金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針
Practical Guidelines on Security Control Measures Under the Guidelines for Protection of Personal Information in the Finance Sector
金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針
Practical Guidelines on Security Control Measures Under the Guidelines for Protection of Personal Information in the Finance Sector
金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針
Practical Guidelines on Security Control Measures Under the Guidelines for Protection of Personal Information in the Finance Sector
平成29年2月
February 2017
個人情報保護委員会
Personal Information Protection Commission
金融庁
Financial Services Agency
金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針
Practical Guidelines on Security Control Measures Under the Guidelines for Protection of Personal Information in the Finance Sector
目次
Table of Contents
I.金融分野における個人情報保護に関するガイドライン第8条に定める安全管理措置の実施について
I. Implementation of Security Control Measures Specified in Article 8 of the Guidelines for Protection of Personal Information in the Finance Sector
(1)個人データの安全管理に係る基本方針・取扱規程等の整備
(1) Development of Basic Policies for Security Control of Personal Data and Handling Rules for Security Control of Personal Data
1-1 個人データの安全管理に係る基本方針の整備
1-1 Development of Basic Policies for Security Control of Personal Data
1-2 個人データの安全管理に係る取扱規程の整備
1-2 Development of Rules for Handling Personal Data Pertaining to Security Control Thereof
1-3 個人データの取扱状況の点検及び監査に係る規程の整備
1-3 Development of Rules for Inspection and Audit of Handling Status of Personal Data
1-4 外部委託に係る規程の整備
1-4 Development of Rules for Outsourcing
(2)個人データの安全管理措置に係る実施体制の整備
(2) Development of Implementation Systems for Security Control Measures for Personal Data
1)実施体制の整備に関する組織的安全管理措置
1) Institutional Security Control Measures for the Development of Implementation Systems
2-1 個人データ管理責任者等の設置
2-1Appointment of a Person Responsible for the Management of Personal Data;
2-2 就業規則等における安全管理措置の整備
2-2 Development of Security Control Measures in Rules of Employment
2-3 個人データの安全管理に係る取扱規程に従った運用
2-3 Operation in Line with the Handling Rules for Security Control of Personal Data
2-4 個人データの取扱状況を確認できる手段の整備
2-4 Development of Means to Check the Handling Status of Personal Data
2-5 個人データの取扱状況の点検及び監査体制の整備と実施
2-5 Development and Implementation of a System for Inspection and Audit of the Handling Status of Personal Data
2-6 漏えい事案等に対応する体制の整備
2-6 Development of Systems for Responding to Information Leakage or Other Incidents
2)実施体制の整備に関する人的安全管理措置
2) Personnel Security Control Measures for the Development of Implementation Systems
3-1 従業者との個人データの非開示契約等の締結
3-1 Conclusion of a Non-Disclosure Contract Concerning Personal Data With Employees
3-2 従業者の役割・責任等の明確化
3-2 Clarification of Roles and Responsibilities of Employees
3-3 従業者への安全管理措置の周知徹底、教育及び訓練
3-3 on Thorough Dissemination of Security Control Measures to Employees and Their and Education and Training
3-4 従業者による個人データ管理手続の遵守状況の確認
3-4 Checking Employee Compliance with the Personal Data Management Procedures
3)実施体制の整備に関する技術的安全管理措置
3) Technological Security Control Measures for the Development of Implementation Systems
4-1 個人データの利用者の識別及び認証
4-1 Identification and Authentication of Personal Data Users
4-2 個人データの管理区分の設定及びアクセス制御
4-2 Setting of Management Categories of Personal Data and Access Control Thereof
4-3 個人データへのアクセス権限の管理
4-3 Management of Authority to Access Personal Data
4-4 個人データの漏えい・毀損等防止策
4-4 Measures to Prevent the Leak and Damage of Personal Data
4-5 個人データへのアクセスの記録及び分析
4-5 Recording and Analysis of Access to Personal Data
4-6 個人データを取り扱う情報システムの稼動状況の記録及び分析
4-6 Recording and Analysis of Operation of the Information System Handling Personal Data
4-7 個人データを取り扱う情報システムの監視及び監査
4-7 Monitoring and Audit of the Information System Handling Personal Data
Ⅱ.金融分野における個人情報保護に関するガイドライン第9条に定める「従業者の監督」について
II. "Supervision of Employees" Specified in Article 9 of the Guidelines for Protection of Personal Information in the Finance Sector
Ⅲ.金融分野における個人情報保護に関するガイドライン第10条に定める「委託先の監督」について
III. "Supervision over Outsourcee" Specified in Article 10 of the Guidelines for Protection of Personal Information in the Finance Sector
5-1・5-2 個人データ保護に関する委託先選定の基準
5-1·5-2 Criteria for Selecting Outsourcee for the Protection of Personal Data
5-3・5-4 委託契約において盛り込むべき安全管理に関する内容
5-3·5-4 Terms and Conditions Concerning Security Control to be Included in Outsourcing Contracts
(別添1)金融分野における個人情報保護に関するガイドライン第8条第5項(2)に定める各管理段階における安全管理に係る取扱規程について
(Attachment 1) Rules for Handling Security Control at Each Stage in the Management Process Specified in Article 8, paragraph 5 (2) of the Guidelines for Protection of Personal Information in the Finance Sector
6-1 取得・入力段階における取扱規程
6-1 Handling Rules at the Stage of Acquisition and Input Data
6-2 利用・加工段階における取扱規程
6-2 Handling Rules at the Stage of Use and Processing of Data
6-3 保管・保存段階における取扱規程
6-3 Handling Rules at the Stage of Storage and Retention of Data
6-4 移送・送信段階における取扱規程
6-4 Handling Rules at the Stage of Transfer and Sending of Data
6-5 消去・廃棄段階における取扱規程
6-5 Handling Rules at the Stage of Deletion and Disposal of Data
6-6 漏えい事案等への対応の段階における取扱規程
6-6 Handling Rules at the Time of Responding to Information Leakage or Other Incidents
(別添2)金融分野における個人情報保護に関するガイドライン第5条に定める「機微(センシティブ)情報」(生体認証情報を含む。)の取扱いについて
(Attachment 2) Handling of "Sensitive Information" (Including Biometric Information) Specified in Article 5 of the Guidelines for Protection of Personal Information in the Finance Sector
7-1・7-2
7-1, 7-2
(別添3)金融分野における個人情報保護に関するガイドライン第2条第4項に規定する個人信用情報機関における会員管理について
(Attachment 3) Management of Members at a Personal Credit Data Institution Specified in Article 2, Paragraph 4 of the Guidelines for Protection of Personal Information in the Finance Sector
8-1 資格審査
8-1 Eligibility Examination
8-2 モニタリング
8-2 Monitoring of Access to Personal Credit Data
8-3 不適正使用に対する処分
8-3 Disposition Against Improper Use
8-4 外部監査
8-4 External Audits
I.金融分野における個人情報保護に関するガイドライン第8条に定める安全管理措置の実施について
I. Implementation of Security Control Measures Specified in Article 8 of the Guidelines for Protection of Personal Information in the Finance Sector
(1)個人データの安全管理に係る基本方針・取扱規程等の整備
(1) Development of Basic Policies for Security Control of Personal Data and Handling Rules for Security Control of Personal Data
(個人データの安全管理に係る基本方針の整備)
(Development of Basic Policies for Security Control of Personal Data)
1-1 金融分野における個人情報保護に関するガイドライン(平成29年個人情報保護委員会・金融庁告示第1号。以下「金融分野ガイドライン」という。)第1条第1項に規定する金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第5項(1)①に基づき、次に掲げる事項を定めた個人データの安全管理に係る基本方針を策定し、当該基本方針を公表するとともに、必要に応じて基本方針の見直しを行わなければならない。
1-1 A personal information handling business operator in the financial sector provided in Article 1, paragraph 1 of the Guidelines for Protection of Personal Information in the Finance Sector (Notification of the Personal Information Protection Commission, Financial Services Agency No. 1 of 2017; hereinafter referred to as the "Guidelines for the Financial Sector") must formulate basic policies for security control of personal data that provide the following particulars under Article 8, paragraph 5 (1) (i) of the Guidelines for the Financial Sector"), publicize the basic policies, and review the basic policies as necessary:
① 個人情報取扱事業者の名称
(i) the name of the personal information handling business operator;
② 安全管理措置に関する質問及び苦情処理の窓口
(ii) contact information for inquiries and complaints concerning security control measures;
③ 個人データの安全管理に関する宣言
(iii) declaration concerning the security control of personal data;
④ 基本方針の継続的改善の宣言
(iv) declaration of continuous improvement of the basic policies; and
⑤ 関係法令等遵守の宣言
(v) declaration of compliance with related laws and regulations.
(個人データの安全管理に係る取扱規程の整備)
(Development of Rules for Handling Personal Data for Security Control Thereof)
1-2 金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第5項(1)②に規定する「個人データの安全管理に係る取扱規程の整備」として、金融分野ガイドライン第8条第5項(2)に規定する個人データの各管理段階における安全管理に係る取扱規程を整備し、各管理段階ごとに別添1に規定する事項を定めるとともに、必要に応じて規程の見直しを行わなければならない。
1-2 A personal information handling business operator in the financial sector must develop rules for handling personal data pertaining to security control thereof at each stage specified in Article 8, paragraph 5 (2) of the Guidelines for the Financial Sector, in terms of the "Handling rules for security control of personal data" prescribed in Article 8, paragraph 5 (1) (ii) of the Guidelines for the Financial Sector" and provide the particulars prescribed in Attachment 1 for each stage, and review the rules as necessary.
