先月もお伝えした通り、EU域内の事業者から日本国内へ個人データを移転するには、個人情報
保護法に加えて、個人情報保護委員会が定める「補完的ルール」を遵守しなければなりません。
そのため、「補完的ルール」の対象となるプライバシーマーク取得事業者は、以下の内容を自社
PMS規程へ反映させ、運用する必要があります。

 

1.要配慮個人情報

要配慮個人情報の定義は、以下に示す通りです。

・信条に関する事項

・人種、社会的身分、身体・知的・精神障害、犯罪経歴、犯罪により害を被った事実に関する事項

・刑事事件、少年の保護事件の手続に関する事項

・健康診断の結果、病歴、医師等による保健指導・調剤・診療に関する事項


しかし、「EU域内から十分性認定に基づき提供を受けた個人情報」の中に、

①労働組合

②性生活

③性的指向

に関する情報が含まれている場合は、要配慮個人情報と同等に取り扱う必要があります。
そのため、EU域内の事業者から取得する個人データに①~③が含まれている場合、

・要配慮個人情報として取り扱う旨をPMS規程に明文化

・EU域内の事業者が、あらかじめ書面による本人の同意を得た形跡を確認している
かどうか、プライバシーマーク更新審査で確認されることになります。

 

2.利用目的の特定、利用目的による制限

「EU域内から十分性認定に基づき提供を受けた個人情報」については、

①提供を受ける際に特定された利用目的の確認

②取得経緯の確認

③上記①及び②について、記録として残す旨をPMS規程に明文化
 ④利用目的の範囲内で個人データを利用している
かどうか、プライバシーマーク更新審査で確認されることになります。