2018年5月31日、個人情報保護委員会から「「個人情報」と「特定個人情報」～正しい理解のために～」http://www.ppc.go.jp/files/pdf/tadashiirikai_kojin_tokutei.pdf　が発表されました。そこでは、死者のマイナンバーは「個人情報」では無いと明記されています。しかし、プライバシーマーク取得事業者は、常に法律より厳しい取り扱いを求められており、【JIS Q15001:2017】付属書B.3.3.1(個人情報の特定) においても、"死者の情報も特定の対象とすることが望ましい"とされています。これにより特に、生存する個人なのか/死者なのか、の区別をする必要はありません。

A.3.4.2.5

A.3.4.2.4のうち本人から直接書面により取得する場合の措置

2006：3.4.2.4

2006：3.4.2.6のただし書き

組織は、A.3.4.2.4の措置を講じた場合において、本人から、書面（電子的方式，磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下、同じ。）に記載された個人情報を直接取得する場合には、少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、書面によって本人の同意を得なければならない。

ただし、人の生命、身体若しくは財産の保護のために緊急に必要がある場合、又はただし書きA.3.4.2.4のただし書きa)～d) のいずれかに該当する場合は、本人の同意を得ることを要しない。

“A.3.4.2.4の措置を講じた場合において”、とは、A.3.4.2.4による取得は、A.3.4.2.5の取得の前提であることをいう。よって、組織は、A.3.4.2.5の措置の前提として、まずA.3.4.2.4の措置（適用除外を含む。）を行うことが求められる。

A.3.4.2.5の、“書面によって本人に明示”とは、本人に対して、A.3.4.2.5のa)～h)の事項又はそれと同等以上の内容の事項が書面によって明確に示されていることをいい、例えば、A.3.4.2.5のa)～h)の事項を明記した契約書その他の書面を相手方である本人に手渡し又は送付すること、本人がアクセスした自社のウェブ画面上にA.3.4.2.5のa)～h)の事項を明記するなど、事業の性質及び個人情報の取扱状況に応じ、内容が本人に理解できる合理的かつ適切な方法によることである。

A.3.4.2.5ｄ）の“個人情報を第三者に提供することが予定される場合の事項”　は、個人情報の第三者への提供は、本人が直接関与していないことが多いため、本人に懸念を抱かせないよう、本人に明示する事項を定めている。“組織の種類、及び属性”とは、個人情報の提供を受ける組織（企業）の業種と提供元である組織（企業）との関係（関連会社、持株会社など）をいう。

A.3.4.2.5g）の“本人が個人情報を与えることの任意性”とは、例えば、申込書への個人情報の記入が義務的なものなのか、任意であるかについての本人に対して説明することをいう。“当該情報を与えなかった場合に本人に生じる結果”とは、例えば、申込書などに本人が個人情報を記入しなかった場合に起こり得る結果をいう。

【当該情報を与えなかった場合に本人に生じる結果】

A.3.4.2.5h）の、“本人が容易に認識できない方法によって個人情報を取得する場合には、その旨”とは、例えば、スマートフォンのアプリケーション経由で自動的に取得する位置情報、端末情報などが挙げられ、その場合には、当該方法によって個人情報を取得している旨及び取得する個人情報の内容を開示することをいう。

省略（付属書A.3.4.2.5　の内容と同じ

【Pマーク審査対応のポイント】

• 明示する利用目的は、「個人情報管理台帳」等で特定されていること。
• 本人が同意した書面を保管していること。
  • 通知文書「個人情報の取り扱いについて（従業者用）」
  • 通知文書「個人情報の取り扱いについて（応募者用）」
  • 通知文書「個人情報の取り扱いについて（個人事業主用）」
  • 通知文書「個人情報の取り扱いについて（会員登録用）」
  • 通知文書「個人情報の取り扱いについて（Webお問い合わせ用）」・・・・など
• 社員を派遣する場合は、本人に対する通知文書「個人情報の取り扱いについて（従業者用）」等に、派遣先への個人情報の提供について利用目的を通知すること。
• 受入派遣社員については、氏名、性別、社会保険および雇用保険の被保険者資格取得届の提出の有無のみ取得するが、その前提において、本人から同意を得る必要はない。ただし、派遣業務に従事中に教育・研修など本人から直接個人情報を取得する書面においては、当該利用目的がその書面に明示されるようにしておくことが望ましい。

