JIPDECのプライバシーマーク事務局が「FAQ:個人情報の取扱いにおける事故等の報告について(平成21年9月3日)」を発表しました。
http://privacymark.jp/privacy_mark/faq/accident_report.html
事故の報告について、制度上様々な混乱があってのことだと推察します。
プライバシーマーク認定事業者としては、事故の報告は、できれば避けたいものです。
しかし、プライバシーマーク事務局は、事故に対して欠格事項を定めている以上、認定事業者から報告してもらわないといけません。
(そもそもこの「欠格事項」の必要性は何なのかという話は、また別の大きな主題ですが。)
この事故の指定機関(JIPDEC等)への報告の根拠は、「プライバシーマーク制度設置及び運営要領」(平成20年8月8日改訂施行)の第19条の2「プライバシーマーク付与を受けた事業者は、個人情報の取扱いにおける事故等が発生した場合には、速やかに指定機関に報告しなければならない」にあります。
しかし、混乱の元凶は、この「事故等」の定義が、この「運営要領」にないことだと思います。
「事故等」? 「等」とは?
と考えてしまいます。
例えば、名刺入れを廊下に落として5秒後に拾ったのは、「事故等」なのか。
「等」に含まれるかもしれませんよね、定義がない以上。
「良識で判断できるでしょう」と言われればそうかもしれませんが、そもそも客観的に判断できない規定なら大した意味はないと思います。
そこで、プライバシーマーク事務局はFAQという形で、この条項を補っているのでしょう。
しかし、このFAQが、この「運営要領」の規定を支える根拠となり得るとの規定はないので、「FAQに従うと同意はしていないので、FAQに従う義務はないと考える」と主張する人も出てくるかもしれません。
しかも、このFAQでも、依然として「事故等」を定義していません。
ちなみに、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、「漏えい等(漏えい、滅失又はき損)の事故」と表記していますので、こちらは比較的具体的です。しかも、このガイドラインのこの部分は義務規定ではないということを考慮すれば、この程度の具体性でも十分かもしれません。
ですので、プライバシーマーク事務局にはぜひ、「事故等」を定義するか、経済産業省のガイドラインに合わせた表記をするなどして、一層の秩序をもたらしてほしいと思います。
個人的には、プライバシーマーク事務局の働きにはとても感謝しています。
今後も大きな期待を寄せていていますのでよろしくお願いします!
※これは法律や契約の解釈についての主張ではありません。当方は法律の専門家ではありませんので、法律や契約の解釈や正当性については法律の専門家にお尋ねください。
|
2009年09月08日
2009年08月19日
最近の指摘事項の傾向と対策(35)「3.6 苦情及び相談への対応」
本日は「3.6 苦情及び相談への対応」に関する指摘事項の傾向と対策です。
(ガイドラインP. 62)
プライバシーマーク事務局は、苦情及び相談についてかなり注意をおいています。
したがって、審査員も、苦情や相談が来た時にちゃんと対応できるのか見るようです。
実際、事業者側できちんと苦情対応しないと、お客さんがJIPDECのプライバシーマーク事務局に苦情を申し立てることがあり、そうするとJIPDECから事業者に説明を求められたりして面倒です。
実務的な点でも、ある程度体制は整えておいた方がよさそうです。
<文書作成>
・基本的にはガイドラインに書いてあることを規定すればいいのですが、ここはやはり苦情や相談が来たときのための記録用の様式を用意しておくと審査もスムーズでしょう。
・匿名の場合でも受け付けるように規定しておくことをお勧めします。
(相談は匿名でもあり得ますよね。「御社の個人情報保護体制は大丈夫なんでしょうか」など)
・記録用の様式には、回答案を記入し、個人情報保護管理者の承認を得てから本人に回答することが明確にわかるような様式にするとよいでしょう。
・苦情や相談の内容及び対応結果を代表者に報告するようにガイドラインは求めています。
この部分も様式に含めておくといいでしょう。
(JISにはないのにガイドラインでは要求している。)
<運用>
・現地審査までに苦情や相談がなければ、「ありませんでした」と答えればいいでしょう。
・ただし、審査員からの「苦情や相談が来た場合の手順を説明してください」という質問には答えられるようにしておいた方がいいですね。
・その場合、規程を見せながら説明するよりも、上述の記録用の様式を見せながらステップ・バイ・ステップで説明するといいでしょう。
・そうすれば、視覚的に手順がわかりますので。
(言い換えると、そのくらいわかりやすい様式にするとよいということですね。)
・私の場合「苦情相談対応記録票」というようなものを用意して、そこを順番に埋めてゆけばよいようにしています。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
