〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階

東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)

東京メトロ 南北線:溜池山王駅 7番出口(地下直結)

東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分

東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)

ニューズレター
Newsletter

2024.01.09

プライバシーマークに関する構築・運用指針の改定

執筆弁護士

<目次>
1.構築・運用指針の改定
2.改定内容の概要
(1)共同利用の要件の変更
(2)その他の改定
3.実務への影響

1. 構築・運用指針の改定

2023年9月、個人情報保護マネジメントシステムに関する要求事項である「JIS Q15001:2017」が「JIS Q15001:2023」に改定されました。2022年4月に施行された令和2年個人情報保護法改正を踏まえたものです。
これを受けて、プライバシーマーク付与機関である一般財団法人日本情報経済社会推進協会(JIPDEC)は、2023年12月25日、プライバシーマークの付与適格性に関する審査基準である「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」(以下「構築・運用指針」といいます。)を、JIS Q15001:2023に準拠した新構築・運用指針に改定・公表しました。

2.改定内容の概要

(1)共同利用の要件の変更

改定のうち影響が大きいと考えられるのは、個人情報の共同利用の要件に変更があった点です。

現行の構築・運用指針では、個人情報を共同利用するためには、①個人情報保護法27条5項3号に定める事項(※)及び取得方法(又はこれらと同等以上の内容の事項)をあらかじめ本人に通知するか又は本人が容易に知り得る状態に置くことに加えて、②以下のa)~f)の事項(又はこれと同等以上の内容の事項)を明示又は通知し、本人の同意を得ることが必要であるとされていました(J.8.7.2.d)、J.8.5.1.a)~f))。
a) 組織の名称又は氏名
b) 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
c) 利用目的
d) 個人情報を第三者に提供することが予定される場合の事項
-第三者に提供する目的
-提供する個人情報の項目
-提供の手段又は方法
-当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
-個人情報の取扱いに関する契約がある場合はその旨
e) 個人情報の取扱いの委託を行うことが予定される場合には、その旨
f) 保有個人データの開示等の請求等に応じる旨及び問合せ窓口

(※)共同して利用する旨、共同して利用される個人データの項目、共同して利用する者の範囲、共同して利用する者の利用目的、共同して利用する個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

これに対して、新構築・運用指針では、①個人情報が特定の者との間で適法かつ公正な手段によって、共同して利用されていること、②個人情報保護法27条5項3号に定める事項をあらかじめ本人に通知し又は本人が容易に知り得る状態に置くこと、③共同して利用する者との間で共同利用について契約によって定めていること、の3点が要件とされ、本人から同意を取得する必要がなくなりました(J.8.7.2.d))。

なお、「①個人情報が特定の者との間で適法かつ公正な手段によって、共同して利用されていること」とは、要するに個人情報保護法27条5項3号に定める事項をあらかじめ本人に通知し又は本人が容易に知り得る状態に置いていることと同義であると考えられているようです。そのため、個人情報保護法に加えて上乗せで必要となるのは、共同して利用する者との間で共同利用に関する契約を締結することのみということになると考えられます。

(2)その他の改定

上記以外の改定の例は、以下のとおりです。

  • 仮名加工情報や匿名加工情報、個人関連情報についても、個人情報保護マネジメントシステムの適用範囲として定めるとともに(J.1.4)、個人情報として特定等すること(J.3.1.1)
  • 個人情報を管理するための台帳の記載項目に「管理する個人情報の件数(概数でも可)」を追加すること(J.3.1.1)
  • 漏えい、滅失又は毀損等の緊急事態が発生した個人情報の内容について、本人への速やかな通知が求められること(J.4.4.2.3a)。本人が容易に知り得る状態に置くという対応手順が削除されました。)
  • 性生活、性的指向又は労働組合に関する情報が含まれる個人情報も要配慮個人情報と同様に取り扱うこと(J.8.3。「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」を踏まえたものと考えられます。)
  • 第三者が個人関連情報を個人データとして取得することが想定される場合において、本人から同意を取得する際に所定の事項を通知又は明示すべきこと(J.8.8.4.1)
  • 外部事業者が個人データを取り扱わないことになっている外部サービスを利用する場合、適切な安全管理措置が図られるよう、あらかじめサービス内容の把握、評価等を行った上で選定すること(J.9.2.2)

3.実務への影響

JIS Q15001:2017に準拠している現行の構築・運用指針の下での審査が行われるのは2024年9月30日まであり、それ以降は新構築・運用指針に基づいて審査が行われることになります。そのため、2024年10月1日以降にプライバシーマークの付与申請を行う予定がある事業者や更新手続が控えている事業者においては、早いうちから新構築・運用指針に従った社内規程の見直し等を進めておくことが望ましいと考えられます。

ニューズレターのメール配信はこちら