APEC / CBPR 認証 申請ガイドブック
平成 28 年 6 月
一般財団法人日本情報経済社会推進協会
目次
1 はじめに ... 2
2 APEC/CBPRの概要 ... 3
3 CBPRの申請について ... 5
3.1 申請の資格 ... 5
3.2 申請時に必要なもの ... 5
3.3 CBPRの手続きについて ... 6
4 CBPRの概要 ... 8
4.1 CBPRで確認すること... 8
4.2 事前質問書の記載項目について ... 10
4.3 事前質問書で提出する根拠文書 ... 11
4.3.1 事前質問書で提出する根拠文書 ... 12
4.3.2 根拠文書等に記載が求められるポイント ... 13
5 審査のポイント ... 36
5.1 通知(質問1から4) ... 37
5.2 取得の制限(質問5から7) ... 42
5.3 個人情報の利用(質問8から13) ... 44
5.4 選択(質問14から20) ... 48
5.5 個人情報の完全性(質問21から25) ... 52
5.6 セキュリティ対策(質問26から35) ... 54
5.7 アクセスおよび訂正(質問36から38) ... 60
5.8 責任(質問39から50) ... 65
6 エンフォースメント(執行)について ... 70
7 CBPR申請に係る相談窓口 ... 72
2
1 はじめに
APEC(アジア太平洋経済協力;Asia-Pacific Economic Cooperation)では、
2004 年に APEC プライバシー原則を定め、これに基づく国内個人情報保護制度の 策定をこれまでAPEC参加国・地域(エコノミー)に勧奨してきました。
一方で、ビジネスのグローバル化に伴い、個人情報が頻繁に国境を越えて移転す る状況下、越境個人情報の保護が課題となっています。このような観点から、APEC では、個人情報が国境を越えて移転しても APEC プライバシー原則に基づき保護さ れ る よ う 、APEC 電 子 商 取 引 運 営 グ ル ー プ (ECSG:Electronic Commerce
Steering Group)において、CBPRシステム(APEC越境プライバシールールシステ
ム;APEC Cross Border Privacy Rules System)を構築しました。
当該制度は、企業等の越境個人情報保護に関する取組に対してAPECプライバシ ー原則への適合性を認証するものです。申請企業等は、自社の越境個人情報保護 に関するルール、体制等に関し自己審査を行い、その内容について中立的な認証機
関(AA(Accountability Agent))から認証審査を受け、APEC プライバシー原則を
遵守していると認められた場合、認証を受けることができます。
日本は、米国、メキシコに続いて、このシステムへの参加申請を行い2014年4月に 認められました。また、同年6月には現行の個人情報保護法で定められた認定個人情 報保護団体がCBPRのAAとなる制度も整備され、認定個人情報保護団体である(一 財)日本情報経済社会推進協会(以下、「当協会」)がAAの認定を申請し、2016年1 月に認められました。
そして、2016年6月より、CBPR認証審査の受付を開始しました。
認証審査にあたって、当協会ホームページにおいて、APECのAA規定に基づき、
申請時に提出が必要となる「事前質問書」、並びに「認証基準」を公開しています。1 本書は、認証基準を判り易くすることにより、CBPR を申請する事業者に対して、提 出する根拠文書等に記載するポイントや事前質問書について審査されるポイントを解 説しています。本書が、CBPR の申請を行う事業者にとって、必要な書類等を整える 一助になることを期待しています。
1 URL:http://www.jipdec.or.jp/protection_org/cbpr/application.html
3
2 APEC/CBPRの概要
APEC では、APEC 地域における貿易及び経済の継続的成長を確保する効果的 なプライバシー保護措置を採るため、2004 年に APEC プライバシー原則(9原則:① 損害の回避、②通知、③取得の制限、④個人情報の利用、⑤選択、⑥個人情報の完 全性、 ⑦セキュリティ対策、⑧アクセス及び訂正、⑨責任)を定め、これに基づく国内 個人情報保護制度の策定を各エコノミーに勧奨しており、我が国の個人情報保護法 も、ほぼこれに準拠しています。
また、2010年に越境執行協力協定(APEC Cross-border Privacy Enforcement
Arrangement(CPEA))を構築しました。この協定では、①APEC エコノミーのプライ
バシー執行機関間の情報共有、②事案照会・共同調査・執行活動等のプライバシー 保護法の執行に係るプライバシー執行機関間の有効な越境協力、③越境プライバシ ールールを執行する際のプライバシー執行機関の協力、④OECD 勧告との緊密な協 力確保によるAPEC域外のプライバシー執行機関との情報共有及び協力が定められ、
日本、米国、カナダ、香港、韓国、メキシコ(日本は、2011 年 11 月に国内の 15 省庁 がプライバシー執行機関2として参加)が参加しています。
更に、2012 年に APEC 越境プライバシー規則(APEC Cross-Border Privacy
Rules (CBPRs))が構築され、更に、それを運用するための仕組みとして、CBPRシス
テムが構築されました。これは、CPEA に参加しているエコノミーにおいて、他の APEC 参加エコノミーとの間で適正に個人情報を越境移転する(例えば、アメリカから 日本へ従業員情報を移転するなど)ための枠組みです。日本は 2013 年に参加申請 を行い、2015年4月に認められました。CBPRでは、参加する国の国内に、CBPRを 認証するAAを最低1つ以上設置し、AAがCBPR参加事業者の適合性審査を行い、
認証すると共に、苦情相談の対応を行うことが求められます。また、認証を受けた事業 者はプライバシー執行機関の執行力が及ぶこととなります。日本では、当協会が AA の申請を行い、2016年1月に認定を受けました。
CBPRには、2016年 6 月時点で、米国、メキシコ、日本、カナダがエコノミーとして 参加しており、日本以外のAAとしては、米国のTRUSTeがあります。
CBPR は、APEC の参加エコノミーから個人情報を越境移転する必要がある事業 者のプライバシー・ポリシーや、その実務が、APEC プライバシー原則の要求事項を 満たしているか否かを認証するものであり、当該エコノミーの関連法令の遵守を認証 するものではありません。但し、審査の過程において、関連法令の遵守について確認 します。CBPRの仕組みを以下に示します。
2 プライバシー法の執行に責任を有し、調査の実施又は執行手続の遂行をなす権限を有する公的機 関
4
(出典:経済産業省)
【本書における主な用語】
用語 意味 本書での使い方
APEC
(Asia-Pacific Economic Cooperation)
アジア太平洋経済協力 APEC
CPEA
( APEC Cross-border
