Pマーク新規格の抑えるべき3つのポイント!!

YUKA863_korekore15202501_TP_V
いつもご愛読いただきましてありがとうございます。
ISO総合研究所コンサルタントの田口と申します。

今回のテーマは、

「Pマーク新規格の抑えるべき3つのポイント!!」というテーマで書かせていただきます!
え!?Pマークの新規格ってどういうこと?と、思っているあなた!実は、12月に規格改訂がされた JISQ15001:2017 が出ていたのです。
そんなPマーク規格改訂のポイントを3つ教えちゃいます。

ポイント1. どんな要求事項になってるの?

ポイント2. 今回からでてきた付属書とは?

ポイント3. 審査で気を付けることは?

ポイント1. どんな要求事項になってるの?
ISO27001またはISMSというものをご存知でしょうか?ご存知だと話が早いです。規格要求事項はISO27001と似たような形になったのです。
大枠で分けると、3つになります。
① 大元の規格要求事項(個人情報の要求事項ではない)
ISO27001をないしはその他のISOの規格要求事項となりました。大項番の1~10で割り振られ、順番に言うと
適用範囲、引用規格、用語及び定義、組織の状況、リーダーシップ、計画、支援、運用、パフォーマンス評価、改善
となります。詳細を書くと長くなるので、ここでは概要だけにしておきます。
② 付属書Aと呼ばれるもので、今までの個人情報規格要求事項
これは今までのものと同じです。ポイント2のところで書かせていただきますね。
③ 付属書Cと呼ばれるもので、ISO27001の適用宣言書(付属書A)となり、安全管理に関する要求事項。ISOの適用宣言書そのままで、詳細はポイント2で書かせていただきます。
この3つになります。
付属書BとDってあるの?と思われた方がいると思います。存在はしますが、これは付属書AとCの解説みたいなものとなるので、あまり関係ありません。
大枠としての規格要求事項はこのような形となりました。

ポイント2. 今回からでてきた付属書とは?
大元の規格要求事項とは別の要求事項となります。要は下位文書ですね。先ほども少し触れましたが、付属書にはA~Dがあります。基本的に自分たち、審査時に使用するものは付属書のAとCになります。その二つ解説を簡単にします。

まずは付属書Aについて説明します。
基本は今までの個人情報の規格要求事項とほぼ内容は同じです。例えば3.3.1個人情報保護方針⇒A3.3.1個人情報保護方針という感じです。ただいくつか変わっているところもあります。例えば、直接書面という呼び名がなくなっている。第三者提供が3つに詳細が別れている。匿名加工情報(個人が特定されないデータのこと。アンケート集計結果等)が入った。などです。
ちなみに、個人情報保護法の改正に合わせて機微な情報が要配慮個人情報という名称に変わっています。個人情報保護法の改正で変わった名称は、そのまま変わっています。

次に付属書Cについて説明します。
これはISO27001の適用宣言書(付属書A)と同じです。
少し抜粋してみます。

(1)C6.2.2テレワーキング
テレワーキングの場所でアクセス,処理及び保存される個人情報を保護するために,方針及びその方針を支援するセキュリティ対策を実施することが望ましい。

噛み砕くと、自分たちが決めたセキュリティエリア外での作業をおこなっているかどうか。これの管理策を決めてくださいということです。

(2)C.8.2.2情報のラベル付け
個人情報のラベル付けに関する適切な一連の手順は,組織が採用した個人情報分類体系に従って策定し,実施することが望ましい。

噛み砕くと、情報の分類(例えば、極秘・社外秘・公開)を決めたら、それに従った管理方法、触れる人を限定するなどの対策をしましょうということです。ちなみに、赤いシール・青いシールなどをロッカーにも貼らなければいけないんじゃないかと、よく間違われますが、必ずしもそんなことはないので安心してください。

(3)C.18.1.5暗号化機能に対する規制
暗号化機能は,関連する全ての協定,法令及び規制を遵守して用いることが望ましい。

噛み砕くと、暗号化されたもの(ノートPC、USBでパスワード管理されたものを含む)を海外に持ち込んだり、輸出入する場合は、現地の法令等を守りましょう。ということです。

他の詳細も知りたいと思いますが、これも量が多いのでまた別の機会にします。

このように付属書というものが出来たので規格要求事項自体は増えたというべきでしょう。やることは今までとはあまり変わらないですが、ルール策定を行わなければいけないので少々負担になってくるのかなと思います。

ポイント3. 審査で気を付けることは?
皆さんが不安になっておられるのは、『どんなことをみられるのかな?審査で通るのかな? 』といったことだと思います。現地審査での話をまとめてみます。
現地審査で見られるところは、大きく分けて2つで大元の要求事項と付属書Aです。文書審査では、付属書Cも見られるのでルール策定はしっかりと行わないと不適合で返ってきます。現地で見られるのは今まで変わりません。書類として、方針・マニュアル類、個人情報の台帳、リスク分析、特定された法令、委託先、教育、内部監査、代表者による見直しです。
その他には、同意書や誓約書、委託先の個人情報に関する契約書類などです。
新しい規格での審査開始は、今のところは6月頃からのようですが、まだ詳細は決定していないようです。2018年1月中には発表されるとのことなので、当社からもお知らせしていきます。
仮に審査が6月から始まったとしても、審査員がまだ100%理解できている状態ではないと思います。Pマークの審査だけをやっていて、ISOの審査経験がない審査員がほとんどです。審査の方向性が決まっていなく、審査がしづらい状態であるため、良い審査を行うにはまだ時間がかかると思います。

いかがでしょうか?少しはイメージできましたか?
それでも他のものも良くわからないんだけど…というあなたは、ISO総研の運用代行サービスでまるっと解決!!!(笑)
半分冗談ですけれども、本当にわからない場合にはあなたの力になりますので、お気軽にお問い合わせ下さい。

それでは、またご愛読いただければ幸いです。

マイナンバーについて説明できますか?~個人情報保護法改正とPマーク~

-shared-img-thumb-YUKA150912596015_TP_V

いつもブログを見て頂きありがとうございます。
ISO総合研究所、大阪コンサルティング部の清水です。

この度のブログのテーマは、
「マイナンバーについて説明できますか?~個人情報保護法改正とPマーク~」です。

まず皆さんは、マイナンバーについて説明できますか?
ネット検索をせずに説明できる人はなかなか少ないのではないでしょうか?
では、まずマイナンバーとは何かからご説明していきます。

マイナンバーとは、日本に住民票を持っているすべての人(外国人の方たちも含まれます)が持つ12桁の数字番号のことです。
原則として、死ぬまで同じ番号を使用し、マイナンバーが漏えいしてしまい悪用される可能性があると認められる場合を除いて、基本的には変更することができないことになっているようです。

ではそのマイナンバーは、何に使うのでしょうか?

