個人情報保護ガイドライン(第2版)解説

印刷・グラフィックサービス工業 個人情報保護ガイドライン−第2版−解説


公益社団法人 東京グラフィックサービス工業会
個人情報保護委員会
2016年5月8日
文書番号 TGP002

公益社団法人 東京グラフィックサービス工業会では、JIS Q15001が2006年5月20日に改定されたことを受け、当会ガイドライン第4版へ改定いたしました。ここでは、改定に係るポイントを簡単に解説します。この「解説」は、あくまでも参考として戴くものであり、正式な解説は、JIS Q15001(2006年版)に規格の解説が掲載されています。また経済産業省のガイドライン及び同ガイドラインに関するQ&A、東京都の個人情報の適正な取り扱いに関する指針を参照なさってください。

なお、ここで用いるPMSは、個人情報保護マネジメントシステムの略です。
「個人情報に関する本人の権利」(25条〜31条)についてのコメントは付しておりませんのでご承知おきください。

【ガイドライン本文と解説】

序文

公益社団法人 東京グラフィックサービス工業会は、東京都における印刷・グラフィックサービス工業の事業者団体として個人情報保護の重要性を認識し、印刷・グラフィックサービス工業者の個人情報保護への自主的な取組みを促進・支援するため、その普及・啓発を図るとともに、個人情報保護の強化に取り組みます。
この度、個人情報の適切な保護について、事業者が体系的で経営活動全般を統合したマネジメントシステムを策定するための規範として日本工業規格「個人情報保護に関するマネジメントシステムの要求事項」(JISQ15001 2006年改定版)及び個人情報の保護に関する法律、経済産業省の経済分野を対象とするガイドライン及び行政手続きにおける特定の個人を識別するための番号の利用に関する(マイナンバー法)、同事業者向けガイドラインに従い、公益社団法人 東京グラフィックサービス工業会では、ガイドラインをこれに準拠して制定しました。
印刷・グラフィックサービス工業者は、個人情報を含む多種多様な情報を大量に取り扱う者の当然の責務として個人情報の適切な保護に努めなければなりませんが、そのためには、このガイドラインに準拠したマネジメントシステムを速やかに策定し、実施し、維持し、及び継続的に改善していくことが必要です。なお、印刷・グラフィックサービス工業者は、マネジメントシステムを策定するに当って、それぞれの事業活動の実態に照らし個人情報との係わりを的確に把握した上で、このガイドラインに規定した事項のほかに必要な項目を追加することができます。
このガイドラインは、印刷・グラフィックサービス工業者の自由かつ公正な競争を阻害したり、法的義務を増大又は変更するために用いられることを意図したものではありません。
印刷・グラフィックサービス工業者は、自由な情報流通の確保を前提とした高度情報通信社会の進展に資するため、個人情報の保護の必要性と個人情報の利用面等の有用性を共に認識し、両者を調和させるよう努めなければなりません。

個人情報保護に関する要求事項

第1章 総則

(適用範囲)
第1条 このガイドラインは、印刷およびグラフィックサービス工業に付帯する業務で扱うすべての個人情報の全部若しくは一部を電子計算機などの自動処理システムによって処理している、又は自動処理システムによる処理を行うことを目的として書面などによって処理している、印刷・グラフィックサービス工業者に適用します。印刷・グラフィックサービス工業者は、次の事項を行う際に,このガイドラインを用いることができます。
1. 個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ改善すること
2. 策定した個人情報保護マネジメントシステムが、このガイドラインとの適合性について自ら確認し、適合していることを自ら表明すること
3. 策定した個人情報保護マネジメントシステムが、このガイドラインに適合していることについてプライバシーマーク制度における付与機関である一般財団法人日本情報経済社会推進協会及びプライバシーマーク付与指定機関である一般社団法人 日本グラフィックサービス工業会に確認を求めること

