Legal X Design

大阪で働く法務パーソンのはなし

どこまでプラポリに書く?安全管理措置

f:id:itotanu:20220306211706p:plain

遅ればせながら、プライバシーポリシーの改定案づくりが佳境を迎えていました。
大きな声では言えませんが、半分「えいやー」ですね。。

今回の改正で新たに記載事項となった、保有個人データの安全管理措置。その書きぶりには、どの企業も頭を悩ませたはずですが、当社の場合は外的環境の把握をどう記載するかを最後まで悩みました。

保有個人データに関する公表事項(改正後32条

4月の個人情報保護法改正により、保有個人データについては、以下の事項を本人の知り得る状態に置くか、本人の求めに応じて遅滞なく回答しなければなりません。もともと規定されていたものが多いですが、今回の改正で追加されたのが下線部分です。

  1. 自社の名称・所在地・代表者氏名
  2. 利用目的
  3. 開示等請求の手続
  4. 講じた安全管理措置
  5. 苦情の申出先
  6. 認定個人情報保護団体の対象事業者であるときは団体の名称と苦情解決の申出先

安全管理措置の具体的な記載例(通則編GL3-8-1(1))

この中で頭を抱えるのが安全管理措置。具体的な記載例として、通則編ガイドラインでは以下の構成が示されています。

  • 基本方針の策定
  • 個人データの取扱いに係る規律の整備
  • 組織的安全管理措置
  • 人的安全管理措置
  • 物理的安全管理措置
  • 技術的安全管理措置
  • 外的環境の把握

先日の記事にも書きましたが、取り扱う情報の性質によって講じる措置は変わるので、プラポリに書けるのは共通部分のみ。通則編ガイドラインのお手本も2行くらいだったりするので、これでは本人の安心につながらないような…*1

legalxdesign.hatenablog.com

外的環境の把握の書き方

これまでの安全管理措置は、外的環境の把握を除く6つを指していましたが、今回の改正で「外的環境の把握」なるものが加わり、これも本人の知り得る状態に置くことが求められるようになります。

「外国の第三者へなんて委託していないし、自社は関係ない」と思いたいところですが、クラウドサーバが大活躍の現在、意図せず外国で個人情報を取り扱っている可能性は大いに考えられます。たとえば、Microsoft365で利用するFormsで収集するデータは、たとえ日本での契約であっても、アメリカのサーバに保存されるように読めます(こちら)。自社グループの個人情報をどこに置いているかをすべて確認するのは、本当に大変な作業でした。

さて、「外的環境の把握」について何を書けばよいのかと、通則編ガイドラインを見てみると事例として以下が記載されています(通則編GL 3-8-1(1))。

 

個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施

1行でいいの?と拍子抜けしますが、次のような注書もついています。

 

本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましい。

忠実に従う企業はどのくらいあるでしょうか…

自社で取り扱う個人データのすべてをひとつの国のサーバに置くわけではないので、この記載例をそのまま書くと誤解を招き、「●●でご提供いただいた個人データは、A国に保管しています」といった説明が必要に思われます。そこまでやるか…?

とりあえず何か書いておけばいい…のか?

この記事を書いている時点で私が見つけた「外的環境の把握」に関するプラポリの記載は以下の3社なのですが、どこも通則編ガイドラインが推奨するようには書いておらず、かなりざっくり。ヤフーさんのみ具体的な国名を明らかにされています。

 

7. 外的環境の把握
  外国の個人情報保護制度等を定期的に確認しています。

 

 外的環境の把握

個人情報を保管している外国における個人情報の保護に関する制度を把握した上で安全管理措置を実施しています。

 

外的環境の把握

以下の国における個人情報の保護に関する制度を把握した上で安全管理措置を実施しています。

当社の何倍も進んでいる企業がこれなんだから、うちもこれでいいですよね。

事業者やサーバの所在国は調べたものの、「これをどうやってプラポリに落とし込むのか!」と頭を抱えた時期もありましたが、忠実にやろうとするとプラポリが巻物みたいに長くなる。。
情報提供が必要なときには、個人情報保護委員会のサイトをご紹介することにしたいと思います。

何度も言いますが、本当にこれ、みんなやるのかな…

*1:通則編ガイドラインには、「本人の適切な理解と関与を促す観点から、事業の規模及び性質、保有個人データの取扱状況等に応じて、上記事例以上に詳細な内容の掲載や回答とすることは、より望ましい対応」と書いていますけどね。。