ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

要配慮個人情報の定義と個人データの提供に関する措置の但し書きについて

2022/05/24

標記の件、貴社が販売されているPマークツールの規程集「個人情報取扱い及び保護規程(付属書A)」をベースに構築を進めております。

今回下記2点の指摘をされております。心当たりがあれば助言をお願いします。

① A.3.4.2.3 要配慮個人情報:法令の記載と定義が異なっている。
② A.3.4.2.8 個人データの提供に関する措置:但し書きのb) g)が要求事項と異なっている。

ご指摘の点、以前改訂の際における修正漏れ事項です。
お手数をおかけして、大変申し訳ございません。
以下、ご参考ください。

なお、下記事項に関して、バージョン「PS01.220401」で修正されております。

ご質問①に関しては、同様の質問があり、以下の回答しております。
ご参考ください。

▼「要配慮個人情報の規定内の定義が法の定義と相違がある」との指摘を受けました。
 https://www.ismwebstore.com/support/archives/3070

ご質問②に関してですが、修正を以下に記します。
ご参考ください。

b) 法令等が定める手続に基づいた場合
(略)
- 第三者への提供を利用目的とすること
- 第三者に提供される個人データの項目
- 第三者への提供の手段又は方法
- 本人の請求等に応じて当該本人が識別される個人データの第三者への提供を停止する
- 取得方法
- その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項(「個人情報保護規則第20条第1項第一号」参照)
なお、以下に該当する場合は、提供してはならない。
・要配慮個人情報(2.3 要配慮個人情報の取得、利用及び提供の制限)
・偽りその他不正の手段により個人情報を取得されたもの(「個人情報保護法第27条第2項」参照)
・他の個人情報取扱事業者から、 あらかじめ本人に通知し又は本人が容易に知り得る状態に置くとともに個人情報保護委員会に届け出た上で(「個人情報保護法第27条第2項」参照)、 個人データを第三者に提供 されたもの(その全部又は一部を複製し、又は加工したものを含む。)

g) 「2.3 要配慮個人情報の取得、利用及び提供の制限」の【要配慮個人情報を取得、利用及び提供する場合の特例】の2) のa)~d)、又はj)~l)に該当する場合。