プライバシーマークの準拠規格であるJIS Q 15001の各要求事項について解説していきます。今回は「3.4.4.1 個人情報に関する権利」です。
a) 当該個人情報の存否が明らかになることによって,本人又は第三者の生命,身体又は財産に危害が及ぶおそれのあるもの
b) 当該個人情報の存否が明らかになることによって,違法又は不当な行為を助長し,又は誘発するおそれのあるもの
c) 当該個人情報の存否が明らかになることによって,国の安全が害されるおそれ,他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの
d) 当該個人情報の存否が明らかになることによって,犯罪の予防,鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれのあるもの
この要求事項で重要なのが「開示対象個人情報」の意味を正しく理解することです。
定義は2つの部分に分かれます。
1)「電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理,分類し,目次,索引,符合などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報」
2)「事業者が,本人から求められる開示,内容の訂正,追加又は削除,利用の停止,消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの」
1)はザックリと理解すれば良いでしょう。データベース化される等によって検索できること、のような感じでしょうか。
2)は分かりにくいのですが、「直接書面取得」した個人情報と理解すれば大半はカバーできます。第三者から提供を受けた個人情報もこれに該当する場合があります(委託を受けた個人情報等は該当しません)。「すべてに応じることができる権限を有するもの」の解釈によっては殆ど全ての個人情報は開示対象個人情報に該当しないと考えることも可能ですが、これはあまり適切ではありません。
以前当社の顧問先が「監視カメラの画像データも開示対象個人情報に該当するため、必要な公表措置を講じること」というトンデモない指摘を受けました。本当に恐ろしいですね。一度JIS規格をきちんと読むようにと言いたかったです。
最後に、開示対象個人情報は保護法が定める「保有個人データ」とは少し異なる部分があるので注意が必要です。保有個人データは6カ月以上保有していることも要件となりますが、開示対象個人情報の場合は保有期間が6カ月未満でも開示等の請求に対応する必要があります。また言わずもがなですが、該当するデータベースが5000件以上かどうかは全く関係ありません。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