Pマーク改訂で変わった個人情報の取り扱い
昨今、情報技術の進化に伴い個人情報の扱い方も以前よりも厳重になってきました。Pマーク改訂も「改正個人情報保護法」への対応であり、いくつかの項目が盛り込まれています。
今回は、どのような改訂があったのかということについて情報をピックアップしてご紹介していきましょう。
個人情報の取扱強化
法律の改正にともなって、Pマーク改訂では個人情報の取扱に関するガイドラインが強化されています。
要配慮個人情報の取扱いの強化
「要配慮個人情報の取扱」では、通常の個人情報よりも扱いが厳しくなりました。「特定の機微な個人情報」と同様に取り扱う必要があると新たに定められたのです。
要配慮個人情報とは、
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により害を被った事実
のことですが、これらを身体・精神障害や宗教信仰のような一般的に人にあまり知られたくないであろう個人情報と同様に扱う必要があると改定されました。
個人データ消去の努力義務の追加
個人データの消去は、法律上はあくまで努力義務なので、必ず削除しなければならないということではありません。しかし、Pマークを取得するためには保管期限が過ぎた個人情報は消去し、消去したことを記録する必要があると改訂されました。
第三者への個人情報提供の規制強化
第三者へ個人情報を提供する制度として、オプトアウトというものがあります。オプトアウトとは、事前に第三者提供を行う通知をしておくことで、本人の許可なく第三者に個人情報を提供できる制度です。
今回のPマーク改訂における「オプトアウト規制の強化」では、提供に際して本人に通知する事項の個人情報保護委員会(国)への届け出などを義務付けており、個人情報取得時の但し書きの規格も変更されています。
また、「外国事業者への第三者提供」という項目が追加されており、外国事業者に対しては本人の同意なしに個人情報の提供ができないようになったのです。情報化が築き上げたグローバル社会に対する対応と言えるでしょう。
ビックデータビジネスにも要注意
情報技術の進歩で、どこの誰がどのような商品を購入したのか簡単に集めることができ、その大量のデータのことをビックデータといいます。このビックデータを使ったビジネスなども多く登場しており、とあるポイントカードの規約などでは、そのビックデータを第三者に提供することで利益を得ています。この他にもインターネット上の閲覧履歴や購買履歴はクッキーを活用して取得されていますね。
そこで登場するのが、「匿名加工情報の取扱」です。Pマーク取得事業者はビックデータビジネスをする際、自分たちで集めてきたビックデータの中にある個人情報を特定の個人が識別できないように加工する必要があります。これを「適切な加工」といいますが、個人情報保護法の36条によれば、事業者は以下のように情報を加工する必要があります。
- 特定の個人を識別することができる記述等の全部又は一部を削除(氏名など)
- 個人識別符号の全部を削除すること(顔画像や指紋等)
- 個人情報と他の情報とを連結する符号を削除すること(IDなど)
- 特異な記述等を削除すること(年齢:121歳のように数名に絞り込める情報)
- 上記のほか、個人情報とデータベース内の他の個人情報との差異等の性質を勘案し、適切な措置を講ずること
Pマークの改訂では、法律でいうところの「適切な加工」に則って、指定された手順に従った規定を作成する必要があるということが追加されました。
まとめ
Pマークは企業がプライバシーをきちんと守ることを示す記号であり、ユーザーもそれを信用して個人情報を渡しています。この情報化社会、個人情報流出は一瞬で広がってしまうものであり、ちょっとでも個人情報の取扱を間違ってしまえば、社会問題へと発展してしまう場合も。
これだけ情報が価値を持つ時代ですから個人情報の取扱は、事業を営む者としての義務とも言えます。その義務を果たせない企業は、既存ユーザーの信頼を損なうだけでなく、社会的な信用も損失してしまいます。個人情報の取扱はそれくらいシビアなものなのだと意識を高めて注意しましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい