Pマークの個人情報取得で、既存データは台帳更新のみ、新規取得時のみ申請書という手順で問題ありませんか?
個人情報を取得する場合の手順として、サンプル文書集を拝見いたしますと、個人情報を取得する都度「個人情報取扱申請書」に記入・承認を得た上で実施する流れになっておりました。
既に取得している個人情報については「個人情報管理台帳」にて確認・件数を更新し、新たに取得(管理台帳に特定漏れしていた場合を含む)する個人情報についてのみ「個人情報取扱申請書」にて対応する手順にしたいのですが、問題ないのでしょうか?
また、その場合、規程への記載はどのようにすればよいのでしょうか?
個人情報の取得時における「個人情報取扱申請書」の運用ルールについて、実務的な観点から回答申し上げます。
結論から申し上げますと、「既存情報は台帳更新のみ、新規取得分のみ申請書を作成する」という運用は、Pマーク審査上、全く問題ありません。むしろ、すべての取得行為に対して都度申請を求めるよりも、リスクに基づいた合理的で実効性の高い運用であると評価されます。
効率的かつ確実なPMS(個人情報保護マネジメントシステム)を構築するために、以下の3つのポイントで整理・検討されることを推奨いたします。
1. 運用の合理性
JIS Q 15001が求めているのは、「個人情報を特定し、リスクを分析し、適切な安全管理措置を講じること」です。
- 既存情報:
すでに「個人情報管理台帳」に特定されており、リスク分析や利用目的の通知・公表が済んでいるはずです。そのため、件数の増減等の微調整であれば、台帳の更新(メンテナンス)だけで管理責任は果たせていると考えます。 - 新規情報:
これから「どのようなリスクがあるか」「どのような同意を得るか」を検討・承認する必要があるため、ここで初めて「個人情報取扱申請書」によるチェック機能が重要になります。
2. 規程への反映アドバイス
「個人情報取扱及び保護規程」に本運用を反映させる場合、以下のように文言を整理することをお勧めします。
- 新規・特定漏れ(2. 取得、利用及び提供に関する原則):
「新たに取得する場合は、あらかじめ申請書により個人情報保護管理者の承認を得る」旨を明記。 - 既存情報の維持管理に関する記載(3. 適正管理):
「登録済みの情報は、管理台帳の更新により適切に維持管理する」旨を明記。
3. まとめ
サンプル文書が「都度申請」をベースにしているのは、取得時の「利用目的の妥当性」や「同意の取得方法」のチェック漏れを防ぐためですが、実務をより効率化するために、「定常業務による取得」は年1回の包括承認とし、「スポットや新規プロジェクトによる取得」のみを都度申請とする運用も検討の価値があります。
今回のように、貴社の業務実態に合わせて「リスクが変わらないものは簡略化し、新しいリスクには厳格に対応する」というメリハリをつけることこそが、形骸化しないPMSを作る鍵ともなります。
当店のサンプルをベースに、貴社の業務実態に合わせて「リスクに応じた強弱」をつけることは、形骸化を防ぐ非常にポジティブな改善と評価されます。
