プライバシーマーク入門講座(連載:第17回
2007/11/04 日曜日 20:48:38 JST
「個人情報保護マネジメントシステム」の構築に向けて(第12回)
  ~内部規定の作成(第9回)~



3.4.2.6:利用に関する措置
 JIS規格の趣旨は"当初に特定した利用目的"の範囲内で個人情報を利用することを原則としており、その範囲を超えて個人情報の利用を行なうことを禁止していることにある。
 しかし、当初には予測していなかった個人情報の利用の必要性が発生した場合等、実際の業務においては当初には予測できない事項も多く、"当初に特定した利用目的"を超えて個人情報の利用を行なう場合の要求事項が示されている。
 簡単には、例外事項を除き、事前に、再度本人に通知して、同意を取得することになる。
 ここでは、再度本人に通知して、同意を取得するための手順を規定する。
 この場合、"利用目的の変更(追加)"という特別の場合の話であることでもあり、再度本人に通知して、同意を取得する手続きにおいて、個人情報保護管理者の確認・承認を得ることが重要である。
 また、例外事項(当たり前の項目が多いが)を適用して本人の同意を得ることなく目的外の利用を行なう場合も個人情報保護管理者の確認・承認を得ることが必要である。
 実際には、運用の現場において"当初に特定した利用目的の範囲内での利用であるか、目的外であるかの判断に迷う場合"もあるであろう。
 その場合の手続きとして、"個人情報保護管理者の判断を求める"手順も規定することが必要である。

3.4.2.7:本人にアクセスする場合の措置
 本人にアクセスする場合には、3.4.2.4のa)~f)と、アクセスに使用する"個人情報の取得方法"を通知して同意を取得した上で、本人へのアクセスを行なう、という要求事項である。
 従って、3.4.2.5の"本人から直接書面による以外の方法によって取得"した個人情報を利用して本人にアクセスする場合は、ただし書きの例外事項を除いて通知と同意の取得が必要となる。
 例外事項としてはa)~f)が示されている。
 a)項では、アクセスすることを含めて、通知が行なわれ同意が取得されている場合はアクセスできる、という書き方になっている。いまさら、何故"ただし書き"にこのa)項が示されているのかについては理解に苦しむが、内容的には問題は無い。
 一方、3.4.2.4a)~f)を明示して本人の同意を得ている時に、同意を得た利用目的の中に"本人へのアクセス"に関する事項が含まれていなかった場合は、前記の3.4.2.6項(利用目的の変更)を適用する必要がある。(本項にもとづいて、再度通知と同意の取得を実施する手順でも良いが、いずれにしても通知と同意の取得が必要になる。)

 本項における考え方は以下となる。
 先ず、"本人から直接書面による"以外の方法によって取得した個人情報を利用してアクセスをするのであるから、本人は自分の個人情報が貴社によって取得されていることを明確には認識していない場合も多いと考えるべきである。(口頭による個人情報の取得のような場合でも、本人が認識しているケースも考えられるが、原則は本人は認識していないと考えるべきである)
 そこで、本人にアクセスする前に、その個人情報を取得した時の経緯(取得方法の通知)と今後の当該個人情報の利用等に係る事項(3.4.2.4a)~f))を通知して、本人の同意を取得する。
 本人へのアクセスの方法も、直接面談する場合だけではなく、電話やFAX、メールの送付やDMの送付等によりアクセスする場合もあり、どのように本人に通知して、本人の同意を取得するかについては具体的な手順を検討する必要がある。
 実際の業務の実施状況を確認し、夫々に適した、"本人へのアクセス"に伴う、通知の方法と同意を取得するための方法を手順として纏める。

