論点整理#6 認定個人情報保護団体制度について
正直、認定保護団体制度を活用することは無いだろうと、これまでこの制度の内容についてあまり理解しようとしてしませんでした。
そんな、「認定個人情報保護団体制度」について、令和3年1月26日に開催された第164回 個人情報保護委員会にて議論されました。
この制度を活用するか否かに関わらず、認定個人情報保護団体に求められる役割は、コンプライアンス部門での取り組みの参考になるのではないでしょうか。
ということで、
今回は、認定個人情報保護団体に求められる役割について整理してみました。
認定個人情報保護団体とは
業界・事業分野ごとの民間による個人情報の保護の推進を図るために、自主的な取組を行うことを目的として、個人情報保護委員会の認定を受けた法人のことです 。
認定個人情報保護団体は、対象事業者の個人情報等の取扱いに関する苦情の処理などを行うほか、業界の特性に応じた自主的なルールである「個人情報保護指針」を作成し、その個人情報保護指針に基づいて対象事業者を指導していくことが求められます。
(上記および以降の引用は、『個人情報保護委員会 認定個人情報保護団体制度の概要』からの抜粋です)
1.認定個人情報保護団体制度の意義
民間団体による個人情報の保護の推進を図る
✅ 法に規定する事業者の義務は、必要最小限度のもの
個人情報保護法は、事業分野や営利性の有無等を問わずに、個人情報を取り扱う全ての民間事業者に適用される法律であるため、汎用的な規律のみを規定しています。
✅ 実態等に即したより高い水準の自主的な取組に期待
取り扱う個人情報の性質、利用方法、取扱いの実態等の業界や事業分野の特性に応じた個人情報の適切な取扱いが確保されるためには、民間において自主的な取組が行われることが望ましいことから、政府として、そのような取組を支援する制度が作られました。
2.認定団体制度の現状
法の規律に加えて、民間団体が自主ルールを策定し、構成員等に対して積極的な指導等を行っていくことの重要性が増大している。
✅ 技術やサービスの複雑化・多様化、市場の態様の急激な変化
✅ 行政機関と民間の情報量や専門性の格差
しかし、具体的な業務や活動の指針等を示したガイドラインは存在しない。
新しく策定する個別のガイドラインでは、
✅ 制度の意義、一定の方向性を示す必要がある。
✅ 認定団体の在り方等を分かりやすく明示する必要がある。
✅ 消費者側も制度を認識できるようにする必要がある。
3.認定団体の望ましい取組の方向性等の提示
個別のガイドライン(認定団体編)として新たに策定し、認定団体に求められる役割や具体的な業務を提示する。
(1)認定団体制度の目的や意義
(2)認定団体の業務(漏えい等事案に対する関与の在り方含む)
(3)個人情報保護指針
(4)その他関係法令の解説 等
(1)認定団体制度の目的や意義
分野ごとにより高い水準の個人情報保護が図られるべく、民間団体等による自主的な取組を尊重し、支援するための仕組みとする。
① 共同活動による、円滑かつ徹底した法の遵守
② 法の履行よりも深化させた自主ルールの策定・運用
💡 特に今日においては、②の重要性が増加
(2)認定団体の業務
① 個人情報等の取扱いに関する苦情の処理
事業者の個人情報の取扱いに関する苦情について、当事者間で解決が困難である場合など、認定個人情報保護団体が当事者の立場を離れて公正な立場から苦情の処理に当たることにより、実効的な苦情の処理が図られることが期待されます。
✅ 公正な第三者としての立場からの円満かつ迅速な処理
✅ 苦情に簡易・迅速に対応するための、人材の養成・確保を含む体制整備
② 対象事業者に対する情報の提供
対象事業者に対して関係法令や個人情報保護指針の内容について情報提供を行うとともに、対象事業者が当該指針を遵守するよう指導などを行っていくことにより、対象事業者が個人情報等について適正な取扱いを行うことが確保されることが期待されます。
✅ 関係法令や自主ルールの内容等に関する情報
✅ 苦情が多いケースなどを取りまとめた情報
✅ 漏えい等事案の傾向や求められる対策
💡 苦情や漏えい等事案などの情報については、個人情報保護委員会にも共有し、相互に連携を図る。
③ その他適正な取扱いの確保に必要な業務
✅ 適正な取扱い(透明性・責任説明)を確保するための自主ルールを踏まえた積極的な指導
✅ 対象事業者の従業員に対する研修、調査研究などの業務
✅ PIA(個人情報保護評価)を含むプライバシー・バイ・デザインの実施の推奨
◆漏えい等事案に対する関与の在り方
個人データの漏えい等の事案が発生した場合等の対応については、告示で定められており、認定個人情報保護団体の対象事業者については、当該認定個人情報保護団体に報告することとされています。
まずは、業界に精通する認定個人情報保護団体が漏えい時等の対応に応じるため、円滑な対応が期待されます。
✅ 自主的取組の一環として、対象事業者から漏えい等の報告を受け付けることは有効である。
✅ 委員会等への報告の対象外のものを含めて認定団体が報告を受け付け、当該事案への対応、再発防止のための措置や本人通知・公表等に対する実効的な指導・助言等を行うことが望ましい。
✅ 委員会への報告内容とできる限り一致させるなど、事業者の過度な負担とならないよう配慮する必要がある。
💡 ただし『認定団体には立入検査や報告徴収といった、強制的な権限が認められていないことから、法律上の漏えい等の報告先とはしない』とされています。
(一問一答 令和2年改正 個人情報保護法 Q32より抜粋)
(3)個人情報保護指針
法令の内容のみならず、事業分野等の実態に応じた自主ルールとして、個人情報保護指針の作成が努力義務とされている。
✅ 利用目的の特定、安全管理措置、開示請求等に応じる手続き、仮名加工情報、匿名加工情報に係る作成の方法等について、細目や事例を盛り込んでいくことが望ましい。
✅ 消費者の意見を代表する者をはじめ、多様な関係者の意見を聞きつつ、指針を策定していくことが望ましい。
✅ 情勢変化に応じて、不断に見直しを図っていくことが望ましい。
✅ 対象事業者に個人情報保護指針を遵守させるための指導等を行う。
(4)その他関係法令の解説
特段の説明なし!
議事概要
宮井委員
・自主ルールの策定等は重要
・委員会と団体双方の取組の底上げを図っていく
・認定団体や対象事業者の増加につなげていく
・取組の標準化につなげる
熊澤委員
・自主的な取組に努めることは、対象分野の水準の引上げにつながる
・認定団体が漏えい等の報告を受け付ける根拠を明確に示していく
丹野委員長
今後、各項目について、具体的な方向性等について議論していく
本日の引用文献
第164回 個人情報保護委員会
資料2 改正法に関連するガイドライン等の整備に向けた論点について(認定個人情報保護団体制度) (PDF : 774KB)
議事録 (PDF : 174KB)
本日のアウトプットはいかがでしたか?
少しでも参考になりましたら
❤️(スキ)で応援いただけると大変励みになります
では、また!
他の論点も整理してます。
もし、お時間があれば覗いてみてください。
この記事が気に入ったらサポートをしてみませんか?