(用語および定義)
第2条 このガイドラインで用いる用語の定義は、次によります。
1. 個人情報
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む)。
2. 本人
個人情報によって識別される特定の個人。
3. 個人データ
@特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの、及びA一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、索引、その他の検索を容易にするためのものを構成する個人情報をいう。
4. 保有個人データ
個人情報取扱事業者が、開示、内容の訂正、追加または削除、消去及び第三者へ提供を行なうことのできる権限を有する個人データをいう。
5. 印刷・グラフィックサービス工業者
印刷・グラフィックサービス工業を営む事業者(法人、その他の団体又は個人)をいう。
6. 個人情報保護管理者
印刷・グラフィックサービス工業者の内部において代表者から指名された者であって、個人情報保護マネジメントシステムの実施および運用に関する責任及び権限をもつ者。
7. 個人情報保護監査責任者
印刷・グラフィックサービス工業者の内部において代表者から指名された者であって、公平、かつ客観的な立場にあり、監査の実施および報告を行う責任及び権限をもつ者。
8. 本人の同意
本人が、個人情報の取り扱いに関する情報を与えられた上で、自己に関する個人情報の取得、利用または提供について承諾する意思表示。本人が子供又は事理を弁識する能力を欠く者の場合は、法定代理人等の同意も得るものとします。
9. 個人情報マネジメントシステム
印刷・グラフィックサービス工業者が、自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利利益を保護するための方針、体制、計画、実施、点検および見直しを含むマネジメントシステム。
10. 不適合
本ガイドラインの要求事項を満たしていないこと。
11. 是正処置
検出された不適合の原因を除去するための処置。
12. 収集目的
個人情報の利用及び提供の範囲を定め、情報主体の同意の対象となるものをいう。
13. 利用
印刷・グラフィックサービス工業者が、当該事業者内で個人情報を処理することをいう。
14. 提供
印刷・グラフィックサービス工業者が、当該事業者外のものに自ら保有する個人情報を利用可能にすることをいう。

(一般要求事項)
第3条 印刷・グラフィックサービス工業者は、個人情報保護マネジメントシステムを確立し、実施し、維持し及び改善します。その要求事項は、第2章、第3章、第4章、第5章、第6章、第7章で規定します。

(個人情報保護方針)
第4条 印刷・グラフィックサービス工業の代表者は、個人情報保護の理念を明確にした上で、次の事項を含む個人情報保護方針を定めるとともに、これを実行し、かつ、維持しなければなりません。また、当該代表者は、この方針を文書化し、役員及び従業員に周知させるとともに一般の人が入手可能な措置を講じなくてはなりません。
≪解説≫方針には個人情報保護の自社の理念を記載します。
1. 印刷・グラフィックサービス工業者は、事業の内容及び規模を考慮して個人情報の取得、利用および提供を行います。その目的を明確にし、特定された目的の達成に必要な範囲を超えた個人情報の取り扱い(以下、“目的外利用”といいます)を行いません。そしてそのための措置を講じることを含みます。
2. 印刷・グラフィックサービス工業者は、役員とすべての従業者が個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守します。
3. 印刷・グラフィックサービス工業者は、個人情報の漏洩、滅失又はき損の防止及び是正を行います。
4. 印刷・グラフィックサービス工業者は、個人情報についての苦情及び相談の窓口を設置し、対応します。
5. 印刷・グラフィックサービス工業者は、個人情報保護のための個人情報マネジメントシステムを制定し、効果的に実施されるよう定期的かつ継続的に見直し、改善します。
印刷・グラフィックサービス工業者の代表者は、この方針を文書(電子的方式、磁気的方式、その他人の知覚によっては認識できない方式で作られる記録を含む。以下同じ。) 化し、従業者に周知させるとともに、一般の人が入手可能な措置を講じます。
≪解説≫
方針には印刷ないしグラフィックサービス工業を事業として営む上で個人情報保護の取得、利用および提供を行い、目的外利用を行わないことを記載します。
なお、個人情報の取り扱いについて、情報処理、印刷・製本・DM等自社の業務範囲を明記しておくと良いでしょう。

第2章 計画

(個人情報の特定)
第5条 印刷・グラフィックサービス工業者は、印刷・グラフィックサービス工業者の事業の用に供するすべての個人情報を特定するための手順を確立し、かつ、維持します。
≪解説≫
特定については、本人から直接書面で取得した情報(例.自社の役員・従業員情報、顧客本人から直接受注した名刺・年賀状・各種名簿・発送リスト等、印刷、情報処理に係るもの)及び直接書面以外で印刷・情報処理等で取得した受託物、顧客からの支給品、個人データ、フイルム・刷版、DMデータ、印刷見本等を洗い出す手順を記載します。
また、個人情報の一覧(台帳)を作ることを勧めます。そこには、カテゴリー毎に利用目的、入手経路、保管、保管期間、件数、廃棄方法を記載しておくと一覧性があって管理しやすいでしょう。同時に業務フローを作っておくことも必要です。加えて、開示対象個人情報についても明記しておきます。

