Pマーク担当者必見! ここが変わった個人情報保護法改正の3つのポイント!

こんにちは!Pマーク運用支援コンサルタントの村上です。
いつも当社のブログをご覧いただき、ありがとうございます!

個人情報保護法ってご存知ですか?

さて、いきなりですが皆さんは『個人情報保護法』についてどのくらい知っていますでしょうか?

「今年改正されたのは知っている・・・」
「なんとなく耳にしたことがある・・」

など、内容についてはあまり知らない事が多いのではないでしょうか?

そもそも『個人情報保護に関する法律』、通称『個人情報保護法』とは、どんな法律なのかと言いますと、『個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律』とされています。
また、基本理念を定めるほか、民間事業者の個人情報の取扱いについて規定されています。

この法律の目的としては、「個人情報の有効性に配慮しつつ、個人の権利利益を保護すること」とされています。

今までは机の上に個人情報が記載されている履歴書を放置していても何も言われなかったけれど、今ではちゃんとキャビネットの中に保管しているようになったなど、時代とともに変化していった事がありますよね。

このように高度情報通信社会の進展に伴って、個人情報の利用が著しく拡大していることにより、個人情報の適正な取り扱いに関し、基本理念及び政府による基本方針の作成その他個人情報の保護に関する施策の基本となる事項を定め、国及び地方国興団体の責務等を明らかすること、また、個人情報の取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現が求められています。

(参照:個人情報保護法の基本URL:https://cybozulive.com/2_299602/gwCabinet/view?cid=14140117&currentFolderId=1565294)

実は、この『個人情報保護法』がまた更に時代の変化に伴って昨年3月に改正され、2017年5月30日に施行されました。

そこで!本日は「ここが変わった個人情報保護法改正の3つのポイント!」という事で、『個人情報保護法』が大まかに「どこが変わったのか?」という事を

①「個人情報保護委員会の新設」について
②「個人情報の定義の明確化」について
③「その他の変更箇所」について

の3つのポイントに絞って説明していきます!

①「個人情報保護委員会の新設」について

まず1つ目のポイントは「個人情報保護委員会の新設」です。

個人情報保護委員会とは、昨年発足した「特定個人情報保護委員会」を改組したものです。
マイナンバーの適正な取扱いの確保を図るための業務を引き継ぐとともに、新たに個人情報保護法を所管し、個人情報の有用性に配慮しつつ、その適正な取扱いの確保に関する業務を行います。

民間事業者の監督について、改正前は各分野の主務大臣が個人情報取扱事業者に対し監督権限を持っていたのですが、今回の改正でこの監督権限が個人情報保護委員会に一元化されました。
これは、各分野の主務大臣が権限を持っていると、重要な監督や所管省庁が不明確であるという課題があったためです。

一元化されたことにより、個人情報の事故があった際に報告する場所が一か所になり、分かりやすくなりました。

「個人情報保護委員会」が新設されたことでPマーク担当者の方がしなければならないことが1つ増えていて、Pマークで作成する緊急事態への準備の手順に、この「個人情報保護委員会」を追記する必要があります。

②「個人情報の定義の明確化」について

2つ目のポイントは「個人情報の定義の明確化」です。

今回の改正で、今まで個人情報かどうかグレーゾーンにあった、指紋データや顔認証データなどの身体的特徴等が新たに個人情報の定義に明記されました。

これらは「個人識別符号」といい、特定の個人の身体の一部の特徴を、電子計算機のために変換したものや、旅券番号や運転免許証番号のように個人に割り当てられた文字、番号、記号などの符号がこれに該当します。

また、もう一点明確化されていて、本人の人種、信条、病歴などの本人に対する不当な差別や偏見が生じる可能性のある個人情報を「要配慮個人情報」と呼び、「要配慮個人情報」を取得する際には本人の同意を得ることが義務化されました。
Pマーク制度の言葉で言うと、「特定の機微な個人情報」と同義語になります。

以上の「個人識別符号」と「要配慮個人情報」が今回の改正で明確化されたものになります。

③「その他の変更箇所」について

最後に3つ目のポイントが「その他の変更箇所」です!
ここでは変更箇所として押さえておきたいことが3点あります。

それが、

①個人情報を取扱う事業者の制限の廃止
②オプトアウト規定の利用
③個人情報データベース提供罪

です。

①個人情報を取扱う事業者の制限の廃止

まず、①個人情報を取扱う事業者の制限の廃止についてですが、以前は取り扱う個人情報の数が5,000以下である事業者は規制の対象外とされていました。
しかし、今回の改正でこの制限は廃止され、取り扱う個人情報の数が5,000以下でも、「個人情報を取扱う事業」として明記されることとなりました。

②オプトアウト規定の利用

次に②のオプトアウト規定の利用についてです。

オプトアウト規定とは、あらかじめ本人に対して個人データを第三者提供することについて通知または認識し得る状態にしておき、本人がこれに反対をしない限り、同意したものとみなし、第三者提供をすることを認めることを言います。

今回の改正で、このオプトアウトを利用する場合、個人情報取扱事業者は所要事項を個人情報保護委員会に届け出る事を義務化し、委員会はその内容を公表する必要が生じました。

ちなみに、「要配慮個人情報」についてはオプトアウトによる第三者提供は認められておりません。

③個人情報データベース提供罪

最後に③個人情報データベース提供罪についてです。

個人情報データベース等を、不正な利益を図る目的で第三者提供したり、盗用する行為を、「個人情報データベース提供罪」という法律で処罰されるようになりました。
これは、いわゆる名簿屋対策として制定されました。

不正に取得されていると知っていて、その個人情報データベース等を取得することは犯罪になりますので注意しましょう!

最後に

以上、長々とお話してきましたが、Pマーク制度にてPマークを取得されている皆さんは、実はすでに個人情報保護法の内容について運用されています!

というのも、Pマーク制度は個人情報保護法よりも厳しい観点で審査されているからです。

しかし、今回3つのポイントに絞ってお話しましたが、私自身も個人情報保護法についてはまだまだ勉強中になります!
さらに、近いうちにこの改正によりPマークのガイドラインも変更されると言われています。

まずは落ち着いてもう一度社内のルールについて見直してみるといいかもしれません。

個人情報保護法改正とプライバシーマークの違い~外国にある第三者編~

こんにちは。プライバシーマーク運用支援コンサルタントの杉浦です。
いつも当社のブログをご覧いただき、ありがとうございます。

近年、気候がおかしなことになっているように感じますね。
これまでゲリラ豪雨と呼ばれていたものがさらに勢いを増し、街を呑み込むようなニュース映像を見るたびに心が痛みます。

ますます企業の生産活動のあり方であるとか、自分たちの世代の将来構想を真剣に考えるようになりました。

さて、本日は、「個人情報保護法改正とプライバシーマークの違い~外国にある第三者編~」というテーマで、個人情報保護法改正においてプライバシーマーク上何が変わったかを書かせていただきます。

「改正個人情報保護法、個人情報保護委員会」について

本題に入る前に「改正個人情報保護法、個人情報保護委員会」について先に書かせて頂きます。

改正個人情報保護法が2015年9月3日に可決・成立がされ、同年9月9日に公布されました。ただこの時、施行はまだされいない状況でした。
そして2016年12月、2017年5月30日に全面施行するということの発表がされました。

そもそもここでいう個人情報保護委員会とはいったい何のでしょうか?

個人情報保護委員会とは、個人情報(マイナンバー(個人番号)を含む。)の有用性に配慮しつつ、その適正な取扱いを確保するために設置された独立性の高い機関です。
具体的には、個人情報保護法及び番号法に基づき、次のような業務を行っています。

1、特定個人情報の監視・監督に関すること

行政機関や事業者等、特定個人情報の取扱者に対して、必要な指導・助言や報告徴収・立入検査を行い、法令違反があった場合には勧告・命令等を行うことがあります。
なお、個人情報保護法の改正法が施行されるまで、個人情報取扱事業者に対する監督の業務は従来どおり各省庁が担っています。

2、苦情あっせん等に関すること

特定個人情報の取扱い等に関する苦情の申出についての必要なあっせんを行うため、苦情あっせん相談窓口を設置して相談を受け付けています。
また、個人情報保護法の解釈や制度一般に関する疑問にお答えするため、問合せ窓口を設置して質問を受け付けています。

3、特定個人情報保護評価に関すること

特定個人情報保護評価は、マイナンバー(個人番号)を利用する行政機関等が、総合的なリスク対策を自ら評価し公表するものです。
委員会では、その評価を行う際の内容や手続を定めた指針の作成等を行っています。

4、個人情報の保護に関する基本方針の策定・推進

個人情報保護法に基づく「個人情報の保護に関する基本方針」の策定等を行い、官民の個人情報の保護に関する取組を推進しています。

5、国際協力

個人情報の保護に関する国際会議へ参加するほか、海外の関係機関と情報交換を行い、協力関係の構築に努めています。

6、広報・啓発

個人情報の保護及び適正かつ効果的な活用について、パンフレット、ウェブサイト、説明会等を活用した広報・啓発活動を行っています。

7、その他

上記の事務のほか、委員会の所掌事務の処理状況を示すための国会報告や必要な調査・研究等を行っています。

個人情報保護委員会とは、これらの業務を委員長1名、委員8名、合計9名の合議制で意思決定をする組織のことです。

新たに設けられた規定

プライバシーマークを運用していく中で法令順守が要求事項にあります。
2017年5月30日の全面施行までは、関連する省庁のガイドラインを各事業者は特定をしていました。

それが上記の改正により、個人情報の取扱いに関しての窓口を1本化するということが決まりました。
各省庁で発足しているガイドラインの特定をやめて、個人情報保護委員会が発足しているガイドラインを基準にしていこうということです。

その中の1つが今回のテーマである「~外国にある第三者編~」で「個人情報の保護に関する法律についてのガイドラインの外国にある第三者への提供編」が出てきます。

改正前は第三者に対する個人データの提供に関するルールを定めてはいたが、第三者が国内にあるのか、外国にあるのかの区別をしていなかったのです。

しかし、経済・社会活動のグローバル化及び情報通信技術の進展に伴い、個人情報を含むデータの国境を越えた流通が増加しており、外国への個人データの移転について一定の規律を設ける必要性が増大してきたこと、また個人情報の保護に関する国際的な枠組み等との整合を図ることを理由に、改正後の法第24条に新たに外国にある第三者に対する個人データの提供に関する規定が今回新たに設けられたのです。

個人情報保護法改正によってどこが関わってくるか?を

それではここでプライバシーマークを取得している企業様に個人情報保護法改正によってどこが関わってくるか?を簡単にお伝えします。

例えば親会社が外国の法人、外国に支社がある企業様の場合に個人情報のやり取りを交わすことがある際は、あらかじめ本人の同意を得ておきましょう、委託先とは個人情報の取扱いに関しての覚書を外国の企業とも結んでいくことが求められています。

もともとは日本国内でのやり取りを中心に考えており、特に外国に対しては触れておりませんでしたが、昨今のグローバル化により、日本の国内規格では視野が狭くなってきているため時代背景を反映しているということでしょう。

最後に

いかがでしたでしょうか。

今回のブログを見ていただいて、運用上で困っている所があるなとか、これから取得を検討しているが不安があるなと思っている企業様がおりましたら、例えば、ISO総合研究所のように、プライバシーマーク認証の維持活動をアウトソーシングサービスとして請けている会社もありますので、経営資源を適正に配分するための一つの選択肢としてアウトソースを検討してみてはいかがでしょうか。

また今回の個人情報保護法の改正に伴い、弊社でもセミナーを開くことが決まりました。

実際にプライバシーマーク審査員補の資格を持つ者が講師ですのでよろしければ、このブログをご覧いただいた際にご検討頂ければと思います。

\ お問い合わせフォームはこちら /

WEBお問い合わせ

Pマーク(プライバシーマーク)とホームページ(HP)のレイアウト

PAK153130659_TP_V

毎度毎度こんにちは!
最近、気になる女の子に振られHeart Breakなコンサルタント、ISO総合研究所の立松 夏樹です。

今回もプライバシーマーク(Pマーク)のお話しをいたします。
タイトルは「Pマーク(プライバシーマーク):Pマーク(プライバシーマーク)とホームページ(HP)のレイアウト」です。

タイトルだけ見ると「なんで、プライバシーマーク(Pマーク)とホームページ(HP)が結びつくのか?」とお思いの方も多数いらっしゃるかと思います。
今回は、この話を分かりやすくするために有名マンガに例えて見せていければなと思います。

