<< 最近の指摘事項の傾向と対策(31)「3.4.4.6 開示対象個人情報の訂正,追加又は削除」と「3.4.4.7 開示対象個人情報の利用又は提供の拒否権」 | TOP
| 「プライバシーマーク運用・更新セミナー」〜より容易に運用できるマネジメントシステムを実現する方法〜 >>
2009年07月07日
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正案に対する意見公募について
ご存知の通り、2009年6月30日に表題の件が公示されました。
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595109052&OBJCD=&GROUP=
そこでその「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン改正案」にざっと目を通してみました。
印象としては、
1. 事例が拡充した
2. 消費者保護に関する諸団体からの要望が盛り込まれているみたい
1.については言うまでもありませんね。特に法第16条第3項第1号関連の事例は「しつこい」くらいです。さまざまな機関や団体が、「個人情報保護法を理由に情報提供を拒まれる」という問題に直面したんだろうな、ということが推測されます。
2. 例えば「消費者等、本人の権利利益保護の観点から...本人からの求めに一層対応していくことが望ましい」などというよくわからない表現が今回から導入されていて、これらは恐らく消費者センターなどに寄せられた苦情を考慮したものだと思われます。それにしても「一層」とはどういうことだ? これまでまじめに取り組んできた会社もそうでない会社も一律に、今までどおりでは十分ではなく、さらに何かしろと? このような表現が入り込むと、あまりガイドにならない「ガイドライン」になるのではないでしょうか。
まだ気が早いですが、これが発効したとして、プライバシーマークの審査において予想されることを考えてみました。
今回改正案として挙げられている修正箇所のほとんどは、プライバシーマークを取得している事業者にとってはすでに行っていること、あるいはその内容をより詳細に説明しているだけだろう思います。なのでこれが審査に大きく影響はしないと思いますが、いくつか追加で指摘されそうな項目を挙げると、
・個人情報の取扱いを委託する場合は、単に委託するということだけでなく、委託する事務の内容を明らかにすること(2-2-3-4.委託先の監督?B P. 39)
・開示対象個人情報の開示の求めが合った場合は、個人情報の取得元又は取得方法(取得源の種類等)を、可能な限り具体的に明記するよう規定すること(2-2-5-2.保有個人データの開示 P. 51)
・「個人情報保護を推進する上での考え方や方針」の中に「個人データの委託を行うこと」と「委託する事務の内容」が盛り込まれていないので、盛り込むこと。(5.個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格 (イ) P. 63)
・「個人情報保護を推進する上での考え方や方針」の中に、個人情報の取得元又は取得方法(取得源の種類等)を可能な限り具体的に明記したり、本人から求めがあった場合には、ダイレクトメールの発送停止等自主的に利用停止に応じたりするなど、事業活動の特性、規模、実態を考慮して、本人からの求めに対応していくことが盛り込まれていないので、盛り込むこと。(5.個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格 (オ) P. 63)
いずれにしても、大したことにはならないでしょう。プライバシーマークを取得しようとしている事業者は、指摘事項に対して粛々と改善するだけですね。
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595109052&OBJCD=&GROUP=
そこでその「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン改正案」にざっと目を通してみました。
印象としては、
1. 事例が拡充した
2. 消費者保護に関する諸団体からの要望が盛り込まれているみたい
1.については言うまでもありませんね。特に法第16条第3項第1号関連の事例は「しつこい」くらいです。さまざまな機関や団体が、「個人情報保護法を理由に情報提供を拒まれる」という問題に直面したんだろうな、ということが推測されます。
2. 例えば「消費者等、本人の権利利益保護の観点から...本人からの求めに一層対応していくことが望ましい」などというよくわからない表現が今回から導入されていて、これらは恐らく消費者センターなどに寄せられた苦情を考慮したものだと思われます。それにしても「一層」とはどういうことだ? これまでまじめに取り組んできた会社もそうでない会社も一律に、今までどおりでは十分ではなく、さらに何かしろと? このような表現が入り込むと、あまりガイドにならない「ガイドライン」になるのではないでしょうか。
まだ気が早いですが、これが発効したとして、プライバシーマークの審査において予想されることを考えてみました。
今回改正案として挙げられている修正箇所のほとんどは、プライバシーマークを取得している事業者にとってはすでに行っていること、あるいはその内容をより詳細に説明しているだけだろう思います。なのでこれが審査に大きく影響はしないと思いますが、いくつか追加で指摘されそうな項目を挙げると、
・個人情報の取扱いを委託する場合は、単に委託するということだけでなく、委託する事務の内容を明らかにすること(2-2-3-4.委託先の監督?B P. 39)
・開示対象個人情報の開示の求めが合った場合は、個人情報の取得元又は取得方法(取得源の種類等)を、可能な限り具体的に明記するよう規定すること(2-2-5-2.保有個人データの開示 P. 51)
・「個人情報保護を推進する上での考え方や方針」の中に「個人データの委託を行うこと」と「委託する事務の内容」が盛り込まれていないので、盛り込むこと。(5.個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格 (イ) P. 63)
・「個人情報保護を推進する上での考え方や方針」の中に、個人情報の取得元又は取得方法(取得源の種類等)を可能な限り具体的に明記したり、本人から求めがあった場合には、ダイレクトメールの発送停止等自主的に利用停止に応じたりするなど、事業活動の特性、規模、実態を考慮して、本人からの求めに対応していくことが盛り込まれていないので、盛り込むこと。(5.個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格 (オ) P. 63)
いずれにしても、大したことにはならないでしょう。プライバシーマークを取得しようとしている事業者は、指摘事項に対して粛々と改善するだけですね。
この記事へのコメント
コメントを書く
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/30366846
この記事へのトラックバック
http://blog.sakura.ne.jp/tb/30366846
この記事へのトラックバック