プライバシーマークの準拠規格であるJIS Q 15001の各要求事項について解説していきます。今回は「3.4.2.4 本人から直接書面によって取得する場合の措置」です。
まずは直接書面取得の要件から考えてみましょう。
「直接」と「書面」に分けて考えます。
「直接」とは、自社の名義で本人から個人情報を取得することが該当します。委託先に取得を代行させたとしても、自社の名義であれば当然に「直接」となります。
「書面」とは「電子的方式,磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む」と括弧書きで説明が付されていますが、意味を捉えにくいと思います。「文字情報かどうか」という捉え方が分かりやすいと思います。つまり、画像や音声は書面に含まれません。
次に8項目の明示事項について。読めば分かるものも多いかと思いますので、留意点だけ下記に箇条書きします。
a)サービス名やブランド名で展開している場合にどの企業が主体なのか分からないケースがあるかと思います。そのようなことを防ぐことが目的です。
b)「若しくはその代理人」の捉え方がポイントとなります。例えば採用募集の場面では人事部長などを「その代理人」とすることができます。「氏名又は職名,所属及び連絡先」の読み方が難しいですが[氏名or(職名+所属)]and[連絡先]と読みます。
g)「任意性」とは「任意であると伝えること」ではありません。取得する情報に関して、「任意か必須か」を明確にすることを意味しています。
h)ウェブサイトにアクセスしたユーザに対して、いわゆるインフォマティブデータを利用しており、個人情報と結びつく可能性がある場合などを指します。cookieについて言及しているウェブサイトが多いですが、この要求事項に対応することを意図しています。このあたりは話せば長くなるので別の機会に詳説します。
最後に、同意の取り方についてですが、機微情報においては「明示的同意」と記載されていますが、3.4.2.4においては単に「本人の同意を得なければならない」とのみ記載されているため、黙示的同意でも許容されると読むことが可能です。
この要求事項はBtoCの企業にとっては結構重いものになっています。EU指令(Directive 95/46/EC)から引っ張ってきた時に、趣旨を正しく理解しないまま(というより簡単な英文を誤読している可能性すらあります)日本語にしたのが原因で、意味のない明示事項もありますね。迷惑な話ですが、JIS規格が1999版から2006版に改訂される際にもダメな部分がそのまま引っ張られています。
a) 事業者の氏名又は名称
b) 個人情報保護管理者(若しくはその代理人)の氏名又は職名,所属及び連絡先
c) 利用目的
d) 個人情報を第三者に提供することが予定される場合の事項
― 第三者に提供する目的
― 提供する個人情報の項目
― 提供の手段又は方法
― 当該情報の提供を受ける者又は提供を受ける者の組織の種類,及び属性
― 個人情報の取扱いに関する契約がある場合はその旨
e) 個人情報の取扱いの委託を行うことが予定される場合には,その旨
f) 3.4.4.4~3.4.4.7 に該当する場合には,その求めに応じる旨及び問合せ窓口
g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
h) 本人が容易に認識できない方法によって個人情報を取得する場合には,その旨