要配慮個人情報を取り扱う場合、個人情報保護方針にその旨を特記する必要がありますか?
個人情報保護方針について、ご質問をさせてください。
要配慮個人情報を収集し、取り扱う場合、個人情報保護方針に「要配慮個人情報について」等といった大項目を設けて、取得する旨の記載は必要になるのでしょうか。
例)「要配慮個人情報について、当社は、法令により例外が認められている場合を除き、あらかじめお客さまご本人の同意を得ることなく、要配慮個人情報を 取得することはありません」
Pマーク取得済の他社様のHPを参照いたしますと、「要配慮個人情報について」といった大項目を設けた後に「取り扱わない」といった記載を行っているのが散見されるため、逆に取り扱う場合も特記する必要があるのかと思い、判断しかねております。
個人情報保護方針に「要配慮個人情報」という独立した大項目を設ける義務はありません。通常は「個人情報の取得と利用」などの包括的な項目の中で、適切に運用されることが担保されていれば十分です。
1. 「要配慮個人情報」の性質と規格上の扱い
要配慮個人情報は、JIS Q 15001:2023(6.2.2 注記1)において「個人情報の性質」の一つとして位置づけられています。
これはリスクアセスメント(安全管理の強度)を左右する要素ではありますが、方針への特記が規格で直接義務付けられているわけではありません。
6.2.2 個人情報保護リスクアセスメント(注記1)
個人情報保護リスクのレベル(リスクの大きさ)は,・・・個人情報の性質(例えば,要配慮個人情報)を考慮して決定される。
※「JIS Q 15001:2023」より
法令やJIS規格が求めている本質は、「あらかじめ本人の同意を得て、適正に取得・利用すること」です。この原則が守られていれば、あえて独立した項目を作る必要はありません。
2. 他社が「取り扱わない」と明記している背景
他社様が「取り扱わない」と宣言している場合、主に以下の意図が考えられます。
- リスク回避:
機微な情報を保有しないことを宣言し、セキュリティ事故発生時の社会的影響を限定的に見せる。 - 注意喚起:
利用者に対し、意図しないセンシティブな情報の送信を控えてもらう。
これに対し、業務上「取り扱う」ことが決まっている場合は、わざわざ特記項目を作らずとも、取得時に個別に同意を得る実務を徹底すれば、規格上の問題はありません。
3. 実務的な対応のアドバイス
方針に記載を加えたい場合は、大項目を新設するよりも、既存の「個人情報の取得」等の項目内に、以下のような一文を添える形が一般的かつ実務的です。
「当社は、法令により例外が認められている場合を除き、あらかじめご本人の同意を得ることなく、要配慮個人情報を取得することはありません。」
個人情報保護方針などに記載する事項としては、個人情報保護法やJISQ15001規格で「本人に通知し、又は本人が容易に知り得る状態に置く」と規定されている事項が関係してきます。
執筆・監修:ISM Web store カスタマーサポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
