ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

個人情報の取り扱い時の承認手順及び承認の記録

2011/04/10

この記事は、内容が古い可能性がありますのでご注意ください。

プライバシーマークの書類審査の結果がかえってきた答えに対して、修正等をおこなっているところです。

承認のための様式が無いとの3.4.2.の取得利用のあたりで複数指摘をうけました。

個人情報保護基本規程3.4.2.8(提供に関する措置)に「保護管理者の承認を得る」と規定されているが、承認を記録する様式がないとの指摘をうけました。

第3者に提供する場合、承認手順等、様式で明示するべきなのでしょうか?
明示すべきばあい、どのような様式を作成すべきなのでしょうか?
ちなみに、3.4.2.6(利用に関する措置)3.4.2.7(本人にアクセスする場合の措置)でも同じような指摘をうけました。

文面だけなので審査員の意図する所は分かりませんが、多分、指摘は個人情報の取り扱い時(収集、アクセス、第三者提供、受託、委託など)の承認手順及び承認の記録(様式)が規程上で明記されていない事に対しての指摘ではないかと思われます。

※最近の審査の傾向としては様式の明記についてうるさくなっています。

口頭での説明(回答)や前後の文面を読めば分かるなどは、認めてくれないケースが殆どです。
よって、規程上(指摘箇所)で個人情報の取り扱い時の承認手順及び承認の記録(様式)を明記する必要があるかと思われます。

様式については「個人情報収集管理台帳」が該当するかと思います。

例えば...
業務の担当者は個人情報を第三者に提供する場合はその旨を「個人情報収集管理台帳」に記載し上長の確認を得、保護管理者の承認を得る。

①誰が   ⇒ 業務の担当者が
②いつ   ⇒ 個人情報を第三者に提供する時に
③何を   ⇒ その旨を「個人情報収集管理台帳」などに記載する
④どうする ⇒ 上長の確認を得、保護管理者の承認を得る

※指摘を受けた箇所全てに上記①~④などの内容を明記すると良いかと思います。