第125回 開示の対応?個人情報保護法で、もう既にやっただろう。
中村「部長!新JIS対応の個人情報の開示や訂正を、検討しましょう。」
部長「昨年4月の個人情報保護法のときに、もう既にやっただろう。」
中村「Pマーク取得企業は、個人情報保護法よりもやることが多いです。」
部長「そりゃそうだ。でも新JISは個人情報保護法とあっていない旧JISを改訂したものだと理解していたが・・。」
中村「そうですねー部長風に言うと、新JISはキビシイんですよ。」
部長「うへー、まだキビシクなるのか・・・。」
キビシイというより、明確化したと言う方がよいと思います。
たとえば、個人情報に関する情報主体の権利(3.4.4)。
旧JISでは、わずか2項目6行。
新JISでは、7項目70行にわたって具体的に書かれています。
その項目は・・・
3.4.4.1 個人情報に関する権利
3.4.4.2 開示等の求めに応じる手続き
3.4.4.3 開示対象個人情報に関する事項の周知など
3.4.4.4 開示対象個人情報の利用目的の通知
3.4.4.5 開示対象個人情報の開示
3.4.4.6 開示対象個人情報の訂正、追加または削除
3.4.4.7 開示対象個人情報の利用または提供の拒否権
個人情報保護法に既に対応している企業ならば、あまり問題はありません。
やらなければならないことは、ほぼ同じです。
ただし、相違点が大きく2つあります。
■対象となる個人情報の範囲が違う
開示、訂正、利用停止等の対象となる個人情報の範囲は、旧JIS、新JIS、個人情報保護法のそれぞれで異なります。
対象の範囲の関係は、おおまかに下記のようになります。
旧JIS > 新JIS > 個人情報保護法
(1)旧JIS
「情報主体から自己の情報について開示を求められた場合は・・・」
となっており、個人情報の範囲を限定していません。
したがって、全ての個人情報が対象です。
(2)新JIS
対象となる個人情報は「開示対象個人情報」です。
検索性があり、事業者が、本人から求められる開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止の求めのすべてに応じることができる権限を有するものです。
個人情報の取り扱いを委託された個人データや、適用除外のものは対象外になります。
(3)個人情報保護法
対象となる個人情報は「保有個人データ」です。
開示対象個人情報とほぼ同じ意味ですが、開示対象個人情報は、保有する期間を制限していないのに対して、保有個人データでは6カ月以内に消去する個人データは開示の対象になりません。
今まで、個人情報保護法に対応して開示や訂正等の対応をしてきた企業も、対象となる個人情報を見直した方がよいと思います。