(ガイドラインP. 62)
プライバシーマーク事務局は、苦情及び相談についてかなり注意をおいています。
したがって、審査員も、苦情や相談が来た時にちゃんと対応できるのか見るようです。
実際、事業者側できちんと苦情対応しないと、お客さんがJIPDECのプライバシーマーク事務局に苦情を申し立てることがあり、そうするとJIPDECから事業者に説明を求められたりして面倒です。
実務的な点でも、ある程度体制は整えておいた方がよさそうです。
<文書作成>
・基本的にはガイドラインに書いてあることを規定すればいいのですが、ここはやはり苦情や相談が来たときのための記録用の様式を用意しておくと審査もスムーズでしょう。
・匿名の場合でも受け付けるように規定しておくことをお勧めします。
(相談は匿名でもあり得ますよね。「御社の個人情報保護体制は大丈夫なんでしょうか」など)
・記録用の様式には、回答案を記入し、個人情報保護管理者の承認を得てから本人に回答することが明確にわかるような様式にするとよいでしょう。
・苦情や相談の内容及び対応結果を代表者に報告するようにガイドラインは求めています。
この部分も様式に含めておくといいでしょう。
(JISにはないのにガイドラインでは要求している。)
<運用>
・現地審査までに苦情や相談がなければ、「ありませんでした」と答えればいいでしょう。
・ただし、審査員からの「苦情や相談が来た場合の手順を説明してください」という質問には答えられるようにしておいた方がいいですね。
・その場合、規程を見せながら説明するよりも、上述の記録用の様式を見せながらステップ・バイ・ステップで説明するといいでしょう。
・そうすれば、視覚的に手順がわかりますので。
(言い換えると、そのくらいわかりやすい様式にするとよいということですね。)
・私の場合「苦情相談対応記録票」というようなものを用意して、そこを順番に埋めてゆけばよいようにしています。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
2009年08月18日
最近の指摘事項の傾向と対策(34)「3.5.2 文書管理」と「3.5.3 記録の管理」
本日は「3.5.2 文書管理」と「3.5.3 記録の管理」に関する指摘事項の傾向と対策です。
(ガイドラインP. 60-61)
まず、「文書」とは何か。
というのも、JIS Q 15001には、「文書」と「記録」という単語が使われていますが、それをこの規格自体には明確に定義されておらず、慣れないと混乱する可能性があるからです。
<定義>
文書:情報及びそれを保持する媒体。(JIS Q 9000:2006)
情報:意味のあるデータ。(JIS Q 9000:2006)
記録:達成した結果を記述した、又は実施した活動の証拠を提供する文書。(JIS Q 9000:2006)
したがって、「個人情報保護マネジメントシステム文書」といった場合、(a)個人情報保護マネジメントシステムを運用するために必要な明文化したルール群と、(b)それを運用する上で生じた活動の記録、の両方を含むと考えられます。
しかし、「個人情報保護マネジメントシステム文書」は、狭義には、(b)を除いた(a)、すなわち、記録を除いた明文化されたルール群を指すこともあります。
「3.5.2 文書管理」では、この狭義の「個人情報保護マネジメントシステム文書」の管理について要求しています。
(なので、わざわざ「この規格が要求するすべての文書(記録を除く。)」などと表現しているのです。)
そして(b)の管理については、次の「3.5.3 記録の管理」で要求しています。
「3.5.2 文書管理」で対象となるのは、いわゆる「○○規程」とか「○○細則」とか「○○マニュアル」といった類のものになるでしょう。
これらは、定期・不定期に見直され、改訂されます。
「3.5.3 記録の管理」で対象となるのは、例えば「入退館管理記録」とか「教育理解度テスト」とか「監査実施記録」とか「アクセスログ点検記録」などなど、自社のプライバシーマークに関する制度を実施する上で生じるあらゆる記録がこれに含まれます。
記録は通常改訂されません。というのも、記録の内容を改訂したら偽装になるからです。
記録を作成しやすいように、通常は「○○チェックリスト」や「○○申請書」などという定型様式を用意することもあります。
私たちはよくこれを「様式」とか「様式類」と言いますが、「様式」という単語はJIS Q 15001には定義されていません。
これを会社の就業規則になぞらえてみると、
「就業規則」= 狭義の「個人情報保護マネジメントシステム文書」
書き込み用の中身空白の「交通費清算用紙」=「様式類」
書き込んで提出された「交通費清算用紙」=「記録」
と考えることができるでしょう。
さて、審査の傾向と対策についてですが、「3.5.2 文書管理」の要求事項を満たすため「文書管理台帳」というようなものを作成し、そこに文書の発行・改訂日、改訂の内容と版数が書かれていれば問題ないでしょう。
