ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

要配慮個人情報についても、個人情報保護方針内にその取り扱う旨に関して特記する必要はありますか?

2024/03/12

個人情報保護方針について、ご質問をさせてください。

要配慮個人情報を収集し、取り扱う場合、個人情報保護方針に「要配慮個人情報について」等といった大項目を設けて、取得する旨の記載は必要になるのでしょうか。

例)「要配慮個人情報について、当社は、法令により例外が認められている場合を除き、あらかじめお客さまご本人の同意を得ることなく、要配慮個人情報を 取得することはありません」

Pマーク取得済の他社様のHPを参照いたしますと、「要配慮個人情報について」といった大項目を設けた後に「取り扱わない」といった記載を行っているのが散見されるため、逆に取り扱う場合も特記する必要があるのかと思い、判断しかねております。

まず、要配慮個人情報ですが、これは「個人情報の性質」のことを指しています。

※JIS Q 15001:2023(6.2.2 個人情報保護リスクアセスメント)の注記1

個人情報保護リスクのレベル(リスクの大きさ)は,・・・個人情報の性質(例えば,要配慮個人情報)を考慮して決定される。

個人情報保護方針などに記載する事項としては、個人情報保護法やJISQ15001規格で「本人に通知し、又は本人が容易に知り得る状態に置く」と規定されている事項が関係してきます。

ちなみに、要配慮個人情報は、法第20条(適正な取得)第2項、法第27条(第三者提供の制限)第2項などで定められており、本人の同意を要求されているだけですね。