なお、全ての管理段階を同一人が取り扱う小規模事業者等においては、各管理段階ごとに取扱規程を定めることに代えて、全管理段階を通じた安全管理に係る取扱規程において次に掲げる事項を定めることも認められる。
Provided, however, that it is permissible for a small personal information handling business operator, etc., if one person handles personal data at all stages, to provide the following particulars according to the rules for handling personal data pertaining to security control thereof at all stages, instead of establishing rules for handling at each stage:
① 取扱者の役割・責任
(i) roles and responsibilities of the person handling personal data;
② 取扱者の限定
(ii) the number of the person handling personal data is limited; and
③ 各管理段階において個人データの安全管理上必要とされる手続
(iii) procedures necessary for security control of personal data at each stage.
(個人データの取扱状況の点検及び監査に係る規程の整備)
(Development of Rules for Inspection and Audit of the Handling Status of Personal Data)
1-3 金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第5項(1)③に基づき、個人データの取扱状況に関する点検及び監査の規程を整備し、次に掲げる事項を定めるとともに、必要に応じて規程の見直しを行わなければならない。
1-3 A personal information handling business operator in the financial sector must develop rules for inspection and audit of the handling status of personal data under Article 8, paragraph 5 (1) (iii) of the Guidelines for the Financial Sector and provide the following particulars, and review the rules as necessary.
なお、個人データ取扱部署が単一である事業者においては、点検により監査を代替することも認められる。
If the business operator has only one division that handles personal data, it is permissible for the business operator to conduct inspections instead of audits.
① 点検及び監査の目的
(i) Purpose of inspections and audits
② 点検及び監査の実施部署
(ii) Division that conducts inspections and audits
③ 点検責任者及び点検担当者の役割・責任
(iii) Roles and responsibilities of an inspection supervisor and an inspector in charge
④ 監査責任者及び監査担当者の役割・責任
(iv) Roles and responsibilities of an audit supervisor and an auditor in charge
⑤ 点検及び監査に関する手続
(v) Procedures for inspections and audits
(外部委託に係る規程の整備)
(Development of Rules for Outsourcing)
1-4 金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第5項(1)④に基づき、外部委託に係る取扱規程を整備し、次に掲げる事項を定めるとともに、定期的に規程の見直しを行わなければならない。
1-4 A personal information handling business operator in the financial sector must develop rules for handling outsourcing under Article 8, paragraph 5 (1) (iv) of the Guidelines for the Financial Sector and provide the following particulars, and review the rules on a regular basis:
① 委託先の選定基準
(i) criteria for selecting outsourcee; and
② 委託契約に盛り込むべき安全管理に関する内容
(ii) terms and conditions concerning security control to be included in an outsourcing contract.
(2)個人データの安全管理措置に係る実施体制の整備
(2) Development of Implementation Systems for Security Control Measures for Personal Data
1)実施体制の整備に関する組織的安全管理措置
1) Institutional Security Control Measures for the Development of Implementation Systems
金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第6項に基づき、個人データの安全管理措置に係る実施体制の整備における「組織的安全管理措置」として、次に掲げる措置を講じなければならない。
A personal information handling business operator in the financial sector must take the following measures as the "institutional security control measures" in terms of the development of implementation systems for security control measures for personal data under Article 8, paragraph 6 of the Guidelines for the Financial Sector:
① 個人データの管理責任者等の設置
(i) appointment of a person responsible for the management of personal data, etc.;
② 就業規則等における安全管理措置の整備
(ii) development of security control measures in rules of employment, etc.;
③ 個人データの安全管理に係る取扱規程に従った運用
(iii) operation in compliance with the rules for handling personal data pertaining to the security control thereof;
④ 個人データの取扱状況を確認できる手段の整備
(iv) development of means to check the handling status of personal data;
⑤ 個人データの取扱状況の点検及び監査体制の整備と実施
(v) development and implementation of a system for inspection and audit of the handling status of personal data; and
⑥ 漏えい事案等に対応する体制の整備
(vi) development of systems for responding to information leakage incidents, etc.
(個人データ管理責任者等の設置)
(Appointment of a Person Responsible for the Management of Personal Data)
2-1金融分野における個人情報取扱事業者は、「個人データの管理責任者等の設置」として次に掲げる役職者を設置しなければならない。
2-1 A personal information handling business operator in the financial sector must appoint the following executives with respect to the "appointment of a person responsible for the management of personal data, etc.":
① 個人データの安全管理に係る業務遂行の総責任者である個人データ管理責任者
(i) a person responsible for the management of personal data who supervises the execution of operations of security control of personal data; and
② 個人データを取り扱う各部署における個人データ管理者
(ii) a person managing personal data of each division that handles personal data.
なお、個人データ取扱部署が単一である事業者においては、個人データ管理責任者が個人データ管理者を兼務することも認められる。個人データ管理責任者は、株式会社組織であれば取締役又は執行役等の業務執行に責任を有する者でなければならない。
Provided, however, that if the business operator has only one division that handles personal data, it is permissible for a person responsible for the management of personal data to concurrently work as a person managing personal data. In an organizational structure of a stock company, a person responsible for the management of personal data must be a person responsible for the execution of business, such as a director or executive officer.
(注)金融分野における個人情報取扱事業者は、「個人データの管理責任者等の設置」として、個人データの取扱いの点検・改善等の監督を行う部署又は合議制の委員会を設置することが望ましい。
(Note) It is desirable that a personal information handling business operator in the financial sector establishes a division or committee with a council system that supervises the inspection, improvement, etc. of the personal data being handled with regard to the "appointment of a person responsible for the management of personal data, etc.".
2-1-1 金融分野における個人情報取扱事業者は、2-1①に規定する個人データ管理責任者に、次に掲げる業務を所管させなければならない。
2-1-1 A personal information handling business operator in the financial sector must have a person responsible for the management of personal data specified in 2-1 (i) supervise the following operations:
① 個人データの安全管理に関する規程及び委託先の選定基準の承認及び周知
(i) approval of rules for security control of personal data and criteria for selecting outsourcee and inform all the relevant persons of the rules and criteria;
② 個人データ管理者及び4-1に規定する「本人確認に関する情報」の管理者の任命
(ii) appointment of a person managing personal data and a person managing "identity verification information" specified in 4-1;
③ 個人データ管理者からの報告徴収及び助言・指導
(iii) collection of reports from a person managing personal data and provision of advice and guidance thereto;
④ 個人データの安全管理に関する教育・研修の企画
(iv) planning of education and training regarding security control of personal data; and
⑤ その他個人情報取扱事業者全体における個人データの安全管理に関すること
(v) other particulars relating to security control of personal data at the personal information handling business operators as a whole.
2-1-2 金融分野における個人情報取扱事業者は、2-1②に規定する個人データ管理者に、次に掲げる業務を所管させなければならない。
2-1-2 A personal information handing business operator in the financial sector must have a person managing personal data specified in 2-1 (ii) supervise the following operations:
① 個人データの取扱者の指定及び変更等の管理
(i) management of the designation and change, etc. of a person handling personal data;
② 個人データの利用申請の承認及び記録等の管理
(ii) management of the approval of requests to use of personal data and the records thereof, etc.;
③ 個人データを取り扱う保管媒体の設置場所の指定及び変更等
(iii) designation and change, etc. of the place where a data storage medium for handling personal data is installed;
④ 個人データの管理区分及び権限についての設定及び変更の管理
(iv) management of the setting up of and changes in the personal data management categories and rights to access;
⑤ 個人データの取扱状況の把握
(v) understanding of the handling status of personal data;
⑥ 委託先における個人データの取扱状況等の監督
(vi) supervising the handling status of personal data at outsourcee;
⑦ 個人データの安全管理に関する教育・研修の実施
(vii) providing education and training regarding the security control of personal data;
⑧ 個人データ管理責任者に対する報告
(viii) reporting to a person responsible for the management of personal data; and
⑨ その他所管部署における個人データの安全管理に関すること
(ix) other particulars relating to security control of personal data at a division that supervises the operations.
(就業規則等における安全管理措置の整備)
(Development of Security Control Measures in Rules of Employment)
2-2 金融分野における個人情報取扱事業者は、「就業規則等における安全管理措置の整備」として、次に掲げる事項を就業規則等に定めるとともに、従業者との個人データの非開示契約等の締結を行わなければならない。
2-2 A personal information handling business operator in the financial sector must provide the following particular in its rules of employment, etc. in terms of the "development of security measures in rules of employment, etc." and have its employees sign a non-disclosure agreement concerning personal data, etc.:
① 個人データの取扱いに関する従業者の役割・責任
(i) roles and responsibilities of employees concerning handling of personal data; and
② 違反時の懲戒処分
(ii) disciplinary action for violations.
(個人データの安全管理に係る取扱規程に従った運用)
(Operation in Compliance with the Rules for Handling Personal Data Pertaining to Security Control Thereof)
2-3 金融分野における個人情報取扱事業者は、「個人データの安全管理に係る取扱規程に従った運用」として、個人データの安全管理に係る取扱規程に従った体制を整備し、当該取扱規程に従った運用を行うとともに、取扱規程に規定する事項の遵守状況の記録及び確認を行わなければならない。
2-3 A personal information handling business operator in the financial sector must develop systems in compliance with the rules for handling personal data pertaining to the security control thereof in terms of the "operation in compliance with the rules for handling personal data pertaining to the security control thereof", and operate the systems in compliance with the rules for handling personal data, and record and assess the compliance with the particulars provided in the rules for handling personal data.