この「文書管理台帳」に「記録」を含めるかどうかということですが、含める方が印象が良いようです。
審査員は、PMSの規程類と記録類の全体像を眺められる方が審査しやすいからでしょう。
「記録」については、「文書管理台帳」に含めるにしろ含めないにしろ、それぞれについて「保管期間」、「保管場所」、「保管責任者」くらいは定義しておいた方が良いでしょう。
また、この記録について、個人情報が含まれるものについては、「3.3.1 個人情報の特定」の要求事項に従って特定する必要があるでしょう。つまり、「個人情報管理台帳」とか「個人情報一覧表」に載せるということです。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
(ガイドラインP. 60-61)
まず、「文書」とは何か。
というのも、JIS Q 15001には、「文書」と「記録」という単語が使われていますが、それをこの規格自体には明確に定義されておらず、慣れないと混乱する可能性があるからです。
<定義>
文書:情報及びそれを保持する媒体。(JIS Q 9000:2006)
情報:意味のあるデータ。(JIS Q 9000:2006)
記録:達成した結果を記述した、又は実施した活動の証拠を提供する文書。(JIS Q 9000:2006)
したがって、「個人情報保護マネジメントシステム文書」といった場合、(a)個人情報保護マネジメントシステムを運用するために必要な明文化したルール群と、(b)それを運用する上で生じた活動の記録、の両方を含むと考えられます。
しかし、「個人情報保護マネジメントシステム文書」は、狭義には、(b)を除いた(a)、すなわち、記録を除いた明文化されたルール群を指すこともあります。
「3.5.2 文書管理」では、この狭義の「個人情報保護マネジメントシステム文書」の管理について要求しています。
(なので、わざわざ「この規格が要求するすべての文書(記録を除く。)」などと表現しているのです。)
そして(b)の管理については、次の「3.5.3 記録の管理」で要求しています。
「3.5.2 文書管理」で対象となるのは、いわゆる「○○規程」とか「○○細則」とか「○○マニュアル」といった類のものになるでしょう。
これらは、定期・不定期に見直され、改訂されます。
「3.5.3 記録の管理」で対象となるのは、例えば「入退館管理記録」とか「教育理解度テスト」とか「監査実施記録」とか「アクセスログ点検記録」などなど、自社のプライバシーマークに関する制度を実施する上で生じるあらゆる記録がこれに含まれます。
記録は通常改訂されません。というのも、記録の内容を改訂したら偽装になるからです。
記録を作成しやすいように、通常は「○○チェックリスト」や「○○申請書」などという定型様式を用意することもあります。
私たちはよくこれを「様式」とか「様式類」と言いますが、「様式」という単語はJIS Q 15001には定義されていません。
これを会社の就業規則になぞらえてみると、
「就業規則」= 狭義の「個人情報保護マネジメントシステム文書」
書き込み用の中身空白の「交通費清算用紙」=「様式類」
書き込んで提出された「交通費清算用紙」=「記録」
と考えることができるでしょう。
さて、審査の傾向と対策についてですが、「3.5.2 文書管理」の要求事項を満たすため「文書管理台帳」というようなものを作成し、そこに文書の発行・改訂日、改訂の内容と版数が書かれていれば問題ないでしょう。
この「文書管理台帳」に「記録」を含めるかどうかということですが、含める方が印象が良いようです。
審査員は、PMSの規程類と記録類の全体像を眺められる方が審査しやすいからでしょう。
「記録」については、「文書管理台帳」に含めるにしろ含めないにしろ、それぞれについて「保管期間」、「保管場所」、「保管責任者」くらいは定義しておいた方が良いでしょう。
また、この記録について、個人情報が含まれるものについては、「3.3.1 個人情報の特定」の要求事項に従って特定する必要があるでしょう。つまり、「個人情報管理台帳」とか「個人情報一覧表」に載せるということです。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
2009年08月13日
「プライバシーマーク運用・更新セミナー」〜次の更新までに何をすればいいのかを教えます〜
本日は弊社主催のPマーク セミナーのご案内です。
事前予約いただきますと割引があります。
日時:2009年9月3日(木)14:20〜16:30 (14:00受付開始)
対象者:プライバシーマーク取得済み事業者(JIS Q 15001:2006準拠)のご担当者様
参加費:1社2名様まで 事前予約8,000円 当日申込10,000円
会場:東京国際フォーラム ガラス棟G408会議室
お申込みは以下のリンクから。
http://www.optima-solutions.jp/seminar/090903.html
(満席になり次第受付を終了します。)
内容は以下の通りです。
第1部 プライバシーマーク運用・更新のポイント!
