今回は、「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」の一つである、正確性の確保(A.3.4.3.1)について、ご説明します。

===========================================

<(A.3.4.3.1)正確性の確保>

組織は、利用目的の達成に必要な範囲内において、個人データを、正確、かつ、最新の状態
で管理しなければならない。

(以下追記)組織は、個人データを利用する必要がなくなったときは、当該個人データを遅
滞なく消去するよう努めなければならない。

===========================================

クラウドサービス等の普及により、企業が膨大な量の個人データを半永久的に保有し続けること
ができるようになりました。

 

その一方で、

「利用目的のなくなった個人情報まで保管し続ける企業が増えるのではないか?」

「保管する情報が増えることで管理が複雑になり、情報漏洩が起こりやすくなるのではないか?」
といった消費者の不安も高まりました。

 

この要求事項は、こうした消費者の不安を払拭することを目的に新設(追記)されました。

 

そのため、プライバシーマーク更新審査では、

・保管期限の過ぎた個人データが、適切に消去されているかどうか

・必要(リスク分析の結果)に応じて、消去の記録(エビデンス)を残しているかどうか

を確認されることになります。

 

プライバシーマーク取得事業者においては、上記を踏まえて、

  1. 保管期限の明確化

  2. リスク分析及び消去記録取得有無の判断

  3. 消去記録(帳票)の整備・運用

を実施する必要があります。