SAAJTOP 目次 1適用範囲〜 2計画〜 3資源〜 4実施〜 5直接書面取得〜 6提供〜 
7匿名加工情報 8個人情報に関する権利 9認識 10パフォーマンス評価〜 
「PMS要求事項【JIS Q15001:2017】と「個人情報取扱規程」 管理策4   
  特定非営利活動法人 日本システム監査人協会 個人情報保護監査研究会
https://www.saaj.or.jp/shibu/kojin.html
主査:斎藤由紀子

   ▲A.3.3.4 資源、役割〜       A.3.4 実施及び運用     ▼A.3.4.2.5 直接書面取得

新個人情報保護法において、「要配慮個人情報」が規定されました。法律がJISに追いついてきたともいえます。要配慮個人情報を取得する場合は、”書面による”本人の同意が必要です。 また、2006年版JISにおいて、3.4.2.4は「本人から直接書面によって取得」でしたが、「個人情報を取得した場合の措置」が、3.4.2.4となりました。つまり、個人情報の取得における原則論が、3.4.2.4 に記述されることとなったものです。

引用:日本規格協会「日本工業規格JIS Q15001:2017個人情報保護マネジメントシステム要求事項」
赤字:【2006年版JIS】から追加、変更となった規格
青字:PMS監査研究会のコメント

A.3.4 実施及び運用   (2006:3.4)
目的 運用段階において個人情報の取扱いを行うため。

A.3.4.1

運用手順

2006:3.4.1

組織は、個人情報保護マネジメントシステムを確実に実施するために,運用の手順を明確にしなければならない。

付属書
B:なし

 

【Pマーク審査対応のポイント】

  • 「運用の手順」には、手順書レベルの規定も含まれる。
  • 手順書、様式等を規定した場合は上位規程に規定し、「PMS文書体系」に含めること。

【3300個人情報取扱規程】サンプル

3.4 実施及び運用

3.4.1 運用手順

当社はPMSを確実に実施するために、運用の手順を明確にする。

 

A.3.4.2 取得・利用及び提供に関する原則 (2006:3.4.2)

A.3.4.2.1

利用目的の 特定

2006:3.4.2.1

法第15条

組織は、個人情報を取得するに当たっては、その利用目的をできる限り特定し、その目的の達成に必要な限度において行わなければならない。

組織は、利用目的の特定に当たっては、取得した情報の利用及び提供によって本人の受ける影響を予測できるように、利用及び提供の範囲を可能な限り具体的に明らかにするよう配慮しなければならない。

付属書B
3.4.2.1

“利用目的をできる限り特定し”とは、利用目的を単に抽象的、一般的に特定するのではなく、組織が最終的にどのような目的で個人情報を利用するのかを可能な限り具体的に特定することをいう。個人情報の利用目的は、個人情報の項目ごとにその利用目的が異なる場合、項目ごとに区別して特定することが望ましい。単に“事業活動に用いるため”、“提供するサービスの向上のため”、又は“マーケティング活動に用いるため”と表現することは、A.3.4.2.1に適合しない。

また、消費者など、本人の権利利益の観点からは、事業活動の特性、規模及び実態に応じ、事業内容を勘案して顧客の種類ごとに利用目的を特定して示したり、本人の選択によって利用目的の特定ができるようにしたりするなど、本人にとって利用目的がより明確になるような取組みが望ましい。 なお、特定した利用目的は、A.3.4.2.4及びA.3.4.2.5に基づき通知若しくは公表する、又は明示することが定められている。

【Pマーク審査対応のポイント】

  • 利用目的は、本人から見て分かりやすい状態で明らかにされている必要がある。
  • 取得する個人情報の項目(氏名、年齢、住所など)ごとに利用目的を特定することを必須とするものではない。
  • 新規にプライバシーマークを取得する際は、利用目的の特定に関する記録(A.3.5.3 e)、個人情報の特定に関する記録(A.3.5.3 a))として、「個人情報管理台帳」を用いて承認を得ても差し支えない。
  • PMSの運用開始以後にあらたに発生する個人情報の利用目的の特定に関する承認の記録は、「個人情報管理台帳」ではなく「個人情報取得・変更申請書」を用いる。
  • 本人に対する通知又は公表の記録(A.3.4.2.4)は、公表文書「個人情報の取扱いについて」を定める。
  • 本人に明示した書面(A.3.4.2.5)とは、通知文書「個人情報の取り扱いについて(従業者用)」などをいう。
  • 通知・公表・明示された利用目的は「個人情報管理台帳」に特定された利用目的の範囲内であること。

※明示とは文書で示すこと。明示する場合の同意は「文書」で取得することが望ましい。

【3300個人情報取扱規程】サンプル

3.4.2 取得、利用及び提供に関する原則

3.4.2.1 利用目的の特定

個人情報を取得するに当たっては、その利用目的をできる限り特定し、その目的の達成に必要な限度において行わなければならない。

  • a) 個人情報を取得する業務の部門長は、あらかじめ「3421個人情報取得・変更申請書」に必要事項を記載し、必要文書を添付して、個人情報保護管理者へ提出する。
  • b) 個人情報保護管理者は「3421個人情報取得・変更申請書」および添付書類の内容が妥当であるかを確認して承認する。
  • c) 部門長は、承認された「3421個人情報取得・変更申請書」に基づき、個人情報を取得することができる。

 

A.3.4.2.2

適正な取得 2006:3.4.2.2 法第17条

組織は、適法、かつ、公正な手段によって個人情報を取得しなければならない。

 

付属書B
3.4.2.2

“適法、かつ、公正な手段によって個人情報を取得し” に反する例として、少なくとも次の事項がある。

  • a)利用目的を偽るなど不公正な手段によって個人情報を取得すること
  • b)優越的な地位を利用して個人情報を取得すること

不正の利益を得る目的で、又はその保有者に損害を加える目的で、秘密として管理されている事業上有用な個人情報で公然と知られていないものを、不正に取得したり、不正に使用・開示した場合には、不正競争防止法(平成5年法律第47号)第21条、第22条によって刑事罰(行為者に対する10年以下の懲役もしくは2,000万円以下の罰金、又はその併科。 法人に対する5億円以下の罰金)が科され得る。

また、第三者からの提供(法第23条第1項各号に掲げる場合並びに個人情報の取扱いの委託、事業の承継及び共同利用に伴い、個人情報を提供する場合を除く。)によって、個人情報(政令第2条第2号に規定するものから取得した個人情報を除く。)を取得する場合には、提供元の方の遵守状況(例えば、オプトアウト、利用目的、開示手続き、問い合わせ・苦情の受付窓口を公表していることなど)を確認し、個人情報を適切に管理している者を提供元として選定するとともに、実際に個人情報を取得する際には、例えば、取得の経緯を示す契約書などの書面を点検するなどによって、当該個人情報の取得方法などを確認した上で、当該個人情報が適法に取得されたことが確認できない場合は、偽りその他不正の手段によって取得されたものである可能性もあることから、その取得を自粛することを含め、慎重に対応することが望ましい。

【不正の手段によって、個人情報を取得している事例】

  • 事例1)親の同意がなく、十分な判断能力を有していない子どもから、取得状況から考えて関係のない親の収入事情などの家族の個人情報を取得する場合。
  • 事例2)法第23条に規定する第三者提供制限違反をするよう強要して個人情報を取得した場合。
  • 事例3)他の事業者に指示して上記事例1)、事例2)などの不正の手段で個人情報を取得させ、その事業者から個人情報を取得する場合。
  • 事例4)法第23条に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにも関わらず、個人情報を取得する場合。
  • 事例5)上記事例1)、上記事例2)などの不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにも関わらず、当該個人情報を取得する場合。