(個人データの取扱状況を確認できる手段の整備)
(Development of Means to Check the Handling Status of Personal Data)
2-4 金融分野における個人情報取扱事業者は、「個人データの取扱状況を確認できる手段の整備」として、次に掲げる事項を含む台帳等を整備しなければならない。
2-4 A personal information handling business operator in the financial sector must develop a ledger, etc. including the following particulars in terms of the "development of means to check the handling status of personal data":
① 取得項目
(i) items to acquire;
② 利用目的
(ii) utilization purpose;
③ 保管場所・保管方法・保管期限
(iii) data storage places, storage methods, and storage limitation
④ 管理部署
(iv) division managing the personal data; and
⑤ アクセス制御の状況
(v) control of access to personal data.
(個人データの取扱状況の点検及び監査体制の整備と実施)
(Development and Implementation of a System for Inspection and Audit of the Handling Status of Personal Data)
2-5 金融分野における個人情報取扱事業者は、「個人データの取扱状況の点検及び監査体制の整備と実施」として、個人データを取り扱う部署が自ら行う点検体制を整備し、点検を実施するとともに、当該部署以外の者による監査体制を整備し、監査を実施しなければならない。
2-5 A personal information handling business operator in the financial sector must develop a system for the division handling personal data to conduct inspections by itself in terms of the "development and implementation of a system for inspection and audit of the handling status of personal data" and conduct inspections, develop a system for a person outside that division to conduct audits, and condut audits"
なお、個人データ取扱部署が単一である事業者においては、点検により監査を代替することも認められる。
If such business operator has only one division that handles personal data, it is permissible for the business operator to conduct inspections instead of audits.
2-5-1 金融分野における個人情報取扱事業者は、個人データを取り扱う部署において点検責任者及び点検担当者を選任するとともに、点検計画を策定することにより点検体制を整備し、定期的及び臨時の点検を実施しなければならない。また、点検の実施後において、規程違反事項等を把握したときは、その改善を行わなければならない。
2-5-1 A personal information handling business operator in the financial sector must appointing an inspection supervisor and an inspector in charge in the division handling personal data and develop an inspection system by formulating an inspection plan, and conduct regular and unscheduled inspections. Moreover, if it identifies any violation of rules after the inspection, it must take remedial actions.
2-5-2 金融分野における個人情報取扱事業者は、監査の実施に当たっては、監査対象となる個人データを取り扱う部署以外から監査責任者・監査担当者を選任し、監査主体の独立性を確保するとともに、監査計画を策定することにより監査体制を整備し、定期的及び臨時の監査を実施しなければならない。また、監査の実施後において、規程違反事項等を把握したときは、その改善を行わなければならない。
2-5-2 In conducting audits, a personal information handling business operator in the financial sector must develop an audit system by appoint an audit supervisor and an auditor in charge outside the division handling personal data to be audited, while securing the independence of the auditing body, and formulate an audit plan so as to conduct regular and unscheduled audits. Moreover, if it identifies any violation of rules after the audit, it must take remedial actions.
なお、監査部署が監査業務等により個人データを取り扱う場合には、当該部署における個人データの取扱いについて、個人データ管理責任者が特に任命する者がその監査を実施しなければならない。
In the case where an audit division handles personal data in providing auditing services or the like, a person appointed in a special case by a person responsible for the management of personal data must conduct audit of the handling of personal data at the relevant division.
(注)金融分野における個人情報取扱事業者は、新たなリスクに対応するための、安全管理措置の評価、見直し及び改善に向けて、個人情報保護対策及び最新の技術動向を踏まえた情報セキュリティ対策に十分な知見を有する者による、社内の対応の確認(必要に応じ、外部の知見を有する者を活用し確認させることを含む。)等を実施することが望ましい。
It is desirable for a personal information handling business operator in the financial sector to check whether the measures for risk management are taken within the company to evaluate, review, and improve its security controls measures so as to respond to new risks, by a person having sufficient knowledge of personal data protection measures and information security measures based on the latest trends in technology (including the checking the risk management measures by utilizing a person outside the company having relevant knowledge as necessary).
(漏えい事案等に対応する体制の整備)
(Development of a System for Responding to Information Leakage or Other Incidents)
2-6 金融分野における個人情報取扱事業者は、「漏えい事案等に対応する体制の整備」として、次に掲げる体制を整備しなければならない。
2-6 A personal information handling business operator in the financial sector must develop the following systems in terms of the "development of a system for responding to information leakage or other incidents, etc.":
① 対応部署
(i) a division responding to information leakage incidents;
② 漏えい事案等の影響・原因等に関する調査体制
(ii) a system for examining the impacts, causes, etc. of the information leakage incidents, etc.;
③ 再発防止策・事後対策の検討体制
(iii) a system for reviewing preventive measures and ex-post measures; and
④ 自社内外への報告体制
(iv) a system for reporting internally and to parties outside the company.
2-6-1 金融分野における個人情報取扱事業者は、1-2③又は6-6-1に基づき、自社内外への報告体制を整備するとともに、漏えい事案等が発生した場合には、次に掲げる事項を実施しなければならない。
2-6-1 A personal information handling business operator in the financial sector must develop a system for reporting internally and to parties outside the company based on 1-2 (iii) or 6-6-1 and implement the following particulars if information leakage incident, etc. occurs:
① 監督当局等への報告
(i) report the incident to the supervisory authority, etc.;
② 本人への通知等
(ii) inform the person in question of the incident; and
③ 二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の早急な公表
(iii) disclose the facts concerning the information leakage incident, etc. and preventive measures to the public immediately in light of preventing secondary damage or any similar incidents from occurring.
2)実施体制の整備に関する人的安全管理措置
2) Personnel Security Control Measures for the Development of Implementation Systems
金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第6項に基づき、個人データの安全管理措置に係る実施体制の整備における「人的安全管理措置」として、次に掲げる措置を講じなければならない。
A personal information handling business operator in the financial sector must take the following measures in terms of "personnel security control measures" for the development of implementation systems for security control measures for personal data under Article 8, paragraph 6 of the Guidelines for the Financial Sector:
① 従業者との個人データの非開示契約等の締結
(i) conclusion of a non-disclosure contract concerning personal data with emplyees;
② 従業者の役割・責任等の明確化
(ii) clarification of roles and responsibilities of employees;
③ 従業者への安全管理措置の周知徹底、教育及び訓練
(iii) thorough dissemination of security control measures to employeesand education and training; and
④ 従業者による個人データ管理手続の遵守状況の確認
(iv) checking of employeees' compliance with predetermined personal data management procedures.
(従業者との個人データの非開示契約等の締結)
(Conclusion of of a Non-Disclosure Contract Concerning Personal Data with Employees)
3-1 金融分野における個人情報取扱事業者は、「従業者との個人データの非開示契約等の締結」として、採用時等に従業者と個人データの非開示契約等を締結するとともに、非開示契約等に違反した場合の懲戒処分を定めた就業規則等を整備しなければならない。
3-1 A personal information handling business operator in the financial sector must have its employees sign a non-disclosure contract concerning personal data, etc. in terms of " conclusion of a non-disclosure contract concerning personal data with employees" when recruiting an employee, etc. and develop rules of employment, etc. specifying disciplinary actions in the case of violation of the non-disclosure contract , etc.
(従業者の役割・責任等の明確化)
(Clarification of Roles and Responsibilities of Employees)
3-2 金融分野における個人情報取扱事業者は、「従業者の役割・責任等の明確化」として、次に掲げる措置を講じなければならない。
3-2 A personal information handling business operator in the financial sector must take the following measures in terms of "clarification of roles and responsibilities of employees":
① 各管理段階における個人データの取扱いに関する従業者の役割・責任の明確化
(i) clarification of roles and responsibilities of employees concerning the handling of personal data at each stage;
② 個人データの管理区分及びアクセス権限の設定
(ii) setting up management categories of personal data and rights to access;
③違反時の懲戒処分を定めた就業規則等の整備
(iii) development of rules of employment, etc. prescribing disciplinary actions in the case of violation; and
④ 必要に応じた規程等の見直し
(iv) review of rules, etc. as necessary.
(従業者への安全管理措置の周知徹底、教育及び訓練)
(Thorough dissemination of Security Control Measures to Employees and Education and Training)
3-3 金融分野における個人情報取扱事業者は、「従業者への安全管理措置の周知徹底、教育及び訓練」として、次に掲げる措置を講じなければならない。
3-3 A personal information handling business operator in the financial sector must take the following measures in terms of " thorough dissemination of security control measures, to employees and their education and training ":
① 従業者に対する採用時の教育及び定期的な教育・訓練
(i) providing education to its employees when recruiting them and regular education and trainingfor the employees;
② 個人データ管理責任者及び個人データ管理者に対する教育・訓練
(ii) providing education and training to a person responsible for the management of personal data and persons managing personal data;
③ 個人データの安全管理に係る就業規則等に違反した場合の懲戒処分の周知
(iii) informing all employees of disciplinary actions in the case of violation of rules of employment for security control of personal data, etc.; and
④ 従業者に対する教育・訓練の評価及び定期的な見直し
(iv) evaluation and regular review of education and training of employees.
