Pマーク新規格の抑えるべき3つのポイント!!

YUKA863_korekore15202501_TP_V
いつもご愛読いただきましてありがとうございます。
ISO総合研究所コンサルタントの田口と申します。

今回のテーマは、

「Pマーク新規格の抑えるべき3つのポイント!!」というテーマで書かせていただきます!
え!?Pマークの新規格ってどういうこと?と、思っているあなた!実は、12月に規格改訂がされた JISQ15001:2017 が出ていたのです。
そんなPマーク規格改訂のポイントを3つ教えちゃいます。

ポイント1. どんな要求事項になってるの?

ポイント2. 今回からでてきた付属書とは?

ポイント3. 審査で気を付けることは?

ポイント1. どんな要求事項になってるの?
ISO27001またはISMSというものをご存知でしょうか?ご存知だと話が早いです。規格要求事項はISO27001と似たような形になったのです。
大枠で分けると、3つになります。
① 大元の規格要求事項(個人情報の要求事項ではない)
ISO27001をないしはその他のISOの規格要求事項となりました。大項番の1~10で割り振られ、順番に言うと
適用範囲、引用規格、用語及び定義、組織の状況、リーダーシップ、計画、支援、運用、パフォーマンス評価、改善
となります。詳細を書くと長くなるので、ここでは概要だけにしておきます。
② 付属書Aと呼ばれるもので、今までの個人情報規格要求事項
これは今までのものと同じです。ポイント2のところで書かせていただきますね。
③ 付属書Cと呼ばれるもので、ISO27001の適用宣言書(付属書A)となり、安全管理に関する要求事項。ISOの適用宣言書そのままで、詳細はポイント2で書かせていただきます。
この3つになります。
付属書BとDってあるの?と思われた方がいると思います。存在はしますが、これは付属書AとCの解説みたいなものとなるので、あまり関係ありません。
大枠としての規格要求事項はこのような形となりました。

ポイント2. 今回からでてきた付属書とは?
大元の規格要求事項とは別の要求事項となります。要は下位文書ですね。先ほども少し触れましたが、付属書にはA~Dがあります。基本的に自分たち、審査時に使用するものは付属書のAとCになります。その二つ解説を簡単にします。

まずは付属書Aについて説明します。
基本は今までの個人情報の規格要求事項とほぼ内容は同じです。例えば3.3.1個人情報保護方針⇒A3.3.1個人情報保護方針という感じです。ただいくつか変わっているところもあります。例えば、直接書面という呼び名がなくなっている。第三者提供が3つに詳細が別れている。匿名加工情報(個人が特定されないデータのこと。アンケート集計結果等)が入った。などです。
ちなみに、個人情報保護法の改正に合わせて機微な情報が要配慮個人情報という名称に変わっています。個人情報保護法の改正で変わった名称は、そのまま変わっています。

次に付属書Cについて説明します。
これはISO27001の適用宣言書(付属書A)と同じです。
少し抜粋してみます。

(1)C6.2.2テレワーキング
テレワーキングの場所でアクセス,処理及び保存される個人情報を保護するために,方針及びその方針を支援するセキュリティ対策を実施することが望ましい。

噛み砕くと、自分たちが決めたセキュリティエリア外での作業をおこなっているかどうか。これの管理策を決めてくださいということです。

(2)C.8.2.2情報のラベル付け
個人情報のラベル付けに関する適切な一連の手順は,組織が採用した個人情報分類体系に従って策定し,実施することが望ましい。

噛み砕くと、情報の分類(例えば、極秘・社外秘・公開)を決めたら、それに従った管理方法、触れる人を限定するなどの対策をしましょうということです。ちなみに、赤いシール・青いシールなどをロッカーにも貼らなければいけないんじゃないかと、よく間違われますが、必ずしもそんなことはないので安心してください。

(3)C.18.1.5暗号化機能に対する規制
暗号化機能は,関連する全ての協定,法令及び規制を遵守して用いることが望ましい。

噛み砕くと、暗号化されたもの(ノートPC、USBでパスワード管理されたものを含む)を海外に持ち込んだり、輸出入する場合は、現地の法令等を守りましょう。ということです。

他の詳細も知りたいと思いますが、これも量が多いのでまた別の機会にします。

このように付属書というものが出来たので規格要求事項自体は増えたというべきでしょう。やることは今までとはあまり変わらないですが、ルール策定を行わなければいけないので少々負担になってくるのかなと思います。

ポイント3. 審査で気を付けることは?
皆さんが不安になっておられるのは、『どんなことをみられるのかな?審査で通るのかな? 』といったことだと思います。現地審査での話をまとめてみます。
現地審査で見られるところは、大きく分けて2つで大元の要求事項と付属書Aです。文書審査では、付属書Cも見られるのでルール策定はしっかりと行わないと不適合で返ってきます。現地で見られるのは今まで変わりません。書類として、方針・マニュアル類、個人情報の台帳、リスク分析、特定された法令、委託先、教育、内部監査、代表者による見直しです。
その他には、同意書や誓約書、委託先の個人情報に関する契約書類などです。
新しい規格での審査開始は、今のところは6月頃からのようですが、まだ詳細は決定していないようです。2018年1月中には発表されるとのことなので、当社からもお知らせしていきます。
仮に審査が6月から始まったとしても、審査員がまだ100%理解できている状態ではないと思います。Pマークの審査だけをやっていて、ISOの審査経験がない審査員がほとんどです。審査の方向性が決まっていなく、審査がしづらい状態であるため、良い審査を行うにはまだ時間がかかると思います。

いかがでしょうか?少しはイメージできましたか?
それでも他のものも良くわからないんだけど…というあなたは、ISO総研の運用代行サービスでまるっと解決!!!(笑)
半分冗談ですけれども、本当にわからない場合にはあなたの力になりますので、お気軽にお問い合わせ下さい。

それでは、またご愛読いただければ幸いです。

マイナンバーについて説明できますか?~個人情報保護法改正とPマーク~

-shared-img-thumb-YUKA150912596015_TP_V

いつもブログを見て頂きありがとうございます。
ISO総合研究所、大阪コンサルティング部の清水です。

この度のブログのテーマは、
「マイナンバーについて説明できますか?~個人情報保護法改正とPマーク~」です。

まず皆さんは、マイナンバーについて説明できますか?
ネット検索をせずに説明できる人はなかなか少ないのではないでしょうか?
では、まずマイナンバーとは何かからご説明していきます。

マイナンバーとは、日本に住民票を持っているすべての人(外国人の方たちも含まれます)が持つ12桁の数字番号のことです。
原則として、死ぬまで同じ番号を使用し、マイナンバーが漏えいしてしまい悪用される可能性があると認められる場合を除いて、基本的には変更することができないことになっているようです。

ではそのマイナンバーは、何に使うのでしょうか?

