ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

「個人情報取扱及び保護規程」の「2.8 個人データの提供に関する措置」にある「役員及び株主情報」に関して質問です。

2021/10/26

「個人情報取扱及び保護規程」の「2.8 個人データの提供に関する措置」にある「役員及び株主情報」に関して質問です。

サンプル文書では、「当面、弊社では、この項目に関して実施することがないため、除外とする。なお、この項目を実施することがある場合は、・・・」とあります。

こちらの項目ですが、会社で役員名を出さないことは考えにくいかと思いますが、どのような解釈でしょうか?

JIS Q 15001の「B.3.4.2.8 個人データの提供に関する措置」のc)項に示される「当該法人その他の団体の役員及び株主に関する情報」とは、例えば「株主総会などで配布される事業報告書など」や「株主や顧客に配布される書類に記載されている役員の履歴、持株数など」、法令又は本人もしくは当該団体自らによって公表されているような情報を指しております。

資料の中には財務情報などもあると思います。これ自体は団体そのものに関する情報であるため「個人情報」には該当しません。
しかし、役員及び株主に関する情報が、これら法人情報に含まれる場合もあります。この場合は、個人情報に該当します。

役員や株主に関する情報は、法令に基づいて公開されている場合や本人または所属する団体自らにより「公開」されている場合もあります。

そのように公表された情報を提供する場合には、b)項に示す事項又はそれと同等以上の内容の事項を、あらかじめ本人に通知又は本人が容易に知り得る状態に置くことで、本人の同意を得ることなく個人データを提供することができます。

「公開」を許可しているからといって、「提供」も許可しているということではないので、ご注意ください。

身近な例としては、企業のHP等に記載されている役員や株主に関する情報で不特定多数の第三者が取得できる状態に置かれているものを第三者に提供する場合、JIS規格で要求されている事項を本人に対して書面やメール等で通知、ホームページ等で公開すれば本人の同意を得なくても良いということです。

当サンプル文書では、敢えて「提供」することがないケースを、緑の波線(カスタマイズする箇所)にて記載させて頂いております。
提供するようなケースがあれば、記載を変更してください。