(従業者による個人データ管理手続の遵守状況の確認)
(Checking of Employees' Compliance with Predetermined Personal Data Management Procedures)
3-4 金融分野における個人情報取扱事業者は、「従業者による個人データ管理手続の遵守状況の確認」として、1-2の個人データの安全管理に係る取扱規程に定めた事項の遵守状況について、2-3に基づく記録及び確認を行うとともに、2-5に基づき点検及び監査を実施しなければならない。
3-4 A personal information handling business operator in the financial sector must record and check whether the employees comply with the particulars specified in the rules for handling personal data pertaining to the security control thereof referred to in 1-2 based on the requirements referred to in 2-3, in terms of "checking of employees' compliance with predeterminated personal data management procedures" and conduct inspection and audit based on the requirements referred to in 2-5.
3)実施体制の整備に関する技術的安全管理措置
3) Technological Security Control Measures for the Development of Implementation Systems
金融分野における個人情報取扱事業者は、金融分野ガイドライン第8条第6項に基づき、個人データの安全管理措置に係る実施体制の整備における「技術的安全管理措置」として、次に掲げる措置を講じなければならない。
A personal information handling business operator in the financial sector must take the following measures in terms of "technological security control measures" for the development of implementation systems for security controls measures for personal data under Article 8, paragraph 6 of the Guidelines for the Financial Sector:
① 個人データの利用者の識別及び認証
(i) identification and authentication of personal data users;
② 個人データの管理区分の設定及びアクセス制御
(ii) setting of management categories of personal data and access control;
③ 個人データへのアクセス権限の管理
(iii) management of authority to access personal data;
④ 個人データの漏えい・毀損等防止策
(iv) measures to prevent against the leak, and damage, etc. of personal data;
⑤ 個人データへのアクセスの記録及び分析
(v) recording and analysis of access to personal data;
⑥ 個人データを取り扱う情報システムの稼動状況の記録及び分析
(vi) recording and analysis of operation of the information system handling personal data;
⑦ 個人データを取り扱う情報システムの監視及び監査
(vii) monitoring and audit of the information system handling personal data.
(個人データの利用者の識別及び認証)
(Identification and Authentication of Personal Data Users)
4-1 金融分野における個人情報取扱事業者は、「個人データの利用者の識別及び認証」として、次に掲げる措置を講じなければならない。
4-1 A personal information handling business operator in the financial sector must take the following measures in terms of "identification and authentication of personal data users":
① 本人確認機能の整備
(i) development of identity verification functions;
② 本人確認に関する情報の不正使用防止機能の整備
(ii) development of functions to prevent unauthorized use of identity verification information; and
③ 本人確認に関する情報が他人に知られないための対策
(iii) measures for keeping identity verification information not disclosed to others.
(個人データの管理区分の設定及びアクセス制御)
(Setting of Management Categories of Personal Data and Access Control)
4-2 金融分野における個人情報取扱事業者は、「個人データの管理区分の設定及びアクセス制御」として、次に掲げる措置を講じなければならない。
4-2 A personal information handling business operator in the financial sector must take the following measures in terms of "setting of management categories of personal data and access control":
① 従業者の役割・責任に応じた管理区分及びアクセス権限の設定
(i) setting up management categories and rights to access according to the roles and responsibilities of its employees;
② 事業者内部における権限外者に対するアクセス制御
(ii) control of access to personal data by unauthorized persons by the business operator; and
③ 外部からの不正アクセスの防止措置
(iii) measures for preventing unauthorized access by outsiders.
4-2-1 金融分野における個人情報取扱事業者は、「外部からの不正アクセスの防止措置」として、次に掲げる措置を講じなければならない。
4-2-1 A personal information handling business operator in the financial sector must take the following measures in terms of "measures for preventing unauthorized access by outsiders":
① アクセス可能な通信経路の限定
(i) limitations on accessible communication channels;
② 外部ネットワークからの不正侵入防止機能の整備
(ii) development of functions to prevent hacking from external networks;
③ 不正アクセスの監視機能の整備
(iii) development of functions to monitor unauthorized access; and
④ ネットワークによるアクセス制御機能の整備
(iv) development of network-based access control functions.
(個人データへのアクセス権限の管理)
(Management of Authority to Access Personal Data)
4-3 金融分野における個人情報取扱事業者は、「個人データへのアクセス権限の管理」として、次に掲げる措置を講じなければならない。
4-3 A personal information handling business operator in the financial sector must take the following measures in terms of "management of authority to access personal data":
① 従業者に対する個人データへのアクセス権限の適切な付与及び見直し
(i) appropriate granting of authority to access personal data to its employees and review thereof;
② 個人データへのアクセス権限を付与する従業者数を必要最小限に限定すること
(ii) authority to access personal data are granted to the minimum number of employees; and
③ 従業者に付与するアクセス権限を必要最小限に限定すること
(iii) rights to access are granted to the minimum number of employees.
(個人データの漏えい・毀損等防止策)
( Mesures to Prevent the Leak and Damage of Personal Data)
4-4 金融分野における個人情報取扱事業者は、「個人データの漏えい・毀損等防止策」として、個人データの保護策を講ずることとともに、障害発生時の技術的対応・復旧手続を整備しなければならない。
4-4 A personal information handling business operator in the financial sector must take measures to protect personal data in terms of " measures to prevent the leak and damage, etc. of personal data" and to improve technical responses and develop recovery procedures when a failure occurs.
4-4-1 金融分野における個人情報取扱事業者は、「個人データの保護策を講ずること」として、次に掲げる措置を講じなければならない。
4-4-1 A personal information handling business operator in the financial sector must take the following measures in terms of "measures to protect personal data":
① 蓄積データの漏えい防止策
(i) preventive measures against the leakage of data at rest;
② 伝送データの漏えい防止策
(ii) preventive measures against the leakage of transmitted data; and
③ コンピュータウイルス等不正プログラムへの防御対策
(iii) protective measures against computer viruses and other malicious programs.
4-4-2 金融分野における個人情報取扱事業者は、「障害発生時の技術的対応・復旧手続の整備」として、次に掲げる措置を講じなければならない。
4-4-2 A personal information handling business operator in the financial sector must take the following measures in terms of "improvement of technical responses and development of recovery procedures when a failure occurs":
① 不正アクセスの発生に備えた対応・復旧手続の整備
(i) improvement of responses and development of recovery procedures to prepare for any unauthorized access which may occur;
② コンピュータウイルス等不正プログラムによる被害時の対策
(ii) measures to be taken when the computer systems are harmed by viruses and other malicious programs; and
③ リカバリ機能の整備
(iii) development of recovery functions.
(個人データへのアクセスの記録及び分析)
(Recording and Analysis of Access to Personal Data)
4-5 金融分野における個人情報取扱事業者は、「個人データへのアクセスの記録及び分析」として、個人データへのアクセスや操作を記録するとともに、当該記録の分析・保存を行わなければならない。また、不正が疑われる異常な記録の存否を定期的に確認しなければならない。
4-5 A personal information handling business operator in the financial sector must record access to and manipulation of personal data in terms of "recording and analysis of access to personal data" and analyze and retain those records. In addition to that, it must also regularly check whether or not the anomalies in records exist which may be suspicious unauthorized access.
(個人データを取り扱う情報システムの稼動状況の記録及び分析)
(Recording and Analysis of Operation of the Information System Handling Personal Data)
4-6 金融分野における個人情報取扱事業者は、「個人データを取り扱う情報システムの稼動状況の記録及び分析」として、個人データを取り扱う情報システムの稼動状況を記録するとともに、当該記録の分析・保存を行わなければならない。
4-6 A personal information handling business operator in the financial sector must record the operation of the information systems for handling personal data in terms of "recording and analysis of operation of the information system handling personal data" and analyze and retain the relevant records.
(個人データを取り扱う情報システムの監視及び監査)
(Monitoring and Audit of the Information System Handling Personal Data)
4-7 金融分野における個人情報取扱事業者は、「個人データを取り扱う情報システムの監視及び監査」として、個人データを取り扱う情報システムの利用状況、個人データへのアクセス状況及び情報システムへの外部からのアクセス状況を4-5及び4-6により監視するとともに、監視システムの動作の定期的な確認等、監視状況についての点検及び監査を行わなければならない。また、セキュリティパッチの適用や情報システム固有の脆弱性の発見・その修正等、ソフトウェアに関する脆弱性対策を行わなければならない。
4-7 A personal information handling business operator in the financial sector must monitor the use of the information systems for handling personal data, access to personal data, and access to the information systems by outsiders based on the requirements referred to in 4-5 and 4-6 and also conduct inspections and audits of monitoring, for example, checking the operations of the monitoring system regularly in terms of "monitoring and audit of the information system handling personal data." Moreover, it must take preventive measures for software vulnerabilities, including applying security patches and finding, and fixing vulnerabilities unique to the information system.
Ⅱ.金融分野における個人情報保護に関するガイドライン第9条に定める「従業者の監督」について
II. "Supervision over Employees" Specified in Article 9 of the Guidelines for Protection of Personal Information in the Finance Sector
金融分野における個人情報取扱事業者は、金融分野ガイドライン第9条に基づき、「Ⅰ.(2)2)実施体制の整備に関する人的安全管理措置」に規定する措置を講ずることにより、従業者に対し「必要かつ適切な監督」を行わなければならない。
A personal information handling business operator in the financial sector must conduct a "necessary and appropriate supervision" over its employees by taking measures provided in "I.(2) 2) Personnel Security Control Measures for the Development of Implementation Systems."
Ⅲ.金融分野における個人情報保護に関するガイドライン第10条に定める「委託先の監督」について
III. "Supervision over Outsourcee" Specified in Article 10 of the Guidelines for Protection of Personal Information in the Finance Sector
金融分野における個人情報取扱事業者は、金融分野ガイドライン第10条第3項に基づき、個人データを適正に取り扱っていると認められる者を選定し、個人データの取扱いを委託するとともに、委託先における当該個人データに対する安全管理措置の実施を確保しなければならない。
A personal information handling business operator in the financial sector must select an entity party that is found to be properly handling personal data, and outsource the handling of personal data thereto, and secure the implementation of security control measures for the personal data at the outsourcee, pursuant to the provisions of Article 10, paragraph 3 of the Guidelines for the Financial Sector.
(個人データ保護に関する委託先選定の基準)
(Criteria for Selecting Outsourcee for Protection of Personal Data)
5-1 金融分野における個人情報取扱事業者は、個人データの取扱いを委託する場合には、金融分野ガイドライン第10条第3項①に基づき、次に掲げる事項を委託先選定の基準として定め、当該基準に従って委託先を選定するとともに、当該基準を定期的に見直さなければならない。
5-1 If a personal information handling business operator in the financial sector outsources the handling of personal data, it must provide the following particulars as the criteria for selecting outsourcee based on the requirements referred to in Article 10, paragraph 3 (i) of the Guidelines for the Financial Sector, and select an outsourcee in accordance with the relevant criteria and must review the criteria on a regular basis:
① 委託先における個人データの安全管理に係る基本方針・取扱規程等の整備
(i) development of basic policies for security control of personal data and handling rules for security control of personal data at outsourcees;
② 委託先における個人データの安全管理に係る実施体制の整備
(ii) development of systems for security control of personal data at outsourcee;
③ 実績等に基づく委託先の個人データ安全管理上の信用度
(iii) credibility of outsourcee in terms of security control of personal data based on its security controls to date, etc.; and
④ 委託先の経営の健全性
(iv) management soundness of outsourcee.
5-1-1 委託先選定の基準においては、「委託先における個人データの安全管理に係る基本方針・取扱規程等の整備」として、次に掲げる事項を定めなければならない。
5-1-1 Criteria for selecting outsourcee must provide the following particulars in terms of the" development of basic policies for security control of personal data and handling rules for security control of personal data at outsourcee":
① 委託先における個人データの安全管理に係る基本方針の整備
(i) development of basic policies for security control of personal data at outsourcee;
② 委託先における個人データの安全管理に係る取扱規程の整備
(ii) development of rules for handling personal data pertaining to the security control thereof at outsourcee;
③ 委託先における個人データの取扱状況の点検及び監査に係る規程の整備
(iii) development of rules for inspection and audit of the handling status of personal data at outsourcees; and
④ 委託先における外部委託に係る規程の整備
(iv) development of rules for sub-outsourcing by outsourcee.
5-1-2 委託先選定の基準においては、「委託先における個人データの安全管理に係る実施体制の整備」として、Ⅰ.(2)1)の組織的安全管理措置、同2)の人的安全管理措置及び同3)の技術的安全管理措置に記載された事項を定めるとともに、委託先から再委託する場合の再委託先の個人データの安全管理に係る実施体制の整備状況に係る基準を定めなければならない。
5-1-2 Criteria for selecting outsourcee must provide the particulars prescribed in institutional security measures referred to in I. (2) 1), personnel security control measures referred to in I. (2) 2), and technological security control measures referred to in I. (2) 3) in terms of "development of systems for security control of personal data at outsourcee" and establish criteria for the development of systems for security control of personal data at sub-outsourcee in the case of sub-outsourcing by outsourcee.
5-2 金融分野における個人情報取扱事業者は、5-3に基づき、委託契約後に委託先選定の基準に定める事項の委託先における遵守状況を定期的又は随時に確認するとともに、委託先が当該基準を満たしていない場合には、委託先が当該基準を満たすよう監督しなければならない。
5-2 A personal information handling business operator in the financial sector must check whether outsourcee complies with the particulars provided in the criteria for selecting outsourcee regularly or as needed based on the requirements referred to in 5-3 after signing the outsourcing contract, and if the outsourcee does not meet those criteria, the business operator must supervise the outsourcee so as to meet the relevant criteria.
(委託契約において盛り込むべき安全管理に関する内容)
(Terms and Conditions Concerning Security Control to Be Included in Outsourcing Contracts)
5-3 金融分野における個人情報取扱事業者は、委託契約において、次に掲げる安全管理に関する事項を盛り込まなければならない。
5-3 A personal information handling business operator in the financial sector must include the following particulars concerning security control in an outsourcing contract:
① 委託者の監督・監査・報告徴収に関する権限
(i) authority to conduct supervision and audit of the outsourcee and to collect reports therefrom;
② 委託先における個人データの漏えい、盗用、改ざん及び目的外利用の禁止
(ii) prohibition on leaking, stealing, altering, and using personal data for unintended purposes by the outsourcee;
③ 再委託における条件
(iii) requirements concerning sub-outsourcing; and
④ 漏えい事案等が発生した際の委託先の責任
(iv) responsibility of the outsourcee if information leakage incident, etc. occurs
(注)
(Notes)
・金融分野における個人情報取扱事業者は、「再委託における条件」として、再委託の可否及び再委託を行うに当たっての委託元への文書による事前報告又は承認等を、委託契約に盛り込むことが望ましい。
· It is desirable for a personal information handling business operator in the financial sector to include whether or not a sub-outsourcing is permitted and advance notice or authorization in writing from the requesting party, etc. as the "requirements concerning sub-outsourcing" in an outsourcing contract.
・金融分野における個人情報取扱事業者は、委託先において個人データを取り扱う者の氏名・役職又は部署名を、委託契約に盛り込むことが望ましい。
· It is desirable for a personal information handling business operator in the financial sector to include the name and the title or name of the division of a person handling personal data at an outsourcee in an outsourcing contract.
5-4 金融分野における個人情報取扱事業者は、5-3に基づき、定期的に監査を行う等により、定期的又は随時に委託先における委託契約上の安全管理措置等の遵守状況を確認するとともに、当該契約内容が遵守されていない場合には、委託先が当該契約内容を遵守するよう監督しなければならない。また、金融分野における個人情報取扱事業者は、定期的に委託契約に盛り込む安全管理措置を見直さなければならない。
5-4 A personal information handling business operator in the financial sector must check whether outsourcee complies with the security control measures, etc. included in the outsourcing contract, regularly or as needed, by conducting audits regularly, etc. based on the requirements referred to in 5-3. Moreover, if the outsourcee does not comply with the terms and conditions of the contract, the requesting party must supervise the outsourcee so as to comply with the terms and conditions of the contract. A personal information handling business operator in the financial sector must also review the security control measures included in an outsourcing contract regularly.
(別添1)金融分野における個人情報保護に関するガイドライン第8条第5項(2)に定める各管理段階における安全管理に係る取扱規程について
(Attachment 1) Handling Rules for Security Control at Each Stage Specified in Article 8, paragraph 5(2) of the Guidelines for Protection of Personal Information in the Finance Sector
金融分野における個人情報取扱事業者は、1-2に基づき、各管理段階ごとの安全管理に係る取扱規程において、6-1から6-6-1までの事項を定めなければならない。
A personal information handling business operator in the financial sector must provide the particulars referred to in 6-1 through 6-6-1 under the rules for handling personal data pertaining to security control at each stage based on the requirements referred to in 1-2.
(取得・入力段階における取扱規程)
(Handling Rules at the Stage of Data Acquisition and Input of Data)
6-1 金融分野における個人情報取扱事業者は、取得・入力段階における取扱規程において、次に掲げる事項を定めなければならない。
6-1 A personal information handling business operator in the financial sector must provide the following particulars under the handling rules at the stage of acquisition and input of data:
① 取得・入力に関する取扱者の役割・責任
(i) roles and responsibilities of a person handling personal data acquires and inputs data;
② 取得・入力に関する取扱者の限定
(ii) limited number of persons handling personal data acquires and inputs data;
③ 取得・入力の対象となる個人データの限定
(iii) limitations on personal data to be acquired and inputted;
④ 取得・入力時の照合及び確認手続
(iv) matching and checking procedures for acquiring and inputting personal data;
⑤ 取得・入力の規程外作業に関する申請及び承認手続
(v) requesting and approval procedures for acquiring and inputting data that are not specified in the rules;
⑥ 機器・記録媒体等の管理手続
(vi) management procedures for equipment, recording medium, etc.;
⑦ 個人データへのアクセス制御
(vii) control of access to personal data; and
⑧ 取得・入力状況の記録及び分析
(viii) recording and analysis of the personal data acquisition and input.
(注)金融分野における個人情報取扱事業者は、取得・入力段階における取扱規程について、「個人データへのアクセス制御」として、次に掲げる事項を定めることが望ましい。
(Note) It is desirable for a personal information handling business operator in the financial sector to provide the following particulars under the handling rules at the stage acquisition and input of data in terms of "control of access to personal data."
① 入館(室)者による不正行為の防止のための、業務実施場所及び情報システム等の設置場所の入退館(室)管理の実施
(i) managing persons entering and leaving the place where operations are conducted and the building (rooms) where information systems, etc. are installed in order to prevent a person who enters such place from committing an improper act
(例)入退館(室)の記録の保存
(e.g.) Retention of the record of persons entering and leaving the building (room)
② 盗難等の防止のための措置
(ii) preventive measures for theft, etc.
(例)カメラによる撮影や作業への立会い等による記録又はモニタリングの実施
(e.g.) recording or monitoring persons by filming or photographing with a camera, or by attending the operations, etc.
(例)記録機能を持つ媒体の持込み・持出し禁止又は検査の実施
(e.g.) prohibiting persons from physically transferring a medium with a recording function to or from the building (room) or conducting inspections
③ 不正な操作を防ぐための、個人データを取り扱う端末に付与する機能の、業務上の必要性に基づく限定
(iii) limitations on functions added to a terminal equipment for handling personal data based on the necessity for operations to prevent unauthorized manipulation thereof
(例)スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応
(e.g.) limited connection to equipment with a recording function, including smartphones and computers, and replacement of equipment with the new one
(利用・加工段階における取扱規程)
(Handling Rules at the Stage of Use and Processing of Data)
6-2 金融分野における個人情報取扱事業者は、利用・加工段階における取扱規程において、組織的安全管理措置及び技術的安全管理措置を定めなければならない。
6-2 A personal information handling business operator in the financial sector must provide institutional security control measures and technological security control measures under the handling rules at the stage of use and processing of data.
6-2-1 利用・加工段階における取扱規程に関する組織的安全管理措置は、次に掲げる事項を含まなければならない。
6-2-1 Institutional security control measures concerning the handling rules at the stage of use and processing of data must include the following particulars:
① 利用・加工に関する取扱者の役割・責任
(i) roles and responsibilities of a person handling personal who uses and processes the data;
② 利用・加工に関する取扱者の限定
(ii) limited number of persons handling personal data uses and processes the data;
③ 利用・加工の対象となる個人データの限定
(iii) limitations on personal data to be used and processed;
④ 利用・加工時の照合及び確認手続
(iv) matching and checking procedures for using and processing personal data;
⑤ 利用・加工の規程外作業に関する申請及び承認手続
(v) request and approval procedures for using and processing personal data that are not specified in the rules;
⑥ 機器・記録媒体等の管理手続
(vi) management procedures for equipment, recording medium, etc.;
⑦ 個人データへのアクセス制御
(vii) control of access to personal data;
⑧ 個人データの管理区域外への持出しに関する上乗せ措置
(viii) additional measures against physically transferring personal data outside the controlled area; and
⑨ 利用・加工状況の記録及び分析
(ix) recording and analysis of the personal data being used and processed.
(注)金融分野における個人情報取扱事業者は、利用・加工段階における取扱規程について、「個人データへのアクセス制御」として、次に掲げる事項を定めることが望ましい。
(Note) It is desirable for a personal information handling business operator in the financial sector to provide the following particulars concerning the handling rules at the stage of use and processing of data in terms of "control of access to personal data."
① 入館(室)者による不正行為の防止のための、業務実施場所及び情報システム等の設置場所の入退館(室)管理の実施
(i) managing persons entering and leaving the place where operations are conducted and the place where information systems, etc. are installed in order to prevent a person who enters such place from committing an improper act
(例)入退館(室)の記録の保存
(e.g.) Retention of the record of persons entering and leaving the building (rooms)
② 盗難等の防止のための措置
(ii) preventive measures for theft, etc.
(例)カメラによる撮影や作業への立会い等による記録又はモニタリングの実施
(e.g.) recording or monitoring persons by filming or photographing with a camera, or by attending the operations, etc.
(例)記録機能を持つ媒体の持込み・持出し禁止又は検査の実施
(e.g.) prohibiting persons from physically transferring a medium with a recording function to or from the building (room) or conducting inspections
③ 不正な操作を防ぐための、個人データを取り扱う端末に付与する機能の、業務上の必要性に基づく限定
(iii) limitations on functions added to a terminal equipment for handling personal data based on the necessity for operations in order to prevent unauthorized manipulation thereof
(例)スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応
(e.g.) limited connection to equipment with a recording function, including smartphones and computers, and replacement of equipment with the new one
6-2-1-1 「個人データの管理区域外への持出しに関する上乗せ措置」は、次に掲げる事項を含まなければならない。
6-2-1-1 "Additional measures against physically transferring personal data outside the controlled area" must include the following particulars:
① 個人データの管理区域外への持出しに関する取扱者の役割・責任
(i) roles and responsibilities of a person handling personal data which may be physically transferred outside the controlled area;
② 個人データの管理区域外への持出しに関する取扱者の必要最小限の限定
(ii) the minimum number of persons required to handle personal data that physically transfer personal data outside the controlled area;
③ 個人データの管理区域外への持出しの対象となる個人データの必要最小限の限定
(iii) the minimum number of personal data that is physically transferred outside the controlled area;
④ 個人データの管理区域外への持出し時の照合及び確認手続
(iv) matching and checking procedures for physically transferring personal data outside the controlled area;
⑤ 個人データの管理区域外への持出しに関する申請及び承認手続
(v) request and approval procedures for physically transferring personal data outside the controlled area;
⑥ 機器・記録媒体等の管理手続
(vi) management procedures for equipment, recording medium, etc.; and
⑦ 個人データの管理区域外への持出し状況の記録及び分析
(vii) recording and analysis of the personal data physically transferred outside the controlled area.
6-2-2 利用・加工段階における取扱規程に関する技術的安全管理措置は、次に掲げる事項を含まなければならない。
6-2-2 Technological security control measures concerning the handling rules at the stage of use and processing of data must include the following particulars:
① 個人データの利用者の識別及び認証
(i) identification and authentication of personal data users;
② 個人データの管理区分の設定及びアクセス制御
(ii) setting of management categories of personal data and access control;
③ 個人データへのアクセス権限の管理
(iii) management of authority to access personal data;
④ 個人データの漏えい・毀損等防止策
(iv) measures to prevent the leak and damage, etc. of personal data;
⑤ 個人データへのアクセス記録及び分析
(v) recording and analysis of access to personal data; and
⑥ 個人データを取り扱う情報システムの稼動状況の記録及び分析
(vi) recording and analysis of operation of the information system handling personal data.
(保管・保存段階における取扱規程)
(Handling Rules at the Stage of Storage and Retention of Data)
6-3 金融分野における個人情報取扱事業者は、保管・保存段階における取扱規程において、組織的安全管理措置及び技術的安全管理措置を定めなければならない。
6-3 A personal information handling business operator in the financial sector must establish institutional security control measures and technological security control measures under the handling rules at the stage of storage and retention of data.
6-3-1 保管・保存段階における取扱規程に関する組織的安全管理措置は、次に掲げる事項を含まなければならない。
6-3-1 Institutional security control measures concerning the handling rules at the stage of storage and retention of data must include the following particulars:
① 保管・保存に関する取扱者の役割・責任
(i) roles and responsibilities of a person handling personal data which are stored and retained
② 保管・保存に関する取扱者の限定
(ii) limited number of persons handling personal data stores and retains the data
③ 保管・保存の対象となる個人データの限定
(iii) limited number of personal data to be stored and retained
④ 保管・保存の規程外作業に関する申請及び承認手続
(iv) request and approval procedures for data storage and retention that are not specified in the rules
⑤ 機器・記録媒体等の管理手続
(v) management procedures for equipment, recording medium, etc.
⑥ 個人データへのアクセス制御
(vi) control of access to personal data
⑦ 保管・保存状況の記録及び分析
(vii) recording and analysis of the data storage and retention
⑧ 保管・保存に関する障害発生時の対応・復旧手続
(viii) response to a failure occurred in data storage and retention and recovery procedures.
(注)金融分野における個人情報取扱事業者は、保管・保存段階における取扱規程について、「個人データへのアクセス制御」として、次に掲げる事項を定めることが望ましい。
(Note) It is desirable for a personal information handling business operator in the financial sector to provide the following particulars under the handling rules at the stage of storage and retention of data in terms of "control of access to personal data."
① 入館(室)者による不正行為の防止のための、業務実施場所及び情報システム等の設置場所の入退館(室)管理の実施
(i) managing persons entering and leaving the place where operations are conducted and the place where information systems, etc. are installed in order to prevent a person who enters the building (rooms) from committing an improper act
(例)入退館(室)の記録の保存
(e.g.) retention of the record of persons entering and leaving the building (rooms)
② 盗難等の防止のための措置
(ii) preventive measures for theft, etc.
(例)カメラによる撮影や作業への立会い等による記録又はモニタリングの実施
(e.g.) recording or monitoring persons by filming or photographing with a camera, or by attending the operations, etc.
(例)記録機能を持つ媒体の持込み・持出し禁止又は検査の実施
(e.g.) prohibiting persons from physically transferring a medium with a recording function or conducting inspections
③ 不正な操作を防ぐための、個人データを取り扱う端末に付与する機能の、業務上の必要性に基づく限定
(iii) limitations on functions added to a terminal equipment for handling personal data based on the necessity for operations in order to prevent unauthorized manipulation thereof
(例)スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応
(e.g.) limited connection to equipment with a recording function, including smartphones and computers, and replacement of equipment with the new one
6-3-2 保管・保存段階における取扱規程に関する技術的安全管理措置は、次に掲げる事項を含まなければならない。
6-3-2 Technological security control measures concerning the handling rules at the stage of storage and retention of data must include the following particulars:
① 個人データの利用者の識別及び認証
(i) identification and authentication of personal data users;
② 個人データの管理区分の設定及びアクセス制御
(ii) setting of management categories of personal data and access control;
③ 個人データへのアクセス権限の管理
(iii) management of authority to access personal data;
④ 個人データの漏えい・毀損等防止策
(iv) measures to prevent the leak and damage, etc. of personal data;
⑤ 個人データへのアクセス記録及び分析
(v) recording and analysis of access to personal data; and
⑥ 個人データを取り扱う情報システムの稼動状況の記録及び分析
(vi) recording and analysis of operation of the information system handling personal data.
(移送・送信段階における取扱規程)
(Handling Rules at the Stage of Transfer and Sending of Data)
6-4 金融分野における個人情報取扱事業者は、移送・送信段階における取扱規程において、組織的安全管理措置及び技術的安全管理措置を定めなければならない。
6-4 A personal information handling business operator in the financial sector must provide institutional security control measures and technological security control measures under the handling rules at the stage of transfer and sending of data.
6-4-1 移送・送信段階における取扱規程に関する組織的安全管理措置は、次に掲げる事項を含まなければならない。
Security control measures concerning the handling rules at the stage of transfer and sending of data must include the following particulars:
① 移送・送信に関する取扱者の役割・責任
(i) roles and responsibilities of a person handling personal data related to data transfer and sending;
② 移送・送信に関する取扱者の限定
(ii) limited number of persons handling personal data transfers and sends the data;
③ 移送・送信の対象となる個人データの限定
(iii) limited number of personal data to be transferred and sent;
④ 移送・送信時の照合及び確認手続
(iv) matching and checking procedures for transferring and sending personal data;
⑤ 移送・送信の規程外作業に関する申請及び承認手続
(v) request and approval procedures for transferring and sending personal data that are not specified in the rules;
⑥ 個人データへのアクセス制御
(vi) control of access to personal data;
⑦ 移送・送信状況の記録及び分析
(vii) recording and analysis of the transferred or sent data; and
⑧ 移送・送信に関する障害発生時の対応・復旧手続
(viii) response to a failure occurred in transferred or sent data and recovery procedures.
6-4-2 移送・送信段階における取扱規程に関する技術的安全管理措置は、次に掲げる事項を含まなければならない。
6-4-2 Technological security control measures concerning the handling rules at the data transfer and sending of data must include the following particulars:
① 個人データの利用者の識別及び認証
(i) identification and authentication of personal data users;
② 個人データの管理区分の設定及びアクセス制御
(ii) setting of management categories of personal data and access control;
③ 個人データへのアクセス権限の管理
(iii) management of authority to access personal data;
④ 個人データの漏えい・毀損等防止策
(iv) measures to prevent the leak and damage, etc. of personal data; and
⑤ 個人データへのアクセス記録及び分析
(v) recording and analysis of access to personal data.
(消去・廃棄段階における取扱規程)
(Handling Rules at the Stage of Deletion and Disposal of Data)
6-5 金融分野における個人情報取扱事業者は、消去・廃棄段階における取扱規程において、次に掲げる事項を定めなければならない。
6-5 A personal information handling business operator in the financial sector must provide the following particulars under the handling rules at the stage of deletion and disposal of data:
① 消去・廃棄に関する取扱者の役割・責任
(i) roles and responsibilities of a person handling personal data concerning deletion and disposal of data;
② 消去・廃棄に関する取扱者の限定
(ii) limited number of persons handling personal data who deletes and dispose of the data;
③ 消去・廃棄時の照合及び確認手続
(iii) matching and checking procedures for deletion and disposal of data:
④ 消去・廃棄の規程外作業に関する申請及び承認手続
(iv) request and approval procedures for data deletion and disposal that are not specified in the rules;
⑤ 機器・記録媒体等の管理手続
(v) management procedures for equipment, recording medium, etc.;
⑥ 個人データへのアクセス制御
(vi) control of access to personal data; and
⑦ 消去・廃棄状況の記録及び分析
(vii) recording and analysis of the data deletion and disposal.
(漏えい事案等への対応の段階における取扱規程)
(Rules for Handling Personal Data When Responding to Information Leakage Incidents)
6-6 金融分野における個人情報取扱事業者は、漏えい事案等への対応の段階における取扱規程において、次に掲げる事項を定めなければならない。
6-6 A personal information handling business operator in the financial sector must provide the following particulars under the rules for handling when responding to information leakage incidents, etc.:
① 対応部署の役割・責任
(i) roles and responsibilities of the division responding to data leakage incidents;
② 漏えい事案等への対応に関する取扱者の限定
(ii) limited number of persons handling personal data response to information leakage incidents, etc.;
③ 漏えい事案等への対応の規程外作業に関する申請及び承認手続
(iii) request and approval procedures for responding to information leakage incidents, etc. that are not specified in the rules;
④ 漏えい事案等の影響・原因等に関する調査手続
(iv) procedures for examining the impacts, causes, etc. of information leakage incidents, etc.;
⑤ 再発防止策・事後対策の検討に関する手続
(v) procedure for reviewing preventive measures and ex-post measures;
⑥ 自社内外への報告に関する手続
(vi) procedures for reporting internally and to parties outside the company; and
⑦ 漏えい事案等への対応状況の記録及び分析
(vii) recording and analysis of the responses to information leakage incidents, etc.
6-6-1 自社内外への報告に関する手続は、次に掲げる事項を含まなければならない。
6-6-1 The procedures for reporting internally and to parties outside the company must include the following particulars:
① 監督当局等への報告
(i) report the incident to the supervisory authority, etc.;
② 本人への通知等
(ii) inform the person in question of the incident; and
③ 二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の早急な公表
(iii) disclose the facts concerning information leakage incident, etc. and preventive measures, etc. to the public immediately in light of preventing secondary damage or any similar incidents from occurring.
(別添2)金融分野における個人情報保護に関するガイドライン第5条に定める「機微(センシティブ)情報」(生体認証情報を含む。)の取扱いについて
(Attachment 2) Handling of "Sensitive Information" (Including Biometric Information) Specified in Article 5 of the Guidelines for Protection of Personal Information in the Finance Sector
金融分野における個人情報取扱事業者は、金融分野ガイドライン第5条に基づき、機微(センシティブ)情報について、同条第1項各号に掲げられた場合を除き、取得、利用又は第三者提供を行わず、同条第2項に基づき、同条第1項各号の事由を逸脱した取得、利用又は第三者提供を行うことのないよう、本実務指針Ⅰ~Ⅲに規定する措置に加えて、7-1、7-1-1、7-1-2、7-1-3、7-1-4、7-1-5及び7-2に規定する措置を実施することとする。また、機微(センシティブ)情報に該当する生体認証情報(機械による自動認証に用いられる身体的特徴のうち、非公知の情報。以下同じ。)の取扱いについては、別添2に規定する全ての措置を実施しなければならない。
A personal information handling business operator in the financial sector is not to acquire, use the sensitive information or not to provide it to any third party pursuant to the provisions of Article 5 of the Guidelines for the Financial Sector, except for the cases set forth in the items of paragraph 1 of that Article, and is to implement measures provided in 7-1, 7-1-1, 7-1-2, 7-1-3, 7-1-4, 7-1-5, and 7-2, in addition to the measures provided in I through III of these Practical Guidelines so as to avoid acquisition, use of the sensitive information or provision thereof to a third party going beyond the scope of grounds referred to in the items of paragraph 1 of that Article pursuant to the provisions of paragraph 2 of that Article. Moreover, with regard to handling of biometric information, which falls under the category of sensitive information (information on physical characteristics which the public is not commonly aware of used for automatic authentication by machine;the same applies hereinafter), a personal information handling business operator in the financial sector must implement all the measures provided in Attachment 2.
7-1 金融分野における個人情報取扱事業者は、1-2に規定する「個人データの各管理段階における安全管理に係る取扱規程」において、機微(センシティブ)情報の取扱いについて規程を整備するとともに、情報通信技術の状況等を踏まえ、必要に応じて、当該規程の見直しを行うこととする。
7-1 A personal information handling business operator in the financial sector is to develop rules for handling sensitive information under the "handling rules for security control of personal data at each stage" provided in 1-2 and is to review those rules as necessary in light of the recent trends in information and communications technology, etc.
7-1-1 金融分野における個人情報取扱事業者は、6-1に規定する取得・入力段階における取扱規程において、機微(センシティブ)情報の取扱いについては、6-1に規定する事項に加えて、次に掲げる事項を定めることとする。
7-1-1 With regard to handling of sensitive information, a personal information handling business operator in the financial sector is to provide the following particulars, in addition to the particulars provided in 6-1, under the handling rules at the stage of acquisition and input data specified in 6-1:
① 金融分野ガイドライン第5条第1項各号に定める場合のみによる取得
(i) acquisition of personal data only in the cases specified in the items of Article 5, paragraph 1 of the Guidelines for the Financial Sector;
② 取得・入力を行う取扱者の必要最小限の限定
(ii) minimum number of persons are required to acquire and input personal data; and
③ 取得に際して本人同意が必要である場合における本人同意の取得及び本人への説明事項
(iii) obtaining the consent from the person in question and the explanations given to the person in question if the consent from the person in question is needed for acquiring the personal data.
