3.4 実施及び運用

以降の手順については、具体的に文書化することが求められています。
単に規定化するだけでなく、具体的に運用できる手順に落とし込むことが必要です。

3.4.1 運用手順
事業者は、以降の要求項目について運用の手順を明確にすることを求めています。
平たく言うならば、定義だけでなく、実際に運用できるような手順になっていること、ということです。

3.4.2 取得、利用及び提供に関する原則
3.4.2.1 利用目的の特定
個人情報を取得するに当たって、利用目的を具体的にして、かつ必要な限度で行わなければならないとされています。
つまり、利用目的はあくまでも必要な範囲だけにとどめなさい、ということです。

また、利用目的を特定する手順を求めています。
つまり、どの情報は何の利用目的なのか明確にわかるようにしなさいということです。
ということは、個人情報ごとに利用目的がなんなのか識別しておくことも必要ですし、新規の個人情報取り扱いがある場合に、その利用目的がなんなのか識別することも必要です。
さらに、その利用目的は、認識できるようにしなければなりませんから、何かしらの形で文書化が必要であるということが想定されます。

3.4.2.2 適正な取得
適正な取得とは、平たく言うならばだましたり、盗んだりして取得しないということです。
そのため、取得する際には事前に本当に問題のない手順か確認したうえで取得する必要があります。
特に、新規個人情報を取り扱う時や、個人情報の取得手順などが変わる際には、本当にその内容でよいのか社内で確認する必要があります。

3.4.2.3 特定の機微な個人情報の取得、利用及び提供の制限
特定の機微な情報とは、平たく言うならばあまり人に知られたくないような可能性のある情報のことです。
対象となる情報はJISQ15001をご参照いただく形にさせていただきますが、このような情報については、大前提となるのは、取得も、利用も提供もしない、ということです。
他の情報と異なり、重大性が高いので、基本的には使わないというのが原則なわけです。

ただし、
1 本人に明示的な同意がある(書面へのサインなど)
2 法律上必要である
3 本人の生命、身体や財産の保護のために必要(健康診断結果など)
4 公衆衛生の向上、児童の健全な育成の推進のために必要(子供の健康状態など)
5 国の機関もしくは地方公共団体または、その委託を受けたものが、法令の定める事務を遂行する場合(裁判への協力や、国勢調査など)
の場合は、利用することも、提供することもよい、とされています。
過去に取得して使用している情報の中に、上記に該当しないような機微情報が含まれている可能性があるので、(本籍地など)必要ないものはすぐに削除しましょう。
ちなみに、2~5に該当して、本人に同意をとらず取得、利用などする場合は、本当に良いか管理責任者に承認をとる手続きが必要となります。

3.4.2.4 本人から直接書面によって取得する場合の措置
本人から、書面で個人情報を取得するときには、こちらも書面で本人に必要事項を通達し、同意をとらなければなりません。
ただし、
・ 本人の生命、身体や財産の保護のために緊急で必要な場合
・ 利用目的を通知することで、むしろ本人や第三者に不利益になってしまうような場合
・ 利用目的を通知することなどが、事業者の権利を害してしまう場合
・ 国の機関もしくは地方公共団体または、その委託を受けたものが、法令の定める事務を遂行するに当たって、利用目的を通知することが業務の支障になるような場合
・ 取得の状況からみて、利用目的が明らかな場合(名刺交換など)
・ 法律上必要である
・ 本人の生命、身体や財産の保護のために必要(健康診断結果など)
・ 公衆衛生の向上、児童の健全な育成の推進のために必要(子供の健康状態など)
・ 国の機関もしくは地方公共団体または、その委託を受けたものが、法令の定める事務を遂行する場合(裁判への協力や、国勢調査など)
以上の場合は、必ずしも書面での同意は不要です。

ちなみに、書面による同意とは、
・ サイン
・ 捺印
等のほかにも、
・ 文面に、「同意の上内容を記述してください」等の記述をする
・ Webサイトなど、同意をしなければ先に進めない設定にしておく
等も書面による同意とみなされます。

また同意文に掲載しなければならない文面も要求されています。
・ 事業者の名称(会社名や、プロジェクト名など)
・ 個人情報保護管理者の氏名または職名、所管及び連絡先(管理者の役職でも可能)
・ 利用目的(具体的に、必要事項をすべて含むこと)
・ 個人情報を第三者に提供することが予定される場合、目的、提供する項目、提供方法、提供先、提供先との契約の有無(ない場合は提供はいたしませんという記述)
・ 第三者委託がある場合にはその旨(第三者に~の処理を委託します、という記述が必要。委託先の名称まで記載する必要はなし。ない場合は委託しませんという記述があればよい)
・ 開示請求、修正、削除などに応じる場合は、その受付窓口(明確に、どこが窓口で連絡先なのかを記載する)
・ 個人情報取得が任意であることと、情報を取得できなかった場合に本人が受ける結果(サービスが受けられない、登録できないなど)
・ 本人が容易に認識できない方法によって個人情報を取得する場合にはその旨(住民票を取り寄せるなど)

3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置
直接書面で取得しない場合、つまり間接的に取得する場合や、書面ではなく口頭などで取得する場合の処置が要求されています。
これらの場合は、直接本人に個人情報の取得に関する同意を得るのが難しいことがあるため、事前に利用目的を公表しておくか、すぐ本人に利用目的を通知するか公表をしなければならないとされています。

しかし、次の場合は公表などしなくてもよいとされています。
・ 本人の生命、身体や財産の保護のために緊急で必要な場合
・ 利用目的を通知することで、むしろ本人や第三者に不利益になってしまうような場合
・ 利用目的を通知することなどが、事業者の権利を害してしまう場合
・ 国の機関もしくは地方公共団体または、その委託を受けたものが、法令の定める事務を遂行するに当たって、利用目的を通知することが業務の支障になるような場合
・ 取得の状況からみて、利用目的が明らかな場合(テレフォンショッピングなど)

3.4.2.6 利用に関する措置
前項までは取得する際の注意事項でしたが、取得後実際に社内で利用するに当たっての要求が本項ではされています。
ポイントとしては、取得時にすべて利用目的に関する同意がされて入ればよいのですが、そうでなかった場合、利用目的に不足があった場合や、当初取得するときと利用目的が変わった場合に行わなければならないこととして、再同意を行わなければならないとされていることです。
そのため、過去に取得した個人情報があった場合、同意がとられていない情報だった場合は再度同意を取らなければ利用することが出来ない、ということもここから読み取れます。
そもそも、目的外利用に該当するのか、ということを明確に判定する根拠として承認が必要となるため、個人情報保護管理者などの承認を得る仕組みが必要となります。

ただし、次の場合には再同意は必要ないとされています。
・ 法律上必要である
・ 本人の生命、身体や財産の保護のために必要(健康診断結果など)
・ 公衆衛生の向上、児童の健全な育成の推進のために必要(子供の健康状態など)
・ 国の機関もしくは地方公共団体または、その委託を受けたものが、法令の定める事務を遂行する場合(裁判への協力や、国勢調査など)
特に、法律上必要な場合以外は、社内において再同意が本当に必要ないのか承認を得てから判断することが求められます。

3.4.2.7 本人にアクセスする場合の措置
本人へのアクセスとは、本人に対しDMを送ったり電話をしたりなど、直接本人と何かしらの形でコンタクトをとることを指します。
その場合には、取得時の同意が必要な内容と同等の内容を通知同意しなければならず、またどのような形で取得したのか(どこから、どのような手段で個人情報を得たのか)を通知同意しなければならないとされています。

