その他令和8年1月22日
個人情報の保護に関する法律に基づくガイドライン(金融分野)の一部改正等に伴う様式等の整備について
掲載日
令和8年1月22日
号種
号外
原文ページ
p.28 - p.30
出典:官報発行サイトの掲載情報を加工しています。AI 抽出や OCR に誤りが含まれる可能性があるため、 重要な確認は公式原文を基準にしてください。
AI要点
役職員・委託先の監督及び漏えい等の報告に関する規定
抽出された基本情報
発行機関金融庁
本文と原文の対照
まず左側の本文を読み、必要な箇所だけ原文ページで確認できる構成です。
← 同日の官報に戻る
原文対照の表示オプション
個人情報の保護に関する法律に基づくガイドライン(金融分野)の一部改正等に伴う様式等の整備について
令和8年1月22日|p.28-30
本文はAI抽出です。左の段落を選ぶと、右側の官報原文画像で該当箇所を照合できます。
(役職員の監督)
第13条 協会員は、その役職員に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、適切な内部管理体制を構築し、その役職員に対する必要かつ適切な監督を行わなければならない。
2 協会員は、前項の役職員に対する「必要かつ適切な監督」を以下の体制整備等により行うこととする。
(1) 役職員が、在職中及びその職を退いた後において、当該協会員の業務等に関して知り得た個人データを第三者に知らせ、又は利用目的外に使用しないことを内容とする契約等を採用時等に締結すること
(2) 個人データの適正な取扱いのための取扱規程の策定を通じた役職員の役割・責任の明確化及び役職員への安全管理義務の周知徹底、教育及び訓練を行うこと
(3) 役職員による個人データの持出し等を防ぐため、社内での安全管理措置に係る取扱規程に定めた事項の遵守状況等の確認及び役職員における個人データの取扱状況の点検及び監査制度を整備すること
(解説)
・ 役職員の定義については、第12条参照
(参照条文:保護法24条、通則ガイドライン3-4-3、金融分野ガイドライン9条)
(委託先の監督)
第14条 協会員は、個人データの取扱いの全部又は一部を委託(契約の形態や種類を問わず、協会員が他の者に個人データの取扱いの全部又は一部を行わせることを内容とする契約の一切を含む。)する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
なお、当該監督は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じたものとする。
2 協会員は、個人データを適正に取り扱っていると認められる者を選定し委託するとともに、取扱いを委託する個人データの安全管理が図られるよう、個人データの安全管理のための措置を委託先においても確保しなければならない(二段階以上の委託が行われた場合には、委託先の事業者が再委託先等の事業者に対して十分な監督を行っているかについても監督を行うものとする)。具体的には、以下の対応等が必要である。
(1) 個人データの安全管理のため、委託先における組織体制の整備及び安全管理に係る基本方針・取扱規程の策定等の内容を委託先選定の基準に定め、当該基準に従って委託先を選定するとともに、当該基準を定期的に見直すこと
(2) 委託者の監督・監査・報告徴収に関する権限、委託先における漏えい等の防止及び目的外利用の禁止、再委託に関する条件並びに漏えい等事案が発生した場合の委託先の責任を内容とする安全管理措置を委託契約に盛り込むとともに、定期的又は随時に当該委託契約に定める安全管理措置等の遵守状況を確認し、当該安全管理措置の見直しを行わなければならない。
(解説)
・ 委託先には外国の委託先も含まれる。
(参照条文:保護法25条、通則ガイドライン3-4-4、金融分野ガイドライン10条)
(漏えい等の報告等)
第15条 協会員は、その取り扱う個人データの漏えい等その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして次の各号のいずれかに該当するものが生じたときは、次項以下の定めに従って、当該事態が生じた旨を個人情報保護委員会(保護法第150条の規定により金融庁長官等が報告を受理する権限の委任を受けている場合にあっては金融庁長官等、保護法第170条の規定により地方公共団体の長等が報告を受理する権限に属する事務を行
う場合にあっては地方公共団体の長等。第11項において同じ。)に報告しなければならない。ただし、協会員が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。
(1) 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下第1項各号及び次項において同じ。)の漏えい等が発生し、又は発生したおそれがある事態
(2) 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(3) 不正の目的をもって行われたおそれがある当該協会員に対する行為による個人データ(当該協会員が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態
(4) 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
2 前項の規定による報告をする場合には、前項各号に定める事態を知った後、速やかに、当該事態に関する次の各号の事項(報告をしようとする時点において把握しているものに限る。第5項において同じ。)を報告しなければならない(この時点での報告を「速報」という。以下同じ)。
(1) 概要
(2) 漏えい等が発生し、又は発生したおそれがある個人データ(前項第(3)号に定める事態については、同号に規定する個人情報を含む。次号において同じ。)の項目
(3) 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
(4) 原因
(5) 二次被害又はそのおそれの有無及びその内容
(6) 本人への対応の実施状況
(7) 公表の実施状況
(8) 再発防止のための措置
(9) その他参考となる事項
3 前項の場合において、協会員は、当該事態を知った日から30日以内(当該事態が第1項第(3)号に定めるものである場合にあっては、60日以内)に、当該事態に関する前項各号に定める事項を報告しなければならない(この時点での報告を「確報」という。以下同じ)。
