成功する中小企業の人材育成 ここがポイント

名南経営コンサルティング 山田亮太 公式ブログ


 今回は、「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」の一つである、正確性の確保(A.3.4.3.1)について、ご説明します。

===========================================

<(A.3.4.3.1)正確性の確保>

組織は、利用目的の達成に必要な範囲内において、個人データを、正確、かつ、最新の状態
で管理しなければならない。

(以下追記)組織は、個人データを利用する必要がなくなったときは、当該個人データを遅
滞なく消去するよう努めなければならない。

===========================================

クラウドサービス等の普及により、企業が膨大な量の個人データを半永久的に保有し続けること
ができるようになりました。

 

その一方で、

「利用目的のなくなった個人情報まで保管し続ける企業が増えるのではないか?」

「保管する情報が増えることで管理が複雑になり、情報漏洩が起こりやすくなるのではないか?」
といった消費者の不安も高まりました。

 

この要求事項は、こうした消費者の不安を払拭することを目的に新設(追記)されました。

 

そのため、プライバシーマーク更新審査では、

・保管期限の過ぎた個人データが、適切に消去されているかどうか

・必要(リスク分析の結果)に応じて、消去の記録(エビデンス)を残しているかどうか

を確認されることになります。

 

プライバシーマーク取得事業者においては、上記を踏まえて、

  1. 保管期限の明確化

  2. リスク分析及び消去記録取得有無の判断

  3. 消去記録(帳票)の整備・運用

を実施する必要があります。


■新審査基準への対応に向けて


 今月も「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」
の「必須対応項目」の一つである、外国にある第三者への提供の制限(A.3.4.2.8.1
について、ご説明します。

=======================================

<(A.3.4.2.8.1)外国にある第三者への提供の制限>

組織は、法令等の定めに基づき、外国にある第三者に個人データを提供する場合
には、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なけれ
ばならない。(以下省略)

=======================================

この要求事項は、平成29530日に施行された改正個人情報保護法に基づき、本人が
認識することなく、本人の個人情報が外国に渡ることを抑制するために新設されました。

 

上記「本人の同意」を得る際には、本人が同意に係わる判断をするために、

・提供先の国又は地域名を個別に示す

 (例:米国、EU加盟国 等)

・実質的に本人からみて提供先の国名等を特定できるようにする

  (例:本人が日本の旅行会社に外国旅行を申し込んだ場合に、旅行会社が現地の
 各宿泊先に本人の情報を提供する旨を記載する 等)


ことが求められます。

 

なお、「外国にある第三者への提供」については、日本国内では本人の同意を得ること
を必要としない、「委託」「事業承継」「共同利用」のケースにおいても、原則として
適用されますので、ご留意ください。

 

※特定の条件を満たす外国の事業者が運営するサービスを利用する際等、一部適用除外
されるケースもありますので、詳細は個人情報保護委員会発行の『「個人情報の保護
に関する法律についてのガイドライン」及び「個人データの漏洩等の事案が発生した
場合等の対応について」に関するQ&A』をご確認くださいませ。

 

プライバシーマーク取得事業者においては、上記を踏まえて、


①「A.3.4.2.8.1 外国にある第三者への提供の制限」
に関する内部規程の作成
本人への同意取得書面の整備


を実施する必要があります。

※GDPR(EU一般データ保護規則)が先月、平成30年5月25日付けで完全施行
 されています。いわゆる、EU諸国の個人情報保護法が強化されたのですが、対応して
 いない場合の罰則が非常に大きい(上限2,000万ユーロ≒約25億円)ので、EU諸国に
 事業所をもたれていたり、EU諸国のユーザーへサービス提供されている(通販含む)
 事業者様は、早々に対応する必要がありますので、ご注意くださいませ。

今後も、毎月ポイントを絞って解説致します。




■新審査基準への対応に向けて

 前回から、「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」
の「必須対応項目」について解説しています。今月も「必須対応項目」の一つである、
トレーサビリティの確保(A.3.4.2.8.2A.3.4.2.8.3新設)について、ご説明します。

 

平成295月に施行された改正個人情報保護法におきまして、個人情報取扱事業者が第三者
から個人データの提供を受ける場合には、違法に入手された個人データが流通することを
抑止するため、当該第三者が個人データを取得した経緯等を確認する義務を課しています。
また、仮に個人データが不正に流通した場合でも、流通経路を特定することができるように、
個人情報取扱事業者が第三者に個人データを提供する場合又は第三者から個人データの提供を
受ける場合には、当該第三者の氏名等の記録を作成・保存しなければならない、と定めています。

 

これに伴いJIS Q 15001:2017では、「第三者提供に係る記録の作成など(A.3.4.2.8.2)」と
「第三者提供を受ける際の確認などA.3.4.2.8.3)」が新設され、個人データを第三者へ提供
した場合及び提供を受ける場合には、以下に示す記録を作成し、一定期間保管することを求めて
います。

 

●提供者側の記録内容

①提供した年月日

②当該第三者の氏名又は名称

③その他の法令等で定める事項

 

●受領者側の記録内容

①提供元である第三者の氏名又は名称及び住所並びに法人などについては代表者の氏名

②提供元である第三者による当該個人データの取得経緯

 

プライバシーマーク取得事業者においては、上記を踏まえて、

■第三者提供に係る記録の作成など(A.3.4.2.8.2)、第三者提供を受ける際の確認などA.3.4.2.8.3)に関する内部規程の改訂
■第三者提供に伴う帳票類の整備

を実施する必要があります。

 

今後も、毎月ポイントを絞って新規格の内容についてお伝えしますので、引き続きご確認くださいませ。

このページのトップヘ