概要

フォトクリエイトでは、様々なイベントで撮影された写真をご本人様に提供しております。
その写真は個人情報として取り扱わなければならず、ご本人様に安心してサービスをご利用いただきたいと考えています。
Pマークを取得することで、個人情報を適切に取り扱うための運用を継続しております。
本記事では、JIS規格が改訂されて初めてPマークの更新審査を受けたのでポイントをお話ししたいと思います。

前提知識

Pマークとは

「プライバシーマーク」の略で、JIPDEC（一般財団法人日本情報経済社会推進協会）が創設した制度。
JIS Q 15001に適合していないと取得できません。
2年に1回更新審査を通らなければなりません。

JIS Q 15001とは

個人情報保護マネジメントシステム ― 要求事項
個人情報を保護するためにこういうことをしなさいというのが書いてある文書です。
2017年に個人情報保護法の改正に合わせて改訂されました。
https://ja.wikipedia.org/wiki/JIS_Q_15001

Pマーク取るとどうなるの？

２年毎に更新審査があるので、適切な運用が継続できます。
個人情報保護法遵守よりも厳しい対応が求められます。
具体的には、個人情報取得時に事前同意が必要になる点。
外部に「ちゃんとしてますよ」アピールができます。

社内における個人情報保護の運用

1年単位で以下のことを実施しなければなりません。

従業員教育
運用点検
内部監査
運用見直し
委託先監督

これだけでも結構大変です。

フォトクリエイトでの運用ポイント

フォトクリエイトでは写真が商品として取り扱われています。
インターネット写真販売業界では初のPマーク取得事業者となりました。
最初は審査員も「写真＝個人情報なの？」って困惑していました。
「個人を特定できる情報」という法の定義に照らせば、顔が写っていれば個人情報であると言えます。
なので、写真は全て個人情報として取り扱っています。

Web掲載＝第三者提供なので法律上も事前同意が必須です（改正後）。
撮影前の本人との接点はイベント主催者や幼稚園等になります。
そこで同意を得てもらわなければなりませんので、なかなか大変です。

事業サイドが新しい取り組みを始めるにあたって、決まってから相談をしてきたり。。。
法を侵さないことはもちろんのこと、ご本人様に納得していただけるよう考えています。

文書審査

JIPDECが委託している審査団体に審査の申し込みをします。
申請書の書式がJIS改訂前とは変わっていました。
以下の書類を印刷して郵送します（まだ紙文化w）

更新審査申請書
定款
履歴事項全部証明書
社内文書一式（2cmくらいの厚さ）

書類送付から1ヶ月後くらいに現地審査の日程について電話で連絡が来ます。
その連絡の1ヶ月後くらいに設定されます。

現地審査

ここからが本番！
7時間くらい審査員としゃべりっぱなしになるので体力が必要です。
社内での承認の履歴とかサイトのここダメじゃね？って言われたり。。。
JISの要求事項を元に質問攻めになることを覚悟しておきましょう。
今年で５回目の審査でしたが、基本的に現地審査の審査員は毎回違う人になります。
人によって見るところも指摘も違うので柔軟な対応が必要になります。

こんなことをチェックされます

委託先との契約関連
- データの保持期間と破棄についての記載が契約書にあるか
- 特定個人情報の記載についての記載が契約書にあるか
書類の破棄記録について現物確認
管理台帳の現物確認
苦情や問い合わせの記録を残しているか
運用点検の記録
匿名加工情報について、社内規定と公表文書があるか

JIS改訂の影響

個人情報の管理台帳に「利用期限」・「保管方法」というのが必要
関連する法令一覧でマイナンバー法を特定しておく
従業員教育時にプライバシーポリシーの説明をしなければいけない（教育資料に本文を載せなければならない）
内部監査のチェックシートを新JISに合わせる
以下を社内規定に入れる必要がある
- 外国にある第三者への提供について
- 第三者提供時と受領時の記録を保管することについて

あとがき

ここに書いた情報はあくまでフォトクリエイトが対応したことです。
これが全てではありませんし、不要なこともあるかもしれません。
フォトクリエイトでは一緒に情シスとして会社を裏から支えてくださる方を募集しております。少しでもご興味をお持ちいただけたようでしたら、人事部門の担当者 @tetsunosuke へお知らせください。

新JIS対応でPマーク更新審査を受けた話

概要