成功する中小企業の人材育成 ここがポイント

名南経営コンサルティング 山田亮太 公式ブログ


【プライバシーマーク担当者への耳より情報】
■新審査基準への対応に向けて
 今月も「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」の一つである、委託先との契約(A.3.4.3.4 委託先の監督)について、ご説明します。

JIS Q15001:2017(附属書A)では、委託先との契約に関して以下の通り定めています。
 ===========================================
 <委託先の監督(A.3.4.3.4)>
 組織は、個人データの取扱いの全部又は一部を委託する場合、
 特定した利用目的の範囲内で委託契約を締結しなければならない。
………中略………
組織は、次に示す事項を契約によって規定し、十分な個人データの保護水準を担保しなければならない。
………中略………
h)契約終了後の措置
 組織は、当該契約書などの書面を少なくとも個人データの保有期間にわたって保存しなければならない。
 ===========================================
JIS Q15001:2006からの変更点としては、委託先における個人情報の漏洩防止や目的外利用の観点から、
委託先との契約書に明記する事項に、「h)契約終了後の措置」が追加されました。


そのため、今後委託先と新たに締結する契約書には「契約終了後の措置」について明記する必要があります。

なお、既存の委託先と既に締結している契約書についても、再締結することが望ましいですが、
再締結をしない場合には、最低限事業者側で「契約終了後の措置」について取り決めがないことを、
残留リスクとして認識しなければなりません。


今後も、毎月ポイントを絞って新規格の内容についてお伝えしますので、引き続きご確認くださいませ。



今月も「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」の一つである、共同利用についての契約(A.3.4.2.8 個人データ
の提供に関する措置)について、ご説明します。

 

JIS Q15001:2017(附属書A)では、共同利用についての契約に関して以下の通り定
めています。

=====================================

<個人データの提供に関する措置(A.3.4.2.8)>

組織は、個人データを第三者に提供する場合には………中略………。ただし、次に
掲げるいずれかに該当する場合には、本人に通知し、本人の同意を得ることを要し
ない。

………中略………

f)個人データを共同利用している場合であって、共同して利用する者の間で、A.3.
4.2.7
に規定する共同利用について契約によって定めているとき

=====================================

JIS Q15001:2006では、「共同して利用すること」「共同して利用される個人情報の
項目」「共同して利用する者の範囲」「共同して利用する者の利用目的」「共同して
利用する個人情報の管理について責任を有する者の氏名又は名称」「取得方法」につ
いてあらかじめ本人に通知、又は本人が容易に知りうる状態においているときには、
共同利用することを認めていました。しかし、共同利用先が情報漏えいを起こした際
の取り決めについては、何ら明確に定められていなかったため、今回の改訂で「共同
利用についての契約」が追加されることになりました。

 

この共同利用の契約について、JIS Q15001:2017(附属書B)を見ますと、

・共同して利用する者の要件

・各共同して利用する者の個人情報取扱責任者・問い合わせ担当者及び連絡先

・共同利用する個人情報の取扱いに関する事項(漏えい防止に関する事項、目的外加工、
利用、複写、複製の禁止など)

・共同利用する個人情報の取扱いに関する取り決めが遵守されなかった場合の措置

・共同利用する個人情報に関する事件・事故が発生した場合の報告・連絡に関する事項

・共同利用を終了する際の手続き

などを含めることが望ましい、と記されています。

 

そのため、グループ会社等と個人情報の共同利用を行っている企業様は、上記の内容を
含んだ契約書の締結を順次進めていく必要があります。

 

今後も、毎月ポイントを絞って新規格の内容についてお伝えしますので、引き続きご確認くださいませ。


今月も「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」の一つである、台帳の整備(A.3.3.1 個人情報の特定)について、
ご説明します。

 

JIS Q15001:2017(附属書A)では、台帳の整備に関して以下の通り定めています。

=========================================

<個人情報の特定(A.3.3.1)>

組織は、個人情報の項目、利用目的、保管場所、保管方法、アクセス権を有する者、
利用期限、保管期限などを記載した、個人情報を管理するための台帳を整備するとともに、
当該台帳の内容を少なくとも年一回、適宜に確認し、最新の状態で維持されるようにしな
ければならない。

=========================================

JIS Q15001:2006では、個人情報を管理するための台帳に、

「個人情報の項目」「利用目的」「保管場所」「保管方法」「アクセス権限を有する者」

「利用期限」「件数」

を記載することを要求していましたので、変更点としては「件数」が除外され、「保管期限」
が追加されたことになります。ただし、「件数」はリスクアセスメントの際に必要になるため、
概数は把握しておくと良いでしょう。

 

また、JIS Q15001:2017(附属書B)を見ますと、上記に加えて、

・要配慮個人情報の存否 

・取得の形態(本人から直接書面によって取得するか否か)

・利用目的などの本人への明示又は通知の方法 

・本人同意の有無 

・本人への連絡又は接触及び第三者提供(共同利用を含む)に関する事項

・委託に関する事項

などを含めることが望ましい、と記されています。

 

プライバシーマーク取得事業者においては、上記を踏まえて、

 ① 「保管期限」「要配慮個人情報の存否」等、台帳に追加すべき項目の選定

 ②  ①を踏まえた、個人情報を管理する台帳の整備及び運用
を実施する必要があります。


このページのトップヘ