マイナンバーって何に使うの?
マイナンバーの使い道について説明します。大きく分けると3つの場面で活躍が期待されているようです。
1つ目は社会保障。例えば、社会保険や公的扶助・社会福祉事業で活躍が期待されています。
2つ目は税金。例えば、納税者に対して利便性が向上します。
3つ目は災害対策です。例えば、被災者生活の再建支援金の支給等に利用されます。
共通して言えるメリットは、多くの公共機関に存在する個人の情報が同一人の情報であることを確認するために活用できることです。
今までは、それぞれの機関内で、住民票や健康保険被保険者番号等を各番号で個人の情報を管理していました。
その為、氏名、住所などで個人の特定に時間と労力を費やし、機関間でのやりとりにもかなりの項数を要していたようです。
そこで各機関で共通に利用できるような番号を導入することで、一個人の特定を確実にかつスムーズに行える。
そこで導入されたのがマイナンバーというわけです。
実際に、行政機関の効率化が実現し、かなり多くの項数が削減されたようです。

マイナンバーについてのご説明は以上にしようかと思うのですが、やはりこれで悩みを完全に解決できない人もいるかと思います。
お忘れの人もおられるかもしれませんが、私はあくまでも中小企業様にプライバシーマークの取得をサポートするコンサルタントです。
個人情報保護の観点からもマイナンバーについてもちろん見ています。
そこで、マイナンバーを取り扱う上での苦情の申し出先というものがありますので、紹介させて頂きます。

その名も「マイナンバー苦情斡旋相談窓口」です!
基本的には、マイナンバーの取扱いに関する苦情をお持ちの方なら、どなたでもご利用いただけます。

よくある相談例としては、
①事業者に苦情を伝えたが、対応してもらえない。
②事業者の苦情に対して物言いである、もしくはどうしたらよいか分からない。
③事業者にてマイナンバーが漏えいさせており、自分の情報が流出している可能性がある。

といった3つに分かれます。もう少しでも不安になるようでしたら、「マイナンバー苦情斡旋相談窓口」を上手に活用してください。

—————————————————–

・マイナンバー苦情斡旋相談窓口
電話番号 03-6457-9585
  受付時間 9:30~17:30 (土日祝日及び年末年始を除く)

—————————————————–

そんなマイナンバーですが、プライバシーマークの審査ではどのような観点で扱われているのでしょうか?
弊社は1853社のお客様をお手伝いしており近年の審査傾向やよくあがる指摘事項等がわかります。

この1年間で一番多かったマイナンバーに関する指摘はズバリ
【個人情報の特定漏れ】です。
マイナンバーを会社で収集する際に一緒に取得する本人確認の書類や
マイナンバーをデータ管理する際のファイル、またはシステムの特定漏れが多かったように思えます。

次に個人情報の特定漏れに付随して
【リスクの認識、分析及び対策が不十分】という指摘です。
リスク分析とは
1.取得・入力
2.移送・送信
3.利用・加工
4.委託・提供
5.保管・バックアップ
6.廃棄
の各フローによって取扱う個人情報にどんなリスクがあるかを把握し、対策することです。
最近の事例では
“特定個人情報における廃棄時のリスク分析が不十分である”という指摘事項がありました。
誤廃棄などのリスクに対してマイナンバーの廃棄の際には廃棄の記録を取っておきましょうという指摘がありました。

私たちは、あくまでもプライバシーマークの取得のお手伝いをする専門コンサルタントです。
マイナンバーに特化した情報を提供する事は難しいですが、一個人情報としての取り扱い方や、保管方法など企業がプライバシーマークを取得する上で必要な措置をお教えすることは可能です。
個人情報保護法の改正が2017年5月に施行されています。
マイナンバーに関する内容ももちろん盛り込まれた変更内容です。
企業内だけで悩まず、ぜひ私たちのようなプライバシーマークの専門家にご相談ください。
何をするときでも我流より専門家に聞いた方が、合理的かつ有効的だと私は考えております。

ぜひ、個人情報の取り扱い方やマイナンバーについて、個人情報保護法の改正やプライバシーマークの運用についてお悩みをお持ちの人は弊社、ISO総合研究所までお気軽にご相談くださいませ。

最後までお読みいただきありがとうございました。

Pマークを持っている企業が知りたい個人情報保護法改正

0I9A853115070150spk_TP_V

はじめまして、こんにちは!

ISO総合研究所の森本と申します。

今回は、「Pマークを持っている企業が知りたい個人情報保護法改正」というテーマについてお話していきたいと思います。

 

まず初めに、個人情報の保護に関する法律(以下個人情報保護法)が改正されたのはご存知でしょうか?

個人情報保護法は、2005年に制定され今年2017年5月30日に法改正されました。

改正された内容の中でも、今回は特にPマークを「取得されている企業の方が知っておきたい内容」について触れていきます。

 

個人情報保護法の改正内容で企業の方が知っておきたい改正内容は4点あります。

 

1点目は、個人情報の適用範囲が変わったこと

2点目は、個人識別符号について

3点目は、要配慮個人情報について

4点目は、匿名加工情報についてです

一つずつ解説していきますのでお付き合いください。

 

最初に、今まで個人情報保護法が適用されていたのは、個人情報を5,000件以上保有している企業のみだったのが、保護法改正により適用範囲が広がりました。

具体的にどうなったかというと、保護法改正により5000件以上の個人情報を保有していなくても個人情報保護法が適用されるようになりました。

ですので、これまで個人情報保護法の適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し、対応する必要があります。

個人情報を業務で1件でも取り扱っていれば小規模事業の方も改正法を守ってくださいね!ということです。

 

次に個人情報保護法が改正されたことにより覚えておきたいことは、なんといっても個人情報の定義が明確にされたことです。

今までの個人情報と言われるものとは定義が少し変更になり、改正個人情報保護法では、「個人識別符号」という概念が新設されました。

 

個人識別符号とは、指紋・掌紋データや容貌データ等の特定の個人の身体の一部の特徴を変換した符号によって本人認証ができるようにしたものまたは旅券番号や免許証番号、住民票コードなどといった個人に割り当てられる符号のことを言います。

例えば銀行のセキュリティロックで指紋や静脈、虹彩を使用している場合、その指紋や静脈、虹彩の情報が個人識別符号に当たります。

例としては、スマートフォンやPCのロック解除に指紋認証を利用している企業が増えてきていますが、そういった情報も個人識別符号に当たるため、企業で利用目的を明確にして管理していくことが今後Pマークを運用していくに当たって求められていくことになるでしょう。

 

上記の情報は、個人情報保護法が改正される前は単独では個人情報とは扱われず、「特定の個人を識別できる情報」と結びついて初めて個人情報と扱われていました。

 

従来から、個人識別符号に該当する情報と、その他の個人情報を結び付けて取り扱っている場合には、特に新たに対応する必要はありません。

 

