INFORMATION
お役立ち情報
-
2020.10.19
通知・公表?同意?個人情報取得時にすべきこと
会社が個人情報を取得する時にやるべきことにどんなことがあるかご存知でしょうか? 以前、利用目的の特定が必要であることはこのブログでも触れさせてもらっています。 はたして利用目的を特定出来ていれば他に何もしなくて問題ないのでしょうか・・・ 実際のところは個人情報保護法に準拠する意味でも、プライバシーマークを取得するためもどちらの場合でも、それだけでは足りません。 今回は個人情報を取得する際に実際に行わなければならないことについてお話したいと思います。 【法律上求められること】 まず、法律上の要求ですが、個人情報について利用目的を通知または公表することを要求しています。 通知の手段だと、個人情報の本人にどんな目的で個人情報を伝える形になります。 イメージとしては紙に記載して、伝える形がわかりやすいかもしれませんね。 公表の場合ですが、言葉の通りでいくとどこかで公に公表する形になります。 わかりやすい例と言えば、会社のHPに掲載するこになります。 分かりやすいところに公表することで個人情報保護法で求められる法的要求を満たすことが可能になります。 HPを持っていない場合は別の形で公表することになります。 【プライバシーマークで求められること】 プライバシーマークでも最低限求められるのは利用目的の通知または公表になります。 ただ、プライバシーマークの場合、個人情報を直接書面で取得する際には本人から同意を得ることが求められてきます。 この場合に単に利用目的を記載して同意を得るだけではダメです。 下記のような内容を示して同意を得ることが必要になります。 a) 社名。 b) 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先。 c) 利用目的。 d) 個人情報を第三者に提供することが予定される場合の事項。 ・ 第三者に提供する目的。 ・ 提供する個人情報の項目。 ・ 提供の手段又は方法。 ・ 当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性。 ・ 個人情報の取扱いに関する契約がある場合はその旨。 e) 個人情報の取扱いの委託を行うことが予定される場合には、その旨。 f)付属書A3.4.4.4~A3.4.4.7に該当する場合には、その求めに応じる旨及び問合せ窓口。 g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果。 h) 本人が容易に認識できない方法によって個人情報を取得する場合には、その旨。 ※JISQ15001:2017から一部抜粋 【利用目的としてNGな例】 では通知・公表及び同意を得る上で利用目的はどのように記載すべきでしょうか。 できるだけ具体的に記載することが求められています。 これについては、以前のブログでも触れていますので、詳細は割愛しますが、抽象過ぎる内容や如何様にも取れる利用目的だとNGとなってくるので、しっかり考えないといけません。 逆に細か過ぎたり、厳格過ぎるとご自身の首を絞めることとなるため、ちょうど良い内容を精査する必要があります。 参考:個人情報の利用目的ってどんな感じにすべきなの?
-
2020.10.19
面倒くさい!?個人情報の一覧の作成方法について
プライバシーマーク(以下、Pマーク)取得の際の第一関門でよく躓くのが、個人情報の特定です。 何を特定するのか、どういったものに取りまとめるのか、、、悩みだしたらキリがない世界に突入してしまいます。 今回の個人情報の洗い出しに関するポイントについて触れて行きたいと思います。 【特定すべき対象】 まず、特定すべき対象ですが、規格の言葉を借りると「事業のように供する情報」が対象になります。 非常に難しい言葉になりますが、言い換えると自社の事業・業務で使用する個人情報が対象です。 つまり、皆さんの仕事で取得したり、使ったりする個人情報を取りまとめていく必要があります。 わかりやすい例で言うと、履歴書や給与データなどが特定すべき個人情報の例になってきます。 皆さんが仕事でどういった個人情報を扱っているのか、イメージしながら個人情報を洗い出して行くことがポイントになります。 【個人情報の一覧化】 では、個人情報を特定する際にどういったものに特定するかですが、一般的には一覧表を作成し、台帳で管理することが求められています。 規格であるJISQ15001:2017の附属書A内では「個人情報の項目,利用目的,保管場所,保管方法,アクセス権を有する者,利用期限,保管期限」を記載した台帳を作成することを求めています。 ※JISQ15001:2017附属書Aから一部抜粋 ただ、これ以外にも保有個人データであるか否かなどの項目や規格では直接言われていないが、認証取得を目指す上で個人情報を一覧で管理する中で台帳の項目に入れておくべき事項はいくつかあります。 必要事項を網羅した台帳フォーマットを作成し、そこに仕事で扱う個人情報を記載していき、個人情報管理台帳を作成してくことになります。 【最後に】 Pマーク取得に向けては単に台帳を作成するだけではなく、個人情報の洗い出しなどについての手順を定めておく必要あります。 どの粒度で文書を作成するかは会社によってマチマチでしょうが、文書・手順も必要になってきますので注意が必要です。 また、対象は会社のすべてのなるため会社の事業だけではなく人事や経理で発生する個人情報も対象になるため範囲は広くなることを注意する必要があります。 専門家にも相談し、効率的な取り組みも重要になりますので必要に応じて相談するのも1つだと思います。
お問い合わせ
営業時間:9:30~19:00(メールによる受付は24時間)定休日:日曜日
事前のご予約で夜間、土日祝日でも対応可能