今月は、「正確性の確保(A.3.4.3.1)」についてご説明します。

 

JIS Q 15001:2017では、『組織は、利用目的の達成に必要な範囲内において、個人データを、
正確、かつ、最新の状態で管理しなければならない。組織は、個人データを利用する必要が
なくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。』と
定めています。

 

そのため、プライバシーマーク取得事業者は、

①個人データを正確かつ最新の状態で管理する

②利用する必要がなくなった個人データを、遅滞なく消去する

ための社内ルールを検討する必要があります。

 

①個人データを正確かつ最新の状態で管理する

個人データが正確かつ最新の状態でなければ、個人データを利用したサービス提供ができない
(個人情報を取得した際の利用目的を果たすことができない)ことに加えて、郵送物やメール等
が本人以外の第三者へ届いてしまうなど、情報漏洩リスクも高まります。

 

こうしたリスクを低減するために、個人データの誤入力チェックや変更・訂正手続き、バック
アップ手順等を定める必要があります。ただし、「取得した個人情報を常に最新化する必要は
なく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すればよい」
と定められているため、保有している個人データの特性(重要度・利用頻度等)に応じて、
管理策を設定するようにしましょう。


②利用する必要がなくなった個人データを、遅滞なく消去する

技術の進歩により、企業が膨大な量の個人データを半永久的に保有し続けることができるように
なりました。一方で、データを削除する機会が減ったことにより、利用目的が達成されたにも関
わらず、個人データを保有し続けてしまうケースが増えています。情報漏洩リスクを低減するた
めに、(個人情報管理台帳で定めた)保管期間の過ぎた個人データは、遅滞なく消去するように
しましょう。“いつか使うかもしれない”といった理由で消去できない個人データについては、
「仮名加工情報」や「匿名加工情報」に変換して保管することを、検討してみてはいかがでしょうか。