ただし、次の事項に該当する場合は必ずしも通知同意は不要であるとされています。
・ すでに取得時に必要事項の通知同意が済んでいる場合
・ 委託業務の実施において、その業務目的範囲内で使用している場合
・ 法人が合併などして得た情報であった場合で、すでにもともと個人情報を所有していた事業者が必要事項の通知同意をしていた場合
・ 個人情報が共同利用されている場合で、その共同利用者がすでに必要事項を通知同意していて、さらには次の事項を本人に通知するか、本人が知りえるように公表などしているとき。
    共同利用していること
    共同利用している個人情報の項目は何か
    共同利用する者は誰か(どの事業者がそれぞれどこまで利用することになっているか)
    共同利用するものの利用目的(どの事業者がどの利用目的で利用することになっているか)
    共同利用する個人情報の管理責任者の氏名又は名称(~事務局などのプロジェクト名でもよい)
    取得方法(どのような経緯で取得した情報なのか)
・ 本人に明示、通知、公表せずに取得した個人情報を利用して本人にアクセスするとき(3.4.2.5の通知同意しなくて良い条件を満たしていることが必要)
・ 法律上必要である
・ 本人の生命、身体や財産の保護のために必要(健康診断結果など)
・ 公衆衛生の向上、児童の健全な育成の推進のために必要(子供の健康状態など)
・ 国の機関もしくは地方公共団体または、その委託を受けたものが、法令の定める事務を遂行する場合(裁判への協力や、国勢調査など)

3.4.2.8 提供に関する措置
個人情報を第三者に提供(情報を委託するのではなく、あくまでも情報の利用をその後第三者に許容すること)する場合には、事前に本人に同意を得なければなりません。
その際には、
・ 事業者の名称(会社名や、プロジェクト名など)
・ 個人情報保護管理者の氏名または職名、所管及び連絡先(管理者の役職でも可能)
・ 利用目的(具体的に、必要事項をすべて含むこと)
・ 個人情報を第三者に提供することが予定される場合、目的、提供する項目、提供方法、提供先、提供先との契約の有無(ない場合は提供はいたしませんという記述)
・ どのような形で取得したのか(どこから、どのような手段で個人情報を得たのか
の内容について、通知し、同意している必要があります。

ただし、他の条項と同様に、必ずしも通知同意を得なくてもよい場合があります。
・ すでに必要事項が事前に通知され、同意を得ている場合。
・ 大量の個人情報を広く一般に提供する(電話帳やカーナビに乗るなど)ため、本人の同意を得ることが困難な場合、また、事業者に関連した役員や株主の情報で、法令により公開されている条項で、次の事項を本人に通知するか、公表するなどの措置を講じておいた場合
  
    第三者への提供をもともと利用目的として通知する
    第三者へ提供する項目
    第三者への提供手段、提供方法
    本人の求めがあれば、第三者への提供の停止が出来ること
    取得方法(どのような経緯で取得した情報なのか)
・ 提供ではなく、委託の場合
・ 合併などの事由で情報を提供する場合で、もともと同意を得ていた利用目的の範囲内で個人情報を取り扱う場合
・ 個人情報が共同利用されている場合で、次の事項を本人に通知するか、本人が知りえるように公表などしているとき。
    共同利用していること
    共同利用している個人情報の項目は何か
    共同利用する者は誰か(どの事業者がそれぞれどこまで利用することになっているか)
    共同利用するものの利用目的(どの事業者がどの利用目的で利用することになっているか)
    共同利用する個人情報の管理責任者の氏名又は名称(~事務局などのプロジェクト名でもよい)
    取得方法(どのような経緯で取得した情報なのか)
・ 本人に明示、通知、公表せずに取得した個人情報を利用して本人にアクセスするとき(3.4.2.5の通知同意しなくて良い条件を満たしていることが必要)
・ 法律上必要である
・ 本人の生命、身体や財産の保護のために必要(健康診断結果など)
・ 公衆衛生の向上、児童の健全な育成の推進のために必要(子供の健康状態など)
・ 国の機関もしくは地方公共団体または、その委託を受けたものが、法令の定める事務を遂行する場合(裁判への協力や、国勢調査など)

