旅行で考えるプライバシーマーク



はじめまして、こんにちは。
ISO総研の角田です。

突然ですが、皆さん旅行は好きですか?
僕はとても好きです。
最近はお城巡りをはじめとして寺社仏閣に訪れるため全国各地に旅行をしています。

旅行にもたくさん種類があると思います。

・美味しいものを食べる
・アクティブなことをする
・歴史に触れる
・観光名所を見る 等

旅行は様々です。
奥が深いですね、、、

僕はごはん、アクティビティ、観光名所すべてが大好きです。
月に1回は絶対に旅行に行くほどです。
毎回旅行は分刻みで計画を立てるのですが、基本狂いはございません。

今回はそんな僕が旅行で考えるプライバシーマークをお話しできればと思います。

まずプライバシーマークとは?

プライバシーマーク制度は、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合して、
個人情報について適切な保護措置を講ずる体制を整備している事業者等を評価し、その旨を示すプライバシーマークを付与し、
事業活動に関してプライバシーマークの使用を認める制度です。

https://privacymark.jp/system/about/outline_and_purpose.html

と記載されています。

簡単に言うと決められた個人情報のルールを守っている会社にプライバシーマークの取得を認めるといった内容になります。

プライバシーマークではPDCAサイクルが重要とされています。
実際に運用をしていこうとするとどうしても難しい言葉だったりしてすんなり頭に入らないと思います。

まずは、旅行とPDCAサイクルを交えて考えてみましょう。

旅行で考えるPDCAサイクル

Plan (計画)
Do (運用)
Check  (点検・監査)
Act (見直し)

この4点のサイクルを行っていくことが求められているのがプライバシーマークです。

旅行でもPlanにあたる、計画をする人はたくさんいると思います。
もちろんしない人もいると思いますが、、笑
昔は僕もしていませんでした笑

次に、計画を立て実施するのがDOになります。
ただ計画がしっかり立っていないと行動を起こすことすらできませんよね?

プライバシーマーク上でも計画は重要とされています。
プライバシーマーク上で求められている計画は主に、年間の運用計画、教育計画、監査計画が挙げられます。
詳しい内容は割愛をしますが、計画は文書化しなければいけません。

そこで4W1Hを使い、計画を立ててみましょう。

4W1Hで考える計画

Whenいつ
Whereどこで
Who誰が 
Whyなぜ
Howどのように

一度、上記を踏まえて旅行で考えてみましょう。

私、角田が(Who)5月のGWに(When)近畿地方に旅行に行きます。(Where)
京都、奈良の寺社仏閣をめぐり、ついでに近畿地方にある名立たる城を巡るため。(Why)
写真撮影やおいしいものを食べながら巡る(How)

このように計画を立てる際に、4W1Hを使って作成をしましょう。

教育計画であれば、全従業員に対して(Who)2020年3月~5月にかけて(When)本社で教育を行う(Where)
個人情報を漏洩しないために社員のリテラシー向上のために(Why)、全体で講義を実施してテストを行う。(How)

監査計画であれば、監査を実施する人が(Who)2020年の3月10日に(When)大手町本社、新宿支社、渋谷支社、六本木支社を内部監査する。(Werer)
プライバシーマークで定めたルールに基づいて運用されているか、個人情報保護が正しくできているかを監査する。(Why)
チェックリストに基づいてサンプリングで内部監査を実施していく。(How)

上記のように4W1Hで計画を作成し、時間や実施する人間を明確にすることで、より計画通りに運用の実施ができると思います。
そのほかにも文書化が必要ではないものでも、プライバシーマークの運用をしていくための計画は4W1Hで考えていくといいかもしれません。

旅行プランを考えた後は旅行当日に、そのプランに乗っ取り行動をしていく。
計画がちゃんとしていればしているほど、その旅行の充実度はあがると思います。
プライバシーマークも同じで計画がしっかりと作成できれば、より個人情報保護の強化ができると思います。

計画の作成が重要とわかっていただいたところで、4W1Hを用いた計画の作成をした後は実際に運用をしていく必要があります。

旅行の計画を立てたあとは旅行の日が来るまで待ち遠しくて仕方ないですよね。
緻密に計画をしたプランが旅行先で通用するのかそれが楽しみで仕方ありません。

先ほど計画をした旅行プランですと、京都や奈良に行きます。
寺社仏閣や城を巡る旅行なので巡っていく中で4W1Hを使って考えればその場所の歴史を深く知れますよね。
アクティビティも同じように考えると面白いかもしれませんね。
僕自身はアクティビティに関してはそこまで深く考えてはいませんが、、笑

このようにプライバシーマークの運用をしていく際にも計画と同じく4W1Hで実施をしていくと良いです。

運用をしていく中で、文書化しなければいけないものがいくつかあります。
下記のものが運用をしていく上でメインのものになります。

A3.3.1個人情報の特定
A3.3.2法令、国が定める指針その他の規範
A3.3.3リスクアセスメント及びリスク対策
A3.4.3.4委託先の監督
A3.4.5認識(教育)

認識(教育)の部分に関しては計画を作成しているので、その通りに実施をすれば大丈夫ですが、
認識(教育)以外は具体的な計画を作成していないと思います。

旅行において4W1Hを使うのは旅行をより楽しくするためです。
プライバシーマークの運用をしていく上で、4W1Hを使うのは個人情報保護をよりできるようにするためです。

特にA3.3.1やA3.4.3.4はしっかりと把握をしていないと個人情報の漏洩のリスクになります。
4W1Hを使って会社にある個人情報がどうなっているのか、委託をしている会社がどうなっているのかを見直ししていくと、よりよい運用ができます。
会社で定めたルールの見直しも4W1Hを使い、見直しをしていけばよりよいものになると思います。

次はC checkの部分です。
プライバシーマークの運用をしていく上でかなり重要な部分になるので、しっかりと理解をする必要があります。

旅行でCの部分を考えていければと思います。
プライバシーマークには2種類のチェックがあります。

・内部監査
・定期的な運用の確認

旅行で考えると少しゴリ押しになりますが考えていきましょう(笑)

定期的な運用の確認はルールにのっとり運用ができているか、項目を決めて確認をしていく部分です。
例えば、定期的な運用の確認であれば、旅行に行くためのお金を貯める必要があるので、月にいくらか溜まっているか確認をする等、
ルールを決めてしっかりとそれがなされているかの確認をするといった内容になります。

内部監査であれば、旅行に行く前に必要なもののチェックリストを作成して、必要なものがあるかのチェックをします。
準備ができていなければ、なぜできなかったか理由を考えたり、旅行の際に問題があれば次に活かすための改善を考えていく等になります。

このようにチェックリストを作成して合っていなければなぜあっていないのか、
ルールが間違っているのかどうかを確認するのが内部監査になります。
この項目もかなり重要な項目になりますので、是非旅行で考えながらチェックをしましょう。

最後のAct(評価)に関しては、代表に評価をしてもらい今後の運用を考えていく項目になります。

旅行の場合は、その旅行についてCでチェックした項目や、一緒に旅行に行った人から評価をもらい、次の旅行につなげる内容になります。
プライバシーマークの場合には、実際に運用の内容を代表に報告をして現状の評価、今後の運用の指針を決める場になります。

以上でプライバシーマーク上のPDCAサイクルは終わりになります。

まとめ
いかがでしたでしょうか?
今回は僕の好きな旅行で考えましたが、ご自身で好きなものに当てはめて考えるとよりよく運用ができると思います。

Pマーク総研は、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

最後までお読みいただき、ありがとうございました。


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス