Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

プライバシーマーク(Pマーク:JIS Q 15001) 3.3.2項「法令、国が定める指針その他の規範について」規格解釈

2019年7月8日

今回はPマーク(プライバシーマーク)の規格要求事項である「3.3.2 法令、国が定める指針その他の規範」についてお話しさせていただきます。

Pマーク新規取得、更新の流れ

Pマーク(プライバシーマーク)を新規取得、更新するまでの流れは下記の通りです。

①個人情報の洗い出し
②法令一覧の見直し
③リスク分析の見直し
④委託先の評価
⑤従業員の個人情報保護教育
⑥監査
⑦代表者による見直し

今回は②法令一覧の見直しに関してのお話です。

「法令、国が定める指針その他の規範」について

まず「法令、国が定める指針その他の規範」とはなんでしょうか。

Pマーク(プライバシーマーク)の規格であるJIS Q 15001には、「事業者は,個人情報の取扱いに関する法令,国が定める指針その他の規範を特定し参照できる手順を確立し,かつ,維持しなければならない。」といった記述があります。

「法令」
法律や地方自治体が定める条例など

「国が定める指針」
法律ではないが、国が定めて、事業者が遵守しなければならない通達や指針など

「その他の規範」
国や事業者が所属する業界団体などが定めるガイドラインなど

これらのことが該当します。

個人情報保護方針においても、法令遵守を盛り込む必要があるように、Pマーク(プライバシーマーク)取得事業者は、関連法規制を遵守しなければなりません。
そのためには、まず自社にどのような法規制が関連しているのか、これを明確にしなければなりません。

要求事項で言われているのは法令だけではありません。
「国が定める指針」や「その他の規範」も特定の対象になります。

事業者が独自に法令を特定

規格では、個人情報を取り扱うに当たって参照し、守らなければならない法令等を事業者が独自に特定することを求めています。
つまり、事業者が自らの業務に関連のある範囲で参照すべき法令等を特定するということです。

例えば、保険事業をしていれば、「保険法」が当てはまりますし、印刷系の事業をしている、かつJIS Q 15001に準じているのであれば、「印刷産業のための個人情報保護の手引き」が必要になります。

また、派遣系の事業をしていれば、「派遣元事業主が講ずべき措置に関する指針」や、「職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が均等待遇、労働条件等の明示、求職者の個人情報の取り扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対処するための指針」など、これらに準ずる法令が適用されます。

事業に応じて必要な法令を特定しましょう。

法律や条令の変更にも対応しましょう

法令等の特定をした後は、「参照できる手順を確立し,かつ,維持しなければならない。」という要求事項があります。

法律や条令は変わりますよね??
条例が変更されたとすると、参照するものも変更しなければなりません。

ですからここでは「特定をして、常に最新版が見られるような手順を決めてください。」 ということが求められているということです。

例えば、「管理者は毎年●●月に必要に応じ見直しを行い、制定・改版状況を確認し、最新版を維持管理する。制定・廃止状況に応じて法令を管理している帳票に反映し、代表者に承認を得る」こちらが手順になります。

最近ではマイナンバー制度が施行されたので「番号法及び特定個人情報ガイドライン」を新しく追記する必要があります。見直しはきちんとできていますか??

なぜこの順番なのか?

「3.3.2 法令、国が定める指針その他の規範」は、なぜ個人情報の特定の後、リスク分析の前に置かれているのでしょう?

それは個人情報の特定の結果によって遵守すべき法令や指針が異なり、また個人情報取扱上のリスクの一つとして法令違反が挙げられる場合があります。
従って、時系列として個人情報の特定の後でリスク分析の前になります。

例えば、お問い合わせフォームで個人情報を聞くような場合を想定します。

規格では 「3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置」に基づけばよく、利用目的が本人に対して通知または公表されていれば、同意を得ることは不要です。

ところが、自社の主務官庁や所属する業界団体が発行するガイドラインなどにおいて、お問い合わせフォームでの個人情報の取得においては、HP上で利用目的を通知 し、HP上で同意を得ることを求めていた場合、それに従うことが必要です。

もし、あらかじめこれらのガイドラインの内容を理解しておくことができなければ同意を得ない、という大きなリスクを抱えることになります。

このように、個人情報に関わるリスク分析を実施する上では、事業者が遵守すべき「法令、国が定める指針その他の規範」を特定し、その内容を理解しておくことが重要になります。

\ お問い合わせフォームはこちら /
WEBお問い合わせ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。