fbpx

情報セキュリティにまつわる
お役立ち情報を発信

責任の原則 【Pマーク8原則シリーズ その8】

 

プライバシーマーク(Pマーク)の根本原則であるOECD8原則の最後は「責任の原則」です。今回の記事ではこの原則について考えたいと思います。

 

責任の原則(Accountability Principle)とは

責任の原則とはこのような内容です。

「データ取扱者は、上記の諸原則を実行するための措置を遵守していることについて説明責任を負うものとする。」

プライバシーマーク(Pマーク)取得会社は、この原則に調和して自社の個人情報保護に関連するすべての方針や規定、手順を策定・更新しなければなりません。

 

解説

個人情報保護におけるデータ取扱者の責任を示しているのがOECD8原則の最後の原則ですが、ここでいう「データ取扱者」とは個人情報を取り扱っている事業者を指し、もちろんそこにはプライバシーマーク(Pマーク)取得会社も含まれます。

しかしOECD8原則の他の翻訳を見ますと、この「データ取扱者」が「管理者」と翻訳されており、責任の原則が事業者自体の責任というより事業者内で任命された個人情報保護管理責任者の責任を示したものであると解釈する余地を残しています。

プライバシーマーク(Pマーク)の規格の定義でも「管理者」とは一貫して事業者の内部で指名された個人情報保護マネジメントシステムの責任者であるとされています。

なお個人情報保護法には組織内の個人情報保護管理責任者が負うべき義務に関して明確に記されている箇所はありませんが、何らかの法律違反による個人情報のトラブルが発生した場合に個人情報保護管理責任者にも罰則が適用される可能性があることは示唆されています。

話が脇道にそれましたので本題に戻ります。責任の原則では実行する責任の内容を「上記の諸原則」と表現しています。

「上記の諸原則」とはこれまでの記事で取り上げた原則のことであり、一番目から順に挙げると、「収集制限の原則」、「データ内容の原則」、「目的明確化の原則」、「利用制限の原則」、「安全保護の原則」、「公開の原則」、「個人参加の原則」です。

データ取扱者は上記のすべての原則に対してルールを設け、それを実行する義務を負います。

またその義務の履行に関してお客様や取引先から苦情があった場合は責任を持って説明し、対応し、必要ならば是正処置を講じなければなりません。

 

Pマークとの対応

責任の原則はプライバシーマーク(Pマーク)の中の以下の項目で適用されています。

3.3.4 資源,役割,責任及び権限
3.6 苦情及び相談への対応

 

まとめ

いかがだったでしょうか。今回までの記事でOECD8原則を一つずつご紹介しました。

シリーズの最初の記事で「結局のところPマークって何が求められているの?」という問題提起をさせていただきましたが、つまるところプライバシーマーク(Pマーク)の要求事項はOECD8原則に要約することができるということなのです。

どんな活動においても言えることですが、根本にある原則を見据えて判断できる人は、目先の必要や手段に迷わされることなく目的に向かって正しい選択をしつつ行動することができます。

それと同じようにOECD8原則を常に念頭に置いて考え、行動するなら、プライバシーマーク(Pマーク)関連の業務に当たるときも目的を見失わない取り組み方ができるはずです。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る