マイナンバーって何に使うの?
マイナンバーの使い道について説明します。大きく分けると3つの場面で活躍が期待されているようです。
1つ目は社会保障。例えば、社会保険や公的扶助・社会福祉事業で活躍が期待されています。
2つ目は税金。例えば、納税者に対して利便性が向上します。
3つ目は災害対策です。例えば、被災者生活の再建支援金の支給等に利用されます。
共通して言えるメリットは、多くの公共機関に存在する個人の情報が同一人の情報であることを確認するために活用できることです。
今までは、それぞれの機関内で、住民票や健康保険被保険者番号等を各番号で個人の情報を管理していました。
その為、氏名、住所などで個人の特定に時間と労力を費やし、機関間でのやりとりにもかなりの項数を要していたようです。
そこで各機関で共通に利用できるような番号を導入することで、一個人の特定を確実にかつスムーズに行える。
そこで導入されたのがマイナンバーというわけです。
実際に、行政機関の効率化が実現し、かなり多くの項数が削減されたようです。

マイナンバーについてのご説明は以上にしようかと思うのですが、やはりこれで悩みを完全に解決できない人もいるかと思います。
お忘れの人もおられるかもしれませんが、私はあくまでも中小企業様にプライバシーマークの取得をサポートするコンサルタントです。
個人情報保護の観点からもマイナンバーについてもちろん見ています。
そこで、マイナンバーを取り扱う上での苦情の申し出先というものがありますので、紹介させて頂きます。

その名も「マイナンバー苦情斡旋相談窓口」です!
基本的には、マイナンバーの取扱いに関する苦情をお持ちの方なら、どなたでもご利用いただけます。

よくある相談例としては、
①事業者に苦情を伝えたが、対応してもらえない。
②事業者の苦情に対して物言いである、もしくはどうしたらよいか分からない。
③事業者にてマイナンバーが漏えいさせており、自分の情報が流出している可能性がある。

といった3つに分かれます。もう少しでも不安になるようでしたら、「マイナンバー苦情斡旋相談窓口」を上手に活用してください。

—————————————————–

・マイナンバー苦情斡旋相談窓口
電話番号 03-6457-9585
  受付時間 9:30~17:30 (土日祝日及び年末年始を除く)

—————————————————–

そんなマイナンバーですが、プライバシーマークの審査ではどのような観点で扱われているのでしょうか?
弊社は1853社のお客様をお手伝いしており近年の審査傾向やよくあがる指摘事項等がわかります。

この1年間で一番多かったマイナンバーに関する指摘はズバリ
【個人情報の特定漏れ】です。
マイナンバーを会社で収集する際に一緒に取得する本人確認の書類や
マイナンバーをデータ管理する際のファイル、またはシステムの特定漏れが多かったように思えます。

次に個人情報の特定漏れに付随して
【リスクの認識、分析及び対策が不十分】という指摘です。
リスク分析とは
1.取得・入力
2.移送・送信
3.利用・加工
4.委託・提供
5.保管・バックアップ
6.廃棄
の各フローによって取扱う個人情報にどんなリスクがあるかを把握し、対策することです。
最近の事例では
“特定個人情報における廃棄時のリスク分析が不十分である”という指摘事項がありました。
誤廃棄などのリスクに対してマイナンバーの廃棄の際には廃棄の記録を取っておきましょうという指摘がありました。

私たちは、あくまでもプライバシーマークの取得のお手伝いをする専門コンサルタントです。
マイナンバーに特化した情報を提供する事は難しいですが、一個人情報としての取り扱い方や、保管方法など企業がプライバシーマークを取得する上で必要な措置をお教えすることは可能です。
個人情報保護法の改正が2017年5月に施行されています。
マイナンバーに関する内容ももちろん盛り込まれた変更内容です。
企業内だけで悩まず、ぜひ私たちのようなプライバシーマークの専門家にご相談ください。
何をするときでも我流より専門家に聞いた方が、合理的かつ有効的だと私は考えております。

ぜひ、個人情報の取り扱い方やマイナンバーについて、個人情報保護法の改正やプライバシーマークの運用についてお悩みをお持ちの人は弊社、ISO総合研究所までお気軽にご相談くださいませ。

最後までお読みいただきありがとうございました。

Pマークを持っている企業が知りたい個人情報保護法改正

0I9A853115070150spk_TP_V

はじめまして、こんにちは!

ISO総合研究所の森本と申します。

今回は、「Pマークを持っている企業が知りたい個人情報保護法改正」というテーマについてお話していきたいと思います。

 

まず初めに、個人情報の保護に関する法律(以下個人情報保護法)が改正されたのはご存知でしょうか?

個人情報保護法は、2005年に制定され今年2017年5月30日に法改正されました。

改正された内容の中でも、今回は特にPマークを「取得されている企業の方が知っておきたい内容」について触れていきます。

 

個人情報保護法の改正内容で企業の方が知っておきたい改正内容は4点あります。

 

1点目は、個人情報の適用範囲が変わったこと

2点目は、個人識別符号について

3点目は、要配慮個人情報について

4点目は、匿名加工情報についてです

一つずつ解説していきますのでお付き合いください。

 

最初に、今まで個人情報保護法が適用されていたのは、個人情報を5,000件以上保有している企業のみだったのが、保護法改正により適用範囲が広がりました。

具体的にどうなったかというと、保護法改正により5000件以上の個人情報を保有していなくても個人情報保護法が適用されるようになりました。

ですので、これまで個人情報保護法の適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し、対応する必要があります。

個人情報を業務で1件でも取り扱っていれば小規模事業の方も改正法を守ってくださいね!ということです。

 

次に個人情報保護法が改正されたことにより覚えておきたいことは、なんといっても個人情報の定義が明確にされたことです。

今までの個人情報と言われるものとは定義が少し変更になり、改正個人情報保護法では、「個人識別符号」という概念が新設されました。

 

個人識別符号とは、指紋・掌紋データや容貌データ等の特定の個人の身体の一部の特徴を変換した符号によって本人認証ができるようにしたものまたは旅券番号や免許証番号、住民票コードなどといった個人に割り当てられる符号のことを言います。

例えば銀行のセキュリティロックで指紋や静脈、虹彩を使用している場合、その指紋や静脈、虹彩の情報が個人識別符号に当たります。

例としては、スマートフォンやPCのロック解除に指紋認証を利用している企業が増えてきていますが、そういった情報も個人識別符号に当たるため、企業で利用目的を明確にして管理していくことが今後Pマークを運用していくに当たって求められていくことになるでしょう。

 

上記の情報は、個人情報保護法が改正される前は単独では個人情報とは扱われず、「特定の個人を識別できる情報」と結びついて初めて個人情報と扱われていました。

 

従来から、個人識別符号に該当する情報と、その他の個人情報を結び付けて取り扱っている場合には、特に新たに対応する必要はありません。

 

一方、個人識別符号に該当する情報と、その他の個人情報を結び付けず、別に管理しているなどの場合には、対応する必要があります。

そのような個人識別符号も個人情報に該当するため、個人識別符号にかかる取扱いの方法を見直すなどの措置をしなければなりません。

 

そして3つ目の要配慮個人情報についてですが、要配慮個人情報という概念が今回の改正で新設されました。

要配慮個人情報とは差別や偏見が生じてしまうような個人情報のことで、例としては、本人の人種(例:肌の色や民族)、信条、社会的身分、病歴(例:特殊な病歴)、犯罪の経歴(例:前科等の情報)、犯罪により害を被った事実、その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報のことです。これらの個人情報は特に気を付けて取り扱わなければいけないので、機微情報と言われることが多いです。

