Pマーク(プライバシーマーク)新規取得:個人情報を取得する時の注意事項5選 


いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの久米です。

今回は、Pマーク新規取得時の「個人情報を取得する際の注意点」をお伝え致します。

今までと、Pマーク取得するにあたって、必ず取得しておかないといけないポイントですので覚えて頂きたいと思います。

1.書面による利用目的の明示

プライバシーマーク付与事業者は、利用目的などを明記した契約書などを本人に渡すことで「書面による明示」を行います。

※例えば、アンケートやクレジットカードなどの申込書で、本人から「直接、書面で『個人情報』(氏名・住所・生年月日・電話番号・メールアドレスなど)を取得する場合」には、あらかじめ以下の内容を「書面にて明示」しています。

なお、インターネットを通じて会員募集をする場合など、WEB上の入力フォームから「個人情報」を取得する場合も、パソコン上の画面で同様に明示しています。

・付与事業者の名称
・個人情報保護管理者の連絡先など
・取得する「個人情報」の利用目的
・「個人情報」を第三者に提供することが予定される場合の提供目的、提供する「個人情報」の項目など
・「個人情報」の取り扱いの委託を行うことが予定される場合には、その旨
・「個人情報」の開示・訂正・削除などの求めに応じる旨および問い合わせ窓口

2.本人の同意の取得

プライバシーマーク付与事業者は、「個人情報」を直接、書面などで取得する場合、「利用目的」などを明示するとともに、本人の同意を得るための手続きを用意しています。

同意の手続きとして、書面の場合には本人の「同意する」意思が確実に確認できるよう、「同意する」をチェックする記入欄を設けたり、WEB上の入力フォームの場合には、「同意ボタン」を設置するなどの対応をしなくてはなりません。

WEB上の入力フォームから「個人情報」を入力する場合には、SSLなどのデータ暗号化の措置が出来ているか確認してください。

暗号化の措置については、WEB上の入力フォームのアドレス(URL)の最初が、「http://」ではなく、「https://」になっていることや、アドレスバーに 「鍵のマーク」が表示されることで確認できます。また、入力フォームなどで、暗号化について説明されている場合もあります。

3.利用目的外での使用の防止

プライバシーマーク付与事業者は、特定した「利用目的」を達成するために必要な範囲内でのみ「個人情報」を取り扱い、目的外での利用を行わないための手続きや社内のチェック体制の確立などの必要な対策(「利用目的」が定められていない「個人情報」については、利用しないことも含む)を講じています。

※Pマークを取得するにあたって自社の取扱う個人情報の「利用目的」を記載された書面もしくは、インターネット上のWEBサイトに掲載しなければなりません。

4.利用目的が変わった場合は同意を取り直す

プライバシーマーク付与事業者は基本的に、取得したときに約束した範囲で「個人情報」を利用します。
しかし、事業の進捗状況などによっては、目的を変更して利用する場合もあります。

こういった目的の変更が生じたとき、プライバシーマーク付与事業者は、あらためて本人に変更した「利用目的」を通知し、同意を取り直します(第三者に提供する場合も同様の手順となります)。

※事業者が「利用目的」などの変更を通知する場合、当初の「利用目的」には定められなかった新商品の案内などが同封されることがありますが、これは事業者に許容される範囲内なります。

また、第三者への周知というところでは、インターネット上のWEBサイトを早急に変更して掲載しなければなりませんので、社内で変更・修正・訂正・削除があった場合は、書面以外にもHPへの反映も忘れないようにしましょう。

5.「個人情報」の取り扱いに関する姿勢を公表

プライバシーマーク付与事業者は、「個人情報」の取り扱いに関する姿勢をホームページや会社案内などで消費者に公表しています。
「個人情報保護方針(またはプライバシーポリシーなど)」には以下の事項が含まれています。

・事業の内容などを考慮した「個人情報」の適切な取得・利用・提供に関すること
・「個人情報」の取り扱いに関する法令、国が定める指針そのほかの規範を遵守すること
・「個人情報」の漏えいなどの防止および是正に関すること
・苦情および相談への対応に関すること
・個人情報保護マネジメントシステム(PMS)の継続的改善に関すること
・代表者の氏名

※「個人情報保護方針(またはプライバシーポリシーなど)」は、事業者が、「個人情報」の取り扱いに関して、そこに書いてあることを対外的に約束するものです。
ホームページなどで「個人情報」の取り扱いに関する姿勢を公表しなければなりません。

プライバシーマーク付与事業者は、「個人情報保護方針(またはプライバシーポリシーなど)」の公表だけでなく、実際にそれに基づいた取り扱いを実現できる体制・仕組みとして、個人情報保護マネジメントシステム(PMS)の確立をしていることを公表しなければなりません。

上記以外にも、具体的には、採用選考時・採用決定時に取得しなければならない場面があります。
細かく聞いていくと、モニタリングを実施している場合、マイナンバー取得時など、「利用目的」を明示して「同意」を得て取得というサイクルが必要な場面は多くあります。

最後に

どうでしたでしょうか??
こんなにやんなきゃいけないの??と思ったかもしれませんが、今回ご紹介させて頂いたポイントは、ほんの一部です!!

めんどくさい事、無駄な事は、弊社にアウトソーシングしてみませんか??

Pマーク取得を考えているのでしたら、一度弊社、Pマーク(プライバシーマーク)コンサルタントへご連絡ください!!


【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス