【ご案内】当サイトの閲覧には、SSL対応のブラウザをご利用ください。⇒WEBサイトの利用について

ホーム > よくある質問と回答 > FAQ:7.運用について

FAQ:7.運用について

よくある質問カテゴリー
7-1 受託
7-2 教育
7-3 個人情報保護管理者
7-4 個人情報保護監査責任者
7-5 個人情報の取扱い
7-5-5 ストレスチェック制度に関する個人情報の取扱い
7-6 その他

7-1 受託

7-1-1 JIS Q 15001:2006「3.4.2.3 特定の機微な個人情報の取得、利用及び提供の制限」では、明示的な本人の同意が必須となっています。
弊社の業務形態上(受託)、本人の同意が難しいのですが、どのように対処すればよいか教えてください。

受託により特定の機微な個人情報を取得した場合については、その受託者は本人の同意を得る必要はありません。
受託者は委託者の監督を受けており、契約の範囲内に限られた管理しかできません。
受託者が同意を得るために本人に連絡をとるといった行為は、むしろ契約に定められた利用目的を逸脱する目的外利用であって、契約違反になります。
本人からの同意の取得は、委託者側が責任を負うべきことです。

7-2 教育

7-2-1 パート・アルバイトにも個人情報保護教育を実施し、教育後の試験では、基準以下は再試験ということで規定していますが、アンケート調査の委託調査員の場合、2週間程度の短期間の雇用になります。
このような短期雇用の方にも試験や再試験を実施しなくてはいけないのでしょうか?

教育は、従業者全員一律である必要はありません。
パート・アルバイトだからといって、一律に同じ試験や再試験も含めた教育を実施しなければならないものではありません。
しかし、従業者の方たちが、それぞれ担当する業務を実施するにあたり、必要かつ十分な教育を実施するようにして下さい。

7-3 個人情報保護管理者

7-3-1 申請の際に必要な「個人情報保護管理者」というのは、どのような資格が必要なのでしょうか。
資格が無くても、社内で定めた人物が、責任者として個人情報の保護と管理を担っていればよろしいのでしょうか?

「個人情報保護管理者」は、JIS Q 15001:2006の2.4の記載以外に要件はありません。
もちろん、特定の資格が必要ということはありません。

7-4 個人情報保護監査責任者

7-4-1 代表者は、個人情報保護監査責任者にはなれないのでしょうか。

事業者の代表者は、個人情報保護管理者を兼ねることができますが、個人情報保護監査責任者は兼ねることができません。
従業者の少ない小規模事業者にあっては、体制の確立が難しい場合がありますが、代表者は、経営資源の分配等を通じて、体制の整備・運用に主体的に関与するわけであり、監査についても代表者が行うとなると、監査の第三者性・客観性が担保されるかどうか疑問となり、監査に実効性があると評価できなくなります。
したがってプライバシーマーク制度では、代表者が個人情報保護監査責任者を兼ねることを禁止しています。

なお、個人情報保護監査責任者の指名については、JIS Q 15001の2.5において「代表者によって事業者の内部の者から指名されたものであって(略)監査の実施及び報告を行う責任及び権限をもつ者」とあり、また3.7.2の解説には「個人情報保護監査責任者は、(略)社外に責任を持つことができる者(例えば、役員)であって、個人情報保護管理者と同格又は上席者を指名することが望ましい。」と記載されておりますので、事業者の社会保険・労働保険に加入した正社員または登記上の役員(ただし監査役を除く)が適切です。

(平成26年10月7日改訂)

7-5 個人情報の取扱い

7-5-1 法人顧客の担当者名で検索できるデータベースがあります。
代理店経由で法人顧客を得た場合、担当者が退職などで変わったときも、開示等請求は旧担当者本人からでないといけないのでしょうか?

本人からの開示等の求めがなければデータベースを修正できないということではありません。
データベースの正確性を期するため必要であるならば、「3.4.3.1 正確性の確保」に基づき、事実と異なる場合は自ら訂正すればよいのです。

7-5-2 かなり古いとき(個人情報保護法やPマーク制度発足よりずっと昔)に取得した個人情報について、どこまでこれらの法、規格を適用しなければならないのでしょうか?

