「個人情報取扱及び保護規程」内の特定個人情報の取扱いに関する記述について。
購入したJISQ15001:2017対応プライバシーマークサンプル文書集を参考にして、現在、弊社のPマーク規程類をJISQ15001:2017対応版に改訂作業中です。
これまで2016版にて使用していた「特定個人情報」の取扱・保護の手順を2017版対応として、どこに載せればよいか迷っています。
サンプル文書では、「個人情報取扱及び保護規程」の中で、特定個人情報の中の「個人番号」の取扱について記載されていますが、「特定個人情報」全般を対象にした記載になっていないように思われました。
2017版対応としては、これで十分なのでしょうか。
サンプル文書では、基本、JIPDECの「特定個人情報の取扱いの対応について」(「2.番号法に基づき対応を必要とする事項」)に沿うよう改定させていただきおります。
ちなみに、同サンプル文書で取得および更新されているお客様もおられますので、ご指摘に関しては問題無いかと思われます。
既にお客様でご使用の “「特定個人情報」の取扱・保護の手順 ” があるとのことですので、当サンプル文書を記述形式は、あくまで参考として頂くことをお勧めします。
基本は、御社の事情にあった形にカスタマイズ(別途「手順書」参照や一項目設けて追加する等)して頂くのが、一番良いかと思います。
以上を踏まえ、当サンプル文書で「個人番号」の取扱いについて回答させていただきます。
まず、当サンプル文書は、規格や法律の改定に合わせ、既にご購入された方が継続して使用していただけるよう、できる限り旧サンプル文書の規程書を踏襲しながら、改正を行っております。
よって、「特定個人情報」に関しては、その定義(「特定個人情報とは、個人番号をその内容に含む個人情報をいう。」)を踏まえ、既存の個人情報の取扱いルールに、「個人番号」の取扱いルールを追加して規定を設けています。
例えば、ご指摘のサンプル規程(個人情報取扱及び保護規程)の「2.5 本人から直接書面によって取得する場合の措置(A.3.4.2.5)」においても、「個人番号の取得」を、旧サンプル文書の規程書に追加して規定しております。
