付与事業者: 15,515

よくあるご質問

TOP > よくあるご質問 > 2.PMS構築・運用

2.PMS構築・運用

1 受託

1-1 JIS Q 15001要求事項「3.4.2.3 特定の機微な個人情報の取得、利用及び提供の制限」では、明示的な本人の同意が必須となっています。
当社の業務形態上(受託)、本人の同意が難しいのですが、どう対処すればよいですか。

受託により特定の機微な個人情報を取得した場合については、その受託者は本人の同意を得る必要はありません。
受託者は委託者の監督を受けており、契約の範囲内に限られた管理しかできません。
受託者が同意を得るために本人に連絡をとるといった行為は、むしろ契約に定められた利用目的を逸脱する目的外利用であって、契約違反になります。
本人からの同意の取得は、委託者側が責任を負うべきことです。

2 教育

2-1 パート・アルバイトにも個人情報保護教育を実施し、教育後の試験では、基準以下は再試験ということで規定していますが、アンケート調査の委託調査員の場合、2週間程度の短期間の雇用になります。
このような短期雇用の方にも試験や再試験を実施しなくてはいけないのでしょうか。

教育は、従業者全員一律である必要はありません。
パート・アルバイトだからといって、一律に同じ試験や再試験も含めた教育を実施しなければならないものではありません。
しかし、従業者の方たちが、それぞれ担当する業務を実施するにあたり、必要かつ十分な教育を実施するようにしてください。

3  監査

3-1 JIS Q 15001要求事項の3.7.2(監査)について「PMS実施のためのガイドライン」に「監査は、全ての部門を対象にしなければならない。 直接に個人情報の取扱いに従事しない部門であっても、個人情報(たとえば、従業者の情報、名刺の情報など)に接する可能性はあるからである。」
と記載されていますが、「内部監査部門」も対象となりますか。

内部監査部門であっても、従業者の情報、名刺の情報などに接する可能性はある以上、監査は必要です。

3-2 JIS Q 15001要求事項に合わせるべく、規程の改訂を行っていますが、その中で、監査に関する規程の作成者を個人情報保護推進事務局として、承認者を個人情報保護監査責任者としようと考えています。問題はありますか。

JIS Q 15001要求事項本体に付属する解説の解4ページ 3.2.5内部規程の項に、
「内部規程は、経営責任等を明確にするため、取締役会の決議を経るなど一定の手続きを経て定める必要がある」
と記述されています。
経営責任を明確にする形式で、実施してください。

3-3 JIS Q 15001要求事項では、監査役も従業者という定義になっていますが、「従業者の監督」の解説には、
「監査役に対する監督は(中略)取締役等業務執行者による監督は、監査の独立性が害されるため許されない」
となっています。
監査役に対する個人情報保護の適用範囲について教えてください。

教育も監査も対象となります。

ただし、監査役は取締役等業務執行者の指揮命令を受けないため強制することはできず、監査役が教育や監査を受けていなくても不適合ではありません。

3-4 プライバシーマーク付与事業者として監査を行っていますが、個人情報取扱部署は全て監査対象部門として取扱う主旨から、内部監査部門(内部監査室)に対して個人情報保護監査を実施することにしました。
以下のように監査を実施した場合にJIS規格上で言う適正な監査が実施されたことになるか、教えてください。
1.監査担当者は内部監査室以外の社員が担当する。
2.任命は監査責任者が行う。但し、監査責任者は内部監査室長が兼務している。

問題ありません。

4 個人情報保護管理者

4-1 申請の際に必要な「個人情報保護管理者」というのは、どのような資格が必要ですか。
資格が無くても、社内で定めた人物が、責任者として個人情報の保護と管理を担っていれば良いですか。

「個人情報保護管理者」は、JIS Q 15001要求事項の2.4の記載以外に要件はありません。
もちろん、特定の資格が必要ということはありません。

5 個人情報保護監査責任者

5-1 代表者は、個人情報保護監査責任者になれますか。

事業者の代表者は、個人情報保護管理者を兼ねることができますが、個人情報保護監査責任者は兼ねることができません。
従業者の少ない小規模事業者にあっては、体制の確立が難しい場合がありますが、代表者は、経営資源の分配等を通じて、体制の整備・運用に主体的に関与するわけであり、監査についても代表者が行うとなると、監査の第三者性・客観性が担保されるかどうか疑問となり、監査に実効性があると評価できなくなります。
したがって、プライバシーマーク制度では、代表者が個人情報保護監査責任者を兼ねることを禁止しています。

