成功する中小企業の人材育成 ここがポイント

名南経営コンサルティング 山田亮太 公式ブログ



今月も「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」の一つである、共同利用についての契約(A.3.4.2.8 個人データ
の提供に関する措置)について、ご説明します。

 

JIS Q15001:2017(附属書A)では、共同利用についての契約に関して以下の通り定
めています。

=====================================

<個人データの提供に関する措置(A.3.4.2.8)>

組織は、個人データを第三者に提供する場合には………中略………。ただし、次に
掲げるいずれかに該当する場合には、本人に通知し、本人の同意を得ることを要し
ない。

………中略………

f)個人データを共同利用している場合であって、共同して利用する者の間で、A.3.
4.2.7
に規定する共同利用について契約によって定めているとき

=====================================

JIS Q15001:2006では、「共同して利用すること」「共同して利用される個人情報の
項目」「共同して利用する者の範囲」「共同して利用する者の利用目的」「共同して
利用する個人情報の管理について責任を有する者の氏名又は名称」「取得方法」につ
いてあらかじめ本人に通知、又は本人が容易に知りうる状態においているときには、
共同利用することを認めていました。しかし、共同利用先が情報漏えいを起こした際
の取り決めについては、何ら明確に定められていなかったため、今回の改訂で「共同
利用についての契約」が追加されることになりました。

 

この共同利用の契約について、JIS Q15001:2017(附属書B)を見ますと、

・共同して利用する者の要件

・各共同して利用する者の個人情報取扱責任者・問い合わせ担当者及び連絡先

・共同利用する個人情報の取扱いに関する事項(漏えい防止に関する事項、目的外加工、
利用、複写、複製の禁止など)

・共同利用する個人情報の取扱いに関する取り決めが遵守されなかった場合の措置

・共同利用する個人情報に関する事件・事故が発生した場合の報告・連絡に関する事項

・共同利用を終了する際の手続き

などを含めることが望ましい、と記されています。

 

そのため、グループ会社等と個人情報の共同利用を行っている企業様は、上記の内容を
含んだ契約書の締結を順次進めていく必要があります。

 

今後も、毎月ポイントを絞って新規格の内容についてお伝えしますので、引き続きご確認くださいませ。


今月も「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」の一つである、台帳の整備(A.3.3.1 個人情報の特定)について、
ご説明します。

 

JIS Q15001:2017(附属書A)では、台帳の整備に関して以下の通り定めています。

=========================================

<個人情報の特定(A.3.3.1)>

組織は、個人情報の項目、利用目的、保管場所、保管方法、アクセス権を有する者、
利用期限、保管期限などを記載した、個人情報を管理するための台帳を整備するとともに、
当該台帳の内容を少なくとも年一回、適宜に確認し、最新の状態で維持されるようにしな
ければならない。

=========================================

JIS Q15001:2006では、個人情報を管理するための台帳に、

「個人情報の項目」「利用目的」「保管場所」「保管方法」「アクセス権限を有する者」

「利用期限」「件数」

を記載することを要求していましたので、変更点としては「件数」が除外され、「保管期限」
が追加されたことになります。ただし、「件数」はリスクアセスメントの際に必要になるため、
概数は把握しておくと良いでしょう。

 

また、JIS Q15001:2017(附属書B)を見ますと、上記に加えて、

・要配慮個人情報の存否 

・取得の形態(本人から直接書面によって取得するか否か)

・利用目的などの本人への明示又は通知の方法 

・本人同意の有無 

・本人への連絡又は接触及び第三者提供(共同利用を含む)に関する事項

・委託に関する事項

などを含めることが望ましい、と記されています。

 

プライバシーマーク取得事業者においては、上記を踏まえて、

 ① 「保管期限」「要配慮個人情報の存否」等、台帳に追加すべき項目の選定

 ②  ①を踏まえた、個人情報を管理する台帳の整備及び運用
を実施する必要があります。




今回は「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」の一つである、匿名加工情報(A.3.4.2.9)について、ご説明します。

 

匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、
復元できないようにした情報のことをいいます。

匿名加工情報は、パーソナルデータの利活用を促進することを目的に、
改正個人情報保護法の施行に伴い新たに導入されました。

そのため、匿名加工情報は、一定のルールに従うことを条件に、本人の同意を得ることなく
利用(事業者間におけるデータ取引やデータ連携を含む)することができます。

 

JIS Q15001:2017(附属書A)では、匿名加工情報に関して以下の通り定めています。

===========================================

<匿名加工情報(A.3.4.2.9)>

組織は、匿名加工情報の取扱いを行うか否かの方針を定めなければならない。

組織は、匿名加工情報を取り扱う場合には、本人の権利利益に配慮し、かつ、法令等の定める
ところによって適切な取扱いを行う手順を確立し、かつ、維持しなければならない。

===========================================


また、JIS Q15001:2017の解説文(附属書B)では、「匿名加工情報の取扱いを行うか否か
の方針とは、リスクアセスメント及びリスク対策の結果である」とも記されています。

 

つまり、匿名加工情報を「取扱う事業者」「取扱わない事業者」の両者において、自社の規程で
定める手順に従いリスクアセスメントを実施した上で、匿名加工情報の取扱い方針を定めること
が望まれます。

 

プライバシーマーク取得事業者においては、上記を踏まえて、


 ①自社で匿名加工情報を取扱うことに対するリスクの洗い出し

 ②リスクを勘案した上での管理策(匿名加工情報の取扱いを行うか否かの方針)の選定

 ③匿名加工情報取扱い規程の制定(匿名加工情報を取扱う方針を掲げた事業者のみ)


を実施する必要があります。


 

このページのトップヘ