機微情報とは簡単に言うと健康診断の結果や、身体の障害等の差別に繋がったりする可能性のある情報のことです。

ちなみに、要配慮個人情報に該当するが、機微情報に該当しないものとしては、犯罪により害を被った事実等です。機微情報に該当して要配慮個人情報に該当しないものとしては、労働組合への加盟や本籍地の情報などです。

 

個人情報保護法改正の内容で、要配慮個人情報は本人の同意がある場合や、法令に基づく場合などを除いて取得が禁止されているとありますが、プライバシーマークの要求事項でも事業者が機微な個人情報を取り扱う場合については特段の配慮が求められる。

したがってこれらの個人情報の取得、利用及び提供は原則として禁止し、例外的に認めるものとする。とあります。ですので、要配慮個人情報については今まで通りプライバシーマークの要求事項さえ守っていれば何も変更点はないと思っていただいて結構です。

 

要配慮個人情報にあたり、多くの企業が取得している個人情報と言えば健康診断ですが、健康診断は今までと同じように、本人の同意をとって情報取得しているのであれば、特に運用を変える必要はありません。

 

そして最後の4つ目に匿名加工情報のご紹介をいたします。

匿名加工情報とは、個人情報を特定の個人情報を識別できないように加工して得られる個人に関する情報であり、当該個人情報を復元して特定の個人を再識別できないようにした個人情報のことを言います。

例としては、PiTaPaなどのICカードの履歴、ポイントカードの購買履歴などがあります。

匿名加工情報に関しては、個人情報に該当しないので、本人の同意なしで第3者に提供などができます。

例えば、今後、PiTaPaなどのICカードの履歴を提供する場合は、匿名加工情報の加工方法を守ることにより、本人の同意なく個人情報の利用目的として定めた目的以外で利用することや、本人の同意なく第三者に提供することなどが可能になりますので、業務の幅が大きく広がるかも知れません。

 

また、匿名加工情報についてはJIPDECが事例集を公表しておりますので、そちらも是非合わせて読んでみてください!

 

匿名加工情報については提供する際に本人の同意は不要です。

ただし、適正な加工を行わないといけないなどの条件はありますので、気を付けましょう。以下に匿名加工情報について詳しく記載してありますので参考にしてみてください。

http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/tokumeikakou.pdf

 

また、以下に個人情報保護法の改正について詳しく書いてありますので、興味のある方は是非是非ご確認くださいませ!

(https://www.ppc.go.jp/files/pdf/290530_personal_law.pdf)

 

今回の個人情報保護法の改正は2015年以来と久しぶりの改正なので、困惑していらっしゃる方が多いと思われます。

 

しかし、個人情報を適切に取り扱っている企業はそれだけで信用されますので、今回の個人情報保護法改正によって個人情報を取り扱う意識を少しでも上げていただければなと思います。

以上、長々と話しましたが、お付き合いいただきまして、本当にありがとうございました!!!

『個人情報保護法改正によって、○○〇〇〇〇するときは届出が必要になる!?』

tsuchimoto0I9A6485_TP_V

こんにちは!!

ISO総合研究所の箸方です。

いつも当社のブログをご覧いただき、ありがとうございます。

 

最近、地元の駅が再開発で映画館や大手家電量販店など商業施設がたくさん作られ大進化しております。

ますます街が活気づきそうで嬉しいですね。楽しみです。

 

さて、「個人情報保護法」も2017年5月30日より「改正個人情報保護法」が全面施行され進化しましたね!

「改正個人情報保護法」は2015年9月3日に可決・成立され、同年9月9日に公布されましたが、実は、施行はまだされていませんでした。

それが、2016年12月に、全面施行日(2017年5月30日)が発表され、先日、遂に施行されました。

 

どんなところが変わったのか?やらないといけないことはないのか?

不安に思う方、沢山いらっしゃると思います。

 

個人情報保護法の改正に当たり、内容が変更された点はいくつかありますが、

その中でも本日は、「個人情報保護法改正のオプトアウトの届け出」について、大きく変わった部分のみご説明させていただきます。

 

まず、オプトイン、オプトアウトという言葉ご存知でしょうか?

「オプトイン」とは本人から事前に同意を得ることで第三者に個人情報を提供することを言います。例えば、給与支払いの為の口座番号が含まれている「給与振込口座指定書」多くの企業で似たものを使っていると思います。支払いのために銀行に提供することがありますよね?

エンジニアを派遣するような会社では「スキルシート」が含まれると思います。

 

また、「オプトアウト」とは、個人情報を第三者提供することを通知し本人が認識し容易に知りうる状態のことを言います。つまり、本人の同意を得ずに情報を提供するが、本人にはそのことを伝えればOKということです。

例えば、迷惑メールやDMがそれにあたります。

メールが勝手に送られてきて、配信停止にするなら自分で申請する必要があるタイプのものです。

 

「オプトイン」については、個人情報保護法の改正前と改正後で扱いに変化はございません。ただし、「オプトアウト」については変化がありました。

改正前の「オプトアウト」では、以下の必要項目4点をあらかじめ本人に通知、又は本人が容易に知り得る状態に置いているときは個人情報を第三者に提供できるとされていました。

・第三者に提供する目的

・提供する個人情報の項目

・提供の手段又は方法

・本人の求めに応じて第三者提供の停止をする旨

 

それに対し、改正後の「オプトアウト」は手続きが厳格化されました。

 

ここからが本題です。

「オプトアウト」する際、オプトアウトに関する事項を個人情報保護委員会にあらかじめ届けなければならない。また、要配慮個人情報を含む個人データについてはオプトアウトの方法による第三者提供は認めない。というようにルールが変わりました。

つまり、「オプトアウト」する際(個人情報を第三者提供する際)には個人情報保護委員会へ届け出ることが必要となりました。

※この届出書は個人情報保護委員会のHPより入手できます。

 

さて、聞きなれない言葉が出てきたと思います。

「個人情報保護委員会」について少しだけお話しします。

 

「個人情報保護委員会」とは

個人情報(マイナンバー(個人番号)を含む。)の有用性に配慮しつつ、その適正な取扱いを確保するために設置された独立性の高い機関です。

※1:HPより引用

複数業務がありますが、詳しくは「個人情報保護委員会」のHP(https://www.ppc.go.jp/aboutus/commission/)をご覧ください。

 

本題に戻ります。

ここまで読んでいただいている方は、自社でオプトアウトの届け出が必要なものがあるか気になりますよね。最後にご説明します。

 

個人情報保護法は法律であるため、日本にある企業は守る義務があります。

これにはプライバシーマークの有無は関係ありません。

しかし、プライバシーマークを取得されている企業でオプトアウトの方式を取られている企業様はほとんどいらっしゃらないと思います。

 

「オプトイン方式」で、事前に同意を得てその個人情報を取り扱っているはずです。

 

それでは、ここで質問です。

プライバシーマーク取得企業が名簿業者からリストを購入して本人にアクセスして良いと思いますか?ダメだと思いますか?

 

 

 

 

 

 

正解は「ダメ」なんです!!!

