程の見直しを行わなければならない 1 委託先の選定基準 2 委託契約に盛り込むべき安全管理に関する内容 (2) 個人データの安全管理措置に係る実施体制の整備 1) 実施体制の整備に関する組織的安全管理措置 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 6 項に基づき 個人データの

Similar documents
14個人情報の取扱いに関する規程

はじめてのマイナンバーガイドライン(事業者編)

<4D F736F F D CC2906C B835E82CC8EE688B582A282C98AD682B782E98B4B92F68CC2906C2E646F63>

2

Microsoft Word - 06_個人情報取扱細則_ doc

事務ガイドライン ( 第三分冊 )13 指定信用情報機関関係新旧対照表 Ⅰ-2 業務の適切性 現行改正後 ( 案 ) Ⅰ-2 業務の適切性 Ⅰ-2-4 信用情報提供等業務の委託業務の効率化の観点から 内閣総理大臣 ( 金融庁長官 ) の承認を受けて信用情報提供等業務の一部を委託することが可能とされて

特定個人情報の取扱いに関する管理規程 ( 趣旨 ) 第 1 条この規程は 特定個人情報の漏えい 滅失及び毀損の防止その他の適切な管理のための措置を講ずるに当たり遵守すべき行為及び判断等の基準その他必要な事項を定めるものとする ( 定義 ) 第 2 条 この規定における用語の意義は 江戸川区個人情報保

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

特定個人情報の取扱いの対応について

個人情報保護規定

マイナンバー制度 実務対応 チェックリスト

中小企業向け はじめてのマイナンバーガイドライン

特定個人情報取扱細則 ( 目的 ) 第 1 条この細則は 当組合の個人情報保護方針及び特定個人情報取扱規程 ( 以下 規程 という ) 等に基づき 当組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条この細則で

社長必見≪ここがポイント≫マイナンバーガイドライン(事業者編)

3 部門管理者は 個人データの取扱いを外部に委託する場合には その委託先における個人データの取扱状況等の監督を行わなければならない 4 個人データの取扱いにかかる事項であってこの細則に定めのない事項については 取扱者の申請に基づき 部門管理者がこれを承認して行う 5 部門管理者は 個人データの組織的

特定個人情報取扱要領 ( 目的 ) 第 1 条この要領は この組合の 個人情報保護方針 および 特定個人情報取扱規程 ( 以下 規程 という ) に基づき この組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

標準版 個人情報の保護に関する規定 2012 年 10 月 1 日制定 松江土建 株式会社 情報管理責任者 : 片山勝喜

<8B4B92F681458CC2906C8FEE95F195DB8CEC2E786C7378>

公 印 規 程

特定個人情報の取扱いの対応について

4 保護管理者は 次の各号に掲げる組織体制を整備する (1) 職員 ( 臨時職員を含む 以下同じ ) がこの訓令に違反している事実又は兆候を把握した場合の保護管理者及び監査責任者への報告連絡体制 (2) 保有個人情報等の漏えい 滅失又は毀損等 ( 以下 情報漏えい等 という ) の事案の発生又は兆候

財団法人日本体育協会個人情報保護規程

<93C18B4C8E64976C8F9195CA8E862E786C73>

公益財団法人岩手県南技術研究センター特定個人情報取扱規程 平成 28 年 4 月 1 日制定 規程第 14 号 第 1 章目的等 ( 目的 ) 第 1 条この規程は 公益財団法人岩手県南技術研究センター ( 以下 センター という ) が 行政手続における特定の個人を識別するための番号の利用等に関す

日商PC検定用マイナンバー_参考資料

< F2D8EE888F882AB C8CC2906C>

個人情報管理規程

個人データの安全管理に係る基本方針

Microsoft Word - 個人情報管理規程(案)_(株)ふるさと創生研究開発機構(2016年1月27日施行).doc

privacypolicy

特定個人情報等取扱規程

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

特定個人情報取扱規程 ( 目的 ) 第 1 条社会福祉法人埼玉県社会福祉協議会 ( 以下 本会 という ) は 個人 番号及び特定個人情報を適正に取り扱うことを目的として 本規程を定める ( 用語の定義 ) 第 2 条本規程における用語の定義は 次の各号に定めるところによる (1) 番号法行政手続に

Microsoft Word - ○指針改正版(101111).doc

第 2 章 個人情報の取得 ( 個人情報の取得の原則 ) 第 4 条個人情報の取得は コンソーシアムが行う事業の範囲内で 利用目的を明確に定め その目的の達成のために必要な範囲においてのみ行う 2 個人情報の取得は 適法かつ公正な方法により行う ( 特定の個人情報の取得の禁止 ) 第 5 条本条各号

Ⅰ バイタルリンク 利用申込書 ( 様式 1-1)( 様式 ) の手続 バイタルリンク を利用する者 ( 以下 システム利用者 という ) は 小松島市医師会長宛に あらかじ め次の手順による手続きが必要になります 新規登録手続の手順 1 <システム利用者 ( 医療 介護事業者 )>

特定個人情報取扱規程

報主体の権利利益及びプライバシーの侵害の防止に関し 必要な措置を講じるよう勤める 2 本センターの職員等は 業務上知り得た個人情報を漏えいし または不当な目的に使用してはならない 第 2 章 管理体制及び責任 ( 管理体制 ) 第 6 条本センターは 個人情報の適切な管理を効果的に実施するため 役割

閣原防第 6 号 原子力防災会議保有個人情報管理規程を次のように定める 平成 24 年 12 月 25 日 原子力防災会議議長野田佳彦 原子力防災会議保有個人情報管理規程 第 1 章総則 ( 目的 ) 第 1 条この規程は 原子力防災会議 ( 以下 会議 という ) の保有する個人情報の適切な管理に

目 次 第 1 はじめに 2 1 ガイドライン策定の目的 2 2 ガイドラインの対象となる防犯カメラ 2 3 防犯カメラで撮影された個人の画像の性格 2 第 2 防犯カメラの設置及び運用に当たって配慮すべき事項 3 1 設置目的の設定と目的外利用の禁止 3 2 設置場所 撮影範囲 照明設備 3 3

第 1 章総則 ( 目的 ) 第 1 条本規程は 株式会社スマートバリュー ( 以下 当社 という ) が個人情報保護方針に基づく個人情報の取扱いの基本事項を定めたもので 個人情報の保護と適正な利用を図ることを目的とする ( 定義 ) 第 2 条本規程における用語の定義は 次の各号に定めるところによ

特定個人情報等取扱規程 ( 目的 ) 第 1 条本規程は 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 以下 番号法 という ) 及び 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) に基づき 会社の取り扱う特定個人情報等の適正な取扱いを確保することを目的

<4D F736F F D204E4F2E CC2906C8FEE95F195DB8CEC82C982A882AF82E98AC48DB882C98AD682B782E98B4B92F68DC C5>

特定個人情報取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 岩手県建設業厚生年金基金 ( 以下 当厚生年金基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義 ) 第 2 条本

スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー

ください 5 画像の保存 取扱い防犯カメラの画像が外部に漏れることのないよう 一定のルールに基づき慎重な管理を行ってください (1) 取扱担当者の指定防犯カメラの設置者は 必要と認める場合は 防犯カメラ モニター 録画装置等の操作を行う取扱担当者を指定してください この場合 管理責任者及び取扱担当者

マイナンバー対策セミナー(実践編) 「マイナンバー対策マニュアル」を利用した具体的な対策方法について

2015 年 2 月 13 日版 わかる! マイナンバー 特定個人情報取扱い ガイドライン 株式会社ワイイーシーソリューションズ 本資料について 本内容は 2014 年 12 月末時点の政府などの公開情報をもとに 当社の解釈にて作成しておりますので 今後の法改正 制度設計等により変更になる可能性があ

特定個人情報保護評価指針の概要

個人情報の保護に関する規程(案)

一般社団法人北海道町内会連合会定款変更(案)

必要となる教育を行うとともに 実施結果について指定する書面により甲に提出しなければならない 第 10 条乙は 甲がこの特記事項の遵守に必要となる教育を実施するときは これを受けなければならない ( 知り得た情報の保持の義務 ) 第 11 条乙は 本契約の履行に当たり知り得た受託情報を第三者に漏らして

んだ者をいう 13 従業者本会の組織内にあって 直接または間接に本会の指揮監督を受けて本会の業務に従事している者をいい 従業員のみならず 本会との間の雇用契約にない者 ( 理事 監事 各委員会委員等及び派遣職員等 ) を含む 14 特定個人情報の取扱い特定個人情報の取得 安全管理措置 保管 利用 提

第 1 章総則 ( 目的 ) 第 1 条本規程は 日立国際電気企業年金基金 ( 以下 基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義 ) 第 2 条本規程において 個人情報 とは 個

情報漏えい事案等対応手続(中小規模事業者用)

<4D F736F F D208F4897D58B5A8CC2906C8FEE95F195DB8CEC8B4B92F65F4E45575F2E646F63>

氏名等の特定の個人を識別することができる情報は記載しないこと 4. 発生年月発生年月についてな場合は と記載すること 5. 発覚年月漏えい事案等の事故が発覚した年月を記載すること 6. 漏えい等した情報の内容漏えいした情報の種類 内容及びその数 ( 機微 ( センシティブ ) 情報を含む場合は その


社会福祉法人○○会 個人情報保護規程

個人情報保護規程

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

情報セキュリティ基本方針書(案)

文書管理番号

利用者情報管理規程

(I12) 土木学会特定個人情報取扱規程 平成 28 年 1 月 22 日制定 ( 目的 ) 第 1 条本規程は 公益社団法人土木学会 ( 以下 学会 という ) における 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律 ( 以下 番号法 という ) 個人情報の保護に関する法律

劇場演出空間技術協会 個人情報保護規程

プライバシーポリシー ( 個人情報保護に関する基本方針 ) 株式会社ビットポイントジャパン ( 以下 当社 といいます ) は 個人情報の保護とその適正な管理が重要であることを認識し 個人情報の保護に関する法律 ( 以下 個人情報保護法 といいます ) 関連法令 ガイドラインその他の規範を遵守すると

個人情報保護規程 株式会社守破離 代表取締役佐藤治郎 目次 第 1 章総則 ( 第 1 条 - 第 3 条 ) 第 2 章個人情報の利用目的の特定等 ( 第 4 条 - 第 6 条 ) 第 3 章個人情報の取得の制限等 ( 第 7 条 - 第 8 条 ) 第 4 章個人データの安全管理 ( 第 9

事業者が行うべき措置については 匿名加工情報の作成に携わる者 ( 以下 作成従事者 という ) を限定するなどの社内規定の策定 作成従事者等の監督体制の整備 個人情報から削除した事項及び加工方法に関する情報へのアクセス制御 不正アクセス対策等を行うことが考えられるが 規定ぶりについて今後具体的に検討

4 部門管理者は 事務管理者に届け出て 各部室及び各支所に所属する者の中から 個人情報 取扱者を選任し 自己に代わり必要な個人情報保護についての業務を行わせることができる この場合には これらの者を適切に管理 監督しなければならないものとする ( 統括管理者の職務 ) 第 4 条統括管理者の職務は

扱う職員 ( 以下 特定個人情報等取扱者 という ) 並びにその役割を指定する 2 保護管理者は 各特定個人情報等取扱者が取り扱う特定個人情報等の範囲を指定する ( 監査責任者 ) 第 7 条研究所に監査責任者 1 人を置く 2 監査責任者は 総務課長をもって充てる 3 監査責任者は 保有個人情報等

本人に対して自身の個人情報が取得されていることを認識させるために 防犯カメラを設置し 撮影した顔画像やそこから得られた顔認証データを防犯目的で利用する際に講じることが望ましい措置の内容を明確化するため 更新しました ( 個人情報 ) Q 防犯目的のために 万引き 窃盗等の犯罪行為や迷惑行

個人情報保護基本規程

商工会議所法令の改正に伴う定款変更(例)について

個人情報保護規程例 本文

マイナンバーガイドライン入門(事業者編)

<4D F736F F D2093C192E88CC2906C8FEE95F18EE682E888B582A28B4B92F62E646F6378>

社会福祉法人春栄会個人情報保護規程 ( 目的 ) 第 1 条社会福祉法人春栄会 ( 以下 本会 という ) は 基本理念のもと 個人情報の適正な取り扱いに関して 個人情報の保護に関する法律 及びその他の関連法令等を遵守し 個人情報保護に努める ( 利用目的の特定 ) 第 2 条本会が個人情報を取り扱

