ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

個人情報の収集および利用の2番などは3.4.2.6に対応するものだと思うのですが、書いてあるのは利用目的を超えずに利用するときのことのように見えます。

2013/08/31

この記事は、内容が古い可能性がありますのでご注意ください。

下記のテキストを購入し利用させて頂いております。

商品コード: txt_pm_01
商品名: プライバシーマーク社員教育用テキスト

この中で、緊急事態への準備、個人情報の収集および利用などのページで躓いています。
個人情報の収集および利用の「2」番などは3.4.2.6に対応するものだと思うのですが、書いてあるのは利用目的を超えずに利用するときのことのように見えます。

「個人情報の収集および利用」の2番に関するご質問に関してでございますが、ここでは、「個人情報を取扱う業務の受託または委託」する際の個人情報の取扱いのルールを社員に周知理解していただくものとなります。

ちなみに、「3.4.2.6 利用に関する措置」では、「3.3.1 個人情報の特定」で特定された利用目的を超えて個人情報を取り扱うことを禁止し、その範囲を超えて取り扱う場合は、3.4.2.4のa)~f)に示す事項または同等以上の内容の本人通知し、本人の同意が必要になることを規定した要求事項となります。

「利用目的を超えて利用する」とは、いわばイレギュラーな処理となります。

「3.4.2.6 利用に関する措置」の趣旨としては、利用目的の範囲内で個人情報を取り扱う限りは適法であり、そのことを確認すること(社内ルールに従うこと)が個人情報の利用に配慮することになり、また利用目的を超えた取扱いは違法であり、そのことを確認すること(イレギュラーな場合の社内ルールに従うこと)で、個人情報取り扱う側が、「本人」(個人情報の主体)への関与の基準を示し、個人の権利利益の保護を図ることとなります。

ご指摘の箇所に関しては、まず個人情報を取り扱う場合(ここでは受託または委託)の手順を記載しており、その下に利用目的を超える(変更する)場合の手順を、簡易な書き方となっておりますが、書いております。

各組織によって、社内ルールの作り方または規程書などの書き方が異なるかと思います。
御社のルールに沿った書き方をしていただければ、より説明がしやすくなるかと思います。