プライバシーマーク取得 書類審査指摘事項について

プライバシーマーク事務局より書類審査の結果が出ました。何点か不適合と指摘されたのですが、どう直せばよいか理解できません・・・。お分かりになる方がいらっしゃいましたら、助けて下さい!!
指摘事項は下記の通りです・・・。

1.適用範囲：個人情報の全てか、一部を電子計算機等のより処理する目的で書面等によって処理している個人情報、及び何らかの規則により索引づけられた個人情報も対象に含まれるとの主旨がない。

No.1 回答者： yasu99 回答日時： 2006/02/16 17:50

おそらく、電算機内部データおよび電算機処理したファイルに限定した適用範囲となっているのではないでしょうか？

電算機処理において、磁気ファイルなどの電算機内部データに限らず、これの入出力にかかる情報、また、電算機により索引づけられた情報も全て対象とすべきでしょう。

この回答への補足

ご回答有難うございます!!

当社の摘要範囲には、
「当社が収集する全ての個人情報保護について適用する。また当社に所属する全ての役員、社員、契約社員、派遣社員、パート、アルバイトに適用する。」
としているのですが・・・。
「一部を電子計算機等により・・・」という文章をそのまま織り込めばいいのでしょうか？

補足日時：2006/02/17 11:03

No.2 回答者： norakuma 回答日時： 2006/02/16 18:53

企業で個人情報保護の仕事してます。

適用範囲に「個人情報の全てを対象とする」と明記すればOKだと判断しますが。

御社が、個人情報の一部を対象としたい…という（これは審査員を納得させるのが難しいです）意見であれば、どこからどこまでの個人情報を対象とする…と記載する必要があります。

私が作った文書（審査通過済み）だと
■対象個人情報資産
　●●の会員情報
　利用者から提供を受けた情報
　受託を受けている情報
　従業員情報（←ぬけがち）
　採用応募情報（←ぬけがち）

としています。
特に、個人情報の形態については明記していません。

このあたりは審査員の主観でぶれると思いますので、相手方の審査員に確認を取ってください。

この回答への補足

ご回答有難うございます!!
当社の摘要範囲には、「当社が収集する全ての個人情報保護について適用する。また当社に所属する全ての役員、社員、契約社員、派遣社員、パート、アルバイトに適用する。」としているのですが・・・。
「一部を電子計算機等により・・・」という文章をそのまま織り込めばいいのでしょうか？
また、追加で教えて頂きたいのですが・・・。

4.3、4.3.1）リスク分析表、特定に関する規定は個人情報のライフサイクルの各ステージにおける分析についての規定がない。
Q.ライフサイクルの各ステージにおける分析とは？

4.4.2.5）ｃ）情報主体の保護に値する利益が侵害されるおそれのない収集を行う場合。について、適用を限定するようにとの規定がない。
Q.適用をどのように限定すればよいのでしょうか？

恐れ入りますが、宜しくお願い致します。。。

補足日時：2006/02/17 10:47

No.3 回答者： norakuma 回答日時： 2006/02/17 11:48

こんにちは。

すべてって記載してるんですねぇ。
それなら、一部を～以下、記載しちゃえばいいと思います。

続いて
4.3、4.3.1）リスク分析表、特定に関する規定は個人情報のライフサイクルの各ステージにおける分析についての規定がない。
Q.ライフサイクルの各ステージにおける分析とは？

個人情報のライフサイクルは、収集、利用、保管、廃棄です。
ライフサイクルのそれぞれを意識したリスク評価になっていないということではないでしょうか？

4.4.2.5）ｃ）情報主体の保護に値する利益が侵害されるおそれのない収集を行う場合。について、適用を限定するようにとの規定がない。
Q.適用をどのように限定すればよいのでしょうか？

こっちについては、今手元に資料がないんで（自宅）、月曜日以降でいいですか？

この回答への補足

たびたびスミマセン。
4.3.2：法令及びその他の規範についてお伺いしたいのですが、「行政機関ガイドライン」とは、

経済産業省
個人情報の保護に関する法律についての掲載産業分野を対象とするガイドライン（平成16年6月）等・・・

内閣府、総務省、厚生労働省、金融機関庁

が出しているガイドラインと考えてよろしいのでしょうか？

宜しくお願い致します!!

補足日時：2006/02/19 20:52

この回答へのお礼

こんにちは!!


丁寧なご回答をありがとうございます。
個人情報のライフサイクルの件、理解できました。
当社のリスク分析表は、ライフサイクルの過程でのリスク評価をしていませんでした・・・・。

収集時のリスク、利用時のリスク・・・と分析しないといけないという事ですよね？？

4.4.2.5）ｃ）の件、月曜日にお答えを頂けると大変助かります。
火曜日までに書類を揃えないといけないので・・・。

重ね重ね、お手数をおかけ致しますが、宜しくお願い致します。

本当に、ありがとうございます！！

お礼日時：2006/02/17 15:11

No.4 ベストアンサー 回答者： norakuma 回答日時： 2006/02/20 10:30

おはようございます。

4.4.2.5 c)について。

この項番は、「情報主体以外から間接的に個人情報を収集する場合は、通知し同意を得なきゃダメよ。ただし、次のa-cまでに該当する場合は、同意を得なくてOKとします」というものです。

つまり、「a-cに該当するとしてしまえば、情報主体の同意は不要だよ」というように解釈でき、情報主体の保護が弱くなる項番です。

ですからプライバシーマーク事務局としては、「適用を限定するよう」にしなさい…となるわけです。

しかし、一斉にこの項番を使わない！としてしまうと、JIS Q15001としてもおかしくなるので、ここは、4.4.2.5 c)に該当するかどうかをきちんと判断して適用する…という方向に持っていきましょう。

一例「なお、c)項に理由として同意を得ずに間接的に収集しようとする場合には、c)項に該当するか否かを担当者の個人的な判断で行うのではなく、社会通念や法令、公序良俗に照らした上で、●●の許可を得て実施すること。」
なんてしたらどうでしょうね？

4.3.2について。
業種が不明なので、どの省庁のガイドラインを適用するかはわかりませんが基本的にはそのあたりでいいと思います。また、場合によっては条例なども特定する必要がありますのでご注意くださいね。

この回答へのお礼

ご連絡が遅くなり大変申し訳ございません!!ログインパスワードが分からなくなっていました。。。

おかげさまで、現地調査は無事終了致しました。後は指摘事項を直し、再提出です。

この度の丁寧なご回答に感謝致します。１人では無理だったので、大変助かりました。

本当に、心よりお礼申し上げます。ありがとうございました!!!

お礼日時：2006/04/12 11:31