JIPDEC主催第46回電子情報利活用セミナー講演録(要旨)

東レ福祉会規程・規則要領集

個人情報保護規程(参照法令)

表第 1 欄のとおりとする 2 保護管理者は 各課等における保有個人情報を適切に管理する任に当たる ( 保護担当者 ) 第 5 条各課等に 当該各課等の保護管理者が指定する保護担当者を一人置くこととし 別表第 2 欄のとおりとする 2 保護担当者は 保護管理者を補佐し 各課等における保有個人情報の管

個人情報管理規程

東京 SR 経営労務センター 特定個人情報取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 東京 SR 経営労務センター ( 以下 当センター という ) が個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする (

日本赤十字社企業年金基金特定個人情報等取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 日本赤十字社企業年金基金 ( 以下 当基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義

第 1 はじめに 1 ガイドライン策定の目的安全で安心なまちづくりを進める上で 近年 防犯カメラの設置は広く有用であると認められており 市内においても防犯カメラの設置が進んでいます しかし その一方で 知らないうちに自分の姿が撮影され 目的外に利用されること等に不安を感じる市民の方もいます そこで

特定個人情報取扱規程 平成 29 年 4 月 1 日制定 第 1 章目的等第 1 条 ( 目的 ) この規程は 一般社団法人粒子線治療推進研究会 ( 以下 この法人 という ) が 行政手続きにおける特定の個人を識別するための番号の利用などに関する法律 ( 以下 番号法 という ) 及び 個人情報の

制定 : 平成 24 年 5 月 30 日平成 23 年度第 4 回理事会決議施行 : 平成 24 年 6 月 1 日 個人情報管理規程 ( 定款第 65 条第 2 項 ) 制定平成 24 年 5 月 30 日 ( 目的 ) 第 1 条この規程は 定款第 66 条第 2 項の規定に基づき 公益社団法

Microsoft PowerPoint - 参考資料2

個人情報保護規程

Taro-31個人情報保護管理規程

【事務連絡】特定個人情報の漏えい時の対応(業界団体あて)

特定個人情報の取扱いに関するモデル契約書 平成27年10月

特定個人情報取扱規程 第 1 章総則 ( 目的 ) 弟 1 条この規定は 特定個人情報 ( 個人番号をその内容に含む情報をいう 以下同じ ) が慎重に取り扱われるべきものであることに照らして考え 医療法人社団主体会 ( 以下 法人 という ) が保有する特定個人情報の適正な取り扱いの確保に関し必要な

第 4 条公共の場所に向けて防犯カメラを設置しようとするもので次に掲げるものは, 規則で定めるところにより, 防犯カメラの設置及び運用に関する基準 ( 以下 設置運用基準 という ) を定めなければならない (1) 市 (2) 地方自治法 ( 昭和 22 年法律第 67 号 ) 第 260 条の2

個人情報保護管理規程 ( 目的 ) 第 1 条本規程は 個人情報の保護に関する法律 ( 平成 15 年 5 月 30 日 法律第 57 号 以下 法 という ) 及び 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 平成 25 年 5 月 31 日 法律第 27 号 以下 番

Microsoft Word - 個人情報保護規程 docx

独立行政法人農業者年金基金個人情報保護管理規程

2

Transcription:

金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針 I. 金融分野における個人情報保護に関するガイドライン第 10 条に定める安全管理措置の実施について (1) 個人データの安全管理に係る基本方針 取扱規程等の整備 ( 個人データの安全管理に係る基本方針の整備 ) 1-1 金融分野における個人情報保護に関するガイドライン ( 平成 16 年金融庁告示第 67 号 以下 ガイドライン という ) 第 1 条第 1 項に規定する金融分野における個人情報取扱事業者は ガイドライン第 10 条第 5 項 (1)1 に基づき 次に掲げる事項を定めた個人データの安全管理に係る基本方針を策定し 当該基本方針を公表するとともに 必要に応じて基本方針の見直しを行わなければならない 1 個人情報取扱事業者の名称 2 安全管理措置に関する質問及び苦情処理の窓口 3 個人データの安全管理に関する宣言 4 基本方針の継続的改善の宣言 5 関係法令等遵守の宣言 ( 個人データの安全管理に係る取扱規程の整備 ) 1-2 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 5 項 (1)2 に規定する 個人データの安全管理に係る取扱規程の整備 として ガイドライン第 10 条第 5 項 (2) に規定する個人データの各管理段階における安全管理に係る取扱規程を整備し 各管理段階ごとに別添 1 に規定する事項を定めるとともに 必要に応じて規程の見直しを行わなければならない なお 全ての管理段階を同一人が取り扱う小規模事業者等においては 各管理段階ごとに取扱規程を定めることに代えて 全管理段階を通じた安全管理に係る取扱規程において次に掲げる事項を定めることも認められる 1 取扱者の役割 責任 2 取扱者の限定 3 各管理段階において個人データの安全管理上必要とされる手続き ( 個人データの取扱状況の点検及び監査に係る規程の整備 ) 1-3 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 5 項 (1)3 に基づき 個人データの取扱状況に関する点検及び監査の規程を整備し 次に掲げる事項を定めるとともに 必要に応じて規程の見直しを行わなければならない なお 個人データ取扱部署が単一である事業者においては 点検により監査を代替することも認められる 1 点検及び監査の目的 2 点検及び監査の実施部署 3 点検責任者及び点検担当者の役割 責任 4 監査責任者及び監査担当者の役割 責任 5 点検及び監査に関する手続き ( 外部委託に係る規程の整備 ) 1-4 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 5 項 (1)4 に基づき 外部委託に係る取扱規程を整備し 次に掲げる事項を定めるとともに 定期的に規