(法令、国が定める指針及びその他の規範)
第6条 印刷・グラフィックサービス工業者は、個人情報の取扱いに関する法令、国が定める指針及びその規範を特定し参照できる手順を確立し、かつ維持します。 
≪解説≫
個人情報保護法、番号法、経済産業省ガイドライン、雇用管理に関する個人情報の適正な取り扱いを確保するために事業者が講ずべき措置に関する厚生労働省指針、事業拠点がある自治体が制定した条例、(公社)東京グラフィックサービス工業会及び(一社)日本印刷産業連合会のガイドライン等を指します。これらを定期的に参照し確認しておく必要があります。

(リスクなどの認識、分析及び対策)
第7条 印刷・グラフィックサービス工業者は、第5条によって特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持します。印刷・グラフィックサービス工業者は、第5条によって特定した個人情報について、その取り扱いの各局面におけるリスク(個人情報の漏洩、滅失又はき損、個人情報保護法・番号法との対応、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持します。
≪解説≫
リスク分析は、取得、入力・編集、校正、利用(製版・印刷・製本、DM他)、保管(サーバー、完成製品見本、自社倉庫内在庫)、納品・運搬、廃棄の各プロセスのライフサイクルに沿って行ないます。そのリスク分析に従い、評価し、対策を講じなければなりません。重要度の高いものから対策を立てますが、経済的理由等で対応できないものについては、「残存リスク」として把握しておく必要があります。前項の特定の洗い出しと同様の手順を定めると良いでしょう。

(資源、役割、責任及び権限)
第8条 印刷・グラフィックサービス工業者の代表者は、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ改善するために不可欠な資源を用意します。
印刷・グラフィックサービス工業者の代表者は、個人情報保護マネジメントシステムを効果的に実施するために役割、責任及び権限を定め、文書化し、かつ、従業者に周知します。
印刷・グラフィックサービス工業者の代表者は、このガイドラインの内容を理解し実践する能力のある管理者を印刷・グラフィックサービス工業者の内部から指名し、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせます。
個人情報保護管理者は、個人情報保護マネジメントシステムの見直し及び改善の基礎として、事業者の代表者に個人情報保護マネジメントシステムの実績を報告します。
≪解説≫
役割とは、個人情報保護管理者と個人情報保護監査責任者を社内から任命し、責任と権限を与えることで、PMSを回す組織・社内体制を整えます。

(内部規程)
第9条 印刷・グラフィックサービス工業者は、次の事項を含む内部規程を文書化し、かつ維持します。
1. 個人情報を特定する手順に関する規定。
2. 法令、国が定める指針及びその他の規範の特定、参照及び維持に関する規定。
3. 個人情報に関するリスクの認識、分析及び対策の手順に関する規定。
4. 印刷・グラフィックサービス工業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定。
5. 緊急事態(個人情報が漏洩、滅失又はき損をした場合)への準備及び対応に関する規定。
6. 個人情報の取得、利用及び提供に関する規定。
7. 個人情報の適正管理に関する規定。
8. 本人からの開示などの求めへの対応に関する規定。
9. 個人情報保護に関する教育の規定。
10. 個人情報保護マネジメントシステム文書の管理に関する規定。
11. 苦情及び相談への対応に関する規定。
12. 点検に関する規定。
13. 是正処置及び予防処置に関する規定。
14. 代表者による見直しに関する規定。
15. 内部規程の違反に関する罰則の規定。

印刷・グラフィックサービス工業者は、事業の内容に応じて、個人情報保護マネジメントシステムが確実に適用されるように内部規程を改定します。

≪解説≫
15の規程を作成し、自社のPMSの基本をなす規定となります。罰則規定は就業規則に置き換えられますが、他は、規程毎に文書として整えておくべきでしょう。

(計画書)
第10条 印刷・グラフィックサービス工業者は、個人情報保護マネジメントシステムを確実に実施するために必要な教育、監査などの計画を立案し、文書化し、かつ維持します。
≪解説≫
計画書は年度初めに立案し、教育については、実施時期、カリキュラム・テキストの準備も必要です。監査は実施時期、テーマ、対象、監査体制等を明らかにしておきます。単に「○月に実施する」というだけのスケジュールでは不完全です。