 また、本項には幾つかの例外事項a)、b)~f)が示されており、それらについては貴社の実施する業務の実態を調査し、どのような取扱いにするかを検討すると良い。
 ここで、d)項に共同利用について示されているが、この共同利用は"他社が取得し、責任を有する個人情報を共同利用させて頂く"状況であり、3.4.2.8f)とは逆の立場の場合であることに留意すること。
 また、貴社が受託して、個人情報を取り扱う業務を実施している場合、例外事項の"b)個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取扱う時" に当てはまるか検討すること。
 この項は例外事項であるから、該当すれば、本人への通知・同意の取得を行なうことなく、本人へのアクセスを行なって良いことになる。
 しかし、貴社に本人へのアクセスを含む業務の委託を行っている委託元がどのように個人情報を取得したかによっては、本人が何の予想もしていないアクセスが、突然に貴社から本人に対して行われることになる。しかも、この場合は上記のように同意の取得が不要とされている。
 これは、本人にとっては大きな問題であり、ことによると非常に大きな迷惑であるかもしれない。
 従って、"その利用目的の達成に必要な範囲内で取扱う時"との条件が付いている。
 貴社は、"その利用目的の達成に必要な範囲内で取扱う時"の条件を満たしているか否かの確認をしなければならない。このためには、委託元に対して、どのような利用目的を通知して同意を取得した個人情報であるかを確認することが必要であろう。
 すなわち「委託元が個人情報保護法及びガイドライン等に沿って適切に個人情報を取り扱っていることの確認」を行い、できれば記録を残すことである。
 規定には、このための手順も盛り込むことが必要である。

3.4.2.8:提供に関する措置
 個人情報を第三者に提供するに際しては、3.4.2.4のa)~d)と"個人情報の取得方法"を通知して同意を取得した上で第三者への提供を行なう、という要求事項である。
 従って、3.4.2.5の"本人から直接書面による以外の方法によって取得"した個人情報を第三者へ提供する場合は、ただし書きの例外事項を除いて通知と同意の取得が必要となる。

 例外事項としてはa)~g)が示されている。
 a)項では、第三者に提供することを含めて通知が行なわれ同意が取得されている場合は第三者に提供することができる、という書き方になっている。当然の話である。
 一方、3.4.2.4a)~d)の事項を明示して本人の同意を得ている場合においても、同意を得た利用目的や、3.4.2.4d)の第三者への提供に関する記述の中に、現在行なおうとしている"第三者(企業等)への提供"に関する事項が含まれていなかった場合は、再度通知と同意の取得を実施することが必要になる。
 そこで、第三者への提供を行なう前に、その個人情報を取得した時の経緯(取得方法の通知)と今後の当該個人情報の提供に係る事項(3.4.2.4a)~d))を通知して、本人の同意を取得する。
 "本人から直接書面による以外の方法によって取得"した個人情報を第三者へ提供する場合もあり、どのように本人に通知して、本人の同意を取得するかは検討する必要がある。
 また、本項には幾つかの例外事項a)、b)~g)が示されており、それらについては貴社の実施する業務の実態を調査し、どのような取扱いにするかを検討すると良い。
 貴社が出版に関連していない場合は、通常は"b)大量の個人情報の提供、c)法令に基づき既に公開又は公表された個人情報の提供"は業務に含まれていないと考えられる。
 その場合は、"業務上そのようなことが行なわれることが無い"旨を明記すると良い。
 また、d)項に示されているように、業務の委託に伴う提供(預託)は例外事項とされており、ここでは本人の同意の取得は要求されていないが、3.4.2.4e)にて"個人情報の取扱いの委託を行なうことが予定される場合には、その旨"を個人情報の取得時の通知事項に含めることが要求されていることは認識しておくこと。
 f)項に共同利用について示されているが、この共同利用は3.4.2.7d)に示された"共同利用"とは逆に、"貴社が取得し、貴社が責任を有する個人情報を、他社に共同利用させてあげる"状況であることに留意すること。

