ある日Pマーク担当になった人のために 第4回(最終回)「個人情報保護法の改正について」
読者の皆様こんにちは。
なんだかいろいろなニュースに紛れてしまっている感がありますが、個人情報保護法が平成27年9月に改正されました。
個人情報の保護に関する法律の施行は2年後であるため、まだあまり騒ぎにもなっていませんが、マイナンバー関連の法令が施行されたときの混乱を見る限り、改正個人情報保護法が施行された際も同じような混乱が起こる可能性があります。
今回は、個人情報保護法改正がプライバシーマークに及ぼす影響について解説したいと思います。
この記事の目次
個人情報の定義変更
個人情報の定義が変わり、今までと比べて個人情報の対象範囲が広がりました。
今までは、個人を特定できる情報(氏名、生年月日その他の記述などになり特定の個人を識別できるもの)だけに限られていたものが、身体の一部の特徴をデータ化した文字、番号、記号その他の符号や、サービスの利用者や個人に発行される書類等に割り当てられた文字、番号、記号その他の符号のうち、政令で定めるもの、が個人情報の対象になります。
つまり、例えば会員証などの、個人ごとに付与されたIDなども対象となるということです。
身体の一部の特徴をデータ化したものは、写真や動画なども対象となります。
これらのことから、個人情報管理台帳を更新することが、プライバシーマーク取得事業者には必要になります。
また、法的に変更したところでは、個人情報取扱事業者の定義が変わり、以前の個人情報保護法では、5,000件以上のデータベースを保有している組織だけが対象でしたが、今回の改正で5,000件の条件が廃止されるため、基本的にはあらゆる事業者が個人情報取扱事業者になります。
外部提供における条件の変更
外部提供についての変更が特に大きな改定として挙げられます。
オプトアウト規定を準用して外部提供を行っている場合、今までは本人に対して利用停止の手続き方法を提示することだけで対応が可能となっていましたが、今後同様の手続きを実施する場合、個人情報保護委員会への届け出が必要となります。
また、個人情報保護委員会では、その内容を公表します。
さらに、外部提供した場合には、どこに提供したのか追跡できるように記録することが求められます。
しかも、どこに提供したか、だけではなく、受領者が誰であったかというところまで記録が求められるため、きちんと記録をとれるように書式などを整備する必要があります。
罰則の強化
これは直接プライバシーマークとは関連しないのですが、罰則が強化され、今までは個人情報保護法の違反に対する処罰は法人に対してのみ行われるものでしたが、不正に個人情報を第三者に提供や、盗用した場合に罰則が適用できるようになりました。
これにより、個人を罰することが出来るようになりました。
法的な制限ができた分、企業としても従業者に対して、より意識向上を図ることが可能であると考えられます。
個人情報保護法についての改定は2年後ですが、法律の改正に伴って、プライバシーマークの認定基準も改定される可能性があります。
プライバシーマークの認定基準であるJISQ15001:2006は、前回制定されたのが2006年であるため、もう10年近く改正されていません。
また、JISQ15001が出来た際に参考にされていたセキュリティの総合規格ISO27001も2013年に改正が行われたため、今後はJISQ15001も改正される可能性があります。
それらの情報は、プライバシーマーク事務局によりリリースされるので、逐次情報は収集しておくことをお勧めいたします。
プライバシーマークサイト
http://privacymark.jp/
情報セキュリティアドミニストレータ(2003年取得)
中堅コンサルティング会社に在籍、主にISO9001(QMS)、ISO14001(EMS)を支援する傍ら、ISO27001(ISMS)、JISQ15001(Pマーク)、ISO20000(ITSMS)などのコンサルティング事業を新たに立ち上げる。
実績としては、
・ISMS+QMSの同時認証取得(当時国内初)
・ISMS+Pマークの統合マネジメントシステム構築(当時国内初)
・ISMS+QMSの統合マネジメントシステム構築および認証取得(当時国内初)
・QMS+ITSMSの統合マネジメントシステム構築及び認証取得(国内第一号の認定授与)
・QMS+ISMS+ITSMSの統合マネジメントシステム構築及び認証取得(当時国内初)
特にマネジメントシステムの統合や、既存システムの改善を得意としている。
また、QMS(品質マネジメントシステム)をベースとした知識に基づき、業務の標準化、効率化及び経営改善などにも取り組んでいる。
関連記事