【3300個人情報取扱規程】サンプル

3.4.2.5　本人から直接書面によって取得する場合の措置

新規の種類の個人情報を本人から直接書面によって取得する場合は、あらかじめ「3421個人情報取得・変更申請書」に、下記の必要事項を明記した「明示して同意を得るための書面（案）」を添付して、個人情報保護管理者の承認を得なければならない。

a)	会社名
b)	個人情報保護管理者の氏名又は職名、所属及び連絡先
c)	利用目的
d)	個人情報を第三者に提供することが予定される場合の事項 　・第三者に提供する目的 　・提供する個人情報の項目 　・提供の手段又は方法 　・当該情報の提供を受ける者又は提供を受ける者の組織の種類、および属性 　・個人情報の取扱いに関する契約がある場合はその旨
e)	個人情報の取扱いの委託を行うことが予定される場合には、その旨
f)	3.4.4.4～3.4.4.7に該当する場合にはその請求等に応じる旨および問合せ窓口
g)	本人が個人情報を与えることの任意性および当該情報を与えなかった場合に本人に生じる結果
h)	本人が容易に知覚できない方法によって個人情報を取得する場合には、その旨

2 個人情報を本人から直接書面によって取得する業務においては、本人に対し、取得する手段毎に「3311業務フロー」および「3312個人情報管理台帳」によって手順を定めなければならない。

3　当社は、「明示して同意を得るための書面」として、個人情報保護管理者が承認した以下の書類を使用する。

1	面接時	3425-01通知と同意書（採用面接用）
2	入社時	3425-02通知と同意書（従業者）
3	店舗用	3425-03通知と同意書（店舗・共同利用）
4	Webお問合せ	3425-04通知と同意書（お問い合わせ画面）

4 人事採用業務で個人情報を取得する場合は、「面接キット」「入社キット」に「明示して同意を得るための書面」をあらかじめ準備するなど、同意の取得漏れがないよう留意しなければならない。　

5 その他、4.例外的な処理手順 3.4.2.5項のただし書きのいずれかに該当する場合は、本人の同意を省略することができる。その場合は　4.例外的な処理手順に従わなければならない。

 

A.3.4.2.6　

利用に関する措置

2006：3.4.2.6

法第15条

法第18条

組織は、特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない。

特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、少なくとも、A.3.4.2.5のa)～f)に示す事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得なければならない。ただし、A.3.4.2.3のa)～d) のいずれかに該当する場合は、本人の同意を得ることを要しない。

2018/3/15正誤表：A.3.4.2.4　　→　A.3.4.2.3

“特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合”とは、例えば、組織内のある部門が本人の同意を得て取得した個人情報を他の部門が本人の同意を得た当初の目的の範囲外で利用する場合、組織が利用目的を特定した日以降に利用目的を変更し、かつ、A.3.4.2.4、又はA.3.4.2.5によって既に利用目的を明らかにしている場合などをいう。

なお、本人が想定できる範囲であっても、同意を得た範囲を超えて利用目的を変更することは目的外利用に該当する点に注意することが望ましい。

A.3.4.2.3a)は、法令に基づいて個人情報を取扱う場合をいう。例えば、刑事訴訟法第218条の令状による捜査に基づき、個人情報を取扱う場合、少年法第6条の５の令状による触法少年の調査の場合、所得税法第234条の所得税に係る税務職員の質問検査権の行使の場合、地方税法第72条の７の事業税に係る徴税吏員の質問検査権行使の場合などをいう。

A.3.4.2.3b)は、人（法人を含む。）の生命又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人情報の利用が必要であり、かつ、本人の同意を得ることが困難である場合（他の方法によって、当該権利利益の保護が十分可能である場合を除く。）をいう。例えば、
1)急病その他の事態時に、本人について、その血液型、家族の連絡先などを医師及び看護師に提供する場合。
2)製品事故が生じているか、又は製品事故は生じていないが人の生命若しくは身体に危害を及ぼす急迫した危険が存在するために、製造事業者などが消費生活用製品をリコールする場合であって、かつ、販売事業者、修理事業者、設置工事事業者などが当該製造事業者などに対して、当該製品の購入者などの情報を提供する場合などをいう。

A.3.4.2.3c)は、公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合（他の方法によって、当該権利利益の保護が十分可能である場合を除く。）をいう。例えば、不登校生徒の問題行動について、児童相談所、学校、医療行為などの関係機関が連携して対応するために、当該関係機関などの間で当該児童生徒の情報を交換する場合などをいう。

A.3.4.2.3d)は、 国の機関などが法令の定める事務を実施する上で、民間企業の協力を得る必要がある場合であり、協力する民間企業などが目的外利用を行うことについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがあると認められる場合をいう。例えば、組織が、税務署の職員などの任意調査に対し、個人情報を提出する場合などをいう。