程の見直しを行わなければならない 1 委託先の選定基準 2 委託契約に盛り込むべき安全管理に関する内容 (2) 個人データの安全管理措置に係る実施体制の整備 1) 実施体制の整備に関する組織的安全管理措置 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 6 項に基づき 個人データの安全管理措置に係る実施体制の整備における 組織的安全管理措置 として 次に掲げる措置を講じなければならない 1 個人データの管理責任者等の設置 2 就業規則等における安全管理措置の整備 3 個人データの安全管理に係る取扱規程に従った運用 4 個人データの取扱状況を確認できる手段の整備 5 個人データの取扱状況の点検及び監査体制の整備と実施 6 漏えい事案等に対応する体制の整備 ( 個人データ管理責任者等の設置 ) 2-1 金融分野における個人情報取扱事業者は 個人データの管理責任者等の設置 として次に掲げる役職者を設置しなければならない 1 個人データの安全管理に係る業務遂行の総責任者である個人データ管理責任者 2 個人データを取り扱う各部署における個人データ管理者なお 個人データ取扱部署が単一である事業者においては 個人データ管理責任者が個人データ管理者を兼務することも認められる 個人データ管理責任者は 株式会社組織であれば取締役又は執行役等の業務執行に責任を有する者でなければならない ( 注 ) 金融分野における個人情報取扱事業者は 個人データの管理責任者等の設置 として 個人データの取扱いの点検 改善等の監督を行う部署又は合議制の委員会を設置することが望ましい 2-1 1 金融分野における個人情報取扱事業者は 2-11 に規定する個人データ管理責任者に 次に掲げる業務を所管させなければならない 1 個人データの安全管理に関する規程及び委託先の選定基準の承認及び周知 2 個人データ管理者及び 4-1 に規定する 本人確認に関する情報 の管理者の任命 3 個人データ管理者からの報告徴収及び助言 指導 4 個人データの安全管理に関する教育 研修の企画 5 その他個人情報取扱事業者全体における個人データの安全管理に関すること 2-1 2 金融分野における個人情報取扱事業者は 2-12 に規定する個人データ管理者に 次に掲げる業務を所管させなければならない 1 個人データの取扱者の指定及び変更等の管理 2 個人データの利用申請の承認及び記録等の管理 3 個人データを取り扱う保管媒体の設置場所の指定及び変更等 4 個人データの管理区分及び権限についての設定及び変更の管理 5 個人データの取扱状況の把握 6 委託先における個人データの取扱状況等の監督 7 個人データの安全管理に関する教育 研修の実施 8 個人データ管理責任者に対する報告 9 その他所管部署における個人データの安全管理に関すること

( 就業規則等における安全管理措置の整備 ) 2-2 金融分野における個人情報取扱事業者は 就業規則等における安全管理措置の整備 として 次に掲げる事項を就業規則等に定めるとともに 従業者との個人データの非開示契約等の締結を行わなければならない 1 個人データの取り扱いに関する従業者の役割 責任 2 違反時の懲戒処分 ( 個人データの安全管理に係る取扱規程に従った運用 ) 2-3 金融分野における個人情報取扱事業者は 個人データの安全管理に係る取扱規程に従った運用 として 個人データの安全管理に係る取扱規程に従った体制を整備し 当該取扱規程に従った運用を行うとともに 取扱規程に規定する事項の遵守状況の記録及び確認を行わなければならない ( 個人データの取扱状況を確認できる手段の整備 ) 2-4 金融分野における個人情報取扱事業者は 個人データの取扱状況を確認できる手段の整備 として 次に掲げる事項を含む台帳等を整備しなければならない 1 取得項目 2 利用目的 3 保管場所 保管方法 保管期限 4 管理部署 5 アクセス制御の状況 ( 個人データの取扱状況の点検及び監査体制の整備と実施 ) 2-5 金融分野における個人情報取扱事業者は 個人データの取扱状況の点検及び監査体制の整備と実施 として 個人データを取り扱う部署が自ら行う点検体制を整備し 点検を実施するとともに 当該部署以外の者による監査体制を整備し 監査を実施しなければならない なお 個人データ取扱部署が単一である事業者においては 点検により監査を代替することも認められる 2-5 1 金融分野における個人情報取扱事業者は 個人データを取り扱う部署において点検責任者及び点検担当者を選任するとともに 点検計画を策定することにより点検体制を整備し 定期的及び臨時の点検を実施しなければならない また 点検の実施後において 規程違反事項等を把握したときは その改善を行わなければならない 2-5 2 金融分野における個人情報取扱事業者は 監査の実施に当たっては 監査対象となる個人データを取り扱う部署以外から監査責任者 監査担当者を選任し 監査主体の独立性を確保するとともに 監査計画を策定することにより監査体制を整備し 定期的及び臨時の監査を実施しなければならない また 監査の実施後において 規程違反事項等を把握したときは その改善を行わなければならない なお 監査部署が監査業務等により個人データを取り扱う場合には 当該部署における個人データの取り扱いについて 個人データ管理責任者が特に任命する者がその監査を実施しなければならない ( 注 ) 金融分野における個人情報取扱事業者は 新たなリスクに対応するための 安全管理措置の評価 見直し及び改善に向けて 個人情報保護対策及び最新の技術動向を踏まえた情報セキュリティ対策に十分な知見を有する者による 社内の対応の確認 ( 必要に応じ 外部の知見を有する者を活用し確認させることを含む ) 等を実施することが望ましい