なお、個人情報保護監査責任者の指名については、JIS Q 15001要求事項の2.5において「代表者によって事業者の内部の者から指名されたものであって(略)監査の実施及び報告を行う責任及び権限をもつ者」とあり、また3.7.2の解説には「個人情報保護監査責任者は、(略)社外に責任を持つことができる者(例えば、役員)であって、個人情報保護管理者と同格又は上席者を指名することが望ましい。」と記載されておりますので、事業者の社会保険・労働保険に加入した正社員または登記上の役員(ただし監査役を除く)が適切です。

(平成29年5月30日改訂)

6 個人情報の取扱い

6-1 法人顧客の担当者名で検索できるデータベースがあります。
代理店経由で法人顧客を得た場合、担当者が退職などで変わったときも、開示等請求は旧担当者本人からでないといけないのでしょうか。

本人からの開示等の求めがなければデータベースを修正できないということではありません。
データベースの正確性を期するため必要であるならば、「3.4.3.1 正確性の確保」に基づき、事実と異なる場合は自ら訂正すればよいのです。

6-2 かなり以前(個人情報保護法やプライバシーマーク制度発足よりずっと昔)に取得した個人情報について、どこまでこれらの法、規格を適用しなければなりませんか。

古い個人情報については、改めて本人の同意を得る必要はありませんが、以下の措置が必要です。
まず、JIS Q 15001要求事項の3.4.2.5に基づく利用目的の通知又は公表が必要です。
次に、それが「開示対象個人情報」に該当するならば、「3.4.4.3 開示対象個人情報の周知等」の措置を講じる必要があります。

6-3 当社では、安全衛生法に基づき、産業医との契約を結んでいます。
しかしながら、産業医については個人契約の場合が殆どのため選考基準の適用(当社の場合、プライバシーマーク取得、規定等の文書化によるPMSの構築等)が困難な場合があります。
そのため、当社では、次の法令の観点から、産業医については医師という職務を考慮し、個人情報に関する選定基準を緩和すべきと考えていますが、事例等はありますか。

原則どおり実施することが望ましいには違いありませんが、国家資格がなければできない業務で、かつその資格を持つ者に対して法律により守秘義務が課されており、違反者には資格剥奪の処分だけでなく懲役や罰金といった刑罰が科される可能性がある場合、それらの国家資格を有していれば、それだけで委託先選定基準を満たしていると考えてよいでしょう。
それらの者は、契約による民事上の監督よりも重い監督を、すでに国から受けているため、改めて委託先の監督に関する契約を取交わすことは必須ではないと言えます。

6-4 印刷業者が、お客様から多数の住所データを預かり、それを元に年賀状等を印刷する場合、情報主体への同意はどう取ればいいですか。

貴社はJIS Q 15001要求事項3.4.2.5により取得する立場ですので、利用目的を通知又は公表する必要があります。これは必ず実施しなければなりません。
貴社は本人の同意を得る立場ではありませんが、そのかわり、原則として、その個人情報が適切に取得されたものであるかどうかを確認する必要があります。

  1. お客様が個人の場合
    おそらくそれは「事業の用に供している個人情報」ではないと考えられますので、そのお客様に個人情報保護法上の義務はありません。
    したがいまして、お客様は、そもそも本人の同意を得る義務を負っていません。わざわざ貴社が確認する必要はありません。
  2. お客様が企業の場合
    事業の過程において名刺等により取得した個人情報であろうと思われますが、このような慣例風習への使用は名刺としての通常の利用方法であり、取得の状況からみて利用目的が明らかであると認められる場合(3.4.2.5のd)に該当し、目的外利用にはならないと考えてよいと判断します。
    その場合、お客様は、3.4.2.7のe)により、本人に利用目的を明示、通知又は公表する必要もありません。貴社が確認する必要はありません。
    ただし慣例風習に名を借りた販促DMであるような場合は目的外利用の可能性があるため、お客様のHP等で利用目的が通知又は公表されているか確認すると共に、お客様に目的外利用でないかどうか確認してください。

6-5 当社では、社員の個人所有のパソコンを社内で使用し、文書作成、管理分析などを行う場合があります。
個人所有のパソコンを社内で使用していて問題はありませんか。

講じ得るリスク対策は、事業者の規模や業務内容によって異なりますので、社員の個人所有のパソコンを業務用に使用することを許可しているからといって、一概に駄目とは申しません。
ただし、Winnyなどのファイル共有ソフトを通じて機密情報が流出する事例やマルウェアによるサイバー攻撃などが続出していることを考えると、個人所有のパソコンを業務に使用させる上でのルールを厳守させるとしても、その残存リスクは非常に大きいと言えます。
したがって、監査だけでなく、少なくともJIS Q 15001要求事項3.7.1に基づき、定期的に運用の確認を行うことを実施しなければ、プライバシーマークの審査では、個人所有のパソコンの業務使用について、最低限の安全管理措置が実施されているとは評価できません。
大きな残存リスクがあることを認識した上で、それが顕在化しないできる限りの措置(貴社として、できる限りの措置)を講じてください。

6-6 A社とB社はそれぞれ独立した企業であるが、同一ビルの同一フロアーを共同で借りて事業を行っています。 両社の使える範囲を取り決めてはいるものの、間には仕切りがなく、会議室や作業台等はお互いに共有して使用していますが、審査で問題になることはありますか。

一つのフロアーを共有することのリスクをどう評価し、どう対策を講じるかという問題になります。
事業者によって取扱う個人情報の内容も、業務内容や規模も異なりますので、講じ得る対策も異なります。
全事業者一律の対策を求めるようなことはしていません。
規模や業務内容に相応しい対策を講じていると評価できるかどうかは、審査員が現場を見て判断します。

6-7 ストレスチェック制度により個人情報を取得する場合、どのような対応が必要ですか。

ストレスチェック制度に係る個人情報の取扱いについては、以下のページを参照してください。

ストレスチェック制度に関する参考情報

6-8 災害時において負傷した社員の個人情報を救急隊に提供してしまいましたが、問題はありませんか。

災害時の個人情報の取扱いについては、以下のページを参照してください。

災害時の個人情報の取扱い

7 その他

7-1 当社はプライバシーマークの付与事業者ですが、今後ISMSの認証取得を考えています。
そこで、二冊のマニュアルにすると管理が大変だと考え、一冊にまとめて統合のマニュアルにしようと考えていますが、審査で別々にするように指摘されますか。

JIS Q 15001に付属する解説の解12ページの「3.5.2 文書管理」の項に、
「文書類は、事業者によって実施される他のシステムの文書と統合されることがある。」
と明記されていますので確認してください。
別々にするよう指摘することはありません。

7-2 社員に対して秘密情報保持誓約書に署名するよう申し入れがありました。

1. その条文の秘密情報には、顧客の個人情報だけでなく会社の知的財産や人事、財務に関する情報なども含まれています。
2. 秘密情報に漏洩等があった場合、過失であったとしても懲戒解雇でき、会社が負う一切の損害を当該社員が賠償する、となっています。
3. プライバシーマーク取得には、このような内容の誓約書が必要ですか。

1.について
企業は様々な法律により規制を受けており、個人情報保護法やプライバシーマークにさえ適合すればよいといった社内ルールの作り方は本来望ましくありません。個人情報は、企業が守るべき情報の一つに過ぎません。当該企業が、個人情報保護体制の構築を機に、社内の機密情報の保護体制そのものを見直すことは当然とも言えます。

2.について
故意や過失に基づいて、社員に損害の賠償を請求したり懲戒の対象とすることは可能です。
ただし、損害賠償額を予定したり、違約金を定めたりするのは、労働基準法第16条に違反します。
法令違反の誓約書を締結する会社には、むしろプライバシーマークの付与はできないと言えます。

3.について
誓約書が必要かどうかについては、公開しております下記のガイドラインを参照してください。
JIS Q 15001:2006をベースにした個人情報マネジメントシステム実施のためのガイドライン[第2版](関連基準等ページへ)
こちらの「3.4.3.3 従業者の監督」の項に記述していますが、就業規則の中に、個人情報を含む機密情報の非開示について定めがあれば、あえて誓約書を取る必要はないと考えています。
もし会社と社員との間に全く何も取決めがない場合は必要になりますが、通常は、就業規則の中に定めてあると思われます。

(平成29年5月30日改訂)

7-3 マイナンバー制度施行により事業者が対応しなければならないことは何ですか。

特定個人情報の取扱いの対応については、以下のページを参照してください。

マイナンバー対応について

ページトップへ戻る