個人情報保護法のガイドラインにおける「〜なければならない」「〜望ましい」の違い

経営層の皆様は、「個人情報の保護に関する法律についてのガイドライン(通則編)」の各項目の説明で、文末が「〜なければならない」と「〜望ましい」の違いがあることを認識しておられますか?

「個人情報の保護に関する法律」が成立した当初、内閣府から「ガイドライン」の位置付けとその解釈について説明会が実施されていました。
すでにご承知の方も多いと思いますが、位置付けは「法律の運用解釈集」であり、法律と同様の重みを持つものとされました。

当時は、各省庁ごとにガイドラインが制定されていましたが、解釈に関する基本的な考え方は一緒で、「〜なければならない」と説明してある項目は、万が一、個人情報の流出等が発生した場合で個人情報取扱事業者の対策に不備があった場合、法に「抵触している」とされる、というものです。
そして、この考え方は現在でも継続しています。

注.某教育事業者における大規模漏洩事件から、より厳しい「個人情報保護法違反」と表現されるようになったと記憶しています。

また、「〜望ましい」と説明してある項目は、基本的な考え方はいわゆる「努力目標」とされていましたが、少なくとも上場企業であれば「「〜しなければならない」と考えてほしい旨の説明がされていました。

さて、皆様の組織はいかがでしょう?

まさか「理解していなかった」「そのようなことは知らなかった」なんてことはないですよね?
中小規模事業者だし、個人情報保護法の通則編はよくわからないから自分たちには関係ないとお考えですか?

以前の投稿個人情報保護に関する管理職・役員向け教育・訓練を実施していますか?にも2つの表現が出てきます。
ぜひ見直していただければ幸いです。