JIS規格の「個人情報」の定義と個人情報保護法の定義の相違
近々社内でPマーク取得のキックオフを開催しようと考えております。
そこで、各従業員が保有している個人情報を吸いだすため、そもそも「個人情報とはなにか?」ということを解説しようとしております。
解説には、パッケージ内の「導入前研修(PM).ppt」を使用しようかとも考えましたが、「生きている人の情報である」と限定されており、「JISQ15001」の個人情報の定義と合っていないと解釈しました。
「プライバシーマーク構築パッケージ」内に、「個人情報とは何か」ということについて説明するのにふさわしい資料はどういったものがあるでしょうか?
結論から申し上げますと、JIS規格における「個人情報」の捉え方は、法律上の定義を超えた「事業者が負うべきリスク」という観点から、死者の情報も包含するものと解釈するのが正解です。
社内解説をより深く、納得感のあるものにするためのポイントを整理しました。
1. なぜJIS規格には「生存する」という文言がないのか
個人情報保護法では「生存する個人」と限定されていますが、Pマークの準拠規格であるJIS Q 15001にはその文言がありません。これには実務上の重要な理由があります。
- 民事責任とリスク管理:
契約者が亡くなったからといって、その情報を即座に「保護対象外」として杜撰に扱えば、遺族からの損害賠償請求や、契約上の守秘義務違反に問われるリスクがあります。 - 他法令との整合性:
医療機関や金融機関など、業種によっては死者の情報の秘匿が法律やガイドラインで厳格に定められています。JIS規格は、これら「個人情報保護法以外のルール」にも対応できるよう、より広い網羅性を持たせています。 - 「特定の個人を識別できる」の本質:
JIPDECの解説でも、氏名や生年月日、住所などはもちろん、他の情報と容易に照合して本人を識別できるものはすべて個人情報に含まれるとしています。
2. キックオフで「個人情報」を説明する際の最適な方法
あいにく、弊社パッケージ内に「死者の情報」をメインに据えた専用の解説資料はございません。しかし、既存資料を以下のように補足・活用いただくのが最も効果的です。
- 「導入前研修(PM).ppt」の活用と補足:
基本資料として本スライドを使用しつつ、「生存する個人」の箇所に「※Pマーク運用においては、死者の情報も契約や倫理的観点から、生存者と同様に適切に管理します」という一文を加えてください。 - 「識別性」の強調:
単体では特定できなくても、社内の他のリストと照合して「あ、これはAさんのことだ」と分かれば個人情報になります。JIPDECが例示するように、防犯カメラの映像や、特定の個人を識別できるメールアドレス(sato@example.co.jp等)も対象であることを伝えると、従業員の方々もイメージが湧きやすくなります。
3. 従業員への「吸い出し」指示のコツ
従業員の方々に個人情報を洗い出してもらう際は、定義の細かさにこだわるよりも、以下の「3つの視点」で問いかけるのが独自性のある効果的なアプローチです。
- 「その情報が漏洩したとき、誰かが困ったり、会社が訴えられたりするか?」
(死者の情報であっても、この視点があれば自然と特定対象に入ります) - 「お客様だけでなく、従業員や採用応募者、退職者の情報も含まれているか?」
- 「紙の書類だけでなく、PC内のExcelや、名刺、スマホの連絡先にもないか?」
4. まとめ
JIS規格の「個人情報」の定義は、個人情報保護法の表現から「生存する」という文言が除かれています。これは、事業者の実務に配慮したためです。
事業者には、業法や契約などの規制があります。よって、個人情報保護法、1つだけの法律の義務のみに従えばよいということにはなりません。
例えば、契約者が死亡したからといって、取得している個人情報を対象情報から即時に除外するのではなく、民事責任を負わないようにするためのリスク管理なども必要となったりします。
そのような意味においては、JIS規格では、死者の情報も含むものとなっています。
より正確な定義を視覚的に伝えたい場合は、JIPDECが公開している初心者向けの解説ページを併用されることをお勧めします。
こちらでは「容易照合性(他の情報との照合)」についても分かりやすく説明されています。
まずは「1_導入前研修」のスライドに、貴社の業務実態(例:顧客に高齢者が多い、故人の情報を扱うサービスがある等)を事例として1枚追加していただくだけで、非常に有用性の高いオリジナル教材になります。キックオフの成功を心より応援しております。