Privacy Enforcement
Arrangement)
越境執行協力協定 CPEA
ECSG APEC 電子商取引運営グル
ープ
ECSG APEC 越境プライバシー
規則
( APEC Cross-Border
Privacy Rules)
APEC 越境プライバシー規 則
越境プライバシー規則
CBPRシステム
(APEC Cross Border
Privacy Rules System)
APEC 越境プライバシール ールシステム
CBPR
AA
(Accountability Agent)
アカウンタビリティ・エージェン ト
AA
5 3CBPRの申請について
3.1申請の資格
申請事業者は、自社の越境個人情報保護に関するルール、体制等に関して事前 質問書に従って自己審査を行い、その内容についてあらかじめ認定された中立的な 認証機関である AA からの審査を受け、認証を得ることが可能となります。当協会は AA の認定を受けていますので、CBPR の認証を申請する事業者は当協会へ申請し、
審査を受ける必要があります。
CBPR は日本国政府が参加する枠組みになるため、認定個人情報保護団体であ る当協会が AA としての認定を受け、CBPR の認証を行うこととなります。そのため、
CBPRの申請事業者は当協会認定個人情報保護団体の対象事業者である必要があ ります。その要件は以下になります。((1)、(2)の両方を満たす必要があります。)
(1)当協会認定個人情報保護団体の対象事業者の資格を満足していること。(以下 の①、②のどちらか、または両方)
①当協会が運営する個人情報保護にかかる第三者認証を取得している事業者
②当協会が運営する事業プログラム制度3に参加している事業者
(2)当協会認定個人情報保護団体の個人情報保護指針4を遵守する事業者
3.2申請時に必要なもの
申請時には、以下の提出が必要になります。
(1) 申請書
(2) 事前質問書
(3) 関連する根拠文書等(事前質問書の回答に基づき必要となる文書など
(P12参照))
上記(1)、(2)の様式は、当協会ホームページに掲載していますので、ダウンロード してご利用ください。5
3 当協会が運営する次世代パーソナルサービス推進コンソーシアム、gコンテンツ流通推進協議会、ア イデンティティ連携トラストフレームワーク推進コンソーシアム、次世代電子情報利活用推進フォーラムを 言う。
4 http://www.jipdec.or.jp/protection_org/privacy_policy.html
5 http://www.jipdec.or.jp/protection_org/cbpr/application.html
6 3.3CBPRの手続きについて
本節では、CBPRの手続きについて述べます。CBPRの認証では、「申請書提出→
文書審査→現地審査→審査会→認証決定」という手順を執ります。下図に手続きのフ ローを示します。
手続き 内容
1 申請書類の提出 申請事業者は「CBPR 認証審査に関する約款」(審 査時の約款)に同意し、「CBPR 認証取得事業者に 関する約款」(認証時の約款)の内容を了承の上、所 定の申請書類を提出
2 審査に係るヒアリング AA はヒアリングを行い、受領した申請書類に基づい て審査対象の内容を確認。
3 審査料の納付 AA は審査対象に基づき審査料を見積り、審査料の 請求書を発行。申請事業者は見積の内容を確認し、
審査料を納付。6
4 審査 AAは文書審査と現地審査を実施。
1.文書審査:事前質問書と、提出された規程類やプ ライバシーポリシー(個人情報保護方針)等公表文書 の確認による審査7
2.現地審査:事前質問書に回答された運用状況や 運営体制について現地確認。(主にセキュリティ対 策)
※なお、審査において、認証基準を満たさないと判 断した場合、指摘を行います。申請者は指摘箇所を 改善後、審査を再開します。
5 認証可否の決定 AA は審査会(有識者によるマルチステークホルダー 型の会合)で審査し、認証を決定。
6 認証決定の通知 AA は認証の可否を申請者に通知すると共に、認証 管理料8を請求。申請事業者は認証管理料を納付。
併せて、AA・申請事業者間で CBPR 認証に関する 契約(期間は1年間)を締結。
6 審査料は、審査に係る審査員や審査会等の実費を請求するものです。
7 審査の過程で、AAは申請事業者に対して追加の資料提出等を求める場合があります。
8 認証管理料は、認証機関であるAAが、①CBPR認証者のモニタリングや情報提供、②CBPRに関 する相談・苦情等の対応、③APECへの登録などの作業に充当するものです。
7
また、契約は、審査における契約と、認証決定後の契約の2つになります。(下図参 照)「CBPR認証審査に関する約款」(審査時の約款)、並びに「CBPR取得事業者に 関する約款」(認証時の約款)は、ホームページ上に公開していますので、ご確認下さ い。
8 4CBPRの概要
4.1CBPRで確認すること
CBPR は、APEC エコノミー間で越境移転する個人情報の保護のために事業者が 利用できるシンプルかつ透明性のあるシステムを運営している事を示すものです。よっ て、この認証を取得することによって、事業者は、対外的に以下の点を明示することが できます。
(1) 個人情報が絡む取引相手の組織に対して、APECのプライバシー原則に合 致した適切なポリシーと手順を備えていること。
(2) 消費者に対して、国境を越えて移転する個人情報を適切に保護する仕組み を運営していること。
CBPRの認証を申請する事業者は、APEC/CBPRシステムで合意された「事前質 問書」(下図参照)に回答を記載し、その根拠になる文書等を認証機関に提出する必 要があります。
9
よって、その確認にあたっては、以下を実施します。
1. 文書審査
事業者が提出した事前質問書に基づき、申請する事業者がAPECプライ バシー原則を遵守した対応のための規程を整備しているかを確認。
2. 現地審査
上記1について(特に、セキュリティ対策について)実際の現場で、対応し ているのかを確認。
10 4.2事前質問書の記載項目について
事前質問書は、基本情報と 50 の質問項目によって構成されます。記載する内容に ついて、下表に示します。
項目 記載する内容
基本情報 ・組織名称、対象となる組織が管理する組織の一覧、連絡窓口
・対象となる個人情報の種類(顧客・見込み客、従業員・採用予 定者、その他)9
・個人情報を取得するエコノミー(APECに参加する国と地域)
・個人情報を移転するエコノミー(同上)
項目 質問書の該当 箇所
確認する内容
通知 1~4 APEC通知原則に照らし、①取得される個人情報、
移転先、及び利用目的に関する貴社のポリシーを 本人に必ず理解してもらっているか、②必要最低限 の取得になっていることを条件として、本人の個人 情報が取得されるタイミング、移転先、及び利用目 的を本人に必ず通知しているか。
取得の制限 5~7 APEC 取得原則に照らし、個人情報の取得がその 取得のために表明した目的に確実に限定されてい るか。
個 人 情 報 の 利用
8~13 APEC 利用原則に照らし、個人情報の利用が取得 目的及びこれに適合又は関連するその他の目的を 達成することに限定されているか。
