Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 3.4.2.4 本人から直接書面によって取得する場合の措置 | ScanNetSecurity
2024.05.18(土)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 3.4.2.4 本人から直接書面によって取得する場合の措置

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

特集 特集
プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/p_column21.html

皆さんこんにちは。今回のテーマは3.4.2.4 本人から直接書面によって取得する場合の措置です。この要求事項は、前回と同様に個人情報を取得する際の要求事項であり、内容を一言で表すと、「個人情報を取得する際には通知同意を行う」となります。

非常にシンプルですが、読み込んでいくと、本要求事項が該当する場面であったり、本人に通知する内容、他には通知同意が免除される条件など、盛りだくさんの内容となっています。

ではまず、3.4.2.4の要求事項は、どのような場合に当てはまる要求事項かというと、タイトルにもある通り、「本人から直接書面で取得する場合」に当てはまる要求事項です。ここでいう“書面”とは、紙媒体だけに限らず、電子的、磁気的方式も含みます。ですから、具体的な例としては、本人から直接、紙媒体の個人情報を手渡しで取得する場合、FAXで取得する場合、メールで取得する場合、Webに入力してもらう場合などが当てはまると思います。

そのような取得の際、JISQ15001に記載されているa)〜h)の内容を“あらかじめ”、本人に“書面で”明示し、本人の同意を得なければなりません。ポイントは“あらかじめ”、“書面で(電子的、磁気的方法を含む)”明示することです。ですから、取得後に明示したり、口頭でa)〜h)の内容を通達する方法は原則認められません。自社の業務の流れの中で、これら2点を実現できるような手段を考えましょう。一般的には、Webページの入力フォームに掲載したり、契約書の裏面に印刷する方法がありますね。

では続いて、本人に明示するa)〜h)の中で、特に注意が必要な箇所を見てみましょう。

b)利用目的
利用目的については、具体的な表記が望ましいですが、細かく書きすぎて本人から見難くなったり、頻繁に同意を求めることがないように配慮しましょう。 具体性のレベルについては、本人の目線から見て、自分の個人情報が何に使われるのか分かる程度が必要だと思います。(実際の審査時は審査員の主観で判断されますが・・・)Pマークを既に取得している同業他社の利用目的の書き方を参考にしてみるのも良いでしょう。

g)任意性と個人情報を与えなかった場合の影響
規格の本文だと少し読み難いかもしれませんが、言ってることはシンプルです。
1. 取得しようとしている個人情報が義務なのか、任意なのかはっきりさせる
2. 個人情報の提出を本人が拒んだ場合、その人にどのような影響があるのかはっきりさせる
この2点をいっています。JISQ15001の解説を読んでみると、「結婚紹介申込書の年収の欄に記入しなければ、年収を考慮した相手を紹介しないことや、中途採用に応募する場合に履歴書に職歴を記入しなければ選考対象にならないことなど」と書かれてます。実際に自社の通知同意文を作るにあたっては、これら具体例の表記を参考にしてみるとよいかもしれません。

h)本人が容易に認識できない方法によって個人情報を取得する場合
こちらも規格の本文だけ読むと、何のことか良く分かりませんが、規格の解説編を見てみると、クッキーを利用するサイトである場合、クッキーを利用していること、その利用目的を記述することですね。「クッキー」がよく分からない場合、自社のサーバ管理者、管理業者に使用の有無を確認すれば、すぐ分かると思います。

さて、ここまで順調にくれば、3.4.2.4に該当する取得に際して、通知同意の文面を作り、本人に対して同意を得られるようになります。ただし、要求事項にはまだ続きがあります。それは「但し書き」ですね。3.4.2.5のa)〜d)、3.4.2.6のa)〜d)のいずれかに該当する場合は、通知同意が免除されます。

ここで皆さんがしなければならないのは…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/p_column21.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Ruijie 製ルータBCR810W/BCR860 に OSコマンドインジェクションの脆弱性 画像

Ruijie 製ルータBCR810W/BCR860 に OSコマンドインジェクションの脆弱性
マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件 画像

マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件
Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ 画像

Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ
runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report) 画像

runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)
DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に 画像

DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に
サイボウズGaroon に複数の脆弱性 画像

サイボウズGaroon に複数の脆弱性

インシデント・事故 記事一覧へ

検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃 画像

検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃
ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入 画像

ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入
東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される 画像

東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される
個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕 画像

個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕
知多メディアスネットワークのアプリで CNCI グループ 2 社の個人情報が閲覧可能に 画像

知多メディアスネットワークのアプリで CNCI グループ 2 社の個人情報が閲覧可能に
「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい 画像

「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

調査・レポート・白書・ガイドライン 記事一覧へ

GMOイエラエ「軽量暗号 Ascon などに関わる標準化動向調査」が CRYPTREC に公開 画像

GMOイエラエ「軽量暗号 Ascon などに関わる標準化動向調査」が CRYPTREC に公開
日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期 インターネット定点観測レポート 画像

日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期 インターネット定点観測レポート
脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺 画像

脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺
サイバーセキュリティ人材、女性の平均給与は男性と約80万円差 ~ ISC2 調査 画像

サイバーセキュリティ人材、女性の平均給与は男性と約80万円差 ~ ISC2 調査
Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」 画像

Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」
ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート(2024.1Q)」公表 画像

ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート(2024.1Q)」公表

研修・セミナー・カンファレンス 記事一覧へ

毎年同じ年中行事化した診断から、予算を効果的に配分する濃淡をつけた診断へ ~ AeyeScan「診断マネジメントプラットフォーム」 画像

毎年同じ年中行事化した診断から、予算を効果的に配分する濃淡をつけた診断へ ~ AeyeScan「診断マネジメントプラットフォーム」
セキュリティマネージャーに捧ぐ「理想の脆弱性診断のプロセス」実現方法 ~ 5/23 解説セミナー開催 画像

セキュリティマネージャーに捧ぐ「理想の脆弱性診断のプロセス」実現方法 ~ 5/23 解説セミナー開催
脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説 画像

脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説
ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向 画像

ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向
SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感 画像

SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感
トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催 画像

トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

製品・サービス・業界動向 記事一覧へ

「Cloudbase」が Oracle Cloud Infrastructure 対応 画像

「Cloudbase」が Oracle Cloud Infrastructure 対応
NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可 画像

NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可
認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは 画像

認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは
「Pマークポータルサイト」サービス開始、担当者にアカウント情報をメール送付 画像

「Pマークポータルサイト」サービス開始、担当者にアカウント情報をメール送付
脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得 画像

脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得
「LogStare Collector」新バージョン 2.3.8 リリース、バイナリファイルの収集とダウンロード機能搭載 画像

「LogStare Collector」新バージョン 2.3.8 リリース、バイナリファイルの収集とダウンロード機能搭載

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×