Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 3.4.2.4 本人から直接書面によって取得する場合の措置
プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
特集
特集
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/p_column21.html
皆さんこんにちは。今回のテーマは3.4.2.4 本人から直接書面によって取得する場合の措置です。この要求事項は、前回と同様に個人情報を取得する際の要求事項であり、内容を一言で表すと、「個人情報を取得する際には通知同意を行う」となります。
非常にシンプルですが、読み込んでいくと、本要求事項が該当する場面であったり、本人に通知する内容、他には通知同意が免除される条件など、盛りだくさんの内容となっています。
ではまず、3.4.2.4の要求事項は、どのような場合に当てはまる要求事項かというと、タイトルにもある通り、「本人から直接書面で取得する場合」に当てはまる要求事項です。ここでいう“書面”とは、紙媒体だけに限らず、電子的、磁気的方式も含みます。ですから、具体的な例としては、本人から直接、紙媒体の個人情報を手渡しで取得する場合、FAXで取得する場合、メールで取得する場合、Webに入力してもらう場合などが当てはまると思います。
そのような取得の際、JISQ15001に記載されているa)〜h)の内容を“あらかじめ”、本人に“書面で”明示し、本人の同意を得なければなりません。ポイントは“あらかじめ”、“書面で(電子的、磁気的方法を含む)”明示することです。ですから、取得後に明示したり、口頭でa)〜h)の内容を通達する方法は原則認められません。自社の業務の流れの中で、これら2点を実現できるような手段を考えましょう。一般的には、Webページの入力フォームに掲載したり、契約書の裏面に印刷する方法がありますね。
では続いて、本人に明示するa)〜h)の中で、特に注意が必要な箇所を見てみましょう。
b)利用目的
利用目的については、具体的な表記が望ましいですが、細かく書きすぎて本人から見難くなったり、頻繁に同意を求めることがないように配慮しましょう。 具体性のレベルについては、本人の目線から見て、自分の個人情報が何に使われるのか分かる程度が必要だと思います。(実際の審査時は審査員の主観で判断されますが・・・)Pマークを既に取得している同業他社の利用目的の書き方を参考にしてみるのも良いでしょう。
g)任意性と個人情報を与えなかった場合の影響
規格の本文だと少し読み難いかもしれませんが、言ってることはシンプルです。
1. 取得しようとしている個人情報が義務なのか、任意なのかはっきりさせる
2. 個人情報の提出を本人が拒んだ場合、その人にどのような影響があるのかはっきりさせる
この2点をいっています。JISQ15001の解説を読んでみると、「結婚紹介申込書の年収の欄に記入しなければ、年収を考慮した相手を紹介しないことや、中途採用に応募する場合に履歴書に職歴を記入しなければ選考対象にならないことなど」と書かれてます。実際に自社の通知同意文を作るにあたっては、これら具体例の表記を参考にしてみるとよいかもしれません。
h)本人が容易に認識できない方法によって個人情報を取得する場合
こちらも規格の本文だけ読むと、何のことか良く分かりませんが、規格の解説編を見てみると、クッキーを利用するサイトである場合、クッキーを利用していること、その利用目的を記述することですね。「クッキー」がよく分からない場合、自社のサーバ管理者、管理業者に使用の有無を確認すれば、すぐ分かると思います。
さて、ここまで順調にくれば、3.4.2.4に該当する取得に際して、通知同意の文面を作り、本人に対して同意を得られるようになります。ただし、要求事項にはまだ続きがあります。それは「但し書き」ですね。3.4.2.5のa)〜d)、3.4.2.6のa)〜d)のいずれかに該当する場合は、通知同意が免除されます。
ここで皆さんがしなければならないのは…
【執筆:浦名祐輔】
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/p_column21.html
《ScanNetSecurity》