企業法務

企業法務について、みんなに相談したり、分かるときは教えてあげたりと、相互協力のフォーラムです！

JIQ 15001 3.4.2.2の件でご教授願います！

最終更新日:2012年07月23日 11:09

プライバシーマーク（JIS Q 15001:2006）の規格及び
実運用について詳しい方、お教えいただけますと幸いです。

プライバシーマーク審査におきまして、次のような指摘を
受けて対応中です。

----------------
要求事項「3.4.2.2」（適正な取得）
（個人情報の）提供元又は委託元が個人情報を適切に
取り扱っていることを確認している記録がない。
----------------

個人情報取り扱いにおける規程の中では、概ね以下の通り
定めております。

----------------
本人以外からの取得や受託による取得の場合は、
提供元又は委託元が個人情報を適正に取り扱っている
ことを確認する努力を怠ってはならない。
※努力とは、WEBサイト等で確認することを含む。
----------------

ここで、実際の運用として、「努力」した結果を
記録として残していらっしゃる企業様はどのように
されているのでしょうか。

要求されていることは理解できますが、実際の運用で
そこまでできるものかと疑問に感じたためです。

現状で思い付く方法は、授受管理に使用する様式に
「努力」した旨のチェック欄を設けるぐらいですが、
形式上（めくらチェック）になるだけのような気が
しております。

効果的な運用をされている方がいらっしゃいましたら
ぜひご教授いただけないでしょうか。

プライバシーマークにおける運用について詳しい方
よろしくお願い致します。

返信相談を新規投稿する

Re: JIQ 15001 3.4.2.2の件でご教授願います！

著者rentoさん

2012年07月24日 11:26

やり方はいろいろですが、口頭で確認は難しいので「決まりなんでこの書類書いてもらえますか？」としたほうが楽です。
「提供」「委託」を受ける際に書面で確認し、保存すれば良いでしょう。

依頼を受ける際、「取得する個人情報を適切に取り扱っている」というチェック項目のある書類を書いてもらうとか、契約書面に「提供する個人情報は適切に取り扱っている」という内容の文言を入れるなど、書面として残る何かがあれば良いでしょう。

単純なのは「個人情報の提供を受ける際に取り交わす様式」を作っておいて（簡単なチェック欄でも良い）、必ず相手に記入してもらって、保管できるようにする事です。
他にも受託に必要な項目を集めてアンケートのような形でも良いでしょうね。

ちなみに審査官に「例えばどんなやり方があるか」聞いてみても良いですよ？
よくある具体例くらいは聞いたところでコンサル行為にはなりませんから。

>形式上（めくらチェック）になるだけのような気がしております。

仰るとおりですが、それでも無ければ審査には通りません。
まずは制度化して、その上で残存リスクとして認識していれば審査はクリアです。
それ以上の努力は、任意のものでしょう。

------------------------------------------------------
> プライバシーマーク（JIS Q 15001:2006）の規格及び
> 実運用について詳しい方、お教えいただけますと幸いです。
>
> プライバシーマーク審査におきまして、次のような指摘を
> 受けて対応中です。
>
> ----------------
> 要求事項「3.4.2.2」（適正な取得）
> （個人情報の）提供元又は委託元が個人情報を適切に
> 取り扱っていることを確認している記録がない。
> ----------------
>
> 個人情報取り扱いにおける規程の中では、概ね以下の通り
> 定めております。
>
> ----------------
> 本人以外からの取得や受託による取得の場合は、
> 提供元又は委託元が個人情報を適正に取り扱っている
> ことを確認する努力を怠ってはならない。
> ※努力とは、WEBサイト等で確認することを含む。
> ----------------
>
> ここで、実際の運用として、「努力」した結果を
> 記録として残していらっしゃる企業様はどのように
> されているのでしょうか。
>
> 要求されていることは理解できますが、実際の運用で
> そこまでできるものかと疑問に感じたためです。
>
> 現状で思い付く方法は、授受管理に使用する様式に
> 「努力」した旨のチェック欄を設けるぐらいですが、
> 形式上（めくらチェック）になるだけのような気が
> しております。
>
> 効果的な運用をされている方がいらっしゃいましたら
> ぜひご教授いただけないでしょうか。
>
> プライバシーマークにおける運用について詳しい方
> よろしくお願い致します。

返信相談を新規投稿する

Re: JIQ 15001 3.4.2.2の件でご教授願います！

rento様

ありがとうございます。

やはり決まりなので何らかの記録または書面として
残しておくのが良いようですね。

実際にどの程度実行することができるのかを検討し、
そのうえで理想とのギャップを残存リスクとして認識
することとします。

> 契約書面に「提供する個人情報は適切に取り扱っている」
> という内容の文言を入れる

というのは、継続的に受託する場合に毎回は大変なので
とても良い方法だと思いました。

勉強になりました。

> やり方はいろいろですが、口頭で確認は難しいので「決まりなんでこの書類書いてもらえますか？」としたほうが楽です。
> 「提供」「委託」を受ける際に書面で確認し、保存すれば良いでしょう。
>
>
> 依頼を受ける際、「取得する個人情報を適切に取り扱っている」というチェック項目のある書類を書いてもらうとか、契約書面に「提供する個人情報は適切に取り扱っている」という内容の文言を入れるなど、書面として残る何かがあれば良いでしょう。
>
> 単純なのは「個人情報の提供を受ける際に取り交わす様式」を作っておいて（簡単なチェック欄でも良い）、必ず相手に記入してもらって、保管できるようにする事です。
> 他にも受託に必要な項目を集めてアンケートのような形でも良いでしょうね。
>
>
> ちなみに審査官に「例えばどんなやり方があるか」聞いてみても良いですよ？
> よくある具体例くらいは聞いたところでコンサル行為にはなりませんから。
>
>
> >形式上（めくらチェック）になるだけのような気がしております。
>
> 仰るとおりですが、それでも無ければ審査には通りません。
> まずは制度化して、その上で残存リスクとして認識していれば審査はクリアです。
> それ以上の努力は、任意のものでしょう。
>