ソシャゲ運営会社で考えるPマーク(プライバシーマーク)~A.3.3.1 個人情報の特定~


2fa20b697d3adb4ed4a5c910b6a64940_m-min
いつもご愛読いただき誠にありがとうございます。
ISO総合研究所の佐藤です。

9月も下旬にさしかかり、だんだん風も冷たくなってきましたね!

寒くなってくると、外出が億劫になってきますが、
みなさん家の中でどのように過ごされていますか?

映画を観たり、本を読んだり、筋トレしたりと、いろんな過ごし方があると思います。
私は、ソーシャルネットワークゲーム(ソーシャルゲーム、ソシャゲ)で遊び、時間をつぶしています。

スマートフォンで気軽にできるので、移動中なんかもやってしまいます。
最近は、テレビでのコマーシャル以外でも、電車の中吊りや駅内の広告看板でバンバン広告をやっていて、ソーシャルネットワークゲームが身近にありますよね。

今回はそんなソーシャルネットワークゲーム(以下、ソシャゲ)に例えてプライバシーマーク(Pマーク)の話をできればと思います。

ソシャゲ運営会社で考えるプライバシーマーク(Pマーク)
~A.3.3.1 個人情報の特定~

早速ですが、ソシャゲ運営をする際に取扱う個人情報とはどういったものでしょうか?
まずは私が思いつく限りのものを下記に記載してみます。
皆さんも一度考えてみてください。

・会員登録情報
⇒基本無料のもので会員登録をする必要がないものもありますが、メールアドレスや名前なんかを登録する場合があります。
・SNSアカウント情報
⇒最近だと、SNSアカウントと連動してゲームへのログインができるものもありますね。
・キャンペーン応募者情報
・グッズ購入者情報
・クレジットカード情報
⇒ソシャゲでよくあるガチャ(※1回数百円程度の抽選によって、ゲーム内で用いるカードや仮想的な物品を購入する仕組み)を買うためにクレジットカードで課金している人も多いはず!!
・業務委託先の個人情報
⇒ゲーム内のイラストを描いてるイラストレーターや声優の個人情報もあるかもしれません。
・問い合わせ情報

以上がパッと思いついた個人情報になります。
細かく探してみるともっとあるかもしれませんね。

また、ここで特定した個人情報について、
・個人情報の項目
・利用目的
・保管場所
・保管方法
・アクセス権を有する者
・利用期限
・保管期限

などを記載した台帳を整備し、最低でも年に1回は見直しをしなければなりません。
例えば、上記に記載した“会員登録情報”で見てみましょう。

個人情報:会員登録情報
個人情報の項目:名前、メールアドレス、会員ID
利用目的:ゲームサービス提供、情報案内のため
保管場所:外部データセンタ内サーバ
保管方法:アクセス制限、暗号化
アクセス権を有する者:カスタマーサポート
利用期限:退会するまで
保管期限:退会後2年

このような感じでしょうか。

例えなので、実際に皆さんが取得している個人情報はどんな取扱いをしているか確認してみてください。

このA.3.3.1個人情報の特定で特定した情報をもとに自社の個人情報保護の体制を整えていくことになります。

続いては、ソシャゲ運営会社が個人情報を取得するときに気を付けることについて書いていきます。

プライバシーマーク(Pマーク)のもとになっているJISQ15001:2017の項番(付属書A)だと、A.3.4.2.5となります。
個人情報の特定がA.3.3.1なので結構飛びます。(笑)

ソシャゲ運営会社で考えるプライバシーマーク(Pマーク)
~A.3.4.2.5 A.3.4.2.4のうち本人から直接書面によって取得する場合の措置~

さて、ソシャゲ運営会社が取得している個人情報として、会員登録情報、問い合わせ情報、クレジットカード情報等を挙げました。
これらの個人情報を取得するときに、組織が行わないといけないことが書かれているのが、A.3.4.2.5になります。以前のJISQ15001:2006 では3.4.2.4という項番でした。

この項番では下記のことを言われています。

本人から,書面(電子的方式,磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下,同じ。)に記載された個人情報を直接取得する場合には,少なくとも,次に示す事項又はそれと同等以上の内容の事項を,あらかじめ,書面によって本人に明示し,書面によって本人の同意を得なければならない。

a) 組織の名称又は氏名
b) 個人情報保護管理者(若しくはその代理人)の氏名又は職名,所属及び連絡先
c) 利用目的
d) 個人情報を第三者に提供することが予定される場合の事項
- 第三者に提供する目的
- 提供する個人情報の項目
- 提供の手段又は方法
- 当該情報の提供を受ける者又は提供を受ける者の組織の種類,及び属性
- 個人情報の取扱いに関する契約がある場合はその旨
e) 個人情報の取扱いの委託を行うことが予定される場合には,その旨
f) A.3.4.4.4~A.3.4.4.7 に該当する場合には,その請求等に応じる旨及び問合せ窓口
g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
h) 本人が容易に知覚できない方法によって個人情報を取得する場合には,その旨
(JISQ15001:2017 より一部抜粋)

つまり、個人情報を取得する際には、上記のことを事前に本人に伝え、同意を得なければいけません。
ここでいう書面による同意についてですが、紙でのサインが必要、ということではありません。
ウェブサイト等で個人情報を登録してもらう際に、本人に上記の明示文を確認し、同意してもらってから個人情報を登録してもらえばよいのです。

そのため、よく通販サイトなどにある「□当社の個人情報の取扱いに同意して送信する」というチェックボックスを設けることでも対応ができます。

個人情報を取得する入口とも言えるため、
安心して個人情報を登録してもらえるように見直しをしてみるのもよいかもしれませんね。

最後に

さて、今回はソシャゲ運営会社における、個人情報の特定と、本人から直接書面によって取得する場合の措置について書かせてもらいました。

少し駆け足気味での記載でよくわからなかったところがあったかと思いますので、ぜひお問い合わせください。

Pマーク総研は、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

最後までお読みいただき、ありがとうございました。


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス