Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 「現地審査の傾向 vol.10」
プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
特集
特集
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/p_column35.html
皆さんこんにちは。
今回も過去の現地審査の指摘事項を解説したいと思います。皆さんの会社でも同様の指摘を受ける可能性がありますので、このコラムを読んで審査の対応に役立てて頂ければ幸いです。
では早速、解説していきましょう。
■指摘事項
「本人にアクセスする場合の措置(3.4.2.7)」
業務請負契約の範囲内で本人宛てにダイレクトメールを発送しているが、委託元が個人情報保護法およびガイドライン等に沿って適切に個人情報を取扱っていることを確認していない。委託元に対して確認する方法を策定し、実施すること。
■解説
今回は「本人にアクセスする際の措置(3.4.2.7)」に関する指摘です。
この要求事項は、2006年版の要求事項になって新たに作られました。今回ご紹介する要求事項は少々読み取りにくい部分ですので、このコラムを参考にしながら適切な対応を行いましょう。
まず、要求事項自体の解説ですが、3.4.2.7項の要求事項は「本人にアクセスする際の措置」と題されていて、主旨としては「個人情報を利用して本人にアクセス(DMやFAX送信など)する際は、アクセス時に本人から同意を得なければならない」というものです。
この要求事項で特徴的なのは、アクセス時に同意が免除されるただし書きが多いということです。今回ご紹介する指摘事項も、そのただし書きに関連するものになっています。
今回ご紹介する指摘は、(3.4.2.7-b)に該当するものです。
(3.4.2.7-b)は
「 個人情報の取扱の全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取扱うとき」というものです。
解釈すると、「受託業務の一環で本人にアクセスするならば、同意不要」となります。
実はこのただし書きには続きがあり、「委託元が個人情報保護法およびガイドライン等に沿って適切に個人情報を取扱っていることを確認するよう規定していること」という内容も定められています。
この内容、JISQ15001本文ではなく、JIPDECが定めている「JISQ15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン」に定められています。実際の審査ではガイドラインの内容まで網羅する必要があるため、皆さん注意してくださいね。
さて、話を戻すと、(3.4.2.7-b)を適用させる場合、委託元に対して適切に個人情報を取扱っていることを確認しなければならないのですが、一体何が目的なのでしょうか。その答えは、JISQ15001の解説に書いてあります。
「委託を受けたものが、結果として個人情報の不適正な利用を助長することになれば、それもまた当然望ましいことではない」
「委託する者が明らかに法令に違反している場合には、委託を受けてはならない」という文面が表す通り、極端な言い方かもしれませんが、「犯罪の片棒を担いではならない」ということです。それを予防するためのただし書きなのですね。
従って、受託業務の一環で本人にアクセスするような業務をしている企業(コールセンターやDM発送業者など)は、委託元に対して…
【執筆:浦名祐輔】
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/p_column35.html
《ScanNetSecurity》