このツールを用いた作例
作例1: Google Workspace を活用する中小規模事業者
以下は、Google Workspace を活用する国内の中小規模事業者の例です。Google Workspace は、シンガポール共和国に所在する Google Asia Pacific Pte. Ltd. と契約して利用しています。個人データが保存されるサーバーが所在する国の候補は、Google データセンターのロケーション(https://datacenters.google/intl/ja_ALL/locations/)を参考に入力しています。
保有個人データの安全管理のために講じた措置
基本方針の策定
- 個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問および苦情処理の窓口」等についての基本方針を策定しています。
個人データの取扱いに係る規律の整備
- 個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備しています。
組織的安全管理措置
- 整備した取扱方法に従って個人データが取り扱われていることを責任者が確認しています。
- 従業者から責任者に対する報告連絡体制を整備しています。
人的安全管理措置
- 個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施しています。
- 個人データについての秘密保持に関する事項を就業規則に記載しています。
物理的安全管理措置
- 個人データを取り扱うことのできる従業者および本人以外が容易に個人データを閲覧できないような措置を実施しています。
- 個人データを取り扱う機器、電子媒体および書類等の盗難または紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施しています。
技術的安全管理措置
- 個人データを取り扱うことのできる機器および当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止しています。
- 個人データを取り扱う機器を外部からの不正アクセスまたは不正ソフトウェアから保護する仕組みを導入しています。
外的環境の把握
- 個人データを取り扱うシンガポール共和国における個人情報の保護に関する制度を把握した上で安全管理措置を実施しています。外国の個人情報の保護に関する制度については、個人情報保護委員会の「諸外国・地域の法制度」のページ(https://www.ppc.go.jp/enforcement/infoprovision/laws/)をご覧ください。
- 外国にある第三者の提供するクラウドサービスの利用に伴い、外国において個人データを取り扱います。クラウドサービス提供事業者は、シンガポール共和国に所在しています。クラウドサービス提供事業者との契約上、サーバーの所在国を指定することができないため、個人データが保存されるサーバーが所在する国を特定することができません。サーバーが所在する国の候補は、台湾、シンガポール共和国、日本国、アイルランド、ドイツ連邦共和国、オランダ王国、ベルギー王国、デンマーク王国、フィンランド共和国、アメリカ合衆国およびチリ共和国です。当該外国における個人情報の保護に関する制度を把握した上で安全管理措置を実施しています。外国の個人情報の保護に関する制度については、個人情報保護委員会の「諸外国・地域の法制度」のページ(https://www.ppc.go.jp/enforcement/infoprovision/laws/)をご覧ください。
作例2: Notion を活用する事業者(中小規模事業者に該当しない)
以下は、中小規模事業者に該当しない国内の事業者の例です。アメリカ合衆国に所在する Notion Labs, Inc. と契約して、顧客データの管理に Notion を利用しています。個人データが保存されるサーバーが所在する国の候補は、Notion's List of Subprocessors(https://www.notion.so/notion/Notion-s-List-of-Subprocessors-268fa5bcfa0f46b6bc29436b21676734)を参考に入力しています。
保有個人データの安全管理のために講じた措置
基本方針の策定
- 個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問および苦情処理の窓口」等についての基本方針を策定しています。
個人データの取扱いに係る規律の整備
- 取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者およびその任務等について個人データの取扱規程を策定しています。
組織的安全管理措置
- 個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者および当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実または兆候を把握した場合の責任者への報告連絡体制を整備しています。
- 個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施しています。
人的安全管理措置
- 個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施しています。
- 個人データについての秘密保持に関する事項を就業規則に記載しています。
物理的安全管理措置
- 個人データを取り扱う区域において、従業者の入退室管理および持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施しています。
- 個人データを取り扱う機器、電子媒体および書類等の盗難または紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施しています。
技術的安全管理措置
- アクセス制御を実施して、担当者および取り扱う個人情報データベース等の範囲を限定しています。
- 個人データを取り扱う情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護する仕組みを導入しています。
外的環境の把握
- 個人データを取り扱うアメリカ合衆国における個人情報の保護に関する制度を把握した上で安全管理措置を実施しています。外国の個人情報の保護に関する制度については、個人情報保護委員会の「諸外国・地域の法制度」のページ(https://www.ppc.go.jp/enforcement/infoprovision/laws/)をご覧ください。
- 外国にある第三者の提供するクラウドサービスの利用に伴い、外国において個人データを取り扱います。クラウドサービス提供事業者は、アメリカ合衆国に所在しています。クラウドサービス提供事業者との契約上、サーバーの所在国を指定することができないため、個人データが保存されるサーバーが所在する国を特定することができません。サーバーが所在する国の候補は、アメリカ合衆国およびドイツ連邦共和国です。当該外国における個人情報の保護に関する制度を把握した上で安全管理措置を実施しています。外国の個人情報の保護に関する制度については、個人情報保護委員会の「諸外国・地域の法制度」のページ(https://www.ppc.go.jp/enforcement/infoprovision/laws/)をご覧ください。
中小規模事業者の該当確認オプション
以下の質問に回答すると、中小規模事業者に該当するかどうかが分かります。中小規模事業者の場合は、基本とする安全管理措置として「中小規模事業者における安全管理のために講じた措置として本人の知り得る状態に置く内容の事例」を選択することができます。
従業員の数は100人を超えていますか?
判定結果
条件を選択してください
中小規模事業者の定義: 従業員(中小企業基本法(昭和38年法律第154号)における従業員をいい、労働基準法(昭和22年法律第49号)第20条の適用を受ける労働者に相当する者をいう。ただし、同法第21条の規定により同法第20条の適用が除外されている者は除く。)の数が100人以下の個人情報取扱事業者(ただし、個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において5,000を超える者および委託を受けて個人データを取り扱う者は除く。)
個人データを取り扱う外国オプション
外国で個人データを取り扱う場合は、当該国の名称を入力してください。
外国にある第三者の提供するクラウドサービスの利用オプション
以下の質問に回答すると、外国にある第三者の提供するクラウドサービスの利用に関する事項を「外的環境の把握」に含めることができます。
外国にある第三者の提供するクラウドサービスを利用していますか?
基本とする安全管理措置必須
基本とする安全管理措置を選択してください。