Pマーク(プライバシーマーク)|JISQ15001:2017の改正、どうすればいいの?

bizzgirl20160902081917_TP_V

いつもご愛読いただきありがとうございます。
ISO総合研究所の崎山です。

みなさん、ご存知の方もいらっしゃるかもしれませんが、
2017年12月20日に一般財団法人日本規格協会より
Pマーク(プライバシーマーク)の要求事項である
【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】が発売が開始されました。

ただ、気になっているご担当者様も【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】について、何がどうなっていて、今後どうすればいいのかわからない。そういったご担当者様も少なからずいると思います。

そこで今回も、【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】について一緒に見ていきたいと思います。

まずは
【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】の改訂によって、
何がかわったのかを一緒に見ていきましょう。

―――――――※以下引用―――――――――
主な改正点
主な改正点は次のとおりである。
3.1 規格票の構成の変更
今回の改正では,マネジメントシステムに関する要求事項を記載した本文と,管理策を記載した附属書
A(規定)とに分離した。さらに,附属書A の理解を助けるための参考情報を記載した附属書B(参考)及び附属書C(参考),並びにこの規格と旧規格との対応を示した附属書D の構成に変更した。
3.2 個人情報保護法の改正に伴い追加された要求事項
個人情報保護法の改正に伴い追加又は変更された要求事項は,次のとおりである。
a) “特定の機微な個人情報”を,“要配慮個人情報”に変更した。
b) 旧規格では“個人情報”としていた要求事項の一部を,個人情報保護法の規定に合わせて“個人デー
タ”に変更した。
c) “開示対象個人情報”を“保有個人データ”に変更した。
d) 外国にある第三者への提供の制限を追加した。
e) 第三者提供に係る記録の作成などを追加した。
f) 第三者提供を受ける際の確認などを追加した。
g) 匿名加工情報を追加した。

【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】より引用
――――――――――――――――――――――――――――
これをみると「変更点」と「追加事項」があるのがわかります。

まず「変更点」としては
旧規格では、規格の構成として、要求事項が書かれている本文のみでした。
ただ、今回は大きく3つ「要求事項を記載した本文」「管理策を記載した付属書A(規定)」「この規格と旧規格との対応を示した付属書D」とに分離しているようです。
その他、付属書Aの参考情報として「付属書B(参考)」「付属書C(参考)」があります。

次に7点の「追加事項」があります。
1つずつ見ていくと
まず『“特定の機微な個人情報”を,“要配慮個人情報”に変更した。』として追加されました。
例えば、
今まで「健康診断書」が“特定の機微な個人情報”にあたるものだったのですが、
“特定の機微な個人情報”の取扱いには同意書を取る必要がありました。
おそらくそういった同意書の文言を“要配慮個人情報”に変更する必要があるかもしれません。

2点目が
『旧規格では“個人情報”としていた要求事項の一部を,個人情報保護法の規定に合わせて“個人デー
タ”に変更した。』
こちらは例えば、
今まで旧規格では「3.4.2.8提供に関する措置」となっていた項番が「A 3.4.2.8 個人データの提供に関する措置」と個人データという文言が一部追記されているようです。

3点目が
“開示対象個人情報”を“保有個人データ”に変更した。
例えば、
こちらも旧規格では
「3.4.4.3 開示対象個人情報に関する事項の周知など」
「3.4.4.4 開示対象個人情報の利用目的の通知」
「3.4.4.5 開示対象個人情報の開示」
「3.4.4.6 開示対象個人情報の訂正、追加または削除」
「3.4.4.7 開示対象個人情報の利用又は提供の拒否権」
となっていたものが、以下のように“保有個人データ”という文言が変更になっております。

「A.3.4.4.3 保有個人データに関する事項の周知など」
「A.3.4.4.4 保有個人データの利用目的の通知」
「A.3.4.4.5 保有個人データの開示」
「A.3.4.4.6 保有個人データの訂正,追加又は削除」
「A.3.4.4.7 保有個人データの利用又は提供の拒否権」

4点目
『外国にある第三者への提供の制限を追加した。』
上記について、旧規格にはなかったものですが、新規格にて管理策として追加されております。
追加項番として以下になります。
「A.3.4.2.8.1 外国にある第三者への提供の制限」
組織は,法令等の定めに基づき,外国にある第三者に個人データを提供する場合には,あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。ただし,A.3.4.2.3 のa)~d) のいずれかに該当する場合及びその他法令等によって除外事項が適用される場合には,本人の同意を得ることを要しない。
上記を見る限りでは例えば、
派遣会社が外国にある派遣先の会社に派遣社員名簿等を提供する場合は、
あらかじめ派遣社員より、同意書をもらったりしなければいけないようです。

5点目
『第三者提供に係る記録の作成などを追加した。』
こちらは例えば、
4点目でお話しました派遣会社が外国にある派遣先の会社に派遣社員名簿を提供した際に、
提供したことを記録に残して保管しておくことが必要になったようです。

