Pマークコンサルタント:HOME >JIS Q 15001:2006 > JIS Q 15001規格解説 3.4.2.5〜3.4.2.6
3.4.2.5では、企業が個人情報を間接的に取得する場合の規程となります。企業活動では自分たちが思う以上に、企業は個人情報を間接的に本人の同意を得ないまま取得している場合が多々あります。関連企業から提供された個人情報や、監視カメラの映像会話による取得などがそれにあたります。現状調査で様々な個人情報を洗い出し、直接取得か間接取得か、同意は得られているのかを明確に区分しましょう。
3.4.2.6では個人情報の利用に関する原則を規程しています。目的外利用にはどの様な事があてはまるのか理解しましょう。また、この要求事項のただし書き、a)〜d)はJIS Q 15001:2006のその他の要求事項でも頻繁に除外事項として登場しますので、良く覚えておくと良いでしょう。Pマークの審査においても、このただし書きを明確に各規程の中に反映させる必要があります。
事業者は、個人情報を3.4.2.4 以外の方法によって取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を、本人に通知し、又は公表しなければならない。ただし、次に示すいずれかに該当する場合は、この限りではない。 |
※引用:JIS Q 15001:2006
【解説】
3.4.2.5では「本人から直接書面によって取得する場合」以外の方法で個人情報を取得する場合のルールを規定しています。基本的に個人情報は個人の同意を得て企業が取得するものですが、例えば、間接的に取得する場合(受託先、関連先などから)や監視カメラの映像など、本人の同意を得るのが困難な場合この規定が適用されるという事です。重要なのは、企業の手間を惜しんで、何でもただし書きのd)にあたると判断するような運用をしてはいけないという事です。Pマークの審査では、通知又は公表の手順や、ただし書きa)〜d)を適用する場合の承認手順などを確認されます。
事業者は、特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない。
特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、少なくとも、3.4.2.4 のa)〜f) に示す事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得なければならない。ただし、次に示すいずれかに該当する場合は、この限りではない。
a) 法令に基づく場合
|
※引用:JIS Q 15001:2006
【解説】
3.4.2.6は「個人情報の利用」に関する要求事項です。「収集時に同意を得た収集目的の範囲内」を超えて利用した場合「目的外利用」となります。企業は当初の利用目的を超えて、利用、提供のニーズなどが発生した場合、3.4.2.4と同様な手段を用いて再度通知を行い、本人の同意を得る必要があります。当然「利用目的の変更」も含まれます。また、ただし書き、a)〜d)については除外されますが、このただし書きは、JIS Q 15001の様々な要求事項での除外項目になっていますのできちんと覚えておきましょう(ある意味常識です)。またPマークの審査では、利用目的を変更する場合の承認手順や、ただし書きを適用する場合の承認手順、本人との同意手順が確認されます。
経験豊富な営業、実績豊富なコンサルタントが貴社のPマーク、ISMS構築を強力にバックアップいたします。
様々なコンサルティングメユーより、貴社のニーズを満足させた、最適なプログラムを提供させていただきます。
価格はご相談ください。ご予算の範囲内で収めるような、納得のいく低価格を実現しました。
HOME プライバシーマーク制度とは Pマーク取得メリット Pマーク取得支援サービス Pマーク取得フロー Pマーク取得費用