(緊急事態への準備)
第11条 印刷・グラフィックサービス工業者は、緊急事態を特定するための手順、また、それらにどのように対応するかの手順を確立し、実施し、かつ維持します。
印刷・グラフィックサービス工業者は、個人情報が漏洩、滅失又はき損をした場合に想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれを考慮し、その影響を最小限とするための手順を確立し、かつ維持します。   
また、個人情報の漏洩、滅失又はき損が発生した場合に備え、次の事項を含む対応手順を確立し、かつ維持します。
1. 当該漏洩、滅失又はき損が発生した個人情報の内容を本人に速やかに通知し、又は本人が容易に知り得る状態に置きます。
2. 二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及び対応策を遅滞なく公表します。
3. 事実関係、発生原因及び対応策を関係機関(公益社団法人 東京グラフィックサービス工業会)に直ちに報告します。
≪解説≫
あってはならないことですが、ウッカリミスであっても事故に変わりはありません。漏洩、滅失、き損の緊急事態への対応は重要な対策です。事故発生にあっては何よりも本人への通知、二次被害の防止が優先します。直接取得でない場合は委託元との連絡、付与指定機関との連携、社内・外連絡網の作成、そして緊急事態への事前の対処方法の徹底が必要です。

第3章 実施及び運用

第1節 運用手順
(運用手順)
第12条 印刷・グラフィックサービス工業者は、個人情報保護マネジメントシステムが確実に実施されるように、運用の手順を明確にします。

第2節 取得・利用及び提供に関する原則
(利用目的の特定)
第13条 個人情報を取得するに当たっては、その利用目的をできる限り特定し、その目的の達成に必要な限度において行います。
≪解説≫
印刷業では、印刷、データベース処理、DM等が主な利用目的となりますが、限定した範囲内で利用することが前提となります。

(適正な取得)
第14条 個人情報の取得は、適法、かつ、公正な手段によって行います。

(特定の機敏な個人情報の取得の制限)
第15条 印刷・グラフィックサービス工業者は、次に示す内容を含む個人情報の取得、利用又は提供は行いません。 ただし、これらの取得、利用又は提供について、明示的な本人の同意がある場合及び第18条のただし書き『1』〜『4』のいずれかに該当する場合は、この限りではありません。
1. 思想、信条又は宗教に関する事項。
2. 人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項。
3. 勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項。
4. 集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項。
5. 保健医療及び性生活に関する事項。

(本人から直接書面によって取得する場合の措置)
第16条 印刷・グラフィックサービス工業者は、本人から、書面(電子的方式、磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下、同じ。)に記載された個人情報を直接に取得する場合には、少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、本人の同意を得ます。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合、第17条のただし書き『1』〜『4』のいずれかに該当する場合、及び第18条のただし書き『1』〜『4』のいずれかに該当する場合は、同意を必要としません。
1. 事業者の氏名又は名称
2. 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先。
3. 利用目的。
4. 個人情報を第三者に提供することが予定される場合の事項。
 
1. 第三者に提供する目的
2. 提供する個人情報の項目
3. 提供の手段又は方法
4. 当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
5. 個人情報の取扱いに関する契約がある場合はその旨
5. 個人情報の取扱いの委託を行うことが予定される場合には、その旨
6. 第28条〜第31条に該当する場合には、その求めに応じる旨及び問合せ窓口
7. 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
8. 本人が容易に認識できない方法によって個人情報を取得する場合には、その旨
≪解説≫
印刷業で直接取得するケースは、個人の顧客から名刺印刷、年賀状印刷、各種案内状印刷及び発送リスト、自費出版やショップ店頭での受注時、さらにWeb関係となりましょう。採用時も当然です。その際、書面により本人に明示、書面(Web)により同意を得なければなりません。その通知文には『1』〜『8』項が盛り込まれていなければなりません。

(個人情報を第16条以外の方法によって取得した場合の措置)
第17条 印刷・グラフィックサービス工業者は、個人情報を第16条以外の方法によって取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を、本人に通知し、又は公表します。ただし、次に示すいずれかに該当する場合は、通知又は公表を必要としません。
1. 利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
2. 利用目的を本人に通知し、又は公表することによって当該事業者の権利又は正当な利益を害するおそれがある場合
3. 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき。
4. 取得の状況からみて利用目的が明らかであると認められる場合。
≪解説≫
印刷業のみならず受注産業にとって最も注意を払う所です。まず16条以外の方法での収集とは、印刷物、DM発送等の発注に際して顧客『あるいは元請』から委託を受けるデータ処理、監視カメラ情報を含め、各種個人情報を指します。但し『4』があるからと言って委託は全部『4』に該当すると判断しては危険です。業界としては『4』で取得したとしても取り扱いの委託を受けている訳ですから、原則として『4』を該当させません。そして、顧客との間で必ず確認を取って下さい。一方でWeb上では利用目的を「公表」して下さい。例として、個人情報取り扱いについて印刷・製版・製本・関連サービス、DM、情報処理・加工、保管等、自社で扱う業務範囲を記載するようにして下さい。

