直接書面で個人情報を取得する際、利用目的を伝えれば「同意」は不要ですか?
「プライバシーマーク取得支援パッケージ」内の「社員教用テキスト」
4.新入社員・中途採用者の社員教育の「テスト問20」の確認
です
★個人情報保護法では本人から直接書面によって個人情報を取得する場合は『利用目的』を明確にすれば、同意を得なくても良い。
でしょうか?
[入社時研修テキスト」のp9の図(右側)に、本人から直接書面によって取得の戻り(緑の線)に同意書とあるのはなぜか。
個人情報保護法ではなくPMSだからでしょうか?
新入社員・中途採用者向けテキストの設問、および図解における「同意」の扱いについて回答申し上げます。
結論から申し上げますと、ご推察の通り、「法律(個人情報保護法)」と「Pマークの規格(JIS Q 15001)」の要求事項に差があるためです。
1. 法律と規格の違い
個人情報保護法では、本人から直接書面で個人情報を取得する場合、あらかじめ、または取得後速やかに「利用目的を本人に通知、または公表」すれば足りるとされています。つまり、法律の最低ラインとしては、「私たちはこういう目的で使いますよ」と伝える(あるいはHPに掲示する)だけで、個別のサイン(同意)をもらう義務まではありません。
プライバシーマークの拠り所である「JIS Q 15001」規格では、本人から直接書面(Webフォーム含む)で取得する場合、「あらかじめ、書面によって本人の同意を得なければならない」と、より厳しいルールを課しています。
- 法律(個人情報保護法):
本人から直接書面で取得する場合、利用目的を本人に「通知、または公表」すれば足ります。 - Pマーク(JIS Q 15001):
法律よりも厳しく、あらかじめ書面によって「本人の同意」を得ることを求めています。
2. なぜ「同意書」として図示しているのか
テキストp9の図は、Pマーク取得企業としての実務に即しているため、法律上の最低要件(通知)ではなく、規格上の要求事項(同意)を反映した構成になっています。
Pマークを維持する組織においては、法律を超えた規格の要求を満たすために、同意を得るというステップが不可欠となります。
プライバシーマーク制度は、法律を守ることはもちろん、「法律以上の高い保護レベル」を組織に求めています。そのため、弊社教材では「通知のみで済ませる運用」ではなく、審査で求められる「同意を得る運用」を基本として解説しています。
3. 社内教育でのポイント
受講者の方へは、「法律で決まっているから」という説明に加え、「当社はPマーク取得企業として、より丁寧に本人の納得(同意)を得る姿勢を大切にしている」と補足いただくと、コンプライアンス意識の向上に繋がります。
