ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

「A.3.4.2.6利用に関する措置」で「個人情報取扱及び保護規程」2.6(2)②は、A.3.4.2.5のa)~f)より厳しい条件で同意を求めるよう定めているが、運用上問題ないか?

プライバシーマーク サンプル文書集
2022/02/09
Pマークサンプル文書集.  1,818 views

JISQ15001:2017「A.3.4.2.6 利用に関する措置」で「個人情報取扱及び保護規程」2.6(2)②はJISA.3.4.2.5のa)~h)、またはそれと同等以上の内容となり、A.3.4.2.5のa)~f)より厳しい条件で同意を求めるよう定めている。運用上問題ないか。と文書審査で指摘を受けました。

また、「A.3.4.2.7 本人に連絡または接触する場合の措置」「個人情報取扱及び保護規程」2.7(2) でも同じ内容の指摘を受けました。

JIS A.3.4.2.5の内容が分からないため教えていただきたいのと、どのように対応するべきでしょうか?

文書づくりにお困りなら『プライバシーマークサンプル文書集』

プライバシーマークサンプル文書集は、プライバシーマーク取得に必要なマニュアルおよび規程書、様式を具体的に示したサンプル文書集です。プライバシーマーク制度の審査基準への対応はもちろん、JISQ15001要求事項へ対応した作りとなっています。

PRISM Web store

詳しくはこちら

「A.3.4.2.5のa)~f)より厳しい条件で求めている」というのは、以下の理由からだと推察されます。

サンプル文書集「個人情報取扱及び保護規程」2.6(2)②、「2.5 本人から直接書面によって取得する場合の措置」の「(2)個人情報の取得」の【本人に同意を得るために書面によって明示すべき事項】では、JIS規格(A.3.4.2.6 利用に関する措置)の「A.3.4.2.5のa)~h)」に対応した記述となっています。

「A.3.4.2.6 利用に関する措置」では、A.3.4.2.5の「a)~f)」に限定されており、g)とh)を含んでいないため、g)及びh)を含んでいる条件は「より厳しい条件」ではないか、と言われていると思います。

※「A.3.4.2.7 本人に連絡または接触する場合の措置」「個人情報取扱及び保護規程」2.7(2) も同様

(参考)JIS Q 15001「A.3.4.2.5 A.3.4.2.4 のうち本人から直接書面によって取得する場合の措置」
 g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
 h) 本人が容易に知覚できない方法によって個人情報を取得する場合には,その旨

この点を指摘しているのであれば、審査対応としては、g)及びh)を含まないように、「のa)~f)」と追加して記述にする案も考えられます。

(修正案)サンプル文書集「個人情報取扱及び保護規程」の「2.6(2)」②及び「2.7(ただし書き)」
 【本人に同意を得るために書面によって明示すべき事項】のa)~f)

※以下より詳しく解説させて頂きます。

「A.3.4.2.6 利用に関する措置」の目的は、「A.3.3.1 個人情報の特定」により特定された利用目的に達成に必要な範囲を越えて取り扱うことを禁止し、それを越えて取り扱う場合の事項について定めたものです。
よって、利用目的を越えて取り扱う場合は、取得時と同じような条件で同意を得るため、「A.3.4.2.5 A.3.4.2.4のうち本人から直接書面によって取得する場合の措置」のa)~f)に示す事項を通知し、「本人の同意」を得ることとなっています。

「A.3.4.2.7 本人に連絡または接触する場合の措置」においては、個人情報を利用して本人に連絡又は接触する場合に、本人に対して必要な通知事項を通知し、同意を得なければ、原則としてその個人情報を利用して本人に連絡又は接触してはいけないことを定めたものです。

「個人情報を利用して本人に連絡又は接触する」とは、「A.3.4.2.1 利用目的の特定」において特定した目的範囲内で、郵便や電話、メールなどで連絡又は接触することを指します。 「同意を得る」ことが求められる理由としては、例えば、スパムメールに対しては返信をしないなど、身に覚えない連絡には回答を行わないと思います。この場合、同意の意思が示されなかった場からといって、黙示の同意があるとされないようにするためです。
よって、こちらも、取得時と同じような条件での同意が必要となります。

ただ、「A.3.4.2.6 利用に関する措置」及び「A.3.4.2.7本人に連絡または接触する場合の措置」の「ただし書き」にあるとおり、取得時の「A.3.4.2.5のa)~f)」と同等の内容となっており、g)及びh)は含まれていません。

サンプル文書「個人情報取扱及び保護規程」の「2.6 利用に関する措置」及び「2.7 本人に連絡又は接触する場合の措置」に関しては、先述の修正案等をご参考にしていただければ問題ないかと思います。

注意点としては、「同意書」の記述内容が、きちんと「A.3.4.2.5のa)~f)」の内容が網羅されているか、再度ご確認ください。

ちなみに、JIS規格の要求事項にある「それと同等以上の内容」に関してですが、例えば「第三者提供が予定されている場合に提供先における利用目的」や「委託が予定される場合に委託先の氏名又は名称を通知する」などが挙げられます。

以上、ご参考ください。


プライバシーマーク サンプル文書集
匿名加工情報について実施しない場合の「個人情報取扱及び保護規程」の2.9の記載について
2018/08/22 Pマークサンプル文書集 6,447 views
プライバシーマーク サンプル文書集
「個人情報取扱及び保護規程」内の特定個人情報の取扱いに関する記述について。
2019/11/05 Pマークサンプル文書集 2,585 views
プライバシーマーク サンプル文書集
既にPマークを取得している組織でもサンプル文書集は対応可能ですか。
2019/03/01 Pマークサンプル文書集,商品について 2,420 views
プライバシーマーク サンプル文書集
宗教やアレルギー情報等の機微な個人情報を取得することがございます。
2013/11/28 プライバシーマーク全般,Pマークサンプル文書集 7,453 views

Store

プライバシーマーク取得支援パッケージ

プライバシーマーク認定の支援パッケージ。

詳しくはこちら

プライバシーマーク サンプル文書集

プライバシーマークのサンプル文書集。

詳しくはこちら

プライバシーマーク社員教育用テキスト

プライバシーマークの社員教育用テキスト。

詳しくはこちら

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

詳しくはこちら

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

詳しくはこちら

対訳ISO9001:2015品質マネジメントの国際規格

詳しくはこちら