(利用に関する措置)
第18条 印刷・グラフィックサービス工業者は、特定した利用目的の達成に必要な範囲内で個人情報を利用します。
特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、少なくとも、第16条の『1』〜『6』に示す事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得ます。ただし、次に示すいずれかに該当する場合は、本人の同意を必要としません。
1. 法令に基づく場合
2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
≪解説≫
目的外利用を行わないことが原則です。仮に利用目的の変更がある場合は16条『1』〜『6』項を本人へ通知し、同意を得る必要があります。

(本人にアクセスする場合の措置)
第19条 印刷・グラフィックサービス工業者は、個人情報を利用して本人にアクセスする場合には、本人に対して、第16条の『1』〜『6』に示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得ます。ただし、次に示すいずれかに該当する場合は、この限りではありません。
1. 個人情報の取得時に、既に第16条の『1』〜『6』に示す事項又はそれと同等以上の内容の事項を明示又は通知し、既に本人の同意を得ているとき。
2. 個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取り扱うとき。
3. 合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供する印刷・グラフィックサービス工業者が、既に第16条の『1』〜『6』示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき。
4. 個人情報が特定の者との間で共同して利用され、共同利用者が既に第16条の『1』〜『6』に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって次に示す事項又はそれと同等以上の内容の事項をあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
 
1. 共同して利用すること
2. 共同して利用される個人情報の項目
3. 共同して利用する者の範囲
4. 共同して利用する者の利用目的
5. 共同して利用する個人情報の管理について責任を有する者の氏名又は名称
6. 取得方法
5. 第17条のただし書き『4』に該当するため、利用目的などを明示、通知又は公表することなく取得した個人情報を利用して、本人にアクセスするとき。
6. 第18条のただし書き『1』〜『4』のいずれかに該当する場合
≪解説≫
本人へのアクセスとは、直接取得したDM、電話、メール等の手段を用いることですが、この場合、本人に必要事項を通知し、同意を得なければなりません。手順を決めておくことです。

(提供に関する措置)
第20条 印刷・グラフィックサービス工業者は、個人情報を第三者に提供する場合には、あらかじめ本人に対して、取得方法及び第16条の『1』 〜『4』の事項又はそれと同等以上の内容の事項を通知し、本人の同意を得ます。ただし、次に示すいずれかに該当する場合は、この限りではありません。
1. 第16条又は第19条の規定によって、既に第16条の『1』 〜『4』の事項又はそれと同等以上の内容の事項を本人に明示又は通知し、本人の同意を得ているとき。
2. 大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又はそれに代わる同等の措置を講じているとき。
 
1. 第三者への提供を利用目的とすること
2. 第三者に提供される個人情報の項目
3. 第三者への提供の手段又は方法
4. 本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること
5. 取得方法
3. 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって、かつ、法令に基づき又は本人若しくは当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって、『2』で示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
4. 特定された利用目的の達成に必要な範囲内において、個人情報の取扱いの全部又は一部を委託するとき。
5. 合併その他の事由による事業の承継に伴って個人情報を提供する場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき。
6. 個人情報を特定の者との間で共同して利用する場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
 
1. 共同して利用すること
2. 共同して利用される個人情報の項目
3. 共同して利用する者の範囲
4. 共同して利用する者の利用目的
5. 共同して利用する個人情報の管理について責任を有する者の氏名又は名称
6. 取得方法
7. 第18条のただし書き『1』〜『4』のいずれかに該当する場合
≪解説≫
印刷業の場合、第三者提供のケースは少ないですが、行う場合は充分配慮しなければなりません。ただ入力、保管、製本作業を委託する場合は、ここで言う“提供”ではないことは当然のことです。

第3節 適正管理
(正確性の確保)
第21条 印刷・グラフィックサービス工業者は、利用目的の達成に必要な範囲内において、個人情報を、正確、かつ、最新の状態で管理します。
≪解説≫
印刷業の場合、印刷・データ処理に関してそれを業としているだけに、特に内容の正確性(誤字・誤植等)を保証する必要があります。顧客が「校正」を行なっていても、入力・プリプレス工程での内部チェックは必須の課題です。


(安全管理措置)
第22条 印刷・グラフィックサービス工業者は、その取り扱う個人情報のリスクに応じて、漏洩、滅失又はき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じます。

