ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

「要配慮個人情報の規定内の定義が法の定義と相違がある」との指摘を受けました。

先日、Pマーク文書審査の際に「個人情報取扱及び保護規程」について、「要配慮個人情報の規定内の定義が法の定義と相違がある」との指摘を受けました。

貴社サンプル文書では、要配慮個人情報の定義は旧規格における、「特定の機微な個人情報」のままとなっているかと思いますが、こちら最新の規格、法改正に対応する文書のご用意はございますでしょうか。

もしあればご提供いただきたく、ご確認のほどよろしくお願いします。

JISQ15001の改正で、旧版の「特定の機微な個人情報の取得、利用及び提供の制限(3.4.2.3)」は、以前の個人情報保護法改正に対応し、「要配慮個人情報」の定義及び取扱い手続に合わせる変更がされました。
その際、取扱い手続に関しては、個人情報保護法よりも、JISQ15001(旧版)の方が厳重な手続となっていることから、変更はありませんでした。
ただ、定義に関しては、変更されていなかったため、以下のように変更させて頂きたいと思います。

大変、お手数をおかけしますが、どうぞよろしくお願いいたします。

▼修正箇所

個人情報取扱及び保護規程
2.3 要配慮個人情報の取得、利用及び提供の制限(A.3.4.2.3)

▼修正内容

(変更前)

  • a) 思想、信条又は宗教に関する事項。
  • b) 人種、民族、門地、本籍地(所在都道府県に関する情報を除く)、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項。
  • c) 勤労者の団結権、団体交渉、その他団体行動の行為に関する事項。
  • d) 集団示威行為への参加、請願権の行使、その他の政治的権利の行使に関する事項。
  • e) 保健医療又は性生活に関する事項。

(変更後)

①個人情報の保護に関する法律(第2条3項)により定義されている事項

  • a) 人種
  • b) 信条
  • c) 社会的身分
  • d) 病歴
  • e) 犯罪の経歴
  • f) 犯罪により害を被った事実

②個人情報の保護に関する法律施行令(第2条)により定義されている事項

  • g) 身体障害、知的障害、精神障害(発達障害を含む)その他の個人情報保護委員会規則で定める心身の機能の障害があること
  • h) 本人に対して医師その他医療に関連する職務に従事する者(以降「医師等」)により行われた疾病の予防および早期発見のための健康診断その他の検査(以降「健康診断等」)の結果
  • i) 健康診断等の結果に基づき、または疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導または診療もしくは調剤が行われたこと
  • j) 本人を被疑者または被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと
  • k) 本人を少年法3条1項に規定する少年またはその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと

③その他

  • l) 遺伝子検査結果等のゲノム情報