JIS Q 15001 の改正に伴う実務対応

印刷

一般財団法人日本データ通信協会
P マーク審査部 主幹研究員
清水 政幸

1.はじめに

 今回のJIS Q 15001の改正の趣旨は、マネジメントシステム規格としての位置づけを明確化するとともに、平成29年5月30日に全面施行された改正個人情報保護法(以下、「改正法」という)に対応する管理策を追加したことである。
 JIS Q 15001:2017(以下、「改正JIS」という)では、①用語を改正法に合わせたこと、②外国にある第三者への提供の制限を追加したこと、③第三者提供に関わる記録の作成・確認などが追加されたこと、④匿名加工情報が追加されたことなどが主な変更点であり、従来からJIS Q 15001:2006(以下、「旧JIS」という)をベースに個人情報保護マネジメントシステム(以下、「PMS」という)を運用してきた企業にとって、改正法との差異が少なくなり、運用がやり易くなった。

2.個人情報の定義

 旧JISでは、個人情報の定義がJIS本文に記述されていた。しかし、改正JISでは、「用語及び定義は個人情報保護法による」とされた。そのため、従来はJISのみを参照していればPMSの運用が可能であったが、今回のJIS改正で改正法を含む以下の法令等を参照する必要性が顕在化した。

  • 個人情報の保護に関する法律
  • 個人情報の保護に関する基本方針
  • 個人情報の保護に関する法律施行令
  • 個人情報保護委員会規則
  • 個人情報保護委員会ガイドライン
  • 関係省庁ガイドライン
  • 認定個人情報保護団体の指針
  • 地方公共団体が制定する条例
  • 行政手続における特定の個人を識別するための番号の利用等に関する法律

(1)個人識別符号
 技術の進歩に伴い、個人情報の取扱いについて様々な問題が起こり得る状況が生じている。例えば、WebサイトでのID登録やCookieの取得によるターゲティング広告の表示など、取扱いによっては、経済的・精神的な被害が発生することも考えられる。そのため、今回の改正法では「個人識別符号」という類型が設けられた。個人識別符号の詳細は政令で定められているが、例えば、DNAの塩基配列、顔貌、虹彩の模様、声紋、指紋・掌紋、旅券番号、基礎年金番号、免許証番号、住民コード、個人番号などがある。

(2)要配慮個人情報と特定の機微な情報
 改正法に要配慮個人情報が導入されたことに伴い、改正JISもこれに準ずることとなり、例えば、旧JISで「特定の機微な個人情報」として規定されていた「勤労者の団結権,団体交渉その他団体行動の行為に関する事項」「集団示威行為への参加,請願権の行使その他の政治的権利の行使に関する事項」などについては改正JIS(改正法)には含まれていないなど微妙な差異が生じている。従来から旧JISに従った運用を実施しているのであれば、実務対応上は、特定の機微な個人情報も要配慮個人情報に含めて管理・運用すれば十分である。

3.外国にある第三者への提供

 外国にある第三者に個人データを提供する場合には、法令に基づく場合等の例外(法第23条1項各号)を除いて、あらかじめ外国にある第三者への提供を認める旨の本人同意を得る必要がある。
 第三者提供に係るフローチャートを図表1に示す。

図表1:第三者提供のフローチャート
出所:日置巴美「ビジネスシーンから考える改正個人情報保護法」(経団連出版)


(1)外国から除外される場合
 外国における個人情報の取扱いが日本国内で取り扱われることと同等と認められるのであれば、国内にある第三者提供に関する規則(法第23条)が適用される。
 その条件とは次のとおりである。

①  同等性認定による外国:我が国と同水準の個人情報保護制度を有していると個人情報保護委員会規則で定める国に所在する場合
②  基準適合体制を整備:個人情報保護委員会規則で定める基準に適合する体制を整備している場合

①について2018年6月時点では、委員会規則で定められている国はない。なお、現在、日本とEU間の個人データ移転について協議が行われており、今秋までに欧州経済領域(EEA)参加国が指定される模様である。
②については、次の事項が該当する。

・適切かつ合理的な方法による措置の実施の確保:例えば、個人情報の取扱い規定を含めた契約書や覚書の締結など
・国際的な枠組みに基づく認定:例えば、APEC越境プライバシーシール(CBPR)の認証を得ていることなど

(2)クラウド型サービスを利用する場合
 クラウド型サービス(例えば、Webメールやオンラインストレージなど)を利用する場合、国内であれば、「委託」による第三者提供と解釈され、本人同意は不要(法第23条5項)であったが、海外事業者が提供するサービスを利用する場合、法第24条が適用になり、「委託」は例外事項となっていないため、原則本人同意が必要となる。
 この場合、上述の⑴②基準適合体制を整備しているかどうかが問題となる。個人情報保護委員会のガイドラインによれば、委託契約において委託先(外国の第三者)が個人データを取り扱わない旨が規定されるとともに、適切なアクセス制御が行われていれば、基準適合体制を整備しているものと考えられ、本人同意を得る必要はない。しかし、「個人データを取り扱わない旨」がクラウド事業者の利用契約や約款に定められているか、これを交渉で獲得しない限り、当該サービス利用に係る本人全員の同意が必要となってしまう。実際問題として、既に取得済みの多数の個人情報について本人同意を得ることは膨大な時間やコストがかかり、事実上当該クラウドサービスの利用が不可能であるということもあり得るため、慎重な対応が必要である。
 さらに、クラウド事業者においてサーバの場所(国外であるか否か)を明らかにしてもらえない場合は、同等性認定を受けている外国への提供であるか否かも判断できないことになる点にも注意が必要である。

