Pマーク(プライバシーマーク)規格改訂で抑えるべき4つの要求事項


58389c679501bd91619c029ba29b721d_m

いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの阿部です。

今回は、Pマーク(プライバシーマーク)の規格改訂が行われた中で、追加となった4つの要求事項について簡単な紹介を行っていきたいと思います。

まず、JISQ15001:2017年版で変わった7つの要求事項をおさらいしてみましょう。

1)特定機微な個人情報 → 要配慮個人情報に変更
2)個人情報 → 個人データに変更
3)開示対象個人情報 → 保有個人データに変更
4)外国にある第三者提供の制限(A.3.4.2.8.1)
5)第三者提供に係る記録(A.3.4.2.8.2)
6)第三者提供を受けるときの確認(A.3.4.2.8.3)
7)匿名加工個人情報(A.3.4.2.9)

「こんなにあるの!?」と思われるかもしれませんが・・・ご安心ください!
7項目中3項目は言葉が変わっただけとなっています。

新たに追加することは4項目だけです!
この要求事項4つについて、ひとつずつ説明していこうと思います。

新たに増えた要求事項 その1

外国にある第三者提供の制限(A.3.4.2.8.1)

組織は,法令等の定めに基づき,外国にある第三者に個人データを提供する場合には,あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。
ただし,A.3.4.2.3 の a)~d) のいずれかに該当する場合及びその他法令等によって除外事項が適用される場合には,本人の同意を得ることを要しない。
(個人情報保護マネジメントシステム-要求事項 JIS Q 15001:2017、日本規格協会編、2017年12月20日発行)

この要求事項では、個人データを外国にある第三者に提供する場合でも、提供を認める同意を得なければならないとなっています。
ですが、A.3.4.2.3要配慮個人情報のa)~d)、法令等によって未取得で問題がない場合は、同意がなくても問題ないといった内容になっています。

また、“法令等の定めに基づく外国にある第三者”には、提供元の組織と法人格とが別の関連会社又は子会社も含まれますが、日本の法人格がある組織の外国支店などは第三者に該当しません。

■新たに増えた要求事項 その2

第三者提供に係る記録(A.3.4.2.8.2)

組織は,個人データを第三者に提供したときは,法令等の定めるところによって記録を作成し,保管しなければならない。
ただし,A.3.4.2.3 のa)~d) のいずれかに該当する場合,又は次に掲げるいずれかに該当する場合は,記録の作成を要しない。

a) 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
b) 合併その他の事由による事業の承継に伴って個人データが提供される場合
c) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって,その旨並びに共同して利用される個人データの項目,共同して利用する者の範囲,利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について,あらかじめ,本人に通知するか,又は本人が容易に知り得る状態に置いているとき。
(個人情報保護マネジメントシステム-要求事項 JIS Q 15001:2017、日本規格協会編、2017年12月20日発行)

個人データを第三者に提供したときは、個人データを提供した年月日、第三者の氏名、法令等で定める事項に関する記録作成する義務があります。
これら記録を保持することがこの項番で要求されていることです。

■新たに増えた要求事項 その3

第三者提供を受けるときの確認(A.3.4.2.8.3)

組織は,第三者から個人データの提供を受けるに際しては,法令等の定めるところによって確認を行わなければならない。
ただし,A.3.4.2.3 のa)~d) のいずれかに該当する場合,又はA.3.4.2.8.2 のa)~c) のいずれかに該当する場合は,確認を要しない。
組織は,法令等の定めるところによって確認の記録を作成,保管しなければならない。
(個人情報保護マネジメントシステム-要求事項 JIS Q 15001:2017、日本規格協会編、2017年12月20日発行)

第三者提供に係る記録(A.3.4.2.8.2)と少し似ていますが、こちらは第三者提供を受ける場合の対応が書かれています。
ここでも同じように記録を作成、保管するようにと書かれていますね。

例えば、A社からB社に個人データの提供を行う時、B社にA社で取り扱っている第三者の氏名又は名称及び住所、法人の場合は代表者の氏名、A社による該当する個人データの取得の経緯(アクセスログや変更履歴など)を確認してもらうことが法令で義務付けられています。

■新たに増えた要求事項 その4

匿名加工個人情報(A.3.4.2.9)

組織は,匿名加工情報の取扱いを行うか否かの方針を定めなければならない。
組織は,匿名加工情報を取り扱う場合には,本人の権利利益に配慮し,かつ,法令等の定めるところによって適切な取扱いを行う手順を確立し,かつ,維持しなければならない。
(個人情報保護マネジメントシステム-要求事項 JIS Q 15001:2017、日本規格協会編、2017年12月20日発行)

今回紹介した変更点で一番関わりがあるところかもしれません。
匿名加工情報とはなにか、個人情報保護委員会では次のように書いています。

匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことをいいます。
また、匿名加工情報は、一定のルールの下で、本人同意を得ることなく、事業者間におけるデータ取引やデータ連携を含むパーソナルデータの利活用を促進することを目的に個人情報保護法の改正により新たに導入されました。

例えば・・・

・医療機関が保有する医療情報を活用した創薬・臨床分野の発展
・カーナビ等から収集される走行位置履歴等のプローブ情報を活用したより精緻な渋滞予測
・天候情報の提供等により、国民生活全体の質の向上に寄与する可能性
・ポイントカードの購買履歴や交通系ICカードの乗降履歴等を複数の事業者間で分野横断的に利活用

なんてものが例として上げられていたりもします。
これら匿名加工情報を取り扱う際は安全管理規程などにどういった処理を施すのか明確にする必要性が出てきます。

まとめ

いかがでしたでしょうか。
今回は代表的な変更点を中心に書かせていただきました。

これら以外にも細かい変更点はまだあります。
規格改訂の対応にお悩みのご担当者様は、下記よりお気軽にご相談ください!

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

最後までお読みいただき、ありがとうございました。


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス