新JIS対応のためのポイント:適用範囲/用語及び定義
旧JISでプライバシーマークを取得した企業は、新JISに対応するために内部規定やルールの変更が必要となります。当然ながら、改正に伴い新JISが求める内部規定の整備や仕組みを満たしていることが必要です。また、個人情報保護法の概念を取り入れている部分もあり、すでに対応済みという部分もあると思います。しかし、個人情報保護法よりも厳しい要求事項もありますので、注意しましょう。
新JIS改正に当たり、重要と思われる項目を以下に抜粋します。
- 1.適用範囲
個人情報保護法の記述と同様に変更になっています。
個人情報を事業の用に供している
「個人情報を自社の事業のために利用(保有)している」、ということなので、倉庫業や運送業、データセンターなどは基本的には対象外といえます。ただし、対象外である企業でもプライバシーマーク取得自体は問題ありません。
- 2.用語及び定義
個人情報保護法の記述と同様に変更になっています。実際の場では、例えば管理者や監査責任者が存在することが重要であり、新JIS改正に伴い、用語を対応させることが求められているわけではありません。
(旧JIS→新JIS)
- 情報主体→本人
- 収集→取得
- 受領者→提供を受ける者
- 預託→取り扱いを委託
- 管理者→個人情報保護管理者
- 監査責任者→個人情報保護監査責任者
- コンプライアンス・プログラム→個人情報保護マネジメントシステム
- 不適合(追加)
新JIS対応のためのポイント:計画
- 3.3.3 リスクなどの認識、分析及び対策
新JIS改正で、独立した項目となりました。旧JISでもリスクの認識と対策は必要でしたが、理解の難しい記述であり、審査において指摘の多く出る部分でもありました。
新JISでは、「取扱いの各局面におけるリスク」とあるように、個人情報のライフサイクルに従いリスクを認識、評価し対策を取っているかが審査基準として明確になりました。
事業者は、3.3.1によって特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。事業者は、3.3.1によって特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。
- 3.3.5 内部規定
旧JISでは6項目でしたが、新JISでは15項目となりました。赤字部分が追加された項目です。内部規定として、整備されていないものは策定する必要があります。
例えば「l. 点検に関する規定」は、旧JISの「個人情報保護に関する監査の規定」に相当しますが、「点検」とするにあたり、日々の運用の確認などを追加する必要があります。
また、文書管理ついては、「3.4.5.2 文書管理」「3.4.5.3 記録の管理」も追加されており、内部規定として、文書管理手順(発行・改訂・版数管理)を定める必要があります。
- 個人情報を特定する手順に関する規定
- 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
- 個人情報に関するリスクの認識、分析及び対策の手順に関する規定
- 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
- 緊急事態への準備及び対応に関する規定
- 個人情報の取得、利用及び提供に関する規定
- 個人情報の適正管理に関する規定
- 本人からの開示等の求めへの対応に関する規定
- 教育に関する規定
- 個人情報保護マネジメントシステム文書の管理に関する規定
- 苦情及び相談への対応に関する規定
- 点検に関する規定
- 是正処置及び予防処置に関する規定
- 代表者による見直しに関する規定
- 内部規定の違反に関する罰則の規定
新JIS対応のためのポイント:実施及び運用
- 3.4.2.4 本人から直接書面によって取得する場合の措置
旧JISでは、「直接収集」と「間接収集」という区分けをしていましたが、新JISでは「直接書面によって取得」と「それ以外」という区分けになりました。
「直接書面によって取得」する場合は、書面によって本人に明示しなければならない項目が明確になっていますので、これらには対応しなくてはなりません。また、「明示」ですので、目立たないような記述は指摘の対象となります。
- 3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置
「直接書面によって取得」する以外の方法によって取得した場合ということで、新JISの解説では、以下の例が記されています。
- 委託を受けた場合
- 第三者として提供を受けた場合
- 公開情報から取得した場合
- 監視カメラによって取得した場合
- 口頭によって取得した場合など
本人から直接書面によって取得する場合以外は、本人の知らない間に取得する(監視カメラなど)、または取得に対する意識が低い(口頭によって取得など)といったケースも含まれていますので注意しましょう。この項目に当てはまる場合は、利用目的について本人の同意ではなく、公表または通知でよいとされています。
- 3.4.2.7 本人にアクセスする場合の措置
新たに追加された項目です。本人にアクセスする場合は、本人の同意が必要である、ということです。新JISの解説では、ダイレクトメールのケースについて、以下のように記しています。明示的な同意を求めていることに注意しましょう。
最初に出すDMに通知文書を同封して送付し、本人の同意が得られれば、継続して本人にアクセスできることになる。
ただし、回答が無い場合に黙示の同意があったものとみなすことは原則として不適切である。
- 3.4.2.8 提供に関する措置
利用と提供が分離されています。「第三者提供」「共同利用」についてもこの項目に含まれています。個人情報を第三者に提供する場合には、本人の同意を得ることが原則である、ということです。
注意すべき点として、「それに代わる同等の措置を講じているとき」というためには、「公表又は本人が容易に知り得る状態に置く」ことだけでは足りないと解釈できます。個人情報保護法第23条の第2項では、「次に掲げる項目」を示し、それらについては通知でも第三者への提供ができるとしており、新JISとは異なっているので注意しましょう。
b)大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合であって、次に示す事項又はそれと同等以上の内容の事項をあらかじめ、本人に通知し、又はそれに代わる同等の措置を講じているとき
- 第三者への提供を利用目的とすること
- 第三者に提供される個人データの項目
- 第三者への提供の手段又は方法
- 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
- 3.4.3.3 従業者の監督
新たに追加された項目です。個人情報保護法第21条とほぼ同意ですが、個人情報保護法は「個人データ」を対象としているのに対し、新JISでは「個人情報」を対象としている点が異なります。
事業者は、その従業者に個人情報を取り扱わせるに当たっては、当該個人情報の安全管理が図られるよう、当該従業者に対し必要、かつ、適切な監督を行わなければならない。
- 3.4.3.4 委託先の監督
委託契約に求められる項目が、新JISでは7項目となりました。(旧JISでは4項目)
- 委託者及び受託者の責任の明確化
- 個人情報の安全管理に関する事項
- 再委託に関する事項
- 個人情報の取扱状況に関する委託者への報告の内容及び頻度
- 契約内容が順守されていることを委託者が確認できる事項
- 契約内容が順守されなかった場合の措置
- 事件・事故が発生した場合の報告・連絡に関する事項
- 3.4.4.1 個人情報に関する権利
開示などの求めに応じるべき個人情報を、「開示対象個人情報」という表現を用いて表しています。「開示対象個人情報」は、「保有個人データ」とほぼ同意ですが、保有期間については限定していません。
また、「次のいずれかに該当する場合は、開示対象個人情報ではない」という部分については、「個人情報の保護に関する法律施行令」(平成15年政令第507号)第3条を踏まえて規定しており、例えば家庭内暴力や児童虐待などのケース、悪質なクレーマー、防衛に関する兵器などの開発に関するケース、警察からの捜査対象者などにかかわるものを指しています。
(保有個人データから除外されるもの)
第三条 法第二条第五項の政令で定めるものは、次に掲げるものとする。
- 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
- 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
- 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
- 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
(上記項目は個人情報の保護に関する法律施行令の第3条)
- 3.4.4.3 開示対象個人情報に関する事項の周知など
個人情報保護法第24条(保有個人データに関する事項の公表等)第1項に対応します。個人情報保護法にはない項目も追記されていますので注意しましょう。
事業者は、(中略)、次の事項を本人の知り得る状態に置かなければならない。
(個人情報保護法第24条に相当。以下は法にない項目)
- 個人情報保護管理者の氏名又は職名、所属及び連絡先
- 当該事業者が個人情報の保護に関する法律(・・)の認定を受けた者(以下、“認定個人情報保護団体”という。)の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申し出先
Copyright © ITmedia, Inc. All Rights Reserved.