7-1-1-1 機微(センシティブ)情報に該当する生体認証情報の取扱いは、取得・入力段階における取扱規程において、7-1-1に規定する事項に加えて、次に掲げる事項を含まなければならない。
7-1-1-1 With regard to handling of biometric information, which falls under the category of sensitive information, the handling rules at the stage of acquisition and input of data must include the following particulars, in addition to the particulars provided in 7-1-1:
① なりすましによる登録の防止策
(i) measures to prevent impersonated users from registering their personal information;
② 本人確認に必要な最小限の生体認証情報のみの取得
(ii) acquisition of minimum biometric information needed for the identification of the relevant person; and
③ 生体認証情報の取得後、基となった生体情報の速やかな消去
(iii) the original biological information is deleted immediately after the biometric information has been acquired.
7-1-2 金融分野における個人情報取扱事業者は、6-2に規定する利用・加工段階における取扱規程において、機微(センシティブ)情報の取扱いについては、6-2-1、6-2-1-1及び6-2-2に規定する事項に加えて、次に掲げる事項を定めることとする。
7-1-2 With regard to handling of sensitive information, a personal information handling business operator in the financial sector is to provide the following particulars, under the handling rules at the stage of use and processing of data provided in 6-2, in addition to the particulars provided in 6-2-1, 6-2-1-1, and 6-2-2:
① 金融分野ガイドライン第5条第1項各号に定める目的のみによる利用・加工
(i) personal data is used and processed only for the purposes specified in the items of Article 5, paragraph 1 of the Guidelines for the Financial Sector;
② 利用・加工を行う取扱者の必要最小限の限定
(ii) minimum number of persons are required to use and process personal data;
③ 利用に際して本人同意が必要である場合における本人同意の取得及び本人への説明事項
(iii) obtaining the consent from the person in question and the explanations given to the person in question if the consent from the person in question is needed for using the personal data; and
④ 必要最小限の者に限定したアクセス権限の設定及びアクセス制御の実施
(iv) setting up rights to access which are limited to the minimum number of persons and implementing access control.
7-1-2-1 機微(センシティブ)情報に該当する生体認証情報の取扱いは、利用段階における取扱規程において、7-1-2に規定する事項に加えて、次に掲げる事項を含まなければならない。
7-1-2-1 With regard to handling of biometric information, which falls under the category of sensitive information, the rules for handling at the data usage stage must include the following particulars, in addition to the particulars provided in 7-1-2:
① 偽造された生体認証情報による不正認証の防止措置
(i) preventive measures for authentication with deception by using the forged biometric information;
② 登録された生体認証情報の不正利用の防止措置
(ii) preventive measures for unauthorized use of registered biometric information;
③ 残存する生体認証情報の消去
(iii) deletion of existing biometric information;
④ 認証精度設定等の適切性の確認
(iv) checking the appropriateness of configuration for accuracy of authentication, etc.; and
⑤ 生体認証による本人確認の代替措置における厳格な本人確認手続
(v) strict identification procedure in place of identity verification based on biometric authentication.
7-1-3 金融分野における個人情報取扱事業者は、6-3に規定する保管・保存段階における取扱規程において、機微(センシティブ)情報の取扱いについては、6-3-1及び6-3-2に規定する事項に加えて、次に掲げる事項を定めることとする。
7-1-3 With regard to handling of sensitive information, a personal information handling business operator in the financial sector is to provide the following particulars, in addition to the particulars provided in 6-3-1 and 6-3-2, under the handling rules at the stage of storage and retention of data specified in 6-3:
① 保管・保存を行う取扱者の必要最小限の限定
(i) minimum number of persons are required to store and retain personal data; and
② 必要最小限の者に限定したアクセス権限の設定及びアクセス制御の実施
(ii) setting up rights to access which are limited to the minimum number of persons, and implementing access control.
7-1-3-1 機微(センシティブ)情報に該当する生体認証情報の取扱いは、保管・保存段階における取扱規程において、7-1-3に規定する事項に加えて、保存時における生体認証情報の暗号化を含まなければならないほか、サーバー等における氏名等の個人情報との分別管理を含むこととする。
7-1-3-1 With regard to handling of biometric information, which falls under the category of sensitive information, the handling rules at the stage of storage and retention of data must include encoding of biometric information at the time of its retention, in addition to the particulars provided in 7-1-3, and are to include the fact that such biometric information is managed separately from personal information, such as the names of persons in question, stored in the server, etc.
7-1-4 金融分野における個人情報取扱事業者は、6-4に規定する移送・送信段階における取扱規程において、機微(センシティブ)情報の取扱いについては、6-4-1及び6-4-2に規定する事項に加えて、次に掲げる事項を定めることとする。
7-1-4 With regard to handling of sensitive information, a personal information handling business operator in the financial sector is to provide the following particulars, in addition to the particulars provided in 6-4-1 and 6-4-2, under the rules for handling at the data transfer and sending stages specified in 6-4:
① 金融分野ガイドライン第5条第1項各号に定める目的のみによる移送・送信
(i) sensitive data is transfered and sent only for the purposes specified in the items of Article 5, paragraph 1 of the Guidelines for the Financial Sector; and
② 必要最小限の者に限定したアクセス権限の設定及びアクセス制御の実施
(ii) setting up rights to access that are limited to the minimum number of persons, and implementing access control.
7-1-5 金融分野における個人情報取扱事業者は、6-5に規定する消去・廃棄段階における取扱規程において、機微(センシティブ)情報の取扱いについては、6-5に規定する事項に加えて、消去・廃棄を行う取扱者の必要最小限の限定について定めることとする。
7-1-5 With regard to handling of sensitive information, a personal information handling business operator in the financial sector is to determine the minimum number of persons handling personal data who delete and dispose thereof, in addition to the particulars provided in 6-5, under the handling rules at the stage of deletion and disposal of dataspecified in 6-5.
7-1-5-1 機微(センシティブ)情報に該当する生体認証情報の取扱いは、消去・廃棄段階における取扱規程において、7-1-5に規定する事項に加えて、生体認証情報を本人確認に用いる必要性がなくなった場合は、速やかに保有する生体認証情報を消去することを含まなければならない。
7-1-5-1 With regard to handling of biometric information, which falls under the category of sensitive information, under the handling rules at the stage of deletion and disposal of data must include the immediate deletion of retained biometric information if the biometric information will not be used for identity verification, in addition to the particulars provided in 7-1-5.
7-2 金融分野における個人情報取扱事業者は、2-5-2に規定する監査の実施に当たっては、機微(センシティブ)情報に該当する生体認証情報の取扱いに関し、外部監査を行うとともに、必要に応じて、その他の機微(センシティブ)情報の取扱いについても外部監査を行うこととする。
7-2 In conducting an audit specified in 2-5-2, a personal information handling business operator in the financial sector is to conduct external audit of the handling of biometric information, which falls under the category of sensitive information, and is to conduct external audit of the handling of other sensitive information as necessary.
(別添3)金融分野における個人情報保護に関するガイドライン第2条第4項に規定する個人信用情報機関における会員管理について
(Attachment 3) Management of Members at a Personal Credit Data Institution Specified in Article 2, Paragraph 4 of the Guidelines for Protection of Personal Information in the Finance Sector
個人信用情報機関は、その会員が適正に個人信用情報(信用情報機関に登録される資金需要者の返済能力に関する情報。以下同じ。)を登録・照会し、個人信用情報を返済能力の調査以外の目的のために使用しないことを確保するため、本実務指針Ⅰ.(2)に規定する措置に加え、8-1から8-4までの措置を講ずることとする。
A personal credit data institution is to take measures as specified in 8-1 through 8-4, in addition to the measures provided in I. (2) of these Practical Guidelines, to ensure that its members properly register their personal credit data and make inquiries about it (information on the repayment capacity of persons seeking funds that is registered with the personal credit data institution; the same applies hereinafter) and do not use personal credit data for purposes other than the examination of repayment capacity.
(資格審査)
(Eligibility Examination)
8-1 個人信用情報機関は、入会申込時においては、適正な事業者のみが会員となるよう、あらかじめ定めた入会基準に基づき、厳正に入会審査を行うこととする。
8-1 A personal credit data institution is to conduct a membership examination rigorously based on the predetermined criteria for membership so that only proper business operators may become its members.
(モニタリング)
(Monitoring of Access to Personal Credit Data)
8-2 個人信用情報機関は、入会後においては、会員が入会基準を逸脱し、また返済能力の調査以外の目的のために個人信用情報を使用しないよう、会員による個人信用情報へのアクセスに対する適切かつ継続的なモニタリングを行うこととする。
8-2 After a business operator has become a member, a personal credit data institution is to conduct appropriate and continuous monitoring of the member's access to personal credit data so that the member neither goes beyond the scope of criteria for membership nor uses personal credit data for purposes other than the examination of repayment capacity.
(不適正使用に対する処分)
(Disposition Against Improper Use)
8-3 個人信用情報機関は、個人信用情報の不適正な使用があった場合、あらかじめ定めた会員管理に関する規程に基づき、利用停止、退会その他の処分を実施するとともに再発防止策を講ずることとする。
8-3 If personal credit data is used improperly, a personal credit data institution is to implement a disposition, such as suspension of use thereof, withdrawal from membership, and other disposition under the predetermined membership management rules and is to take preventive measures.
(外部監査)
(External Audits)
8-4 個人信用情報機関は、個人信用情報機関における金融分野ガイドライン及び本実務指針に従った安全管理措置が実施されていることを確認するため、外部監査を受けることとする。
8-4 A personal credit data institution is to undergo an external audit in order to make sure that security control measures have been implemented in accordance with the Guidelines for the Financial Sector and these Practical Guidelines by the personal credit data institution.