage
② 事実関係の調査及び原因の究明
(ii) Investigation of facts and determination of the cause
③ 影響範囲の特定
(iii) Identification of the extent of the impact
④ 再発防止策の検討及び実施
(iv) Examination and implementation of preventive measures
また、当該事態の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、当該事態の事実関係及び再発防止策等について、速やかに公表することとする。
In addition, the business handling personal information in the financial sector is to promptly disclose the facts concerning the situation and preventive measures to the public from the perspective of preventing secondary damage or the occurrence of any similar cases, according to the content, etc. of the situation.
第12条 第三者提供の制限(法第27条関係)
Article 12 Restrictions on Provision of Personal Data to Third Parties (Re: Article 27 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the relevant matters except the following:
1 金融分野における個人情報取扱事業者は、法第27条第1項に従い、個人データの第三者提供についての本人の同意を得る際には、原則として、書面によることとし、当該書面における記載を通じて、
1. When obtaining an identifiable person's consent for the provision of personal data to a third party pursuant to the provisions of Article 27, paragraph (1) of the Act, a business handling personal information in the financial sector is to do so in writing, in principle, and have the identifiable person understand the following through the statements in that written document in advance:
① 個人データ提供先の第三者
② 提供先の第三者における利用目的
③ 第三者に提供される個人データの項目
を本人に認識させた上で同意を得ることとする。
(i) The third party to which the personal data is provided
(ii) The purpose of use of the personal data by the third party to which that data is provided
(iii) The details of the personal data it will provide to the third party
本人の同意を得ようとする時点において、①に掲げる事項が特定できない場合には、①に掲げる事項に代わる本人に参考となるべき情報を本人に認識させた上で、同意を得ることとする。当該情報としては、次に掲げる例が考えられる。
If the matter set forth in (i) cannot be identified at the time of intending to obtain the identifiable person's consent, the consent is to be obtained by having the identifiable person understand information that serves as a reference to the person in lieu of the matter set forth in (i). The following can be considered as an example of such information:
(例)
(Example)
・ 提供先の第三者の範囲や属性に関する情報
・Information on the extent and attributes of the third party to which the personal data is provided
2 個人信用情報機関に対する提供
2. Personal data provided to personal credit data institutions
個人信用情報機関に対して個人データが提供される場合には、個人信用情報機関を通じて当該機関の会員企業にも情報が提供されることとなるため、個人信用情報機関に個人データを提供する金融分野における個人情報取扱事業者が本人の同意を得ることとする。
As personal data provided to a personal credit data institution will be eventually provided to its member companies through the institution, a business handling personal information in the financial sector that provides personal data to personal credit data institutions is to obtain consent from an identifiable person.
本人から同意を得るに当たっては、本人が、個人データが個人信用情報機関を通じて当該機関の会員企業にも提供されることを明確に認識した上で、同意に関する判断を行うことができるようにすることとする。このため、事業者は、同意を得る書面に、前項に定める事項のほか、個人データが当該機関の会員企業にも提供される旨の記載及び当該機関の会員企業として個人データを利用する者の表示を行うこととする。
When obtaining consent from an identifiable person, the business is to ensure that the person clearly understands the fact that the personal data will also be provided to member companies of a personal credit data institution via the institution before making a decision as to whether or not to give consent. Therefore, the business is to indicate in a consent form the fact that the personal data will also be provided to member companies of the institution and the companies that will use the personal data as member companies of the institution, in addition to the matters prescribed in the preceding paragraph.