選択 14~20 選択手順に関する規定の条件に照らし、個人情報 の取得、利用及び開示に関して本人が必ず選択で きるようになっているか。
個 人 情 報 の 完全性
21~25 記録について正確性及び完全性を維持させ、並び に最新な状態に維持しているか。
セ キ ュ リ テ ィ 対策
26~35 個人がその個人情報を組織に預けるときに、個人 情報の紛失、不正なアクセス、不正な破壊・利用・
変更若しくは開示、又はその他の不正使用を防ぐ ために、その個人情報が合理的なセキュリティ対策
9 事前質問書の枠内で不足する場合は、「別紙参照」として添付してください。
11
によって確実に保護されているか。
アクセス及び 訂正
36~38 本人がその個人情報にアクセスして、訂正すること ができることを保証しているか。
責任 39~50 APEC 原則の実施方法を遵守することについて確 実に責任を果たしているか、また、移転後にこの原 則に従って個人情報を確実に保護するための合理 的な措置を用意しているか。
4.3事前質問書で提出する根拠文書
CBPR を申請する事業者は、事前質問書の質問に回答すると共に、その根拠となる 文書を提出します。審査では、当該回答に基づく文書について求められている要件を 満たしている事を確認します。APEC/CBPRは、国内法を遵守することを認証するも のではありませんが、この審査の過程において、日本の個人情報保護法の遵守につ いても確認します。
本節では、各項目について申請する事業者が用意することが必要な文書と、文書 に記載が求められるポイントについて述べます。
12
4.3.1事前質問書で提出する根拠文書
CBPR では、4.2 に示す通知等8つの観点における事前質問書に基づき、根拠とな る文書を提出します。上記8つの観点について、申請する事業者が提出する文書に ついて下表に示します。
対外的に示す文書(プライバシー・ポリシー、プライバシーステイトメントなど顧客、見 込み顧客、被雇用者などに示すもの)は和文と英文の両者の提出が必要です。社内 的な文書(マニュアルなど)は和文のみの提出で構いません。また、提出される文書に は、対外的な公表を行っているウェブサイトの画面の表示等のハードコピー等も含み ます。
項目 質問書の該当箇所 提出が求められる根拠文書例10
通知 1~4 ・プライバシー・ポリシー
・プライバシーステイトメント
・個人情報保護方針
・約款
・契約書など
取得の制限 5~7
個人情報の利用 8~13
選択 14~20
個人情報の完全性 21~25
セキュリティ対策 26~35 ・セキュリティー・ポリシー
・宣言書
・システム構成図やネットワーク図な どシステム仕様に関する文書
・リスク分析表
・第三者認証の認証文書
・委託先選定基準など
・マニュアル関連など アクセス及び訂正 36~38 ・プライバシー・ポリシー
・個人情報保護方針
・約款
・契約書
・本人確認手順書
・開示申請手順(開示手数料の考え 方を示すものなど)など
責任 39~50 ・苦情受付マニュアル
・社内規定
・組織図
・委託先選定基準、契約書など
10 文書名については、一般的な表現で記載しています。申請する事業者は該当する文書を提出する ことが求められます。文書の表題を合わせる必要はありません。
13
4.3.2根拠文書等に記載が求められるポイント
CBPR認証は日本の国内法を遵守していることを認証するものではありません。但し 審査の上で、国内法を遵守する体制等になっていることは確認します。これは、
CBPRは越境執行協力協定(CPEA)が行われているエコノミーが参加するものである ため、CBPR の認証を受ける事業者は、当然に関連法令を遵守していなければなら ないという考え方から確認のみとなっています。
事前質問書に対して、CBPR を申請する事業者は、前記の根拠資料等を提出する 必要があります。それらについて、CBPR を申請する事業者が、定めておくべきポイン トについて、下表に示します。
なお、文書名は、事業者によって呼称が異なる場合や、複数の文書に分散して記載 される場合もありますので、当該文書に該当するものの提出をすればよく、文書名等を 変更する必要はありません。
14
文書 項目 申請する事業者が定めておくポイント
プライバシー・ポリシー 個人情報保護方針
全般 ①個人情報保護の理念を明確にしていること、及びその内容が適切である こと。
②事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供 に関すること、また、APEC プライバシーフレームワーク 9 原則に適合した 記述がされていること。
③個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守 することについて記述していること、及びその内容が適切であること。
④個人情報の漏洩、滅失又はき損の防止及び是正に関することについて 記述していること。
⑤苦情及び相談への対応に関することについて記述していること。
⑥代表者の氏名を表示していること、及びその内容が適切であること。
⑦制定年月日(及び最終改訂年月日)、問合せ先を明示していること。
⑧従業者及び一般の人が入手可能な措置を講じていること。また、以下の 事項について対応していること。
・ウェブサイトに掲載している場合、リンクが分かり易い。
・公表している個人情報保護方針に、個人情報保護方針に関する問合 せ先を明示している。
・公開している個人情報保護方針と規定文書の個人情報保護方針は 同一である。
国 が 定 める指 針 その 他 の 規範の適用
個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し 参照できる手段を確立していること。また、維持・更新がしていること。
15
文書 項目 申請する事業者が定めておくポイント
約款・契約書等 利用目的の特定 その利用目的をできる限り特定し、その目的の範囲内で利用することを規定 していること。
個人情報の適正な取得 適法、かつ、公正な手段によって個人情報を取得することを規定しているこ と。また、受託を含め、本人以外から個人情報を取得する場合、提供元又は 委託元が個人情報を適正に取り扱っていることを確認するように定めている こと。
個人情報の取得(直接書面 による以外の場合)
①あらかじめその利用目的を公表していること。または、取得後に、速やか にその利用目的を本人に通知し、又は公表していること。
②本人に通知又は公表しない場合は、以下の場合に限定していること。
・利用目的を本人に通知し、又は公表することによって本人又は第三者 の生命、身体、財産その他の権利利益を害するおそれがある場合。
・利用目的を本人に通知し、又は公表することによって当該事業者の 権利又は正当な利益を害するおそれがある場合。
・国の機関又は地方公共団体が法令の定める事務を遂行することに対し て協力する場合であって、利用目的を本人に通知し、又は公表すること によって当該事務の遂行に支障を及ぼすおそれがある場合。
・取得の状況からみて利用目的が明らかであると認められる場合
16
文書 項目 申請する事業者が定めておくポイント
約款・契約書等 個人情報の取得(直接書面 による場合)
①あらかじめ書面で明示している項目に以下があること。
・事業者の氏名又は名称
・個人情報保護管理者の氏名又は職名、所属及び連絡先
・利用目的
・個人情報を第三者に提供することが予定される場合の事項
・個人情報の取扱いの委託を行うことが予想される場合の事項
・開示対象となる個人情報に係る利用目的の通知、開示、訂正・追加又 は削除、利用又は提供の拒否権に関する場合には、その求めに応じる旨 及び問合わせ窓口
・本人が個人情報を与えることの任意性及び当該情報を与えなかった 場合に本人に生じる結果
・本人が容易に認識できない方法によって個人情報を取得する場合の 事項
②本人に対し、取得する手段毎に手順を定めていること。
③本人への明示を不要とするのは、以下に限定していること。
・利用目的を本人に通知し、又は公表することによって本人又は第三者 の生命、身体、財産その他の権利利益を害するおそれがある場合
・利用目的を本人に通知し、又は公表することによって当該事業者の 権利又は正当な利益を害するおそれがある場合
・国の機関又は地方公共団体が法令の定める事務を遂行することに対し て協力する場合であって、利用目的を本人に通知し、又は公表すること によって当該事務の遂行に支障を及ぼすおそれがある場合
17
・取得の状況からみて利用目的が明らかであると認められる場合
個人情報の利用 1.特定した利用目的の達成の範囲内で個人情報を利用することを定めて いること。また、利用目的を変更する場合は、変更前の利用目的と関連性を 有すると合理的に認められる範囲であり、「個人情報の取得(直接書面によ る場合)」の①に定める事項を本人に通知し同意を得ることが規定されてい ること。
2.同意を取らず目的外利用する場合は以下の場合に限定していること。
①法令に基づく場合
②人の生命、身体又は財産の保護のために必要がある場合であって、本人 の同意を得ることが困難であるとき
③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある 場合であって、本人の同意を得ることが困難であるとき
④国の機関又は地方公共団体が法令の定める事務を遂行することに対し て協力する必要がある場合であって、本人の同意を得ることによって当該業 務の遂行に支障を及ぼすおそれがあるとき
個人情報の提供 1.個人情報を第三者に提供する場合には、あらかじめ、本人に対して、内 容を通知し、本人の同意を得ること。
2.また、本人の同意を必要としないのは、以下に限定していること。
①大量の個人情報を広く一般に提供するため、本人の同意を得ることが困 難な場合であって、次に示す事項又はそれと同等以上の内容の事項を、あ らかじめ、本人に通知し、又は本人が容易に知り得る状態に置いていると き。
・第三者への提供を利用目的とすること
18
・第三者に提供される個人情報の項目
・第三者への提供の手段又は方法
・本人の求めに応じて当該本人が識別される個人情報の第三者への 提供を停止すること
・取得方法
②法人その他の団体に関する情報に含まれる当該法人その他の団体の役 員及び株主に関する情報であって、かつ、法令に基づき又は本人若しくは 当該法人その他の団体自らによって公開又は公表された情報を提供する 場合であって、あらかじめ、本人に通知し、又は本人が容易に知り得る状態 に置いているとき。
③特定した利用目的の達成に必要な範囲内において、個人情報の取扱い の全部又は一部を委託するとき。
④合併その他の事由による事業の承継に伴って個人情報を提供する場合 であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき。
⑤個人情報を特定の者との間で共同して利用する場合であって、次に示す 事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又 は本人が容易に知り得る状態に置いているとき。
・共同して利用すること
・共同して利用される個人情報の項目
・共同して利用する者の範囲
・共同して利用する者の利用目的
・共同して利用する個人情報の管理について責任を有する者の氏名又 は名称
19
・取得方法
⑥前述の「個人情報の利用」の2に掲げる①から④のいずれかに該当する 場合。
20
文書 項目 申請する事業者が定めておくポイント
約款、契約書等 個人情報の開示手続き等 個人情報の開示等(利用目的の通知、開示、内容の訂正、追加または削 除、利用の停止、消去及び第三者への提供の停止)の求めに応じる手続と して、以下の事項を定めていること。
①開示等の求めの申し出先
②開示等の求めに際して提出すべき書面の様式その他の開示等の求めの 方式
③開示等の求めをする者が、本人又は代理人であることの確認の方法
④開示、訂正、追加又は削除の場合の手数料の徴収方法
⑤次のa~cのいずれかに該当する場合は、その全部又は一部を開示する 必要はないが、そのときは、本人に遅滞なくその旨を通知し、理由を説明す ること。
a.本人又は第三者の生命、身体、財産その他の権利利益を害するおそ れがある場合
b.当該事業者の業務の適切な実施に著しい支障を及ぼすおそれがある 場合
c.法令に違反することとなる場合 開示対象個人情報につい
ての事項の周知
個人情報が開示対象個人情報に該当する場合はその個人情報について、
以下の事項を本人の知り得る状態(本人の求めに応じて遅延なく回答する 場合を含む)に置く具体的な手順を規定し、その規定に従って運用している こと。
a.申請者の名称及び苦情の解決の申出先
b.個人情報保護管理者(もしくはその代理人)の氏名又は職名、所属
21 及び連絡先
c.すべての開示対象個人情報の利用目的
d.開示対象個人情報の取扱いに関する苦情の申し出先 e.認定個人情報保護団体の名称及び苦情の解決の申し出先 f.開示等の求めに応じる手続き
開示対象個人情報の利用 目的の通知
本人から当該本人が識別される開示対象の個人情報について、利用目的 の通知を求められた場合、遅滞なくこれに応じることを規定していること
①本人への回答内容(求めに応じない場合を含む)に関する承認手順を定 め、手順を明確に記述していること。
②利用目的を通知しない場合は、適切な場合に限定していること。
22
文書 項目 申請する事業者が定めておくポイント
約款、契約書等 開示対象個人情報の追加・
訂正・削除等
本人から開示対象の個人情報の内容が事実でないことを理由に、訂正、追 加又は削除を求められた場合、根拠となる法令がある場合を除き、利用目 的の達成に必要な範囲内において、遅滞なく必要な調査を行い、訂正等を 行うことを定めていること。具体的には、以下があげられる。
①本人から,当該本人が識別される開示対象個人情報の訂正等を求めら れた場合に、法令の規定により特別の手続が定められている場合を除き,
利用目的の達成に必要な範囲内において,遅滞なく必要な調査を行い,そ の結果に基づいて,当該開示対象個人情報の訂正等を行わなければなら ない旨を規定していること。
②本人への回答内容(求めに応じない場合を含む)に関する承認手順を定 め、手順を明確に記述し、その手順に従って行う本人への回答内容につい て管理者の承認を得ること。
