よくあるご質問

TOP > よくあるご質問 > 2.PMS構築・運用

2.PMS構築・運用

1 受託

1-1 JIS Q 15001「A.3.4.2.3 要配慮個人情報」では、明示的な本人の同意が必須となっています。
当社の業務形態上(受託)、本人の同意が難しいのですが、どう対処すればよいですか。

受託により要配慮個人情報を取得した場合については、その受託者は本人の同意を得る必要はありません。
受託者は委託者の監督を受けており、契約の範囲内に限られた管理しかできません。
受託者が同意を得るために本人に連絡をとるといった行為は、むしろ契約に定められた利用目的を逸脱する目的外利用であって、契約違反になります。
本人からの同意の取得は、委託者側が責任を負うべきことです。

2 教育

2-1 パート・アルバイトにも個人情報保護教育を実施し、教育後の試験では、基準以下は再試験ということで規定していますが、アンケート調査の委託調査員の場合、2週間程度の短期間の雇用になります。
このような短期雇用の方にも試験や再試験を実施しなくてはいけないのでしょうか。

教育は、従業者全員一律である必要はありません。
パート・アルバイトだからといって、一律に同じ試験や再試験も含めた教育を実施しなければならないものではありません。
しかし、従業者の方たちが、それぞれ担当する業務を実施するにあたり、必要かつ十分な教育を実施するようにしてください。

3  監査

3-1 JIS Q 15001のA.3.7.2(内部監査)について 直接に個人情報の取扱いに従事しない部門であっても、監査の対象となりますか。

直接に個人情報の取扱いに従事しない部門であっても、従業者の情報、名刺の情報などに接する可能性はある以上、監査は必要です。

3-2 JIS Q 15001では、監査役も従業者という定義になっていますが、B.3.4.3.3(従業者の監督)では「監査役に対する監督を実施する場合には(中略)取締役などの業務執行者による監督は、内部監査の独立性が害されるため監督したことにならない。」となっています。
監査役に対する個人情報保護の適用範囲について教えてください。

教育も監査も対象となります。

ただし、監査役は取締役等業務執行者の指揮命令を受けないため強制することはできず、監査役が教育や監査を受けていなくても不適合ではありません。

3-3 プライバシーマーク付与事業者として監査を行っていますが、個人情報取扱部署は全て監査対象部門として取扱う主旨から、内部監査部門(内部監査室)に対して個人情報保護監査を実施することにしました。
以下のように監査を実施した場合にJIS規格上で言う適正な監査が実施されたことになるか、教えてください。
1.監査担当者は内部監査室以外の社員が担当する。
2.任命は監査責任者が行う。但し、監査責任者は内部監査室長が兼務している。

問題ありません。

4 個人情報保護管理者

4-1 申請の際に必要な「個人情報保護管理者」というのは、どのような資格が必要ですか。
資格が無くても、社内で定めた人物が、責任者として個人情報の保護と管理を担っていれば良いですか。

「個人情報保護管理者」は、JIS Q 15001の3.40の記載以外に要件はありません。
また、特定の資格が必要ということはありません。

5 個人情報保護監査責任者

5-1 代表者は、個人情報保護監査責任者になれますか。

事業者の代表者は、個人情報保護監査責任者は兼ねることはできません。個人情報保護管理者を兼ねることは可能です。
従業者の少ない小規模事業者にあっては、体制の確立が難しい場合がありますが、代表者は、経営資源の分配等を通じて、体制の整備・運用に主体的に関与するわけであり、監査についても代表者が行うとなると、監査の第三者性・客観性が担保されるかどうか疑問となり、監査に実効性があると評価できなくなります。
したがって、プライバシーマーク制度では、代表者が個人情報保護監査責任者を兼ねることを禁止しています。

なお、個人情報保護監査責任者の指名については、JIS Q 15001の3.41において「トップマネジメントによって組織内部に属する者の中から指名されたものであって(略)監査の実施及び報告を行う責任及び権限をもつ者」とあり、またB.3.3.4には「個人情報保護監査責任者は、社外に責任をもつことができる者(例えば、役員クラス)であって、個人情報保護管理者と同格又は上席者の中から指名されることが望ましい。」と記載されておりますので、事業者の社会保険・労働保険に加入した正社員または登記上の役員(ただし監査役を除く)が適切です。