・プライバシーマーク更新・更新のポイントをまとめて、分かりやすくご説明いたします。
講師:弊社代表取締役 中 康二(なか こうじ)
第2部 プライバシーマーク更新をスムーズに乗り切るには?
・リスク管理表・審査対応を中心に、実務的な更新のノウハウを教えます!
講師:遠藤 朝永
無料診断&質疑応答
・不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。
特定の機微な情報(センシティブ情報)の取扱いに関しても触れたいと思います。
お申し込みをお待ちしております。
事前予約いただきますと割引があります。
日時:2009年9月3日(木)14:20〜16:30 (14:00受付開始)
対象者:プライバシーマーク取得済み事業者(JIS Q 15001:2006準拠)のご担当者様
参加費:1社2名様まで 事前予約8,000円 当日申込10,000円
会場:東京国際フォーラム ガラス棟G408会議室
お申込みは以下のリンクから。
http://www.optima-solutions.jp/seminar/090903.html
(満席になり次第受付を終了します。)
内容は以下の通りです。
第1部 プライバシーマーク運用・更新のポイント!
・プライバシーマーク更新・更新のポイントをまとめて、分かりやすくご説明いたします。
講師:弊社代表取締役 中 康二(なか こうじ)
第2部 プライバシーマーク更新をスムーズに乗り切るには?
・リスク管理表・審査対応を中心に、実務的な更新のノウハウを教えます!
講師:遠藤 朝永
無料診断&質疑応答
・不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。
特定の機微な情報(センシティブ情報)の取扱いに関しても触れたいと思います。
お申し込みをお待ちしております。
2009年08月12日
最近の指摘事項の傾向と対策(33)「3.5.1 文書の範囲」
本日は「3.5.1 文書の範囲」に関する指摘事項の傾向と対策です。
(ガイドラインP. 59)
<文書作成>
・以下の文書が、自社のプライバシーマークに関する制度においてはどういう規程や様式に該当するのかを定めるとよいでしょう。
a) 個人情報保護方針
b) 内部規程
c) 計画書
d) この規格が要求する記録及び事業者が個人情報保護マネジメントシステムを実施する上で必要と判断した記録
・一般的には「文書管理台帳」というものを用意して、そこに自社の規程類や様式類を定めます。
<運用>
・この項目についての審査は、次の「3.5.2 文書管理」と「3.5.3 記録の管理」で見ると思って良いでしょう。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
(ガイドラインP. 59)
<文書作成>
・以下の文書が、自社のプライバシーマークに関する制度においてはどういう規程や様式に該当するのかを定めるとよいでしょう。
a) 個人情報保護方針
b) 内部規程
c) 計画書
d) この規格が要求する記録及び事業者が個人情報保護マネジメントシステムを実施する上で必要と判断した記録
・一般的には「文書管理台帳」というものを用意して、そこに自社の規程類や様式類を定めます。
<運用>
・この項目についての審査は、次の「3.5.2 文書管理」と「3.5.3 記録の管理」で見ると思って良いでしょう。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
2009年08月05日
最近の指摘事項の傾向と対策(32)「3.4.5 教育」
本日は「3.4.5 教育」に関する指摘事項の傾向と対策です。
(ガイドラインP. 58)
<文書作成>
・ガイドラインの通りに規定すればいいでしょう。
・特に理解度を確認する旨手順が定められている必要があります。
<運用>
・プライバシーマークでは、毎年、個人情報保護に関する教育研修をする必要があります。
・運用においては何と言っても、全従業者が教育を受けたことを示す記録が重要です。
・教育は全従業者同一の内容でなくても構いません。
社外取締役には、教育資料を配布するだけということになるかもしれません。
パートやアルバイトの方には、A4の紙に注意事項をまとめたものを配布して、理解してもらった上で非開示に関する誓約書にサインしてもらうなどの手順でもいいでしょう。
・全従業者の一覧を作成し、そこに「理解度テストの点数」、「誓約書の提出」、「個人情報提供の同意書」の欄を設けると、網羅性を確保でき便利です。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
(ガイドラインP. 58)
<文書作成>
・ガイドラインの通りに規定すればいいでしょう。
・特に理解度を確認する旨手順が定められている必要があります。
<運用>
・プライバシーマークでは、毎年、個人情報保護に関する教育研修をする必要があります。
・運用においては何と言っても、全従業者が教育を受けたことを示す記録が重要です。
・教育は全従業者同一の内容でなくても構いません。
社外取締役には、教育資料を配布するだけということになるかもしれません。
パートやアルバイトの方には、A4の紙に注意事項をまとめたものを配布して、理解してもらった上で非開示に関する誓約書にサインしてもらうなどの手順でもいいでしょう。
・全従業者の一覧を作成し、そこに「理解度テストの点数」、「誓約書の提出」、「個人情報提供の同意書」の欄を設けると、網羅性を確保でき便利です。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
2009年07月08日
「プライバシーマーク運用・更新セミナー」〜より容易に運用できるマネジメントシステムを実現する方法〜
本日は弊社主催のPマーク セミナーのご案内です。
事前予約いただきますと割引があります。
日時:2009年7月16日(木)14:20〜16:30 (14:00受付開始)
対象者:プライバシーマーク取得済み事業者(JIS Q 15001:2006準拠)のご担当者様
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
会場:東京国際フォーラム ガラス棟G405会議室
東京都千代田区丸の内3-5-1各線有楽町駅よりスグ
お申込みは以下のリンクから。(下部に申し込みフォームがあります。)
http://www.optima-solutions.jp/seminar/090716.html
(満席になり次第受付を終了します。)
内容は以下の通りです。
第1部 プライバシーマーク運用・更新のポイント!
・プライバシーマーク更新・更新のポイントをまとめて、分かりやすくご説明いたします。
講師:弊社代表取締役 中 康二(なか こうじ)
第2部 プライバシーマーク更新をスムーズに乗り切るには?
・リスク管理表・審査対応を中心に、実務的な更新のノウハウを教えます!
講師:遠藤 朝永
無料診断&質疑応答
・不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。
効率のよいリスク分析の方法(リスク分析表)やその雛形もご提供します。
お申し込みをお待ちしております。
事前予約いただきますと割引があります。
日時:2009年7月16日(木)14:20〜16:30 (14:00受付開始)
対象者:プライバシーマーク取得済み事業者(JIS Q 15001:2006準拠)のご担当者様
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
会場:東京国際フォーラム ガラス棟G405会議室
東京都千代田区丸の内3-5-1各線有楽町駅よりスグ
お申込みは以下のリンクから。(下部に申し込みフォームがあります。)
http://www.optima-solutions.jp/seminar/090716.html
(満席になり次第受付を終了します。)
内容は以下の通りです。
第1部 プライバシーマーク運用・更新のポイント!
・プライバシーマーク更新・更新のポイントをまとめて、分かりやすくご説明いたします。
講師:弊社代表取締役 中 康二(なか こうじ)
第2部 プライバシーマーク更新をスムーズに乗り切るには?
・リスク管理表・審査対応を中心に、実務的な更新のノウハウを教えます!