【Pマーク審査対応のポイント】

  • 適正に取得されているかどうかについての審査では、「個人情報管理台帳」、公表文書「個人情報の取り扱いについて」、通知文書「個人情報の取り扱いについて(従業者用)」などにより確認する。
  • 委託元、提供元が適正な取得をしていることを確認していることを、確認する。

【3300個人情報取扱規程】サンプル

3.4.2.2 適正な取得

  • a) 個人情報保護管理者は、個人情報が適法、かつ公正な手段で取得されることを確認しなければならない。
  • b) 受託する場合、および第三者から提供を受ける場合は、3.4.2.8.3(第三者提供を受ける際の確認など)の手順に従わなければならない。

 

A.3.4.2.3

要配慮個人情報

2006:3.4.2.3 2006:3.4.2.6

法第2条 第3項

法第23条 第5項

法76条

政令2条、7条

規則第5条

組織は、新たに要配慮個人情報を取得する場合、あらかじめ書面による本人の同意を得ないで、要配慮個人情報を取得してはならない。ただし次に掲げるいずれかに該当する場合は、書面による本人の同意を得ることを要しない。

a) 法令に基づく場合。
b) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
c) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
d) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
e) その他、個人情報取扱事業者の義務などの適用除外とされている者及び個人情報保護委員会規則で定めた者によって公開された要配慮個人情報、又は政令で定められた要配慮個人情報であるとき

組織は、要配慮個人情報の利用又は提供についても、前項と同様に実施しなければならない。さらに、要配慮個人情報のデータの提供についても、同様に実施しなければならない。

付属書
B.3.4.2.3

要配慮個人情報を取得する場合には、書面による本人の同意を得ることが、A.3.4.2.3で求められており、それ以外の方法での同意の取得は、A.3.4.2.3に適合しない。

書面による本人の同意取得は、新たに要配慮個人情報を取得する場合に限らず、要配慮個人情報の取得のつど行うことが望ましい。また、要配慮個人情報を直接書面によって取得する場合は、A.3.4.2.5で求める本人への明示、および本人の同意取得とあわせて、A.3.4.2.3の同意取得を行うことが望ましい。

A.3.4.2.3a)の“法令に基づく場合”には、組織が労働安全衛生法に基づき健康診断を実施し、これによって従業者の身体状況、病状、治療などの情報を健康診断実施機関から取得する場合が該当する。

A.3.4.2.3e)は、要配慮個人情報を取得する際に、あらかじめ書面による本人の同意を得ることを要しない要件を法令等で限定的に定めている。

【Pマーク審査対応のポイント】

  • 要配慮個人情報を取得、利用又は提供する場合、あらかじめ書面による本人の同意を得ていること。
  • 本人の同意を得ずに取得した要配慮個人情報は、A.3.4.2.3のただし書きに該当すること。
  • ただし書きに該当することを、承認した文書の有無を確認する。
  • 法第2条第3項 に規定する「要配慮個人情報」とは、施行令2条において、次に掲げる事項のいずれかを内容とする記述等とされている。(以下に記述は無いが、本人の病歴又は犯罪の経歴も「要配慮個人情報」である。)
    • 一 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
    • 二 本人に対して医師その他医療に関連する職務に従事する者(「医師等」)により行われた疾病の予防及び早期発見のための健康診断その他の検査(「健康診断等」)の結果
    • 三 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
    • 四 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
    • 五 本人を少年法(昭和二十三年法律第百六十八号)第三条第一項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。
  • 上記e)個人情報取扱事業者の義務などの適用除外とされている者とは、法76条 に掲げる、報道機関、著述業、学術研究機関、宗教団体、政治団体等の機関やそれらに属する者等を指す。ただし、適用除外とされている者は、個人データ等の安全管理のために必要かつ適切な措置、個人情報等の取扱いに関する苦情の処理その他の個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。とされている。
  • 上記e)の後段の、"政令で定められた要配慮個人情報"とは、本人の同意なく取得することができる場合として、施行令7条に次に掲げる場合とされている。
    • 一 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
    • 二 法第23条第5項各号に掲げる場合(1委託、2合併等、3共同利用、)において、個人データである要配慮個人情報の提供を受けるとき。
  • 上記一の場合とは、個人の外形上明らかな障害の事実が映像等に写り込んだ場合の取得について、事業者の負担を勘案するもので、本人も公に認識されることは想定していると考えられる状況を指す。ただし、取得した映像等を第三者提供する場合については、本人の同意を要する。