「当該機関の会員企業として個人データを利用する者」の表示は、「当該機関の会員企業として個人データを利用する者」の外延を本人に客観的かつ明確に示すものであることが必要であり、会員企業の名称を記載する方法若しくは当該機関の規約等及び会員企業名を常時公表しているインターネットのホームページ(苦情処理の窓口の連絡先等、第20条の内容を記載したもの)のアドレスを記載する方法等により、本人が同意の可否を判断するに足りる具体性をもって示すことをいう。また、本人に表示する個人信用情報機関の規約等においては、機関の加入資格及び会員企業の外延が明確に示されるとともに、個人データの適正管理、情報の目的外利用の防止等の観点から、安全管理体制の整備、守秘義務の遵守及び違反に対する制裁措置等を明確に記載することが適切である。
“Companies that will use the personal data as member companies of the institution” need to be indicated in a manner that the outline of those users is objectively and clearly presented to an identifiable person, and the indication should be specific enough to enable the identifiable person to decide whether or not to give consent. Concrete methods of doing this include the indication of the names of member companies or the indication of the address of the institution’s website wherein rules, etc. of the institution and the names of member companies are constantly made public (which contains the contact information on a complaint handling office and other contents referred to in Article 20). Rules, etc. of the personal credit data institution to be presented to the identifiable person should clearly indicate the eligibility for membership in the institution and the outline of member companies, and should also contain clear explanations on the development of its security management system, the confidentiality obligation and penalties for a violation thereto, from the perspective of ensuring proper management of personal data and preventing use of information for any purpose other than the purpose of use.
なお、金融分野における個人情報取扱事業者は、個人信用情報機関から得た資金需要者の返済能力に関する情報については、当該資金需要者の返済能力の調査以外の目的に使用することのないよう、慎重に取り扱うこととする。
A business handling personal information in the financial sector is to carefully handle information on the repayment capacity of a person seeking funds that it acquired from a personal credit data institution so as not to use that information for purposes other than the investigation on that person’s repayment capacity.
3 与信事業における法第27条第2項(オプトアウト)の規定の適用
3. Application of Article 27, paragraph (2) of the Act (opt-out provision) in the credit business
金融分野における個人情報取扱事業者は、与信事業に係る個人の返済能力に関する情報を個人信用情報機関へ提供するに当たっては、法第27条第2項の規定を適用しないこととし、前項に従い本人の同意を得ることとする。
Article 27, paragraph (2) of the Act is not to be applied in the case where a business handling personal information in the financial sector provides information on an individual’s repayment capacity in relation to the credit business to a personal credit data institution, and the business is to obtain the consent of the identifiable person pursuant to the provisions of the preceding paragraph.
4 法第27条第5項第3号に定める通知等(共同利用の際の通知等)
4. Notification, etc. specified in Article 27, paragraph (5), item (iii) of the Act (notification, etc. at the time of joint use of personal data)
金融分野における個人情報取扱事業者は、法第27条第5項第3号に定める「通知」については、原則として、書面によることとする。
A business handling personal information in the financial sector is to make a notification as specified in Article 27, paragraph (5), item (iii) of the Act in writing, in principle.
金融分野における個人情報取扱事業者による「共同して利用する者の範囲」の通知等については、共同して利用する者を個別に列挙することが望ましい。また、共同して利用する者の外延を示すことにより本人に通知等する場合には、本人が容易に理解できるよう共同して利用する者を具体的に特定しなければならない。外延を示す具体例としては、
With regard to a notification, etc. concerning “the extent of the joint users,” it is desirable to list the persons who jointly use the personal data respectively. When intending to notify an identifiable person of the joint users by indicating the outline thereof, a business handling personal information in the financial sector must specifically identify them to enable the identifiable person to easily understand who they are. As concrete examples of indicating the outline of joint users, the following are appropriate:
・ 当社及び有価証券報告書等に記載されている、当社の子会社
・ 当社及び有価証券報告書等に記載されている、当社の連結対象会社及び持分法適用会社
といった方法が適切である。
・Our company and our subsidiaries listed in the annual securities report
・Our company and our consolidated companies and equity method affiliates listed in the annual securities report
なお、法第27条第5項第3号は、同号に定める「個人データの管理について責任を有する者」以外の共同して利用する者における安全管理責任等を免除する趣旨ではないことに留意する。
It should be noted that Article 27, paragraph (5), item (iii) of the Act does not mean to exempt the responsibility, etc. for security management of persons who jointly use personal data other than “the person responsible for managing the personal data” as specified in the same item.
第13条 外国にある第三者への提供の制限(法第28条関係)
Article 13 Restrictions on the Provision of Personal Data to Third Parties in Foreign Countries (Re: Article 28 of the Act)
以下の事項の他は外国第三者提供ガイドラインの例による。
The Guidelines on Provision to a Third Party in a Foreign Country govern the relevant matters except the following:
1 金融分野における個人情報取扱事業者は、法第28条第1項に従い、外国にある第三者への個人データの提供を認める旨の本人の同意を得る際には、原則として、書面によることとし、当該書面における記載を通じて、施行規則第17条第2項から第4項までの規定により情報提供が求められる事項に加えて、
1. When obtaining an identifiable person's consent to the effect that the person approves the provision of personal data to a third party in a foreign country pursuant to the provisions of Article 28, paragraph (1) of the Act, a business handling personal information in the financial sector is to do so in writing, in principle, and have the identifiable person understand the following in advance, in addition to the matters for which information provision is required pursuant to the provisions of Article 17, paragraphs (2) through (4) of the Rules, through the statements in that written document:
① 個人データの提供先の第三者
② 提供先の第三者における利用目的
③ 第三者に提供される個人データの項目
を本人に認識させた上で同意を得ることとする。
(i) The third party to which the personal data is provided
(ii) The purpose of use of the personal data by the third party to which that data is provided
(iii) The details of the personal data it will provide to the third party
本人の同意を得ようとする時点において、①に掲げる事項が特定できない場合には、①に掲げる事項に代わる本人に参考となるべき情報を当該本人に認識させた上で同意を得ることとする。当該情報としては、次に掲げる例が考えられる。
If the matter set forth in (i) cannot be identified at the time of intending to obtain the identifiable person's consent, the consent is to be obtained by having the identifiable person understand information that serves as a reference to the person in lieu of the matter set forth in (i). The following can be considered as an example of such information:
(例)
(Example)
・ 提供先の第三者の範囲や属性に関する情報
・Information on the extent and attributes of the third party to which the personal data is provided
また、金融分野における個人情報取扱事業者があらかじめ作成された同意書面を用いる場合には、文字の大きさ及び文章の表現を変えること等により、外国にある第三者への提供に関する条項が他の個人情報の取扱いに関する条項等と明確に区別され、本人に理解されることが望ましい。
When a business handling personal information in the financial sector uses a consent form prepared in advance, it is desirable that the terms concerning the provision to a third party in a foreign country are indicated in a manner clearly distinguishable from other terms such as those concerning the handling of personal information, etc. by such means as using larger fonts or different expressions so that the content thereof is explicitly understood by the identifiable person.
2 金融分野における個人情報取扱事業者は、法第28条第1項の規定により本人の同意を得ようとする時点において、個人データの提供先の第三者が所在する外国が特定できない場合には、特定できない旨及びその具体的な理由(提供先が定まる前に本人同意を得る必要性を含む。)を情報提供するとともに、外国の名称に代わる本人に参考となるべき情報の提供が可能である場合には、当該情報を提供しなければならない。例えば、本人の同意を得ようとする時点において、移転先となる外国の候補が具体的に定まっており、当該候補となる外国の名称等、外国の名称に代わる本人に参考となるべき情報の提供が可能であるにもかかわらず、これを本人に情報提供しなかった場合は、同条第2項及び施行規則第17条第3項に基づく適法な情報提供とは認められない。したがって、この場合、金融分野における個人情報取扱事業者は、同条第2項から第4項までの規定により情報提供が求められる事項を本人に改めて提供した上で、外国にある第三者への個人データの提供を認める旨の本人の同意を得なければならない。なお、改めて情報提供する際には、前項の規定による情報提供にも留意することとする。
2. If the foreign country where the third party to which the personal data is provided is located cannot be identified at the time of intending to obtain the identifiable person's consent pursuant to the provisions of Article 28, paragraph (1) of the Act, a business handling personal information in the financial sector must provide information on the fact that the foreign country cannot be identified and the specific reason therefor (including the necessity to obtain the identifiable person's consent before the third party to which the personal data is provided is decided), and if it is possible to provide information that serves as a reference to the person in lieu of the name of the foreign country, that information. For example, if, at the time of intending to obtain the identifiable person's consent, a candidate foreign country for relocation has been specifically decided and it is possible to provide information that serves as a reference to the person in lieu of the name of the foreign country, such as the name of the candidate foreign country, but the business fails to provide this information to the identifiable person, it is not regarded as the lawful provision of information under Article 28, paragraph (2) of the Act and Article 17, paragraph (3) of the Rules. Therefore, in this case, the business handling personal information in the financial sector must obtain the identifiable person's consent to the effect that the person approves the provision of personal data to a third party in a foreign country after once again providing the identifiable person with information on the matters for which provision of information is required pursuant to the provisions of paragraphs (2) through (4) of the same Article. When providing information once again, consideration should also be given to the provision of information under the provisions of the preceding paragraph.
金融分野における個人情報取扱事業者は、事後的に提供先の第三者が所在する外国を特定できた場合には、本人の求めに応じて、施行規則第17条第2項第1号及び第2号に掲げる事項について情報を提供することとする。また、事後的に提供先の第三者が講ずる個人情報の保護のための措置についての情報提供が可能となった場合には、本人の求めに応じて、同項第3号に掲げる事項について情報を提供することとする。このような情報提供の求めが可能である旨を前項に定める書面における記載を通じて本人に認識させるとともに、第20条に定める「個人情報保護宣言」に記載の上インターネットのホームページへの常時掲載又は事務所の窓口等での掲示・備付け等により、公表することとする。ただし、本人から情報提供の求めがあった場合であっても、例えば、情報提供することにより金融分野における個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合等は、同項各号に定める情報の全部又は一部について情報提供しないことができる。情報提供しない場合であっても、金融分野における個人情報取扱事業者は、本人に対し、遅滞なくその旨を通知するとともに、その理由を説明することとする(情報提供により個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合の具体例については、外国第三者提供ガイドライン6-2-2(提供すべき情報)参照)。
If a business handling personal information in the financial sector is able to identify the foreign country where the third party to which the personal data is provided is located ex-post facto, it is to provide information on the matters set forth in Article 17, paragraph (2), items (i) and (ii) of the Rules at the request of the identifiable person. If it becomes possible to provide information on the measures the third party takes for the protection of personal information, ex-post facto, the business is to provide information on the matters set forth in item (iii) of the same paragraph at the request of the identifiable person. The business is to have the identifiable person understand, through the statements in the written document specified in the preceding paragraph, the fact that it is possible to request such provision of information, and also state this fact in the "pronouncement concerning the protection of personal information" as specified in Article 20 and constantly post it on the business's website or post or keep it at a business office counter, etc.; provided, however, that it is possible not to provide all or part of the information specified in the items of the same paragraph, even with a request from the identifiable person for provision of information, if, for example, the provision of information is likely to seriously interfere with the proper implementation of the business of the business handling personal information in the financial sector. Even in the case of not providing information, the business handling personal information in the financial sector is to notify the identifiable person of that fact without delay and explain the reason therefor to the person (for concrete examples of cases in which the provision of information is likely to seriously interfere with the proper implementation of the business of the business handling personal information, see 6-2-2 (Information to Be Provided) of the Guidelines on Provision to a Third Party in a Foreign Country).