講師:遠藤 朝永
無料診断&質疑応答
・不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。
効率のよいリスク分析の方法(リスク分析表)やその雛形もご提供します。
お申し込みをお待ちしております。
2009年07月07日
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正案に対する意見公募について
ご存知の通り、2009年6月30日に表題の件が公示されました。
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595109052&OBJCD=&GROUP=
そこでその「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン改正案」にざっと目を通してみました。
印象としては、
1. 事例が拡充した
2. 消費者保護に関する諸団体からの要望が盛り込まれているみたい
1.については言うまでもありませんね。特に法第16条第3項第1号関連の事例は「しつこい」くらいです。さまざまな機関や団体が、「個人情報保護法を理由に情報提供を拒まれる」という問題に直面したんだろうな、ということが推測されます。
2. 例えば「消費者等、本人の権利利益保護の観点から…本人からの求めに一層対応していくことが望ましい」などというよくわからない表現が今回から導入されていて、これらは恐らく消費者センターなどに寄せられた苦情を考慮したものだと思われます。それにしても「一層」とはどういうことだ? これまでまじめに取り組んできた会社もそうでない会社も一律に、今までどおりでは十分ではなく、さらに何かしろと? このような表現が入り込むと、あまりガイドにならない「ガイドライン」になるのではないでしょうか。
まだ気が早いですが、これが発効したとして、プライバシーマークの審査において予想されることを考えてみました。
今回改正案として挙げられている修正箇所のほとんどは、プライバシーマークを取得している事業者にとってはすでに行っていること、あるいはその内容をより詳細に説明しているだけだろう思います。なのでこれが審査に大きく影響はしないと思いますが、いくつか追加で指摘されそうな項目を挙げると、
・個人情報の取扱いを委託する場合は、単に委託するということだけでなく、委託する事務の内容を明らかにすること(2-2-3-4.委託先の監督B P. 39)
・開示対象個人情報の開示の求めが合った場合は、個人情報の取得元又は取得方法(取得源の種類等)を、可能な限り具体的に明記するよう規定すること(2-2-5-2.保有個人データの開示 P. 51)
・「個人情報保護を推進する上での考え方や方針」の中に「個人データの委託を行うこと」と「委託する事務の内容」が盛り込まれていないので、盛り込むこと。(5.個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格 (イ) P. 63)
・「個人情報保護を推進する上での考え方や方針」の中に、個人情報の取得元又は取得方法(取得源の種類等)を可能な限り具体的に明記したり、本人から求めがあった場合には、ダイレクトメールの発送停止等自主的に利用停止に応じたりするなど、事業活動の特性、規模、実態を考慮して、本人からの求めに対応していくことが盛り込まれていないので、盛り込むこと。(5.個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格 (オ) P. 63)
いずれにしても、大したことにはならないでしょう。プライバシーマークを取得しようとしている事業者は、指摘事項に対して粛々と改善するだけですね。
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595109052&OBJCD=&GROUP=
そこでその「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン改正案」にざっと目を通してみました。
印象としては、
1. 事例が拡充した
2. 消費者保護に関する諸団体からの要望が盛り込まれているみたい
1.については言うまでもありませんね。特に法第16条第3項第1号関連の事例は「しつこい」くらいです。さまざまな機関や団体が、「個人情報保護法を理由に情報提供を拒まれる」という問題に直面したんだろうな、ということが推測されます。
2. 例えば「消費者等、本人の権利利益保護の観点から…本人からの求めに一層対応していくことが望ましい」などというよくわからない表現が今回から導入されていて、これらは恐らく消費者センターなどに寄せられた苦情を考慮したものだと思われます。それにしても「一層」とはどういうことだ? これまでまじめに取り組んできた会社もそうでない会社も一律に、今までどおりでは十分ではなく、さらに何かしろと? このような表現が入り込むと、あまりガイドにならない「ガイドライン」になるのではないでしょうか。
まだ気が早いですが、これが発効したとして、プライバシーマークの審査において予想されることを考えてみました。
今回改正案として挙げられている修正箇所のほとんどは、プライバシーマークを取得している事業者にとってはすでに行っていること、あるいはその内容をより詳細に説明しているだけだろう思います。なのでこれが審査に大きく影響はしないと思いますが、いくつか追加で指摘されそうな項目を挙げると、