 

JIS Q 15001:2006の「3.4.2.2 適正な取得」において

事業者は、適法、かつ、公正な手段によって個人情報を取得しなければならない。

と、あります。

本人の同意が取れているかどうかわからない名簿業者のリストを使うことは

プライバシーマークのルールに違反します。

 

この改正には、実はある事件が大きくかかわっています。覚えている方も多いと思いますが2015年6月、株式会社ベネッセコーポレーションの会員情報流失事件です。ベネッセの業務委託先の元社員が、ベネッセの顧客情報を不正に売却した事件です。約3,504万件分の個人情報が流出してしまいました。

この際に名簿業者がオプトアウト方式でほかの名簿業者へ拡散させていたことが発覚しました。

政府はこの名簿業者への取り締まりを強化するため、個人情報保護法のオプトアウトの項目を改正しました。

 

多くの一般企業はオプトアウトの手続きが変わったことに影響を受けることはないかと思います。

名簿業者、またはそれを利用されている企業の方は注意してください。

オプトアウト方式で個人情報を取り扱う際は届出が必要です。

自社の個人情報で届出が必要かどうか不安な方は

先ほどの「個人情報保護委員会」に問い合わせてみてください。

以下のような窓口が用意されています。

《個人情報保護法相談ダイヤル》

TEL:03-6457-9849

URL:https://www.ppc.go.jp/

 

最後に、個人情報保護法の改正は多くの企業が注目すべきものとなっています。

 

当社のブログでは他にも「改正個人情報保護法」に対して役に立つ知識を掲載させていただいております。

他のブログをご覧いただいてもよいですが、オススメは弊社コンサルによる無料相談です。

よろしければ、ぜひ、ISO総合研究所へご相談ください。皆様の力になれれば幸いです。

本日は最後まで読んでいただきありがとうございました!!!

ご連絡お待ちしております。

 

 

※1:個人情報保護委員会 https://www.ppc.go.jp/aboutus/commission/

Pマーク担当者必見! ここが変わった個人情報保護法改正の3つのポイント!

PAK85_lalakakudaikyouOL20140321_TP_V

 

こんにちは!

Pマーク運用支援コンサルタントの村上です。

いつも当社のブログをご覧いただき、ありがとうございます!

 

 

さて、いきなりですが皆さんは

『個人情報保護法』についてどのくらい知っていますでしょうか?

 

「今年改正されたのは知っている・・・」「なんとなく耳にしたことがある・・」

など、内容についてはあまり知らない事が多いのではないでしょうか?

 

そもそも『個人情報保護に関する法律』、通称『個人情報保護法』とは、

どんな法律なのかと言いますと、

 

『個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律』とされています。

また、基本理念を定めるほか、民間事業者の個人情報の取扱いについて規定されています。

 

 

この法律の目的としては、

「個人情報の有効性に配慮しつつ、個人の権利利益を保護すること」とされています。

 

今までは机の上に個人情報が記載されている履歴書を放置していても何も言われなかったけれど、今ではちゃんとキャビネットの中に保管しているようになったなど、時代とともに変化していった事がありますよね。

 

このように高度情報通信社会の進展に伴って、個人情報の利用が著しく拡大していることにより、個人情報の適正な取り扱いに関し、基本理念及び政府による基本方針の作成その他個人情報の保護に関する施策の基本となる事項を定め、国及び地方国興団体の責務等を明らかすること、また、個人情報の取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現が求められています。

(参照:個人情報保護法の基本URL:

https://cybozulive.com/2_299602/gwCabinet/view?cid=14140117&currentFolderId=1565294)

 

実は、この『個人情報保護法』がまた更に時代の変化に伴って昨年3月に改正され、

2017年5月30日に施行されました。

 

 

そこで!本日は

「ここが変わった個人情報保護法改正の3つのポイント!」という事で、

『個人情報保護法』が大まかに「どこが変わったのか?」という事を

 

①「個人情報保護委員会の新設」について

②「個人情報の定義の明確化」について

③「その他の変更箇所」について

 

の3つのポイントに絞って説明していきます!

 

 

 

まず1つ目のポイントは「個人情報保護委員会の新設」です。

 

個人情報保護委員会とは、昨年発足した「特定個人情報保護委員会」を改組したものです。

マイナンバーの適正な取扱いの確保を図るための業務を引き継ぐとともに、

新たに個人情報保護法を所管し、個人情報の有用性に配慮しつつ、その適正な取扱いの確保に関する業務を行います。

 

民間事業者の監督について、改正前は各分野の主務大臣が個人情報取扱事業者に対し監督権限を持っていたのですが、

今回の改正でこの監督権限が個人情報保護委員会に一元化されました。

これは、各分野の主務大臣が権限を持っていると、重要な監督や所管省庁が不明確であるという課題があったためです。

 

一元化されたことにより、個人情報の事故があった際に報告する場所が一か所になり、分かりやすくなりました。

 

「個人情報保護委員会」が新設されたことでPマーク担当者の方がしなければならないことが1つ増えていて、Pマークで作成する緊急事態への準備の手順に、この「個人情報保護委員会」を追記する必要があります。

 

 

 

 

2つ目のポイントは「個人情報の定義の明確化」です。

 

今回の改正で、今まで個人情報かどうかグレーゾーンにあった、指紋データや顔認証データなどの身体的特徴等が新たに個人情報の定義に明記されました。

これらは「個人識別符号」といい、特定の個人の身体の一部の特徴を、電子計算機のために変換したものや、旅券番号や運転免許証番号のように個人に割り当てられた文字、番号、記号などの符号がこれに該当します。

 

また、もう一点明確化されていて、

本人の人種、信条、病歴などの本人に対する不当な差別や偏見が生じる可能性のある個人情報を「要配慮個人情報」と呼び、「要配慮個人情報」を取得する際には本人の同意を得ることが義務化されました。Pマーク制度の言葉で言うと、「特定の機微な個人情報」と同義語になります。

 

以上の「個人識別符号」と「要配慮個人情報」が今回の改正で明確化されたものになります。

 

 

 

最後に3つ目のポイントが「その他の変更箇所」です!

 

ここでは変更箇所として押さえておきたいことが3点あります。それが、

 

①個人情報を取扱う事業者の制限の廃止

②オプトアウト規定の利用

③個人情報データベース提供罪     です。

 

 

まず、①個人情報を取扱う事業者の制限の廃止についてですが、

以前は取り扱う個人情報の数が5,000以下である事業者は規制の対象外とされていました。

しかし、今回の改正でこの制限は廃止され、取り扱う個人情報の数が5,000以下でも、

「個人情報を取扱う事業」として明記されることとなりました。

 

 

次に②のオプトアウト規定の利用についてです。

オプトアウト規定とは、あらかじめ本人に対して個人データを第三者提供することについて通知または認識し得る状態にしておき、本人がこれに反対をしない限り、同意したものとみなし、第三者提供をすることを認めることを言います。

 

今回の改正で、このオプトアウトを利用する場合、個人情報取扱事業者は所要事項を個人情報保護委員会に届け出る事を義務化し、委員会はその内容を公表する必要が生じました。

ちなみに、「要配慮個人情報」についてはオプトアウトによる第三者提供は認められておりません。

 

 

最後に③個人情報データベース提供罪についてです。

 

個人情報データベース等を、不正な利益を図る目的で第三者提供したり、盗用する行為を、

「個人情報データベース提供罪」という法律で処罰されるようになりました。

これは、いわゆる名簿屋対策として制定されました。

不正に取得されていると知っていて、その個人情報データベース等を取得することは

犯罪になりますので注意しましょう!

 

 

 

 

以上、長々とお話してきましたが、

Pマーク制度にてPマークを取得されている皆さんは、実はすでに

個人情報保護法の内容について運用されています!

 

というのも、Pマーク制度は個人情報保護法よりも厳しい観点で審査されているからです。

 

しかし、今回3つのポイントに絞ってお話しましたが、私自身も個人情報保護法についてはまだまだ勉強中になります!さらに、近いうちにこの改正によりPマークのガイドラインも変更されると言われています。

まずは落ち着いてもう一度社内のルールについて見直してみるといいかもしれません。

「Pマーク(プライバシーマーク)の新規認証の審査の1日」

SAYA072162920_TP_V

いつもご愛読ありがとうございます。

 

今回はPマークの新規取得において、担当者が一番心配されている点についてお話したいと思います。

お客様のほとんどは口を揃えて、「○○が一番心配だった。」「○○の対策をどうするかでずっと悩んでいた。」と言います。

その「○○」とは・・・「現地審査」です。

 

「現地審査」とは、審査員がPマーク取得申請企業に実際に出向いて、実務をチェックする工程です。現地審査を初めて受けられる人にとっては、何が起こるのか分からないので大変不安ですよね。では、実際、どんな風に流れていくのか、1日の流れを紹介したいと思います。現地審査の前日から、Pマーク担当者Aさんの1日のスケジュールを見ていきましょう。

 

【審査前日】○月×日

09:00 明日は審査だ。審査に使う書類を印刷しよう。

10:30 書類の印刷終了。やはり書類の数多いな…。さーて、どこにどの書類があるか当日テンパらないように付箋を貼っていこう。

12:00 付箋だらけになってしまった。書類も多いし、付箋も多いし、テーブルがごちゃごちゃだ。審査でしっかり見る書類と、ほとんど見られない書類が分かれば、書類も付箋も少なく済むのになぁ。とりあえず昼食取って休憩しよ。

13:00 さて、次は「同意書」や「委託先の契約書」とかの書類を総務部のキャビネットから集めよう。

14:00 やっと集まった。意外と大変だったな。でもなんか足りなさそうだな…

14:05 とりあえずテーブルの上がやばい(笑) 綺麗にファイリングしよう。

14:30 完成!さーて、次は全書類のチェックだ!

14:40 やばい。さっそく書類が足りない。印刷ミスもある…

16:30 チェック終了。・・・さて、やるか(不足分の書類回収、書類修正、再印刷など)

17:00 退社時間迫ってる。誰か手伝ってくれ。

18:00 んー終わらない。

19:00 よし、ここまできた。最終チェックだ!

20:00 やっと終わったー。早く帰ろう。明日は審査だ。

 

 

 

【審査当日】○月△日

08:30 出社

09:00 審査で使う会議室に、昨日チェックした書類を持ってこよう。

09:30 審査の参加者に点呼をかけよう。弊社の代表取締役、個人情報保護監査責任者がいればいいんだっけ。

09:50 審査員到着。2人来た。審査員のうち、1人がメイン、もう一人がサブということらしい。

10:00 審査開始。最初に秘密保持契約を結んだ。

10:10 トップインタビュー開始。弊社の代表取締役とメインの審査員が会話。

内容は、

①Pマーク取得の目的

②いつ頃からPマーク取得を考え始めたのか

③事業内容の概要

④各事業の売上の比率

10:30 トップインタビュー終了。代表者は退出。

10:35 ここからが私の出番!

10:50 約15分 採用の形態と採用業務のフローについて、メインの審査員に詳しく聞かれた。「不採用時の履歴書は返却か廃棄するのか」そこまで聞かれるんだな。

11:10 約20分 給与管理や社会保険関係などの経理・総務業務のフローに詳しく聞かれた。タイムカードなのか固定給なのか、社労士や税理士をどこのフローから使っているのか 質問攻め。経理に詳しい人じゃないと答えられないな。

12:00 約1時間 弊社サービスの業務フローについて詳しく聞かれた。個人情報をどこから受け取るのか、どういう書類やデータに置き換わりながら業務が流れていくのか、情報をどのプロセスで委託するのか、廃棄はどうしているのか、何年保管するか決まっているのかなど、質問攻め。よくそんなポンポン質問が出てくるなぁ。喋りすぎて喉が渇く。事務の人を呼んでコーヒー追加。

12:05 お昼休憩。審査員とは別の場所で昼食をとる。

13:00 午後の部開始!作成した書類のチェック!

14:20 午前中にヒアリングしたことと、作成した書類の整合性について順を追って、サブの審査員に確認された。午後は基本的にサブの審査員が担当するのか。メインの審査員もサブの審査員をフォローするような形で質問をしてきた。不足分や、修正する箇所を「指摘」として何個も出された。何か月もの時間を要して頑張って作り上げた書類も、こんなにたくさんの指摘が出るんだなぁ。

14:30 小休憩。昼食後は眠くなるなー。コーヒー飲もう。

14:40 審査再開!

15:30 まだまだ書類の整合性について確認される。書類しか見てないなぁ。御役所っぽい。

16:00 2回目の小休憩。審査ってこんなにも長いのか… コーヒー必須だな。

16:10 書類の確認が終わり、今後は社内を実際に見て回るそうだ。

16:20 オフィスにあるパソコンを数台見られて、「スクリーンセーバーが設定されているか」、「パスワードの桁数は、社内のルール通りなっているか」、「Windows Updateは手動更新ではなく自動更新になっているか」など、確認した。

16:40 サーバールームに移動して、システム関係のことをヒアリングされた。バックアップの方法や頻度、各パソコンやサーバーに対するアクセスログをどう管理し、点検しているのかなど。システム責任者が同席していてよかったー。

16:50 社内を一通り見て、再度会議室に戻る。実務のチェックはあまり重視しないのかな?1時間もかからず終わったぞ。

17:20 最後の総括。審査員から「今回の指摘は○○です。」と10~20個言われた。後日、正式指摘文書として、詳しい指摘内容が書かれた書類が届くそうだ。

17:30 審査員が退出。ふー。やっと終わった。それにしても長い1日だった…

 

【合計】

・書類作成時間                  :250時間

・前日準備                         :10時間

・当日の審査時間              :6時間(休憩を除く)

・審査員から受けた質問    :???個(数え切れない…)

・指摘数                            :18個

・飲んだコーヒー              :5杯

・精神の疲れ                     :250%(午前中でもうしんどい…)

 

「急に担当になったけれど、こんなに大変な仕事はやりたくない。」

という方はISO総合研究所までお問い合わせください。

審査自体の時間は短縮できませんが、「審査の前日準備10時間」と「精神の疲れ250%」を限りなく「0」に近づけることは可能です。

 

ISO総合研究所のコンサルタントがお伺いして、無料でご相談に乗らせて頂きます。

一人で悩んでいないで、まずはお気軽にお問い合わせください。

 

Pマーク(プライバシーマーク)の現地審査を受けた後に行う指摘改善について

_shared_img_thumb_SEPsts_TP_V

ISO総合研究所 コンサルタントの平墳です。

 

今回はPマーク(プライバシーマーク)の現地審査を受けた後に行う指摘改善についてお伝えしたいと思います

 