6点目
『第三者提供を受ける際の確認などを追加した。』
こちらも4点目でお話した例をあげると、
外国にある派遣先の会社が派遣会社から派遣社員名簿を提供してもらう際、
派遣会社は派遣先の会社が派遣社員名簿を提供してもらったことを確認するための記録を作成し、保管しておかなければいけないようです。

最後に7点目
『匿名加工情報を追加した。』
こちらは下記項番が今回の新規格で追加されています。
「A.3.4.2.9 匿名加工情報*」
組織は,匿名加工情報の取扱いを行うか否かの方針を定めなければならない。
組織は,匿名加工情報を取り扱う場合には,本人の権利利益に配慮し,かつ,
法令等の定めるところによって適切な取扱いを行う手順を確立し,かつ,維持
しなければならない。

上記については例えば、
通販等に関わる企業で個人情報に氏名、電話番号などにマスキングを施した情報を取り扱っている情報が匿名加工情報に当たると考えられます。

以上、簡単にではございましたが概要に変更点、追加点についてご案内いたしました。

これを読まれて、
「正直、規格改訂するの大変だし、任せたい!!」とか
「とりあえずすぐに相談に乗ってほしい!!」という

Pマークを運用中、あるいはこれから取得を検討中の企業様は
一度当社ISO総合研究所にお問い合わせください!

皆様のご連絡を心よりお待ちしております!

そもそも印刷業にPマーク【プライバシーマーク】っているの?

N112_sukejyurucyouseicyu_TP_V

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの田口と申します。

 

今回のテーマ

 

「そもそも印刷業にPマーク【プライバシーマーク】っているの?」というテーマで書かせていただきます!

 

 

結論から申しますと、『いらない』です。

 

 

いきなりこんな風に書いてしまうと…

 

 

・そんなの取ってて当たり前のもんだろ!

・いらないって、今までやっていた努力は何なの?

・ふざけるな!

 

 

などなど、批難殺到だと思います。

いらないというのは大げさな部分はありますが、あなたの会社でPマークを持っている意味というのはなんですか?

こんな理由が挙げられると思います。

 

 

①顧客の要求があるから。

②持っている方が取引きしやすいから。

③個人情報を守っているというアピールになるから。

④セキュリティの向上になるから。

 

 

が大部分だと思います。

これ以外にないとは思っています。

 

まぁ、①や②は顧客や取引で必要なのだというあなたは持っていないといけなく、Pマーク【プライバシーマーク】が必要です。持っていないと仕事がなくなってしまうので、Pマーク【プライバシーマーク】を維持し続けていかないといけないですね。

 

 

Pマーク【プライバシーマーク】を維持するということはとても大変な労力です。

通常の業務とはかけ離れた作業をしているから大変ですよね…

なんといっても審査と指摘改善が一番大変だと思います。一人の担当者がほぼやっているあなたのような会社が厳しいと思います。

ISO総合研究所では1630社のお客様の運用代行をしており、いくつもの審査内容を集計しております。どんな指摘が一番多いのか?どんな傾向があるのか?2016年の審査傾向をまとめたマル秘資料を作っております。

 

 

『審査員はここを見ている!厳選48項目』

 

 

これを使用してISO総合研究所のお客様は審査での指摘を減らして、指摘改善の時間を少なくしております。

そんな資料を手に入れるチャンスがあります!!!

入手方法についての詳細は下記に書いておきます。

 

 

さて、話を少し戻します。

 

 

③や④のあなたはいかがでしょうか??

③のアピールになって仕事が増えているのでしょうか?それならば持っている意味が十分にあると思います。しかし、なんとなく持っていた方が良いと思って維持し続けているあなたはどうでしょうか!?2年に一回、50万~100万の審査料を払ってまで維持して、仕事が増えていますか?

④のセキュリティ向上のために持っているというのはどうでしょう?これほどムダなことはないと思います。Pマークの仕組みの中には色々とやらなければいけないことが沢山あります。

個人情報の台帳を作る。これで本当にセキュリティの向上につながりますか??

リスク分析をする。まあ、これはある程度役に立つかもしれません。

法令の特定をする。これの記録を作ったところでセキュリティが向上しますか??

委託先の管理記録をつくる。セキュリティに関係あります??

教育をする。これは内容によっては良いと思います。

内分監査をする。決めたルールをやっているかどうか確認するのは良いと思いますが、それ以外の内部監査は意味ないです。

代表者の見直し。これも意味ないですよね。

 

 

結局、役に立つのは教育とルールをやっているかどうかの確認くらいかなと思います。

その他をやるくらいの時間があるのならば業績を上げた方が会社のためになるんじゃないですか。

どうしてもセキュリティを上げたいのでしたら、Pマーク審査を受けるくらいならばセキュリティシステムを入れた方が断然よいと思います。

うちでは、そんな余裕がないし…

というあなたは、ルールを落とし込むのならば何が一番良いと思いますか?

教育?マニュアル化?

どちらも正解です。

ただ、落とし込むまでならば、またですか?覚えてますから。と言われるくらいまで繰り返し、繰り返し言い続けることが一番だと思います。

どこの会社でも同じですが、従業員の教育が一番であり、永遠の課題だと思います。

社長や責任者は言い続けられる根気と負けん気が重要です!!

