個人情報保護ガイドライン(第3版)

印刷・グラフィックサービス工業 個人情報保護ガイドライン−第3版−


公益社団法人 東京グラフィックサービス工業会
制定 2004年(平成16年)8月23日 第4回理事会
改訂 2004年(平成16年)11月18日 第5回理事会
改訂 2005年(平成17年)4月5日 第1回理事会

序文

公益社団法人 東京グラフィックサービス工業会は、東京都における印刷・グラフィックサービス工業の事業者団体として個人情報保護の重要性を認識し、印刷・グラフィックサービス工業者の個人情報保護への自主的な取組みを促進・支援するため、その普及・啓発を図るとともに、個人情報保護の強化に取り組む。
この度、個人情報の適切な保護について、事業者が体系的で経営活動全般を統合したマネジメント・システムとしてコンプライアンス・プログラムを策定するための規範として日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項」(JIS Q 15001)及び個人情報の保護に関する法律、経済産業省の経済分野を対象とするガイドラインに従い、公益社団法人 東京グラフィックサービス工業会では、ガイドラインをこれに準拠して制定した。
印刷・グラフィックサービス工業者は、個人情報を含む多種多様な情報を大量に取り扱う者の当然の責務として個人情報の適切な保護に努めなければならないが、そのためには、このガイドラインに準拠したコンプライアンス・プログラムを速やかに策定し、実施し、維持し、及び継続的に改善していくことが必要である。なお、情報サービス事業者は、コンプライアンス・プログラムを策定するに当って、それぞれの事業活動の実態に照らし個人情報との係わりを的確に把握した上で、このガイドラインに規定した事項のほかに必要な項目を追加することができる。
このガイドラインは、印刷・グラフィックサービス工業者の自由かつ公正な競争を阻害したり、法的義務を増大又は変更するために用いられることを意図したものではない。
印刷・グラフィックサービス工業者は、自由な情報流通の確保を前提とした高度情報通信社会の進展に資するため、個人情報の保護の必要性と個人情報の利用面等の有用性を共に認識し、両者を調和させるよう努めなければならない。

個人情報保護に関する要求事項

第1章 総則

(適用範囲)
第1条 このガイドラインは、個人情報の全部若しくは一部を電子計算機などの自動処理システムによって処理している、又は自動処理システムによる処理を行うことを目的として書面などによって処理している、印刷・グラフィックサービス工業者に適用する。印刷・グラフィックサービス工業者は、次の事項を行う際に、このガイドラインを用いることができる。
1. コンプライアンス・プログラムを策定し、実施し、維持し、改善すること
2. 策定したコンプライアンス・プログラムがこのガイドラインに適合していることについて自ら確認し、表明すること
3. 策定したコンプライアンス・プログラムがこのガイドラインに適合していることについてプライバシーマーク制度における付与機関である財団法人日本情報処理開発協会及びプライバシーマーク付与指定機関である公益社団法人 東京グラフィックサービス工業会に確認を求めること

(定義)
第2条 このガイドラインで用いる用語の定義は、次による。
1. 個人情報個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、又は個人別に付けられた番号、記号その他の符号、画像若しくは音声によって当該個人を識別できるもの(当該情報だけでは識別できないが、他の情報と容易に照合することができ、それによって当該個人を識別できるものを含む。)をいう。
2. 情報主体一定の情報によって識別される、又は識別され得る社員を含む個人をいう。
3. 個人データ(1)特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの、及び(2)一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、索引、その他の検索を容易にするためのものを構成する個人情報をいう。
4. 保有個人データ個人情報取扱事業者が、開示、内容の訂正、追加または削除、消去及び第三者への提供を停止を行なうことのできる権限を有する個人データをいう。
5. 印刷・グラフィックサービス工業者印刷・グラフィックサービス工業を営む事業者(法人、その他の団体又は個人)をいう。
6. 個人情報保護管理者印刷・グラフィックサービス工業者の内部において代表者によって指名された者であって、コンプライアンス・プログラムの実施及び運用に関する責任と権限を有する者をいう。
7. 監査責任者印刷・グラフィックサービス工業者の代表者によって指名された者であって、個人情報保護管理者から独立した公平、かつ客観的な立場にあり、監査の実施及び報告を行う権限を有する者をいう。ただし、社外の第三者に監査業務を委託することを妨げない。
8. 受領者個人情報の提供を受ける法人、その他の団体又は個人をいう。
9. 情報主体の同意情報主体が、収集、利用又は提供に関する情報を与えられた上で、自己に関する個人情報の収集、利用又は提供について承諾する意思表示をいう。ただし、情報主体が子ども等の場合は、保護者の同意も得たことをいう。
10. コンプライアンス・プログラム(CP)印刷・グラフィックサービス工業者が自ら保有する個人情報を保護するための方針、組織、計画、実施、監査及び見直しを含むマネジメント・システムをいう。
11. 収集目的個人情報の利用及び提供の範囲を定め、情報主体の同意の対象となるものをいう。
12. 利用印刷・グラフィックサービス工業者が当該事業者内で個人情報を処理することをいう。
13. 提供印刷・グラフィックサービス工業者が当該事業者外のものに自ら保有する個人情報を利用可能にすることをいう。
14. 預託事業者が当該事業者以外のものに情報処理を委託するなどのために自ら保有する個人情報を預けることをいう。