指摘改善とは、規程で定められたルールが現場で実際に運用されているのか、個人情報が適切に扱われているのかを見られる現地審査で確認し、現場で特定されていない個人情報が見つかったり、現場が個人情報を取りあつかうのに適切な環境でなかったときなどに、指摘が出されそれに対応するというものです。

 

どのように指摘が届くのかというとまず審査機関から「プライバシーマーク付与申請審査

の指摘事項について」という書類が届きます。

 

 

この書類には、どのような点が不備だったのか等が記載してあります。

これを「指摘事項」と言います。

指摘事項数は現地審査次第ですが、少なくても5箇所弱。多くて20~30箇所、またそれ以上の指摘をもらう場合があります。

 

 

しかし、「指摘事項」が出たからといって、プライバシーマークが取得できないということはありません。

 

 

申請事業者は3ヶ月以内にこの指摘事項に対して、改善報告書を提出し「指摘事項」を改善してなくせばいいのです。

 

提出された改善報告書が適切だと認められれば、審査員から改善を認める旨の連絡が入ります。

 

 

そもそも指摘事項はなぜでるのでしょうか?

Pマーク(プライバシーマーク)の審査のために絶対必要だからでしょうか?

Pマーク(プライバシーマーク)の審査に落とすためでしょうか?

 

 

指摘事項を出すのは、「現地審査員がきちんとその企業の審査をしてきました。」という証拠になるのです。

 

審査員は実際に企業に訪問し、実態を確認した上で、Pマーク(プライバシーマーク)の水準を担保できると判断する必要があります。

 

 

 

指摘が出てそれを改善するまでをPマーク(プライバシーマーク)が付与認定されるまでの流れでご説明させて頂きます。

 

 

  1. 弊社はPマーク(プライバシーマーク)の取り組みをしています。その実態を確認してください!というまずは申請を審査機関へ提出します。これが申請書です。

 

  1. 申請書を受け取った審査機関は、申請に必要な書類や必要事項が明記されているか確認をします。これが形式審査です。

 

  1. 申請に必要な書類が確認でき、申請が受理されるといよいよ現地審査の日程が決まります。

 

  1. その後、事前に審査機関がJISQ15001(ジスキュー15001)要求事項で最低限のルールを作成するように求めています。そのルールがきちんとかかれているかを文書審査で確認を実施します。

 

  1. いよいよ現地審査にて、Pマーク(プライバシーマーク)のために実施してきた活動内容を1日かけて確認をしていきます。

 

  1. 現地審査員が指摘事項を企業に出します。

 

  1. 企業が指摘された内容を修正します。

 

  1. 現地審査員が改善された内容をもとに「審査会」と呼ばれるPマーク(プライバシーマーク)の付与認定を行う場所で報告をします。

 

  1. 審査会でPマーク(プライバシーマーク)付与が確定し、Pマーク(プライバシーマーク)が発行されます。

 

現地審査に来た審査員が指摘事項をあげる目的がどこかわかりましたか?

 

上記の8番がポイントです。

 

 

現地審査に来た審査員は現地審査終了後に

「私がこのように監査を実施して、改善していただき、Pマーク(プライバシーマーク)を付与できるだけの水準を確保しましたのでPマーク(プライバシーマーク)の付与をお願いします。」

と報告をするために必要なのです。

 

しかしその指摘事項には、審査員個人の思いや経験、考えが反映されてしまうことも珍しくありません。実際に指摘改善の作業をお手伝いしていると

 

「要求事項のどこにかいてあるのかと思うくらいおかしな指摘」

というものも多く見受けられます。

 

 

「審査員の言うことはすべて正しいから必ず実施しなければならない」と思っている企業の方も多いですが、納得行かない部分は納得いくまで審査員に聞いていただいて大丈夫です。それでもやはり審査員によって言っていることは違ってきますので、なんでそう思うか等も聞いていただいたほうがよいかと思います。

 

 

 

例を挙げるときりがありませんが、その他にもたくさん、審査員の個人の見解ではないのか?とうものが多くあります。

 

現審査後に指摘事項は必ずでます。指摘が出ないように完璧に記録を作成しよう、運用をしようとするのは労力の無駄です。

 

 

現地審査員はPマーク(プライバシーマーク)の審査に落とすためではなく、あくまで企業のことを考えて、「もっとこうしたほうがよりいいですよ」と提案をしてくださいます。

 

しかし、それが時には行き過ぎた場合もあります。現地審査員の言っていることが絶対ではない場合はあります。指摘事項は必ずでます。出てから対応するのも労力を減らす1つの方法です。さらに、現地審査のときに指摘事項としてあがりそうな項目で、納得ができそうにない場合は、「それは要求事項で必ず実施しないといけないのでしょうか?」「審査員の方のお考えなのでしょうか?」と聞いてしまうのも手です!

 

指摘改善でお困りがございましたら、当社までご連絡ください。「やらなくてもよい方法」をたくさん他社事例でもっています。それが本当に必要かどうか一緒に判断していきましょう。

「Pマーク(プライバシーマーク)」とかけまして、「座禅」と解く、その心は…

kototosoratogojyu_TP_V

お世話になっております。ISO総合研究所のコンサルタントの大山です。

いつもご愛読ありがとうございます。

 

 

いきなりPマーク(プライバシーマーク)に関してのことを書くことも、つまらないので初めて経験したことをこと少しだけ、したためますので、お付き合いください。

 

 

単刀直入に書きますと、私が最近経験した初めての体験とはお寺で1泊2日過ごしたことです。

そこで何をしたかというと座禅です。海外ではクールだと人気です。Appleの元CEOで故スティーブ・ジョブズ氏が深く座禅に傾倒していたことから、特に海外の社長にブームがきているようです。

そんなに海外の人が日本の文化に興味があるなら、どんなものか私も体験しようということでお寺に1泊2日で座禅体験に行きました。1泊2日と言っても17時開始の翌朝の9時までなのですがね。

ここまで来たら、もはやPマーク(プライバシーマーク)とどう関係があるのだろうかと思ってらっしゃる方もいるかもしれませんが、ご安心ください。

ちゃんとあとにはPマーク(プライバシーマーク)つまり個人情報保護マネジメントに関して書きますよ!

 

 

座禅は脚を組んでひたすらに呼吸に意識を向けて、目は1.5m先を眺めて薄目にしておきます。

深く長い呼吸をするようにします。呼吸のイメージは口から蜘蛛の糸を出すように細く長く息を吐き出します。はじめは慣れないので脚の痛みやしびれ、雑念が頭の中をよぎっていました。

それが呼吸に意識を向けられるようになると、お腹あたりが内側から熱くなるのを感じました。そして気温もそこまで高くないにも関わらず、額に汗まで書きはじめました。

このようなことを私の体形がいわゆるポッチャリ系だからではないかと思われるかもしれませんが、ポッチャリ系ではありません。標準体型と言われる分類になると自負しています。

そのようなこと感じで厳かな座禅をして、食事を頂くと白粥で味がお米の味のみであったり、食事中に音を立ててはいけないであったりなど、色々と規律がありました。

そして1日の体験を終えて娑婆に戻ると刺激が強いなと感じました。頭の中をスッキリさせたい時にはいいかもしれません。

 

 

ながながと座禅体験に関して、書きつらねましたが結局、Pマーク(プライバシーマーク)と座禅がどのように関係があるかという本題について書いていきます。

 

 

今回のタイトルは「Pマーク(プライバシーマーク)」とかけまして、「座禅」と解く、その心は、

 

どちらも「市政(姿勢)のチェックが大事」です。

 

 

この謎かけには少し無理がありますね。

市政に関しては都道府県、市町村の個人情報保護条例が関連するのでチェックする必要があるということです。

ということでまずは法令に関してから。

Pマーク(プライバシーマーク)の規格の用語では「3.3.2 法令、国が定める指針その他の規範」と呼ばれるものですね。

話はそれますが前座のネタに座禅を取り上げたのは、座禅が禅宗という宗派で行われているもので、シンプルな生活とキビキビと動くということが求められます。これまたある種の指針によって動いています。

だから繋がっているではないかということです。すごいこじつけですね。

 

 

Pマーク(プライバシーマーク)の規格の用語、「3.3.2 法令、国が定める指針その他の規範」には以下のことが書かれています。

事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない。

と定められています。っていうことは何をしないといけないの?

