プライバシーマーク審査基準改定対応コース

法律イメージの画像

2022年1月19日に、個人情報保護法の改正を踏まえた「個人情報保護マネジメントシステム構築・運用指針」(以下、「構築・運用指針」)が公表されました。
(参照) 構築・運用指針と審査基準(2022年4月1日~)/JIPDEC

2022年4月以降に申請した事業者は、新指針・改正法に基づいて審査が行われています。そのため、2022年4月以降に申請を行う事業者様は、新しい審査基準への対応が必須となります。

構築・運用指針とは

プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針(以下、「構築・運用指針」という。)は、プライバシーマーク制度が、JIS ならびに個人情報保護法へ対応した個人情報保護マネジメントシステムの考え方および具体的な対応などを、事業者様にお示しするものです。

付与事業者様におかれましては、「構築・運用指針」に基づいて、個人情報保護マネジメントシステムの構築・運用をお願いいたします。
(JIPDEC/「審査基準と解説」より)

2022年4月1日以降にご申請される場合

何をしなければならないのか

①「構築・運用指針」に合わせた社内ルールの追加・修正

プライバシーマークを取得している企業は、2022年1月19日に公表された「構築・運用指針」に合わせて、自社ルールの追加・修正を検討しなければなりません。

ルール変更に伴い、自社文書等の「用語・単語の修正を行う」「新しくルール化した事項を明文化する」などの対応が必要となります。

新たな「構築・運用指針」では、例として、以下の点の変更があり、今までの運用を変更する部分も多くなります。

  • 組織の状況やマネジメントシステムの適用範囲への明確な認識が求められる
  • リスクアセスメント及びリスク対応の要求事項の一部が変更される
  • マネジメントレビューで報告する内容が変更される

②2022年4月施行の改正個人情報保護法への準拠

「構築・運用指針」準拠には、2022年4月施行の改正個人情報保護法への対応も含まれています。
個人情報の改正により企業が対応しなければならないポイントの例として以下が挙げられます。

  • 「仮名加工情報」の定義の新設
  • 「個人関連情報の第三者提供の制限等」の新設
  • 個人情報漏えい時に個人情報保護委員会への報告を義務化

③プライバシーポリシーの改定

2022年4月施行の改正個人情報保護法への対応において、一部プライバシーポリシー等の内容を更新する必要があります。 特に対応項目としては以下のようなものが挙げられます。

  • 実施している安全管理措置に関する記載の追加
  • 共同利用を行っている場合は、記載項目の一部追加
  • 利用目的の記載の詳細化

コンサルティングの流れ

実施事項 詳細
既存文書の査読 現状の個人情報保護規程及び付随する文書をコンサルタントが確認します。
ルール化する項目の検討
「構築・運用指針」及び個人情報保護法の改正ポイントを把握
コンサルタントより、改正ポイントを詳細に解説して疑問点を解消し、どのような個人情報の取扱いをする場面において対応の変更が必要かを把握します。
対応が必要な部分の洗い出し
自社の個人情報の取扱い状況を確認し、ルールの変更及び新たにルールを策定する必要がある部分を明確にします。
対応方針の決定
「何を」「どのスケジュールで」対応を進めていくかをコンサルタントと相談の上決定します。
個人情報の取扱いに関するルールの作成、及び修正
コンサルタントが既存ルールの修正
決定した対応方針の基、改正ポイントを踏まえた修正案を作成します。既存規程の修正は、作業に1か月ほどかかります。
(必要に応じて)プライバシーポリシーの修正
コンサルタントが、プライバシーポリシーの修正案を作成します。
(必要に応じて)実態との乖離を埋める
打ち合わせで、コンサルタントがルールの変更による業務における個人情報の取扱いや運用の変更点についてレクチャーします。実際の個人情報の取扱いと修正案に実態と合わない箇所があれば、お打ち合わせ内で解消します。
運用
運用の開始
改正後の「構築・運用指針」に準拠したルールの運用を開始します。ルール策定後1か月間、運用に際して、疑問点が発生した場合は、電話・メール等で質問に対応します。
プライバシーポリシーの反映も行います。

コンサルティング料金

事前ヒアリング+文書修正+文書説明(Web会議)
コンサルティング費用 50万円〜(税抜)
  • 文書修正完了まで1~2ヶ月を予定しております。
  • 新指針への対応において、文書化する範囲はお客様のご状況を踏まえ都度ご相談させていただきます。
  • 文書説明においては、コンサルタントが、2~3時間のお打合せ(Web会議)で、文書の修正箇所をご説明します。
  • 審査における新指針に対する審査機関の解釈は適宜変更されます。そのため、指摘事項が出る場合がございます。
  • 関東圏・関西圏以外での訪問説明をご希望の場合、別途、交通費を申し受ける場合がございます。

改正個人情報保護法FAQ

Q.個人情報保護法の改正対応への必要性はどのように判断すればいいでしょうか?

個人情報をデータベース化して事業に用いている事業者(個人情報取扱事業者)は対応が必要となります。

該当するデータベースについては、電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)などが挙げられます。

Q.仮名加工情報とは何ですか?

他の情報と照合しない限り、個人を識別できない情報のことを指します。
従来存在していた匿名加工情報よりも条件を緩和したものとなっています。

顧客データの氏名等を削除または仮ID等に置き換えて仮名加工情報とし、①識別行為をしない②内部での分析・利用という条件下であれば、情報の利活用が可能となりました。

Q.保有個人データとなる個人データの対象に関してどのような変更がされましたか?

保存期間に関わらず、保有個人データとみなされるようになりました。

従来は保存期間が6ヶ月に満たない個人データは、保有個人データに当たらないとされていました。
しかし、改正により、上記保存期間の要件がなくなったため、個人データを業務において取り扱っている事業者は保有個人データに関する義務を負う必要があります。

Q.オプトアウトで取得した個人データは利用できなくなりますか?

オプトアウトとは、本人の求めに応じて第三者提供を停止することを条件として、本人の事前の同意なく第三者提供をすることを指します。
今回の改正により、オプトアウトにより取得した個人データについて、利用は可能ですが、さらなる第三者提供はできなくなりました。

第三者提供できる個人データの範囲から対象外となったのは、下記2点です。

  1. 不正取得された個人データ
  2. オプトアウト規定により提供された個人データ

Q.個人関連情報にはどのような規制が設けられていますか?

個人情報関連情報とは、個人に関する情報のうち、個人情報や匿名加工情報、仮名加工情報に該当しないものを指し、Webサイトを閲覧した際のCookieや位置情報などが挙げられます。

提供元では個人データに該当しないものの、提供先において個人データとなることが想定される個人関連情報の第三者提供について、本人同意が得られていること等の確認が義務付けられました。

プライバシーマークコンサルティングに関するお問い合わせ

プライバシーマークを取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

プライバシーマーク(Pマーク)取得支援コンサルティング|LRM株式会社へのお問合せはTEL:[tel_free_consul] / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

プライバシーマーク(Pマーク)取得支援コンサルティング|LRM株式会社へのお問い合わせフォームはこちら

ページの先頭へ戻る