個人情報保護法における個人情報保護管理者の役割

by onebecolumn_admin · 2023年11月20日

近年のIT技術の発展に伴い、私たちの生活が便利で豊かになっているなか、世の中の個人情報に関する関心も日が経つごとに高まっています。

その一方で、情報漏洩などの個人情報に関する事件や事故も相次いでいるのが現状です。

個人情報保護のためにそれぞれ企業では方針を定めているとは思いますが、実際にそれが実行され、また管理されていなければ意味がありません。

そこで重要になってくるのが、企業が定めた個人情報保護のための方針をしっかり実行、管理する役割を持つ個人情報保護管理者です。

今回は、個人情報保護管理者について解説していきます。

個人情報保護管理者とは

プライバシーマーク（Pマークともいう）を取得している企業は、企業の個人情報保護方針に基づき、「個人情報保護マネジメントシステム」を確立させ、個人情報を安全に運用・管理をする必要があります。

この個人情報保護マネジメントシステムをきちんと実行し、また、管理をする役割を担うのが「個人情報管理者」です。

個人情報に関する事件や事故を起こさないためにも、企業は、個人情報の責任者である個人情報保護管理者を選定し、日頃からの周知、管理をしていくことが重要となってきます。

個人情報保護管理者になるためには特別な資格はいりません。

ですが、会社の信頼や責任を背負う役割でもあるため、人選には十分な考慮が必要です。

では、一体どのような人が個人情報保護管理者として望ましいのでしょうか。

JIS（日本産業規格）が定めている、個人情報保護に関する遵守すべき規定をまとめた「個人情報マネジメントシステムの要求事項」の概要には、社外に責任が持てる者が望ましい、とあります。

ちなみにJISとは、日本の産業製品に関する規格などが定められた日本の国家規格です。

このJISが定めている、個人情報マネジメントシステムの要求事項に適合していると判断されて、初めて、プライバシーマークを取得することができます。

社内だけでなく、社外への責任も担う必要があることから、個人情報の取り扱いを理解しているのはもちろんのこと、責任を担える取締役や部長などの管理職の人が望ましいと言えます。

また、企業が個人情報マネジメントシステムを構築する際には、個人情報保護管理者の他に個人情報保護監査責任者が必要です。

この管理者と監査責任者は兼任が出来ないので、管理者は監査責任者の人以外からの選出が必須となります。

具体的な役割としては、個人情報取扱事業者として必要なルールを守ることです。

そのために、定期的に個人情報の取り扱いについて従業員に教育を施し、施された内容と結果について確認し、個人情報保護管理者が承認する必要があります。

さらに、企業の個人情報保護の取り組みを社長などの代表者に報告するのも個人情報保護管理者の役割です。

以下、それぞれの場面での守るべきルールについて簡単に記載します。

取得・利用する際には「利用目的」を明確にし、以下のいずれかを行わなければなりません。

また、取得した個人情報は利用目的の範囲内での利用し、もし利用目的の範囲外で利用することがある際には、本人の同意が予め必要になります。

個人情報の漏洩などが起こらないように、従業員や委託先においても適切な管理が行われているか、さらには、もし情報漏洩などが発生し、個人の権利利益を大きく損なう恐れがある場合は、個人情報保護委員会に報告し、本人に通知しなければなりません。

個人情報を他人に渡す際には、例外を除き、予め本人の同意を得ることが必須となります。

また、個人情報の提供側は、「いつ・誰の・どんな情報を・誰に」提供したか、受け取った側は、「いつ・誰の・どんな情報を・誰から」受け取ったかを記録し、原則3年間は保存が必要です。

下記のいずれかを満たすことが条件になります。

こちらも③と同じく、提供側も受け取った側も記録をして、保管が必要です。

本人から企業が保有している個人情報の開示を求められた際には、電子データなどを含め、求められた形で本人に開示をし、訂正・利用停止などの要求があれば訂正・利用停止する必要があります。

また、第三者に個人情報を提供した記録も開示対象となりますので、開示を求められた際には対応が必要です。

個人情報保護法における個人情報保護管理者の役割については、理解いただけましたでしょうか。個人情報取扱事業者として、個人情報を適切に利用、管理していくためには、個人情報保護管理者の存在が不可欠です。企業内でしっかりとした協議の上、適任者を選定し、個人情報保護に努めましょう。