と言われると素因数分解をしてみて頂くとわかりやすいです。

「個人情報の取扱いに関する法令、国が定める指針その他の規範」、「特定し参照できる手順を確立」、「維持しなければならない」このように因数からできていますね。

そして、わかりやすい日本語に置き換えると次のような形になります。

個人情報を取扱う際に、注意しないといけない法律・条例などやお役所などが出すガイドライン、自分達が所属している業界で要求されているガイドラインを見つけて、いつでも確認できるようにしよう、さらに定期的に見直していつでも確認できるようにしようね。という意味です。

説明が長いというツッコミが入りそうなので、一言では、「最新の法律などを知っておいていつでも見られるようにしてね」です。

 

 

そこで次に問題になるのは、何の法令を入れないといけないのかということです。ただ細かいガイドラインに関してなど業種や業界によって何を特定しないといけないかは、千差万別です。

そこで、これだけは入れておいてくださいという法令等があるので記載しておきます。

これをご活用していただければ、Pマーク(プライバシーマーク)の規格が求める最低限のものは満たすことができます。「個人情報の保護に関する法律」、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」、「雇用分野に関する個人情報保護に関するガイドライン」、「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項」この4つに関しては特定することが最低限求められています。

ただし、最近は上記に加えてマイナンバーに関しての法令等の特定が必要になったことなどの変化があるので、最新の法令に関してはご確認をしたうえで運用が必要です。

 

 

ながながと書きましたが、まだまだ煩悩が多いので続きは次回に回します。お付き合いありがとうございました。

Pマーク(プライバシーマーク)の個人情報の基準ってそもそも何だろう?

 

Green20_yuukyu20141123122037_TP_V

 

 

いつもご愛読いただきありがとうございます。

また、初めての方もありがとうございます。

ISO総合研究所コンサルタントの崎山です。

 

今回は、「Pマーク(プライバシーマーク)の個人情報の基準ってそもそも何だろう?」を

お伝えしたいと思います。

 

Pマーク(プライバシーマーク)を新規で取得することをお考えの企業様が一番初めに考えることの一つとして、「個人情報ってそもそも何が個人情報で何が個人情報じゃないんだろう」という疑問があります。

 

まず法律を見てみましょう!!

個人情報の定義を下記の通り定めています。

《個人情報保護法の定義》

 

『個人に関する情報であって、当該情報に含まれる氏名、

生年月日その他の記述などによって特定の個人を識別できるもの

(他の情報と容易に照合することができ、

それによって特定の個人を識別することができることとなるものを含む。)。』

 

となっています。

 

なるほどなるほど!!!!

ふむふむ。。。。。!!!!

うん!!!

 

よくわからない!!!

 

 

よくわからないので、少し簡潔に話します。

★ここで一番重要な部分は次の2つです。

①個人に関する情報であること

②特定の個人情報を識別できること

 

個人情報の例としては、下記のようなものがあります。

(1)氏名

(2)メールアドレス(所属団体と氏名から本人が特定出来るもの)

(3)個人を識別できる写真、画像(ビデオ)、録音(電話)

(4)従業員の情報(評価)

(5)インターネット、官報、電話帳などで公開されている個人に関する情報

(6)氏名と関連付けされているすべての情報

 

 

上記については具体的にはこちらになります!

 

(1)氏名

・誰もがわかっていると思いますが、個人氏名はそれだけで「個人情報」です。

ただし、姓(名字)だけでは、誰かを特定できないのですが

姓(名字)に会社名、住所などのプロフィール情報が加わると特定出来るので

「個人情報」となりますので注意してください。

 

(2)メールアドレス(所属団体と氏名から本人が特定出来るもの)

・「takahashi.taro@iso-jimusho.com」のように、

所属する団体名と氏名が明記されている場合は「個人情報」となります。

上記の(1)氏名と一緒ですね。

 

(3)個人を識別できる写真、画像(ビデオ)、録音(電話)

・写真、画像(ビデオ)、録音(電話)も「個人情報」となります。

姿、形、指紋、声紋なども個人を特定する重要なデータだからです。

刑事ドラマとかでよく証拠として使われますね!!

 

(4)従業員の情報(評価)

・お客様(顧客)の情報が最初に浮かぶかもしれませんが

自社の従業員情報も含まれます!!

履歴書、職務経歴書、健康診断結果、社員名簿、源泉徴収票、勤務表(タイムカード)

賃金台帳などが「個人情報」になります。

 

(5)インターネット、官報、電話帳などで公開されている個人に関する情報

・ここいう電話帳は、「タウンページ」を想像して頂けるといいと思います。

大量の個人情報が書かれているもの(会社名、連絡先、住所、住民の名前など)

官報は、所属団体の連絡網や、理事長、理事等の氏名、連絡先が記入されています。

(6)氏名と関連付けされているすべての情報

関連付けされているすべての情報、、、

難しいですね!

どういうことかと言いますと

①コンビニでお話しますと、独自のポイントカードシステムを運用していて

お客様がポイントカードを使用した際の売上データに登録した「氏名」が

わかるようになっていたとします。

すると、「氏名」だけが「個人情報」になるのではなく

売上データ自体(購入したものまで)が「個人情報」となります。

 

②予備校などが実施する模擬テストも含まれます。

試験の結果の一覧表に「学校名」「学籍番号」「テストの結果」だけが

記載されている場合、一般の人がこの一覧表を見ても、

誰の情報かはまったく分かりません。

しかし、一覧表に記載された学校の関係者であれば、

校内の学籍簿を見て、学籍番号を参照すれば、

どの生徒の試験結果であるかをすぐに特定できるのです。

 

※上記のように単独の情報では「個人情報」と呼べない情報でも、

他の情報を参照することで個人を特定できる場合も、

「個人情報」となります。

最終的には、「個人情報」にあたるかどうかは、

そのような立ち位置にいるかによって変わってきます。

 

少し余談になるんですが、

「個人情報」にはこんな定義もあります。

「『個人情報』には、死者の情報も含まれるが、

歴史上の人物まで対象とするものではない」

さすがに歴史上の人物は対象外。

織田信長や徳川家康も対象となってしまったら、

歴史的な事実に基づく小説やドラマなどは作れなくなってしまいますものね。

 

長々とお話をさせて頂きましたが、いかがでしたでしょうか??

