改正個人情報保護法が、2022年4月から全面施行となるため、
個人情報保護界隈では、さまざまな動きが出てきています。
Pマークの審査基準も変わるらしいですし、
各業界のガイドライン策定も進められているようです。
私もセミナーなどにも参加していますが、
情報が多すぎて追いきれないくらい・・・(汗)
そんな中、今回注目したいのは、
「個人情報の保護に関する法律についてのガイドライン(行政機関等編)」。
行政機関及び独立行政法人等における個人情報の適正な取扱い
を確保することを目的とした具体的な指針です。
これ、とうとう策定されましたね!!(*´꒳`*ノノ゙パチパチ
以前の記事でも書きましたが、
個人情報保護法改正の大きなポイントは、
「官民を通じた個人情報保護制度の見直し」です。
※(参考)過去blog:
「デジタル社会の形成を図るための関係法律の整備に関する法律案」可決成立!
↓このガイドラインの目的として、こんなことも書いてあります↓
各行政機関等において情報マネジメントを担う職員等(各機関の長等を含む。)を対象に、 改正後の法の規律について、必要最低限の内容の体系的な理解に資するとともに、併せて、広く個人や事業者に対し情報提供することを目的としたものである。 |
私たち個人や企業にとっても、わかりやすくなるということですね!
現在パブリックコメント募集中ですので、
行政機関の方だけでなく、公的機関との取引がある企業の方も、
一度確認してみるとよいかと思います。
※ガイドライン案に関する意見募集(パブコメ)のページの資料から抜粋:
https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000074&Mode=0
個人的には、ガイドラインの5「個人情報等の取扱い」の項目で、
委託先管理について明記されたのが気になります。
これまで「行政機関の保有する個人情報の保護に関する法律」や、
各自治体の条例の中では、
委託先管理についてあまり詳しく規定されていなかったのですが、
今回民間と同じくらい具体的な内容が記載されましたね。
個人情報の取扱いを委託する場合は、上記サイバーセキュリティに関する対策の基準等を参考に委託先によるアクセスを認める情報及び情報システムの範囲を判断する基準や委託先の選定基準を整備するとともに、委託先との契約において安全管理措置のために必要な条項(委託先における情報管理に関する条項、再委託先の選定に関する条項、委託先に対する監査に関する条項等)を盛り込んだ上で、定期的な監査を行う等、委託先に対して必要かつ適切な監督を行うことが考えられる。 (中略) |
これは、委託される可能性がある民間企業にとっても注目すべきポイントですが、
行政機関がどうやって委託先の適切な監督を行うことになるのか?
そのあたりも気になります。
(PマークやISMSがその選定基準となる可能性もあるのか・・・??)