今回は「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」の一つである、匿名加工情報(A.3.4.2.9)について、ご説明します。

 

匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、
復元できないようにした情報のことをいいます。

匿名加工情報は、パーソナルデータの利活用を促進することを目的に、
改正個人情報保護法の施行に伴い新たに導入されました。

そのため、匿名加工情報は、一定のルールに従うことを条件に、本人の同意を得ることなく
利用(事業者間におけるデータ取引やデータ連携を含む)することができます。

 

JIS Q15001:2017(附属書A)では、匿名加工情報に関して以下の通り定めています。

===========================================

<匿名加工情報(A.3.4.2.9)>

組織は、匿名加工情報の取扱いを行うか否かの方針を定めなければならない。

組織は、匿名加工情報を取り扱う場合には、本人の権利利益に配慮し、かつ、法令等の定める
ところによって適切な取扱いを行う手順を確立し、かつ、維持しなければならない。

===========================================


また、JIS Q15001:2017の解説文(附属書B)では、「匿名加工情報の取扱いを行うか否か
の方針とは、リスクアセスメント及びリスク対策の結果である」とも記されています。

 

つまり、匿名加工情報を「取扱う事業者」「取扱わない事業者」の両者において、自社の規程で
定める手順に従いリスクアセスメントを実施した上で、匿名加工情報の取扱い方針を定めること
が望まれます。

 

プライバシーマーク取得事業者においては、上記を踏まえて、


 ①自社で匿名加工情報を取扱うことに対するリスクの洗い出し

 ②リスクを勘案した上での管理策(匿名加工情報の取扱いを行うか否かの方針)の選定

 ③匿名加工情報取扱い規程の制定(匿名加工情報を取扱う方針を掲げた事業者のみ)


を実施する必要があります。