なんとなくでもわかって頂けましたでしょうか??

わからないと思った方は、1度弊社のお話しを聞いていただきご検討いただければ幸いです。

・これからPマーク(プライバシーマーク)取得を検討している。

・Pマーク(プライバシーマーク)を取得したけど、運用がうまくいかない。

・Pマーク(プライバシーマーク)を取得したけど、今後どうしたらいいのかがわからない。

などなど、自社だけでどうすればいいのかわからないようでしたら

ぜひぜひお待ちしております。

 

 

Pマーク(プライバシーマーク)僕と君のPマーク~個人情報から始まる恋物語~

SAYA071134715_TP_V

 

おはようこんにちこんばんは!!!!!

ISO総合研究所コンサルタントの尾形雅貴です!!

はやいもんでもう4月も終わろうとしてます!

4月と言ったら春!!春と言ったら恋愛!!

そう!「恋愛」!!

私尾形の周辺では数々のカップルたちが誕生しております!!

それを見てひがんでいる者もおります!!(笑)

恋愛って難しいですね(笑)

 

はい!!

っというわけで今回のブログのタイトルは「Pマーク(プライバシーマーク)僕と君のPマーク~個人情報から始まる恋物語」です!!!

正直今回のタイトルには私もかなり戸惑っております(笑)

Pマーク(プライバシーマーク)のコンサルタントになり早10ヶ月、様々なお客様へのご訪問もありましたが、個人情報から始まる恋物語とか聞いたことないですわ!!

 

毎回雑なブログでほんとに申し訳ありません・・・(笑)

今回も精一杯頑張って書いていきます!!

 

 

というかそもそもPマーク(プライバシーマーク)や個人情報から始まる恋愛物語なんて想像もつかないわけでありますよ。

 

しかしながら日本だけではなく海外にまで恋愛物語ってものは存在する全国共通のものですよね。文化の壁を越えてもわかるような恋愛物語を作るってかなり難しいと思うんです。よく、「全米が泣いた純愛ラブストーリー!!」なんてものがありますが、あれってまじですごいことですよ。(笑)

 

今私が悩んでいるのはまさに「恋愛物語」です。どうせ書くならいっそ全米なりなんなり泣かせてやりますよ!でもそれは追々やっていきます。(笑)

 

なので今回のブログはそのさわりだけでも皆様にお伝えすることができればと思います!

 

 

個人情報Pマーク(プライバシーマーク)から始まる恋愛物語ってことは、ある男女が何か個人情報を交えて恋に落ちないといけません。

まず初めに、最近の男女が思わず恋に落ちてしまうような状況を想定します。

最近の男女が恋に落ちてしまうシチュエーションとは何か、グーグル先生に聞いてみたところ、1位は「ひたむきな姿を見たとき」、2位は「価値観、趣味が一致したとき」、3位は「他に人にない魅力に気づいたとき」、4位は「自分に気があると感じたとき」、5位は「大きなギャップを見つけたとき」、こんな感じです。さすがグーグル先生は色んな恋に落ちる瞬間を知っています(笑)

一番使いやすそうな2位の「価値観、趣味が一致したとき」に当てはめていきます!

 

とにかく今から頑張って個人情報に交えて、ある男女の価値観が合ってこいに落ちる環境を整えます!

 

 

主演:一之瀬P太郎

ヒロイン:二階堂P子

その他

 

 

ここはと東京のとある中心地、そこにとある二人の男女がおったとさ。

しかしこの男女、困ったことにひどく自分の個人情報の漏えいについて口うるさい二人なもんで、自分の個人情報が漏れそうになるとすぐに頭に血が上っちまう。

はたしてこの二人はどんな出会いを果たし、どんな甘酸っぱい青春ラブコメディを送るのか、どうぞお楽しみください!

 

一之瀬P太郎「やっべ!!どっかにスマホ落とした!!」

 

なんと一之瀬P太郎くん、つい15分前に購入した新しいのスマートフォンを紛失してしまいました。購入してからスマートフォンを紛失する、あんまりないですがこの話、実は実話です。(笑)

 

一之瀬P太郎「まじかよー。どこに置いてきたっけなー。まだパスワーどもかけてないし誰かに拾われたりして悪用されて誰かに弱みを握られて二度とお天道様に顔向けできないようなことになったらどうしよう・・・。」

 

P太郎君これは危ない。早くしないと携帯の中身を悪用されてしまいます。と、そこに二階堂P子ちゃんがやってきました。

 

二階堂P子「おやおや、これはこれは、誰かと思ったら一之瀬P太郎じゃないか」

 

一之瀬P太郎「む!その声は!P子か!」

 

二階堂P子「き、気安く呼び捨てるんじゃないよ!!いったいどうしたんだい?そんなし

ょぼくれて」

 

一之瀬P太郎「聞いてくれよ、おれさ20分前くらいにスマホを買ったんだ。新しいipone12(アイポン12)だぜ?しかしながら自分の力不足で落としてしまったんだ…。」

 

二階堂P子「はん!情けないね!このあたしが一緒に探してやるよ!」

 

一之瀬P太郎「いいのかい?恩に着るよ!」

 

二階堂P子「落とした場所はどこなんだい?」

 

一之瀬P太郎「そこのソフト○ンクで買って、ここまでの道のりさ。」

 

二階堂P子「なるほど!単純明快!しかしここまでに道のりで逆にどうやって落としたんだい?」

 

一之瀬P太郎「問題はそこさ。ここには落とすようなギミックがない。完全に迷宮入りさ。」

 

二階堂P子「しかし落としたのはいいとして、パスワードとかもかけていないんだろう?あんたの個人情報が駄々漏れじゃないか!その中にはあたしの情報だってはいっているんだよ!?どうしてくれるんだい!誰かに悪用されて弱みを握られて二度とお天道様に顔向けできないようなことになったら…。」

 

一之瀬P太郎「落ち着けP子!お前のためを思って、電話長にだけはパスをかけておいた」

 

二階堂P子「あたしの…ため…?」

 

一之瀬P太郎「そうさ、何があっもP子の個人情報だけはばらしちゃいけないと思ったんだ」

 

二階堂P子「P太郎…そんなにあたしの個人情報を大事に思ってくれてたんだね…さすがはPマーク(プライバシーマーク)のコンサルタントだけはあるね…あたし、あんたに惚れたよ…」

 

一之瀬P太郎「まさか、スマホを落として、恋に落ちちまうなんてな…。(電話長のパスワードをかけるだけで彼女が出来ちまったぜ)」

 

 

こうして、めでたくしてP太郎とP子は深い深い個人情報保護という堅い絆の元、結ばれたのでありましたとさ!

 

 

はい!こんな感じで少しだけ雑な感じでお送りした今回のブログ、個人情報から始まる恋物語はいかがでしたでしょうか?

ブログで物語書くってめっちゃ難しいです(笑)

 

4月が始まったので、皆様も是非恋に没頭してください!!

今ならパスワードをかけるだけで気になるあの子と近づけるかも!?(笑)

 

とういうことで、今回も私ISO総合研究所コンサルタント尾形のブログをお読みいただきましてありがとうございました!!

 

また次回お会いしましょう!!!