 次に、順番は飛ぶが、同じように個人の権利に関する項目として、"本人からの開示等の求めへの対応に関する規定"について示す。
 h)本人からの開示等の求めへの対応に関する規定
  "JIS 3.4.4個人情報に関する本人の権利"に規定された事項である。
 この規定は、「f)個人情報の取得、利用及び提供に関する規定」と同様に、"個人の権利を保護する"ための要求事項である。
 すなわち、本人が一度貴社に対して提供した個人情報に関し、"その利用目的の通知、開示、訂正・追加・削除、利用の停止・消去、第三者への提供の停止"、等を求める権利を保証するための手順を規定するものである。
 これらは本人の権利に関する項目であるので、例外事項(ただし書き)にあるような特別のケースを除き、本人の要求には全て応えて行くべきものである。
 従って、苦情・相談とは若干異なるものであることに留意する必要がある。

 先ず3.4.4.1項には、このような個人の権利の行使に応じなければならない個人情報、すなわち、貴社がそのような要求に対応できる(対応しても良い)個人情報を「開示対象個人情報」として定義している。
 その中で、ただし書きが設けられており、それらについては「開示対象個人情報」に含めなくても良いことになっている。
 通常は貴社が独自に(受託業務に付随したものでなく)取得した個人情報で、直接書面によるものも、直接書面以外(口頭、ビデオ等)の方法で取得したものも含まれることになる。
 貴社の保有する「開示対象個人情報」としては何が該当するかを十分に認識しておくことが必要である。
 先ずは、貴社における「開示対象個人情報」の特定や、"ただし書き"を適用する場合の手順と、それに対する個人情報保護管理者の承認について規定する。

 次に、"開示等の要求に応じる手続き"をJIS3.4.4.2と3.4.4.3の要求事項に従って規定する。
 JIS3.4.4.3項には"当該開示対象個人情報に関し、本人の知りえる状態(本人の求めに応じて遅滞なく回答する場合を含む)に置く"ことを求めており、また、3.4.4.3f)項で3.4.4.2項を参照しているので、JIS3.4.4.2と3.4.4.3で要求された事項は全て、"本人の知りえる状態(本人の求めに応じて遅滞なく回答する場合を含む)に置く"ことが必要である。

 3.4.4.2c)項では"本人又は代理人であることの確認方法"を決めて、本人の知りえる状態に置くことを求めているが、ここで注意を要するのは、本人以外の人に開示・通知等を行ってしまった場合は、個人情報の漏えいとなることである。
 特に、悪意を持った人間が"なりすまし"て、個人情報を請求することもある。
機微情報やクレジットカード番号、銀行口座番号等、「私の届けていたのはどれでしたっけ?」というような問合せに対しては十分な注意が必要である。
 本人確認の方法については、あまりに多くのことを要求して、個人情報の開示のハードルを高くしてはいけないが、十分に注意をして、規定を定める必要がある。
 また、3.4.4.2d)に示された手数料であるが、手数料の徴収は個人情報保護法でも認めており、"個人情報の利用目的の通知"と"個人情報の開示"に対しては手数料を本人から頂いて良いことになっている。
 本人に過重な負担とならない程度の手数料を事前に決めておく。
 そして、JIS3.4.4.2と3.4.4.3の要求事項に従って、それらを含めて本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置くための手順も規定する。
 「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)」の具体的な事項については、経済産業省のガイドラインを参照のこと。

 次に、JIS3.4.4.4~3.4.4.7項の要求(利用目的の通知、開示、訂正・追加・又は削除、利用又は提供の拒否)に対し、各々に対する請求の受付手順や使用する様式等を規定する。また本人への回答に当たって使用する様式や承認の手順も規定する。
 JIS3.4.4.4~3.4.4.7項には多くのただし書き(例外事項)が示されており、それらを適用する場合は、個人情報保護管理者が適確に判断して、承認する必要がある。
 また、夫々の請求された事項に対して本人への回答を行うに当たっても、事前に個人情報保護管理者が回答内容を確認して、承認する必要があることに留意すること。
 手順書の作成に当たっては「実施のためのガイドライン」を参照のこと。
 手順書としては、上記のごとく、規格の3.4.4(3.4.4.1~3.4.4.7)に要求された事項を、5W1Hを盛り込んだ手順として規定に纏める。
 次回からは、「個人情報の適正管理に関する規定」として、安全管理等を考えてゆく。

          (中小企業診断士 中村 隆昭)