・個人情報の取扱いを委託する場合は、単に委託するということだけでなく、委託する事務の内容を明らかにすること(2-2-3-4.委託先の監督B P. 39)
・開示対象個人情報の開示の求めが合った場合は、個人情報の取得元又は取得方法(取得源の種類等)を、可能な限り具体的に明記するよう規定すること(2-2-5-2.保有個人データの開示 P. 51)
・「個人情報保護を推進する上での考え方や方針」の中に「個人データの委託を行うこと」と「委託する事務の内容」が盛り込まれていないので、盛り込むこと。(5.個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格 (イ) P. 63)
・「個人情報保護を推進する上での考え方や方針」の中に、個人情報の取得元又は取得方法(取得源の種類等)を可能な限り具体的に明記したり、本人から求めがあった場合には、ダイレクトメールの発送停止等自主的に利用停止に応じたりするなど、事業活動の特性、規模、実態を考慮して、本人からの求めに対応していくことが盛り込まれていないので、盛り込むこと。(5.個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格 (オ) P. 63)
いずれにしても、大したことにはならないでしょう。プライバシーマークを取得しようとしている事業者は、指摘事項に対して粛々と改善するだけですね。
最近の指摘事項の傾向と対策(31)「3.4.4.6 開示対象個人情報の訂正,追加又は削除」と「3.4.4.7 開示対象個人情報の利用又は提供の拒否権」
本日は「3.4.4.6 開示対象個人情報の訂正,追加又は削除」と「3.4.4.7 開示対象個人情報の利用又は提供の拒否権」に関する指摘事項の傾向と対策です。
(ガイドラインP. 56-57)
<文書作成>
・ガイドラインの通りに規定すればいいでしょう。
・例によって本人への回答内容(求めに応じない場合を含む)に関する承認手順と、ただし書きを適用する場合の承認手順が定められていること。
<運用>
・審査でこの運用について尋ねられることは恐らく99%ないでしょう。
・もしかしたら、理解を確かめるために「本人から個人情報の利用停止を求められた場合の社内手順を教えてください」と聞かれるかもしれませんが、それに答えられれば十分以上だと思います。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
(ガイドラインP. 56-57)
<文書作成>
・ガイドラインの通りに規定すればいいでしょう。
・例によって本人への回答内容(求めに応じない場合を含む)に関する承認手順と、ただし書きを適用する場合の承認手順が定められていること。
<運用>
・審査でこの運用について尋ねられることは恐らく99%ないでしょう。
・もしかしたら、理解を確かめるために「本人から個人情報の利用停止を求められた場合の社内手順を教えてください」と聞かれるかもしれませんが、それに答えられれば十分以上だと思います。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
2009年06月22日
エコポイントの交換商品等の提供事業者の個人情報の取得
今日は少しプライバシーマーク審査の現場から離れてエコポイントについて
このエコポイントというのは、グリーン家電を購入した人が、「エコポイント事務局」に申請すると、「エコポイント交換商品」の中からポイント相当の商品やサービスをもらえるということですね。
6月19日(金)に、この「エコポイント交換商品」が発表されました。
http://headlines.yahoo.co.jp/hl?a=20090619-00000011-fsi-bus_all
この「エコポイント交換商品」を提供する会社の立場から、個人情報の取得について何が必要だろうかと考えてみました。
さて、この商品提供事業者(エコポイント交換商品を提供する会社)には、「エコポイント事務局」から、申請者(ポイント交換をしたい人)の住所と氏名が提供され、それによってその人に商品やサービスが提供されることになるようです。
http://eco-points.jp/EP/whats/index.html
http://www.env.go.jp/policy/ep_kaden/090612a.html
ということは、商品提供事業者は、「エコポイント事務局」から個人情報の第三者提供を受けているということですよね。
(商品提供事業者と「エコポイント事務局」との契約等は見ていないので詳細はわかりませんが、恐らく個人情報の取扱いの委託というよりは第三者提供となるでしょう。)
そうすると、商品提供事業者は、個人情報保護法第18条第1項に基づいて「個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない」ことになります。(JIS Q 15001では3.4.2.5に該当)
そこで、この第18条第1項に基づいて「公表」している会社があるかどうか、2、3見てみました。
(ここに挙げているのは、遵法意識が高いだろうと勝手に判断した会社です。特に他意があるわけではありません。)
■ 東日本旅客鉄道株式会社
http://www.jreast.co.jp/site/privacy.html
「(1)お客さまから取得した個人情報の利用目的」と「(2)株主さまから取得した個人情報の利用目的」しか掲載がありません。「エコポイント事務局」からの取得については記載がありませんね。
