今回は、2024年10月1日から施行される「JISQ15001:2023」(以下「新JISQ」とします)の改訂ポイントの解説(後編)をお送りします。なお、基本的に、2024年3月13日にJMRAで行った「JMRAプライバシーマーク説明会」で当職が講演した「新JISの改訂ポイント」の内容と同じとなります。ご承知おきください。
5 改訂ポイント⑤オプトアウト手続きの上乗せがなくなった
個人情報保護法27条2項は、「第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。~以下略~」としています(いわゆる「オプトアウト手続」)。
これに対して、JISQ15001:2017(以下「現行JISQ」とします)のA.3.4.2.8は「組織は,個人データを第三者に提供する場合には,あらかじめ,本人に対して,A.3.4.2.5のa)からd) に示す事項又はそれと同等以上の内容の事項,及び取得方法を通知し,本人の同意を得なければならない。ただし,次に掲げるいずれかに該当する場合は,本人に通知し,本人の同意を得ることを要しない。」とした上で、「b) 本人の同意を得ることが困難な場合であって,法令等が定める手続に基づいた上で,次に示す事項又はそれと同等以上の内容の事項を,あらかじめ,本人に通知するか,又はそれに代わる同等の措置を講じているとき」と定めています。つまり、個人情報保護法のオプトアウト手続に「本人の同意を得ることが困難な場合」という要件が上乗せされ、Pマーク取得事業者にとってオプトアウト手続による第三者提供は利用しづらい制度になっていました。
新JISQでは、「A.14 第三者提供の制限」において、「法令に基づく場合~略~は,本人に通知し,本人の同意を得ることを要しない。」として、オプトアウト手続による第三者提供は、上乗せ要件が無くなり個人情報保護法と同じ水準で可能になりました。
6.改訂ポイント⑥共同利用の上乗せ要件の一部がなくなった
個人情報保護法27条5項は、「特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。」(3号)は、「当該個人データの提供を受ける者は~略~第三者に該当しないものとする」としています(いわゆる「共同利用」)。
これに対して、現行JISQでは、A.3.4.2.8のf)で「個人データを共同利用している場合であって,共同して利用する者の間で,A.3.4.2.7に規定する共同利用について契約によって定めているとき」に本人の同意なく個人データを第三者に提供できるとし、さらに、当該提供を受けた共同利用者による本人への連絡又は接触に際しては 、A.3.4.2.7のd) として「個人情報が特定の者との間で共同して利用され,共同して利用する者が,既にA.3.4.2.5のa)からf) に示す事項又はそれと同等以上の内容の事項を明示又は通知し,本人の同意を得ている場合であって,次に示す事項又はそれと同等以上の内容の事項(※各事項は省略します)を,あらかじめ,本人に通知するか,又は本人が容易に知り得る状態に置いているとき(以下,“共同利用”という。)」 にのみ、本人に連絡又は接触することができるとしていました。つまり、現行JISQは個人情報保護法と比較して、「共同利用について契約によって定めること」と「共同利用者の本人への連絡に際しては、共同して利用する他のいずれかの者が,既にA.3.4.2.5のa)からf) に示す事項又はそれと同等以上の内容の事項を明示又は通知し,本人の同意を得ていること」を上乗せ条件としていました。
これに対して、新JISQでは、A.8(本人に連絡又は接触する場合の措置)、A.14(第三者提供の制限)いずれの場面においても、「特定の者との間で,適法かつ公正な手段によって,共同して利用されている場合であって,共同して利用するものとの間で共同利用について契約によって定めているとき」は、本人同意を得ることを要しないとしています。つまり「契約によって定める」という上乗せ条件はありますが、個人情報保護法水準に近づいたことになります。
7.改訂ポイント7 個人情報保護方針 2つが1つに
現行JISQでは、「(内部向け)個人情報保護方針」と「(外部向け)個人情報保護方針」を分けて規定し、「(外部向け)個人情報保護方針」にのみ、制定年月日及び最終改正年月日、内容についての問い合わせ先の記載を要求していました。
しかしながら、多くのPマーク取得事業者は「(内部向け)個人情報保護方針」にも制定年月日及び最終改正年月日、内容についての問い合わせ先の記載し、「内部向け」と「外部向け」を区別しませんでした。
そこで、新JISQでは、5.2.1(個人情報保護方針)、5.2.2(個人情報保護方針の記載事項)において個人情報保護方針について規定していますが、「内部向け」と「外部向け」の区別を廃しました。
8.改訂ポイント8 匿名加工情報、仮名加工情報、個人関連情報の特定手順
現行JISQは2017年に制定されたため、2017年当時に個人情報保護法に規定されていなかった匿名加工情報、仮名加工情報、個人関連情報については、当然、何も規定されていませんでした(もちろん法令(個人情報保護法)への対応は必須なので、法令対応という観点からこれらの情報の利用の有無、利用がある場合の対応等は、現行JISQでもPマーク新規・更新審査のチェックポイントになっていますが)。
新JISQでは、6.1(個人情報の特定)において、個人情報のみならず、仮名加工情報、匿名加工情報、(提供先の第三者において個人情報になることが想定される)個人関連情報の特定手順を確立し、維持すること」が明記されました。
以上、新JISQの主たる改訂ポイント8つでした。
<重要>新JISQへの移行スケジュールについて
冒頭で言及しているとおり、新JISQは今年(2024年)10月から運用が開始されます。従前のJISQ改訂時には、旧JISQと新JISQのどちらでも更新審査請求することができる「移行期間」が設けられていましたが、今回は「移行期間」は設けられていません。
したがって、2024年10月1日以降に更新を申請する場合には、新JISQが審査基準となります(但し、2024年9月30日までの運用記録は現行JISQに基づく実績が確認されます)。他方、9月30日までに更新申請すれば、文書審査や現地審査が2024年10月以降であっても審査基準は現行JISQのままとなります。
JMRAとしても、新JISQの運用開始に間に合うように「マーケティング・リサーチ産業 個人情報保護ガイドライン」(いわゆる「青本」)を完成させたり、新JISQに対応した基本規程雛形の提供できるように努力していますが、時間的にはかなり厳しい状況です。
他方、Pマークの更新申請は「有効期間満了日の8カ月前の日から4カ月前の日まで」と定められています。つまり、現在お持ちのPマークの有効期間が2025年5月31日までのPマーク取得事業者は、2024年9月30日に更新申請すれば、現行JISQを審査基準とした審査を受けることができます。
JMRAとしては、Pマークを取得している正会員(事業者)のためはもちろん、JMRAのPマーク審査会も余裕をもって新JISQによる審査を行えるように、Pマークの有効期間が2025年5月31日までのPマーク取得済み正会員(事業者)に対しては、2024年9月30日までに更新申請書をJMRAにご提出いただくことを強く推奨いたします。
10月に入ってしまうと、制度上審査基準を新JISQにせざるを得ませんので、どうか忘れずに9月30日までに更新申請書をご提出ください(おそらく9月30日までに駆け込み申請が殺到するはずなので実際の更新審査そのものは早くても年明けになってしまう可能性も高いと予想しています)。