ある日Pマーク担当になった人のために　第1回「個人情報保護の基本中の基本」

個人情報保護のポイント

まず、個人情報保護は、個人情報を取得するところから、どのように取り扱い、保管し、最終的に返却、廃棄するのかの流れを把握したうえで、その際に実施すべき対策を盛り込んでいきます。

個人情報取得時

個人情報を取得する際に必要なことは、本人に同意を取ることです。

その際の同意は、本人に明示的な同意でなければなりません。

では、明示的な同意とはどのような方法でしょうか。

次のような方法が考えられます。

●署名、捺印
●同意ボタンを押す、チェックボックスをクリックする（Webサイトなどの場合）
●同意の上申し込み、などのみなし同意の条件を決めておく

上記のような方法で、証拠が残るものについては、記録として残しておくことがプライバシーマーク対応におけるポイントになります。

また、同意を交わす際に提示する文面にも次のような内容を含める必要があります。

a) 事業者の氏名又は名称
b) 個人情報保護管理者（若しくはその代理人）の氏名又は役職、所属及び連絡先
c) 利用目的
d) 個人情報を第三者に提供することが予定される場合の事項

●第三者に提供する目的
●提供する個人情報の項目
●提供の手段又は方法
●当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
●個人情報の取扱いに関する契約がある場合はその旨

e) 個人情報の取扱いの委託を行なうことが予定される場合には、その旨
f) 個人情報の開示等に応じる旨及び受付窓口
g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
h) 本人が容易に認識できない方法によって個人情報を取得する場合にはその旨

上記の文面を、本人が個人情報を入力、送付等する前に提示できるようにしておくことが必要となります。

また、この際に同意しておくべきものとして、次のような内容もあります。

●外部提供する場合、その旨等
●その個人情報を使って本人にアクセスする場合、その旨等

個人情報の取り扱い時

個人情報は、前述の同意をした目的以上の利用をすることが許されません。

しかし、当初取得した目的と、利用したい理由が変わる可能性もあります。

その際に、本人にまた新たな目的で取得することの同意を得るための方法を用意しておく必要があります。

さらに、目的外の利用をさせないために、次の対策も必要となります。

【対策一例】

●アクセスする担当者を限定する
●担当者以外のアクセスをできないように制限する
●従業員に対し機密保持の誓約書を交わす
●アクセスのログを取得し、分析する
●外部委託先がある場合、機密保持契約、事前評価等する

個人情報の保管時

個人情報の保管の際に求められることは、当然セキュリティ対策です。

しかし、セキュリティ対策については、プライバシーマークではあまり触れられておらず、

●安全管理の措置を講じること
●正確性を保つこと

くらいしか認定基準上は記載されていません。

この際に参照すべきなのが、認定基準です。

あくまで対策は合理的であることが求められるため、すべての対策が実施できるとは限りません。

その場合には、適切な理由があれば、対策をしないことも許可されます。

個人情報の廃棄、返却

個人情報を廃棄、返却する際には、廃棄、返却した記録を取ることが求められます。

その際に、廃棄業者を使用した場合は廃棄業者から廃棄証明の提出を求めることが必要です。

また、返却した場合は、返却したことを相手にもきちんとわかるように、返却記録などを相手にも提出することが望まれます。

これらの個人情報保護策が基本となります。

次回は、Pマーク認定の審査を受ける際のポイントを解説します。