( 漏えい事案等に対応する体制の整備 ) 2-6 金融分野における個人情報取扱事業者は 漏えい事案等に対応する体制の整備 として 次に掲げる体制を整備しなければならない 1 対応部署 2 漏えい事案等の影響 原因等に関する調査体制 3 再発防止策 事後対策の検討体制 4 自社内外への報告体制 2-6-1 金融分野における個人情報取扱事業者は 1-23 又は 6-6-1 に基づき 自社内外への報告体制を整備するとともに 漏えい事案等が発生した場合には 次に掲げる事項を実施しなければならない 1 監督当局等への報告 2 本人への通知等 3 二次被害の防止 類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の早急な公表 2) 実施体制の整備に関する人的安全管理措置 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 6 項に基づき 個人データの安全管理措置に係る実施体制の整備における 人的安全管理措置 として 次に掲げる措置を講じなければならない 1 従業者との個人データの非開示契約等の締結 2 従業者の役割 責任等の明確化 3 従業者への安全管理措置の周知徹底 教育及び訓練 4 従業者による個人データ管理手続の遵守状況の確認 ( 従業者との個人データの非開示契約等の締結 ) 3-1 金融分野における個人情報取扱事業者は 従業者との個人データの非開示契約等の締結 として 採用時等に従業者と個人データの非開示契約等を締結するとともに 非開示契約等に違反した場合の懲戒処分を定めた就業規則等を整備しなければならない ( 従業者の役割 責任等の明確化 ) 3-2 金融分野における個人情報取扱事業者は 従業者の役割 責任等の明確化 として 次に掲げる措置を講じなければならない 1 各管理段階における個人データの取り扱いに関する従業者の役割 責任の明確化 2 個人データの管理区分及びアクセス権限の設定 3 違反時の懲戒処分を定めた就業規則等の整備 4 必要に応じた規程等の見直し ( 従業者への安全管理措置の周知徹底 教育及び訓練 ) 3-3 金融分野における個人情報取扱事業者は 従業者への安全管理措置の周知徹底 教育及び訓練 として 次に掲げる措置を講じなければならない 1 従業者に対する採用時の教育及び定期的な教育 訓練 2 個人データ管理責任者及び個人データ管理者に対する教育 訓練 3 個人データの安全管理に係る就業規則等に違反した場合の懲戒処分の周知 4 従業者に対する教育 訓練の評価及び定期的な見直し ( 従業者による個人データ管理手続きの遵守状況の確認 ) 3-4 金融分野における個人情報取扱事業者は 従業者による個人データ管理手続きの遵守状況の確認 として 1-2 の個人データの安全管理に係る取扱規程に定めた事項の遵

守状況について 2-3 に基づく記録及び確認を行うとともに 2-5 に基づき点検及び監査を実施しなければならない 3) 実施体制の整備に関する技術的安全管理措置 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 6 項に基づき 個人データの安全管理措置に係る実施体制の整備における 技術的安全管理措置 として 次に掲げる措置を講じなければならない 1 個人データの利用者の識別及び認証 2 個人データの管理区分の設定及びアクセス制御 3 個人データへのアクセス権限の管理 4 個人データの漏えい 毀損等防止策 5 個人データへのアクセスの記録及び分析 6 個人データを取り扱う情報システムの稼動状況の記録及び分析 7 個人データを取り扱う情報システムの監視及び監査 ( 個人データの利用者の識別及び認証 ) 4-1 金融分野における個人情報取扱事業者は 個人データの利用者の識別及び認証 として 次に掲げる措置を講じなければならない 1 本人確認機能の整備 2 本人確認に関する情報の不正使用防止機能の整備 3 本人確認に関する情報が他人に知られないための対策 ( 個人データの管理区分の設定及びアクセス制御 ) 4-2 金融分野における個人情報取扱事業者は 個人データの管理区分の設定及びアクセス制御 として 次に掲げる措置を講じなければならない 1 従業者の役割 責任に応じた管理区分及びアクセス権限の設定 2 事業者内部における権限外者に対するアクセス制御 3 外部からの不正アクセスの防止措置 4-2-1 金融分野における個人情報取扱事業者は 外部からの不正アクセスの防止措置 として 次に掲げる措置を講じなければならない 1 アクセス可能な通信経路の限定 2 外部ネットワークからの不正侵入防止機能の整備 3 不正アクセスの監視機能の整備 4 ネットワークによるアクセス制御機能の整備 ( 個人データへのアクセス権限の管理 ) 4-3 金融分野における個人情報取扱事業者は 個人データへのアクセス権限の管理 として 次に掲げる措置を講じなければならない 1 従業者に対する個人データへのアクセス権限の適切な付与及び見直し 2 個人データへのアクセス権限を付与する従業者数を必要最小限に限定すること 3 従業者に付与するアクセス権限を必要最小限に限定すること ( 個人データの漏えい 毀損等防止策 ) 4-4 金融分野における個人情報取扱事業者は 個人データの漏えい 毀損等防止策 として 個人データの保護策を講ずることとともに 障害発生時の技術的対応 復旧手続を整備しなければならない 4-4-1 金融分野における個人情報取扱事業者は 個人データの保護策を講ずること

として 次に掲げる措置を講じなければならない 1 蓄積データの漏えい防止策 2 伝送データの漏えい防止策 3 コンピュータウイルス等不正プログラムへの防御対策 4-4-2 金融分野における個人情報取扱事業者は 障害発生時の技術的対応 復旧手続の整備 として 次に掲げる措置を講じなければならない 1 不正アクセスの発生に備えた対応 復旧手続の整備 2 コンピュータウイルス等不正プログラムによる被害時の対策 3 リカバリ機能の整備 ( 個人データへのアクセスの記録及び分析 ) 4-5 金融分野における個人情報取扱事業者は 個人データへのアクセスの記録及び分析 として 個人データへのアクセスや操作を記録するとともに 当該記録の分析 保存を行わなければならない また 不正が疑われる異常な記録の存否を定期的に確認しなければならない ( 個人データを取り扱う情報システムの稼動状況の記録及び分析 ) 4-6 金融分野における個人情報取扱事業者は 個人データを取り扱う情報システムの稼動状況の記録及び分析 として 個人データを取り扱う情報システムの稼動状況を記録するとともに 当該記録の分析 保存を行わなければならない ( 個人データを取り扱う情報システムの監視及び監査 ) 4-7 金融分野における個人情報取扱事業者は 個人データを取り扱う情報システムの監視及び監査 として 個人データを取り扱う情報システムの利用状況 個人データへのアクセス状況及び情報システムへの外部からのアクセス状況を 4-5 及び 4-6 により監視するとともに 監視システムの動作の定期的な確認等 監視状況についての点検及び監査を行わなければならない また セキュリティパッチの適用や情報システム固有の脆弱性の発見 その修正等 ソフトウェアに関する脆弱性対策を行わなければならない