1. 物理的安全管理措置
 
1. 入退館(室)管理の実施
2. 盗難等の防止
3. 機器・装置等の物理的な保護
2. 技術的安全管理措置
 
1. 個人データへのアクセスにおける識別と認証
2. 個人データへのアクセス制御
3. 個人データへのアクセス権限の管理
4. 個人データのアクセスの記録
5. 個人データを扱う情報システムについての不正ソフトウエア対策
6. 個人データの移送・送信時の対策
7. 個人データを取り扱う情報システムの動作確認時の対策
8. 個人データを取り扱う情報システムの監視

(従業者の監督)
第23条 印刷・グラフィックサービス工業者は、その従業者に個人情報を取り扱わせるに当たっては、当該個人情報の安全管理が図られるよう、印刷・グラフィックサービス工業者の従業者に対し必要、かつ、適切な監督を行います。
≪解説≫
全ての役員(非常勤も)、従業員(パート・アルバイト・嘱託・派遣)に対して個人情報の漏洩、滅失、き損等が生じた際のリスクに応じ、必要な措置として教育、安全管理措置を施します。

(委託先の監督)
第24条 印刷・グラフィックサービス工業者は、個人情報の取扱いの全部又は一部を委託する場合は、十分な個人情報の保護水準を満たしている者を選定します。このため、印刷・グラフィックサービス工業者は、委託を受ける者を選定する基準を確立します。
印刷・グラフィックサービス工業者は、個人情報の取扱いの全部又は一部を委託する場合は、委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要、かつ、適切な監督を行います。
印刷・グラフィックサービス工業者は、次に示す事項を契約によって規定し、十分な個人情報の保護水準を担保します。
1. 委託者および受託者の責任の明確化
2. 個人情報の安全管理に関する事項
3. 再委託に関する事項
4. 個人情報の取扱状況に関する委託者への報告の内容及び頻度
5. 契約内容が遵守されていることを委託者が確認できる事項
6. 契約内容が遵守されなかった場合の措置
7. 事件・事故が発生した場合の報告・連絡に関する事項
印刷・グラフィックサービス工業者は、当該契約書などの書面を少なくとも個人情報の保有期間にわたって保存します。
≪解説≫
委託先(外注・協力先)としては主に、入力・製版・刷版・印刷・製本・DM・運送・清掃・廃棄物処理業者が挙げられます。従来からの取引があるというだけでは、個人情報保護の安全性を保証することにはなりません。必ず評価基準を定め、全ての委託先を事前に評価し、委託の可否を確認した上で委託しなければなりません。自社と同レベルのセキュリティを保証できる委託先でなければならないのです。セキュリティレベルが劣る場合は、委託はできなくなります(その場合、委託先が改善を図り自社の評価基準に合格した段階で委託すること)。ここでは委託元に監督責任がありますので、委託先との取り決め、再委託、守秘義務に関する条項を含む契約を交わす必要があります。印刷業は分業体制、外注ネットワークが完備されていますが、「セキュリティ」問題として『委託先の監督』さらに再委託の有無が重要な要素となっています。

第4節 個人情報に関する本人の権利
(個人情報に関する権利)
第25条 印刷・グラフィックサービス工業者は、電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理、分類し、目次、索引、符合などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって、印刷・グラフィックサービス工業者が、本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの(以下、第4節において“開示対象個人情報''という。)に関して、本人から利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止(以下、"開示など"という。)を求められた場合は、、第28条〜第31条の規定によって、遅滞なくこれに応じます。
ただし、次のいずれかに該当する場合は、開示対象個人情報ではありません。
1. 当該個人情報の存否が明らかになることによって、本人又は第三者の生命、身体又は財産に危害が及ぶおそれのあるも
2. 当該個人情報の存否が明らかになることによって、違法又は不当な行為を助長し、又は誘発するおそれのあるもの
3. 当該個人情報の存否が明らかになることによって、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの
4. 当該個人情報の存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれのあるもの

(開示等の求めに応じる手続)
第26条 印刷・グラフィックサービス工業者は、開示等の求めに応じる手続として次の事項を定めます。
1. 開示等の求めの申し出先
2. 開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式
3. 開示等の求めをする者が、本人又は代理人であることの確認の方法
4. 第28条又は第29条による場合の手数料(定めた場合に限る。)の徴収方法
印刷・グラフィックサービス工業者は、本人からの開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮します。
印刷・グラフィックサービス工業者は、第28条又は第29条によって本人からの求めに応じる場合に、手数料を徴収するときは、実費を勘案して合理的であると認められる範囲内において、その額を定めます。

