Barで考える! Pマーク(プライバシーマーク)


f7426d7c92fe73d6eeb49983728ee5fa_l-min
いつもご愛読ありがとうございます。
ISO総合研究所の大路です。

街中ではコートを着る人も出始め、本格的な冬到来ですね。
僕は寒くなると、お酒を飲んであったまりたいなと思います。
スコッチウイスキーを飲むとポカポカしてきて最高です。

そんな私は大学時代Barでアルバイトをしていました。

さて、本日のテーマは、Barで考える! Pマーク(プライバシーマーク)
ラインナップは以下の通りです。

「A.3.3.1 個人情報の特定」
「A.3.3.2 法令,国が定める指針その他の規範」
「A.3.3.3 リスクアセスメント及びリスク対策」

A.3.3.1 個人情報の特定
組織は,個人情報の項目,利用目的,保管場所,保管方法,アクセス権を有する者,利用期限,保管期限などを記載した,個人情報を管理するための台帳を整備するとともに,当該台帳の内容を少なくとも年一回,適宜に確認し,最新の状態で維持されるようにしなければならない。

一番最初に現状把握することを求められています。
お仕事で取り扱う個人情報にはどんなものがあるか考えるにあたり、お仕事の流れ(業務フロー)に沿って洗い出してみましょう。

例)Bar
①お客様から予約が入る    |予約情報
②来店前に予約台帳で席の確認 |予約台帳
③来店             |なし
④注文             |なし
⑤会計時にクレジッドカード利用|お客様のサイン、クレジット情報

ざっとこのような流れでしょうか。
では、サンプリングで予約情報にフォーカスしていきます。

「予約台帳」
個人情報の項目    |氏名、予約日時、コース名、人数
利用目的       |予約管理の為
保管場所       |iPad(クラウド)
保管方法       |アクセス制限(パスキー)
アクセス権を有する者 |店長、社員、アルバイト
利用期限       |予約当日まで
保管期限       |ご来店日から1か月

このような情報を個人情報管理台帳に特定し、管理します。

A.3.3.2 法令,国が定める指針その他の規範
組織は,個人情報の取扱いに関する法令,国が定める指針その他の規範(以下,“法令等”という。)を特定し参照できる手順を確立し,かつ,維持しなければならない。

次に個人情報を取り扱うにあたり必要な法令等を特定し、参照先を明確にする必要があります。

どんなお仕事でも当てはまるものだと、個人情報保護法がありますね。
Barで考えるなら、風営法、パートさんがいるならパートタイム労働法なども特定しておくとよいかもしれません。
法律はいつ変わるかわかりません。そのため、いつでも参照先を確認できるようにURL等を一覧にしておくとよいでしょう。
逆に言えば、参照先があれば、法律の詳細まで理解する必要はありません。

A.3.3.3 リスクアセスメント及びリスク対策
組織は,A.3.3.1によって特定した個人情報について,利用目的の達成に必要な範囲を超えた利用を行わないため,必要な対策を講じる手順を確立し,かつ,維持しなければならない。 組織は,A.3.3.1によって特定した個人情報の取扱いについて,個人情報保護リスクを特定し,分析し,必要な対策を講じる手順を確立し,かつ,維持しなければならない。
組織は,現状で実施し得る対策を講じた上で,未対応部分を残留リスクとして把握し,管理しなければならない。

ここまで、個人情報の洗い出し(現状把握)と法規制の特定(ルールの確認)を行っていました。
次にやることは”リスクアセスメント”です。

カタカナで難しく感じますよね。
何をするかというと、個人情報の取得から廃棄までの流れにおいて想定されるリスクの洗い出しとリスク対策の選定をします。

先ほどの例で考えてみます。

「予約台帳」
取得|本人がWEBから入力
委託|クラウドサーバー提供会社に委託
保管|クラウド上に保管
送信|ネットワークを通じて送信
利用|予約管理に利用
消去|クラウド上のデータを消去

ざっとこのように分析できます。

では、各局面においてどんなリスクが想定されるでしょうか?

本人がWEBから入力     →本人の誤入力による誤った情報の入手
クラウド提供会社に委託  →委託先が個人情報を不適切に漏洩してしまう
クラウド上に保管     →クラウドが落ちた時にデータがなくなってしまう
ネットワークを通じて送信 →ネットワーク盗聴による漏洩
予約管理に利用      →目的外利用してしまう
クラウド上のデータを消去 →委託先が消去してくれた確認できない可能性

このようなリスクが想定できます。
そしてそれぞれに対策を検討していきます。上記の対策については、企業ごとにルールが異なっていて構いません。正解はないのです。

ここで注意すべきが“残留リスク”です。

想定されるリスクへの対策を決定したのち、対策を打ち切れない部分が必ず出てきます。
例えば、委託先がデータを消去してくれた確認ができないことは自社ではどうしようもありません。そこでまだ、リスクが残っていることを認識していることを明確にするため、残留リスクとして、残っているリスクを認識にしておく必要があります。

全ての個人情報に対して、リスクアセスメントをすることで、適切な管理方法を選定しましょう。

まとめ
いかがでしたでしょうか。

ざっとお話ししましたが、やっぱり規格が求めていることはわかりにくいですよね。
要求事項を読んだだけでは何をやっていいいかわからない場所は多くあると思います。
その際はぜひ、一度Pマーク総研までお気軽にご相談ください!

Pマーク総研は、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

最後までお読みいただき、ありがとうございました。


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス