本人にアクセスする？【Ｐマーク取得の基礎知識】

プライバシーマーク（Pマーク）の基準となるJIS Q 15001という規格書には一見して理解しづらい箇所もあります。たとえば次のような項目があります。

「個人情報を利用して本人にアクセスする場合には，本人に対して4.4.2.4のa)～f)に示す事項又はそれと同等以上の内容の事項，及び取得方法を通知し，本人の同意を得なければならない」。

ここに「本人にアクセスする」という文言が出ていますが、これはいったいどういう意味でしょうか？

本人にアクセスする？

“アクセスする”などという言葉が使われているので難解に思えるかもしれませんが、実はいたって単純な話です。「本人にアクセスする」とは“個人情報を使ってその人に連絡を取ったりする”という意味です。そういうことをする場合にプライバシーマーク（Pマーク）取得会社は冒頭に引用した規定を実施してください、ということなのです。

でも考えてみると、事業のために個人情報を日々活用している会社にとっては、“個人情報を使ってその人に連絡を取ったりする”場面など無数にあるのではないでしょうか。とりわけダイレクトメール発送業者や営業目的で電話をかけるコールセンターなどにとっては日常茶飯事のようなものです。

そのような会社は、一件一件の連絡ごとにいちいち先ほどの規定を守らなければならないということなのでしょうか？ 必ずしもそうではありません。

ポイントは“まだ同意が得られていない”人にアクセスする場合

先ほどの規定を守らなければならない場合としてまず挙げられるのは、まだ同意が得られていない人に対して個人情報を使って連絡や接触を図るときです。

プライバシーマーク（Pマーク）取得会社においては、利用する個人情報を“取得する段階で”「こういった目的で利用しますよ」といった内容を本人に伝えておくべきなのが原則です。

したがってそのように適正に取得した個人情報については、後日その本人に電話したり郵便物を送ったりすることがあるとしても逐一先ほどの規定を気にする必要はないのです。

個人情報保護法にはない特殊な規定

本人にアクセスする場合の措置に関する規定はプライバシーマーク（Pマーク）の要求事項の中でも特殊なものです。

基本的にプライバシーマーク（Pマーク）が要求することというのは個人情報保護法という法律の要求に準じています。ですから取得していない会社であっても実はプライバシーマーク（Pマーク）の要求事項を実践しておくべき、という部分が少なくないわけです。

ところが本人にアクセスする場合の措置というのは別に個人情報保護法で規定されているわけではなく、それゆえに他の要求事項から見てある意味特殊な位置づけにあると言えるのです。

言い換えると、プライバシーマーク（Pマーク）を持っている会社はこのような部分をより意識的に順守することで、個人情報保護のレベルの高さをお客様や取引先に対して示していくことができるということなのです。

まとめ

それにしても本人にアクセスする場合の措置とは具体的に何なのでしょうか。また他にもこの規定を守る必要のないケースがあるのでしょうか。これらの点については機会を見つけてまた記事を更新する予定です。

今回の記事は「本人にアクセスする」という言葉の意味を少しでもつかんでいただければと思い、書かせていただきました。お役立ていただけましたら幸いです。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】