③訂正等を行わない場合の承認手順を定めていること、及び 訂正等を実 施しない場合、管理者の承認を得ること。
委託先との契約書等 選定基準、契約書 個人情報の取扱いに関して委託する場合は、委託先選定の基準を確立し たうえで、十分な個人情報の保護水準を満たしている者を選定しているこ と。また、委託する個人情報の安全管理が図られるよう、委託先に対して必 要かつ適切な監督を行うことを規定していること。
なお、委託先の管理には、以下が求められる。
①委託先の選定基準を定める手順及び見直しの手順を規定している。
②必要に応じて委託先選定基準の見直しを実施している。
③委託先選定基準により委託先を評価(定期的な再評価を含む)するよう規
23 定している。
④下記のa~gの内容を盛り込んだ契約書を締結している。
a.委託者及び受託者の責任の明確化 b.個人情報の安全管理に関する事項 c.再委託に関する事項
d.個人情報の取扱状況に関する委託者への報告の内容及び頻度 e.契約内容が遵守されていることを委託者が確認できる事項 f.契約内容が順守されなかった場合の措置
g.事件・事故が発生した場合の報告・連絡に関する事項
苦情相談マニュアル 苦情相談手順 本人からの苦情及び相談を受け付けて、適切かつ迅速な対応を行う手続き を定めていること。
本件については以下の事項をすべて満たしていることが求められる。
①個人情報の取扱いに関して,本人からの苦情及び相談を受け付けて,適 切,かつ,迅速な対応を行うこと。
②苦情の申し出先が、本人にとって明確であること。
③規定した手順に従って受け付け、対応していること。
④受け付ける手順が機能しており、対応が迅速であること。
⑤本人に回答する対応内容について承認手順を規定し、その規定に従っ て運用し、対応内容について管理者の承認を得ること。
⑥苦情や相談の内容及び対応結果を代表者に報告すること。
24
文書 項目 申請する事業者が定めておくポイント
内部規定等 内部規定 下記の①から⑭に該当する具体的な規定を備えていること。
①個人情報を特定に関する規定
②法令、国が定める指針その他の規範の特定、参照及び維持に関する規 定
③個人情報に関するリスクの認識、分析及び対策の策定に関する規定
④事業者の各部門及び階層における個人情報を保護するための権限及び 責任に関する規定
⑤緊急事態(個人情報が漏えい、滅失又はき損をした場合)への準備及び 対応に関する規定
⑥個人情報の取得、利用及び提供に関する規定
⑦個人情報の適正管理に関する規定
⑧本人からの開示等の求めへの対応に関する規定
⑨教育に関する規定
⑩文書の管理に関する規定
⑪苦情及び相談への対応に関する規定
⑫点検に関する規定
⑬是正処置及び予防処置に関する規定
⑭内部規程の違反に関する罰則規定
25
文書 項目 申請する事業者が定めておくポイント
内部規定等 個人情報の正確性 利用目的の範囲内において、個人情報を正確かつ最新の状態で管理する こと。個人情報の正確性の維持については以下の事項をすべて満たしてい ること。
①個人情報の入力時の照合・確認の手続の整備
・個人情報を入力する際の作業責任者を明確化していること
・入力した個人情報の照合及び確認の手順を明確化していること
・定めた手順により照合及び確認作業を実施していること
②訂正の手続の整備
・個人情報を訂正する際の作業責任者を明確化していること
・個人情報の誤りや不整合を発見する手順を明確化していること
・訂正した個人情報の照合及び確認の手順を明確化していること
・定めた手順により訂正作業を実施していること
③個人情報が正確かつ最新であることを検証する手順の整備
・個人情報が正確かつ最新であることを検証する作業責任者を明確化 していること
・個人情報が正確かつ最新であることを検証し、必要に応じて訂正する 手順を明確化していること
・定めた手順により作業を実施していること
④記録事項の更新
・作業実施記録を維持する責任者を明確化していること
・作業実施記録を更新する手順を明確化していること
・作業記録を保管する手順を明確化していること
26
・定めた手順により記録事項の更新を実施していること
⑤保存期間の設定
・保存期間を設定する責任者を明確化していること
・保存期間を設定する基準を明確化していること
・定めた手順により保存期間を設定していること
27
文書 項目 申請する事業者が定めておくポイント
セキュリティ関連(セキュ リティ・ポリシー等)
リスク分析 ①洗い出された個人情報の漏洩、滅失又はき損等のリスクについて、リスク を洗い出し、リスク分析を実施し、リスクに応じた対策を講じ、残存リスクを把 握する
②講じることとした対策は、規定等に反映していること。
③定期的な見直し、及び必要に応じた随時の見直しの手続を定めているこ と。
④その取り扱う個人情報のリスクに応じて、漏えい、滅失又はき損の防止そ の他の個人情報の安全管理措置のために必要、かつ、適切な措置を講じ ている。
物理的安全管理措置 以下について、整備している。(事業者の要件によって異なる。)
1.入退館(室)管理の実施
①建物、室、サーバー室、個人情報の取扱い場所への入退を制限している こと。
②建物、室、サーバー室、個人情報の取扱い場所への入退の記録を取り、
保管していること。
③建物、室、サーバー室、個人情報の取扱い場所への入退の記録を定期 的にチェックしていること。
2.盗難等の防止
①離席時に個人情報を記した書類、媒体、携帯可能なコンピュータ等を机 上に放置していないこと。
②個人情報を取り扱うコンピュータの操作において、離席時は、パスワード 付きスクリーンセーバーの起動又はログオフを実施していること。
28
③個人情報を記録した媒体(紙、外部記録媒体)は施錠保管していること。
④個人情報を記録した媒体の保管場所の鍵は特定者が管理していること。
⑤個人情報を記録した媒体(紙、外部記録媒体)の廃棄は、再利用できな い措置を講じていること。
⑥個人情報を記録した携帯可能なコンピュータ等について、盗難防止措置 を講じていること。
⑦携帯可能なコンピュータや USB メモリ、CD-ROM 等の外部記録媒体の 利用についてルールを定め、それを遵守していること。
⑧個人情報を取り扱う情報システムの操作マニュアルを机上に放置してい ないこと。
3.機器・装置等の物理的な保護
①個人情報を取り扱う機器・装置等について、安全管理上の脅威(盗難、破 壊、破損等)や環境上の脅威(漏水、火災、停電、地震等)から物理的に保 護する装置を導入していること。
29
文書 項目 申請する事業者が定めておくポイント
セキュリティ関連(セキュ リティ・ポリシー等)
技術的安全管理措置 以下を実施していること。(事業者の要件によって異なる)
1.個人情報へのアクセスにおける識別と認証
①個人情報へのアクセスにおいて、識別情報(ID、パスワード等)による認 証を実施していること。
②個人情報を格納した情報システムについて、デフォルトの設定を必要に 応じて適切に変更していること。
③識別情報の発行・更新・廃棄は、ルールに従っていること。
④識別情報を平文で記録していないこと。
⑤識別情報の設定及び利用は、ルールに従っていること。
⑥個人情報へのアクセス権限を有する従業者が使用できる端末又はアドレ ス等について制限していること。
2.個人情報へのアクセス制御
①個人情報にアクセスできる従業者の数は必要最小限にしていること。
②個人情報にアクセスできる識別情報を複数人で共用していないこと。
③従業者に付与するアクセス権限は必要最小限にしていること。
④個人情報を格納した情報システムの同時利用者数を制限していること。
⑤個人情報を格納した情報システムの利用時間を制限していること。
⑥個人情報を格納した情報システムを無権限アクセスから保護しているこ と。
⑦個人情報にアクセス可能なアプリケーションの無権限利用を防止している こと。
⑧個人情報を取り扱う情報システムに導入したアクセス制御機能の有効性
30
を検証していること。
3.個人情報へのアクセス権限の管理
①個人情報にアクセスできる者を許可する権限管理を適切かつ定期的に 実施していること。
②個人情報を取り扱う情報システムへのアクセスは必要最小限であるよう制 御していること。
4.個人情報へのアクセスの記録
①個人情報へのアクセスや操作の成功と失敗の記録を取得し、保管してい ること。
②取得した記録について、漏えい、滅失及びき損から適切に保護している こと。
5.個人情報を取り扱う情報システムに関する不正ソフトウェア対策
①ウイルス対策ソフトウェアを導入していること。
②OS やアプリケーション等に対するセキュリティ対策用修正ソフトウェア(い わゆるセキュリティパッチ)を適用していること。
③不正ソフトウェア対策の有効性・安定性を確認していること。
④個人情報にアクセスできる端末にファイル交換ソフトウェア(Winny、
Share、Cabos等)をインストールしていないこと。
6.個人情報の移送・通信時の対策
①個人情報の受渡しには授受の記録を残していること。
②個人情報を媒体で移送するときに、移送時の紛失・盗難が生じた際の対 策を講じていること
③盗聴される可能性のあるネットワーク(例えばインターネットや無線 LAN
31
等)で個人情報を送信する際に、個人情報の暗号化又はパスワードロック等 の秘匿化の措置を講じていること。
7.個人情報を取り扱う情報システムの動作確認時の対策
①情報システムの動作確認時のテストデータとして個人情報を利用してい ないこと。
②情報システムの変更時に、それらの変更によって情報システム又は運用 環境のセキュリティが損なわれないことを検証していること。
8.個人情報を取り扱う情報システムの監視
①個人情報を取り扱う情報システムの使用状況を定期的にチェックしている こと。
②個人情報へのアクセス状況(操作内容を含む。)を定期的にチェックして いること。
32
文書 項目 申請する事業者が定めておくポイント
セキュリティ関連(セキュ リティ・ポリシー等)
従業員の管理 従業者に個人情報を取り扱わせるに当たって、当該個人情報の安全管理 措置が図られるよう、当該従業者に対し必要かつ適切な監督を行うこと。
①従業者に対し必要かつ適切な監督を行わなければならない旨を規定し、
従業者に対し必要かつ適切な監督を行っていること。
②従業者との雇用契約時又は委託契約時に、個人情報の非開示契約を締 結するように規定し、その規定に従って運用していること。
③雇用契約または委託契約等を締結する場合、非開示条項は、契約終了 後も一定期間有効とするよう規定し、その規定に従って運用していること。
④内部規定に違反した場合の措置に関する規定を整備し、その規定に従 って運用していること。
⑤ビデオ及びオンラインによる従業者のモニタリングを実施する場合、その 措置の実施について規定し、その規定に従って運用していること。
⑥モニタリングの実施に関する責任者とその権限を規定し、その規定に従っ て運用していること。
⑦あらかじめモニタリングの実施について定めた社内規程案を策定し、事前 に社内に徹底していること、及びモニタリングの実施状況について、適正に 行われているか監査又は確認を行っていること。
33
文書 項目 申請する事業者が定めておくポイント
体制等 組織規程 個人情報を保護する体制の運用、実施、維持、改善するために、不可欠な 資源を用意していること。
①各担当者の役割・権限を明確に定め、文書化していること。
②各担当者の役割、責任及び権限を明確に定めていること。
③個人情報保護管理者や個人情報保護監査責任者が定められているこ と。
④各担当者の役割・権限を周知させていること
⑤個人情報保護管理者は、事業者の代表者に個人情報保護の運用状況 を報告しなければならない旨を規定していること。
教育 従業者に定期的に適切な教育を行わなければならないこと、並びに、従業 者に、関連する各部門及び階層においてそれぞれ必要な事項を理解させ る手順を確立、維持していること。
①すべての従業者に定期的に個人情報保護に関する適切な教育を実施 するよう規定し、教育計画書に従い教育を実施していること。
②すべての従業者に個人情報保護に関する適切な教育を実施しているこ と。
③教育規定又は教育計画書が策定されている。
④受講者の理解度確認を実施する手順を規定し、その規定に従って運用 していること。
⑤教育の計画及び実施,結果の報告及びそのレビュー、計画の見直し並 びにこれらに伴う記録の保持に関する責任及び権限を定める手順を規定
34
し、その規定に従って運用していること。
緊急時マニュアル 手順について定めていること。
①緊急事態を特定するための手順、それらにどのように対応するかの手順 を定め、その手順に従って実施していること。
②個人情報が漏えい、滅失又はき損をした場合に想定される経済的な不利 益及び社会的な信用の失墜,本人への影響などのおそれを考慮し、その影 響を最小限とするための手順を定めており、その手順に従った措置を実施 していること。
③漏えい,滅失又はき損が発生した個人情報の内容を本人に速やかに通 知し,又は本人が容易に知り得る状態に置く手順を定め、その手順に従っ た措置を実施していること。
④二次被害の防止,類似事案の発生回避などの観点から、可能な限り事実 関係,発生原因及び対応策を,遅滞なく公表する手順を定め、その手順に 従った措置を実施していること。
⑤緊急事態発生の場合の事実関係、発生原因及び対応策を関係機関(報 告すべき利害関係を有している機関)に直ちに報告する手順を定めている こと
35
文書 項目 申請する事業者が定めておくポイント
体制等 監査手順 運用状況を定期的に監査すること。
①運用状況について監査するよう規定し、監査計画書に沿って監査を行っ ていること。
②適合状況及び運用状況の監査が、全部門において実施されていること。
③個人情報保護監査責任者を選出する規定がある。
④個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、事業 者の代表者に報告するよう規定している。
⑤監査の客観性及び公平性を確保しており、監査員は、自ら所属する部門 を監査しないよう規定し、その規定に従って運用していること。
⑥監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関す る責任及び権限を定める手順を規定し、その規定に従って運用しているこ と。