Ⅱ. 金融分野における個人情報保護に関するガイドライン第 11 条に定める 従業者の監督 について 金融分野における個人情報取扱事業者は ガイドライン第 11 条に基づき Ⅰ.(2)2) 実施体制の整備に関する人的安全管理措置 に規定する措置を講ずることにより 従業者に対し 必要かつ適切な監督 を行わなければならない Ⅲ. 金融分野における個人情報保護に関するガイドライン第 12 条に定める 委託先の監督 について 金融分野における個人情報取扱事業者は ガイドライン第 12 条第 3 項に基づき 個人データを適正に取扱っていると認められる者を選定し 個人データの取り扱いを委託するとともに 委託先における当該個人データに対する安全管理措置の実施を確保しなければならない ( 個人データ保護に関する委託先選定の基準 ) 5-1 金融分野における個人情報取扱事業者は 個人データの取り扱いを委託する場合には ガイドライン第 12 条第 3 項 1 に基づき 次に掲げる事項を委託先選定の基準として定め 当該基準に従って委託先を選定するとともに 当該基準を定期的に見直さなければならない 1 委託先における個人データの安全管理に係る基本方針 取扱規程等の整備 2 委託先における個人データの安全管理に係る実施体制の整備 3 実績等に基づく委託先の個人データ安全管理上の信用度 4 委託先の経営の健全性 5-1-1 委託先選定の基準においては 委託先における個人データの安全管理に係る基本方針 取扱規程等の整備 として 次に掲げる事項を定めなければならない 1 委託先における個人データの安全管理に係る基本方針の整備 2 委託先における個人データの安全管理に係る取扱規程の整備 3 委託先における個人データの取扱状況の点検及び監査に係る規程の整備 4 委託先における外部委託に係る規程の整備 5-1-2 委託先選定の基準においては 委託先における個人データの安全管理に係る実施体制の整備 として Ⅰ(2)1) の組織的安全管理措置 同 2) の人的安全管理措置及び同 3) の技術的安全管理措置に記載された事項を定めるとともに 委託先から再委託する場合の再委託先の個人データの安全管理に係る実施体制の整備状況に係る基準を定めなければならない 5-2 金融分野における個人情報取扱事業者は 5-3 に基づき 委託契約後に委託先選定の基準に定める事項の委託先における遵守状況を定期的又は随時に確認するとともに 委託先が当該基準を満たしていない場合には 委託先が当該基準を満たすよう監督しなければならない ( 委託契約において盛り込むべき安全管理に関する内容 ) 5-3 金融分野における個人情報取扱事業者は 委託契約において 次に掲げる安全管理に関する事項を盛り込まなければならない 1 委託者の監督 監査 報告徴収に関する権限 2 委託先における個人データの漏えい 盗用 改ざん及び目的外利用の禁止 3 再委託における条件 4 漏えい事案等が発生した際の委託先の責任

( 注 ) 金融分野における個人情報取扱事業者は 再委託における条件 として 再委託の 可否及び再委託を行うに当たっての委託元への文書による事前報告又は承認等を 委託契約に盛り込むことが望ましい 金融分野における個人情報取扱事業者は 委託先において個人データを取り扱う者 の氏名 役職又は部署名を 委託契約に盛り込むことが望ましい 5-4 金融分野における個人情報取扱事業者は 5-3 に基づき 定期的に監査を行う等により 定期的又は随時に委託先における委託契約上の安全管理措置等の遵守状況を確認するとともに 当該契約内容が遵守されていない場合には 委託先が当該契約内容を遵守するよう監督しなければならない また 金融分野における個人情報取扱事業者は 定期的に委託契約に盛り込む安全管理措置を見直さなければならない ( 別添 1) 金融分野における個人情報保護に関するガイドライン第 10 条第 5 項 (2) に定める各管理段階における安全管理に係る取扱規程について 金融分野における個人情報取扱事業者は 1-2 に基づき 各管理段階ごとの安全管理に係る取扱規程において 6-1 から 6-6-1 までの事項を定めなければならない ( 取得 入力段階における取扱規程 ) 6-1 金融分野における個人情報取扱事業者は 取得 入力段階における取扱規程において 次に掲げる事項を定めなければならない 1 取得 入力に関する取扱者の役割 責任 2 取得 入力に関する取扱者の限定 3 取得 入力の対象となる個人データの限定 4 取得 入力時の照合及び確認手続き 5 取得 入力の規程外作業に関する申請及び承認手続き 6 機器 記録媒体等の管理手続き 7 個人データへのアクセス制御 8 取得 入力状況の記録及び分析 ( 注 ) 金融分野における個人情報取扱事業者は 取得 入力段階における取扱規程について 個人データへのアクセス制御 として 次に掲げる事項を定めることが望ましい 1 入館 ( 室 ) 者による不正行為の防止のための 業務実施場所及び情報システム等の設置場所の入退館 ( 室 ) 管理の実施 ( 例 ) 入退館 ( 室 ) の記録の保存 2 盗難等の防止のための措置 ( 例 ) カメラによる撮影や作業への立会い等による記録又はモニタリングの実施 ( 例 ) 記録機能を持つ媒体の持込み 持出し禁止又は検査の実施 3 不正な操作を防ぐための 個人データを取り扱う端末に付与する機能の 業務上の必要性に基づく限定 ( 例 ) スマートフォン パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応 ( 利用 加工段階における取扱規程 ) 6-2 金融分野における個人情報取扱事業者は 利用 加工段階における取扱規程において 組織的安全管理措置及び技術的安全管理措置を定めなければならない

