今月も「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」の一つである、共同利用についての契約(A.3.4.2.8 個人データ
の提供に関する措置)について、ご説明します。
JIS Q15001:2017(附属書A)では、共同利用についての契約に関して以下の通り定
めています。
=====================================
<個人データの提供に関する措置(A.3.4.2.8)>
組織は、個人データを第三者に提供する場合には………中略………。ただし、次に
掲げるいずれかに該当する場合には、本人に通知し、本人の同意を得ることを要し
ない。
………中略………
f)個人データを共同利用している場合であって、共同して利用する者の間で、A.3.
4.2.7に規定する共同利用について契約によって定めているとき
=====================================
JIS Q15001:2006では、「共同して利用すること」「共同して利用される個人情報の
項目」「共同して利用する者の範囲」「共同して利用する者の利用目的」「共同して
利用する個人情報の管理について責任を有する者の氏名又は名称」「取得方法」につ
いてあらかじめ本人に通知、又は本人が容易に知りうる状態においているときには、
共同利用することを認めていました。しかし、共同利用先が情報漏えいを起こした際
の取り決めについては、何ら明確に定められていなかったため、今回の改訂で「共同
利用についての契約」が追加されることになりました。
この共同利用の契約について、JIS Q15001:2017(附属書B)を見ますと、
・共同して利用する者の要件
・各共同して利用する者の個人情報取扱責任者・問い合わせ担当者及び連絡先
・共同利用する個人情報の取扱いに関する事項(漏えい防止に関する事項、目的外加工、
利用、複写、複製の禁止など)
・共同利用する個人情報の取扱いに関する取り決めが遵守されなかった場合の措置
・共同利用する個人情報に関する事件・事故が発生した場合の報告・連絡に関する事項
・共同利用を終了する際の手続き
などを含めることが望ましい、と記されています。
そのため、グループ会社等と個人情報の共同利用を行っている企業様は、上記の内容を
含んだ契約書の締結を順次進めていく必要があります。
今後も、毎月ポイントを絞って新規格の内容についてお伝えしますので、引き続きご確認くださいませ。