4 第1項による報告は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める方法により行うものとする。
(1) 個人情報保護委員会に報告する場合
施行規則第8条第3項第1号に定める報告書を提出する方法
(2) 保護法第150条第1項の規定により、第1項の規定による権限の委任を受けた事業所管大臣に報告する場合
施行規則第8条第3項第2号に定める報告書を提出する方法
5 協会員は、第1項ただし書の規定による通知をする場合には、同項各号に定める事態を知った後、速やかに、第2項各号に定める事項を通知しなければならない。
6 協会員は、その取り扱う個人である資金需要者等に関する個人データの漏えい等が発生し、又は発生したおそれがある事態を知ったときは、関係法令に従って、監督当局に報告しなければならない。
7 協会員は、次の各号のいずれかの事態(第1項及び前項に規定する事態を除く。)を知ったときは、第1項及び前項の規定に準じて、監督当局に報告することとする。
(1) その取り扱う個人情報の漏えい等が発生し、又は発生したおそれがある事態
(2) その取り扱う仮名加工情報に係る削除情報等(保護法第41条第1項の規定により行われた加工の方法に関する情報にあっては、その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるものに限る。第9項において同じ。)又は匿名加工情報に係る加工方法等情報の漏えいが発生し、又は発生したおそれがある事態
【個人データの漏えいに該当する事例】
事例1) 個人データが記載された書類を第三者に誤送付した場合
事例2) 個人データを含むメールを第三者に誤送信した場合
事例3) システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合
事例4) 個人データが記載又は記録された書類・媒体等が盗難された場合
事例5) 不正アクセス等により第三者に個人データを含む情報が窃取された場合
事例6) 協会員のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が、当該第三者に送信された場合であり、かつ、当該協会員が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
(3) 個人データの「滅失」とは、個人データの内容が失われることをいう。
なお、下記の場合であっても、その内容と同じデータが他に保管されている場合は、滅失に該当しない。また、協会員が合理的な理由により個人データを削除する場合は、滅失に該当しない。
【個人データの滅失に該当する事例】
事例1) 個人情報データベース等から出力された氏名等が記載された帳票等を誤って廃棄した場合
注) 当該帳票等が適切に廃棄されていない場合には、個人データの漏えいに該当する場合がある。
事例2) 個人データが記載又は記録された書類・媒体等を社内で紛失した場合
注) 社外に流出した場合には、個人データの漏えいに該当する。
(4) 個人データの「毀損」とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいう。
なお、下記事例2)及び事例3)の場合であっても、その内容と同じデータが他に保管されている場合は毀損に該当しない。
【個人データの毀損に該当する事例】
事例1) 個人データの内容が改ざんされた場合
事例2) 暗号化処理された個人データの復元キーを喪失したことにより復元できなくなった場合
事例3) ランサムウェア等により個人データが暗号化され、復元できなくなった場合
注) 同時に個人データが窃取された場合には、個人データの漏えいにも該当する。
(5) 報告すべき事態が発覚した場合に講じるべき措置(第10項)
協会員が本条に基づき報告すべき事態(第1項、第6項及び第7項に規定する事態)が発覚した場合に当該事態の内容等に応じて講じるべき必要な措置の内容は、次のとおりである。
① 事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。
② 事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。
③ 影響範囲の特定
上記②で把握した事実関係による影響範囲の特定のために必要な措置を講ずる。
④ 再発防止策の検討及び実施
上記②の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を講ずる。
⑤ 個人情報保護委員会への報告及び本人への通知
解説(6)から(10)を参照のこと。
なお、漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましい。
(6) 保護法に基づく報告対象事態(第1項)
協会員は、次の①から④までに掲げる事態(以下「保護法報告対象事態」という。)を知ったときは、個人情報保護委員会から権限の委任を受けている監督当局(財務局長若しくは財務支局長又は都道府県知事)及び本協会に報告しなければならない(第1項、第11項)。
なお、保護法報告対象事態に該当しない漏えい等事案であっても、協会員は個人情報保護委員会及び本協会に任意の報告をすることができる。
保護法報告対象事態における「おそれ」については、その時点で判明している事実関係に基づいて個別の事案ごとに蓋然性を考慮して判断することになる。漏えい等が発生したおそれについては、その時点で判明している事実関係からして、漏えい等が疑われるものの漏えい等が生じた確証がない場合がこれに該当する。
① 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態(第1項第(1)号関係)
【報告を要する事例】
事例1) 従業員の健康診断等の結果を含む個人データが漏えいした場合
② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(第1項第(2)号関係)
財産的被害が生じるおそれについては、対象となった個人データの性質・内容等を踏まえ、財産的被害が発生する蓋然性を考慮して判断する。
【報告を要する事例】
事例1) ECサイトからクレジットカード番号を含む個人データが漏えいした場合
事例2) 送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合
③ 不正の目的をもって行われたおそれがある当該協会員に対する行為による個人データ(当該協会員が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態(第1項第(3)号関係)
「不正の目的をもって行われたおそれがある当該協会員に対する行為」(以下「不正行為」という。)の主体には、第三者のみならず、従業者も含まれる。また、不正行為の相手方である「当該協会員」には、当該協会員が第三者に個人データの取扱いを委託している場合における当該第三者(委託先)及び当該協会員が個人データを取り扱うに当たって第三者の提供するサービスを利用している場合における当該第三者も含まれる。
当該協会員が「取得しようとしている個人情報」に該当するかどうかは、当該協会員が用いている個人情報の取得手段等を考慮して客観的に判断する。
個人情報データベース等へ入力すること等を予定していれば、最終的に個人情報に該当しない統計情報への加工を行うことを予定している場合等であっても、「個人データとして取り扱われることが予定されている」に該当する。
注) 協会員が、個人データとして取り扱うことを予定している個人情報の取扱いを第三者に委託する場合であって、当該第三者(委託先)が当該個人情報を個人データとして取り扱う予定はないときも、ここにいう「協会員が第三者に個人データの取扱いを委託している場合」に該当する。
【報告を要する事例】
事例1) 不正アクセスにより個人データ(個人情報データベース等へ入力する予定の個人情報を含む。以下、事例5)まで同じ。)が漏えいした場合
事例2) ランサムウェア等により個人データが暗号化され、復元できなくなった場合
事例3) 個人データが記載又は記録された書類・媒体等が盗難された場合
事例4) 従業者が顧客の個人データを不正に持ち出して第三者に提供した場合
注) 従業者による個人データ又は個人情報の持ち出しの事案について、「漏えい」が発生したおそれがある事態に該当し得る事例としては、例えば、個人データ又は個人情報を格納しているサーバや、当該サーバにアクセス権限を有する端末において、通常の業務で必要としないアクセスによりデータが窃取された痕跡が認められた場合が考えられる。
事例5) 従業者の私用の端末又は取引先の端末が情報を窃取するマルウェアに感染し、その後、当該端末と協会員のサーバとの電気通信に起因して、当該サーバも当該マルウェアに感染し、個人データが漏えいした場合
事例6) 協会員のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該協会員が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
事例7) 協会員のウェブサイト上に設置された、入力ページに遷移するためのリンクやボタンが第三者に改ざんされ、当該リンクやボタンをユーザーがクリックした結果、偽の入力ページに遷移し、当該ユーザーが当該偽の入力ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該協会員が、当該協会員の入力ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
事例8) 協会員が、第三者により宛先の改ざんされた返信用封筒を顧客に送付した結果、当該返信用封筒により返信されたアンケート用紙に記入された個人情報が当該第三者に送付された場合であり、かつ、当該協会員が、当該個人情報を個人情報データベース等へ入力することを予定していたとき
注) サイバー攻撃の事案について、「漏えい」が発生したおそれがある事態に該当し得る事例としては、例えば、次のイからホが考えられる。
イ 個人データ(個人情報データベース等へ入力する予定の個人情報を含む。ロにおいて同じ。)を格納しているサーバや、当該サーバにアクセス権限を有する端末において外部からの不正アクセスによりデータが窃取された痕跡が認められた場合
ロ 個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、情報を窃取する振る舞いが判明しているマルウェアの感染が確認された場合
ハ マルウェアに感染したコンピュータに不正な指令を送り、制御するサーバ(C&Cサーバ)が使用しているものとして知られているIPアドレス・FQDN (Fully Qualified Domain Nameの略。サブドメイン名及びドメイン名からなる文字列であり、ネットワーク上のコンピュータ(サーバ等)を特定するもの。)への通信が確認された場合
ニ 個人情報の取得手段であるウェブページを構成するファイルを保存しているサーバや、当該サーバにアクセス権限を有する端末において、外部からの不正アクセスにより、当該ファイルに、当該ウェブページに入力された情報を窃取するような改ざんがされた痕跡が確認された場合
ホ 不正検知を行う公的機関、セキュリティ・サービス・プロバイダ、専門家等の第三者から、漏えいのおそれについて、一定の根拠に基づく連絡を受けた場合
④ 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態(第1項第(4)号関係)
「個人データに係る本人の数」は、当該協会員が取り扱う個人データのうち、漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数をいう。「個人データに係る本人の数」について、事態が発覚した当初1,000人以下であっても、その後1,000人を超えた場合には、1,000人を超えた時点で第1項第(4)号に該当することになる。本人の数が確定できない漏えい等において、漏えい等が発生したおそれがある個人データに係る本人の数が最大1,000人を超える場合には、第1項第(4)号に該当する。
事例) システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1,000人を超える場合
なお、漏えい等が発生し、又は発生したおそれがある個人データ又は個人情報について、高度な暗号化等の秘匿化がされている場合等、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告を要しない。
p.28 / 3
読み込み中...
テキスト領域
選択中
非公開 (PII)