Pマーク 経産省ガイドライン改訂の雇用関係機微情報のPMS反映はどこまで必要？

2014年12月の「個人情報の保護に関する経産省分野を対象とするガイドライン」改訂で、個人情報の定義の部分の「個人情報に該当する事例」6）の雇用管理情報の部分等が膨らみました。
　この追記された中で、「＜病歴、収入、家族関係等の機微に触れる情報＞を含む労働者個人に関するすべての情報が該当する」とあるのですが、この部分の社内PMSへの反映はどうしたらいいか悩んでいます。
　考えている策としては、

（1）＜病歴＞はJIS要求事項3.4.2.3 e)の「保健医療」に含まれるが、＜収入、家族関係等＞は同a)～ｅ)にはまらないので、JIS対応の社内PMSマニュアル3.4.2.3に f）として追加する。

（2）＜病歴＞はJIS要求事項3.4.2.3 e)の「保健医療」に、＜収入、家族関係等＞は同要求事項b)の「その他社会的差別の原因となる事項」に含まれると考えて、マニュアルは変更しない。

の2つです。信条的には（2）にしたいです。（楽だから。。）
この場合どちらが適切でしょうか？あるいは他に適切な案があれば教えていただきたいです。

　
　また、マニュアルの他に、改訂ガイドラインに合わせて内容を変更するものとして
・従業員の個人情報取得同意書
　　＝取得する機微な情報として＜病歴、収入、家族関係等＞とその利用目的を追加
・業務フロー～個人情報管理一覧表～リスク認識対策表
　　＝＜病歴＞は履歴書や健康診断結果、＜収入＞は給与保険関係、＜家族関係＞は履歴書や扶養関係に含まれるとみて、すでに特定管理されているとしてとくに追加はしない。

で大丈夫でしょうか？


コンサルティング会社を使っていないので相談できる人がいなくて困っています。
お知恵を貸してください。よろしくお願いいたします。

No.1 ベストアンサー 回答者： woody-club 回答日時： 2015/02/20 11:49

回答が無いようなので、確信は持てませんが、参考にして下さい。

JISと法令で「個人情報の定義」は、異なっています。
(相違点の例：JIS＝死者の情報を含む、法令＝生存する個人の情報)
私は、経産省のガイドライン（以下、ガイドライン）を法令の解釈を含めた解説書と思っています。

ガイドラインで追加された事項は、あくまでも「個人情報の定義」です。
これは、ガイドラインで例示していなかった部分を追加したにすぎません。

質問者様は、JIS（Pマーク）のご担当と推測します。
既にPマークを取得しているならば、ガイドラインの追加事項について社内マニュアルや様式（同意書、台帳等）に反映されていなければPマークは取得できていません。
または、審査で不適合となったことがあり、改善済みと思います。
ようするに、ガイドラインに追加された事項ついて、Pマークでは従前から個人情報として認識していなければならい事項だったのです。

結論は「何もしなくて良い」だと思います。

この回答へのお礼

そうでした。改訂されたのはJISではなくガイドラインなのに、焦って何が何でも規程の文言を合わせなければと構えてしまいました。
おっしゃる通り、定義はJISに沿って適合を受けていますので変更なしでいきます。納得です。

改訂箇所を読み進めるうちに、従業員の同意についてはやはり細かく「～が望ましい」部分が新たに出てきたので、同意書などは結局変更が必要みたいです（審査の時にガイドラインとの不整合も指摘されたので）。

的外れな質問に丁寧にご回答いただき、ありがとうございました。

お礼日時：2015/02/22 17:07