顧客から預かる情報の取扱について解説を公表 (プライバシーマーク)


プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、2014年1月20日付けで「顧客から預かる情報の取扱いについて(解説)」という文書を公表されました。


「顧客から預かる情報の取扱いについて(解説)」



■「解説の概要」

従来、倉庫業、データセンター等の事業で「個人情報に該当するかどうかを認識することなく預かっている場合」には、その情報の中に含まれる個人情報については、事業の用に供していないと言える。と解説されていました。
今回の開設文書では、新たに「事業の用に供する個人情報と同等に取り扱う情報」という概念を設定し、個人情報に準じた取扱いを行うこととしています。
プライバシーマーク認定を受けている倉庫業、廃棄事業者、データセンター(ハウジング、ホスティング、クラウド)等の事業を営む事業者及び、情報を預ける委託者(顧客または委託者)は、今後はこの内容に従う必要があります。



■「対象となる事業者」

対象となるのは「倉庫業、データセンター(ハウジング、ホスティング、クラウド)等の事業」及び、情報を預ける委託者(顧客または委託者)です。
委託者については、委託者については、情報を預ける時点で個人情報が含まれる場合、管理がおこなわれてきたいと思いますが、明らかに個人情報を委託先に預ける場合には、同様の運用となります。



■「解説の説明」

従来、「当該情報が個人情報に該当するかどうかを認識することなく預かっている」情報については、それを事業の用に供する個人情報としなくてよいとされていました。

従来、個人情報が含まれているかを認識することなく預かっている情報も、「事業の用に供する個人情報と同等に取り扱う情報」という概念を設定し、そこに含めることとになりました。
また、これらの情報に関しては、個人情報管理台帳に「事業の用に供する個人情報と同等に取り扱う情報」として、リスク分析を実施し、適切な安全対策を立てることが求められることになりました。



             個人情報の特定・リスク分析、安全管理措置
顧客から預かる情報の種類 個人情報の特定  リスク分析 安全管理措置

事業の用に供する個人情報


  必要

  必要

  必要
事業の用に供する個人情報と
同等に取り扱う情報

  不要 ※

  必要

  必要

 ※ リスク分析のため、顧客から預かる情報を個人情報として管理台帳に登録必要




■運用のポイント

まず、「個人情報が含まれるかどうか」を顧客に確認する必要があります。
「顧客または委託先が個人情報が含まれていることを明示しない場合」には、「個人情報が含まれるか否かを顧客に確認する」ことが必要です。
顧客に確認した上でも、個人情報が含まれるかどうかがわからない場合には、「事業の用に供する個人情報と同等に取り扱う情報」して管理する必要があります。
また、明らかに個人情報であることが分かる場合には、従来どおり個人情報として取り扱う必要があります。

当然のことですが、明らかに個人情報であると分かる場合には従来通り個人情報として個人情報管理台帳に明記し、リスク評価をして、適切な安全管理策を実施する必要があります。
これは個人情報の取扱を委託する事業者側としては当然のことですが、「顧客管理ASP」や「医療カルテ保管業」、「メールサーバーのホスティング」のように明らかに個人情報であることを認識して情報を預かるような受託者も同様の管理が必要になります。



ナレッジソリュションズ コーポレーション
代表取締役 中村 豊成
Copyright(c) Knowledge Solutions Corporation.