A.3.4.2.3b)～c)の場合に該当するかどうかについては、当該者のし（恣）意的な判断ではなく、条理又は社会通念による客観的判断のもとで、極力限定的に解釈することが望ましい。

A.3.4.2.3d)の場合に国の機関などによる任意の求めに応じるかどうかについては、当事者のし（恣）意的な判断ではなく、条理又は社会通念による客観的判断のもとで、限定的に解釈することが望ましい。

あらかじめ、本人に通知し、本人の同意を得る。

【Pマーク審査対応のポイント】

• 法第15条第2項では、変更前の利用目的と　"相当の"　関連性を有する　　→　関連性を有する、とされた。
  "相当の"　の削除は「個人情報の利活用の促進」の観点から、利用目的制限の緩和であると解釈できる。　　　　　　
• 付属書Bにおいても、本人が想定できる範囲であっても、同意を得た範囲を超えて利用目的を変更することは目的外利用に該当する点に注意することが望ましい。としているが、明確には否定していない。
• しかし、プライバシーマークの審査においては、本人の権利保護の観点から、事業者側の推測のみで判断することは危険であるとし、引き続き慎重に対応することが求められる。
• 利用目的を変更する場合の承認様式は「個人情報取得・変更申請書」等を用いる。
• Pマークの審査では、利用目的の範囲を超えないかどうか、判断に迷ったときは個人情報保護管理者に相談しているかどうかを質問されることがある。

【3300個人情報取扱規程】サンプル

3.4.2.6　利用に関する措置

個人情報は、あらかじめ特定した利用目的の達成に必要な範囲内で利用しなければならない。

2 利用目的を変更する場合、3.4.2.5のa)～f) に示す次項又はそれと同等以上の内容を含めた「明示して同意を得るための書面」を本人に明示し、同意を得なければならない。

3 目的外利用に該当するかどうか迷う場合は、部門長を経由して個人情報保護管理者の判断を求めること。

4 個人情報の利用目的を変更する場合は、「3421個人情報取得・変更申請書」に必要事項を記載し、部門長の確認を受け、個人情報保護管理者へ提出する。

5 個人情報保護管理者は「3421個人情報取得・変更申請書」および添付書類の内容が妥当であるかを確認して承認する。

6 その他、4.例外的な処理手順　3.4.2.6項のただし書きのいずれかに該当する場合は、本人への通知・同意を省略することができる。その場合は　4.例外的な処理手順に従わなければならない。

A.3.4.2.7

本人に連絡又は接触する場合の措置

2006：3.4.2.7

2006：3.4.2.5　に
該当する

2006：3.4.2.6の
ただし書き

組織は、個人情報を利用して本人に連絡又は接触する場合には、本人に対して，A.3.4.2.5のa)～f) に示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得なければならない。ただし、次に示すいずれかに該当する場合は、本人に通知し、本人の同意を得ることを要しない。

A.3.4.2.7の“本人に連絡又は接触する場合”とは、個人情報の利用目的の達成に当たり、本人に対し、郵便、電話、メールなどを送ること又は訪問することなどをいう。

A.3.4.2.7の“取得方法”については、“同窓会名簿”及び“官報”などの取得源の種類並びに“書店からの購入”などの取得経緯を通知することが望ましい。

A.3.4.2.7の“同意”は、例えば、ダイレクトメールの場合、最初に出すダイレクトメールに通知文書を同封して送付し、本人の同意が得られれば、継続して本人に連絡又は接触してもよい。
なお、回答がない場合には同意がなかったものとみなすことが望ましい。

A.3.4.2.7b)によって個人情報の取扱いの委託を受けた者は、個人情報の取扱いに際し、委託の本旨に反して利用及び提供をすることは当然に許されないことであり、また、この規格に従い、個人情報を適正に管理することが望ましい。　
なお、委託を受けた者が、自身は適正に業務を実施するとしても、結果として個人情報の不適正な利用を助長することになれば、それもまた当然に許されないことといえる。したがって、委託を受ける者は、委託を受けた個人情報が適正に取得されたものかどうか、委託者に確認することが望ましく、委託する者が明らかに法令に違反している場合には、委託を受けないことが望ましい。

A.3.4.2.7d)は、個人情報を第三者から取得することによって共同利用に参加する場合が該当する。この場合も、組織は、要求事項に基づく措置を講じることが望ましい。