36 5審査のポイント
本節では、事前質問書について、各質問項目について、AAが、どのような観点で審 査するのか(評価基準)、また、その審査にあたってのポイントを解説します。
各表は、以下を示しています。
(1) 質問は、事前質問書の項目
(2) 評価基準は、AAが確認する観点
また、審査において、申請者が提出する根拠文書を下表に示します。(再掲)
項目 質問書の該当箇所 提出が求められる根拠文書例11
通知 1~4 ・プライバシー・ポリシー
・個人情報保護方針
・約款
・契約書
・社内規定など
取得の制限 5~7
個人情報の利用 8~13
選択 14~20
個人情報の完全性 21~25
セキュリティ対策 26~35 ・セキュリティー・ポリシー
・宣言書
・システム構成図(ネットワーク図)
・リスク分析表
・第三者認証の認証文書
・委託先選定基準など
・マニュアル関連など アクセス及び訂正 36~38 ・プライバシー・ポリシー
・個人情報保護方針
・約款
・契約書
・本人確認手順書
・開示申請手順(開示手数料の考え 方を示すものなど)など
責任 39~50 ・苦情受付マニュアル
・社内規定
・組織図
・委託先選定基準、契約書など
11 文書名については、一般的な表現で記載する。申請する事業者は該当する文書を提出することが 求められる。文書名は当該事業者の表題で問題はない。
37 5.1通知(質問1から4)
通知では、個人情報保護方針について本人の理解を確実にするための手順や仕組みがAPECプライバシー原則に則り、実施され るかを確認します。具体的には、①取得される個人情報、移転先、及び利用目的に関するポリシーについて本人にしっかり理解して もらう仕組みが運用されているか、及び②(取得の制限に基づいて)本人の個人情報が取得されるタイミング、移転先、及び利用目的 について本人にしっかりと通知する仕組みが運用されているかを確認します。
また、通知では、下記の留保条件(「通知に関する規定の条件」)があり、「取得時に APEC 通知原則を適用する必要がないか、又 は実際的ではない」ものとして除外されます。申請する事業者は下記にあたるものについては、それについて説明する文書等の提出 が必要になります。
【通知に関する規定の条件】
①自明である場合、②公表されている個人情報の場合、③技術的に実行不可能な場合、④法に基づき要求している行政機関に開 示する場合、⑤適法な手続きに基づき第三者に開示する場合、⑥第三者から取得する場合、⑦合法的な捜査目的の場合、⑧緊急 事態の場合
38
質問(申請者が回答) 評価基準(AAが確認)
1.上記の個人情報に適用されるポリシー 等を記載した「個人情報に適用される方針 やルール(契約書や約款等)に関して明瞭 かつ入手しやすい説明書」(以下、「プライ バシーステイトメント」という)を提供してい ますか?
「はい」の場合、該当する文書のコピーま たは当該文書へのハイパーリンクを提出し てください。
「はい」の場合、 申請者のプライバシー保護の方針や約定(またはその他のプライバシ ー説明資料)について、以下を確認します。
①申請者のウェブサイトに掲示されている(例:ウェブページにテキスト、URL からの リンク、添付資料、ポップアップウィンドウ、 FAQに入っている等)
②APECプライバシーフレームワークの原則に従っている
③簡単に見つかり、入手できる。
④オンライン、オフラインでを問わず、全ての個人情報に適用されている。
⑤プライバシーステイトメントの有効な発行日を明記している。
上記①から⑤以外の場合は、具体的に記載してください。
「いいえ」の場合、認証を得ることはできません。
1.a) このプライバシーステイトメントには、
貴社がどのように個人情報を取得するのか が説明されていますか?
「はい」の場合、 以下を確認します:
①文書には、申請者が取得した対象個人情報すべてに適用される取得に関わるル ールや方針が説明されている。
②プライバシーステイトメントには、取得する個人情報の種類、直接または第三者ま たは代理人が取得するのか明記している、さらに
③プライバシーステイトメントには、取得された個人情報のカテゴリーまたは全カテゴ リーの具体的な情報源が報告されている。
「いいえ」の場合、認証を得ることはできません。
39
質問(申請者が回答) 評価基準(AAが確認)
1.b)
このプライバシーステイトメントには、個人 情報が取得される目的が説明されていま すか?
「はい」の場合、申請者が個人情報を取得している本人にその目的に関する通知をして いるか確認します。
「いいえ」の場合、「通知に関する規定の条件」(前記参照)の該当の有無を確認し、そ れが正当なものか確認します。
1.c)
このプライバシーステイトメントでは、個人 情報を第三者が利用できるようにするかど うかについて、またその場合の目的につい て本人に通知していますか
「はい」の場合、申請者が個人情報を第三者の利用に供する予定または可能性がある ことを本人に伝えており、カテゴリーや具体的な第三者、ならびに、当該個人情報を利 用できるようにする予定または可能性がある目的を特定しているか確認します。
「いいえ」の場合、「通知に関する規定の条件」(前記参照)の該当の有無を確認し、そ れが正当なものか確認します。
1.d)
このプライバシーステイトメントでは、貴社 の名称と所在地(取得した個人情報の取 扱いと慣行に関する貴社の連絡窓口情報 を 含 む ) に つ い て 開 示 し て い ま す か ?
「はい」の場合、説明してください。
「はい」の場合、名称、住所、部署のメールアドレスを提出しているか確認します。
「いいえ」の場合、「通知に関する規定の条件」(前記参照)の該当の有無を確認し、そ れが正当なものか確認します。
1.e)
このプライバシーステイトメントでは、個人 情報の利用と開示に関する情報を本人に 提供していますか?
「はい」の場合、提出文書(約款等)に該当する場合は、取得された個人情報すべての 利用と開示に関する情報が含まれているか確認します。
「いいえ」の場合、「通知に関する規定の条件」(前記参照)の該当の有無を確認し、そ れが正当なものか確認します。
40
質問(申請者が回答) 評価基準(AAが確認)
1.f)
このプライバシーステイトメントでは、自分 の個人情報にアクセスし修正することがで ききますか、また、その方法に関する情報 を本人に提供していますか?
「はい」の場合、提出文書(約款等)に以下が含まれているか確認します。
①自分の個人情報にアクセスするためのプロセス(電子手段または従来型の 非電子手段も含む)
②個人情報を修正するために従うべきプロセス
「いいえ」の場合、「通知に関する規定の条件」(前記参照)の該当の有無を確認し、そ れが正当なものか確認します。
2.
個人情報の取得時(直接であるか第三者 の代行によるかを問わない)に、そのような 情報を取得している旨を通知しています か?
「はい」の場合、個人情報を取得している旨の通知を出しており、当該通知が本人に適 切に手に入ることを確認します。
「いいえ」の場合、「通知に関する規定の条件」(前記参照)の該当の有無を確認し、そ れが正当なものか確認します。
3.