進撃のプライバシーマーク(Pマーク) 調査兵団がコンサルタントだったら・・・

指摘型巨人
「オオオォオオォォ…ホームページニシテキニコ…ア・ル・ヨォ…」

エ〇ン
「ハァ?!何言ってるかわかんねぇんだよ!!! くたばれぇぇぇぇ!!!」

ミ〇サ
「待って!! エレン!! 闇雲に飛び込んでは危険よ!!!」

エレ〇
「うっせぇぇぇ!!! 俺はとにかくこの指摘を片付けるッッ!!俺は、この世から指摘を一匹も残らず駆逐してやる!!!うぉぉぉぉ!!」

リヴァ〇
「馬鹿が・・・何の指摘か分からず考えもなしに飛び込みやがって、駆逐より指摘内容を確認するのが先だろう」

指摘型巨人
「オトイアワセブントコジンジョウホウホゴホウシンニノッテナイトコロガアルヨ・・」

※この場面では、審査完了後にホームページ(HP)関連の指摘が2個降りてきたようです。早急に片づけたいですね。
しかし、この〇レンのように何も分からずに駆逐しようとするのは良くないですね。まずは、〇ヴァイ兵長のようにどのような指摘内容かを確認するのがいいです。

エ〇ン
「ッと。確かに考えもなしに飛び込むのは危険すぎるな・・・つってもどんな指摘かが分かんねえよ」

ミ〇サ
「無思考は危険よ。エ〇ン。巨人の声に耳を傾けるのよ。ホームページ(HP)のお問合せ文言と個人情報保護方針に関する指摘のようね。」

※ミ〇サのように指摘内容の把握には、審査後、審査機関から返ってくる指摘文書の確認が必要になります。今回はホームページ(HP)のお問合せ文言と個人情報保護方針に関する指摘のようですね。

指摘型巨人
「オトイアワセブンノリヨウモクテキガフテキゴウ・・・コジンジョウホウホゴホウシンノトイアワセマドクチガカイテナイ・・・」

ミ〇サ
「問合せ文言の利用目的と個人情報保護方針の問合せ窓口が書いていないことが今回の指摘内容なのね。」

※指摘内容の把握はとても重要で、この指摘改善の内容を見誤り、間違った改善の対応をしてしまうと再指摘をもらう可能性があります。といっても、実際の指摘文書はこんな片言では書いてないですが(笑)

エ〇ン
「さすがだな!ミ〇サ!そうなったら早速改善だッ!!」

リヴァ〇
「馬鹿が・・・改善の仕方も分からずにやりやがって。
この指摘の改善方法は、利用目的をお問い合わせに回答のための利用目的にするのと個人情報保護方針の問合せ窓口を記載する必要があるんだよ!」

※さすがリヴァ〇兵長!その通りです!!

今回の指摘の改善方法は、ホームページ(HP)に記載されているお問合せ文言にお問い合わせの回答するためという内容で利用目的を記載するのが正解です。
お問い合わせをもらったらどうするかを考えていくと利用目的が見えてくるかと思います。

そうです。お問い合わせは回答するためにあり、いただいた個人情報はそのことに回答をするために利用するのです。

ここの部分を会社での個人情報の取り扱いにおける利用目的と勘違いして載せてしまうパターン(例えば、利用目的を通常業務で使用するため・サービスの宣伝で使用するため等)があり、いままでもお手伝いさせていただいている会社さんに見受けられる事象になります。

また、個人情報保護方針の開示等に対する問合せ先を掲載するのはガイドライン3.2項個人情報保護方針のc項に該当します。(苦情及び相談への対応に関すること)
問合せをしたいのに、窓口が載ってなければどこに連絡すれば分からないですよね。だから問合せの窓口を載せるのです。

…こうして、指摘の改善対応に費やすこと幾星霜…

エ〇ン
「おっしゃぁぁ!!対応が終わったぞ!!これで指摘は完了だぜ!!」

リヴァ〇
「先走り過ぎだ、馬鹿が だがまぁこれで指摘は完了するだろう・・・」

エ〇ン
「よかったわね。エ〇ン。」

こうして、無事に指摘は完了されたと判断されプライバシーマーク(Pマーク)の認証に至るのであった。

まとめ

このように、プライバシーマーク(Pマーク)とホームページ(HP)は関係ないように見えて、実は大いに関係があることが分かりましたね。

といっても、会社のホームページ(HP)の対応においては、自社で実施しているのであればすぐできるかもしれませんが、外注の場合、完了まである程度、お日にちを頂く可能性がございます。

弊社、ISO総合研究所はプライバシーマーク(Pマーク)やISO(アイエスオー)のコンサルだけでなく、関連会社にて会社のホームページ(HP)の運用代行も実施しております。
毎度毎度の営業で聞き飽きたかとは思いますが、ご興味がございましたら弊社、ISO総合研究所までお問合わせをお願いいたします。

拙い内容で恐縮ではございますが、以上とさせていただきます。

Pマーク(プライバシーマーク:JIS Q 15001) 3.7項「点検」規格解釈

OZPAyatta_TP_V

いつもご愛読いただきありがとうございます。
ISO総合研究所コンサルタントの高木です。

C(チェック)

Pマーク(プライバシーマーク)を運用していく中で日々、点検(確認)していくことが必要なものがあります。

PDCAを回すことがマネジメントシステムの要件ですが、点検はC(チェック)にあたります。
個人情報保護マネジメントシステム(PMS)が各部門、各階層で適切に運用されているか、を点検します。

・いつ点検を実施するか? 毎月第一営業日、等明確にする。
・誰が点検をするのか? 部門毎、階層毎に決めます。部門別の点検は最低限必要となります。
・点検項目 文字通り点検のポイントを定めます。リスク分析で決められた重要なリスク対策を含めることがポイントです。あまり点検項目数が多いと実施が大変になってしまうので、チェック項目をあまり増やしすぎないで重要なものを絞って決めるとよいのではないでしょうか。

では、まず幾つか点検項目をご紹介させて頂きます。

日常点検その①『入退室の記録』

朝一番早く事務所に来られた方もしくは、夜、最後に事務所を出られる方は出社時間や退社時間などを記入したことはございませんか?
それが『入退室の記録』になります。

これを記録する必要性は、仮に問題が起きた際誰が開錠と施錠を実施しているかを、記録を基に過去に遡って確認する為です。

そこから原因を追究していく流れになります。

日常点検その②『来訪者の記録』

こちらは外部の方が来社されたときに記入してもらう記録になります。

こちらも既にご案内した『来訪者の記録』と同じで問題が起きた際、外部から誰が来ていたかを記録に残しておき原因を追究していく形になります。

日常点検その③『アクセスログの記録』

上記2点と同じく最低限必要とされているものにアクセスログの記録というものがあります。

入退室の記録来訪者の記録はどちらかというとアナログ的なものでした。
このアクセスログの記録というものは、個人情報を格納した情報システムへのアクセスログを取得し、その取得したものを定期的に確認するというものです。

①~③のどれも問題が起こってしまった時の為に日常から記録を取得しておくことが求められます。(必ずしも紙でなければならないということではありません。)