特に提供は、取得時に提供の同意を取られていればさほど難しくありませんが、すでに取得している情報を提供する場合には、本人への同意はもちろん必要ですが、そもそも提供することは、個人情報の取り扱い方法が変わるわけですから、社内への承認も必要となります。

3.4.3 適正管理
3.4.3.1 正確性の確保
正確性の確保とは、取得した情報を正しい状態に確保しておくことを言います。
つまりは、改ざんや破損などから保護することが必要となります。
また、最新の状態にしておくことも求められていますので、次の事項が必要となります。
・ 情報の変更があった場合に迅速に更新できるようにしておく
・ 誤入力のチェックを行う
・ 個人情報の保存期限を定めている
・ 個人情報のバックアップが実施されている
上記について、手順の明確化が求められます。

3.4.3.2 安全管理措置
安全管理については、別途資料を開示する予定ですが、ポイントとなるのは、
・ 自社の管理状態と対比して、必要な管理策を選択する
・ 選択する管理策は、リスクの認識の結果を踏まえて行う
ことです。
そのため、この部分は実施する企業によって大幅な差が生まれる部分ですので、自社の管理状態を明確にしなければ本当に必要な対策なのかは分からなくなってしまいます。

3.4.3.3 従業者の監督
従業者が違反行為を行ってしまってはどんな対策をしても意味がありません。
そのため、従業者に対しては、次のことを行うことが求められています
・ 従業者を教育する、監督する
・ 雇用契約時に個人情報に関する秘密保持の制約を締結する
・ 秘密保持制約は、雇用期間終了後も有効であるようにしておく
・ 個人情報保護マネジメントシステムに違反した場合の罰則規定が明確になっている

3.4.3.4 委託先の監督
委託先が違反行為を行ってしまった場合、委託元となる事業者も責任を問われます。
そのためにも、確実な業者かどうかを管理監督しなければならないとされています。
管理監督の対象は次の通りです。
・ 契約前に評価し、評価基準に基づいて合格した場合に採用する。合格できなかった場合にどのような取り扱いをするか(不合格者に対する改善指示や、不合格でも承認する場合の措置など)
・ 委託先の安全管理の状態に関し求める水準を明確にしたうえで、実現できているか確認する。
・ 委託先と下記の内容を含めた適切な契約をし、個人情報の保有期間は契約を保存する。
    委託者と受託者の責任範囲がどのようになっているか
    個人情報の安全管理として実施しなければならないこと
    再委託(禁止するか、条件付きで許可するか)
    個人情報の取り扱い状況に関する報告をどのようにいつ行うか
    契約内容の遵守状況を委託者はどのように確認するか
    契約内容が遵守されなかった場合にはどうするか
    事件事故が発生した場合の報告連絡をどのように行うか
また、委託先は定期的に再評価することが求められています。

3.4.4 個人情報に関する本人の権利
3.4.4.1 個人情報に関する権利
個人情報に関する権利とは、本人が求めたときに、
・ どのような情報を事業者が保有しているのか開示させる
・ 情報の内容に誤りがあった場合に訂正させる
・ 情報の内容に不足があった場合は追加、不要なものがあった場合には削除させる
・ 利用を停止させる
・ 提供を停止させる
ことです。
事業者は、この権利を受け入れなければなりません。

ただし、これらに該当しない条件が次のようにあります。
・ 個人情報の存否が明らかになることで、本人や第三者の生命、身体または財産に危害が及ぶ可能性のあるもの
・ 個人情報の存否が明らかになることで、違法行為などを引き起こしてしまう可能性のあるもの
・ 個人情報の存否が明らかになることで、国家的な安全などに影響がある場合
・ 個人情報の存否が明らかになることで、犯罪の予防など、公共の安全、秩序維持に支障がある場合

重要なのは、自社の情報にこれらの条件に該当するものがあるのかを明確にしておくことです。
そのため、自社基準を作ることや、該当するものの洗い出しを行うことが求められます。

3.4.4.2 開示等の求めに応じる手続
開示等の求めがあったときのために、次のことを準備しておかなければならないとされています。
・ 受付窓口
・ 受け付け方法(提出書類など)
・ 本人確認方法(依頼者が本人か)
・ 手数料が必要となる場合の手数料の金額と、徴収方法(対応するのに必要最低限な手数料でなければならない)

3.4.4.3 開示対象個人情報に関する事項の周知など
取得している個人情報が開示対象の個人情報である、と認識した場合はその個人情報について、次の事項を本人の知りうる状態、Webに掲載しておくなどしなければならないとされています。
または、本人から求められた際には遅滞なく回答できるようになっていることでも可能です。
・ 事業者の氏名又は名称
・ 個人情報保護管理者の氏名又は職名、所属及び連絡先
・ 開示対象個人情報の利用目的
・ 開示対象個人情報の取り扱いに関する苦情の申し出先(連絡先)
・ 認定個人情報保護団体の対象になっている場合に認定個人情報保護団体の名称と苦情の申し出先(苦情相談窓口)
・ 開示に応じるための手続きの方法

3.4.4.4 開示対象個人情報の利用目的の通知
前述の通り、利用目的は開示しなければならないとされていますが、次の場合には応じなくてもよいとされています。
・ 本人の生命、身体や財産の保護のために緊急に必要で、目的を開示していない場合
・ 利用目的を通知することで、むしろ本人や第三者に不利益になってしまうような場合
・ 利用目的を通知することなどが、事業者の権利を害してしまう場合
また、利用目的がすでに周知されている内容で明らかになっている場合には、通知しなくてもよいことになっていますが、その際にはその理由を説明しなければならないとされています。

それ以外のときには、利用目的は通知しなければなりません。
そのためにも、利用目的の開示を求められたときに、開示をする手順を準備しておく必要があります。

3.4.4.5 開示対象個人情報の開示
個人情報の内容について開示を求められたとき、それが開示対象個人情報であれば、開示しなければならないとされています。
もし、その個人情報を取得していなかった場合には、個人情報が存在しないことを知らせることもあります。
また、開示する場合には書面によって開示することが求められていますが、本人が書面以外での開示を求めた場合には、本人と同意した方法で開示することが必要です。
・ 開示することが、本人または第三者の生命、身体、財産その他の権利利益を害する恐れがある場合
・ 開示することで、当該事業者の業務の実施に支障を及ぼす恐れがある場合(適用基準を定めることが必要)
・ 開示することが法令違反になってしまう場合

これらに該当しなかった場合には開示が必要です。
また、開示するときには、開示内容が適切であることを確認し、社内で承認する手順が必要になります。

3.4.4.6 開示対象個人情報の訂正、追加または削除
個人情報の内容が誤っている場合、情報の訂正、追加、削除については応じなければなりません。
ただし、法令によって手続きの方法が決まっている場合はその手続きに従わなければなりません。
また、訂正等が完了した時は、その結果を本人に通知しなければならず、訂正等を行わなかった場合もその決定について本人に通知しなければならないとされています。
応じない場合には、どのような場合には応じないのか、さらには応じないという結果の通知前に社内にて承認を得る必要があります。
これは、訂正を行った場合にも、本人に訂正結果として伝えることの承認を得なければなりません。

3.4.4.7 開示対象個人情報の利用または提供の拒否権
個人情報の利用を停止することが求められた場合や、消去、第三者提供を停止することが求められた場合は応じなければなりません。
また、停止等が完了した時は、その結果を本人に通知しなければならず、停止等を行わなかった場合もその決定について本人に通知しなければならないとされています。
応じない場合には、どのような場合には応じないのか、さらには応じないという結果の通知前に社内にて承認を得る必要があります。