一方、個人識別符号に該当する情報と、その他の個人情報を結び付けず、別に管理しているなどの場合には、対応する必要があります。

そのような個人識別符号も個人情報に該当するため、個人識別符号にかかる取扱いの方法を見直すなどの措置をしなければなりません。

 

そして3つ目の要配慮個人情報についてですが、要配慮個人情報という概念が今回の改正で新設されました。

要配慮個人情報とは差別や偏見が生じてしまうような個人情報のことで、例としては、本人の人種(例:肌の色や民族)、信条、社会的身分、病歴(例:特殊な病歴)、犯罪の経歴(例:前科等の情報)、犯罪により害を被った事実、その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報のことです。これらの個人情報は特に気を付けて取り扱わなければいけないので、機微情報と言われることが多いです。

機微情報とは簡単に言うと健康診断の結果や、身体の障害等の差別に繋がったりする可能性のある情報のことです。

ちなみに、要配慮個人情報に該当するが、機微情報に該当しないものとしては、犯罪により害を被った事実等です。機微情報に該当して要配慮個人情報に該当しないものとしては、労働組合への加盟や本籍地の情報などです。

 

個人情報保護法改正の内容で、要配慮個人情報は本人の同意がある場合や、法令に基づく場合などを除いて取得が禁止されているとありますが、プライバシーマークの要求事項でも事業者が機微な個人情報を取り扱う場合については特段の配慮が求められる。

したがってこれらの個人情報の取得、利用及び提供は原則として禁止し、例外的に認めるものとする。とあります。ですので、要配慮個人情報については今まで通りプライバシーマークの要求事項さえ守っていれば何も変更点はないと思っていただいて結構です。

 

要配慮個人情報にあたり、多くの企業が取得している個人情報と言えば健康診断ですが、健康診断は今までと同じように、本人の同意をとって情報取得しているのであれば、特に運用を変える必要はありません。

 

そして最後の4つ目に匿名加工情報のご紹介をいたします。

匿名加工情報とは、個人情報を特定の個人情報を識別できないように加工して得られる個人に関する情報であり、当該個人情報を復元して特定の個人を再識別できないようにした個人情報のことを言います。

例としては、PiTaPaなどのICカードの履歴、ポイントカードの購買履歴などがあります。

匿名加工情報に関しては、個人情報に該当しないので、本人の同意なしで第3者に提供などができます。

例えば、今後、PiTaPaなどのICカードの履歴を提供する場合は、匿名加工情報の加工方法を守ることにより、本人の同意なく個人情報の利用目的として定めた目的以外で利用することや、本人の同意なく第三者に提供することなどが可能になりますので、業務の幅が大きく広がるかも知れません。

 

また、匿名加工情報についてはJIPDECが事例集を公表しておりますので、そちらも是非合わせて読んでみてください!

 

匿名加工情報については提供する際に本人の同意は不要です。

ただし、適正な加工を行わないといけないなどの条件はありますので、気を付けましょう。以下に匿名加工情報について詳しく記載してありますので参考にしてみてください。

http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/tokumeikakou.pdf

 

また、以下に個人情報保護法の改正について詳しく書いてありますので、興味のある方は是非是非ご確認くださいませ!

(https://www.ppc.go.jp/files/pdf/290530_personal_law.pdf)

 

今回の個人情報保護法の改正は2015年以来と久しぶりの改正なので、困惑していらっしゃる方が多いと思われます。

 

しかし、個人情報を適切に取り扱っている企業はそれだけで信用されますので、今回の個人情報保護法改正によって個人情報を取り扱う意識を少しでも上げていただければなと思います。

以上、長々と話しましたが、お付き合いいただきまして、本当にありがとうございました!!!

Pマーク(プライバシーマーク)|JISQ15001:2017の改正の目的とは?

TSUCH160130520I9A6560_TP_V

こんにちは!

ISO総合研究所の崎山です。

いつもご愛読いただきありがとうございます。

 

2017年12月20日に一般財団法人日本規格協会より、

Pマーク(プライバシーマーク)の要求事項である

JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】

が発売されました!

 

 

今回、お話するのは今Pマーク(プライバシーマーク)をすでに運用している企業様の中には、

気になっているご担当者様もいるであろう【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】について少し触れたいと思います。

 

わたしもさっそく【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】を購入し、

読んでみました!!

 

すると目に留まったのが、要求事項が書かれた後の≪解説≫ページでした。

 

そこには

1 今回の改正までの経緯

2 今回の改正の趣旨

の記載がありました。

 

まだ購入されていない方も多いと思いますので、その部分を一部抜粋し、ご案内いたします。

 

――――――――――――――――――――――

1 今回の改正までの経緯

この規格は,JIS Q 15001:1999(個人情報保護に関するコンプライアンス・プログラムの要求事項)として

平成 11 年に初版が制定された。

その後,情報技術の発展に伴い,個人情報の保護の必要性が一層高まるとともに,“個人情報の保護に関する法律”(平成 15 年 5 月 30 日法律第 57 号。以下,個人情報保護法という。)が平成 15 年に制定され,平成 17 年 4 月からの全面施行を迎え,規格を取り巻く環境は大きく変化した。

このような状況の変化を踏まえ,平成 18 年に,個人情報保護法に基づく個人情報保護ルール及びマネジメントシステムを併せもった規格に改正し,JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)(以下,旧規格という。)とした。

さらに,平成 23 年には,この規格の要求事項の解釈に関し,個人情報保護法の施行後の取組みとの関係においてより明確化が求められてきた部分について,要求事項本体の改正ではなく,高度で精緻な取組みに求められる記載内容を修正し充実化を図る改正を経て今回の改正に至った。

今回,経済産業省は,JIS Q 15001 改正原案作成委員会を組織し,JIS 原案を作成した。

 

【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】より引用

―――――――――――――――――――――

 

ここで記載されている中で注目するべき点としては、

「個人情報保護法の施行後の取組みとの関係においてより明確化が求められてきた部分について,要求事項本体の改正ではなく,高度で精緻な取組みに求められる記載内容を修正し充実化を図る改正を経て今回の改正に至った。」

上記の部分が今回の改正に至った経緯ではないでしょうか。

 

要は、改正個人情報保護法に伴って、JISQ15001:2017も変化してきているということかと考えられます。

 

さらにその部分に触れているのが、下記の抜粋部分になるかと思われます。

――――――――――――――――――――――

2 今回の改正の趣旨

今回の改正は,この規格のマネジメントシステム規格としての位置づけを明確化するとともに,平成 29 年 5 月 30 日に全面施行された改正個人情報保護法に対応する管理策を追加した。