その記録を基に原因を追究した上で、問題に対する対策を考えていきましょう。

点検と監査

そして点検と間違えやすいものに監査というものがあります。

点検とは外的なもの、つまり環境変化などに対し社内の取り組みが適切であるかどうかを確認するものです。

監査は取り決めたルールや運用状況をチェックすることです。
Pマーク(プライバシーマーク)でいうと、社内で取り決めた個人情報に関してのルールが規格の要求を満たしているのかを第三者目線でチェックすることです。

点検と監査には実施者、実施頻度、実施の目的に大きな違いがあります。
点検は担当者などの自分たちのチェックをする、つまりセルフチェックであるのに対し、監査は該当する部門外の人が実施します。第三者目線でのチェックがなされるということです。

第三者がチェックするということの意味ですが、学校においてテストの採点は先生がするように、自己採点ではどうしても評価が甘くなってしまうことがあるからです。
監査は普段自分が所属している部門などの監査に対して、チェックが甘くなり公平性が保たれなくなるのを防ぐための措置となっています。

頻度については点検が日次や週次、月次など日常点検が一般的ですが、監査については主に年次単位で実施の計画を立てて行います。
一番の違いである実施の目的ですが、点検は予防を含む問題点の早期に見つけるための実施項目に対して、監査は社内のルールや実施状況、社内の体制を見直すために実施します。

以上、今回ご紹介した項目は全てではありませんが、御社で実施されているか確認してみて下さい!!

Pマーク(プライバシーマーク)の申請書を書こう (後編)

MIYAKO92_beachdemba20140727_TP_V

いつもご愛読いただき、誠にありがとうございます。
ISO総合研究所コンサルタントの一山です。

前回はPマーク(プライバシーマーク)の新規認証・取得時や更新時に必ず必要となる「申請書」についてのお話をさせて頂きました。

前回分では内容のすべてを書ききることができなかったので、前回の内容の続きを確認していきたいと思います。

少しですが前回のおさらいをしていきます。

「申請書」を書く意味は、Pマーク(プライバシーマーク)を新規取得・更新するためです。
Pマーク(プライバシーマーク)新規取得・更新をする際には必ず必要なものとなります。

その申請書の内容はどのようなものを記載すれば良いのでしょうか。
その一覧を、再確認していきましょう。

0 プライバシーマーク付与適格性審査申請チェック表
1 プライバシーマーク付与適格性審査申請書
2 会社概要
3 個人情報を取扱う業務の概要
4 すべての事業所の所在地及び業務内容
5 個人情報保護体制
6 個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧
7 JIS Q 15001要求事項との対応表
8 教育実施サマリー
9 監査実施サマリー
10 事業者の代表者による見直し実施サマリー
11 2006年版JISによる前回認定時から変更のあった事業の報告

Pマーク(プライバシーマーク)の申請書のページごとの表題はこのようなものがつけられております。

タイトルで内容が分かるようなものもありますが、実際に記入する内容はどのようなものなのか、前回は0から4の内容の詳細や注意点を確認していきましたので、今回は5から11までの内容を確認していきましょう。

5 個人情報保護体制

Pマーク(プライバシーマーク)を運用するにあたって、Pマーク(プライバシーマーク)に関係する業務を誰が担当するのかを記載するページとなっております。

担当者を決めなければいけないものは、個人情報保護管理者(基本的に、申請した後に審査機関とやり取りを行う窓口になります)、個人情報保護監査責任者(基本的に監査を統括するリーダーとなり、監査員の指名などを行います)、個人情報保護マネジメントシステム(PMS)に係わる社内実施(推進)体制の欄には教育を行う方などを記載、個人情報保護マネジメントシステム(PMS)に係わる消費者相談窓口(苦情・相談等の窓口の責任者)、個人情報保護マネジメントシステム(PMS)に係わる養育を行う担当者の役職や開催回数、個人情報保護マネジメントシステム(PMS)に係わる監査の実施体制や行う回数などを記載します。

記載する内容が少し多いのですが、その点は弊社にお任せ頂ければすべて作成いたしますので、よろしくお願いいたします。笑

6 個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧

Pマーク(プライバシーマーク)を運用するにあたって使用する規定や様式の一覧をこのページに記載します。

規程や様式の名前及び制定日、最新の改正日を記載することとなります。使用している様式が多ければ多いほど内容も多くなってしまいます。
必要な規程や様式を残し、できる限り書類を少なくした状態にしてから記載することをオススメします。

7 JIS Q 15001要求事項との対応表

JIS Q 15001(ジスキュー15001)というPマーク(プライバシーマーク)の要求事項となるものに沿って記載していく部分となっております。

まずはそのJIS Q 15001(ジスキュー15001)の要求事項を記載していき、それに対応するPMS(個人情報保護マネジメントシステム)の規程と名称と項番を上位規程から記載し、その要求事項に対応する様式を記載する部分となっています。

6の個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧に載っていない様式が混ざる、誤字脱字でそうなってしまうこともあるので、様式名は特に確認しなければならない部分となっています。

8 教育実施サマリー

実施した教育の記録を記載するページです。

いつ、どのような方法で教育を実施し、何人が教育を受けたのかを記載するページとなっております。

更新の場合は2年分の教育の記録が必要となります。

9 監査実施サマリー

内部監査を行わなければならないのですが、それによって指摘された内容を記載し、それに対応する是正処置はどのようなものを行ったかを記載するページとなっております。

こちらも、更新の場合は2年分の監査の記録が必要となります。

10 事業者の代表者による見直し実施サマリー

代表者に報告を行い、それに対してどのような指示を受けたか記載するページです。

指示に基づいての処置の実施状況を記載する欄もあります。

こちら更新では2年分の記録が必要となります。

11  2006年版JISによる前回認定時から変更のあった事業の報告

こちらは新規の申請の場合はありませんが、更新の場合は記入欄があります。

変更がなければ変更なしにチェックをし、変更がある場合はその旨を記載します。

新規事業を開始している場合、個人情報の取り扱いに大きな変化があった場合、取りやめた事業がある場合、合併などがある場合はここに内容を記載しなければなりません。

前回に引き続き今回もPマーク(プライバシーマーク)の申請書に関する項目の詳細を確認しました。
最後までお読みいただき、誠にありがとうございます。

Pマーク(プライバシーマーク)における必要な役割と権限と責任

JY742_shinbashi_TP_V

いつも弊社ブログをご愛読いただき、誠にありがとうございます。
ISO総合研究所コンサルタントの本間仁志(ほんまひとし)と申します。

今回は、「Pマーク(プライバシーマーク)における必要な役割と権限と責任」についてお話させていただきます。

マイナンバーの役割設定

まず最近の審査員からの指摘事項で多くなっているマイナンバーに関しての役割設定があります。

「行政手続における特定の個人を識別するための番号の利用等に関する法律」(番号法)が成立し(平成25年5月31日公布)、社会保障・税番号制度が導入され、平成27年10月から国民一人ひとりに個人番号が通知されたことは皆様記憶に新しく取扱いに悩まれているのではないでしょうか?
今年の源泉徴収票には必要になり今必死に従業員のマイナンバーを集めているなんてお話も聞きます。

