プライバシーマークの準拠規格であるJIS Q 15001の各要求事項について解説していきます。今回は「3.4.2.5 個人情報を3.4.2.4 以外の方法によって取得した場合の措置」です。
まず「3.4.2.4 以外の方法によって取得した場合」とはどのようなケースが該当するのか考えてみます。
3.4.2.4は「直接書面により取得する」場面を指しますので、それ以外とは、「直接ではない」か「書面ではない」のいずれかを満たす場合となります。
「直接ではない」は第三者から提供を受ける場合か受託業務等で委託元から個人情報を預かっている場合が該当します。
「書面ではない」は音声または画像で個人情報を取得する場合が該当します。
上記要件を満たした場合に、「あらかじめその利用目的を公表している場合を除き,速やかにその利用目的を,本人に通知し,又は公表しなければならない」という効果が発生します。
3.4.2.4(直接書面取得)と比較すると簡単に対応できますね。(プライバシーマーク取得企業では、「利用目的の公表」をおこなうケースが最も多いです)
第三者から提供を受ける場合と受託業務で委託元から個人情報を預かる場合で全く義務が同じというのは大きな問題だと考えます。
また、直接「非書面」取得に該当するケースとして、電話で注文を受け付けるケースが該当します。この場合も「利用目的の公表」で足ります。実務上仕方がないとは言え、このようなテクニカルな穴を残すのは問題かもしれません。(なお、直接非書面取得で取得した個人情報を使った本人アクセスについては、再同意の義務が発生すると一応考えるべきです)
2017年上旬に法改正を織り込んだJIS Q 15001の改正がおこなわれる予定です。その中で上記のような問題が解消されると良いのですが…
a) 利用目的を本人に通知し,又は公表することによって本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがある場合
b) 利用目的を本人に通知し,又は公表することによって当該事業者の権利又は正当な利益を害するおそれがある場合
c) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって,利用目的を本人に通知し,又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき
d) 取得の状況からみて利用目的が明らかであると認められる場合