開示等に見る個人情報保護法との統合
JISの改正で大幅に追加された本人の権利
JIS Q 15001:2006 で追加された項目のうち、最も多いのが、個人情報に関する本人の権利の章である。旧JISでは、「開示を求められた場合は、合理的な期間内にこれに応じなければならない」と簡単な記述で終わっていたが、改正されたJIS Q 15001:2006では、3.4.4.1 手続き、3.4.4.3 周知、3.4.4.4 利用目的の通知、3.4.4.5 開示、3.4.4.6 訂正、追加又は削除 と5つの項目に分け、詳細に書かれている。
開示対象個人情報の新設
新JISでは、開示対象個人情報 という用語が使われている。「事業者が、本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の求めのすべてに応じることができる権限を有するもの」と定義されている。つまり、個人情報保護法で言う「保有個人データ」のことである。
⇒
改正版 個人情報保護マネジメントシステム JISQ15001:2006 その3 の続きを読む
利用目的の特定が独立し強化された
今回の改正の目玉
JIS Q 15001:2006 では、3.4.2.1 利用目的の特定 という項目が追加された。プライバシーマークを取得しようとする企業にとって、今回の改正で最も影響が大きい変更点かも知れない。
旧JISでは 4.4.2.1 収集の原則 で「収集目的を明確に定め」とされていた箇所であるが、新JISでは独立した項目を立て、「取得するに当たっては、その利用目的をできる限り特定し」と明記している。更に新JISの解説では踏み込んだ説明がされている。
具体的に特定せよ!
「利用目的を単に抽象的、一般的に特定するのではなく、授業者が最終的にどのような目的で個人情報を利用するのかを可能な限り具体的に特定すること」
「単に、”事業活動に用いるため”、”提供するサービスの向上のため”、又は”マーケッティング活動に用いるため”と表現することは、利用目的を特定したことにならない。」
⇒
改正版 個人情報保護マネジメントシステム JISQ15001:2006 その2 の続きを読む
JIS Q 15001:2006 を読む
個人情報保護に関するコンプライアンス・プログラムの要求事項として制定され、プライバシーマーク取得の際の認証基準となっている JIS Q 15001 が、平成18年5月に改正された。
「個人情報保護法の全面施行を迎え、規格の取り巻く環境は大きく変化」(同解説より) したことを踏まえた見直しである。規格自体の名称もコンプライアンス・プログラムからマネジメント・システムに変更されているが、何よりも個人情報保護法との整合性を意識した改正となっている。
以下、旧「JIS Q 15001:1999 個人情報保護に関するコンプライアンス・プログラム要求事項」との違いに着目しながら、、新「JIS Q 15001:2006 個人情報保護マネジメントシステム要求事項」を読んでいく。
⇒ 改正版 個人情報保護マネジメントシステム JISQ15001:2006 の続きを読む
個人情報保護は方針だけでなく、実際面の管理が重要
個人情報管理システムの打合せで京都に出張してきました。
個人情報保護方針の策定から内部規程の作成で関与したクライアントとの打合せです。個人情報保護方針や規程で明確化した手順を元に、個人情報管理システムを構築し、名実ともに個人情報の管理を徹底して実行しよう というお考えをお持ちです。方針や内部規程を単なるお題目やマニュアルで終わらせないためには、これは極めて重要な点です。
方針立案直後から何回か構想・設計レベルでの打合せを行っているため、今回は概要設計書・外部仕様書を元に、システムの仕様のご説明と質疑、できれば承認まで という流れでの打合せでしたが、無事承認していただくことができました。
京都は暑かった
仕事は極めて順調に進んだのですが、京都の暑さには参りました。まだ6月だというのに、今からコレではたいへんです。
暑さの中、大絵巻展には行列が
順調にいった仕事のご褒美に、京都国立博物館で開催されている「大絵巻展」に立ち寄って、源氏物語絵巻でも拝んでいくことになりました。東山七条まで足を延ばしてビックリ。入場50分待ち、展示の目玉である源氏物語絵巻と鳥獣戯画は、さらに中で30分待ち! 前日は3時間待ちだったそうなので、ましなほうかもしれませんが、戸外での行列は信州人にはこたえました。
「立ち止まらないで前の方に続いて進んでください。」の声に抵抗して頑張っても肝心の源氏絵巻の前にはたった3分間。それでも千年も前に書かれた絵巻は一見の価値があります。歴史的建造物である博物館を外部からじっくり眺められたし、まあ良しとしておきます。
『個人データとは個人情報データベースを構成する個人情報をいう』
『保有個人データとは、個人情報取扱事業者が開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ』
Q.個人情報取扱事業者が受託処理している個人データは保有個人データに該当するか?
A.その個人データを自らの判断で本人に開示等ができないときは、受託者の保有個人データではなく、委託者の保有個人データとなる。
だんだんややこしくなってきました。ここでは、個人情報の総体が個人情報データベースで、その中の個々のデータが個人データで、そのうち自社で開示・訂正・追加・削除できる個人情報を保有個人データとする ということを確認しておきます。
