データ内容の原則 【Pマーク8原則シリーズ その2】

プライバシーマーク（Pマーク）の根本原則であるOECD8原則の2つ目は「データ内容の原則」です。今回の記事ではこの原則について考えたいと思います。

データ内容の原則（Data Quality Principle）とは

データ内容の原則とはこのような内容です。

「個人データは、その利用目的に沿ったものでなければならず、かつ、利用目的に必要な範囲内で正確、完全であり、最新の状態に保たれなければならない。」

プライバシーマーク（Pマーク）取得会社は、この原則に調和して自社の個人情報保護に関連するすべての方針や規定、手順を策定・更新しなければなりません。

解説

この原則は取得する個人情報の“内容”がどのようなものであるべきかという部分に指針を与えるものとなっています。

まず個人情報の内容が「その利用目的に沿ったもの」でなければならないとされている点に注目してください。

取得方法が適正だからといって、あるいは利用目的をちゃんと定めているからといって、関係ない種類の個人情報まで収集してはならないということなのです。

あるプライバシーマーク（Pマーク）取得会社が事務所への入退室管理のために入口受付で来訪者に個人情報を記入させるとします。氏名や所属会社名を記入させるのはわかりますが、もし生年月日の記入まで求めているとしたらどうでしょうか。はたしてその内容は、事務所にだれが入館したかを把握するという本来の利用目的に沿ったものと言えるでしょうか？

繰り返しになりますが、プライバシーマーク（Pマーク）取得会社はあくまで利用目的にかなう内容の個人情報のみを保有するようにしなければなりません。

続いてデータ内容の原則では個人情報の内容の質を維持するための3つの条件が掲げられています。

第一に「正確」であること。間違いを含んだ個人情報を持っていると、その個人情報を使って提供する予定のサービスに支障が及びますし、お客様にも被害が及びかねません。個人情報を取得する際はくれぐれも正確に入力するようにすべきです。

第二に「完全」であること。正確であることと意味は似ているのですが、どちらかというと取得後に管理している中で不正なアクセスによる個人情報の改ざんなどが生じないように保護する必要があるという点に眼目を置いた表現のようです。

第三に「最新の状態」であること。取得当初は正確な情報であっても、個人情報の本人を取り巻く状況が時間とともに変化するにつれ情報が古くなってしまうこともあります。このようなことにならないように個人情報は定期的に更新しなければなりません。

正確・完全・最新の状態を保つためにどのような手順をどのような頻度で実施すべきかは、各プライバシーマーク（Pマーク）取得会社が「利用目的に必要な範囲内で」決定していくこととなります。

Pマークとの対応

データ内容の原則はプライバシーマーク（Pマーク）の中の以下の項目で適用されています。

3.4.3.1　正確性の確保

まとめ

常に正確な内容であるよう個人情報を守ることは、個人情報を漏えいなどの危機から守ることと並んで重要なことですし、プライバシーマーク（Pマーク）の主要な目的の一つでもあります。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】