「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」が改正されました。仕事をするうえで、何が変わるのでしょうか？

新製品のプロモーションだけど、ＤＭ用の名簿を名簿業者から購入して、販路を広げたいと思ってるんだ。

いいですね！　あ、でも、個人情報って購入してもいいんでしたっけ？

適法に入手している業者から買うなら大丈夫だろ。

適法に入手しているかどうか、どうやって確かめるんですか？

へ？　長い付き合いだし、特に確かめなくていいだろ。

それはまずいわね。

えり先輩！？

多発する個人情報漏えい事件を受けて、個人情報保護法についての経済産業分野のガイドラインが改正されたのよ。第三者から個人情報を取得する場合には、その情報の取得方法などが適法であるかどうかを確認するよう、明記されたの。たとえば、取得の経緯を示す契約書などの書類を点検するなどね。

確認できない場合は、どうすればいいんですか？

その場合は、不正な手段によって取得された可能性もあるから、取得を自粛することも含め、慎重に対応する必要があるわ。

ちなみに、市販の名簿を購入する場合や、承継、共同利用、委託時などについては、例外となっているんですよね。

他にはどんな点に注意しなければいけないんでしょう？

今回の改正では、委託先等の監督も強化されたわ。最近の個人情報漏えい事件でも、委託先の安全管理措置が不十分だったために情報が不正に持ち出されたり、委託先からさらに再委託・再々委託していることを把握できていなかったり、委託先の管理が不十分だったことが原因の事案も多いの。

監督の強化って、具体的には何をすればいいんですか？

定期的に委託業務の監査を実施することや、委託契約締結の際に、委託先で個人データを取り扱う者の役職、氏名、損害賠償責任を盛り込んでおくことなどね。

なるほど～。

委託先が再委託をするときは、事前報告や承認を求める必要があるわ。もちろん、再委託先がさらに再々委託、再々々…となる場合も同じよ。

ガイドラインでは、サイバー攻撃対策や内部不正対策など、社内の安全管理措置の強化や管理面も改正されているから、担当部署の方は要チェックですよね。

個人情報は、ただの文字情報ではなく、個人の「財産」を預かっている、と考えることが重要よ。そうすれば、どう扱えば適切なのかわかるはずよ。

確かに、出所のあやしいところからお客様の財産を不用意に預かったり、よく知らない再委託先に預けたりしないですもんね。

個人情報を預けるなら、「筋野銀行」へ～♪

はあ？（そこにだけは、絶対預けません！）。

＜個人情報保護ガイドライン　改正のポイント＞
◆第三者からの適正な情報取得の徹底
◆委託先等の監督の強化
◆その他、社内の安全管理措置の強化など