Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 3.4.2適切な取得/3.4.2.3特定の機微な個人情報の取得、利用及び提供の制限 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.13(水)

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 3.4.2適切な取得/3.4.2.3特定の機微な個人情報の取得、利用及び提供の制限

特集 特集

プライバシーマークやISO27001などの認証取得のコンサルティング業務の
一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column20.html

皆さんこんにちは。今回のテーマは「3.4.2適切な取得/3.4.2.3特定の機微な個人情報の取得、利用及び提供の制限」です。

<3.4.2.2適切な取得>本要求事項は、個人情報の取得時における要求事項となっており、「適法、かつ、公正な手段によって個人情報を取得する」ことを要求しています。“適法、かつ、公正”とは、言い方を変えると、違法な取得や偽りの目的を通知することによる取得をしてはならないということです。このことを、教育などを通じて社員等に周知徹底することが必要ですね。

<3.4.2.3特定の機微な個人情報の取得、利用及び提供の制限>「特定の機微な情報」とは、はじめてPマークに携わる方には馴染みのない単語だと思います。JISQ15001の要求事項によると、以下に該当するものが特定の機微な個人情報と定義されています。

・思想、信条又は宗教に関する事項
・人種、民族、門地、本籍地(所在都道府県に関する情報を除く)、身体、精神障害、犯罪歴その他社会的差別の原因となる事項
・勤労者の団結権、団体交渉その他団体行動の行為に関する事項
・集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項
・保健医療又は性生活に関する事項

これらに該当するものは、原則、取得・利用・提供が禁止されています。Pマークを取得する際、自社規程を作成するにあたっては、この内容が原則になりますから、まずは自社規程にこの内容を明確にしなければなりません。続いてしなければならないのは、自社の業務をチェックし、実際に特定の機微な個人情報を取得・利用・提供しているかの確認です。

どうでしょう、ありましたか?あった場合には、まず、その情報を何のために取得しているのか確認しましょう。もし、目的もなく取得しているのであれば、それは今後取り扱わないことを検討した方が良いかもしれません。

一方、目的がはっきりしていて必要性がある場合、JISQ15001の要求事項に則って本人から明示的な同意をもらう必要が出てきます。ここは大事な点です。JISQ15001が要求しているのは、“同意”であって、“明示、通知”ではありません。この点を誤解して通知もしくは公表のみで対応し、審査で指摘をもらわないように注意が必要です。

経済産業省のガイドラインを見てみると、本人の同意を得ている事例として以下が挙げられています。実際に本人から同意を得る手順を作成する場合に、参考にしてみると良いと思います。

【本人の同意を得ている事例】
・同意する旨を本人から口頭又は書面で確認すること。
・本人が署名又は記名押印した同意する旨の申込書文書を受領し確認すること。
・本人からの同意する旨のメールを受信すること。
・本人による同意する旨の確認欄へのチェック
・本人による同意する旨のウェブ画面上のボタンのクリック。
・本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力。

JISQ15001によると、特定の機微な情報を取得する際の同意は、“明示的な”同意ですから、上記の事例の中でも、口頭での同意は認められ難いと思います。また、この要求事項では、“但し書き”として、特別に特定の機微な個人情報の取り扱いが認められる例外条件が…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column20.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×