JIS Q 15001:2017｜Pマーク　ISMSのコンサル　取得は
スリープロサポート株式会社

Pマークコンサルタント：HOME ＞JIS Q 15001:2006 ＞ JIS Q 15001規格解説 3.4.2.7〜3.4.2.8

　JIS Q 15001:2006　規格解説　項番3.4.2.7〜3.4.2.8

　近年、インターネットの普及に伴い、個人情報の利用において身に覚えのない事業者からの電話やダイレタトメールに対する苦情が多くなっています。しかし、個人情報は適切に利用すれば効果的なサービスを提供できる重要なツールでもあります。本人としては、自分が身に覚えのない企業などからの、その様な行為に対して、自分の個人情報をどこからどのように取得(入手）したのかを知りたいという思いは常にあります。それに応えるための要求事項が、3.4.2.7本人にアクセスする場合の措置で明確化されています。この要求事項を満たす事により、初めて個人情報は効果的なサービスを提供できる重要なツールとなります。また、直接コンタクトをとる企業が取得方法などを本人に通知していても、提供元が「3.4.2.2適正な取得」を満たしていない場合、不適正な取得及び利用の助長行為となるので注意が必要です。

※引用：JIS Q 15001:2006

【解説】
　3.4.2.7は本人にアクセスする場合の原則を規定しています。個人情報を提供した本人は、自分の個人情報をどこから入手したのか知りたい思いがあります。ゆえに、企業が本人にアクセスする場合は3.4.2.4のa)〜f）に示す事項、又はそれと同等以上の内容の事項だけでなく、「取得方法」も通知し、同意を得なければならないことがこの要求事項のポイントになります。また取得方法を通知する場合は「どこから」（卒業生名簿、住民基本台帳、電話帳等の「取得源」）、「どのように」（書店購入、提供を受けた等の「取得の経緯」）取得したのか、両方を記述しなければなりません。 故に「3.4.2.2適正な取得」を満たしていない個人情報を利用し、本人にアクセスすることはできません。また、関連企業から個人情報の提供を受け、その関連企業が適正な取得をしていなかった場合は、委託を受けた者は結果として不適正な取得及び利用を助長したことになり、JIS Q 15001の趣旨に反します。したがって、委託を受けた者は、委託者が法令や国が定める指針等に違反していないことを確認する必要も生じます。Pマークの審査では本人へのアクセス承認手順や、ただし書きを適用する場合の手順及び委託元が適切に個人情報を取り扱っている事を確認する規定があるかどうか確認されます。

※引用：JIS Q 15001:2006

【解説】
　3.4.2.8は個人情報を第三者に提供する場合の原則を規程しています。第三者に個人情報を提供する場合、あらかじめ本人の同意を得る事は必須となり、また、当初意図しなかった目的外利用で個人情報を提供する場合も再度本人の同意を得る必要があります。しかし、 取得する時に委託（提供）する旨を通知していなかったが、分社化や業務の拡大などにより、事後的に委託せざるを得なくなった場合などは、ただし書きd）が適用されます。Pマークの審査時には第三者に提供する場合の承認手順、その場合の本人の同意手順、ただし書きを適用する場合の承認手順などを確認されます。