事業者が保有する個人情報の正確性に関する要求事項が「3.4.3.1 正確性の確保」です。
これは個人情報を正確に管理することを求めていて、誤入力の防止や、誤ったデータの更新を防止する手順及び、データバックアップ手順などの確立について規定しています。
個人情報の正確性を保つには
事業者が保有する個人情報の正確性に関する要求事項を規定しているのが「3.4.3.1 正確性の確保」で、以下の内容を要求しています。
- 利用目的の達成に必要な範囲内において、個人情報を正確に管理すること
- 利用目的の達成に必要な範囲内において、個人情報を最新の状態で管理すること
データや書類の正確性を保つ
要求事項では、個人情報であるデータ(データベース)や書類の正確性(安全性)を保つことを求めています。
「正確に管理する」ことのメリットは、本人だけが享受するものではありません。
例えば、教育関連のビジネスを行っている事業者が、生徒に「大学入試対策夏期講座」の案内を送付する場面を考えてみましょう。
これは高校3年生の生徒にダイレクトメールを送るべきコース内容です。
しかし、事業者が生徒の個人情報である「年齢(生年月日)」を正しく管理していなければ、このダイレクトメールを対象の生徒に送ることはできません。
このように、事業者が保有する個人情報を正確に管理することにより、その利用目的の範囲内において、事業者のビジネスにも有効に利用できることはいうまでもありません。
したがって、個人情報保護マネジメントシステム内には個人情報を正確に管理する仕組み(例えば、個人情報を自社の情報システムに間違いのないように登録する、本人からの申し出に対して正確に更新するなど)を盛り込む必要があります。
「JIS Q 15000:2006 解説 3.4.9」では、「誤入力チェック」や「データのバックアップ」などの手順の確立を、データなどの正確性を保つ技術的対策(システム対策)としてあげています。
例えば、郵便番号を入力してもらうフィールド「×××ー××××」には、数字、かつ7桁しか入力できないように入力文字種の制御を行うなどの処理は、カタログをWebページから申込者が入力する住所情報を基に送付する場合に有効です。
さらに郵便番号を入力すると当該住所が自動で表示(入力)される機能などは、謝った情報を入力させないための有効で、かつ便利な機能であるといえます。
あわせて、「誤入力(新規・更新)を防止するためにオペレーションマニュアルを整備する」や「誤入力(新規・更新)を防止するために入力担当者に教育・訓練を行う」などのソフト面の対応は、システム的な対策だけでなく当然検討すべき対象となります。
個人情報を最新の状態で管理する
「個人情報を最新の状態で管理すること」の具体的な例としては、顧客であるAさんが転勤で東京から大阪に転居した場合、事業者が管理すべきAさんの個人情報(住所)が東京のままでは、「最新の状態で管理」していないことになります。
なお、この場合は個人情報を正確に更新する必要がありますが、Aさんから転居した旨の連絡があることが前提となります。
また、要求事項では絶対的なリアルタイムでの情報の最新化を求めてはおらず、個人情報の特性や事業者の取扱う個人情報の特性に応じて管理することを推奨しています。
なお「JIS Q 15000:2006 解説 3.4.9」では、それぞれの利用目的に応じて、その必要な範囲内で個人情報の最新性を確保すればよいと解説しています。社内のデータの更新時に最新性を確保するというのも一例となります。
なお、遅くとも当該データを最新の状態で利用しなければならない業務特性に応じた期限を「必要な範囲内」の対象としています。
個人情報保護法との関連
個人情報保護法の第19条(データ内容の正確性の確保)に相当する要求事項が、この「3.4.3.1 正確性の確保」です。
この19条は、2015年の個人情報保護法の改正で強化された条項で、表題もデータ内容の正確性の確保等となり、個人データの正確性に加え、利用する必要がなくなったときは、当該個人データを遅滞なく消去することが追加されています。