2006年版JISとの関係を以下に示す

  2006:3.4.2.3

法第2条第3項

a) 思想、信条、及び宗教に関する事項。 信条
b) 人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害犯罪歴、その他社会的差別の原因となる事項。 人種
社会的身分
犯罪の経歴
犯罪により害を被った事実
身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害
c) 勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項。 信条
d) 集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項。 信条
e) 保健医療及び性生活。 病歴
健康診断等
健康診断等の結果に基づく、医師等による指導・診療・調剤

※「人種」には、国籍や「外国人」という表現、肌の色は含まれない。

※「社会的身分」には、職業的地位や学歴は含まれない。

【3300個人情報取扱規程】サンプル

3.4.2.3 要配慮個人情報の取得、利用及び提供の制限

当社は原則として、要配慮個人情報の取得、利用又は提供を行わない。
ただし、要配慮個人情報の取得、利用又は提供について、明示的な本人の同意がある場合および、4.例外的な処理手順 3.4.2.3のただし書きのいずれかに該当する場合はこの限りでない。

  • a)  明示的な本人の同意を得て要配慮個人情報を取得、利用、提供する場合は、利用目的の範囲を最小限とし、「3421個人情報取得・変更申請書」によって取扱者の限定、常時施錠など保管方法などを明記して、個人情報保護管理者の承認を得た後に、3.4.2.5のa)~h)の事項を明記した「明示して同意を得るための書面」によって、本人の同意を得なければならない。 
  • b) その他、4.例外的な処理手順 3.4.2.3のただし書きのいずれかに該当する場合は、本人の同意を省略することができる。その場合は 4.例外的な処理手順に従わなければならない。

A.3.4.2.4

個人情報を取得した場合の措置

2006:3.4.2.5

法第18条

組織は、個人情報を取得した場合は、あらかじめ、その利用目的を公表している場合を除き速やかに、その利用目的を、本人に通知するか、又は公表しなければならない。ただし、次に掲げるいずれかに該当する場合は、本人への利用目的の通知又は公表は要しない。

a) 利用目的を本人に通知するか、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
b) 利用目的を本人に通知するか、又は公表することによって当該組織の権利又は正当な利益を害するおそれがある場合
c) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知するか、又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき
d) 取得の状況からみて利用目的が明らかであると認められる場合

 

付属書B
3.4.2.4

個人情報の取得には、本人から直接書面により取得する場合、書面によらずに取得する場合(例えばカメラによって取得した場合、口頭によって取得した場合など)、本人以外の者から取得する場合(個人情報取扱業務の委託を受ける場合、第三者から個人情報の提供を受ける場合、公開情報から取得する場合など)が該当する。このうち、本人から直接書面により取得する場合の措置については、A.3.4.2.5に規定されている。

A.3.4.2.4の“利用目的”とは、A.3.4.2.1に基づき、組織が特定した利用目的をいう。
本人から書面によらずに取得する場合、利用目的は、本人との契約類似の信頼関係の中で黙示的に了解されることが望ましい。
本人以外の者から取得する場合、組織は、委託元又は提供元との契約などにおいて、利用目的を、あらかじめ明示することが望ましい。
公開情報から取得する場合、組織は、A.3.4.2.1に基づき、公開された目的の範囲内で利用目的を特定の上で、特定した利用目的についてA.3.4.2.4に基づく措置を講じる。
公表された範囲を超えて利用しようとする場合、組織は、A.3.4.2.5ではなく、A.3.4.2.7に基づく措置を講じることが求められる。