要求事項3.3.4では個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めています。

そしてマイナンバーに関してのガイドライン(特定個人情報ガイドライン)では特定個人情報等を取り扱う事務に従事する従業者(以下、「事務取扱担当者」という。)の明確化を求めています。
よって、プライバシーマーク(Pマーク)付与を受けようとする事業者は、事務取扱担当者の役割、責任及び権限を明確に定め、文書化する必要があると定めています。

簡単にいうと「個人情報保護マニュアルと体制図に特定個人情報の取扱い責任者と事務取扱責任者を代表者が任命し役割を明確すること」ということになります。

こちらは後程出てきますが個人情報保護管理者と兼務で行うことが出来ますが実際取扱う総務の方などを任命することが望ましいと考えられます。
また特定の人しか扱えないよう取扱う範囲や権限を設け不備のないように運用していくことが大切になります。

個人情報保護管理者の定義

次はプライバシーマーク(Pマーク)を取得するに当たって、必ず任命しなくてはならない役割、「個人情報保護管理者」のお話です。

JIS Q 15001:2006の規格では以下の通り定義されています。

「代表者によって事業者の内部の者から指名された者であって,個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者」

1. 事業者の代表者から指名されること。
2. またその組織の内部の者であることが必須。(外部のコンサルタントとか専門家等は不可)。
3. 個人情報保護マネジメントシステムにおいて適法かつ適正に「実施および運用」することが求められている。

さらには、以下のような責任権限を持つことが求まれている。

「個人情報保護管理者」は,個人情報の取扱いに関する安全管理面だけではなく,組織全体のマネジメントを含む全体の管理者である。
「個人情報保護管理者」は,個人情報保護マネジメントシステム(PMS)を理解し,実施・運用できる能力をもった者でなければならない。
「個人情報保護管理者」は,当該事業者に係る個人情報の管理の責任者である性格上,いたずらに指名する者を増やし,責任が不明確になることは避けなければならない。したがって,事業部が複数あり個人情報保護管理者を複数名指名する場合には,当該者間での役割分担を明確にすることが求められる。
「個人情報保護管理者」は,社外に責任をもつことができる者(例えば,役員クラス)を指名することが望ましい。
「個人情報保護管理者」は,代表者による個人情報保護マネジメントシステム(PMS)の見直しに資するため,定期的に,又は適宜に,代表者にその実施状況を報告しなければならない。また「監査」と「見直し」がその役割に含まれてはならないとされている。

個人情報保護管理者の役割

大まかな役割としては、

①会社の個人情報の保護と利用に関する統括・管理
②個人情報の安全管理に関する規定
③個人情報保護管理者からの報告徴収と助言・指導
④個人情報の安全管理に関する教育・研修の企画
⑤その他会社全体における個人情報の安全管理に関すること

が考えられます。

つまり個人情報保護管理者は、個人情報保護マネジメントシステム(PMS)をJIS Q 15001の規格に従って確立し、実行し、維持すること。
またそれらを確実にすることでプライバシーマーク(Pマーク)を取得するための体制を推進する必要が有ります。

ただ、現状として中小企業の中には作業ベースの事務担当がなっているケースも多々見られます。
実務の負担を考えると管理職を当ててしまうことはリスクもあるのでしょう。

個人情報保護マネジメントシステム(PMS)を運営していく上で、各役割に対する責任や権限を予め規程化しておく必要があります。
JIS Q 15001の要求事項においても、これらは文書化し従業者に周知させることを求めています。

最低限としては、個人情報保護管理者と個人情報保護監査責任者となりますが、ここでは後者の個人情報保護監査責任者の役割についてご紹介します。

個人情報保護監査責任者

まずはじめは監査責任者にはどんな人が適任か資格としては以下のように定められています。

①社内の人間であること
※実施は社外のコンサルタントでも構いませんが、あくまで責任者は社内の人間の方であることが必須です。
②役員クラス、もしくは個人情報保護管理者と同格以上であること
③個人情報保護管理者ではないこと
※兼務ができません
④商法上の監査役ではないこと

上記①~④を踏まえて、プライバシーマーク(Pマーク)における監査責任者にふさわしい方を社内から選任してください。
役割としては毎年、全部署監査を実施し指摘事項を改善していくことが大きな任務となります。

プライバシーマーク(Pマーク)を運用していく中で、とても大切な部分です。
継続的改善こそが、個人情報保護体制をスパイラルアップさせていくカギを握っています。

この他にも、こんな時はどうしたらいいの?こんな場合は?ございましたら、ISO総合研究所までお気軽にご相談いただければ幸いです。

Pマーク(プライバシーマーク)における守るべき個人情報はなに??

AKANE072160504_TP_V

いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの岡本です。

最近は「いかに有給をとって楽しいところに旅行にいくか」とばかり考えています。

弊社ではなんと有給消化率100%。
さらに年間のスケジュールで自由に申請ができちゃうという素敵な制度があります。(いつもありがとうございます!)

楽しいところ、おすすめなところがあれば是非教えて下さいね。

さて、本日は「Pマーク(プライバシーマーク)における守るべき個人情報はなに??」をテーマにお話させていただきます。

身の回りにある個人情報

まず身の回りに、個人情報を含む物はどんなものがあるでしょうか。

よく言われるのが運転免許証、健康保険証、マイナンバーの通知カードですね。

運転免許証や健康保険証。
無くさないように財布の中にいれていますよね。

パスポート。
盗まれないように大切な引き出しに閉まっていませんか。

公的な身分の証明書になるものですから、大切に管理しています。当たり前のことですね。

でも大切にしなくてはいけない個人情報は身分証だけではないのです。

Pマークにおける個人情報

すこし真面目な話をしましょう。

個人情報とはJIS Q 15001(Pマークの要求事項)では以下のように定義されています。

「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの。(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)。」

つまりは「本人を特定できるものは全て個人情報とする」と考えていただいて結構です。

あなたにつながるものは全て大切な個人情報です。

個人情報の怖い話

ここでちょっと怖い話をしましょう。

Aさんは会社勤めのOLです。

仕事帰りにスーパーで自分へのご褒美にエクレアを買うのが日課でした。
レジのバイトのお兄さんにはいつもエクレアを買っている女性だと覚えられてしまっているくらいでした。

ある日、Aさんは最寄り駅でお財布を落としてしまいました。
財布の中にはレシート、ポイントカード、いくらかのお金が入っているだけでした。

Aさんは大切なものが入っているわけではないのであまり気にはしませんでしたが、遺失届けを提出しに交番へ行きました。

ちょうどその時、Bくんが財布を拾っていました。

数日後、Aさんのもとに警察から電話が来て、財布が「見つかりましたよ」という連絡が入りました。Aさんは少し安心しました。

Aさんが警察に受け取りにいくと、女性の警察の方がこう言いました。
「男性の方が○月○日○○駅で見つけたそうです。その時その場所を通った覚えはありますか。謝礼は結構ですとのことです。優しい方に拾ってもらえてよかったですね。」

「はい。ありがとうございます。」
Aさんはそう言って受け取りのサインをして財布を回収しました。

財布を見るとお金はとられている様子もなく、落としたときのままでした。Aさんは再び安心しました。

数日後Aさんがいつものように会社帰りにスーパーで買い物をしてお家に帰ると玄関のドアノブにビニール袋がかかっていることに気がつきました。

不審に思ったAさんですが、Aさんは一人暮らしです。
迷いながらも、とにかくその袋の中を覗いてみることにしました。

するとそのビニール袋の中にはAさんが毎日会社帰りにスーパーで買っているエクレアがどっさりと入っていたのです。
Aさんは驚いてすぐに部屋に入り入り口に鍵をしました。

するとすぐに携帯電話が鳴りました。画面を見ると非通知設定でかけてきた番号でした。
すると画面は留守番電話の画面になり、数秒間録音をして電話は切れました。
怖かったAさんですが、友達からだったらと思い勇気をだして留守番電話内容を聞いてみることにしました。

…留守番メモ、1件です。ピーーーーーーーーーーーー。

「Aちゃん。おかえり。いつも遅くまでお仕事おつかれさま。エクレアが好きなんだね。そんなに毎日食べると太っちゃうよ。でも特別に今日はたくさん買ってあげたんだよ。なんで!?なんでうけとってくれないの!?あああああああああああああああああああああああああああああああああああああ」

Aさんは怖くなってすぐに携帯を切り、友人を数人呼びました。

数日後、Aさんは携帯電話を変えて違う場所へと引っ越しました。

解説

ベタなお話でしたね。…ちょっと自分で書いていてゾワゾワしました。

これは被害者が女性、加害者が男性でストーリーを書きましたが、もちろん逆バージョンもありえます。気分を害された方がいらっしゃったら、すみません。

なぜAさんはBくんに名前、電話番号、帰宅時間、好きな食べもの、住所、を知られてしまったのでしょうか。
もちろん。財布をBくんが拾ったからですね。

名前、電話番号
ポイントカード(電話番号と名前を手書きで入力)

帰宅時間、好きな食べもの
レシート。毎回同じような時間帯に駅前のスーパーで同じエクレアを購入していた。

住所
毎日同じ時間帯にエクレアを購入するAさんと思わしき女性を尾行していた。

もしかしたらBくんはスーパーのレジを打っている店員さんだったのかもしれません。

まとめ

守るべき個人情報は身分証だけではありません。
複数の情報が重なってあなたが特定されるのなら、それはあなたが大切にすべき個人の情報です。

あなたの個人情報を守ることはあなたの生活を守ることにも繋がります。
どんなものでも情報としての価値は一緒、とお考えください。あなたの個人情報もあの人の個人情報も、です。
大切に扱いましょう。

怖いのはわかったけれど、実際の個人情報の取扱はどうしたら良いのかわからない。
そんなときは是非、Pマーク(プライバシーマーク)新規認証・取得・運用代行のプロ、ISO総合研究所のコンサルタントにお声がけください。

Pマーク(プライバシーマーク)の意義

PAK77_sumahodetel20140823111801_TP_V

お世話になっております。ISO総合研究所コンサルタントの藤田です。
いつもご愛読いただきありがとうございます。

さて、今回は「Pマーク(プライバシーマーク)の意義」について、お伝えさせていただきます。

会社側から見た個人情報保護の意義

社会的信用の獲得

社内全体での個人情報保護意識高揚(従業員による内部流出事件の防止対策)

トラブル発生による企業イメージダウンの回避(リスクヘッジ)

事業の安定継続性の獲得・法令遵守姿勢の評価

顧客からの信頼関係の獲得

個人情報収集対象である消費者からの信頼確保
預託関係にある取引先企業からの信頼性確保

受注競争の優位性

「取引の拡大」

従業員との信頼関係の構築(安心して働ける職場環境)

取引先・消費者側から見た個人情報保護の意義

優良企業の判断材料

相手先企業のコンプライアンス規定に照らして、取引適正事業者として扱われる。
※Pマーク取得事業者以外との優先取引を禁じているコンプライアンス規定が近年大手企業に増えてきています。

従業員側から見た個人情報保護の意義

従業員の個人情報に関する権利の確保

従業員全体の個人情報に対する保護意識の向上

コンプライアンス意識の向上

遵法意識の高い従業員の育成

法令違反による企業イメージダウンの回避

個人情報保護活動におけるPマーク(プライバシーマーク)の必要性

一口に個人情報保護活動と言っても、会社がやらなければならないことはたくさんあります。

個人情報が不正業者にわたらないように守ること以外にも、全社員に活動を積極的に実施してもらうための工程を作ったり、社内のどんな業務でどのような個人情報を利用するのかを分析したり、だれもが適切に個人情報を取り扱えるようルールを作ったり、そのルールが守られているかどうかをチェックしたり・・と実施すべき様々な活動があります。

あなたの会社がこれらの活動を実施しているかどうかを、一般の消費者が調べるのはとても困難な作業です。
そこで、これらの内容をすべて含めて、適合審査に合格したという証が必要になるのです。

また、企業に対して個人情報保護活動を実施する為の基準を示す、という意味合いでもPマーク(プライバシーマーク)は非常に重要なマークなのです。

企業間取引におけるPマーク(プライバシーマーク)の必要性

B to B(企業間取引)

企業間取引、いわゆるB to B(法人向け)ビジネスでもPマーク(プライバシーマーク)の必要性は高まってきています。
それは、企業がお客様から取得した個人情報を、業務上第三者にその取扱いを委託するケースが数多くあるからです。

例えば、

・ 通販会社が通販雑誌の定期購読者への発送を出版会社に委託する
・ 通信サービス会社が顧客のカスタマーサポート業務を外部に委託する
・ 電機メーカーが顧客管理システムの開発をシステム開発会社に委託する
・ 業界団体が会員名簿の印刷を印刷会社に委託する