個人情報の取得時(直接であるか第三者 の代行によるかを問わない)に、個人情報 を取得する目的を明らかにしていますか?
「はい」の場合、申請者が個人情報を取得している目的について本人に説明しているか 確認します。
この目的は口頭または文書で伝えなければなりません。例えば、ウェブサイトのテキ スト、URLのリンク、添付資料、ポップアップウィンドウ等などが考えられます。
「いいえ」の場合、「通知に関する規定の条件」(前記参照)の該当資格を確認し、その 資格が正当なものか確認します。
41
質問(申請者が回答) 評価基準(AAが確認)
4.
個人情報の取得時に、個人情報を第三者 に提供する場合があることを本人に通知し ていますか?
「はい」の場合、個人情報を第三者に提供する予定または可能性があること、またその 目的について申請者が本人に通知しているか確認します。
「いいえ」の場合、「通知に関する規定の条件」(前記参照)の資格を確認し、その資格 が正当なものか確認します。
42 5.2取得の制限(質問5から7)
取得の制限では、①合法かつ公正なものである点、②情報取得は必ず取得時に明記した具体的な目的に限定したものとしている 点、③情報取得は当該目的に関連したもので、且つ当該目的の遂行に応じたものである点を審査します。
質問(申請者が回答) 評価基準(AAが確認)
5.
個人情報はどのように入手していますか:
5.a) 当人から直接
5.b) 第三者が代行による
5.c) その他。「はい」の場合、具体的に。
「はい」の場合、実施内容について確認します。
※いずれかの項目に「はい」の回答がない場合は、認証を得ることはできません。
6.
個人情報の取得(直接であるか第三者の 代行によるかを問わない)は、取得目的、
又は取得目的に関連する他の目的の達成 に 関 す る個 人情 報に限 定 されています か?
「はい」の場合、特定した取得目的またはその他の矛盾しない関連する目的に適 した個人情報の取得しか行っていないことを確認した上で、以下が特定されてい ることを確認します。
①取得するデータの種類
②各データに対応して明記された取得目的
③各種データに適用される全用途
④明記された各取得目的の適合性または妥当性の説明
その上で、明記した目的の達成に適した個人情報の量と種類を限定しているか 確認します。
「いいえ」の場合、認証を得ることはできません。
7. 個人情報の取得に適用される管轄権の 要件に合わせて、適法かつ公正な手段で
「はい」の場合、当該個人情報の取得に適合される管轄区(日本の法令が及ぶ範 囲)の要件について認識かつ準拠しており、嘘偽りなく、公正な手段で情報を取
43 個人情報を取得していますか?(直接であ
る か 第 三 者 の 代 行 に よ る か を 問 わ な い) ?「はい」の場合、説明してください。
得していることを証明されているかを確認します。
「いいえ」の場合、認証を得ることはできません。
44 5.3個人情報の利用(質問8から13)
個人情報の利用では、個人情報は具体的な取得目的に限定して利用する点について審査します。
APEC 取得の原則に反しない関連する目的での個人情報の利用には、例えば、効果的かつ効率的に人材管理を行うための中央 管理データベースの作成と利用、第三者による従業員の給与処理、または、当該申請者に対して負う負債を後に徴収するために信 用を供与する目的で申請者により取得された情報の利用といったことなどが考えられます。
質問(申請者が回答) 評価基準(AAが確認)
8.
プライバシーステイトメントまたは取得時に 出した通知に特定した通り取得する(直接 であれ第三者の代行であれ)個人情報の 利用は、当該情報の取得目的またはその 他の矛盾のない関連する目的に限定され ていますか? 必要に応じて、説明してく ださい。
「はい」の場合、直接または第三者代行により取得されたすべての対象個人情報 が、取得する時点で有効なプライバシーステイトメントに記載されている目的に 対応した保護文書や手順書があるか確認します。
「いいえ」の場合、質問9を回答します。
9.
「いいえ」と回答した場合、以下のいずれ かの状況において、関連のない目的で集 める個人情報を利用していますか?下欄 に説明してください。
9.a) 本人の明白な同意に基づく場合
9.b) 準拠法に従う場合
質問8で「いいえ」と回答した場合、どのような状況において、取得目的以外の 目的で個人情報を利用しているのかが明記されているのか確認します。また、そ の目的について、具体的に説明を受け確認します。
1.9aを選択した場合は、同意を得た手段を確認します。その際に、本人の明白 な同意に基づくものであることも確認します。また、質問 17~19 に定める要件 を満たしていることも確認します。
手段の例としては、以下が考えられます。①から⑤に該当がない場合は、具体 的に記載してください。
①オンライン
45
②電子メール
③選択や、プロフィールのページ
④電話
⑤郵便
2.9.b を選択した場合は、取得した個人情報を法の定めに従い、どのように共 有、利用、または開示することができるか確認します。
9.aまたは9.bを回答しなかった場合は、認証を得ることはできません。
46
質問(申請者が回答) 評価基準(AAが確認)
10.
(直接であれ第三者の代行であれ)取得す る個人情報を他の個人情報取得者に開示 していますか? 「はい」の場合、説明して ください。
質問10と11に「はい」の場合、当該の開示または転送にあたって、取得目的ま たは、APEC取得の原則に反しない関連する目的を果たすために行っていること を確認します。具体的には、以下を確認します。
①開示または転送されるデータの種類
②開示データの種類ごとに対応する明記された取得目的
③開示によりどのように特定された目的が達成されるのか(注文対応など)
なお、要請のあったサービスや製品を提供するために必要な本人の明白な同意に 基づく場合や法の定める場合を除きます。
質問12が「いいえ」の場合、質問13に回答します。
11.
個人情報を個人情報処理業者に転送して いますか?「はい」の場合、説明してくださ い。
12.
質問10または11への回答が「はい」の場 合、その開示または転送は、取得目的また はその他の矛盾のない関連した目的を果 たすために行われたものですか?「はい」
の場合、説明してください。
13.
質問12の回答が「いいえ」の場合、または 適切な場合は、その開示や転送は以下の 状況のいずれかにおいて行われています か?
13.a)
本人の明白な同意に基づいているか?
13.b)
本人が要請したサービスまたは製品を提
個人情報をどのような状況で関連のない目的で開示または転送しているのか説 明を受け、確認します。
1.13.aでは、自分の個人情報が、関連のない用途に開示または転送されること について、本人への説明がなされ、同意を得ているかを確認します。
手段の例としては、以下が考えられます。①から⑤に該当がない場合は、具体 的に記載してください。
①オンライン
②電子メール
③選択や、プロフィールのページ