古い個人情報については、改めて本人の同意を得る必要はありませんが、以下の措置が必要です。
まず、3.4.2.5に基づく利用目的の通知又は公表が必要です。
次に、それが「開示対象個人情報」に該当するならば、「3.4.4.3 開示対象個人情報の周知等」の措置を講じる必要があります。

7-5-3 弊社では、安全衛生法に基づき、産業医との契約を結んでおります。
しかしながら、産業医については個人契約の場合が殆どのため選考基準の適用(弊社の場合、Pマーク取得、規定等の文書化によるPMSの構築等)が困難な場合があります。
そのため、弊社では、次の法令の観点から、産業医については医師という職務を考慮し、個人情報に関する選定基準を緩和すべきと考えております。
事例等があれば、ご紹介いただきたく、お願いいたします。

原則どおり実施することが望ましいには違いありませんが、国家資格がなければできない業務で、かつその資格を持つ者に対して法律により守秘義務が課されており、違反者には資格剥奪の処分だけでなく懲役や罰金といった刑罰が科される可能性がある場合、

  1. それらの国家資格を有していれば、それだけで委託先選定基準を満たしていると考えてよい。
  2. それらの者は、契約による民事上の監督よりも重い監督を、すでに国から受けているのだから、改めて委託先の監督に関する契約を取交わすことは必須ではない。

と言えます。

7-5-4 印刷業者が、お客様から多数の住所データを預かり、それを元に年賀状等を印刷する場合、情報主体への同意はどう取ればいいのでしょうか?

御社は3.4.2.5により取得する立場ですので、利用目的を通知又は公表する必要があります。これは必ず実施しなければなりません。
御社は本人の同意を得る立場ではありませんが、そのかわり、原則として、その個人情報が適切に取得されたものであるかどうかを確認する必要があります。

1.お客様が個人の場合
おそらくそれは「事業の用に供している個人情報」ではないと考えられますので、そのお客様に個人情報保護法上の義務はありません。
したがいまして、お客様は、そもそも本人の同意を得る義務を負っていません。わざわざ御社が確認する必要はありません。
2.お客様が企業の場合
事業の過程において名刺等により取得した個人情報であろうと思われますが、このような慣例風習への使用は名刺としての通常の利用方法であり、取得の状況からみて利用目的が明らかであると認められる場合(3.4.2.5のd)に該当し、目的外利用にはならないと考えてよいと判断致します。
その場合、お客様は、3.4.2.7のe)により、本人に利用目的を明示、通知又は公表する必要もありません。御社が確認する必要はありません。
ただし慣例風習に名を借りた販促DMであるような場合は目的外利用の可能性があるため、お客様のHP等で利用目的が通知又は公表されているか確認すると共に、お客様に目的外利用でないかどうか確認して下さい。

7-5-5 ストレスチェック制度に関する個人情報の取扱い

7-5-5-1 当社が「ストレスチェック制度」により取得する個人情報は、要求事項3.4.2.3の特定の機微な個人情報にあたりますか?

労働安全衛生法第六十六条の十による検査等の結果は、特定の機微な個人情報にあたります。具体的には、心理的な負担の程度を把握するための検査(ストレスチェック)の結果、面接指導の結果がこれにあたります。

(平成27年11月13日追加)

7-5-5-2 当社が常時雇用する労働者のストレスチェックの結果を実施者(産業医等)から取得するにあたり、労働者本人から同意を取得する必要はありますか?

労働安全衛生法第六十六条の十の2項に、ストレスチェックの結果は、実施者(産業医等)が労働者本人の同意を得て、貴社に提供することが定められています。これは、貴社においては、個人情報を直接書面以外の方法によって個人情報を取得した場合(要求事項3.4.2.5)にあたります。よって、貴社は、当該要求事項に定める通り、労働者本人に利用目的の通知または公表を行うことで足りると考えられます。

(平成27年11月13日追加)

7-5-5-3 当社が常時雇用する労働者のストレスチェックの結果を実施者(産業医等)から取得するにあたり、個人情報の利用目的の通知または公表をどのような方法で行うべきでしょうか?

プライバシーマーク制度として方法を指定するものではありませんが、貴社が「心理的な負担の程度を把握するための検査及び面接指導の実施並びに面接指導結果に基づき事業者が講ずべき措置に関する指針」(厚生労働省)に基づき行うストレスチェック制度の目的に係る周知の場面において、個人情報の利用目的を通知すること等が考えられます。

(平成27年11月13日追加)

7-5-5-4 当社が常時雇用する労働者の面接指導の結果を取得するにあたり、労働者本人から同意を取得する必要はありますか?

