コラム

🟧個人情報保護法3条施行規則3条

センシティブな情報とは、個人の人種、民族、婚姻の有無、年齢、肌の色、信教、 哲学又は政治的信条に関する情報

・個人の健康状態、学歴、遺伝若しくは性生活、又は犯罪歴・ 犯罪容疑に関する情報

・公的機関により発行されたソーシャルセキュリティーナン バー、病歴、ライセンスの取得・拒否・取消し・破棄、 及び納税申告書等の情報

・行政命令又は法律により特に指定された情報 「センシティブ個人情報」の処理には、後述のとおり通常

の個人情報よりも厳しい要件が必要となる場面が生じるため、 注意が必要。センシティブ個人情報については、その重要性から一定の場合を除いては処理することが認められていません。処理が認められる要件は以下のとおりです。

①個人情報の主体が予め特定された目的について同意している場合、

②個人情報の主体などの生命や健康を守るために必要であり、個人情報の主体が予め同意することが法的または物理的にできない場合、

③裁判手続きにおける法的な権利・利益を保護するためや法的な請求をするために必要な場合、など。

この点、日系企業が一般的に取得する個人の年齢、学歴、健康状態などもセンシティブ個人情報に含まれる情報であるため、取得などの際には、前述の「個人情報の主体が予め特定された目的について同意している」という要件を満たしていなければならないことに注意を払う必要があります。

 

🟧セキュリティー措置

対象企業は、個人情報を保護するために、①組織的、②物理的、③技術的なセキュリティー対策を講じることが義務付けられています。

 

①組織的なセキュリティー対策

• 本法を遵守するための監督者を選任
• 個人情報保護に関する社内規定の作成
• 個人情報の処理に関する記録の実施
• 個人情報にアクセスできる従業員等を選定し、これを監督
• 個人情報の処理手続を向上及び見直し
• 外部委託先において本法が遵守されているかの確認

施行規則26条

 

②物理的なセキュリティー対策※8

• 電子媒体の適切な使用に関するガイドラインを定めるなど、情報の集積する場所をモニタリングし、アクセスを制限する社内規定を導入
• 個人情報の処理をする者が適切に情報管理できるだけの作業場所を確保
• 個人情報を処理する者の義務、責任等の明確化
• 個人情報の適切な保護のために、電子媒体の破棄や再利用などに関する社内規定の導入
• 個人情報を含むファイルや機器が自然災害や外部からのアクセスにより破壊されることを防ぐための社内規定の導入

施行規則27条

 

③技術的なセキュリティー対策

• コンピューターネットワークを保護するための安全措置
• 個人情報を処理するシステムやサービスの機密性や利用可能性の維持・確認
• セキュリティー違反がないか定期的なモニタリングの実施
• 物理的・技術的な問題が生じたときに速やかに修復できる体制の整備
• セキュリティー対策が効果的であるかについて定期的な検証
• 個人情報やアクセスを制限する技術的なセキュリティー対策に関する暗号化

施行規則28条

 

5.罰則規定

罰則については、最大で7年間の懲役刑及び400万ペソの罰金が科されます。また、法人の場合は、その役員も処罰され、外国人は強制退去されることにもなります。後述のとおり、情報漏洩が発覚した際の業務停止命令も進出企業にとっては大きな痛手となりますが、このように役員個人への刑事罰も規定されているため、慎重な対応が必要です。以上

 

🟧社内規定に盛り込みが必要です。

ご相談は、ビジネスサポートセンターへお気軽にお声掛けください。

 

カテゴリー

アーカイブ