Pマーク(プライバシーマーク)の大項番と呼んでいる9つの項番


いつもご愛読いただき、誠にありがとうございます。
ISO総合研究所コンサルタントの杉浦です。

今年の6月はとても暑いですよね。
春までの不安定な天候ではないですが、
気温も高くなり、熱中症を気にしだす時期にもなりました。
みなさんは体調崩されていないでしょうか?
水分はしっかり取って体調管理していきましょう!

ではでは、今回Pマーク(プライバシーマーク)の大項番と呼んでいる9つの項番についてお話させていただきます。

Pマーク(プライバシーマーク)はJIS15001(ジスキュー15001)をベースにした「個人情報保護マネジメントシステム実施のためのガイドライン」の3.1~3.9までの項番をもとに運用していきます。Pマーク(プライバシーマーク)の審査は2年に1回ですが運用自体は
1年毎に3.1~3.9をもとに実施していきます。それでは3.1から順に説明していきます。

3.1 一般要求事項
・概要
個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ改善しなければならない旨を規定している。
PDCAサイクルによりマネジメントシステムを適切に運用することを求めているわけです。
つまり計画して、実行してみて、実行したことをチェックして、チェックしたところを
直して改善していこうという要求です

3.2個人情報保護方針
・概要
事業者における個人情報保護に関する取組みを文書化し、内外に宣言するよう求めている。
これは企業として個人情報を保護していくための意思表示をしてくださいと言っています。
ただ意思表示をすればいいわけではなく、以下の6項目を満たしていないといけません。
a. 事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること。
b. 個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること。
c. 個人情報の漏えい、滅失、毀損の防止及び是正に関すること。
d. 苦情及び相談への対応に関すること
e. 個人情報保護マネジメントシステムの継続的改善に関すること。
f. 代表者の氏名
これらの項目を満たした個人情報保護方針を作成し、HP(ホームページ)もしくは事務所内に掲示し公表しなくてはいけません。

3.3計画
この項目は運用をしていくのにまず役割を決め、自分達の会社で取扱っている個人情報を特定し、その個人情報を持っていたらどんなリスクがあるかを探し分析し対策をたてる、関連している法律をちゃんとわかっているか、そのための教育の計画、ちゃんと出来ているかのチェックするための監査の計画を立てようという項番です。あとは仮に個人情報を漏えいした場合に二次被害を抑えるための緊急事態になった場合のことも想定しておくこととしています。

3.4実施及び運用
この項番は実際にやっていくこととそれに向けてどう進めていくかを決めています。
まずはどうやって進めていくかの手順を決める、決めたら個人情報の利用する目的を決めること、利用することが決まったら、個人情報は不法に手に入れてないか、本人から個人情報をちゃんと取得しいているか、本人から取得してない場合はどのような対処をしているか、人の身体、性別など差別に結びつくような個人情報を扱う場合はどうするかを決めて各々利用する場面に対して実施するかを決める項番です。
取得している個人情報に対して常に最新の状態にしておくこともここでは求められています。

3.5個人情報保護マネジメントシステム文書
・概要
事業者は、以下の4つの個人情報保護マネジメントシステムの基本となる要素を書面で記述しなければならない。
a. 個人情報保護方針
b. 内部規定
c. 計画書
d. この規格が要求する記録及び事業者が個人情報保護マネジメントシステムを実施する上で必要と判断した記録を文書化するよう定めたものです。

個人情報保護方針は上記のとおり意思表示を掲げ公表してくださいというもの。内部規定とは会社独自の個人情報を扱う上でのマニュアルもしくはルールと、漏洩、滅失、毀損しないように個人情報の管理のマニュアルもしくはルールを作ること。計画書は個人情報を保護していくための教育やチェックするための監査をいつ行うかの計画書を作ること。あとは個人情報を保護していくのに、必要としているものを文書化してくださいとしています。実際に使うものの名前などは会社独自でかまいません。ただここの要求にかならずしも求められていないものも作成しがちな項番でもあるので、なるべくムダなものは作らないよう注意が必要な項番です。

3.6苦情及び相談への対応
ここは取扱っている個人情報をその本人から苦情や相談があった場合についても決めておきなさいという項番です。苦情や相談はこちらで承る窓口を決めて電話やメールなどで対応できるように役職者や部署なども決めておく必要があります。

3.7点検
これは実際に1年間運用をしていった中でちゃんとマニュアルもしくはルールはちゃんと機能しているか、上記で少し出てきました個人情報を管理する人もちゃんと出来ているかのチェックをする項番です。出来ていないからダメということではありません。出来ていないところがわかれば、それに対してどう変えていくか、1年間の振り返りも含めて自分たちの運用の確認をしていく項番です。

3.8是正処置及び予防処置
ここでは上記3.7点検でチェックして出来ていなかったことに対して、どのように対処して出来ていなかったことを直していくか、また同じように出来ていないということがないように何をすれば防げるのかを決めていく項番です。

3.9事業者の代表者による見直し
1年間個人情報の取扱いをしていてチェックし、次の1年間はこう進めていこうと意思決定する項番です。なぜ代表者の人なのかというと今後の事業計画の影響などで会社の方向性なども変わっていくことが起こり得るからです。なので最終的に代表者の人に1年間の報告をし、これからの運用の仕方を見直してもらうことを少なくとも年1回はするよう求められています。

少しでもPマーク(プライバシーマーク)を運用していくイメージが出来ましたでしょうか?
やることは分かっていても、実際に自分達でやっていくには大変な作業があります。その作業を当社がお手伝いをし、少しでもお客様のご負担を減らせればと思っております。


簡単・即時発行!見積書ダウンロード

メールアドレス