Pマーク、ISOコンサル現場の声〜誰も教えない個人情報保護 3.4.2適切な取得／3.4.2.3特定の機微な個人情報の取得、利用及び提供の制限

プライバシーマークやISO27001などの認証取得のコンサルティング業務の
一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

特集特集

2007年6月19日（火） 18時10分

プライバシーマークやISO27001などの認証取得のコンサルティング業務の
一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名祐輔
http://rm.jmc.ne.jp/service/pm/column20.html

皆さんこんにちは。今回のテーマは「3.4.2適切な取得／3.4.2.3特定の機微な個人情報の取得、利用及び提供の制限」です。

＜3.4.2.2適切な取得＞本要求事項は、個人情報の取得時における要求事項となっており、「適法、かつ、公正な手段によって個人情報を取得する」ことを要求しています。“適法、かつ、公正”とは、言い方を変えると、違法な取得や偽りの目的を通知することによる取得をしてはならないということです。このことを、教育などを通じて社員等に周知徹底することが必要ですね。

＜3.4.2.3特定の機微な個人情報の取得、利用及び提供の制限＞「特定の機微な情報」とは、はじめてPマークに携わる方には馴染みのない単語だと思います。JISQ15001の要求事項によると、以下に該当するものが特定の機微な個人情報と定義されています。

・思想、信条又は宗教に関する事項
・人種、民族、門地、本籍地（所在都道府県に関する情報を除く）、身体、精神障害、犯罪歴その他社会的差別の原因となる事項
・勤労者の団結権、団体交渉その他団体行動の行為に関する事項
・集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項
・保健医療又は性生活に関する事項

これらに該当するものは、原則、取得・利用・提供が禁止されています。Pマークを取得する際、自社規程を作成するにあたっては、この内容が原則になりますから、まずは自社規程にこの内容を明確にしなければなりません。続いてしなければならないのは、自社の業務をチェックし、実際に特定の機微な個人情報を取得・利用・提供しているかの確認です。

どうでしょう、ありましたか？あった場合には、まず、その情報を何のために取得しているのか確認しましょう。もし、目的もなく取得しているのであれば、それは今後取り扱わないことを検討した方が良いかもしれません。

一方、目的がはっきりしていて必要性がある場合、JISQ15001の要求事項に則って本人から明示的な同意をもらう必要が出てきます。ここは大事な点です。JISQ15001が要求しているのは、“同意”であって、“明示、通知”ではありません。この点を誤解して通知もしくは公表のみで対応し、審査で指摘をもらわないように注意が必要です。

経済産業省のガイドラインを見てみると、本人の同意を得ている事例として以下が挙げられています。実際に本人から同意を得る手順を作成する場合に、参考にしてみると良いと思います。

【本人の同意を得ている事例】
・同意する旨を本人から口頭又は書面で確認すること。
・本人が署名又は記名押印した同意する旨の申込書文書を受領し確認すること。
・本人からの同意する旨のメールを受信すること。
・本人による同意する旨の確認欄へのチェック
・本人による同意する旨のウェブ画面上のボタンのクリック。
・本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力。

JISQ15001によると、特定の機微な情報を取得する際の同意は、“明示的な”同意ですから、上記の事例の中でも、口頭での同意は認められ難いと思います。また、この要求事項では、“但し書き”として、特別に特定の機微な個人情報の取り扱いが認められる例外条件が…

【執筆：浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column20.html

《ScanNetSecurity》