〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階
東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)
東京メトロ 南北線:溜池山王駅 7番出口(地下直結)
東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分
東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)
セミナー
事務所概要・アクセス
事務所概要・アクセス
<目次>
1.構築・運用指針の改定
2.改定内容の概要
(1)共同利用の要件の変更
(2)その他の改定
3.実務への影響
2023年9月、個人情報保護マネジメントシステムに関する要求事項である「JIS Q15001:2017」が「JIS Q15001:2023」に改定されました。2022年4月に施行された令和2年個人情報保護法改正を踏まえたものです。
これを受けて、プライバシーマーク付与機関である一般財団法人日本情報経済社会推進協会(JIPDEC)は、2023年12月25日、プライバシーマークの付与適格性に関する審査基準である「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」(以下「構築・運用指針」といいます。)を、JIS Q15001:2023に準拠した新構築・運用指針に改定・公表しました。
改定のうち影響が大きいと考えられるのは、個人情報の共同利用の要件に変更があった点です。
現行の構築・運用指針では、個人情報を共同利用するためには、①個人情報保護法27条5項3号に定める事項(※)及び取得方法(又はこれらと同等以上の内容の事項)をあらかじめ本人に通知するか又は本人が容易に知り得る状態に置くことに加えて、②以下のa)~f)の事項(又はこれと同等以上の内容の事項)を明示又は通知し、本人の同意を得ることが必要であるとされていました(J.8.7.2.d)、J.8.5.1.a)~f))。
a) 組織の名称又は氏名
b) 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
c) 利用目的
d) 個人情報を第三者に提供することが予定される場合の事項
-第三者に提供する目的
-提供する個人情報の項目
-提供の手段又は方法
-当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
-個人情報の取扱いに関する契約がある場合はその旨
e) 個人情報の取扱いの委託を行うことが予定される場合には、その旨
f) 保有個人データの開示等の請求等に応じる旨及び問合せ窓口
(※)共同して利用する旨、共同して利用される個人データの項目、共同して利用する者の範囲、共同して利用する者の利用目的、共同して利用する個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
これに対して、新構築・運用指針では、①個人情報が特定の者との間で適法かつ公正な手段によって、共同して利用されていること、②個人情報保護法27条5項3号に定める事項をあらかじめ本人に通知し又は本人が容易に知り得る状態に置くこと、③共同して利用する者との間で共同利用について契約によって定めていること、の3点が要件とされ、本人から同意を取得する必要がなくなりました(J.8.7.2.d))。
なお、「①個人情報が特定の者との間で適法かつ公正な手段によって、共同して利用されていること」とは、要するに個人情報保護法27条5項3号に定める事項をあらかじめ本人に通知し又は本人が容易に知り得る状態に置いていることと同義であると考えられているようです。そのため、個人情報保護法に加えて上乗せで必要となるのは、共同して利用する者との間で共同利用に関する契約を締結することのみということになると考えられます。
上記以外の改定の例は、以下のとおりです。
JIS Q15001:2017に準拠している現行の構築・運用指針の下での審査が行われるのは2024年9月30日まであり、それ以降は新構築・運用指針に基づいて審査が行われることになります。そのため、2024年10月1日以降にプライバシーマークの付与申請を行う予定がある事業者や更新手続が控えている事業者においては、早いうちから新構築・運用指針に従った社内規程の見直し等を進めておくことが望ましいと考えられます。