プライバシーマーク制度2017年版への規格改定と移行のポイントについて
企業や事業者などの第三者が、「個人情報」を「個人情報保護マネジメントシステム要求事項JIS Q 15001」に沿って、適切に取り扱っているかを認証する「プライバシーマーク(Pマーク)制度」は、2年ごとに更新が必要です。通常ならば、粛々と更新申請をすれば問題ありませんが、2017年12月20日にプライバシーマーク制度の改定が行われ、「JIS Q 15001 :2017」が適用されるようになってから、更新する際は従来の2006年版から最新の2017年版へ移行しなければなりません。
プライバシーマーク制度2017年版は2006年版からどのように改定されたのでしょうか?
2006年版から2007年版への移行する際のポイントと合わせてご説明いたします。
個人情報が細分化された
2017年版は2006年版と違い、住所や氏名など個人が特定できる情報である「個人情報」が細分化され、新たに3つの項目が追加となりました。
・個人識別符号
対象者ごとに異なるように割り振られた符号や、特定の個人の身体的特徴を変換した情報などが個人情報に加わりました。これらを「個人識別符号」といい、例えば、マイナンバーやパスポート、運転免許証は「対象者ごとに異なるよう割り振られた符号」、DNA情報、指紋データ、顔認証データなどは、「特定の個人の身体的特徴を変換した情報」となります。
・要配慮個人情報
2006年版では、人種、信条、病歴などが含まれる個人情報を「特定の機微な個人情報」として定義されていましたが、2017年版では、「要配慮個人情報」としてその定義が拡大しました。これまでの、人種、信条、病歴などに加え、犯罪歴、犯罪被害の事実、社会的身分、病歴などが追加されています。
・匿名加工情報
個人情報データを特定できないように加工し、復元できない状態にしたものを「匿名加工情報」といいます。こちらは2006年版では、個人情報に該当しないと定義され、本人の同意なしに第三者提供が可能でした。企業はこのデータをビックデータなどで利用するために、2017年版では、匿名加工情報を取扱う際は、適切な取り扱いを行う手順を確立し、その手順を維持し続けることが必要となります。
■個人情報提供する際のルールが厳格化された
2017年版では2006年版よりも、個人情報を提供する際のルールが厳格化し、新たに罰則も設けられました。
・オプトアウト手続きの厳格化
個人データを第三者へ提供可能とすることを、「オプトアウト」と言います。「オプトアウト」は、あらかじめ本人へ通知しておく、または、本人が知り得る状況に置くことですが、特に届け出などは必要ありませんでした。個人情報保護法2017年版では、この「オプトアウト」が厳格化され、個人データを第三者提供する際に、個人情報保護委員会へ届け出ることが義務付けされました。ただし、要配慮個人情報のケースは、オプトアウトでの提供はできません。
・罰則の追加
2006年版の個人情報保護法では、個人情報の持ち出しや提供に対しての罰則規定は設けられていませんでした。近年、データベースの不正提供や不正利用などの不祥事を受け、2017年版では「個人情報データベース等を自己又は第三者の利益を不正に得るため提供又は登用した場合、1年以下の懲役、もしくは50万以下の罰金が課せられる」という罰則が追加となりました。
・外国の第三者への提供ルールが新設された
企業のグローバル化が進む中、個人データが外国の第三者に提供されるケースも、外国の第三者に個人情報を提供する場合、本人の同意が必要となります。この「外国の第三者」というのは、個人データの本人とそれを取扱う事業者を除く、外国にある法人、外国政府となります。外国にある法人は、同じ法人の現地支店や駐在所などは該当せず、法人格の有無で判断されます。
・トレーサビリティ確保の義務付け
新たな追加項目の一つとして、「トレーサビリティ確保」も義務付けられています。「トレーサビリティの確保」とは、個人情報のやりとりを記録して、追跡可能とすることです。個人情報を提供する側だけでなく、個人情報の提供を受ける側にも記録の義務が生じます。
■プライバシーマーク制度2017年版の更新・移行ポイント
・2017年版は2020年7月31日までに完全移行
プライバシーマークの規格改定移行審査は、2020年7月31日までに完了しなければならない、という決まりがあります。これから新規でプライバシーマークを取得する事業者や企業は、新規の手続きをするだけですが、2006年版から更新する場合は、2017年版の新しいルールに沿って、更新手続きをする必要があります。2017年版への移行期間は、2018年8月1日~2020年7月31日まで猶予期間を設けているので、その間に社内ルールが有効かなどを、見直す事が可能です。
・更新時に2006年版から2017年版へ移行する際の4つポイント
2006年版から2017年版へと移行する際に、新たに対応が必要なポイントをご紹介します。
1)個人情報保護方針の追加
旧規格では、「個人情報保護方針」とまとめられていましたが、「内部向け個人情報保護方針」「外部向け個人情報保護方針」へと分けられます。個人情報保護方針を周知する対象は、「組織内に伝達し、必要に応じて利用関係者が入手」とされており、「制定及び、最終改正年月日、問合せ先などを明記する」とされています。この対応が、組織内で出来ていない場合は、環境と整える必要があります。
2)委託契約・選定
従来の規定では存在しなかった、「契約終了後の措置」が追加されています。契約している委託先があれば、この項目を盛り込まなければなりません。
3)従業者に認識させる「個人情報保護方針」
従業者へ教育する際に、「個人情報保護方針」を認識させることが、新たに求められています。
4)各部門及び階層における運用の認識
これまで年に1回の内部監査が必要でしたが、これだけでなく日常的な運用に関しても、必要に応じてトップマネジメントに報告する、という項目が追加となっています。この場合の日常的な運用確認とは、入退室の記録やアクセスログなどの定期的確認、対応できていないリスク対策などの気づきなどの事で、場合によっては是正し、年一回のマネジメントレビューを待たずに代表者に報告する必要があります。
以上のように、時代に合わせて個人情報の取り扱いは、より丁寧にきめ細やかなものとなっています。
プライバシーマーク制度の移行について、もっとわかりやすく、もっと詳しく知りたい方は、セミナーを受講することをお薦めします。本を読んだりする独学では、読み落としてしまったり、理解がしにくいものもあります。セミナーでは、経験と知識が豊富な講師陣が細部に渡り教えてくれるので、あなたの学びの役に立つでしょう。
>>>最新のプライバシーマーク制度など、リスクマネジメントに関するセミナー情報はこちらから