ストレスチェック制度は「労働安全衛生法」により実施が義務付けられるものです。よって、要求事項3.4.2.4ただし書き(法令に基づく場合)に該当し、本人の同意の取得等の要求事項3.4.2.4に基づく措置は、必ずしも必要ではありません。

(平成27年11月13日追加)

7-5-5-5 ストレスチェック等の実施を委託する場合、委託先は委託先の監督(要求事項3.4.3.4)の対象となりますか?

対象となります。安全衛生法に基づく産業医との契約については、Q7-5-3も合わせて参照してください。

(平成27年11月13日追加)

7-5-5-6 ストレスチェック制度に関して、事業者が参照すべき個人情報の取扱いに関する法令等は何ですか?

要求事項3.3.2(国が定める指針その他の規範)における「個人情報の取扱いに関する法令、国が定める指針、その他の規範」としては、「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン【第2版】」第二部3.3.2の審査の着眼点で示す「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項」等が考えられます。
なお、上記留意事項は、労働安全衛生法の改正をふまえて、平成27年11月30日に改正、同年12月1日より適用されています(平成27年11月30日基発1130第2号)。

(平成28年1月4日追加)

7-5-5-7 ストレスチェック等の実施を受託する場合、受託事業者として特に求められる安全管理措置はありますか?

ストレスチェックや面接指導の結果を取り扱う担当者(実施者(産業医等)、実施事務従事者*)および担当者の作業手順を明確化し、担当者以外の者がストレスチェック等の結果にアクセスできないよう措置を講じる必要があります。
その際、作業手順には、労働安全衛生法第六十六条の十の2項に基づく本人同意の有無を、実施者等に確認する手順が含まれる必要があります。
なお、保健医療福祉分野の事業者(病院、健康保険組合等)に求められる措置については、該当する審査機関(一般財団法人 医療情報システム開発センター)に確認してください。

* 実施者の指示により、ストレスチェックの実施の事務(個人の調査票のデータ入力、結果の出力又は記録の保存(事業者に指名された場合に限る。)等を含む。)に携わる者

(平成28年5月13日追加)

7-6 その他

7-6-1 弊社はPマークの付与事業者なのですが、今後ISMSの認証取得をしようと考えております。
そこで、二冊のマニュアルにすると管理が大変だと考え、一冊にまとめて統合のマニュアルにしようと考えておりますが、審査で別々にするように指摘されるのでしょうか。

JIS規格に付属する解説の解12ページの「3.5.2 文書管理」の項に、
「文書類は、事業者によって実施される他のシステムの文書と統合されることがある。」
と明記されていますのでご確認下さい。
別々にするよう指摘することはありません。

7-6-2 社員に対して秘密情報保持誓約書に署名するよう申し入れがありました。
1.その条文の秘密情報には、顧客の個人情報だけでなく会社の知的財産や人事、財務に関する情報なども含まれております。
2.秘密情報に漏洩等があった場合、過失であったとしても懲戒解雇でき、会社が負う一切の損害を当該社員が賠償する、となっています。
3.Pマーク取得には、このような内容の誓約書が必要なのでしょうか。

1.について
企業は様々な法律により規制を受けており、個人情報保護法やPマークにさえ適合すればよいといった社内ルールの作り方は本来望ましくありません。
個人情報は、企業が守るべき情報の一つに過ぎません。
当該企業が、個人情報保護体制の構築を機に、社内の機密情報の保護体制そのものを見直すことは当然とも言えます。
2.について
故意や過失に基づいて、社員に損害の賠償を請求したり懲戒の対象とすることは可能です。
ただし、損害賠償額を予定したり、違約金を定めたりするのは、労働基準法第16条に違反します。
これは経済産業省の「個人情報保護法に関する Q&A」に明記されていますので確認して下さい(下記アドレスの10/25頁 65番)。
法令違反の誓約書を締結する会社には、むしろPマークの付与はできないと言えます。
http://www.meti.go.jp/policy/it_policy/privacy/070330guidelineq&a.pdf
3.について
誓約書が必要かどうかについては、公開しております下記のガイドラインを参照して下さい。
JIS Q 15001:2006をベースにした個人情報マネジメントシステム実施のためのガイドライン -第2版-
こちらの「3.4.3.3 従業者の監督」の項に記述していますが、就業規則の中に、個人情報を含む機密情報の非開示について定めがあれば、あえて誓約書を取る必要はないと考えています。
もし会社と社員との間に全く何も取決めがない場合は必要になりますが、通常は、就業規則の中に定めてあると思われます。