2007/10/21 日曜日 07:28:56 JST |
「個人情報保護マネジメントシステム」の構築に向けて(第10回)
~内部規定の作成(第7回)~
f)個人情報の取得、利用及び提供に関する規定
"JIS 3.4.2取得、利用及び提供に関する原則"に規定された事項である。
この規定は、個人情報の取得、利用及び提供において"個人の権利を保護"するために、取得、利用及び提供の手順を規定するものである。
規格の3.4.2(3.4.2.1~3.4.2.8)に要求された事項を、貴社が実際に取扱う個人情報に基づいて、その実施手順を5W1Hを盛り込んで、規定として作成する。
これらの手順を規定化した場合、規程のボリュームがかなり大きくなると考えられ、幾つかの規程に分けた方が良い。
この内部規程においては、貴社が行っている業務において、規格の要求事項を"適用する場面が無い"、または、"行わないと決めている"場合(例えば、本人へのアクセスは行なわない、目的外利用は行なわない、第三者提供は行なわない、委託は行なわない等、行なわないと決めている場合)は、前述の「個人情報保護基本規程」の中でその旨を明示して、「個人情報の取得、利用及び提供に関する規定」の中には詳細の手順を含めなくても良い。
手順書としては、基本的には、JISの規格の要求事項に沿って、貴社の手順書として5W1Hを意識して、また実施における責任と権限も明確にして記述する。
また、「個人情報保護マネジメントシステム実施のためのガイドライン(実施のためのガイドライン)」においては、社内における手続き上で承認等を必要とする部分を定め、その承認者を「個人情報保護責任者」とするように要求しているので、「実施のためのガイドライン」を確認して手順を作成する。
先ず、JIS3.4.2(3.4.2.1~3.4.2.8)に要求された事項を貴社の規定に展開するに当たっての全体的な留意点を述べる。
① 例外事項(規格の中で「ただし、・・・、この限りではない。」というような表現がされている条項)については、例外事項の適用という観点に立てば、貴社のしかるべき責任者(個人情報保護管理者)が例外事項の適用の適否を判断して承認すべきであり、そのための手順を盛り込む。
② 新たに個人情報を取得しようとする場合は、業務の担当者が起案し、それを個人情報保護管理者が確認・承認を行なうことが多いが、その場合、前述の"a) 個人情報を特定する手順に関する規定"で述べたように、先ず社内で、「本人から直接書面によって取得する場合」及び「それ以外の場合」の夫々の場合に対する、社内で承認を得るための"申請書"を作成するのが良い。
その中で、取得する対象者や取得する"個人情報項目"、"取得の方法"、"個人情報の利用目的"、"提供や委託の有無"、本人から直接書面によって取得する場合には"書面により本人へ明示(通知)するための具体的方法"と"書面による同意を得る方法"等を明確化して承認を得る。
特に、JISの規格に示された例外事項を適用する場合は、"申請書"の中で明確化して、確認・承認を得るのも良い方法である。
また、"申請書"の中に、前述の"a)個人情報を特定する手順に関する規定"で述べたように、「個人情報管理台帳」に記載すべき項目である"保管場所"、"保管方法"、"アクセス権限を有する者"、"利用期限"、また、それに加えて、保有する個人情報の"件数"やその個人情報が"開示対象個人情報か否かの区分"等も含めて記載できるようにするのが良く、それらについても同時に個人情報保護管理者の確認・承認を得るのが良い。
以下に、規格の要求項目毎に概要を示す。
3.4.2.1:利用目的の特定
利用目的の特定に関する貴社の基本的な考え方は「個人情報保護基本規程」に盛り込むと良い。
実際の利用目的の特定は、下記に述べる「個人情報の取得申請書」の中で行なうのが良い。
個人情報を取得する前に、利用目的をどのように特定し、社内の承認を得てゆくのかを手順として規定する。
実際の運用に当たっては、利用目的としては、出来る限り具体的に特定することが必要である。
具体的の程度については、経済産業省ガイドラインを参照すること。
3.4.2.2:適正な取得
適正な取得に関する貴社の基本的な考え方を「個人情報保護基本規程」に盛り込むと良い。