A.3.4.2.7d)の、“共同して利用する者の範囲”とは、本人からみてその範囲が明確である内容であるが、範囲が明確である限りは、必ずしも個別列挙しなくてもよい。 例えば、共同して利用する者の最新のリストを本人が容易に知り得る状態に置いているときなどをいう。

A.3.4.2.7d)の“共同して利用する個人情報の管理について責任を有する者の氏名又は名称”とは、開示等の請求等（A.3.4.4.1以下を参照。）及び苦情を受け付け、その処理に尽力するとともに、個人情報の内容などについて、開示、訂正、利用停止などの権限を有し、安全管理など個人情報の管理について責任を有する者の氏名又は名称（共同して利用する者の中で、第一次的に苦情の受付・処理、開示・訂正などを行う権限を有する者を、“責任を有する者”といい、共同して利用する者の内部の担当責任者をいうのではない。）をいう。

A.3.4.2.7d)に規定する共同利用を実施する際には、共同して利用する者の間で、共同して利用する者の要件、各共同して利用する者の個人情報取扱責任者・問合わせ担当者及び連絡先、共同利用する個人情報の取扱いに関する事項（漏えい防止に関する事項、目的外加工、利用、複写、複製等の禁止など）、共同利用する個人情報の取扱いに関する取決めが遵守されなかった場合の措置、共同利用する個人情報に関する事件・事故が発生した場合の報告・連絡に関する事項、共同利用を終了する際の手続などを取り決めておくことが望ましい。

本人に通知し、本人の同意を得る。

共同利用に関する事項の通知など:付属書Aと同じため、省略

【Pマーク審査対応のポイント】

• 通知及び同意の取得については、書面による通知や同意に限定していない。
• 通知と同意は口頭によっても差し支えない。ただし、本人への通知及び同意の取得のエビデンスとして、手順が整備されている必要があるため、コールセンター業務等においては「業務マニュアル」の整備が求められる。
• 本人への通知及び同意の取得を省略する場合は、どのただし書きに該当するかを明記し個人情報保護管理者の承認を得る必要がある。
• 同利用する者から個人情報を取得する場合、その共同利用者がA.3.4.2.7のd)の措置（共同利用に関する公表）を講じていない場合、本人に対して、A.3.4.2.5のa)～f) に示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得る必要がある。
• 本人への通知事項のうち、取得方法（取得源の種類、取得経緯）の通知については、は必須でなく、望ましいとされている。

【3300個人情報取扱規程】サンプル

3.4.2.7　本人に連絡又は接触する場合の措置

個人情報を直接書面による以外の方法によって取得し、その後本人に連絡又は接触（電話連絡、文書発送、ＤＭ送付、メール送付など）しようとする場合は、あらかじめ「3421個人情報取得・変更申請書」により、個人情報保護管理者の承認を得なければならない。

a)	本人に連絡又は接触する場合は、3.4.2.5のa)～f) に示す次項又はそれと同等以上の内容の事項、及び取得方法を含めた「明示して同意を得るための書面」を作成し本人から同意を得なければならない。また、本人へメールで連絡する場合は、初回は同意文書のみとし、同時にダイレクトメールなどを送付してはならない。
b)	個人情報の取扱いの全部又は一部を委託された場合で、当該個人情報を、その利用目的の達成に必要な範囲内で取扱うときは、本人への通知、同意を必要としない。その場合は　4.例外的な処理手順に従わなければならない。
c)	合併など事業の継承に伴って個人情報を取得した場合、個人情報を提供する組織が、すでに3.4.2.5のa～f)に示す事項を明示又は通知し、本人の同意を得ている場合で、承継前の利用目的の範囲内で当該個人情報を取扱うときは本人への通知、同意を必要としない。その場合は　4.例外的な処理手順に従わなければならない。
d)	共同利用によって取得した個人情報を用いて本人に連絡又は接触する場合であって、共同して利用する者が、すでに3.4.2.5のa)～f) に示す事項又、及び取得方法を通知し、本人の同意を得ている場合であって、かつ以下の事項をホームページに公表している場合は、本人への通知、同意を必要としない。 　・共同して利用すること 　・共同して利用される個人情報の項目 　・共同して利用する者の範囲 　・共同して利用する者の利用目的 　・共同して利用する個人情報の管理について責任を有する者の氏名又は名称 　・取得方法 ただし、その場合は　4.例外的な処理手順に従わなければならない。
e)	その他、4.例外的な処理手順　3.4.2.7項のただし書きのいずれかに該当する場合は、利用目的を本人に通知又は公表せずに本人に連絡又は接触することができる。その場合は　4.例外的な処理手順に従わなければならない。