(個人情報保護方針)
第3条 印刷・グラフィックサービス工業の代表者は、次の事項を含む個人情報保護方針を定めるとともに、これを実行し維持しなければならない。また、当該代表者は、この方針を文書化し、役員及び従業員に周知させるとともに一般の人が入手可能な措置を講じなくてはならない。
1. 印刷・グラフィックサービス工業の内容及び規模を考慮した適切な個人情報の収集、利用及び提供に関すること
2. 個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなどの予防並びに是正に関すること
3. 個人情報に関する法令及びその他の規範を遵守すること
4. コンプライアンス・プログラムの継続的改善に関すること

第2章 体制及び責任

(体制)
第4条 印刷・グラフィックサービス工業者は、コンプライアンス・プログラムを効果的に実施するために役割、責任及び権限を定め、文書化し、かつ役員及び従業員に周知しなければならない。
1. 印刷・グラフィックサービス工業者の代表者は、コンプライアンス・プログラムの実施及び管理に不可欠な資源を用意しなければならない。

(個人情報保護管理者、監査責任者、対応窓口の指名)
第5条 印刷・グラフィックサービス工業者の代表者は、このガイドラインの内容を理解し実践する能力のある個人情報保護管理者を当該事業者の内部から指名し、コンプライアンス・プログラムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならない。
1. 印刷・グラフィックサービス工業者の代表者は、このガイドラインの内容を理解し、個人情報保護管理者から独立した公平かつ客観的な立場にある者を監査責任者として指名ないし委託し、コンプライアンス・プログラムの監査に関する責任及び権限を与え、監査を行わせなければならない。
2. 個人情報保護管理者は、個人情報及びコンプライアンス・プログラムに関しての苦情・相談を受け付けて対応する窓口を常設し、この連絡先を情報主体に告知しなければならない。

第3章 計画

(個人情報の特定とリスク調査)
第6条 印刷・グラフィックサービス工業者は、自ら保有するすべての個人情報を特定するための手順を確立し、維持しなければならない。
1. 印刷・グラフィックサービス工業者は、特定した個人情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど)を調査の上、適正な保護措置を講じない場合の影響を認識しなければならない。

(法令及びその他の規範)
第7条 印刷・グラフィックサービス工業者は、個人情報に関する法令及びその他の規範を特定し、参照できる手順を確立し、維持しなければならない。

(内部規程)
第8条 印刷・グラフィックサービス工業者は、個人情報を保護するための内部規程を策定し、維持しなければならない。
1. 前項の内部規程には、次の事項を盛り込まなければならない。
1. 印刷・グラフィックサービス工業者の各部門及び階層における個人情報を保護するための権限及び責任の規定
2. 個人情報の収集、利用、提供及び管理の規定
3. 情報主体からの個人情報に関する開示、訂正及び削除の規定
4. 個人情報保護に関する教育の規定
5. 個人情報保護に関する監査の規定
6. 内部規程の違反に関する罰則の規定
2. 印刷・グラフィックサービス工業者は、事業の内容に応じて、コンプライアンス・プログラムが確実に適用されるように内部規程を改定しなければならない。

(計画書)
第9条 印刷・グラフィックサービス工業者は、個人情報を保護するために必要な教育、監査などの計画を少なくとも年1回立案し、文書化し、かつ維持しなければならない。

第4章 実施及び運用

第1節 節個人情報の利用目的
(利用目的の特定)
第10条 個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(利用目的による制限)
第11条 あらかじめ本人の同意を得ないで、前条 の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