3.4.2.3:特定な機微な個人情報の取得、利用及び提供の制限
規格の趣旨は、基本的には「特定の機微な個人情報の取得、利用及び提供」を行わないことを求めており、それらを行なう場合は、例外と考えて行なうということである。
従って、例外事項であるから、上述のように貴社のしかるべき責任者(個人情報保護管理者)が例外事項の適用の適否を判断して承認した上で実施すべきであり、そのための手順を盛り込む。
規格では、"特定の機微な個人情報の取得、利用又は提供"については「明示的な本人の同意」を得ることを求めている。
特定の機微な個人情報の取得(利用又は提供)に関しての「明示的な本人の同意」の取得の方法としては、他の個人情報(基本的な、住所、氏名等)を取得する時に、"特定の機微な個人情報"に関しても含めて同意を取得する場合と、"特定の機微な個人情報"を取得するその都度、それぞれに対し同意を取得する方法が考えられる。貴社が業務上で実施する手順を規定する。
ここで、「明示的な本人の同意」とは、どのような同意かを考えておく必要がある。
JISの解説3.4.3では、「明示的な本人の同意」とは「書面による本人の同意をいう」と示されている。
しかし、JIS解説3.4.4では、直接書面により一般の個人情報を取得する場合も"同意は、書面による同意が原則である"と示しており、"特定な機微な個人情報"も"一般の個人情報"も個人情報を取得する際には原則的には「書面による本人の同意」が必要である。
しかし、全く同じかというと、"特定の機微な個人情報"は、本人が人に知られたくない情報であること等を考えれば、自ずと違いはあるはずである。
"明示的な"の言葉を厳しく解釈し、通知内容として"取得する情報名やその利用目的"をより明確かつ具体的に示し、本人が自分の機微情報がどのように利用されるのかを明確に認識し、それに納得した上で同意の意思を明確に表明した後に、個人情報の提供(取得)が行なわれるようにすべきであろう。
また、口頭で"特定の機微な個人情報"を取得(利用又は提供)する場合も「明示的な本人の同意(書面による本人の同意)」の対象となるが、状況により「明示的な本人の同意」を得ることが難しい場合も考えられ、"個人の権利を如何に保護してゆくか"の観点から、貴社における対応を考えてゆくべきである。(JISの規格ではそこまでは明確に規定していない。)
本人から直接書面により、他の個人情報(基本的な、住所、氏名等)を取得する時に一緒に"特定の機微な個人情報"も含めて取得する場合には、次の3.4.2.4に基づく、本人から直接書面により取得する場合の手続きに含めて、"特定の機微な個人情報"の取得(利用又は提供)に対する「明示的な本人の同意(書面による本人の同意)」を得てゆくことを、手順として明確にする。
尚、3.4.2.4に基づく本人への通知において"特定の機微な個人情報"についての取得(利用又は提供)に関しても含める場合は、前述のごとく、本人が明確に認識できるように明示的に示すことが必要である。
個別に"特定の機微な個人情報"を取得する場合に対しても、新たな個人情報の取得として、「明示的な本人の同意(書面による本人の同意)」を得てゆく手順を規定する。
労働安全衛生法で定められた範囲の健康診断書の取得に関しては、法に基づく例外事項として、取得に際しての本人の同意は必要ないが、採用前の健康診断書、病欠時の医者の診断書の提出や運転免許証のコピーの取得(本籍地が記入されている)等は法的な要求事項ではないため、本人の同意の対象となるので注意を要する。
また、機微な個人情報の利用及び提供においても特別の注意が払われるべきであり、本人の同意が得られているからと言って、担当者ベースで自由に行なわれて良いものではなく、利用及び提供の都度、貴社のしかるべき責任者(個人情報保護管理者)が判断して承認するべきであろう。
健康情報の取扱いについては、その取得が法に基づく/基づかないに係らず、上記に加えて厚生労働省の告示「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項について」に示された要求事項を貴社の手順書に取り込むことも必要である。
(中小企業診断士 中村 隆昭)
|