3 金融分野における個人情報取扱事業者は、個人データの取扱いについて法第4章第2節の規定により個人情報取扱事業者が講ずべき措置に相当する措置(以下「相当措置」という。)を継続的に講ずるために必要なものとして施行規則第16条に定める基準に適合する体制を整備していることを根拠として外国にある第三者に個人データを提供する場合には、当該提供の時点で、当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及び内容、当該制度がある場合においては、当該第三者による相当措置の継続的な実施の確保の可否を、適切かつ合理的な方法により、確認しなければならない。相当措置の実施に影響を及ぼすおそれのある制度としては、次に掲げる例が考えられる。
3. When a business handling personal information in the financial sector provides personal data to a third party in a foreign country on a basis that the third party has established a system that conforms to standards specified by Article 16 of the Rules as necessary for continuously taking measures equivalent to those that a business handling personal information must take concerning the handling of personal data pursuant to the provisions of Chapter IV, Section 2 of the Act (hereinafter referred to as "equivalent measures"), it must check by an appropriate and reasonable method, at the time of the provision, whether the foreign country has a system that may affect the implementation of the equivalent measures by the third party and the content of the system if any, and if there is such system, whether it is possible to secure continuous implementation of the equivalent measures by the third party. The following can be considered as examples of systems that may affect the implementation of equivalent measures:
(Examples)
・ 事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度
・ A system that enables the government to collect a wide range of information concerning personal information held by the business by imposing an obligation on the business to provide extensive cooperation to the government's information collection activity
・ 事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度
・ A system concerning an obligation to preserve personal information within the country, which may hinder the business from responding to a request from the identifiable person to delete, etc. the personal information
その後、当該第三者に個人データを提供した場合に施行規則第18条第1項第1号の規定により当該第三者による相当措置の実施状況を確認する際には、個人データを取り扱う場所に赴く方法又は書面により報告を受ける方法により確認を行うこととする。これらの方法は、外国にある第三者に提供する個人データの規模及び性質並びに個人データの取扱状況等に起因するリスクに応じたものとする。
If the business subsequently provides personal data to the third party and checks the implementation status of the equivalent measures by the third party pursuant to the provisions of Article 18, paragraph (1), item (i) of the Rules, the business is to check the implementation status by visiting the place where personal data is handled or by receiving a report in writing. These methods are to be those corresponding to risks arising from the scale and nature of the personal data provided to the third party in a foreign country and the handling status of the personal data, etc.
また、金融分野における個人情報取扱事業者は、法第28条第3項及び施行規則第18条に基づき、本人の求めに応じて事後的に情報を提供する旨を第20条に定める「個人情報保護宣言」に記載の上インターネットのホームページへの常時掲載又は事務所の窓口等での掲示・備付け等により、公表することとする。
Based on Article 28, paragraph (3) of the Act and Article 18 of the Rules, a business handling personal information in the financial sector is to state that it will provide information ex-post facto at the request of the identifiable person in the "pronouncement concerning the protection of personal information" as specified in Article 20 and constantly post it on the business's website or post or keep it at a business office counter, etc.
4 金融分野における個人情報取扱事業者は、前2項の定めるところにより、外国にある第三者に個人データを提供した場合には、提供先の第三者が所在する外国(第2項の場合においては、事後的に提供先の第三者が所在する外国が特定できた場合の当該外国)の名称をインターネットのホームページへの掲載等により、公表するとともに、定期的に更新することが望ましい。
4. If a business handling personal information in the financial sector provides personal data to a third party in a foreign country pursuant to the provisions of the preceding two paragraphs, it is desirable for the business to disclose to the public the name of the foreign country in which the third party to which the personal data is provided is located (in the case referred to in paragraph 2, the foreign country which could be identified ex-post facto as the country where the third party to which the personal data is provided is located) by posting it on its website, etc. and regularly update it.
第14条 個人関連情報の第三者提供の制限等(法第31条関係)
Article 14 Restrictions on the Provision of Information Related to Personal Information to Third Parties (Re: Article 31 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the relevant matters except the following:
1 金融分野における個人情報取扱事業者は、個人関連情報取扱事業者から法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得するに当たり、同項第1号の本人の同意を得る(提供元の個人関連情報取扱事業者に同意取得を代行させる場合を含む。)際には、原則として、書面によることとし、当該書面における記載を通じて、
1. When obtaining an identifiable person's consent under Article 31, paragraph (1), item (i) of the Act upon acquiring information related to personal information as personal data under Article 31, paragraph (1) of the Act from a business handling information related to personal information (including the case of having the business handling information related to personal information providing the personal information obtain the consent on its behalf), a business handling personal information in the financial sector is to do so in writing, in principle, and have the identifiable person understand the following through the statements in that written document in advance:
① 対象となる個人関連情報の項目
(i) The details of the relevant information related to personal information
② 個人関連情報の提供を受けて個人データとして取得した後の利用目的
を本人に認識させた上で同意を得ることとする。
(ii) The purpose of use after acquiring information related to personal information as personal data
なお、金融分野における個人情報取扱事業者は、個人関連情報の提供を受けて本人が識別される個人データとして取得した場合には、法第21条に従い、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならないとされていることに留意する。
It should be noted that, unless the purpose of use has already been disclosed to the public, a business handling personal information in the financial sector must promptly notify the identifiable person of that purpose of use or disclose this to the public, pursuant to Article 21 of the Act, once it has acquired information related to personal information as personal data that can identify the person.
2 金融分野における個人関連情報取扱事業者は、法第31条第2項において読み替えて準用する法第28条第3項に従い、外国にある第三者による相当措置の実施状況を定期的に確認する際には、個人データの内容や規模等に応じて個人データを取り扱う場所に赴く方法又は書面により報告を受ける方法によることとする。
2. When regularly checking the implementation status of the equivalent measures by a third party in a foreign country in accordance with Article 28, paragraph (3) of the Act as applied mutatis mutandis pursuant to Article 31, paragraph (2) of the Act following the deemed replacement of terms, a business handling personal information in the financial sector is to do so by visiting the place where personal data is handled or by receiving a report in writing according to the content and scale, etc. of the personal data.
第15条 保有個人データに関する事項の公表等(法第32条関係)
Article 15 Disclosure of Information about the Personal Data a Business Holds (Re: Article 32 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the relevant matters except the following:
金融分野における個人情報取扱事業者が、法第32条に従い、保有個人データに関する事項を本人の知り得る状態に置く際には、自らの金融商品の販売方法等の事業の態様に応じて適切な方法による必要があり、継続的に公表を行う方法として、例えば、第20条に定める「個人情報保護宣言」と一体としてインターネットのホームページでの常時掲載を行うこと(保有個人データに関する事項が示された画面に1回程度の操作で遷移するよう設定したリンクを「個人情報保護宣言」に継続的に掲載することを含む。第18条第1項において同じ。)、又は事務所の窓口等での常時掲示・備付けを行うこと等が考えられる。
When a business handling personal information in the financial sector makes the information about the personal data it holds accessible to an identifiable person pursuant to the provisions of Article 32 of the Act, the business needs to employ appropriate methods depending on the sales method of its financial instruments or other mode of business. Possible methods for public disclosure on a continuous basis include constantly posting them on its website together with the "pronouncement concerning the protection of personal information" as specified in Article 20 (including continuously posting in the "pronouncement concerning the protection of personal information" a link that is set to move to a screen indicating the information about the personal data it holds with approximately a single operation; the same applies in Article 18, paragraph (1)), or constantly posting or keeping them at a business office counter, etc.
第16条 開示(法第33条関係)
Article 16 Disclosure (Re: Article 33 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the relevant matters except the following:
法第33条第2項第2号の場合の例としては、通則ガイドライン3-8-2(保有個人データの開示)に掲げている場合以外に、次に掲げる場合が考えられる。
The following can be considered as examples of the cases referred to in Article 33, paragraph (2), item (ii) of the Act, in addition to the cases set forth in 3-8-2 (Disclosure of the Personal Data a Business Holds) of the General Rules Guidelines:
(例)
(Examples)
・ 与信審査内容等の個人情報取扱事業者が付加した情報の開示請求を受けた場合
・A case in which disclosure of information added by the business handling personal information, such as the contents of the credit examination, has been requested
・ 保有個人データを開示することにより評価・試験等の適正な実施が妨げられる場
合
・A case in which disclosure of the personal data a business holds may hinder proper assessment or testing, etc.
・ 企業秘密の保護の必要性が、本人が個人情報取扱事業者における保有個人データの取扱い等を把握する必要性を上回る特別の事情がある場合
・A case in which there is a special circumstance where the necessity of protecting a trade secret exceeds the necessity for the identifiable person to identify the handling of the personal data the business holds by the business handling personal informationなお、開示すべき保有個人データの量が多いことのみでは法第33条第2項第2号の場合に該当しない。
A case does not fall under the case specified in Article 33, paragraph (2), item (ii) of the Act merely by a reason that the personal data a business holds which should be disclosed is large in volume.
