Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜17:00

Pマーク 認証・更新

Pマーク(プライバシーマーク)認証お役立ちコラム

プライバシーマーク(Pマーク:JIS Q 15001) 3.3.2項「法令、国が定める指針その他の規範について」規格解釈

スタッフ写真
スタッフ写真

2019年7月8日

目次

今回はPマーク(プライバシーマーク)の規格要求事項である「3.3.2 法令、国が定める指針その他の規範」についてお話しさせていただきます。

Pマーク新規取得、更新の流れ

Pマーク(プライバシーマーク)を新規取得、更新するまでの流れは下記の通りです。

①個人情報の洗い出し
②法令一覧の見直し
③リスク分析の見直し
④委託先の評価
⑤従業員の個人情報保護教育
⑥監査
⑦代表者による見直し

今回は②法令一覧の見直しに関してのお話です。

「法令、国が定める指針その他の規範」について

まず「法令、国が定める指針その他の規範」とはなんでしょうか。

Pマーク(プライバシーマーク)の規格であるJIS Q 15001には、「事業者は,個人情報の取扱いに関する法令,国が定める指針その他の規範を特定し参照できる手順を確立し,かつ,維持しなければならない。」といった記述があります。

「法令」
法律や地方自治体が定める条例など

「国が定める指針」
法律ではないが、国が定めて、事業者が遵守しなければならない通達や指針など

「その他の規範」
国や事業者が所属する業界団体などが定めるガイドラインなど

これらのことが該当します。

個人情報保護方針においても、法令遵守を盛り込む必要があるように、Pマーク(プライバシーマーク)取得事業者は、関連法規制を遵守しなければなりません。
そのためには、まず自社にどのような法規制が関連しているのか、これを明確にしなければなりません。

要求事項で言われているのは法令だけではありません。
「国が定める指針」や「その他の規範」も特定の対象になります。

事業者が独自に法令を特定

規格では、個人情報を取り扱うに当たって参照し、守らなければならない法令等を事業者が独自に特定することを求めています。
つまり、事業者が自らの業務に関連のある範囲で参照すべき法令等を特定するということです。

例えば、保険事業をしていれば、「保険法」が当てはまりますし、印刷系の事業をしている、かつJIS Q 15001に準じているのであれば、「印刷産業のための個人情報保護の手引き」が必要になります。

また、派遣系の事業をしていれば、「派遣元事業主が講ずべき措置に関する指針」や、「職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が均等待遇、労働条件等の明示、求職者の個人情報の取り扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対処するための指針」など、これらに準ずる法令が適用されます。

事業に応じて必要な法令を特定しましょう。

法律や条令の変更にも対応しましょう

法令等の特定をした後は、「参照できる手順を確立し,かつ,維持しなければならない。」という要求事項があります。

法律や条令は変わりますよね??
条例が変更されたとすると、参照するものも変更しなければなりません。

ですからここでは「特定をして、常に最新版が見られるような手順を決めてください。」 ということが求められているということです。

例えば、「管理者は毎年●●月に必要に応じ見直しを行い、制定・改版状況を確認し、最新版を維持管理する。制定・廃止状況に応じて法令を管理している帳票に反映し、代表者に承認を得る」こちらが手順になります。

最近ではマイナンバー制度が施行されたので「番号法及び特定個人情報ガイドライン」を新しく追記する必要があります。見直しはきちんとできていますか??

なぜこの順番なのか?

「3.3.2 法令、国が定める指針その他の規範」は、なぜ個人情報の特定の後、リスク分析の前に置かれているのでしょう?

それは個人情報の特定の結果によって遵守すべき法令や指針が異なり、また個人情報取扱上のリスクの一つとして法令違反が挙げられる場合があります。
従って、時系列として個人情報の特定の後でリスク分析の前になります。

例えば、お問い合わせフォームで個人情報を聞くような場合を想定します。

規格では 「3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置」に基づけばよく、利用目的が本人に対して通知または公表されていれば、同意を得ることは不要です。

ところが、自社の主務官庁や所属する業界団体が発行するガイドラインなどにおいて、お問い合わせフォームでの個人情報の取得においては、HP上で利用目的を通知 し、HP上で同意を得ることを求めていた場合、それに従うことが必要です。

もし、あらかじめこれらのガイドラインの内容を理解しておくことができなければ同意を得ない、という大きなリスクを抱えることになります。

このように、個人情報に関わるリスク分析を実施する上では、事業者が遵守すべき「法令、国が定める指針その他の規範」を特定し、その内容を理解しておくことが重要になります。

Pマーク審査前に気を付けることベスト48

Pマーク審査前に気を付けることベスト48

ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真

\あわせて読みたい記事/

  • 個人情報をSNSで扱う際に気をつけること

    2024年4月2日

    個人情報をSNSで扱う際に気をつけること

    個人情報をSNSで扱う際は、プライバシー設定を適切に活用し、必要最低限の情報のみを公開しましょう。また、個人を特定できる情報は極力控え、定期的に投稿内容の見直しを行いましょう。

  • Pマーク教育の方法と手順|テストのサンプル付

    2023年12月12日

    Pマーク教育の方法と手順|テストのサンプル付

    Pマークにおける教育とは、情報保護に対する意識の低下を防ぐために従業員に教育を施すことです。
    Pマークの教育内容に含まなければならない4つの事項は、①個人情報保護方針②PMSの重要性及び利点③PMSのための役割及び責任④PMSに違反した際に予想される結果です。
    Pマークの教育テストにはこの4つの内容を含む必要があります。

  • JISQ15001:2017の改訂のポイントとは?審査基準も解説

    2023年7月5日

    JISQ15001:2017の改訂のポイントとは?審査基準も解説

    JISQ15001:2017は、2017年に最新版へ改訂され、規格要求事項がISO規格と似た並びに変更されました。2022年4月に審査基準が変更されましたが、規格の中身は変更されていません。とはいえ、審査基準の変更に対応せず放置してしまうと、Pマークを更新できない可能性があるため、注意する必要があります。

一覧へ戻る

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用
役立つ資料をお届け
資料請求する

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。