ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

「A.3.4.2.6利用に関する措置」で「個人情報取扱及び保護規程」2.6(2)②は、A.3.4.2.5のa)~f)より厳しい条件で同意を求めるよう定めているが、運用上問題ないか?

2022/02/09

JISQ15001:2017「A.3.4.2.6 利用に関する措置」で「個人情報取扱及び保護規程」2.6(2)②はJISA.3.4.2.5のa)~h)、またはそれと同等以上の内容となり、A.3.4.2.5のa)~f)より厳しい条件で同意を求めるよう定めている。運用上問題ないか。と文書審査で指摘を受けました。

また、「A.3.4.2.7 本人に連絡または接触する場合の措置」「個人情報取扱及び保護規程」2.7(2) でも同じ内容の指摘を受けました。

JIS A.3.4.2.5の内容が分からないため教えていただきたいのと、どのように対応するべきでしょうか?

「A.3.4.2.5のa)~f)より厳しい条件で求めている」というのは、以下の理由からだと推察されます。

サンプル文書集「個人情報取扱及び保護規程」2.6(2)②、「2.5 本人から直接書面によって取得する場合の措置」の「(2)個人情報の取得」の【本人に同意を得るために書面によって明示すべき事項】では、JIS規格(A.3.4.2.6 利用に関する措置)の「A.3.4.2.5のa)~h)」に対応した記述となっています。

「A.3.4.2.6 利用に関する措置」では、A.3.4.2.5の「a)~f)」に限定されており、g)とh)を含んでいないため、g)及びh)を含んでいる条件は「より厳しい条件」ではないか、と言われていると思います。

※「A.3.4.2.7 本人に連絡または接触する場合の措置」「個人情報取扱及び保護規程」2.7(2) も同様

(参考)JIS Q 15001「A.3.4.2.5 A.3.4.2.4 のうち本人から直接書面によって取得する場合の措置」
 g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
 h) 本人が容易に知覚できない方法によって個人情報を取得する場合には,その旨

この点を指摘しているのであれば、審査対応としては、g)及びh)を含まないように、「のa)~f)」と追加して記述にする案も考えられます。

(修正案)サンプル文書集「個人情報取扱及び保護規程」の「2.6(2)」②及び「2.7(ただし書き)」
 【本人に同意を得るために書面によって明示すべき事項】のa)~f)

※以下より詳しく解説させて頂きます。

「A.3.4.2.6 利用に関する措置」の目的は、「A.3.3.1 個人情報の特定」により特定された利用目的に達成に必要な範囲を越えて取り扱うことを禁止し、それを越えて取り扱う場合の事項について定めたものです。
よって、利用目的を越えて取り扱う場合は、取得時と同じような条件で同意を得るため、「A.3.4.2.5 A.3.4.2.4のうち本人から直接書面によって取得する場合の措置」のa)~f)に示す事項を通知し、「本人の同意」を得ることとなっています。

「A.3.4.2.7 本人に連絡または接触する場合の措置」においては、個人情報を利用して本人に連絡又は接触する場合に、本人に対して必要な通知事項を通知し、同意を得なければ、原則としてその個人情報を利用して本人に連絡又は接触してはいけないことを定めたものです。

「個人情報を利用して本人に連絡又は接触する」とは、「A.3.4.2.1 利用目的の特定」において特定した目的範囲内で、郵便や電話、メールなどで連絡又は接触することを指します。 「同意を得る」ことが求められる理由としては、例えば、スパムメールに対しては返信をしないなど、身に覚えない連絡には回答を行わないと思います。この場合、同意の意思が示されなかった場からといって、黙示の同意があるとされないようにするためです。
よって、こちらも、取得時と同じような条件での同意が必要となります。

ただ、「A.3.4.2.6 利用に関する措置」及び「A.3.4.2.7本人に連絡または接触する場合の措置」の「ただし書き」にあるとおり、取得時の「A.3.4.2.5のa)~f)」と同等の内容となっており、g)及びh)は含まれていません。

サンプル文書「個人情報取扱及び保護規程」の「2.6 利用に関する措置」及び「2.7 本人に連絡又は接触する場合の措置」に関しては、先述の修正案等をご参考にしていただければ問題ないかと思います。

注意点としては、「同意書」の記述内容が、きちんと「A.3.4.2.5のa)~f)」の内容が網羅されているか、再度ご確認ください。

ちなみに、JIS規格の要求事項にある「それと同等以上の内容」に関してですが、例えば「第三者提供が予定されている場合に提供先における利用目的」や「委託が予定される場合に委託先の氏名又は名称を通知する」などが挙げられます。

以上、ご参考ください。