匿名加工情報について実施しない場合の「個人情報取扱及び保護規程」の2.9の記載について
現在15001:2017版への対応をしております。
匿名加工情報についてですが、弊社の方針としては実施する予定はありませんので、サンプル文書の「個人情報取扱及び保護規程」の2.9の緑波線の部分を記載しようと思っております。
その場合、以降の2.9.1適正な加工から2.9.5識別行為の禁止までの規程は制定しておく必要はあるのでしょうか?
まず、JIS Q 15001:2017の「A.3.4.2.9 匿名加工情報」において、匿名加工情報の取扱いを行うか否かの方針の有無が要求されています。
よって、取扱いを行わない方針の場合は、サンプル文書にあります「個人情報取扱及び保護規程」の2.9の緑波線の記載例を参考にしていただければと思います。
なお、記載例の3段落目は、匿名加工情報の取扱いを実施する場合の記載例となりますので、ご注意ください。
また、JIS Q 15001:2017の「A.3.4.2.9 匿名加工情報」においては、「匿名加工情報の取扱いを行う場合は、その取扱い手順を内部規程として文書化する」よう要求されていますが、取り扱わない場合は関係ないため、以降の取扱いに関する規定が書かれている2.9.1から2.9.5の記述は必要ありません。
ちなみに、JIPDECの審査基準においても、「審査項目2.は,審査項目1.で匿名加工情報を取り扱う方針がある場合に確認を行う。」とあります。
※「審査項目1.」は、匿名加工情報の取扱いを行うか否かの方針の有無
※「審査項目2.」は、匿名加工情報を取り扱う場合の手順が内部規程として文書化されているか?
なお、「仮名加工情報」に関しては、JISQ15001:2017では規定されていませんでしたが、2023年版で規定が追加されています。
2023年版では、匿名加工情報と同様に「仮名加工情報の取扱いを行うか否かの方針を定めなければならない。」となっておりますので、同様の考え方で問題ないかと思います。
