fbpx

情報セキュリティにまつわる
お役立ち情報を発信

本人にアクセスする?【Pマーク取得の基礎知識】

 

プライバシーマーク(Pマーク)の基準となるJIS Q 15001という規格書には一見して理解しづらい箇所もあります。たとえば次のような項目があります。

「個人情報を利用して本人にアクセスする場合には,本人に対して4.4.2.4のa)~f)に示す事項又はそれと同等以上の内容の事項,及び取得方法を通知し,本人の同意を得なければならない」。

ここに「本人にアクセスする」という文言が出ていますが、これはいったいどういう意味でしょうか?

 

本人にアクセスする?

“アクセスする”などという言葉が使われているので難解に思えるかもしれませんが、実はいたって単純な話です。「本人にアクセスする」とは“個人情報を使ってその人に連絡を取ったりする”という意味です。そういうことをする場合にプライバシーマーク(Pマーク)取得会社は冒頭に引用した規定を実施してください、ということなのです。

でも考えてみると、事業のために個人情報を日々活用している会社にとっては、“個人情報を使ってその人に連絡を取ったりする”場面など無数にあるのではないでしょうか。とりわけダイレクトメール発送業者や営業目的で電話をかけるコールセンターなどにとっては日常茶飯事のようなものです。

そのような会社は、一件一件の連絡ごとにいちいち先ほどの規定を守らなければならないということなのでしょうか? 必ずしもそうではありません。

 

ポイントは“まだ同意が得られていない”人にアクセスする場合

先ほどの規定を守らなければならない場合としてまず挙げられるのは、まだ同意が得られていない人に対して個人情報を使って連絡や接触を図るときです。

プライバシーマーク(Pマーク)取得会社においては、利用する個人情報を“取得する段階で”「こういった目的で利用しますよ」といった内容を本人に伝えておくべきなのが原則です。

したがってそのように適正に取得した個人情報については、後日その本人に電話したり郵便物を送ったりすることがあるとしても逐一先ほどの規定を気にする必要はないのです。

 

個人情報保護法にはない特殊な規定

本人にアクセスする場合の措置に関する規定はプライバシーマーク(Pマーク)の要求事項の中でも特殊なものです。

基本的にプライバシーマーク(Pマーク)が要求することというのは個人情報保護法という法律の要求に準じています。ですから取得していない会社であっても実はプライバシーマーク(Pマーク)の要求事項を実践しておくべき、という部分が少なくないわけです。

ところが本人にアクセスする場合の措置というのは別に個人情報保護法で規定されているわけではなく、それゆえに他の要求事項から見てある意味特殊な位置づけにあると言えるのです。

言い換えると、プライバシーマーク(Pマーク)を持っている会社はこのような部分をより意識的に順守することで、個人情報保護のレベルの高さをお客様や取引先に対して示していくことができるということなのです。

 

まとめ

それにしても本人にアクセスする場合の措置とは具体的に何なのでしょうか。また他にもこの規定を守る必要のないケースがあるのでしょうか。これらの点については機会を見つけてまた記事を更新する予定です。

今回の記事は「本人にアクセスする」という言葉の意味を少しでもつかんでいただければと思い、書かせていただきました。お役立ていただけましたら幸いです。

★こちらの記事もおすすめです!
【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る