A.3.4.2.4の“本人に通知”とは、本人に直接知らせることをいう。組織は、本人に通知するに当たり、事業の性質及び個人情報の取扱状況に応じ、本人が内容を理解できる合理的かつ適切な方法によることをいう。例えば、対面又は電話のように口頭によって個人情報を取得する場合などは、通知も書面によらずに口答で行ってもよい。

A.3.4.2.4の“公表”とは、広く一般に自己の意思を知らせること(国民一般その他不特定多数の人々が知ることができるように発表すること)をいう。

A.3.4.2.4a)の場合とは、いわゆる総会屋などによる不当要求などの被害を防止するため、当該総会屋の個人に関する情報を取得し、企業相互に情報交換を行っている場合で、利用目的を通知又は公表することによって、当該総会屋等の逆恨みによって、第三者たる情報提供者が被害を被るおそれがある場合などをいう。

A.3.4.2.4b)の場合とは、例えば、通知又は公表される利用目的の内容によって、当該組織が行う新商品などの開発内容、営業ノウハウなどの企業秘密にかかわるようなものが明らかになる場合などをいう。

A.3.4.2.4c)の場合とは、 例えば、公開手配を行わないで、被疑者に関する個人情報を、警察から被疑者の立ち回りが予想される組織に限って提供された場合、警察から受け取った当該組織が、利用目的を本人に通知するか、又は公表することによって、捜査活動に重大な支障を及ぼすおそれがある場合などをいう。

A.3.4.2.4d)の場合であるかどうかは、条理又は社会通念による客観的判断によって、極力限定的に解釈することが望ましい。商品やサービスの販売・提供において住所・電話番号などの個人情報を取得する場合があるが、その利用目的が当該商品、サービスなどの販売・提供だけを確実に行うためという利用目的であるような場合(クリーニング店、デリバリーサービスなどで受取人を特定するために個人情報を取得するなど)、一般の慣行としての名刺交換(ただし、ダイレクトメールなどの目的に名刺の個人情報を用いることは、自明の利用目的に該当しない場合がある)の場合などはこれに該当する。また、請求書、見積書などの伝票に記載された担当者名、なつ(捺)印などもこれに該当する。ただし、A.3.4.2.4d)によって取得した個人情報であっても、その取扱いの委託を受けた場合は、A.3.4.2.4d)に該当しない。

【Pマーク審査対応のポイント】

  • 「個人情報管理台帳」に特定した個人情報の利用目的について、公表文書「個人情報の取扱いについて」に利用目的が公表されていること。
  • 受託によって取得した個人情報についても、その利用目的が公表されていること。
  • 電話で取得する場合、本人が参照する電話番号が記載されている文書に利用目的が通知されているか、もしくは利用目的を口頭で行っていること。
  • 監視カメラについては「監視カメラ設置中」の掲示をすること。
  • 上記“d) 取得の状況からみて利用目的が明らかであると認められる場合”について、拡大解釈していないこと。

【3300個人情報取扱規程】サンプル

3.4.2.4 個人情報を取得した場合の措置

個人情報を取得した場合、「3210個人情報の取扱いについて」にその利用目的が公表されていない場合は、速やかにその利用目的を本人に通知するか、又は公表しなければならない。

2  新規の種類の個人情報を取得する場合は、あらかじめ「3421個人情報取得・変更申請書」に、「3210個人情報の取扱いについて(訂正案)」を添付して、個人情報保護管理者の承認を得たのちに、本人に通知もしくは公表しなければならない。

3  本人に通知、又は公表する手段としては、当社ホームページに公表する。

4  電話によりはじめて個人情報を取得する場合は、「3425-22電話メモ(通知事項)」に従い、口頭で利用目的を通知して同意を得る。

5  その他、4.例外的な処理手順 3.4.2.4項のただし書きのいずれかに該当する場合は、通知もしくは公表を省略することができる。その場合は 4.例外的な処理手順に従わなければならない。

A.3.4.2.5直接書面取得