取得への本音質問
過去に相談を受けた内容を公開します。是非、ご参考にしてください。
コメントは情報提供を目的として弊社の見解を示すものであることをご理解ください。
情報の正確性・完全性について保証するものではありません。
コメントは現時点でのものであり、今後変更される場合がございます。
プライバシーマークの取得において直接本人から取得する個人情報については明示的な同意が必要です。
しかし、ずっと以前から保有していてるデータについてはJIS要求事項(3.4.2.4 本人から直接書面によって取得する場合の措置)の内容を満たした内容で同意を得ていません。
実際に再度全員に同意書を送り、明示的な同意を取得することは非現実的であるため、Pマーク運用を始めた日からの同意取得で構いません。
同意を取得したことにはなりません。JISQ15001の要求事項の解説には下記のコメントがあります。
『通知後一定期間内に本人の応答が無い場合に同意があったものとみなすことも原則として不適切である。』
一人ではNGです。個人情報を保護するためのマネジメントシステムを構築・運用・監査する必要があるので最低でも3名は必要です。(経営者、個人情報保護管理者、個人情報保護監査責任者)
従業員を雇用し組織体としての実態があれば、個人事業主もプライバシーマーク付与の対象となります。
プライバシーマーク発足時は事業部認証でOKでしたが、現在は全社認証のみとなっています。理由としては、たとえばお客様の個人情報はしっかり守るがそれ以外の個人情報はしっかり管理しなくても良いということは、個人情報保護ポリシーの内容と矛盾するためと考えます。審査機関のQ&Aにも、申請は"法人単位”と明記されております。
現地審査は約6時間の長丁場です。下記は実際に審査官から案内メールの転記となります。このようなスケジュールで現地審査は行われます。
11:00~11:20
代表者、関係者挨拶
代表者へのインタビュー
【個人情報保護への取り組み、保護の体制、 マネジメントレビュー他について、代表者のお考えをお聞きする。】
11:20~15:50<途中、お昼休憩を1時間挟みます>
個人情報の取り組み状況確認・質疑
【御社の事業内容、取扱う個人情報の流れ(収集・利用・保管・外部委託・廃棄・返却等)について、個人情報保護管理者を中心に確認・質疑を行う。】
個人情報の取り組み状況確認・質疑
【御社の事業内容、取扱う個人情報の流れ(収集・利用・保管・外部委託・廃棄・返却等)について、個人情報保護管理者を中心に確認・質疑を行う。】
15:50~17:20
現場での運用状況の確認・質疑
【PMSに基づく運用が行われているか、記録類の 確認と合わせ、運用状況(特に安全対策等)の確認を行う。】
現場での運用状況の確認・質疑
【PMSに基づく運用が行われているか、記録類の 確認と合わせ、運用状況(特に安全対策等)の確認を行う。】
17:20~17:45
書類審査についての確認
書類審査についての確認
17:45~18:00
総評 審査終了挨拶
総評 審査終了挨拶
JISQ15001:3.4.2.4 「本人から直接書面によって取得する場合の措置」に準拠するために、直接取得する個人情報については本人の同意が必要となります。従業者においても雇用管理において個人情報の利用が発生するので本人の同意が必要となります。
なお、名刺交換については、相手先にアポイントの調整などで電話を行う行為であれば、例外事項の「取得の状況からみて利用目的が明らかであると認められる場合」にあたりますので同意は不要となります。
音声は個人情報です。通信販売事業者やコールセンターで音声録音を行っている事業者様が多くありますが、かならず審査上、録音を行うことについて本人の同意を得ているか確認されます。同意は電話を掛けてきた本人と電話のオペレーターの両方が必要となります。
