（画面はJIPDECサイトより）

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、1月20日付けで「顧客から預かる情報の取扱いについて（解説）」という文書を公表しました。この中で、倉庫業、データセンター等の事業で「個人情報に該当するかどうかを認識することなく預かっている場合」について、新たに「事業の用に供する個人情報と同等に取り扱う情報」という概念を設定し、個人情報に準じた取扱いを行うこととしています。プライバシーマーク認定を受けている倉庫業、データセンター（ハウジング、ホスティング）等の事業を営む事業者は、今後はこの内容に従う必要があります。

今回の内容をまとめると、下記のようになると思われます。（あくまでも私の理解によるものです）

（１）対象となるのは「倉庫業、データセンター（ハウジング、ホスティング）等の事業」

今回の対象となるのは「倉庫業、データセンター（ハウジング、ホスティング）等の事業」であって、「当該情報が個人情報に該当するかどうかを認識することなく預かっている」情報については、それを事業の用に供する個人情報としなくてよいとされていたものです。

（２）新たに「事業の用に供する個人情報と同等に取り扱う情報」という概念を設定

上記（１）に含まれる情報に関しては、「事業の用に供する個人情報と同等に取り扱う情報」という新たな概念を設定し、そこに含めることととされました。また、これらの情報に関しては、個人情報管理台帳に「事業の用に供する個人情報と同等に取り扱う情報」という一行を追加して、リスク分析を実施し、適切な安全対策を立てることが求められます。


（画面は「顧客から預かる情報の取扱いについて（解説）」より）

（３）「個人情報が含まれるかどうか」を顧客に確認することを要求

また、今回の文書においては「顧客が個人情報が含まれていることを明示しない場合」に「個人情報が含まれるか否かを顧客に確認する」ことを求めています。これは新たな内容だと思います。その上で、個人情報が含まれるかどうかが確認できない場合に「事業の用に供する個人情報と同等に取り扱う情報」にするとされています。

（４）明らかに個人情報であると分かる場合には、従来どおり個人情報として取り扱うこと

当然のことですが、明らかに個人情報であると分かる場合には従来通り個人情報として個人情報管理台帳に明記し、リスク評価をして、適切な安全管理策を実施するとされています。これは個人情報の取扱を委託する事業者側としては当然のことですが、「顧客情報管理ASP」や「医療カルテ保管業」のように明らかに個人情報であることを認識して情報を預かるような受託者が含まれます。

http://privacymark.jp/news/2014/0120/index.html

（私のコメント）
今回の発表はどうしても先日の「（スマートフォン等のアプリケーション配信事業者対象）利用者情報の取扱い、アプリケーション・プライバシーポリシーについて」と比較してしまいますね。厳密な意味での個人情報に当たらない情報に対して、個人情報に準ずる取扱いを求めるという点では同様です。そこで求めてられている要求もほぼ同様です。しかし、名称が微妙に異なるのです。

　委託される情報＝「事業の用に供する個人情報と同等に取り扱う情報」（今回の記事）
　スマホでの情報＝「個人情報と同等に取り扱う利用者情報」（前回の記事）

ただ、名称が違うからややこしいから何とかしろというつもりはありません。これも、移行期における混乱の一つと受け止めるべきかと思います。何の移行期かということについては、別途「個人情報保護法の改正作業始まる」というタイトルで記事を書きますので、少々お待ちください。