ITシステム業の皆様 個人情報保護法改正によってPマークの変更点


こんにちは。
Pマーク運用支援コンサルタントの岡本です。
いつも当社のブログをご覧いただき、ありがとうございます。

近年、
2017年の8月は、
気象観測史上、連続降雨日数が記録的な数字になったそうですね。
梅雨明け宣言前は暑い日々が続いたものの、
梅雨が明けると途端に曇天が続いているように感じます。
個人的に海外旅行が好きで、東南アジアを中心に旅しているのですが、
日本の気候も東南アジアのような亜熱帯気候に近づいているように思えてきます。

さて、
本日は「ITシステム業は、個人情報保護法改正でPマークの何をかえたら良いの?」というテーマで書かせていただきます。

大きくは下記の2つの項目についてです。
 1個人情報保護法の改正で何を考慮したら良いのか?
 2個人情報保護法の改正によりPマークの何をかえる必要があるのか?
  

1.まずは、 「個人情報保護法の改正で何を考慮したら良いのか?」です。
 これまでの個人情報保護法では、個人情報取扱事業者から除外される者として、
「事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去六月以内のいずれの日においても五千を超えない者」とされていました。
しかし、改正個人情報保護法の改正により、上記の除外項目がなくなりました。
つまり、IT企業の皆さんをはじめとし、実質すべての企業が「個人情報取扱事業者」として、個人情報保護法の適用下になったのです。

2.個人情報の定義
 改正個人情報保護法では、個人情報の定義として、「電磁的記録(中略)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項により特定の個人を識別することができるもの」と「個人識別符号が含まれるもの」とされました。
 前者に関しては、例えば、入退室管理に用いている指紋の情報、金融機関で用いられている生体認証情報、CSRで用いられている音声情報も該当します。
 後者に関しては、マイナンバー、住民票コード、身分証明のための運転免許証(免許証番号が該当)や、在留カードの番号も該当します。

3.要配慮個人情報
 さらに、改正個人情報保護法の改正により、「要配慮個人情報」という用語が定義されました。「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして
政令で定める記述等が含まれる個人情報」とされています。実務としては、不当な差別につながり得る本籍地に関する情報、障害者雇用における心身の機能の障害に関する情報、健康診断における診断結果に関する情報、メンタルヘルスケア対策や生活習慣病予防対策に伴う保健指導結果等が該当します。

4.個人情報提供の際の記録義務
 そして、個人情報保護法の改正により、個人情報の「第三者提供に係る記録の作成等」が定められ、「個人データを第三者(中略)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない」とされました。この点に関しては、私共もお客様より多数のお問い合わせをいただきました。ただ、この記録義務は「法令に基づく場合」はその必要がないとされています。お問い合わせをいただいたお客様が懸念しておられた内容は、ほとんどの場合、労働・社会保険の手続きや、税務手続きなど、この例外事項に該当していたため、おそらくはこのブログをご覧の皆様におかれましても、同様と思われます。

次に、「2個人情報保護法の改正によりPマークの何をかえる必要があるのか?」です。

最初にただし書きを書かせていただきますと、
この原稿の執筆段階(2017.08.24)では、
2016年9月に改正個人情報保護法が公布後、
2017年5月に改正個人情報保護法が全面施行されています。
伴ってプライバシーマーク付与適格性審査の基準でもある日本工業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」の見直し検討が進められています。

その上で、
2017年5月23日にドラフト版が発行され、
2017年7月から2017年9月17日まで、
日本工業標準調査会より「JIS Q 15001 個人情報保護マネジメントシステム-要求事項」の意見受付が開始されている段階です。
つまり、個人情報保護法の改正に伴い、規格そのものも改訂されていることになります。
これにより何が変わっていくのかをお話しします。

1. 規程文書が変わる
※公表されているJIS原案がそのまま適用されたとの想定のもとで書いています。
 JIS原案によると、ISO認証制度に用いられている「ハイレベルストラクチャー」と呼ばれる規格の構成を用いることが検討されているようです。PDCAの考え方によるマネジメントシステムという点では同じですが、従来のJIS規格の章構成とは大きく異なりますので、効率的な審査対策という観点では、規程文書を大幅に修正する必要がありそうです。

2.運用が変わる
 公表されているJIS原案によると、ISO/IEC27001:2013(ISMSとも呼ばれる)に近い形の運用が求められそうです。例えば、リスクアセスメントといった考え方が目新しく感じられるかもしれません。これまでのプライバシーマーク認証制度の中では、「個人情報について、その取扱いの各局面におけるリスク(中略)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持」することが要求されており、「取得・入力」、「廃棄」といった局面で、どのようなリスクが想定されるか、社内検討がなされていたかと思います。今後は、特定されたリスクが実際に生じた場合に起こり得る結果や、特定されたリスクの現実的な起こりやすさを考慮した上で、個人情報保護リスク対応計画を策定することが見込まれます。

3.記録の種類が増える
 公表されているJIS原案によると、個人情報保護目的及びそれを達成するための計画策定が求められていたり、上述した個人情報保護リスク対応計画や力量の証拠としての文書化した情報の保持が求められていたりと、従来のPマーク維持に必要であった以外の記録が増えてくることが見込まれます。

いかがでしたでしょうか。

こちらのブログをご覧いただいている皆様の中にも、
プライバシーマーク更新審査のためにたくさんの時間をかけて、
書類を準備されている方はいらっしゃいませんか?

やはり日常業務の傍ら、
プライバシーマーク認証の維持活動に取り組まれると、
担当者の時間や工数が発生してしまうことは間違いありません。

例えば、ISO総合研究所のように、
プライバシーマーク認証を維持するための社内活動をアウトソーシングサービスとして請けている会社もありますので、
経営資源を適正に配分するための一つの選択肢としてアウトソーシングサービスを検討してみてはいかがでしょうか。
Pマーク運用支援コンサルタントの岡本が、
あなたのもとにお伺いするかもしれませんよ。


簡単・即時発行!見積書ダウンロード

メールアドレス