2022-03-25_11h42_57
(画面はプライバシーマーク公式Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、プライバシーマークの実施要領を改訂し、4月1日より施行すると発表しました。

今回の改訂は、

 欠格事項及び判断基準(JIP-PMK510)
 個人情報の取扱いに係る重大な事故等についての対応手続き(JIP-PMK511)

を廃止し、
 プライバシーマーク付与適格性審査の実施基準(JIP-PMK220)
 プライバシーマーク付与に関する規約(JIP-PMK500)

の内容を変更するものです。

これにより、事業者に影響がある変更点は、下記の通りと思われます。

(1)事故等の報告義務の厳格化

従来、JIP-PMK500の文書の中で、個人情報の取り扱いに関する事故を起こした場合には、「可及的速やかに」審査機関に報告しなればならないとされていましたが、具体的な日数などは記載されていませんでした。今回の改訂後は、「原則として30日以内に」報告することが義務付けられました。

また、下記の条件にあたる場合には、「速報として概ね3〜5日以内に」報告することとされました。
 〕彷枸幻朕余霾鵑含まれる事故(またはその恐れがある)
 ∈盪催被害が生じる恐れがある事故(または発生した恐れがある)
 I埓汽▲セスによる事故(またはその恐れがある)
 じ朕優如璽燭遼椰佑凌瑤1000件を超える事故(またはその恐れがある)
 イ修梁勝付与機関がPマーク審査基準における重大な違反がある(またはその恐れがある)と認める場合 

(2)本人通知の義務化

今回の法改正により、本人通知の義務化が行われましたが、プライバシーマークの実施要領の中でも同じ基準での本人通知の義務が記載されています。ここまでは法対応なので、特に記載されていてもいなくても事業者には実施義務が発生しますが、さらに新しいJIP-PMK500の文書では「正当な理由なく公表しない付与事業者に対して、当該事項の公表を要請することができ」るとしています。審査機関、付与機関としてもここに関してコミットしようということのようです。

(3)事故などによる欠格性の判断におけるレベル制の廃止

従来、JIP-PMK510の文書の中で、事故などによる欠格性を判断する際、0から10までの数字で表現された欠格レベルを使用していました。今回の改訂後は、この数字による欠格レベルは廃止され、様々な要因を総合的に判断して措置が決定されることになったようです。

改訂前
2022-03-25_12h36_06
改訂後
2022-03-25_12h35_16

(4)欠格事由の記載の変更(実質的な変更はないと思われます)

従来、JIP-PMK510の文書の中で、プライバシーマーク付与適格性を有しないものとして、「インターネット異性紹介事業者」という項目があり、詳細に条件が記載されていました。今回の改訂後は、JIP-PMK500の文書の中で「付与機関(JIPDEC)が指定する業種、業態、サービス等」という表記になり、具体的には「『性風俗関連特殊営業』『インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律に違反している者』」として、プライバシーマークのWebサイトに掲載することになったようです。

https://privacymark.jp/news/system/2022/0228_1.html

(コメント)
同じく4月1日に施行される改正個人情報保護法と歩調を合わせた変更です。皆様ご対応ください。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。



週に一回程度、更新情報をお届けします

こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)

メンバー募集

オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!

✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報

興味がある方、ぜひこちらからご連絡ください!