ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

審査員から「個人情報の取扱いに関する社員同意書」に保有個人データの請求権をすべて記載していないとの指摘を受けた。

プライバシーマーク サンプル文書集
2019/04/25

この記事は、内容が古い可能性がありますのでご注意ください。

審査員から、「個人情報の取扱いに関する社員同意書」に、保有個人データの請求権をすべて記載していない。とご指摘を受けたので、御社から購入した「PMS-B01-D01 同意書(見本).xls」を確認しました。

この文章の中に「保有」の言葉はありませんが、対応されているものでしょうか?

保有個人データの請求権への対応とは、JIS Q 15001:2006でいうところの「開示対象個人情報」に当たります。

因みに「保有個人データ」とは、個人情報保護法の第2条(定義)3項の5に以下の通り定義されています。
「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。」
社員教育用テキスト「プライバシーマーク導入前研修」のP17 にも掲載していますので、ご参考ください。

※JIS Q 15001:2017では、以下の項目が対象となります。
 A.3.4.4.1 個人情報に関する権利
 A.3.4.4.2 開示等の請求等に応じる手続
 A.3.4.4.3 保有個人データに関する事項の周知など
 A.3.4.4.4 保有個人データの利用目的の通知
 A.3.4.4.5 保有個人データの開示
 A.3.4.4.6 保有個人データの訂正,追加又は削除
 A.3.4.4.7 保有個人データの利用又は提供の拒否権

ご質問にある「保有個人データの請求権」に関しては、サンプル文書集の「同意書(見本)」の「5) 個人情報の利用目的の通知・開示・訂正・追加又は削除・利用又は提供の拒否権について」の記載例が該当するかと思います。

 <サンプル文書集の同意書の記述>
 5) 個人情報の利用目的の通知・開示・訂正・追加又は削除・利用又は提供の拒否権について
 開示対象個人情報の利用目的の通知・開示・訂正・追加又は削除・利用又は提供の拒否権を要求する権利があります。

 <JIS Q での記述>
 A.3.4.4.1 個人情報に関する権利
 通知,開示,内容の訂正,追加又は削除,利用の停止,消去及び第三者への提供
 A.3.5.3 文書化した情報のうち記録の管理* f)
 開示等(利用目的の通知,開示,内容の訂正,追加又は削除,利用の停止又は消去,第三者提供の停止)の請求等への対応記録

なお、他の項もJIS Q 15001の要求事項と関連していますので、ご注意ください。
お客様のご事情や気になる点などございました、文言の言い回し等ご自由に追加して頂ければと思います。