Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 3.4.2.6 「利用に関する措置」
プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
特集
特集
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/p_column24.html
皆さんこんにちは。今回のテーマは3.4.2.6「利用に関する措置」です。この要求事項は、個人情報を利用するときに言及している要求事項です。いつものように、読み解いていきましょう。
さて、まずは「特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない」とあります。個人情報を取得するにあたっては、3.4.2.4や3.4.2.5の要求事項にしたがって取得する目的を伝えていると思います。
また、個人情報の台帳に利用目的欄を設けて、個々のデータごとに利用目的を定めているところもあるでしょう。ここで言われているのは、これら、あらかじめ定めた目的の範囲内で個人情報を使いましょう(=目的外利用の禁止)ということです。
では、当初定めた目的を超えて個人情報を使う必要性が出てきた場合、どのようにすればよいでしょうか。例えば、当初は分析にしか想定していなかったアンケート集計結果を、DM発送のためにも使うことになった場合などです。
3.4.2.6の要求事項によると、目的外利用を行う際は、3.4.2.4の a)〜 f)の事項を本人に通知し、同意を得なければならないと書いてあります。
新しい利用目的が出てきた場合、勝手に使ってはならないんですね。新しい目的で使う前に、本人に対して改めて通知同意を行わなければなりません。自社規程を作る場合は、本人に対してどのように再通知再同意を行うかの手順を作る必要があります。
この際、要求事項には書かれていませんが、利用目的を変更する際の社内承認手順が必要ですので規程を作る際は注意しましょう。
要は、目的外利用を現場で判断させずに、しかるべき人物の承認を経ることが求められていることになります。目的外利用を行おうとする際は、誰が、どのような様式を使って、誰に承認を取るか、きちんと規定化しておきましょう。
続いて、規格を読んでみると、目的外利用を行う際に通知同意が不要となる但し書きが4つ定められています。それぞれの具体例は…
【執筆:浦名祐輔】
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/p_column24.html
《ScanNetSecurity》