第17条 理由の説明(法第36条関係)
Article 17 Explanation of Reasons (Re: Article 36 of the Act)
金融分野における個人情報取扱事業者は、法第36条に従い、法第32条第3項、第33条第3項(同条第5項において準用する場合を含む。)、第34条第3項又は第35条第7項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合において、本人に対しその理由を説明する際には、措置をとらないこととし、又は異なる措置をとることとした判断の根拠及び根拠となる事実を示すこととする。
If, pursuant to the provisions of Article 32, paragraph (3), Article 33, paragraph (3) (including as applied mutatis mutandis pursuant to paragraph (5) of that Article), Article 34, paragraph (3), or Article 35, paragraph (7) of the Act, a business handling personal information in the financial sector notifies an identifiable person that it will not take all or part of the measures which the person has requested the business take, or that it will take different measures, and explains its reasons for this to the person, in accordance with Article 36 of the Act, the business is to present to the identifiable person the grounds for deciding not to take the measures or to take different measures and the facts to support those grounds.
第18条 開示等の請求等に応じる手続(法第37条関係)
Article 18 Procedures for Dealing with Requests for Disclosure and Other Handling (Re: Article 37 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the relevant matters except the following:
1 金融分野における個人情報取扱事業者は、法第37条に従い、開示等の請求等を受け付ける方法を定めた場合には、第20条に定める「個人情報保護宣言」と一体としてインターネットのホームページでの常時掲載を行うこと、又は事務所の窓口等での掲示・備付け等を行うこととする。
1. When a business handling personal information in the financial sector has decided on a method of receiving a request for disclosure or other handling pursuant to the provisions of Article 37 of the Act, the business is to constantly post that method on its website together with the "pronouncement concerning the protection of personal information" as specified in Article 20, or constantly post or keep it at a business office counter, etc.
2 法第37条第1項及び施行令第12条第3号に基づき、開示等の請求等をする者が本人又は施行令第13条に定める代理人であることの確認の方法を定めるに当たっては、十分かつ適切な確認手続とするよう留意することとする。
2. Based on Article 37, paragraph (1) of the Act and Article 12, item (iii) of the Order, when a business handling personal information in the financial sector determines a method of verifying that a person who makes a request for disclosure or other handling is the identifiable person or an agent specified in Article 13 of the Order, the business is to give consideration to ensuring that sufficient and appropriate verification procedures are achieved.
なお、施行令第13条第2号の代理人による開示等の請求等に対して、事業者が本人にのみ直接開示等することは妨げられない。
A business is not precluded from disclosing the relevant personal data directly only to the identifiable person in response to a request for disclosure or other handling made by an agent referred to in Article 13, item (ii) of the Order.
第19条 個人情報取扱事業者による苦情の処理(法第40条関係)
Article 19 Complaint Processing by Businesses Handling Personal Information (Re: Article 40 of the Act)
以下の事項の他は通則ガイドラインの例による。
The General Rules Guidelines govern the relevant matters except the following:
法第40条第2項に定める必要な体制の整備の例としては、通則ガイドライン3-9(個人情報の取扱いに関する苦情処理)に掲げているもの以外に、苦情処理に当たる従業者への十分な教育・研修が考えられる。
Provision of sufficient education and training to employees engaged in complaint processing is one of the examples of the establishment of the necessary systems specified in Article 40, paragraph (2) of the Act, in addition to what is set forth in 3-9 (Processing of Complaints Concerning Handling of Personal Information) of the General Rules Guidelines.
