No

項目

概要

1

個人情報保護管理者（CPO)の設置

対策を推進実施させるには必須。社長兼務でもよい。

（経済省ガイドラインでは、安全対策上望ましい項目）

２

個人情報収集目的の限定

自社が必要とする個人情報の種類と収集目的を再考し、限定的に定める。（義務）

３

個人情報収集目的の明示

２で決定した収集目的について、その明示方法と明示箇所（パンフレットや各種帳票類）を洗い出し、その旨を追記する。 （義務）

４

従業員等の監督

２で決定した収集目的の遵守他、次頁で述べる個人データの安全管理が図られるよう必要かつ適切な監督徹底する。 （義務）就業規則等規程への必要な項目の盛り込みや「個人情報の取扱に関する同意書・誓約書」を取り交わす。

５

個人データの見直しと廃棄

２で限定した収集目的に該当しない個人データを保持していないか見直し、該当しないものは廃棄（注）処分とする。

６

開示手続き

外部からの個人データの開示請求の手続きと窓口について定め、本人の知りえる状態（公表・求めに応じて遅滞なく答えられる）にする。

No

項目

概要

１

個人情報に関する委託業務・派遣社員の受入れ業務がある場合

委託先・派遣会社との間で、個人情報保護に関する契約を整備する（委託契約書を取り交わしている場合は、機密条項に個人情報保護に関する内容を取り込む）

２

個人情報に関する「提供」がある場合

提供内容を再考し必要な場合は、個人情報を収集する際に「提供」に関して、同意をえられるよう、その旨の明示方法と明示箇所（パンフレットや各種帳票類）を洗い出し、その旨を追記する。 （義務）

　本人から「提供」の中止を求められた場合に、中止できる仕組みとなっているか確認する。仕組みがない場合は中止できる対策を検討する。（新たなシステムを導入する場合本機能を必ず取り込む）

３

①個人情報取扱場所が分散している場合

②個人情報保護法が自社与える影響が大きい場合

③将来Pマーク取得を視野に入れたい場合

プライバシーマーク制度の説明にあるようなＣＰ（コンプライアンスプログラム）の構築と実践を目指し、体系だって取組むべきである。

まずは、ＣＰの上位文書である「個人情報基本方針（個人情報保護宣言）」と「個人情報保護基本規程」を策定する。

本基本規程に基づいて、必要な各種取扱規程を整備する。

４

個人情報の「安全管理」

個人情報流出事故等、最も重要でかつ手間がかかる対策であり、組織形態、システム形態、データの分散管理状況等に応じた適切な管理策を選択する必要がある。

「安全管理措置」については、以下の手順が考えられる。

①現状評価（ギャップ分析）

　経済省ガイドラインにある望ましい「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」をチェックリストとして、 現状について「実施済み」「未実施」「該当しない」を評価する。本社、支店等組織形態に応じてもらさず評価する。　

②対策の検討

　未実施の項目を中心に、具体的対策を検討する。　このようなリスクアセスメント作業に関しては、費用対効果の視点等、専門家のアドバイスを受けた方がよい場合が多い。　

No

項目

対象組織＊

時期

Ａ

Ｂ

１

「個人情報保護管理者」（必要に応じて対応ﾌﾟﾛｼﾞｪｸﾄ）の設置

○

○

３月一杯

目標

２

「個人情報保護基本方針」の策定と承認

○

－

３

「個人情報保護基本規程」の策定と承認

○

－

４

「個人情報保護管理体制」の策定と承認

○

－

５