また,旧規格で充実させた解説の内容の中で規格に取り入れる方が適切である内容を精査し,附属書(参考)とした。 なお,改正に当たっては,この規格が民間部門の個人情報保護の促進及び消費者保護に重要な役割を果たしていることから,要求事項の基本的な考え方を変更せず,旧規格に基づいて構築された個人情報保護マネジメントシステムがこの規格の改正によって不適合を生じないことに配慮した。

 

【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】より引用

―――――――――――――――――――――

 

今回のJISQ15001:2017改正の趣旨が明確に記載されています。

 

基本的な考え方は変更せずと書いている通り、やはり改正個人情報保護法に対応するべくJISQ15001:2017の内容も一部修正されていると考えていいでしょう。

 

今回は【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】が

2017年12月20日に発売されたということで、まずは改正された内容ではなく、要求事項が改正された意図に注目して書いてまいりました。

 

まだ要求事項が発売されたのみで、【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】のガイドラインは出ておりません。

 

 

次回以降では主な改正点等の内容にも触れていこうと考えておりますので、気になる方は次回以降もご期待くださいませ。

 

 

 

「来年2018年にPマークの審査が控えてるんだけどどうすればいいの?」とか、

「いつまでに規格改訂したらいいの?」とか、

「今からPマークを取得するけど、旧規格、新規格どっちなの?」とか、

すぐに相談に乗ってほしい!!!!!!!!という

 

Pマークを運用中、あるいはこれから取得を検討中の企業様は

一度当社ISO総合研究所にお問い合わせください!!!!

 

皆様のご連絡を心よりお待ちしております!!!

『個人情報保護法改正によって、○○〇〇〇〇するときは届出が必要になる!?』

tsuchimoto0I9A6485_TP_V

こんにちは!!

ISO総合研究所の箸方です。

いつも当社のブログをご覧いただき、ありがとうございます。

 

最近、地元の駅が再開発で映画館や大手家電量販店など商業施設がたくさん作られ大進化しております。

ますます街が活気づきそうで嬉しいですね。楽しみです。

 

さて、「個人情報保護法」も2017年5月30日より「改正個人情報保護法」が全面施行され進化しましたね!

「改正個人情報保護法」は2015年9月3日に可決・成立され、同年9月9日に公布されましたが、実は、施行はまだされていませんでした。

それが、2016年12月に、全面施行日(2017年5月30日)が発表され、先日、遂に施行されました。

 

どんなところが変わったのか?やらないといけないことはないのか?

不安に思う方、沢山いらっしゃると思います。

 

個人情報保護法の改正に当たり、内容が変更された点はいくつかありますが、

その中でも本日は、「個人情報保護法改正のオプトアウトの届け出」について、大きく変わった部分のみご説明させていただきます。

 

まず、オプトイン、オプトアウトという言葉ご存知でしょうか?

「オプトイン」とは本人から事前に同意を得ることで第三者に個人情報を提供することを言います。例えば、給与支払いの為の口座番号が含まれている「給与振込口座指定書」多くの企業で似たものを使っていると思います。支払いのために銀行に提供することがありますよね?

エンジニアを派遣するような会社では「スキルシート」が含まれると思います。

 

また、「オプトアウト」とは、個人情報を第三者提供することを通知し本人が認識し容易に知りうる状態のことを言います。つまり、本人の同意を得ずに情報を提供するが、本人にはそのことを伝えればOKということです。

例えば、迷惑メールやDMがそれにあたります。

メールが勝手に送られてきて、配信停止にするなら自分で申請する必要があるタイプのものです。

 

「オプトイン」については、個人情報保護法の改正前と改正後で扱いに変化はございません。ただし、「オプトアウト」については変化がありました。

改正前の「オプトアウト」では、以下の必要項目4点をあらかじめ本人に通知、又は本人が容易に知り得る状態に置いているときは個人情報を第三者に提供できるとされていました。

・第三者に提供する目的

・提供する個人情報の項目

・提供の手段又は方法

・本人の求めに応じて第三者提供の停止をする旨

 

それに対し、改正後の「オプトアウト」は手続きが厳格化されました。

 

ここからが本題です。

「オプトアウト」する際、オプトアウトに関する事項を個人情報保護委員会にあらかじめ届けなければならない。また、要配慮個人情報を含む個人データについてはオプトアウトの方法による第三者提供は認めない。というようにルールが変わりました。

つまり、「オプトアウト」する際(個人情報を第三者提供する際)には個人情報保護委員会へ届け出ることが必要となりました。

※この届出書は個人情報保護委員会のHPより入手できます。

 

さて、聞きなれない言葉が出てきたと思います。

「個人情報保護委員会」について少しだけお話しします。

 

「個人情報保護委員会」とは

個人情報(マイナンバー(個人番号)を含む。)の有用性に配慮しつつ、その適正な取扱いを確保するために設置された独立性の高い機関です。

※1:HPより引用

複数業務がありますが、詳しくは「個人情報保護委員会」のHP(https://www.ppc.go.jp/aboutus/commission/)をご覧ください。

 

本題に戻ります。

ここまで読んでいただいている方は、自社でオプトアウトの届け出が必要なものがあるか気になりますよね。最後にご説明します。

 

個人情報保護法は法律であるため、日本にある企業は守る義務があります。

これにはプライバシーマークの有無は関係ありません。

しかし、プライバシーマークを取得されている企業でオプトアウトの方式を取られている企業様はほとんどいらっしゃらないと思います。

 

「オプトイン方式」で、事前に同意を得てその個人情報を取り扱っているはずです。

 

それでは、ここで質問です。

プライバシーマーク取得企業が名簿業者からリストを購入して本人にアクセスして良いと思いますか?ダメだと思いますか?

 

 

 

 

 

 

正解は「ダメ」なんです!!!

 

JIS Q 15001:2006の「3.4.2.2 適正な取得」において

事業者は、適法、かつ、公正な手段によって個人情報を取得しなければならない。

と、あります。

本人の同意が取れているかどうかわからない名簿業者のリストを使うことは

プライバシーマークのルールに違反します。

 

この改正には、実はある事件が大きくかかわっています。覚えている方も多いと思いますが2015年6月、株式会社ベネッセコーポレーションの会員情報流失事件です。ベネッセの業務委託先の元社員が、ベネッセの顧客情報を不正に売却した事件です。約3,504万件分の個人情報が流出してしまいました。

この際に名簿業者がオプトアウト方式でほかの名簿業者へ拡散させていたことが発覚しました。

政府はこの名簿業者への取り締まりを強化するため、個人情報保護法のオプトアウトの項目を改正しました。

 

多くの一般企業はオプトアウトの手続きが変わったことに影響を受けることはないかと思います。

名簿業者、またはそれを利用されている企業の方は注意してください。

オプトアウト方式で個人情報を取り扱う際は届出が必要です。

自社の個人情報で届出が必要かどうか不安な方は

先ほどの「個人情報保護委員会」に問い合わせてみてください。

以下のような窓口が用意されています。

《個人情報保護法相談ダイヤル》

TEL:03-6457-9849

URL:https://www.ppc.go.jp/

 

最後に、個人情報保護法の改正は多くの企業が注目すべきものとなっています。

 

当社のブログでは他にも「改正個人情報保護法」に対して役に立つ知識を掲載させていただいております。

他のブログをご覧いただいてもよいですが、オススメは弊社コンサルによる無料相談です。

よろしければ、ぜひ、ISO総合研究所へご相談ください。皆様の力になれれば幸いです。

本日は最後まで読んでいただきありがとうございました!!!

ご連絡お待ちしております。

 

 

※1:個人情報保護委員会 https://www.ppc.go.jp/aboutus/commission/

個人情報保護法改正とプライバシーマークの違い~外国にある第三者編~

IMGL8663171031_TP_V

こんにちは。

プライバシーマーク運用支援コンサルタントの杉浦です。

いつも当社のブログをご覧いただき、ありがとうございます。

 

近年、

気候がおかしなことになっているように感じますね。

これまでゲリラ豪雨と呼ばれていたものがさらに勢いを増し、

街を呑み込むようなニュース映像を見るたびに心が痛みます。

ますます企業の生産活動のあり方であるとか、

自分たちの世代の将来構想を真剣に考えるようになりました。

 

さて、本日は

「個人情報保護法改正とプライバシーマークの違い~外国にある第三者編~」というテーマで、

個人情報保護法改正においてプライバシーマーク上何が変わったかを書かせていただきます。

 

本題に入る前に「改正個人情報保護法、個人情報保護委員会」について先に書かせて頂きます。

改正個人情報保護法が2015年9月3日に可決・成立がされ、同年9月9日に公布されました。ただこの時、施行はまだされいない状況でした、そして2016年12月、2017年5月30日に全面施行するということの発表がされました。

 

そもそもここでいう個人情報保護委員会とはいったい何のでしょうか?

 

個人情報保護委員会とは、個人情報(マイナンバー(個人番号)を含む。)の有用性に配慮しつつ、その適正な取扱いを確保するために設置された独立性の高い機関です。

具体的には、個人情報保護法及び番号法に基づき、次のような業務を行っています。

1、特定個人情報の監視・監督に関すること

行政機関や事業者等、特定個人情報の取扱者に対して、必要な指導・助言や報告徴収・立入検査を行い、法令違反があった場合には勧告・命令等を行うことがあります。

なお、個人情報保護法の改正法が施行されるまで、個人情報取扱事業者に対する監督の業務は従来どおり各省庁が担っています。

2、苦情あっせん等に関すること

特定個人情報の取扱い等に関する苦情の申出についての必要なあっせんを行うため、苦情あっせん相談窓口を設置して相談を受け付けています。また、個人情報保護法の解釈や制度一般に関する疑問にお答えするため、問合せ窓口を設置して質問を受け付けています。

3、特定個人情報保護評価に関すること

特定個人情報保護評価は、マイナンバー(個人番号)を利用する行政機関等が、総合的なリスク対策を自ら評価し公表するものです。委員会では、その評価を行う際の内容や手続を定めた指針の作成等を行っています。

4、個人情報の保護に関する基本方針の策定・推進

個人情報保護法に基づく「個人情報の保護に関する基本方針」の策定等を行い、官民の個人情報の保護に関する取組を推進しています。

5、国際協力

個人情報の保護に関する国際会議へ参加するほか、海外の関係機関と情報交換を行い、協力関係の構築に努めています。

6、広報・啓発

個人情報の保護及び適正かつ効果的な活用について、パンフレット、ウェブサイト、説明会等を活用した広報・啓発活動を行っています。

7、その他

上記の事務のほか、委員会の所掌事務の処理状況を示すための国会報告や必要な調査・研究等を行っています。

これらの業務を委員長1名、委員8名、合計9名の合議制で意思決定をする組織のことです。

 

プライバシーマークを運用していく中で法令順守が要求事項にあります。2017年5月30日の全面施行までは、関連する省庁のガイドラインを各事業者は特定をしていました。

それが上記の改正により、個人情報の取扱いに関しての窓口を1本化するということが決まりました。各省庁で発足しているガイドラインの特定をやめて、個人情報保護委員会が発足しているガイドラインを基準にしていこうということです。

 

その中の1つが今回のテーマである「~外国にある第三者編~」で「個人情報の保護に関する法律についてのガイドラインの外国にある第三者への提供編」が出てきます。

 

改正前は第三者に対する個人データの提供に関するルールを定めてはいたが、第三者が国内にあるのか、外国にあるのかの区別をしていなかったのです。

しかし、経済・社会活動のグローバル化及び情報通信技術の進展に伴い、個人情報を含むデータの国境を越えた流通が増加しており、外国への個人データの移転について一定の規律を設ける必要性が増大してきたこと、また個人情報の保護に関する国際的な枠組み等との整合を図ることを理由に、改正後の法第24条に新たに外国にある第三者に対する個人データの提供に関する規定が今回新たに設けられたのです。

 

それではここでプライバシーマークを取得している企業様に個人情報保護法改正によってどこが関わってくるか?を簡単にお伝えします。

例えば親会社が外国の法人、外国に支社がある企業様の場合に個人情報のやり取りを交わすことがある際は、あらかじめ本人の同意を得ておきましょう、委託先とは個人情報の取扱いに関しての覚書を外国の企業とも結んでいくことが求められています。

もともとは日本国内でのやり取りを中心に考えており、特に外国に対しては触れておりませんでしたが、昨今のグローバル化により、日本の国内規格では視野が狭くなってきているため時代背景を反映しているということでしょう。

 

いかがでしたでしょうか。

今回のブログを見ていただいて、運用上で困っている所があるなとか、これから取得を検討しているが不安があるなと思っている企業様がおりましたら、

例えば、ISO総合研究所のように、プライバシーマーク認証の維持活動をアウトソーシングサービスとして請けている会社もありますので、

経営資源を適正に配分するための一つの選択肢としてアウトソースを検討してみてはいかがでしょうか。

また今回の個人情報保護法の改正に伴い、弊社でもセミナーを開くことが決まりました。

実際にプライバシーマーク審査員補の資格を持つ者が講師ですのでよろしければ、

このブログをご覧いただいた際にご検討頂ければと思います。

 

 

Pマーク(プライバシーマーク:JIS Q 15001) 3.4.3.4項「委託先の監督」規格解釈

AKANE278122130_TP_V

こんにちは!

もう6月もおわってしまいますね。

6月といえば私は先日、福生市のホタル祭りに行って蛍を見てきました。

ちびっこたちにかこまれながらホタルを見ました。

人生初ほたるです。すごくきれいでした!!!!!!

都会にもホタルっているんですね!感激!!!!!

 

と思っていたら、あれは養殖だよ、と夢のない一言をもらいました。

世知辛い世の中です。

 

 

話が脱線してしまいましたね。

 

こんにちは。こんばんは。

ISO総合研究所コンサルタントの野村です。

 

今日はPマーク(プライバシーマーク)の規格3.4.3.4の委託先の監督についてお話しいたします。

いっぱい噛み砕いておいたので初心者さんにもわかりやすいかと思います!!!もぐもぐ。

 

まず初めに。

 

「委託先ってなーーーにーーーー????」

ここから始めましょう。

委託先 でググってみました。

委託先とは

業務を委託した相手。作業を委ねた相手。(日本語表現辞典Weblioより引用)

らしいです。

税理士さんや労務士さんがあてはまりますね。

そのほかにも、レンタルサーバ、クラウド、採用支援業者や名刺印刷業者なども委託先に当たります。

なんかとりあえず大体ほかの会社さんにお仕事お願いしてたら、それはだいたい委託先なんだと思ってもらっていいと思います。

 

委託先の意味がわかったところで、委託先の監督のお話しにもどりましょう。

委託先の監督とは、個人情報を渡している委託先に対して評価する、ということです。

 

委託先の監督は、大きく分けて2つです。実は簡単なんです

 

  • 個人情報をちゃんと取り扱っているか

 

  • 契約書は締結しているか

 

です。

 

まずは1の「個人情報をちゃんと取り扱っているか」から学んでいきましょう!

 

「個人情報をちゃんと取り扱っているか」これは主に4つの措置について見られます。

 

  • 物理的安全管理措置
  • 人的安全管理措置
  • 組織的安全管理措置
  • 技術的安全管理措置

 

漢字がいっぱいですね。難しそうですね。読む気が失せますね。

 

これをもう少しわかりやすく解説していきます。

 

  • 物理的安全管理措置

これは物理的に個人情報を守っているかです

具体例は、紙媒体の個人情報ならちゃんと鍵付きのキャビネットや金庫に保管しているか。

そのほかに、従業員の入退室管理なんかもあてはまっちゃいます!

 

  • 人的安全管理措置

これは人ですね。人。

つまりは「個人情報ってこんなに大切なんだよ~、ちゃんと大切に扱ってね~」という教育がなされているか等ですね。

説明がかなり雑ですが、まあ、なんか、そんな感じです。

 

  • 組織的安全管理措置

組織的?!なんかかっこいい!黒の組織を思い出す!!!!なんて思っちゃいますね。

思いませんか?私が最近コナンの映画を見たからかもしれませんね。

 

今年のコナンの映画は素敵でした。

すごい毎年見ているかのように書いてますが、劇場版なんてみたの何年振りかわかりません。

 

ちなみに私は安室さんがタイプです

たれ目の二重、金髪長髪なんて最高以外のなにものでもないです。

 

話がそれました。

 

組織的安全管理措置ですね。

これは委託先がPマーク(プライバシーマーク)を取得しているかや、委託先と契約書を結んでいるか、個人情報を触る管理者をきめているか等です。

なんだか一番ピンとこない感じはしますがそんなとこです。なんとなくご理解いただけると幸いです。

 

  • 技術的安全管理措置

これはなんとなくわかる気がしますね。

技術的。

たとえばアクセスログをとっているか、ウイルス対策は実施されているか、

IDやPASSをつけているか 等です。

 

途中脱線しかけましたがこれが

 

「個人情報をちゃんととりあつかっているか」

の四項目でした!!!!

 

次に

「契約書は締結しているか」

これはJISの規格で7つの項目を記載することが義務付けられています。

 

JISの規格通り書くと難しいです。

 

きっとみなさんも読む気が失せると思います。

 

なので噛み砕いてお伝えしますね。

 

こちらが7つの項目です!!!!!!!!!!!!

a)責任はどっちにある????

b)もらった個人情報を安全に管理します宣言!

c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)

d)業務報告してくれるか(あんま気にしなくていいやつ)

e)この契約を守ります宣言!

f)破っちゃったらどうする?そんなときの対応を記載しているか

g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」

 

ニュアンスで伝わってくださるとうれしいです。

a)はなにかあったとき、責任は委託元か委託先、どちらにあるかですね。

 

b)は委託元に対して委託先がちゃんともらった個人情報は悪用せずに厳重に扱いますというもの

 

c)は再委託をする際の決めごとですね。これは会社様によって違ったりします。

再委託は禁止のところもあれば、再委託をする際には一言くださいってところもあります。

 

d)はうまく説明できませんがちゃんと業務遂行してますっていう報告ですね。

難しくとらえなくて大丈夫です。データの受け渡しをしただけでも業務報告に値します。

 

e)はこの契約書にかかれている内容をちゃんとまもりますよーってことですね。

だいたいどんな同意書や誓約書にもかかれているやつです。

 

f)はこの契約書にかかれている内容を破った時の処罰などに関してです。

 

g)はもし何か漏えいや事故があった際にどうするかです。

裁判沙汰~…とか大きい感じのことではなく「この部署に連絡ください」とかそんな感じです多分。

 

ちなみに、これ、契約書でよく抜けている項目があるんです。

 

それが

 

c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)

g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」

 

ここですね。契約書を作る際には気を付けましょう!!!!

 

先述した

 

1、個人情報をちゃんと取り扱っているか

 

2、契約書を締結しているか

 

この2つがを確認するのが3.4.3.4委託先の監督です。

 

 

これでもうあなたも委託先マスター★

また来月もよろしくお願いします★★★

 

 

 

 

ご観覧いただきありがとうございました!!!!!!!!!!!!

そもそも印刷業にPマーク【プライバシーマーク】っているの?

N112_sukejyurucyouseicyu_TP_V

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの田口と申します。

 

今回のテーマ

 

「そもそも印刷業にPマーク【プライバシーマーク】っているの?」というテーマで書かせていただきます!

 

 

結論から申しますと、『いらない』です。

 

 

いきなりこんな風に書いてしまうと…

 

 

・そんなの取ってて当たり前のもんだろ!

・いらないって、今までやっていた努力は何なの?

・ふざけるな!

 

 

などなど、批難殺到だと思います。

いらないというのは大げさな部分はありますが、あなたの会社でPマークを持っている意味というのはなんですか?

こんな理由が挙げられると思います。

 

 

①顧客の要求があるから。

②持っている方が取引きしやすいから。

③個人情報を守っているというアピールになるから。

④セキュリティの向上になるから。

 

 

が大部分だと思います。

これ以外にないとは思っています。

 

まぁ、①や②は顧客や取引で必要なのだというあなたは持っていないといけなく、Pマーク【プライバシーマーク】が必要です。持っていないと仕事がなくなってしまうので、Pマーク【プライバシーマーク】を維持し続けていかないといけないですね。

 

 

Pマーク【プライバシーマーク】を維持するということはとても大変な労力です。

通常の業務とはかけ離れた作業をしているから大変ですよね…

なんといっても審査と指摘改善が一番大変だと思います。一人の担当者がほぼやっているあなたのような会社が厳しいと思います。

ISO総合研究所では1630社のお客様の運用代行をしており、いくつもの審査内容を集計しております。どんな指摘が一番多いのか?どんな傾向があるのか?2016年の審査傾向をまとめたマル秘資料を作っております。

 

 

『審査員はここを見ている!厳選48項目』

 

 

これを使用してISO総合研究所のお客様は審査での指摘を減らして、指摘改善の時間を少なくしております。

そんな資料を手に入れるチャンスがあります!!!

入手方法についての詳細は下記に書いておきます。

 

 

さて、話を少し戻します。

 

 

③や④のあなたはいかがでしょうか??

③のアピールになって仕事が増えているのでしょうか?それならば持っている意味が十分にあると思います。しかし、なんとなく持っていた方が良いと思って維持し続けているあなたはどうでしょうか!?2年に一回、50万~100万の審査料を払ってまで維持して、仕事が増えていますか?

④のセキュリティ向上のために持っているというのはどうでしょう?これほどムダなことはないと思います。Pマークの仕組みの中には色々とやらなければいけないことが沢山あります。

個人情報の台帳を作る。これで本当にセキュリティの向上につながりますか??

リスク分析をする。まあ、これはある程度役に立つかもしれません。

法令の特定をする。これの記録を作ったところでセキュリティが向上しますか??

委託先の管理記録をつくる。セキュリティに関係あります??

教育をする。これは内容によっては良いと思います。

内分監査をする。決めたルールをやっているかどうか確認するのは良いと思いますが、それ以外の内部監査は意味ないです。

代表者の見直し。これも意味ないですよね。

 

 

結局、役に立つのは教育とルールをやっているかどうかの確認くらいかなと思います。

その他をやるくらいの時間があるのならば業績を上げた方が会社のためになるんじゃないですか。

どうしてもセキュリティを上げたいのでしたら、Pマーク審査を受けるくらいならばセキュリティシステムを入れた方が断然よいと思います。

うちでは、そんな余裕がないし…

というあなたは、ルールを落とし込むのならば何が一番良いと思いますか?

教育?マニュアル化?

どちらも正解です。

ただ、落とし込むまでならば、またですか?覚えてますから。と言われるくらいまで繰り返し、繰り返し言い続けることが一番だと思います。

どこの会社でも同じですが、従業員の教育が一番であり、永遠の課題だと思います。

社長や責任者は言い続けられる根気と負けん気が重要です!!

 

 

顧客要求以外で、印刷業界にPマーク【プライバシーマーク】は必要ありません。

あるのはイメージだけです。

 

 

結局のところ、セキュリティ向上とPマーク【プライバシーマーク】維持というのはちょっとずれているのです。ここまで書かせていただいて、どうしてもPマーク【プライバシーマーク】の維持はするというのであれば止めません。

 

ISO総合研究所では、担当者が一人で業務に支障があるというあなたのような会社をお手伝いしております。

ムダなルールや作りすぎている書類をなるべく無くしていき、あなたの代わりに記録を作っていきます。

これによって楽になるのはあなた自身なのです!!

 

 

もちろん自分たちでやっていきたいというあなたもいると思いますが、そんなあなたでも今抱えて課題が明確に、解決に導けるようにお話させていただきます。

むしろ、営業という形でのお伺いというよりも、「相談」にのるような感じです。

「ISO総合研究所」と検索していただければすぐにヒットします。

その時に、前述していた資料をお持ちします。ご連絡を頂いたときに

 

 

“ブログを見ました。『審査員はここを見ている!厳選48項目』の資料が欲しい!”

 

 

と言って頂ければお持ちいたします。

長くなりましたが、またご愛読いただければ幸いです。

監視カメラとPマーク(プライバシーマーク)について

_shared_img_thumb_GREEN_RO20140125_TP_V

 

いつもご愛読いただきありがとうございます。

ISO総合研究所、Pマーク(プライバシーマーク)コンサルタントの山口浩史です。

 

今回は監視カメラとPマーク(プライバシーマーク)についてお話させて頂きます。

 

近年、監視カメラ、防犯カメラ、防災カメラ等、○○カメラという言葉を耳にします。ではまず、この言葉の違いから説明させていただきます。

 

読んで字のごとく、監視カメラとは様々な目的のために監視するビデオカメラのことを言います。例えば、犯罪防止のために使用されるカメラを防犯カメラと呼び、火災等の防災のために使用されるカメラを防災カメラと言います。私は監視カメラ=防犯カメラ=防災カメラという認識でした。

 

街を見渡すと至るところに監視カメラがあります。例えば、オフィスビル、商業施設、駅、公園、マンション、一軒家等。例を挙げたらキリがありません。日本全国で300万台以上あると言われています。いつの間にこんなに増えたのだろうか?

 

ちなみにイギリスでは590万台(人口11人に1台)利用されていると言われています。2020年には東京オリンピックもありますので今後さらに増えていくと思われます。

 

ではPマーク(プライバシーマーク)を取得していて監視カメラを導入している企業はどのくらいあるかちょっと調べてしました。

 

弊社数名のコンサルタントの聞いてみたら、185社のうち、監視カメラを導入していたお客様は25社でした。(あくまでも参考程度ですが)割合で言ったら15パーセントくらいでした。私は30~40パーセントくらいは導入しているかなと思っていたので意外に少ないなと思いました。ではどんなお客様が導入しているかというと、梱包など、多数のお客様情報を扱っている企業が多かったです。また、外部からの犯罪を防ぐためと内部からの情報漏洩を防ぐために従業員の行動をチェックするために監視カメラを利用しています。近年、従業員が意図的に個人情報を流失するという事件もありますので監視カメラがあるだけ抑止力にもなります。監視カメラがあることに気が付いていない従業員も多々いますが。結構わかりづらいところ(高所)に設置していることが多いので。たぶん私も気づかない内にたくさん撮影されているとい思います。

 

では、実際にPマーク(プライバシーマーク)を取得している企業が監視カメラを使用する際にどういった点に気をつけないといけないか説明します。

 

例えば、不特定多数の人が出入りする場所に監視カメラを設置した場合です。不特定多数の人が出入りするということは知らないうちに監視カメラに撮られている可能性があります。これは本人に無断で個人情報を利用していることになります。Pマーク(プライバシーマーク)では個人情報を利用する際に本人の許可を得ることが前提となっております。一人一人に許可を取るのは現実的ではありません。ではどうやって許可をとればよいか、それは監視カメラ付近に「防犯カメラ作動中」など勝手に撮影はしませんよとアピールすれば大丈夫です。意外と簡単に解決できます。

 

では、社内など特定の人が出入りする場所に監視カメラがある場合です。これも「防犯カメラ作動中」など明示すれば大丈夫ですが、お客様によっては外観を損ねるから嫌だという方がいます。こういった場合は特定の人しか出入りしないので事前に書面などで許可をとれば大丈夫です。先ほども言いましたがPマーク(プライバシーマーク)で大切なことは本人から許可を取ってから個人情報を利用することです。(例外で本人から許可をとらないで個人情報を利用することもあります。今回、この説明は割愛させていただきます。)

 

Pマーク(プライバシーマーク)を取得しているお客様でも、監視カメラの利用方法を理解していないところがあります。実際、内部監査を実施させていただいたお客様の中に指摘をだした例もあります。

 

ここで一つ「個人情報」について説明いたします。個人情報とはある特定の人物と判別できることを言います。なので、監視カメラに映ったとしても特定の人物だと判別できなければ問題ありません。

 

ここで監視カメラの使い方について気をつけていただきたいことがあります。監視カメラを利用する目的は防犯や防災目的が多いと思いますが、仮に何か事件が起こってその犯人が防犯カメラに映っていた場合、善意から犯人を捕まえようとその映像を拡散した場合、Pマーク(プライバシーマーク)上問題となる可能性もありますのでご注意して下さい。この辺りがちょっとややこしいです。

 

これからPマーク(プライバシーマーク)取得企業が監視カメラを利用するケースも増えてくると思いますが利用する際には十分気をつけていただきたいと思います。

 

また、監視カメラを所有していて、これからPマーク(プライバシーマーク)を取得しようと考えている企業も同様に気をつけてください。

 

 

Pマーク(プライバシーマーク)における「内部監査」について

_shared_img_thumb_GREEN_I20140125_TP_V

 

いつもご愛読いただき、ありがとうございます。ISO総合研究所、コンサルタントの南です。

 

最近、気温の寒暖差が激しいですね。夜はちょうど良かったのに朝は寒すぎて、

布団の中で震える日々が続いております(笑)

そうそう、先日ですね、弊社で毎月実施している新卒のイベント、

 

「天下一大会」の“東京新卒VS大阪新卒のプレゼン対決”

 

に向けての打合せをするために、最近、板橋区引っ越した同期の新卒男子の家に、他の新卒者と一緒にお邪魔させていただきました!!

 

※天下一大会とは毎月一回、新卒同士で戦う壮絶なバトルの日です!ISO総合研究所の名物と言っても過言ではないです!しかし、イベントの名前はどこかの漫画からクレームが来そうなネーミングですね!(笑)

 

いやあ~、職業柄でしょうかね、間取りとか、何処に何を置くかよりも、エントランスの鍵の閉め方や、靴箱に鍵がかかっている、災害時の避難経路はあるのか、消化器は置いてあるか、などのセキュリティーが気になってしょうがなかったです。知らず知らずのうちに内部監査をするような視点で新居を見て回っていました。(笑)

 

ということで今回はPマーク(プライバシーマーク)における内部監査のお話をさせていただこうと思います。(かなり無理矢理ですね...(笑))

 

 

まず、内部監査ってなんでしょう...??

 

内部監査とは、組織の内部の者による監査のことをいいます。

組織体が経営する上での目標の効果的な達成に役に立つことを目的として、合法性と合理性の観点から公正かつ独立の立場で、ガバナンス・プロセス、リスク・マネジメントおよびコントロールに関連する経営諸活動の遂行状況を、内部監査人としての規律を遵守する態度をもって評価し、これに基づいて客観的意見を述べ、助言・勧告を行う保証(アシュアランス)業務、および特定の経営諸活動の支援を行うアドバイザリー業務です。内部監査は、取締役(会計参与設置会社にあっては、取締役及び会計参与)の職務の執行を監査する監査役監査(又は監査委員会による監査)、計算書類及びその附属明細書、臨時計算書類並びに連結計算書類を監査する会計監査人監査と合わせて、三様監査と呼ばれることがあります。

※一般社団法人日本内部監査協会の「内部監査基準」参照

 

これを簡単に言いますと、ルールをしっかり守れているのかを社内にいる人がチェックしていくということです。

 

Pマーク(プライバシーマーク)の運用で言うと「PDCAサイクル(ピーディーシーエーサイクル)」の「C」にあたるのが内部監査です!

※PDCAサイクル(ピーディーシーエーサイクル)とはPがプランつまり計画、Dがデューつまり実行、Cがチェックつまり点検、Aがアクションつまり行動になります!!!

 

Pマーク(プライバシーマーク)の内部監査を行うにあたって、大きく分けて以下3点の監査を行っていかなければなりません。

 

 

  • Pマーク(プライバシーマーク)の文書に対する監査

チェックするのは、社内で作った文書が規格(JISQ15001(ジスキュー15001))の要求を満たしているかどうかです。

 

  • 個人情報保護管理者に対しての監査

個人情報保護管理者が作ったルール通りに運用をできているか

 

  • 現場に対しての監査

実際に現場で決めたルールを守っているか、各拠点、各部署の単位でチェックをしていきます!!

 

よくある例としては、入退室の記録の書き忘れや社内携帯にパスワードをかけていない、スクリーンセーバーをかけ忘れている、また掛けているが、バブルで設定しているなどなどです。ちなみになぜスクリーンセーバーの設定がバブルだとダメかというと、バブルだとスクリーンセーバーがかかっても透けてしまってパソコンの画面の内容が丸見えなんですよ(笑)

実際、わたしたちのお客様でも現地審査で審査員に指摘として出されてしまったお客様がいます(笑)

気になる方はぜひ一度設定してスクリーンセーバーがかかるまで放置してみてください(笑)

ちなみにどうしてもスクリーンセーバーをかけたくない方には、離席時に「Ctr(コントロール)」と「L(エル)」のキーを押していただくと、画面がロック画面になるという裏技が有ります!!ぜひぜひお試しくださいませ!!(笑)

 

 

Pマークを取るためには、上記の内容の内部監査を最低でも1年に1度は行わなければいけないです!

 

 

また、内部監査をする際の注意点ですが、監査員は自分が所属している部署の内部監査を実施してはいけません!!理由としては自分の部署を自分で見てしまうと、客観的な目で見れなくて、公平な判断が出来ないからです!!!分かりやすくいうならば、遊園地に行って、周りにいる子供と自分の子を比べて、「うちの子が一番かわいい」と思ってしまう父親、母親のようなものです(笑)客観性、公平性を失っていますね(笑)かく言うわたしも子供が出来たらそうなっていくのでしょうが…(笑)

 

 

ざっくりですが内部監査につきましては以上となります!!!!

拙い文章ですが最後まで読んでいただきありがとうございました!!!!!