6 個人情報の取扱い

6-1 法人顧客の担当者名で検索できるデータベースがあります。
代理店経由で法人顧客を得た場合、担当者が退職などで変わったときも、開示等請求は旧担当者本人からでないといけないのでしょうか。

本人からの開示等の求めがなければデータベースを修正できないということではありません。
データベースの正確性を期するため必要であるならば、「A.3.4.3.1 正確性の確保」に基づき、事実と異なる場合は自ら訂正すればよいのです。

6-2 当社では、安全衛生法に基づき、産業医との契約を結んでいます。
しかしながら、産業医については個人契約の場合が殆どのため選考基準の適用(当社の場合、プライバシーマーク取得、規定等の文書化によるPMSの構築等)が困難な場合があります。
そのため、当社では、次の法令の観点から、産業医については医師という職務を考慮し、個人情報に関する選定基準を緩和すべきと考えていますが、事例等はありますか。

原則どおり実施することが望ましいには違いありませんが、国家資格がなければできない業務で、かつその資格を持つ者に対して法律により守秘義務が課されており、違反者には資格剥奪の処分だけでなく懲役や罰金といった刑罰が科される可能性がある場合、それらの国家資格を有していれば、それだけで委託先選定基準を満たしていると考えてよいでしょう。
それらの者は、契約による民事上の監督よりも重い監督を、すでに国から受けているため、改めて委託先の監督に関する契約を取交わすことは必須ではないと言えます。

6-3 A社とB社はそれぞれ独立した企業であるが、同一ビルの同一フロアーを共同で借りて事業を行っています。 両社の使える範囲を取り決めてはいるものの、間には仕切りがなく、会議室や作業台等はお互いに共有して使用していますが、審査で問題になることはありますか。

一つのフロアーを共有することのリスクをどう評価し、どう対策を講じるかという問題になります。
事業者によって取扱う個人情報の内容も、業務内容や規模も異なりますので、講じ得る対策も異なります。
全事業者一律の対策を求めるようなことはしていません。
規模や業務内容に相応しい対策を講じていると評価できるかどうかは、審査員が現場を見て判断します。

6-4 ストレスチェック制度により個人情報を取得する場合、どのような対応が必要ですか。

ストレスチェック制度に係る個人情報の取扱いについては、以下のページを参照してください。

ストレスチェック制度に関する参考情報

6-5 災害時において負傷した社員の個人情報を救急隊に提供してしまいましたが、問題はありませんか。

災害時の個人情報の取扱いについては、以下のページを参照してください。

災害時の個人情報の取扱い

7 その他

7-1 当社はプライバシーマークの付与事業者ですが、今後ISMSの認証取得を考えています。
そこで、二冊のマニュアルにすると管理が大変だと考え、一冊にまとめて統合のマニュアルにしようと考えていますが、審査で別々にするように指摘されますか。

別々にするよう指摘することはありません。
JIS Q 15001 「B.3.5.2 文書化した情報(記録を除く。)の管理」の項に、「文書化した情報(記録を除く。)は、組織によって実施される他のシステムの文書化した情報(記録を除く。)と統合してもよい。」と明記されていますので確認してください。

7-2 委託元から委託先の社員に対しても秘密保持誓約書に署名するよう申し入れがありました。
派遣社員に秘密保持誓約書に署名させたほうが良いのでしょうか。

就業規則の中に、個人情報を含む機密情報の非開示について定めがあれば、あえて誓約書を取る必要はないと考えています。
もし会社と社員との間に全く何も取決めがない場合は必要になりますが、通常は、就業規則の中に定めてあると思われます。

7-3 マイナンバー制度施行により事業者が対応しなければならないことは何ですか。

特定個人情報の取扱いの対応については、以下のページを参照してください。

マイナンバー対応について

ページトップへ戻る