4.第三者提供の確認・記録義務

 個人データの第三者提供の確認・記録義務は、不正な個人情報の流通を抑止しつつ、個人情報の漏えい等の事故・事件が発生した際に、個人情報保護委員会が、転々流通する個人情報の取得の経路を迅速に把握し、トレーサビリティを確保するためのものである。
 第三者提供の確認・記録義務のフローチャートを図表2に示す。


図表2:第三者提供の確認・記録義務のフローチャート
出所:日置巳美「ビジネスシーンから考える改正個人情報保護法」(経団連出版)

(1)確認・記録義務を不要とする場合
 恒常的に個人データの第三者提供を行ってる企業にとっては、都度記録を作成することの負担が大きいことを配慮し、図表3の場合には確認・記録義務は不要である。
 また、次の場合は受領時には確認・記録が不要である。

・受領者にとって「個人データ」または「個人情報」に該当しない場合
・閲覧のみを行う場合
・一方的に個人データが送られてくる場合


図表3:確認・記録義務を不要とする場合
出所:筆者作成

⑵ 第三者提供を行う場合の記録など

・記録の作成方法:紙・電子媒体のどちらでもよく、伝送ログ等でも可
・記録の保管期間:3年(施行規則14条2号、3号)、契約書その他の種類は1年(同1号)
・記録事項:提供年月日、第三者の氏名、本人の氏名等、個人データの項目、本人の同意

⑶ 第三者から提供を受ける場合の確認

・確認方法:取得の経緯の記述を含む契約書、本人から得た同意書面等
・記録の作成方法と保存期間:⑵と同じ
・記録事項:本人同意による場合は、第三者の氏名、取得の経緯、本人の氏名等、個人データの項目、本人の同意

5.匿名加工情報

 個人情報を利用するためには、取得時に特定した利用目的の範囲での取り扱いが求められ、目的外利用や第三者提供を行う場合は、原則として本人の同意が必要である。しかし、既に大量の個人情報を保有している企業が新たなビジネスを検討するため、当該情報を第三者に提供するには本人同意の時間やコストがかかり、情報の利活用に支障が出ると言われていた。これを解決するために匿名加工情報という概念が導入された。匿名加工情報は特定の個人を識別できないように、かつ復元できないように加工した情報である。

(1)匿名加工情報への適正な加工
 匿名加工情報を作成するには最低限次の処理を行う必要がある。

・氏名や住所の一部など、特定の個人を識別できる記述の全部または一部の削除
・運転免許証番号やマイナンバーなどの個人識別符号の削除
・複数のデータベースの情報を連結するためのID(符号)の削除
・一般的に見て珍しい事実(例えば、症例数が極めて少ない病歴など)に関する記述の削除

(2)匿名加工情報を作成する場合
 上記の適正な加工に加え、次の事項が必要である。

・加工方法の情報漏えいを防ぐための安全管理措置の 実施
・匿名加工情報に含まれる情報項目の公表
・匿名加工情報を他の情報と照合することによる本人特定の禁止

(3)匿名加工情報を提供する場合
 作成した匿名加工情報を第三者に提供する場合は、次の事項が必要である。

・提供する匿名加工情報の項目とその提供方法の公表
・提供先に対して匿名加工情報であることを明示

(4)第三者から提供を受けた場合
 第三者から匿名加工情報提供を受けた場合は、次の事項が必要である。

・加工方法等情報取得を禁止
・匿名加工情報を他の情報と照合することによる本人特定の禁止

 しかし、一般的には匿名加工情報の作成方法が正しいかどうかは、個人情報の性質や利用目的により判断が分かれること、復元されてしまうリスクを的確に認識する
ことは非常に困難であるのが実態であろう。そのため、匿名加工情報の作成に当たっては、自社の所属する認定個人情報保護団体に相談することが望ましい。

6.おわりに

 今回のJIS改正が、昨年改正された個人情報保護法に対応したことで、従来からPMSを運用してきた企業にとっては、改正JISに適用したPMSを運用することで法を遵守するための手順を手に入れたと考えるべきであろう。一方、直接書面取得時の同意や、個人情報と個人データなどJISが法の上乗せになっている部分や、今回の改正で追加された部分(外国にある第三者への提供など)の例外事項がJISには記載されていないなど、更なる改正が望まれるところである。幸いなことに改正JISの附属書(参考)には、規格の補足説明(運用上のガイドラインとも言える)が記載されているので、PMS運用実務において参考にされたい。