(開示対象個人情報に関する事項の周知など)
第27条 印刷・グラフィックサービス工業者は、取得した個人情報が開示対象個人情報に該当する場合は、当該開示対象個人情報に関し、次の事項を本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置きます。
1. 事業者の氏名又は名称
2. 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
3. すべての開示対象個人情報の利用目的[第17条『1』〜『3』]までに該当する場合を除きます。
4. 開示対象個人情報の取扱いに関する苦情の申し出先
5. 当該事業者が個人情報の保護に関する法律(平成15年法律第57号)第37条第l項の認定を受けた者 (以下、"認定個人情報保護団体"=公益社団法人 東京グラフィックサービス工業会という.)の対象事業者であるので、苦情の解決の申し出先は、「公益社団法人 東京グラフィックサービス工業会 個人情報保護委員会」とします。
6. 第26条によって定めた手続

(開示対象個人情報の利用目的の通知)
第28条 印刷・グラフィックサービス工業者は、本人から、当該本人が識別される開示対象個人情報について、利用目的の通知を求められた場合には、遅滞なくこれに応じます。ただし、第17条のただし書き『1』〜『3』のいずれかに該当する場合、又は第27条『3』によって当該本人が識別される開示対象個人情報の利用目的が明らかな場合は利用目的の通知を必要としないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明します。

(開示対象個人情報の開示)
第29条 印刷・グラフィックサービス工業者は、本人から、当該本人が識別される開示対象個人情報の開示(当該本人が識別される開示対象個人情報が存在しないときにその旨を知らせることを含む。)を求められたときは、法令の規定によって特別の手続が定められている場合を除き、本人に対し、遅滞なく、当該開示対象個人情報を書面(開示の求めを行った者が同意した方法があるときは、当該方法)によって開示します。ただし、開示することによって次の『1』〜『3』のいずれかに該当する場合は、その全部又は一部を開示しませんが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明します。
1. 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
2. 当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
3. 法令に違反することとなる場合

(開示対象個人情報の訂正、追加又は削除)
第30条 印刷・グラフィックサービス工業者は、本人から、当該本人が識別される開示対象個人情報の内容が事実でないという理由によって当該開示個人情報の訂正、追加又は削除(以下、この項において"訂正等''という。)を求められた場合は、法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該開示対象個人情報の訂正等を行います。また、印刷・グラフィックサービス工業者は、訂正等を行ったときは、その旨及びその内容を、本人に対し、遅滞なく通知し、訂正等を行わない旨の決定をしたときは、その旨及びその理由を本人に対し、遅滞なく通知します。

(開示対象個人情報の利用又は提供の拒否権)
第31条 印刷・グラフィックサービス工業者が、本人から当該本人が識別される開示対象個人情報の利用の停止、消去又は第三者への提供の停止(以下、この項において“利用停止等“という。)を求められた場合は、これに応じます。また、措置を講じた後は、遅滞なくその旨を本人に通知します。ただし、第29条のただし書き『1』〜『3』のいずれかに該当する場合は、利用停止などを行いませんが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明します。

(教育)
第32条 印刷・グラフィックサービス工業者は、従業者に、定期的に適切な教育を行います。印刷・グラフィックサービス工業者は、従業者に関連する各部門及び階層における次の事項を理解させる手順を確立し、かつ、維持します。
1. 個人情報保護マネジメントシステムに適合することの重要性及び利点。
2. 個人情報保護マネジメントシステムに適合するための役割及び責任。
3. 個人情報保護マネジメントシステムに違反した際に予想される結果。
≪解説≫
計画通りに実施し、全ての役員(非常勤も)、従業員(パート・アルバイト・嘱託・派遣)に対して定期的に教育し、理解度チェックなりアンケートを実施します。

第5節 個人情報保護マネジメントシステム文書
(文書の範囲)
第33条 印刷・グラフィックサービス工業者は、次の個人情報保護マネジメントシステムの基本となる要素を書面で記述します。
1. 個人情報保護方針
2. 内部規定
3. 計画書
4. このガイドラインが要求する記録及び事業者が個人情報保護マネジメントシステムを実施する上で必要と判断した記録。

(文書管理)
第34条 印刷・グラフィックサービス工業者は、このガイドラインが要求するすべての文書(記録を除く。)を管理する手順を確立し、実施し、かつ、維持します。文書管理の手順には、次の事項が含まれます。
1. 文書の発行及び改訂に関すること。
2. 文事の改訂の内容と版数との関連付けを明確にすること。
3. 必要な文書が必要なときに容易に参照できること。

