利用目的の特定が独立し強化された
今回の改正の目玉
JIS Q 15001:2006 では、3.4.2.1 利用目的の特定 という項目が追加された。プライバシーマークを取得しようとする企業にとって、今回の改正で最も影響が大きい変更点かも知れない。
旧JISでは 4.4.2.1 収集の原則 で「収集目的を明確に定め」とされていた箇所であるが、新JISでは独立した項目を立て、「取得するに当たっては、その利用目的をできる限り特定し」と明記している。更に新JISの解説では踏み込んだ説明がされている。
具体的に特定せよ!
「利用目的を単に抽象的、一般的に特定するのではなく、授業者が最終的にどのような目的で個人情報を利用するのかを可能な限り具体的に特定すること」
「単に、”事業活動に用いるため”、”提供するサービスの向上のため”、又は”マーケッティング活動に用いるため”と表現することは、利用目的を特定したことにならない。」
これは個人情報保護法のガイドラインと同じ記述である。ここに至ってJISも個人情報保護法並みの特定を求めてきている。もう、抽象的、一般的な記述で利用目的の特定を回避することはできなくなった。
個人情報保護方針にも変更が反映されている
個人情報保護方針にも影響が
利用目的の特定の追加を受けて、前段の3.2 個人情報保護方針も大幅に変更されている。
個人情報保護の理念が求められている
「事業の代表者は、次の事項を含む個人情報保護方針を定める」とされていた旧JISの記述が、「事業の代表者は個人情報保護の理念を明確にした上で、次の事項を含む・・・」を変わっている。新JISでは個人情報保護方針の冒頭で、企業あるいは代表者としての個人情報保護に対する理念の表明が求められている。
個人情報保護の理念とは
解説によると、「”個人情報保護の理念”とは、当該事業者が個人情報保護に取り組む姿勢や基本的考え方である。」とされている。容易に理解できる表現であることも望まれている。
もうJIS規格の丸写しは通用しない
JISの文言そのままではダメ
さらに解説では、「3.2のa)-e)の各事項の文言をそのまま個人情報保護方針として記載することは望ましくない」と明言し、「各事項に関する各事業者ごとの方針を具体的に記載しなければならない」としている。
これからは、通り一遍の、どこかから借りてきたような個人情報保護方針では通用しない!ということだ。