第20条 個人情報保護宣言の策定(法第21条及び第32条並びに基本方針関係)
Article 20 Formulation of the Pronouncement Concerning the Protection of Personal Information (Re: Articles 21 and 32 of the Act and the Basic Policy)
1 金融分野における個人情報取扱事業者は、個人情報に対する取組方針を、あらかじめ分かりやすく説明することの重要性に鑑み、事業者の個人情報保護に関する考え方及び方針に関する宣言(いわゆるプライバシーポリシー、プライバシーステートメント等。本ガイドラインにおいて「個人情報保護宣言」という。)を策定し、例えば、次に掲げる内容をインターネットのホームページへの常時掲載又は事務所の窓口等での掲示・備付け等により、公表することとする。
1. In consideration of the significance of explaining policies related to personal information in advance in an easy-to-understand manner, a business handling personal information in the financial sector is to formulate the pronouncement concerning its ideas and policies concerning the protection of personal information (so-called privacy policy or privacy statement, etc.; referred to as the "pronouncement concerning the protection of personal information" in the present Guidelines) and disclose the following matters to the public by such means as constantly posting them on its website or constantly posting or keeping them at a business office counter, etc.:
① 関係法令等の遵守、個人情報を目的外に利用しないこと及び苦情処理に適切に取り組むこと等、個人情報保護への取組方針の宣言
(i) Pronouncement of policies concerning the protection of personal information, such as the compliance with related laws and regulations, prohibition of use of personal information for any purpose other than the purpose of use, and proper processing of complaints
② 法第21条における個人情報の利用目的の通知・公表等の手続についての分かりやすい説明
(ii) Simple explanation of procedures for notification and public disclosure of the purpose of use of personal information under Article 21 of the Act
③ 法第32条における開示等の手続等、個人情報の取扱いに関する諸手続についての分かりやすい説明
(iii) Simple explanation of procedures for disclosure, etc. under Article 32 of the Act or other various procedures for handling of personal information
④ 個人情報の取扱いに関する質問及び苦情処理の窓口
(iv) Contact information on offices processing inquiries and complaints concerning handling of personal information
2 個人情報保護宣言には、本人の権利利益保護の観点から、事業活動の特性、規模及び実態に応じて、次に掲げる点を考慮した記述をできるだけ盛り込むことが望ましい。
2. It is desirable that the pronouncement concerning the protection of personal information incorporates as many descriptions as possible in consideration of the following points, depending on the characteristics, scale and actual status of business activities, from the perspective of protecting rights and interests of an identifiable person:
① 保有個人データについて本人から求めがあった場合には、ダイレクトメールの発送停止など、自主的に利用停止等に応じること。
(i) When an identifiable person makes a request, the business will suspend sending of direct email or otherwise voluntarily suspend the use of the personal data it holds.
② 委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進めること。
(ii) The business endeavors to increase transparency regarding the entrustment processing, such as clarifying whether it entrusts any business and the content of the entrusted business if any.
③ 事業者がその事業内容を勘案して顧客の種類ごとに利用目的を限定して示したり、事業者が本人の選択による利用目的の限定に自主的に取り組むなど、本人にとって利用目的がより明確になるようにすること。
(iii) The business devises means to clarify the purpose of use for the identifiable person, through efforts such as presenting limited purpose of use separately by the type of customers in consideration of the business contents or voluntarily endeavoring to limit the purpose of use based on each choice by the identifiable person.
④ 個人情報の取得元又はその取得方法(取得源の種類等)を可能な限り具体的に明記すること。
(iv) The business is to indicate sources and methods of acquiring personal information (types of information sources, etc.) as concretely as possible.
3 個人情報保護宣言は、本人がこれを適切に理解した上で自らの判断により選択の機会を行使することができるような表示等により構成するのが望ましく、そのための工夫として次に掲げる例が考えられる。
3. It is desirable to construct the pronouncement concerning the protection of personal information by displaying it in a manner that enables the identifiable person to appropriately understand it and exercise an opportunity to make a selection by the person's own decision. The following can be considered as examples of creative ideas for such purpose:
(例)
(Examples)
・ 階層構造(要点を複数の項目にまとめ各項目を選択すると詳細な内容が見られる構造をいう。)による表示
・ Display using a hierarchical structure (meaning a structure wherein key points are summarized into multiple items, and the details can be viewed by selecting each item)
・ アイコン、イラスト、動画等の視覚的ツールの活用
・ Use of visual tools, such as icons, illustrations, and videos
・ ポップアップによる同意取得
・ Obtainment of a consent through a pop-up screen
第21条 ガイドラインの見直し
Article 21 Review of the Guidelines
個人情報の保護についての考え方は、社会情勢の変化、国民の認識の変化、技術の進歩、国際動向等に応じて変わり得るものであり、本ガイドラインは、法の施行後の状況等諸環境の変化を踏まえて、必要に応じ見直しを行うものとする。
Basic concepts on the protection of personal information can change in tandem with changes in social conditions or people's awareness, advancement of technology and international trends. Therefore, the present Guidelines are to be reviewed as necessary in light of changes in circumstances after the enforcement of the Act.