(記録の管理)
第35条 印刷・グラフィックサービス工業者は、個人情報保護マネジメントシステム及びこのガイドラインの要求事項への適合を実証するために必要な記録を作成し、かつ、維持します。
印刷・グラフィックサービス工業者は、記録の取扱いについての手順を確立し、実施し、維持します。
≪解説≫
記録としては、個人情報の特定、法令・その他の規範、リスク認識・評価、各種計画書、利用目的の特定、開示対象個人情報の開示、教育実施、苦情・相談、監査報告、是正・予防処置、代表者の見直しが求められます。

第6節 苦情及び相談
(苦情及び相談)
第36条 印刷・グラフィックサービス工業者は、個人情報の取扱い及び個人情報保護マネジメントシステムに関して、本人からの苦情及び相談を受け付けて、適切、かつ、迅速な対応を行う手順を確立し、かつ、維持します。
印刷・グラフィックサービス工業者は、上記の目的を達成するために必要な体制の整備を行います。
≪解説≫
当会は「認定個人情報保護団体」であるので、その旨も記載しておきます。

第4章 点検

(運用の確認)
第37条 印刷・グラフィックサービス工業者は、個人情報保護マネジメントシステムが適切に運用されていることが事業者の各部門及び階層において定期的に確認されるための手順を確立し、実施し、かつ、維持します。
≪解説≫
監査と異なり、通常業務でPMSが部門毎に運用され、不適合には至らずとも日常業務での気づきや運用の確認を意味します。

(監査)
第38条 印刷・グラフィックサービス工業者は、個人情報保護マネジメントシステムのこのガイドラインへの適合状況及び個人情報保護マネジメントシステムの運用状況を定期的に監査します。
事業者の代表者は、公平、かつ、客観的な立場にある個人情報保護監査責任者を事業者の内部の者から指名し、監査の実施及び報告を行う責任及び権限を他の責任とかかわりなく与え、業務を行なわせます。
個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、事業者の代表者に報告します。監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保します。
印刷・グラフィックサービス工業者は、監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持します。
≪解説≫
計画を立てて実施し、JISの要求事項と自社のPMSが合致しているか、運用全体の監査を行う。監査員は自部門を監査しないことに留意します。

第5章 是正処置及び予防処置

(是正処置及び予防処置)
第39条 印刷・グラフィックサービス工業者は、不適合に対する是正処置及び予防処置を確実に実施するための責任と権限を定める手順を確立し、実施し、かつ、維持します。その手順には、次の事項を含めます。
1. 不適合の内容を確認します。
2. 不適合の原因を特定し、是正処置及び予防処置を立案します。
3. 期限を定め、立案された適切な処置を実施します。
4. 実施された是正処置及び予防処置の結果を記録します。
5. 実施された是正処置及び予防処置の有効性をレビューします。
≪解説≫
内部監査、緊急事態(事故)、苦情等による不適合に対して『1』〜『5』項を満たす処置となります。

第6章 代表者による見直し

(印刷・グラフィックサービス工業者の代表者による見直し)
第40条 印刷・グラフィックサービス工業者の代表者は、個人情報の適切な保護を維持するために、定期的に個人情報マネジメントシステムを見直します。
印刷・グラフィックサービス工業者の代表者による見直しにおいては、次の事項を考慮します。
1. 監査及び個人情報保護マネジメントシステムの運用状況に関する報告。
2. 苦情を含む外部からの意見。
3. 前回までの見直しの結果に対するフォローアップ。
4. 個人情報の取扱いに関する法令、国の定める指針及びその他の規範の改正状況。
5. 社会情勢の変化、一般の認識の変化、技術の進歩などの諸環境の変化。
6. 改善のための提案。
≪解説≫
単に内部監査の見直しではなく、PDCAのサイクルのActとして6項目を踏まえた代表者のレビューを記載します。

第7章 罰則

(罰則)
第41条 印刷・グラフィックサービス工業者は、第9条により策定した内部規程に違反した従業者に対して就業規則に基づき懲戒を行わなければなりません。
≪解説≫
就業規則には罰則の規程を記載しておきます。

第8章 改廃

(改廃)
第42条 このガイドラインの改廃は、個人情報保護委員会において行い、公益社団法人 東京グラフィックサービス工業会理事会の承認を得るものとします。

公益社団法人 東京グラフィックサービス工業会
Copyright c 2007 Tokyo Graphic Services Industry Association All rights reseved.