6-2-1 利用 加工段階における取扱規程に関する組織的安全管理措置は 次に掲げる事項を含まなければならない 1 利用 加工に関する取扱者の役割 責任 2 利用 加工に関する取扱者の限定 3 利用 加工の対象となる個人データの限定 4 利用 加工時の照合及び確認手続き 5 利用 加工の規程外作業に関する申請及び承認手続き 6 機器 記録媒体等の管理手続き 7 個人データへのアクセス制御 8 個人データの管理区域外への持ち出しに関する上乗せ措置 9 利用 加工状況の記録及び分析 ( 注 ) 金融分野における個人情報取扱事業者は 利用 加工段階における取扱規程について 個人データへのアクセス制御 として 次に掲げる事項を定めることが望ましい 1 入館 ( 室 ) 者による不正行為の防止のための 業務実施場所及び情報システム等の設置場所の入退館 ( 室 ) 管理の実施 ( 例 ) 入退館 ( 室 ) の記録の保存 2 盗難等の防止のための措置 ( 例 ) カメラによる撮影や作業への立会い等による記録又はモニタリングの実施 ( 例 ) 記録機能を持つ媒体の持込み 持出し禁止又は検査の実施 3 不正な操作を防ぐための 個人データを取り扱う端末に付与する機能の 業務上の必要性に基づく限定 ( 例 ) スマートフォン パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応 6-2-1-1 個人データの管理区域外への持ち出しに関する上乗せ措置 は 次に掲げる事項を含まなければならない 1 個人データの管理区域外への持ち出しに関する取扱者の役割 責任 2 個人データの管理区域外への持ち出しに関する取扱者の必要最小限の限定 3 個人データの管理区域外への持ち出しの対象となる個人データの必要最小限の限定 4 個人データの管理区域外への持ち出し時の照合及び確認手続き 5 個人データの管理区域外への持ち出しに関する申請及び承認手続き 6 機器 記録媒体等の管理手続き 7 個人データの管理区域外への持ち出し状況の記録及び分析 6-2-2 利用 加工段階における取扱規程に関する技術的安全管理措置は 次に掲げる事項を含まなければならない 1 個人データの利用者の識別及び認証 2 個人データの管理区分の設定及びアクセス制御 3 個人データへのアクセス権限の管理 4 個人データの漏えい 毀損等防止策 5 個人データへのアクセス記録及び分析 6 個人データを取り扱う情報システムの稼動状況の記録及び分析 ( 保管 保存段階における取扱規程 ) 6-3 金融分野における個人情報取扱事業者は 保管 保存段階における取扱規程において 組織的安全管理措置及び技術的安全管理措置を定めなければならない 6-3-1 保管 保存段階における取扱規程に関する組織的安全管理措置は 次に掲げる事項を含まなければならない 1 保管 保存に関する取扱者の役割 責任

2 保管 保存に関する取扱者の限定 3 保管 保存の対象となる個人データの限定 4 保管 保存の規程外作業に関する申請及び承認手続き 5 機器 記録媒体等の管理手続き 6 個人データへのアクセス制御 7 保管 保存状況の記録及び分析 8 保管 保存に関する障害発生時の対応 復旧手続き ( 注 ) 金融分野における個人情報取扱事業者は 保管 保存段階における取扱規程について 個人データへのアクセス制御 として 次に掲げる事項を定めることが望ましい 1 入館 ( 室 ) 者による不正行為の防止のための 業務実施場所及び情報システム等の設置場所の入退館 ( 室 ) 管理の実施 ( 例 ) 入退館 ( 室 ) の記録の保存 2 盗難等の防止のための措置 ( 例 ) カメラによる撮影や作業への立会い等による記録又はモニタリングの実施 ( 例 ) 記録機能を持つ媒体の持込み 持出し禁止又は検査の実施 3 不正な操作を防ぐための 個人データを取り扱う端末に付与する機能の 業務上の必要性に基づく限定 ( 例 ) スマートフォン パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応 6-3-2 保管 保存段階における取扱規程に関する技術的安全管理措置は 次に掲げる事項を含まなければならない 1 個人データの利用者の識別及び認証 2 個人データの管理区分の設定及びアクセス制御 3 個人データへのアクセス権限の管理 4 個人データの漏えい 毀損等防止策 5 個人データへのアクセス記録及び分析 6 個人データを取り扱う情報システムの稼動状況の記録及び分析 ( 移送 送信段階における取扱規程 ) 6-4 金融分野における個人情報取扱事業者は 移送 送信段階における取扱規程において 組織的安全管理措置及び技術的安全管理措置を定めなければならない 6-4-1 移送 送信段階における取扱規程に関する組織的安全管理措置は 次に掲げる事項を含まなければならない 1 移送 送信に関する取扱者の役割 責任 2 移送 送信に関する取扱者の限定 3 移送 送信の対象となる個人データの限定 4 移送 送信時の照合及び確認手続き 5 移送 送信の規程外作業に関する申請及び承認手続き 6 個人データへのアクセス制御 7 移送 送信状況の記録及び分析 8 移送 送信に関する障害発生時の対応 復旧手続き 6-4-2 移送 送信段階における取扱規程に関する技術的安全管理措置は 次に掲げる事項を含まなければならない 1 個人データの利用者の識別及び認証 2 個人データの管理区分の設定及びアクセス制御 3 個人データへのアクセス権限の管理 4 個人データの漏えい 毀損等防止策

5 個人データへのアクセス記録及び分析 ( 消去 廃棄段階における取扱規程 ) 6-5 金融分野における個人情報取扱事業者は 消去 廃棄段階における取扱規程において 次に掲げる事項を定めなければならない 1 消去 廃棄に関する取扱者の役割 責任 2 消去 廃棄に関する取扱者の限定 3 消去 廃棄時の照合及び確認手続き 4 消去 廃棄の規程外作業に関する申請及び承認手続き 5 機器 記録媒体等の管理手続き 6 個人データへのアクセス制御 7 消去 廃棄状況の記録及び分析 ( 漏えい事案等への対応の段階における取扱規程 ) 6-6 金融分野における個人情報取扱事業者は 漏えい事案等への対応の段階における取扱規程において 次に掲げる事項を定めなければならない 1 対応部署の役割 責任 2 漏えい事案等への対応に関する取扱者の限定 3 漏えい事案等への対応の規程外作業に関する申請及び承認手続き 4 漏えい事案等の影響 原因等に関する調査手続き 5 再発防止策 事後対策の検討に関する手続き 6 自社内外への報告に関する手続き 7 漏えい事案等への対応状況の記録及び分析 6-6-1 自社内外への報告に関する手続きは 次に掲げる事項を含まなければならない 1 監督当局等への報告 2 本人への通知等 3 二次被害の防止 類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の早急な公表

