ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

「管理すべき個人情報」の範囲とは?

2007/09/21 (2019/09/19)

この記事は、内容が古い可能性がありますのでご注意ください。

大きく、「個人情報」と「個人データ」の違いの認識、「管理すべき」個人情報・個人データを明確に区別いただければと思います。

住所と氏名がある場合、個人が特定できるものは全て「管理すべき個人情報」となると、大変だと思うのですが…。

ご質問は、「個人情報」と「個人データ」と「保有個人データ」によって、個人情報保護法で課せられる義務に違いがあり、全てに対して同一の義務を課すことについての大変さについてだと思います。

確かに、個人情報保護法だけを意識・適用するのであれば、以下に示す「個人情報保護法での義務の適用」で示す義務だけを順守すれば、法律上は問題はありません。

プライバシーマークの認証取得を考慮すると、法律上での問題は無くても、民事訴訟や漏洩時の風評被害なども考慮する必要があると考えられます。

ちなみに、プライバシマークの認証規格(JISQ15001)では、適用範囲として以下の様に規定されており、「個人情報」、「個人データ」、「保有個人データ」は殆ど、区分・意識はされていません。
(※唯一、一箇所、”3.4.13”で「保有個人データ」の記述がありますが)

プライバシーマーク制度自体の成り立ちを考慮すると、大変だと思いますが、プライバシーマークの認証規格(JISQ15001)に準拠した個人情報の管理がベストだと思います。