約7年ぶりに改正された新JIS Q 15001について、前回に続き、旧JISからどのような内容へと変更されたのか、プライバシーマークの実務的な観点から、新JISの全体像について解説する。今回から要求事項について「実施及び運用」(要求事項3.4)の解説に入る。
「実施及び運用」(要求事項3.4)の全体像
「実施及び運用」(要求事項3.4)の解説に移る。5つのパートに細分化されている。
大雑把にいえば、このうちの要求事項3.4.2から3.4.4までの部分が、保護法4章1節(個人情報取扱事業者の義務)の規定に対応している。つまり、要求事項のうちで最も大切な部分となる。
要求事項 | 表 題 |
---|---|
3.4.1 | 運用手順 |
3.4.2 | 取得、利用及び提供に関する原則 |
3.4.3 | 適正管理 |
3.4.4 | 個人情報に関する本人の権利 |
3.4.5 | 教育 |
本シリーズ「その5」で、新JISの要求事項を保護法と比べて計3類型に大別できることを説明した。
理解のために大切なので、以下に再掲しておく。
保護法との関係-新JIS要求事項の分類 | |
---|---|
(1) 保護法の義務を新JISで確認したにとどまる要求事項 | 確認事項 |
(2) 保護法の義務を上回る対応を新JISで上乗せ(付加)した要求事項 | 付加事項 |
(3) 保護法に定められていない事項について新JISが独自に固有の要求事項としているもの | 固有事項 |
新JISに基づくプライバシーマークの取得・更新予定企業が「実施及び運用」(要求事項3.4)に対応するためには、こうした分類に従って、具体的な対応を考えていくことが得策である。
どの部分が、これまで実施してきた保護法対策だけで足りるのか、それとも、新しくどの部分をどのように付け加えなければならないのか、新JISに対応してプライバシーマークを取得するための検討作業が容易になるからである。
そのため、以下では、この3類型に即して説明する。
「取得、利用及び提供に関する原則」(要求事項3.4.2)
「取得、利用及び提供に関する原則」(要求事項3.4.2)は、さらに8つのパートに分かれる。保護法との対応関係も「表」のなかで示した。
要求 事項 |
表 題 | 対応する保護法規定 | 類 型 |
---|---|---|---|
3.4.2.1 | 利用目的の特定 | 15条・16条1項 | 確認事項 |
3.4.2.2 | 適正な取得 | 17条 | 確認事項 |
3.4.2.3 | 特定の機微な個人情報の取得、利用及び提供の制限 | ―― | 固有事項 |
3.4.2.4 | 本人から直接書面によって取得する場合の措置 | 18条2項 | 付加事項 |
3.4.2.5 | 個人情報を3.4.2.4以外の方法によって取得した場合の措置 | 18条1項 | 確認事項 |
3.4.2.6 | 利用に関する措置 | 16条 | 付加事項 |
3.4.2.7 | 本人にアクセスする場合の措置 | ―― | 固有事項 |
3.4.2.8 | 提供に関する措置 | 23条 | 付加事項 |
確認事項
このうち新JIS の要求事項3.4.2.1(後述の3.4.2.6に注意)、3.4.2.2、3.4.2.5(後述の3.4.2.7に注意)は、ほぼ保護法の規定を単に確認しただけの内容(確認事項)となっている。ただし、確認しただけといっても、前述のように、「個人情報」の概念が死者の情報を含む点で、保護法の概念よりも広いことに注意する必要がある。
付加事項1-要求事項3.4.2.4と3.4.2.6
これに対し、直接書面取得についての新JIS 3.4.2.4、そして利用に関する措置についての新JISの要求事項3.4.2.6は、それぞれ保護法の規定に「上乗せ」した付加事項となっている。
まず、直接書面取得について、保護法18条2項では、事前に利用目的をだけを本人に明示すれば足りるとしている。これに対し、新JIS の要求事項3.4.2.4では、明示すべき事項が拡張されて増加しており、しかも本人の同意を得なければならない点で、保護法よりも厳しい内容である。
次に、目的外利用について、保護法16条1項では、本人の事前同意を得れば足りる。これに対し、新JIS 3.4.2.6では、直接書面取得の際における明示事項と同様の事項を、事前に本人に通知しなければならない。
これが「上乗せしている」と指摘した意味である。
固有事項
保護法に定められていない事項について、新JISが独自の要求事項(固有事項)としているものもある。
まず、新JISの要求事項3.4.2.3である。特定の機微な個人情報の取扱いについては保護法に定められていないのに対し、要求事項3.4.2.3では制限されている。特定の機微な個人情報とは、センシティブ情報の意味であり、「思想、信条又は宗教に関する事項」などが例示されている。ただし、「法令に基づく場合」など、例外事項も比較的広く定められている。
新JISの要求事項3.4.2.7も、保護法に定められていない事項である。「本人にアクセスする」とは、取得した個人情報を使って本人宛にダイレクトメールを発送するような場合を想定している。ここでは直接書面取得以外の方法で取得したケースが想定されている。こうしたケースでは、「本人にアクセスする」際に、原則として利用目的、取得方法など定められた事項を通知して、本人の同意を得なければならない。
付加事項2-要求事項3.4.2.7
新JISの要求事項3.4.2.8は、第三者提供の制限に関する保護法23条に対応する要求事項である。両者は、ほぼ同趣旨となっている。しかし、保護法23条は「個人データ」を対象情報としている。これに対し、新JIS3.4.2.8は「個人情報」を対象情報としている。つまり、対象情報が「個人情報」へと拡張されている。
しかも、第三者提供のために本人の同意を得ることを要するとしている点では、保護法と同様であるが、本人の同意を得るにあたり、あらかじめ一定の通知事項を通知して同意を得ることを要求している。この点でも保護法の規定に「上乗せ」した内容内容となっている。 したがって、これも付加事項にあたる。
次回は、新JISの要求事項3.4.3(適正管理)について説明する予定である。
◎関連資料
◆規格詳細情報「JIS Q 15001:2006」(財団法人日本規格協会)
◆個人情報保護法(内閣府)
◆個別分野ごとのガイドライン(内閣府)
◆書籍案内「JIS Q 15001:2006 個人情報保護マネジメントシステム 要求事項の解説」(財団法人日本規格協会)
◆書籍案内「これだけは守りたい Privacyマーク ルールブック」(日経出版販売)