■ 伊藤忠商事株式会社
http://www.itochu.co.jp/main/privacy.html
こちらも「お客様からご提供いただいた個人情報」についてしか述べていません。
「エコポイント事務局」からの取得については記載がありませんね。
■ 三井住友カード株式会社
http://www.smbc-card.com/mem/company/pop/privacy.html#name1
「・ポイント付与やカード付帯保険等の付帯サービスの提供」が近い感じがしますが、これは「クレジットカード関連事業における」の範囲に限られています。
この会社が提供する商品は、「三井住友VISAギフトカード」ですので、正確にはこれに該当しないと思います。
利用目的は「公表」しなくても「通知」でもいいわけですから、商品の発送時に個人情報の利用目的を通知しても良いのだろうと思います。
それに、実際の商品の交換は7月1日からということですので、まだ少し時間があります。
通知、公表するとしたら、どんな文言がいいんでしょうね。
「エコポイントの活用によるグリーン家電普及促進事業において当社が提供する交換商品等の提供、アフターサービス及び係る管理を適切に行うため」というのはどうでしょうか。
もっとも、個人情報保護法第18条第4項第4号の「取得の状況からみて利用目的が明らかであると認められる場合」に該当するので、通知も公表もしない、という判断もあり得るかもしれません。
さて、これまで法律に絡めて述べてきましたが、すべて興味本位の雑談です。
当方は弁護士ではありませんので、詳しくお知りになりたい方は、弁護士先生へお尋ねください。
このエコポイントというのは、グリーン家電を購入した人が、「エコポイント事務局」に申請すると、「エコポイント交換商品」の中からポイント相当の商品やサービスをもらえるということですね。
6月19日(金)に、この「エコポイント交換商品」が発表されました。
http://headlines.yahoo.co.jp/hl?a=20090619-00000011-fsi-bus_all
この「エコポイント交換商品」を提供する会社の立場から、個人情報の取得について何が必要だろうかと考えてみました。
さて、この商品提供事業者(エコポイント交換商品を提供する会社)には、「エコポイント事務局」から、申請者(ポイント交換をしたい人)の住所と氏名が提供され、それによってその人に商品やサービスが提供されることになるようです。
http://eco-points.jp/EP/whats/index.html
http://www.env.go.jp/policy/ep_kaden/090612a.html
ということは、商品提供事業者は、「エコポイント事務局」から個人情報の第三者提供を受けているということですよね。
(商品提供事業者と「エコポイント事務局」との契約等は見ていないので詳細はわかりませんが、恐らく個人情報の取扱いの委託というよりは第三者提供となるでしょう。)
そうすると、商品提供事業者は、個人情報保護法第18条第1項に基づいて「個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない」ことになります。(JIS Q 15001では3.4.2.5に該当)
そこで、この第18条第1項に基づいて「公表」している会社があるかどうか、2、3見てみました。
(ここに挙げているのは、遵法意識が高いだろうと勝手に判断した会社です。特に他意があるわけではありません。)
■ 東日本旅客鉄道株式会社
http://www.jreast.co.jp/site/privacy.html
「(1)お客さまから取得した個人情報の利用目的」と「(2)株主さまから取得した個人情報の利用目的」しか掲載がありません。「エコポイント事務局」からの取得については記載がありませんね。
■ 伊藤忠商事株式会社
http://www.itochu.co.jp/main/privacy.html
こちらも「お客様からご提供いただいた個人情報」についてしか述べていません。
「エコポイント事務局」からの取得については記載がありませんね。
■ 三井住友カード株式会社
http://www.smbc-card.com/mem/company/pop/privacy.html#name1
「・ポイント付与やカード付帯保険等の付帯サービスの提供」が近い感じがしますが、これは「クレジットカード関連事業における」の範囲に限られています。
この会社が提供する商品は、「三井住友VISAギフトカード」ですので、正確にはこれに該当しないと思います。
利用目的は「公表」しなくても「通知」でもいいわけですから、商品の発送時に個人情報の利用目的を通知しても良いのだろうと思います。
それに、実際の商品の交換は7月1日からということですので、まだ少し時間があります。
通知、公表するとしたら、どんな文言がいいんでしょうね。
「エコポイントの活用によるグリーン家電普及促進事業において当社が提供する交換商品等の提供、アフターサービス及び係る管理を適切に行うため」というのはどうでしょうか。
もっとも、個人情報保護法第18条第4項第4号の「取得の状況からみて利用目的が明らかであると認められる場合」に該当するので、通知も公表もしない、という判断もあり得るかもしれません。
さて、これまで法律に絡めて述べてきましたが、すべて興味本位の雑談です。
当方は弁護士ではありませんので、詳しくお知りになりたい方は、弁護士先生へお尋ねください。
|
|
