第3回 ガイドラインとは何なのか？：個人情報保護法を読み解くキーポイント（2/3 ページ）

[牧野二郎（牧野総合法律事務所），ITmedia]

　各種ガイドラインは、おおむね法律の条文の順番に解説がなされ、講ずべき措置について説明をしている。民間の事業者にとって特に重要なのが、民間事業者の義務を定めている個人情報保護法第15条以下の部分である。従って、事業に適用となるガイドラインのうち、15条の解説以下は十分検討しておかなければならない。自らの属する事業分野が判明しないときは、経済産業省のガイドラインを参照するのがよいだろう。

　各省庁の出しているガイドラインには、それぞれ特色もあり、内容には変化がある。その中でも特に注意すべきなのが、個人情報保護法の「肝」ともいうべき部分に該当する個所である。それは、法第20条の安全管理義務をどこまで要求しているのか、何を義務としているか、法第22条の委託先監督方法としてどこまで要求しているか、何をもって監督としているか、といった点である。

　また、これと同様に重要なのが、法律に定められていない課題である。その筆頭が、事故発生時の、主務官庁への通知義務、および利用者への通知義務、一般公衆、事業者に対する公表義務である。ガイドラインによっては公表・通知の義務についての要求などに大きな違いが見られているので、十分な注意が必要である。

ガイドラインの一例

金融分野における個人情報保護に関するガイドライン

第22条　漏えい事業への対応（基本方針関連） 1.金融分野における個人情報取扱事業者は、個人情報の漏えい事案等の事故が発生した場合には、監督当局に直ちに報告することとする。 2.金融分野における個人情報取扱事業者は、個人情報の漏えい事案等の事故が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、漏えい事案等の事実関係及び再発防止策を早急に公表することとする。 3.金融分野における個人情報取扱事業者は、個人情報の漏えい事案等の事故が発生した場合には、漏えい事案等の対象となった本人に速やかに漏えい事案等の事実関係等の通知を行うこととする。

ガイドラインに違反した場合