2015年02月23日

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正を受けたJIPDECによる解説

JIPDECが本日付で「個人情報の適正な取得等について(解説)」の公表について」の文書を公表しました。
http://privacymark.jp/news/2015/0223/index.html

これは、昨年12月12日の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正を受けた解説です。

これにより、プライバシーマークの審査基準である「JIPDECガイドライン」の変更はないということです。

しかし、よく読むと、審査現場における確認内容はには、かすかに変化がありそうです。

例えば、委託者が再々委託以降の委託を認める場合、再委託先からの報告に再々委託先以降の状況についての報告があるか、などは確認されるかもですね。

そのうち、審査員にも説明会のようなものがあるでしょうから、そうすると審査現場では前回(2年前)とは若干異なる確認があるかもしれません。
posted by endo at 11:46| Comment(0) | TrackBack(0) | 日記

2015年02月02日

認定個人情報保護団体、対象事業者になるべきか否か

めでたくプライバシーマークの審査が通った(正確には「プライバシーマーク付与適格性が決定した」)後、JIPDECから送られてくる一連の文書の中に「認定個人情報保護団体の対象事業者に係る同意届出書」というタイトルの文書が大抵含まれています。
これです。
http://www.jipdec.or.jp/doc/protection_org/application_form1.doc

認定個人情報保護団体とは何かについてはここでは詳しく述べません。
その一連の文書の中に説明があるでしょうから。

また、JIPDECのホームページでも調べられます。
http://www.jipdec.or.jp/protection_org/index.html

さて、お客様から「対象事業者となるメリットとデメリットを教えてください」という質問をよくいただきます。

これは会社によっても、担当者の考え方によっても異なるので、上記のJIPDECの説明を元に判断してください、というのが優等生コンサルタントの答えでしょう。

しかしそれではあまり助けにはなりませんし、それが判断できていたら私のところにそれほど多くの質問はこないでしょう。

厳密に私の個人的な経験と独断的な意見としてメリット、デメリットを感覚として述べます。
したがって、正しいとか真実であるいうことでは全くありません。

【メリット】
@対象事業者限定の無料個人情報セミナーなどをJIPDECが開催することがあり、それに出席できる。あるいは、個人情報保護に関するセミナーが割引になることがある(確かあったと思う。)
A消費者と事業者の間に立って苦情処理の仲立ちをしてくれる。
B個人情報に関する事件・事故が生じた際に、JIPDEC(または審査機関)に報告すれば、事業者に代わって主務大臣に報告してくれる。(ただし、事故の内容によっては事業者自らが経済産業大臣(主務大臣)に、逐次速やかに報告を行うことが望ましいとしている。)

【デメリット】
上記メリット@ABの反対ですね。
それに加えて、C次の更新審査の際に、指摘の「可能性」がひとつ増える。
ただし、これは自社でJIS「3.4.4.3 開示対象個人情報に関する事項の周知など」に従って適切に対応しておけばいいだけです。

もう少し細かく見てみましょう。
@は、個人情報保護について熱心な方にとってはとても価値のあるものでしょう。
Aは、付与認定事業者についての苦情が消費者からJIPDECに行けば、別に対象事業者でなくても、必然的にJIPDECは消費者と事業者との仲立ちしなくてはならないように思います。するとあまり大きなメリットではないのではないか、むしろ事業者にとって面倒なのではないか、という気すらしてきます。(繰り返しますが、個人的な感想です。)
Bは、実際に事故(漏えいなど)を起こした時には少し便利です。対象事業者でない場合は、事故報告をJIPDEC(または審査機関)に提出すると同時に主務大臣に(経済産業大臣など)に報告しなければなりません。(別にほぼ同じ内容を送ればいいだけですけどね。)
Cについては、上記の通りです。

ところで、2015年2月2日現在では
付与事業者13,896社の内、
対象事業者は9,573社、
つまり70%弱が、対象事業者になることに同意しているということですね。

そこで、対象事業者になりたければ、単に「対象事業者になることに、同意いたします。」にチェックを入れて送り返せばいいですね。

対象事業者になりたくない場合は?

個人情報保護法では、「認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者又は認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない。」(第41条1項) としています。

なので、単に同意しなければいいだけです。

例えば、「認定個人情報保護団体の対象事業者に係る同意届出書」の文書をJIPDECに返信しないというのはひとつでしょう。特に返信を催促されないはずです。

ただ、良識ある企業として、通信に返事しないというのはあまり紳士的ではないという考えもあるかもしれません。

しかし「対象事業者になることに、同意いたしません。」のチェックの下に「理由」というのがあり、理由を述べなくてはならないみたいに見えます。

書き方は色々あるでしょうが、単に理由欄は空白で返信してもいいかもしれません。先ほどの法律第41条1項には、「対象事業者になることに同意しない場合は理由を述べなくてはならない」、とは要求していませんから。

あるはい、理由欄に「特に必要が無いため」と書いてもいいかもしれません。それが事実なのであれば。

これは、対象事業者にならないことを勧めているわけではありません。

ただ、ご自身でメリット、デメリットをご判断した上で対処してください、ということです。
posted by endo at 23:14| Comment(0) | TrackBack(0) | 日記