( 別添 2) 金融分野における個人情報保護に関するガイドライン第 6 条に定める 機微 ( センシティブ ) 情報 ( 生体認証情報を含む ) の取り扱いについて 金融分野における個人情報取扱事業者は ガイドライン第 6 条に基づき 機微 ( センシティブ ) 情報について 同条第 1 項各号に掲げられた場合を除き 取得 利用又は第三者提供を行わず 同条第 2 項に基づき 同条第 1 項各号の事由を逸脱した取得 利用又は第三者提供を行うことのないよう 本実務指針 Ⅰ~Ⅲ に規定する措置に加えて 7-1 7-1-1 7-1-2 7-1-3 7-1-4 7-1-5 及び 7-2 に規定する措置を実施することとする また 機微 ( センシティブ ) 情報に該当する生体認証情報 ( 機械による自動認証に用いられる身体的特徴のうち 非公知の情報 以下同じ ) の取り扱いについては 別添 2 に規定する全ての措置を実施しなければならない 7-1 金融分野における個人情報取扱事業者は 1-2 に規定する 個人データの各管理段階における安全管理に係る取扱規程 において 機微 ( センシティブ ) 情報の取り扱いについて規程を整備するとともに 情報通信技術の状況等を踏まえ 必要に応じて 当該規程の見直しを行うこととする 7-1-1 金融分野における個人情報取扱事業者は 6-1 に規定する取得 入力段階における取扱規程において 機微 ( センシティブ ) 情報の取り扱いについては 6-1 に規定する事項に加えて 次に掲げる事項を定めることとする 1 ガイドライン第 6 条第 1 項各号に定める場合のみによる取得 2 取得 入力を行う取扱者の必要最小限の限定 3 取得に際して本人同意が必要である場合における本人同意の取得及び本人への説明事項 7-1-1-1 機微 ( センシティブ ) 情報に該当する生体認証情報の取り扱いは 取得 入力段階における取扱規程において 7-1-1 に規定する事項に加えて 次に掲げる事項を含まなければならない 1 なりすましによる登録の防止策 2 本人確認に必要な最小限の生体認証情報のみの取得 3 生体認証情報の取得後 基となった生体情報の速やかな消去 7-1-2 金融分野における個人情報取扱事業者は 6-2 に規定する利用 加工段階における取扱規程において 機微 ( センシティブ ) 情報の取り扱いについては 6-2-1 6-2-1-1 及び 6-2-2 に規定する事項に加えて 次に掲げる事項を定めることとする 1 ガイドライン第 6 条第 1 項各号に定める目的のみによる利用 加工 2 利用 加工を行う取扱者の必要最小限の限定 3 利用に際して本人同意が必要である場合における本人同意の取得及び本人への説明事項 4 必要最小限の者に限定したアクセス権限の設定及びアクセス制御の実施 7-1-2-1 機微 ( センシティブ ) 情報に該当する生体認証情報の取り扱いは 利用段階における取扱規程において 7-1-2 に規定する事項に加えて 次に掲げる事項を含まなければならない 1 偽造された生体認証情報による不正認証の防止措置 2 登録された生体認証情報の不正利用の防止措置 3 残存する生体認証情報の消去 4 認証精度設定等の適切性の確認 5 生体認証による本人確認の代替措置における厳格な本人確認手続き

7-1-3 金融分野における個人情報取扱事業者は 6-3 に規定する保管 保存における取扱規程において 機微 ( センシティブ ) 情報の取り扱いについては 6-3-1 及び 6-3-2 に規定する事項に加えて 次に掲げる事項を定めることとする 1 保管 保存を行う取扱者の必要最小限の限定 2 必要最小限の者に限定したアクセス権限の設定及びアクセス制御の実施 7-1-3-1 機微 ( センシティブ ) 情報に該当する生体認証情報の取り扱いは 保存段階における取扱規程において 7-1-3 に規定する事項に加えて 保存時における生体認証情報の暗号化を含まなければならないほか サーバー等における氏名等の個人情報との分別管理を含むこととする 7-1-4 金融分野における個人情報取扱事業者は 6-4 に規定する移送 送信における取扱規程において 機微 ( センシティブ ) 情報の取り扱いについては 6-4-1 及び 6-4-2 に規定する事項に加えて 次に掲げる事項を定めることとする 1 ガイドライン第 6 条第 1 項各号に定める目的のみによる移送 送信 2 必要最小限の者に限定したアクセス権限の設定及びアクセス制御の実施 7-1-5 金融分野における個人情報取扱事業者は 6-5 に規定する廃棄 消去における取扱規程において 機微 ( センシティブ ) 情報の取り扱いについては 6-5 に規定する事項に加えて 消去 廃棄を行う取扱者の必要最小限の限定について定めることとする 7-1-5-1 機微 ( センシティブ ) 情報に該当する生体認証情報の取り扱いは 消去段階における取扱規程において 7-1-5 に規定する事項に加えて 生体認証情報を本人確認に用いる必要性がなくなった場合は 速やかに保有する生体認証情報を消去することを含まなければならない 7-2 金融分野における個人情報取扱事業者は 2-5-2 に規定する監査の実施に当たっては 機微 ( センシティブ ) 情報に該当する生体認証情報の取り扱いに関し 外部監査を行うとともに 必要に応じて その他の機微 ( センシティブ ) 情報の取り扱いについても外部監査を行うこととする

( 別添 3) 金融分野における個人情報保護に関するガイドライン第 3 条第 3 項に規定する個人信用情報機関における会員管理について 個人信用情報機関は その会員が適正に個人信用情報 ( 信用情報機関に登録される資金需要者の返済能力に関する情報 以下同じ ) を登録 照会し 個人信用情報を返済能力の調査以外の目的のために使用しないことを確保するため 本実務指針 Ⅰ(2) に規定する措置に加え 8-1 から 8-4 までの措置を講ずることとする ( 資格審査 ) 8-1 個人信用情報機関は 入会申込時においては 適正な事業者のみが会員となるよう あらかじめ定めた入会基準に基づき 厳正に入会審査を行うこととする ( モニタリング ) 8-2 個人信用情報機関は 入会後においては 会員が入会基準を逸脱し また返済能力の調査以外の目的のために個人信用情報を使用しないよう 会員による個人信用情報へのアクセスに対する適切かつ継続的なモニタリングを行うこととする ( 不適正使用に対する処分 ) 8-3 個人信用情報機関は 個人信用情報の不適正な使用があった場合 あらかじめ定めた会員管理に関する規程に基づき 利用停止 退会その他の処分を実施するとともに再発防止策を講じることとする ( 外部監査 ) 8-4 個人信用情報機関は 個人信用情報機関におけるガイドライン及び本実務指針に従った安全管理措置が実施されていることを確認するため 外部監査を受けることとする

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック