JAOHICマークの審査基準は、個人情報の保護に関する法律についてのガイドライン、特定個人情報の適正な取扱いに関するガイドライン(事業者編)にどれだけ適合しているかというものです。
今回は、こちらのJAPHICマークの審査基準の考え方の根源である“OECD8原則”について解説したいと思います。
OECD8原則の概要
そもそもOECDとは、Organization for Economic Co-operation and Developmentの略で、経済協力開発機構のことをいいます。
世界中の経済、社会福祉の向上を促進するための活動を行う国際機関で、1961年に設立されました。
その前身は、1948年に欧州16ヵ国で発足したOEEC(欧州経済協力機構)です。
本部はパリにあり、欧州を中心に、日米など先進38ヵ国が加盟しています。
また、OECD8原則とは、こちらのOECD理事会で採択された“プライバシー保護と個人データの国際流通についての勧告”の中で挙げられている、8つの原則ことを指しています。
1980年9月に発表されたもので、日本を含む各国の個人情報保護の考え方の基礎になっています。
つまり、個人情報保護に関する第三者認証であるJAPHICマークの審査基準においても、こちらの原則が根源になっているということです。
OECD8原則の項目
OECD8原則は、その名称の通り、以下の8つの項目によって構成されています。
・収集制限の原則
・データ内容の原則
・目的明確化の原則
・利用制限の原則
・安全保護の原則
・公開の原則
・個人参加の原則
・責任の原則
収集制限の原則
収集制限の原則は、「個人データの収集には制限を設けるべきであり、いかなる個人データも、適法かつ公正な手段により、かつ適当な場合には、データ主体に知らしめまたは同意を得た上で収集されるべきである」という考え方です。
データ内容の原則
データ内容の原則は、「個人データはその利用目的に沿ったものでなければならず、かつ利用目的に必要な範囲内で正確、完全であり、最新の状態を保たなければならない」とする原則です。
目的明確化の原則
目的明確化の原則は、「個人データを収集する目的を明確にし、データを利用する際には収集したときの目的に合致しているべきである」という考え方です。
利用制限の原則
利用制限の原則は、「個人データは、目的明確化の原則によって明確化された目的以外の目的のために開示、利用その他の使用に供されるべきではないが、データ主体の同意がある場合、法律の規定による場合はこの限りではない」とする原則です。
安全保護の原則
安全保護の原則は、「個人データは、紛失または不正アクセス、破壊、使用、修正、開示等の危険に対し、合理的な安全措置により保護されなければならない」という原則です。
公開の原則
公開の原則は、「個人データに関わる開発、運用および政策については、一般的な公開の政策が取られなければならない」という考え方と、「個人データの存在、性質およびその主要な利用目的とともにデータ管理者の識別、通常の住所をはっきりさせるための手段が容易に利用できなければならない」という考え方で構成される原則です。
個人参加の原則
個人参加の原則は、「個人は、データ管理者が自己に関するデータを有していることを確認すること、自己に関するデータを合理的な期間内に、過度にならない費用で、合理的な方法かつわかりやすい形で自己に知らしめること、自己に関するデータに異議を申し立て、異議が認められた場合にはそのデータを消去、修正、完全化、補正させることの権利を有する」という原則です。
責任の原則
責任の原則は、「データ管理者は、他の7つの諸原則を実施するための措置に従う責任を有する」という項目です。
まとめ
JAPHICマークの審査基準の考え方の根源であるOECD8原則について解説しましたが、いかがでしたでしょうか?
個人情報を扱う事業者は、事業規模などにかかわらず、こちらの原則について理解することがとても重要です。
また、こちらの原則を理解することで、JAPHICマークの取得、マーク取得後の適切な個人情報保護体制の構築にもつながります。