などのケースが想定されます。

さて、こういったケースで委託先が個人情報の漏洩事故をおこしてしまった場合、誰が責任を取るのか?お客さまから直接個人情報を取得した委託元が責任を免れることはできないでしょう。

個人情報の取り扱いを外部に委託する場合、委託先での事故発生の可能性を低減させるため委託先が一定水準以上の個人情報管理を行なっているかチェックしなければなりません。
そこでPマーク(プライバシーマーク)の必要性が出てきます。

そう、Pマーク(プライバシーマーク)を取っているということは、個人情報保護活動が一定のレベル以上で推進できているという証なのです。
ですからPマーク(プライバシーマーク)を取っていれば委託先として認めるという考え方が広まってきているのです。

実際に、Pマーク(プライバシーマーク)を取得している会社は専門の審査員の審査を受けて合格しているわけですから、委託元の担当者がチェックするよりも信頼性が高いのは明白です。
委託元が委託先に対して安心して業務を任せられるかどうかを判断する基準としてもPマーク(プライバシーマーク)は非常に重要な役割をはたしています。

Pマーク(プライバシーマーク)のメリット・デメリット

Pマーク(プライバシーマーク)のメリット・デメリットについてもお話しします。

メリット
・個人情報の保護に積極的であるという意味で、会社の社会的な信用が向上する。
・顧客や関係先に、安心して取引してもらえる。
・顧客や関係先に、安心して個人情報の取扱いを任せてもらえる。
・JIS Q 15001(ジスキュー15001):2006は、個人情報保護法を取り込んでいるため、Pマーク(プライバシーマーク)を取得することは、個人情報保護法を必然的にクリアーすることになる。
・強力な営業ツールとして利用できる。
・従業員のモラル、個人情報保護に対する意識が向上する。
・個人情報の管理の視点から、これまでの業務を見直すことになるので、業務の簡略化・省力化といった業務改善につなげることができる。
・社会的に認められた第三者(付与機関、指定機関)が個人情報の管理面から業務をチェックすることになるので、CSR(企業の社会的責任)に取り組むきっかけになる。

デメリット
・良くも悪しくも、仕事のやり方に“ギプス”をはめられることになるので、自由な裁量で仕事をする範囲が狭くなる。
・合理的な対策を行う上で、ある程度の設備投資が必要な場合もある。
・(やり方を間違えると)通常の仕事と、個人情報保護マネジメントシステム(PMS)で定めた仕事が乖離して、ダブルスタンダードになってしまう。
・一度取得してしまうと辞めづらい。Pマーク(プライバシーマーク)を返上することで、個人情報の取扱いについて信用不安につながりかねない)

Pマーク(プライバシーマーク)の必要性について分かっていただけましたでしょうか?
もしPマーク(プライバシーマーク)の取得、運用についてお困りでしたら、どうぞお気軽に弊社ISO総合研究所までご連絡ください。

Pマーク(プライバシーマーク)は誰がなにをしなければいけないか

SAYA072162733_TP_V

いつも弊社ブログをご愛読いただき、誠にありがとうございます。
ISO総合研究所コンサルタントの本間仁志(ほんまひとし)と申します。

今回は、「Pマーク(プライバシーマーク)における必要な役割と権限と責任」についてお話させていただきます。

マイナンバーの役割設定

まず最近の審査員からの指摘事項で多くなっているマイナンバーに関しての役割設定があります。

「行政手続における特定の個人を識別するための番号の利用等に関する法律」(番号法)が成立し(平成25年5月31日公布)、社会保障・税番号制度が導入され、平成27年10月から国民一人ひとりに個人番号が通知されたことは皆様記憶に新しく取扱いに悩まれているのではないでしょうか?
今年の源泉徴収票には必要になり今必死に従業員のマイナンバーを集めているなんてお話も聞きます。

要求事項3.3.4では個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めています。

そしてマイナンバーに関してのガイドライン(特定個人情報ガイドライン)では特定個人情報等を取り扱う事務に従事する従業者(以下、「事務取扱担当者」という。)の明確化を求めています。
よって、プライバシーマーク(Pマーク)付与を受けようとする事業者は、事務取扱担当者の役割、責任及び権限を明確に定め、文書化する必要があると定めています。

簡単にいうと「個人情報保護マニュアルと体制図に特定個人情報の取扱い責任者と事務取扱責任者を代表者が任命し役割を明確すること」ということになります。

こちらは後程出てきますが個人情報保護管理者と兼務で行うことが出来ますが実際取扱う総務の方などを任命することが望ましいと考えられます。
また特定の人しか扱えないよう取扱う範囲や権限を設け不備のないように運用していくことが大切になります。

個人情報保護管理者の定義

次はプライバシーマーク(Pマーク)を取得するに当たって、必ず任命しなくてはならない役割、「個人情報保護管理者」のお話です。

JIS Q 15001:2006の規格では以下の通り定義されています。

「代表者によって事業者の内部の者から指名された者であって,個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者」

1. 事業者の代表者から指名されること。
2. またその組織の内部の者であることが必須。(外部のコンサルタントとか専門家等は不可)。
3. 個人情報保護マネジメントシステムにおいて適法かつ適正に「実施および運用」することが求められている。

さらには、以下のような責任権限を持つことが求まれている。

「個人情報保護管理者」は,個人情報の取扱いに関する安全管理面だけではなく,組織全体のマネジメントを含む全体の管理者である。
「個人情報保護管理者」は,個人情報保護マネジメントシステム(PMS)を理解し,実施・運用できる能力をもった者でなければならない。
「個人情報保護管理者」は,当該事業者に係る個人情報の管理の責任者である性格上,いたずらに指名する者を増やし,責任が不明確になることは避けなければならない。したがって,事業部が複数あり個人情報保護管理者を複数名指名する場合には,当該者間での役割分担を明確にすることが求められる。
「個人情報保護管理者」は,社外に責任をもつことができる者(例えば,役員クラス)を指名することが望ましい。
「個人情報保護管理者」は,代表者による個人情報保護マネジメントシステム(PMS)の見直しに資するため,定期的に,又は適宜に,代表者にその実施状況を報告しなければならない。また「監査」と「見直し」がその役割に含まれてはならないとされている。

個人情報保護管理者の役割

大まかな役割としては、

①会社の個人情報の保護と利用に関する統括・管理
②個人情報の安全管理に関する規定
③個人情報保護管理者からの報告徴収と助言・指導
④個人情報の安全管理に関する教育・研修の企画
⑤その他会社全体における個人情報の安全管理に関すること

が考えられます。

つまり個人情報保護管理者は、個人情報保護マネジメントシステム(PMS)をJIS Q 15001の規格に従って確立し、実行し、維持すること。
またそれらを確実にすることでプライバシーマーク(Pマーク)を取得するための体制を推進する必要が有ります。

ただ、現状として中小企業の中には作業ベースの事務担当がなっているケースも多々見られます。
実務の負担を考えると管理職を当ててしまうことはリスクもあるのでしょう。

個人情報保護マネジメントシステム(PMS)を運営していく上で、各役割に対する責任や権限を予め規程化しておく必要があります。
JIS Q 15001の要求事項においても、これらは文書化し従業者に周知させることを求めています。

最低限としては、個人情報保護管理者と個人情報保護監査責任者となりますが、ここでは後者の個人情報保護監査責任者の役割についてご紹介します。

個人情報保護監査責任者

まずはじめは監査責任者にはどんな人が適任か資格としては以下のように定められています。

①社内の人間であること
※実施は社外のコンサルタントでも構いませんが、あくまで責任者は社内の人間の方であることが必須です。
②役員クラス、もしくは個人情報保護管理者と同格以上であること
③個人情報保護管理者ではないこと
※兼務ができません
④商法上の監査役ではないこと

上記①~④を踏まえて、プライバシーマーク(Pマーク)における監査責任者にふさわしい方を社内から選任してください。
役割としては毎年、全部署監査を実施し指摘事項を改善していくことが大きな任務となります。

プライバシーマーク(Pマーク)を運用していく中で、とても大切な部分です。
継続的改善こそが、個人情報保護体制をスパイラルアップさせていくカギを握っています。

この他にも、こんな時はどうしたらいいの?こんな場合は?ございましたら、ISO総合研究所までお気軽にご相談いただければ幸いです。

Pマーク(プライバシーマーク)個人情報管理台帳の更新

MIYAKO85_kaisuiyokjyounomado20140726_TP_V(1)

お世話になっております。ISO総合研究所コンサルタントの花井です。
いつもご愛読ありがとうございます。

Pマーク(プライバシーマーク)の運用をお手伝いしていると、個人情報の特定で苦戦しているお客様をよく見かけます。
Pマーク(プライバシーマーク)個人情報管理台帳の更新に苦労するわけです。

Pマーク(プライバシーマーク)個人情報管理台帳更新する時の洗い出しの程度がわからない、どういう項目で洗い出したらいいかわからないからということがほとんどです。

色々なやり方があるので100点の正しいやり方はありませんが、Pマーク(プライバシーマーク)個人情報管理台帳を更新する時にはある程度の切り口を定めておくだけでもやりやすさが違うと思います。

ある企業様の例:個人情報を洗い出す際に3分類

ある企業様ではこんな形でされていました。
聞くと当たり前と思うかもしれませんが、個人情報を洗い出すときに大きく分類していました。

1.顧客個人情報
ビジネス上で関わりのあるお客様の個人情報です。
特にカスタマー向けにサービスをしている場合には、即クレームや事故につながるので要注意の個人情報です。

2.従業員個人情報
社内で働いている方の個人情報です。
顧客個人情報よりはリスクは少ないことが多いですが、その分機微な個人情報をつかむことが多いので注意しましょう。

3.採用者個人情報
社内に従業員として採用するために得る個人情報です。
目的も明確で、取得する個人情報の内容もあらかた決まっており、リスクは低めだと思います。
ただし、預かった採用者個人情報を事前に破棄するのか、返却するのかを明示して約束しておくほうがあとあとのトラブルを避けられてよいです。

こういった形で大きく3つに分類するだけでも、ある視点から眺めることができるので、Pマーク(プライバシーマーク)個人情報管理台帳を更新しやすくなります。

どの分類にどの項目が入るか?

次に上記の3分類に分け、それぞれの分類ごとに下記6項目の例に当てはめながら考えていきます。

(1)氏名
(2)メールアドレス(所属団体と氏名から本人が特定出来るもの)
(3)個人を識別できる写真、画像(ビデオ)、録音(電話)
(4)従業員の評価
(5)インターネット、官報、電話帳などで公開されている個人に関する情報
(6)氏名と関連付けされているすべての情報

(6)がわかりづらく、理解しにくい部分です。ここについては具体的な例をもってご説明しましょう。

例①
コンビニでお話しますと、独自のポイントカードシステムを運用していてお客様がポイントカードを使用した際の売上データに登録した「氏名」がわかるようになっていたとします。
すると、「氏名」だけが「個人情報」になるのではなく売上データ自体(購入したものまで)が「個人情報」となります。

例②
予備校などが実施する模擬テストも含まれます。
試験の結果の一覧表に「学校名」「学籍番号」「テストの結果」だけが記載されている場合、一般の人がこの一覧表を見ても、誰の情報かはまったく分かりません。
しかし、一覧表に記載された学校の関係者であれば、校内の学籍簿を見て、学籍番号を参照すれば、どの生徒の試験結果であるかをすぐに特定できるのです。

例③
会社社名、担当者名の記載がある見積もり書。
どの会社の誰と特定できますので当然個人情報です。
また、何を購入する予定であるのかも一目瞭然となっています。
名刺を配っていたり、同様に見積もり書において広められている会社や氏名であっても個人情報として大切に取扱わなくてはなりません。

※このように単独の情報では「個人情報」と呼べない情報、これって個人情報と呼べるのか?といったものでも他の情報を参照することで個人を特定できる場合は「個人情報」となります。最終的には、「個人情報」にあたるかどうかは、そのような立ち位置にいるかによって変わってきます。

まとめ

以上をまとめると、

①誰の個人情報なのかを大きく分類する(お客様、従業員等)
②どんな個人情報なのかを分類する(氏名、メールアドレス、写真等)
③取り扱っている紙面や電子データとなっている情報が個人情報となっているか確認する(メイン業務で取り扱っているものから考える)

という手順で個人情報を考えていくということです。
難しく考えず、①、②から特定していき、そこから③について「そういえばこれは個人情報か?」と考えてゆけばよいとでしょう。

なんとなくでもわかって頂けましたでしょうか??
まだ、よくわからない、わかったけど作業出来るかな??と思った方は1度、弊社のお話しを聞いていただきご検討いただければ幸いです。

・これからPマーク(プライバシーマーク)取得を検討している。
・Pマーク(プライバシーマーク)を取得したけど、運用がうまくいかない。
・Pマーク(プライバシーマーク)を取得したけど、今後どうしたらいいのかがわからない。

少しでも気になることがあれば、お気軽にお問合せください。
弊社は、現在、1,400社様以上のサポートをさせて頂いております。豊富な実績でサポートさせていただきます。