第2節 個人情報の収集に関する措置
(収集の原則)
第12条 個人情報の収集は、収集目的を明確に定め、その目的の達成に必要な限度において行わなければならない。

(収集方法の制限)
第13条 個人情報の収集は、適法、かつ公正な手段によって行わなければならない。

(特定の機微な個人情報の収集の禁止)
第14条 印刷・グラフィックサービス工業者は、次に示す内容を含む個人情報の収集、利用又は提供を行ってはならない。ただし、これらの収集、利用又は提供について、明示的な情報主体の同意、法令に特別の規定がある場合、及び司法手続上必要不可欠である場合は、この限りでない。
1. 思想、信条 及び宗教に関する事項
2. 人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項
3. 勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項
4. 集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項
5. 保健医療及び性生活に関する事項

(情報主体から直接収集する場合の措置)
第15条 印刷・グラフィックサービス工業者は、情報主体から直接に個人情報を収集する場合、情報主体に対して、少なくとも、次に示す事項又はそれと同等以上の内容の事項を書面若しくはこれに代わる方法によって通知し、情報主体の同意を得なければならない。
1. 個人情報に関する問合せ部署名及び連絡先
2. 収集目的
3. 個人情報の提供を行うことが予定される場合には、その目的、当該情報の受領者及び個人情報の取扱いに関する契約の有無
4. 個人情報の預託を行うことが予定される場合には、その旨
5. 情報主体が個人情報を与えることの任意性及び当該情報を与えなかった場合に情報主体に生じる結果
6. 個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場合に訂正又は削除を要求する権利の存在、並びに当該権利を行使するための具体的な方法

(情報主体以外から間接的に収集する場合の措置)
第16条 印刷・グラフィックサービス工業者は、情報主体以外から間接的に個人情報を収集する場合、情報主体に対して、少なくとも、前条 (1)〜(4)、(6)に示す事項を書面又はこれに代わる方法によって通知し、情報主体の同意を得なければならない。ただし、次に示すいずれかに該当する場合は、この限りでない。
1. 情報主体からの個人情報の収集時に、あらかじめ自己への情報の提供を予定している旨前条 (3)に従い情報主体の同意を得ている提供者から収集を行う場合
2. 情報処理を委託するなどのために個人情報を預託される場合
3. 情報主体の保護に値する利益が侵害されるおそれのない収集を行う場合

第3節 個人情報の利用及び提供に関する措置
(利用及び提供の原則)
第17条 個人情報の利用及び提供は、情報主体が同意を与えた収集目的の範囲内で行わなければならない。ただし、次に示すいずれかに該当する場合は、情報主体の同意を必要としない。
1. 法令の規定による場合
2. 情報主体又は公衆の生命、健康、財産などの重大な利益を保護するために必要な場合

(収集目的の範囲外の利用及び提供の場合の措置)
第18条 情報主体が同意を与えた収集目的の範囲外で個人情報の利用及び提供を行う場合は、少なくとも、第15条 (1)〜(4)、(6)に示す事項を書面又はこれに代わる方法によって情報主体に通知し、事前の情報主体の同意の下に行わなければならない。

第4節 個人情報の適正管理義務
(個人情報の正確性の確保)
第19条 個人情報は、収集目的に応じ必要な範囲内において、正確、かつ最新の状態で管理しなければならない。

(個人情報の利用の安全性の確保)
第20条 個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど個人情報に関するリスクに対して、合理的な安全対策を講じなければならない。
1. 組織的安全管理措置
1. 個人データの安全管理措置を講ずるための組織体制の整備
2. 個人データの安全管理措置を定める規程等の整備と規程等に従った運用
3. 個人データの取扱い状況を一覧できる手段の整備
4. 個人データの安全管理措置の評価、見直し及び改善
5. 事故又は違反への対処
2. 人的安全管理措置
 
1. 雇用契約時及び委託契約時における非開示契約の締結
2. 従業者に対する教育・訓練の実施
3. 物理的安全管理措置
 
1. 入退館(室)管理の実施
2. 盗難等の防止
3. 機器・装置等の物理的な保護
4. 技術的安全管理措置
 
1. 個人データへのアクセスにおける識別と認証
2. 個人データへのアクセス制御
3. 個人データへのアクセス権限の管理
4. 個人データのアクセスの記録
5. 個人データを扱う情報システムについての不正ソフトウエア対策
6. 個人データの移送・送信時の対策
7. 個人データを取り扱う情報システムの動作確認時の対策
8. 個人データを取り扱う情報システムの監視

(従業者の監督)
第21条 印刷・グラフィックサービス工業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない

(委託先の監督)
第22条 印刷・グラフィックサービス工業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

(個人情報を預託する場合の措置)
第23条 情報処理を委託するなどのために個人情報を預託する場合は、十分な個人情報の保護水準を満たしている者を選定する基準を確立しなければならない。
1. また契約によって、次に示す内容を規定し、その保護水準を担保しなければならない。
1. 個人情報に関する秘密保持に関する事項
2. 再委託に関する事項
3. 事故時の責任分担に関する事項
4. 契約終了時の個人情報の返却及び消去に関する事項
2. 前項の契約などの書面又はこれに代わる記録は、個人情報の保有期間にわたって保存しなければならない。

