JAPHICマークを取得するにあたって、事業者は現状の個人情報保護体制を見直し、審査基準をクリアできるように整備しなければいけません。
このとき、整備する項目の一つに、適正な個人データの管理が挙げられます。
今回は、こちらの内容について解説していきたいと思います。
個人データの定義
ここでいう個人データとは、個人情報データベース等を構築する個人情報を指しています。
個人情報データベース等とは、特定の個人情報をコンピュータによって検索できるよう、体系的に構成した個人情報を含む情報の集合体、あるいはコンピュータを用いていない場合でも、紙面で処理した個人情報を一定の規則に従って整理し、特定の個人情報を容易に検索できるような状態に置いているものをいいます。
例えば、病院やクリニックなどの診療記録、介護関係の記録などは、通常体系的に整理され、特定の個人情報を容易に検索できる状態で保有していることから、個人データに当てはまります。
JAPHICマーク取得事業者に求められる適正な個人データの管理とは?
個人データを取り扱う事業者は、適正な管理を行うために、以下のような項目の整備が求められます。
・データ内容の正確性の確保
・安全管理措置
・従業者の監督
・委託先の監督
データ内容の正確性の確保
JAPHICマーク取得を目指す事業者は、個人情報データベース等に個人データを入力する際の照合、確認の手続きを整備しなければいけません。
また、個人データに誤りがあった場合には、あらかじめ定められた手順に基づき、訂正を行う必要があります。
その他、個人データの記録事項における更新、保存期間の設定や、個人データを使用しなくなった場合の消去なども求められます。
安全管理措置
こちらは、個人データ以外の個人情報にも言えることですが、JAPHICマークの取得を目指す事業者は、自社が取り扱う個人データの漏えい、滅失などを防止するために、必要かつ適切な措置を講じなければいけません。
従業者の監督
ここでいう従業者とは、個人情報または個人データを取り扱う事業者において、直接または間接に事業者の指揮監督を受け、業務を行っている者を指しています。
具体的には、直接的な雇用関係にある正社員や契約社員、パート社員、アルバイト社員だけでなく、当然取締役や上層部の執行役、理事、監査役、監事、派遣社員なども含まれます。
また、JAPHICマークの取得を目指す事業者は、従業者に個人データを扱わせるにあたって、安全管理措置を遵守させるよう、必要な監督を行わなければいけません。
委託先の監督
個人データを取り扱う事業者は、これらの管理等を他の事業者に委託することがありますが、JAPHICマークの取得を目指すのであれば、こちらの項目についても整備が必要です。
具体的には、委託先が適切な安全管理措置を行っているかどうか監督することや、委託契約時、当該個人データの取扱いに関する必要かつ適切な安全管理措置として、委託元、委託先の両方が同意した内容を盛り込むことなどが挙げられます。
また、委託先において、委託契約で盛り込んだ内容の実施の程度をチェックするため、定期的に監査を行うなどの対策を取ることも求められます。
ちなみに、委託先の事業者が新たにアウトソーシングで管理を委託する再委託においても、大元の委託元は、同じように再委託先において適切な安全管理措置が行われているかなどを確認しなければいけません。
まとめ
ここまで、JAPHICマークの取得事業者に求められる、適正な個人データの管理について解説してきましたが、いかがでしたでしょうか?
上記の項目をあらかたクリアしなければ、いくら審査が緩やかなJAPHICマークとはいえ、取得するのは難しくなります。
もちろん、個人情報保護に関することは、これら以外にもまだまだ適合させなければいけない項目があるため、注意が必要です。