第5節 個人情報に関する情報主体の権利
(個人情報に関する権利)
第24条 印刷・グラフィックサービス工業者は、情報主体から自己の情報について開示を求められた場合、合理的な期間内に、これに応じなければならない。また、開示の結果、誤った情報があり、訂正又は削除を求められた場合は、合理的な期間内にこれに応じるとともに、訂正又は削除を行った場合は、可能な範囲内で当該個人情報の受領者に対して通知を行わなければならない。
(個人情報の第三者への提供に関する提供の制限)
第25条 印刷・グラフィックサービス工業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
1. 法令に基づく場合
2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

印刷・グラフィックサービス工業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
1. 第三者への提供を利用目的とすること
2. 第三者に提供される個人データの項目
3. 第三者への提供の手段又は方法
4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

印刷・グラフィックサービス工業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
1. 印刷・グラフィックサービス工業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
2. 合併その他の事由による事業の承継に伴って個人データが提供される場合
3. 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

印刷・グラフィックサービス工業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

(保有個人データに関する事項の公表等)
第26条 印刷・グラフィックサービス工業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
1. 当該個人情報取扱事業者の氏名又は名称
2. 保有個人データの利用目的
3. 前項に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事  項として法令で定めるもの

印刷・グラフィックサービス工業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。

印刷・グラフィックサービス工業者は、前項の規定に基づき求められた保有個人データの利用目的を 通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。 (個人情報の利用又は提供の拒否権)

第27条 印刷・グラフィックサービス工業者は、その保有している個人情報について、情報主体から自己の情報についての利用又は第三者への提供を拒まれた場合、これに応じなければならない。ただし、次に示すいずれかに該当する場合は、この限りでない。
1. 法令の規定による場合
2. 情報主体又は公衆の生命、健康、財産などの重大な利益を保護するために必要な場合

第6節 教育
(教育)
第28条 印刷・グラフィックサービス工業者は、役員及び従業員に、適切な教育を行わなければならない。
印刷・グラフィックサービス工業者は、関連する各部門及び階層においてその従業員に、次の事項を自覚させる手順を確立し維持しなければならない。
1. コンプライアンス・プログラムに適合することの重要性及び利点
2. コンプライアンス・プログラムに適合するための役割及び責任
3. コンプライアンス・プログラムに違反した際に予想される結果

第7節 苦情及び相談
(苦情及び相談)
第29条 印刷・グラフィックサービス工業者は、個人情報及びコンプライアンス・プログラムに関して、情報主体からの苦情及び相談を受け付けて対応しなければならない。

第8節 文書作成及び文書管理
(コンプライアンス・プログラム文書の作成)
第30条 印刷・グラフィックサービス工業者は、書面又はこれに代わる方法で、コンプライアンス・プログラムの基本となる要素を記述しなければならない。

(文書の管理)
第31条 印刷・グラフィックサービス工業者は、このガイドラインが要求するすべての文書を管理しなければならない。

第5章 監査

(監査)
第32条 印刷・グラフィックサービス工業者は、コンプライアンス・プログラムがこのガイドラインの要求事項と合致していること及びその運用状況を定期的に監査しなければならない。
1. 監査責任者は、監査を指揮し、監査報告書を作成し印刷・グラフィックサービス工業者の代表者に報告しなければならない。
2. 印刷・グラフィックサービス工業者は、監査報告書を管理し、保管しなければならない。

第6章 コンプライアンス・プログラムの見直し

(印刷・グラフィックサービス工業者の代表者による見直し)
第33条 印刷・グラフィックサービス工業者の代表者は、監査報告書及びその他の経営環境などに照らして、適切な個人情報の保護を維持するために、少なくとも年1回コンプライアンス・プログラムを見直さなければならない。
また、法令およびその他の規範の改廃があった時は、コンプライアンス・プログラムの見直しを行わなければならない。

第7章 罰則

(罰則)
第34条 印刷・グラフィックサービス工業者は、第8条により策定した内部規程に違反した従業員に対して就業規則に基づき懲戒を行わなければならない。

第8章 改廃

(改廃)
第35条 このガイドラインの改廃は、個人情報保護委員会において行い、公益社団法人 東京グラフィックサービス工業会理事会の承認を得るものとする。
公益社団法人 東京グラフィックサービス工業会
Copyright c 2007 Tokyo Graphic Services Industry Association All rights reseved.