 

 

顧客要求以外で、印刷業界にPマーク【プライバシーマーク】は必要ありません。

あるのはイメージだけです。

 

 

結局のところ、セキュリティ向上とPマーク【プライバシーマーク】維持というのはちょっとずれているのです。ここまで書かせていただいて、どうしてもPマーク【プライバシーマーク】の維持はするというのであれば止めません。

 

ISO総合研究所では、担当者が一人で業務に支障があるというあなたのような会社をお手伝いしております。

ムダなルールや作りすぎている書類をなるべく無くしていき、あなたの代わりに記録を作っていきます。

これによって楽になるのはあなた自身なのです!!

 

 

もちろん自分たちでやっていきたいというあなたもいると思いますが、そんなあなたでも今抱えて課題が明確に、解決に導けるようにお話させていただきます。

むしろ、営業という形でのお伺いというよりも、「相談」にのるような感じです。

「ISO総合研究所」と検索していただければすぐにヒットします。

その時に、前述していた資料をお持ちします。ご連絡を頂いたときに

 

 

“ブログを見ました。『審査員はここを見ている!厳選48項目』の資料が欲しい!”

 

 

と言って頂ければお持ちいたします。

長くなりましたが、またご愛読いただければ幸いです。

ISO総研・コンサルサポート部の仕事と一工夫

bsYUKA150701038569

こんにちは!!

いつも、お読みいただきありがとうございます!

ISO総合研究所 コンサルサポート部の奥田です(*^_^*)

 

私が所属しているコンサルサポート部の仕事と一工夫を紹介したいと思います♪

 

まず、コンサルサポート部ってなにをしている部門かといいますと、大きく分けて2つあります。1つ目はコンサルタントの日程調整、2つ目は契約書関係です。

 

今日は、日程調整をする上での一工夫をご紹介していきます~♪

 

弊社のコンサルタントは1人約40社~50社のお客様を担当し定期的にお客様先へ訪問してお打合せをしています。(訪問頻度はご契約によって異なりますので割愛させていただきます)

 

コンサルタントの日程調整をする上で求められることは2つ!

1つ目は移動の効率化!

2つ目は移動の快適さ!

この対照的な2つをどうやって突き詰めるかが、この仕事の難しいところであり、楽しいところなのです(笑)

 

少し極端な話になりますが、

効率化だけを求めれば、1回2時間の訪問を1日4件してもらえば、めちゃめちゃ効率良くないですか?

快適さだけを求めれば、1回2時間の訪問を1日に1件だけにすれば、めちゃめちゃ快適じゃないですか?(笑)

イメージしてもらえるように具体的な例をあげてみます!

お客様先からお客様先への移動時間が徒歩10分の訪問を1日4件訪問する・・・効率はいいけどコンサルタントからしたら、きついですよね。。。(笑)

逆に、福岡県のお客様先へ1件だけ訪問して大阪へ戻ってくる日程・・・なんだか効率悪いですよね。

 

なにも考えずに日程を組むだけなら簡単なのですが

そんな対照的な2つを求めつつ、日々コンサルタントの日程調整をしております。

 

 

ではでは、本題に入っていきましょう!

日程調整で工夫していることは2つです!

 

1つ目は効率化を追求するために「担当地域のグループ化」を実施しました。

CS

 

上記は静岡県の地図で、お客様先をピンで表しています。

赤のピンが鈴木の訪問先。

水色のピンが佐藤の訪問先。

緑のピンが濱田の訪問先。

黄色のピンが田口の訪問先。

静岡県担当の訪問者は4名でエリアもバラバラの状態でした。

訪問先を見える化すると現状を把握することができました!!!

と同時に、静岡県と一括りに言っても広い為、エリアがまとまっておらず、

これじゃ効率が悪いことも明らかですよね。。。

 

そこで!部長と相談し担当変更を実施しました。

どのように担当変更をしたか!エリアで訪問者をまとめました!

黄色の〇のエリアは佐藤が訪問。

水色の〇のエリアは堀田が訪問。

緑の〇のエリアは濱田が訪問。

赤の〇のエリアは田口が訪問。

これで移動は効率的になり、コンサルタントの移動も快適になりました♪

移動が効率的になったということは、交通費も削減できて一石三鳥♪♪

 

 

 

2つ目は快適に移動してもらうために「コンサルカルテの作成」を実施しました。

コンサルカルテとは、美容院のカルテのようなイメージです。

 

各コンサルタントの自宅の最寄り駅や出身地、どのようなスケジュール組みが好みかなどを聞いて、コンサルタントのストレスをなくした働きやすい環境作りに役立てています。

 

これもイメージしてもらえるように具体的な例をあげてみます!

最寄り駅を把握することで直帰の場合でも帰宅しやすくなります。

自宅の最寄駅が阿波座駅のコンサルタントの夕方の訪問先を阿波座駅周辺のお客様先にすれば、直帰してアフター6を満喫していただけます(*^_^*)(笑)

また、出身地を把握することでお客様訪問のついでに実家に帰省することができます。

出身が福岡県のコンサルタントの金曜日の訪問を福岡県にすれば、土日は実家に帰省してご両親の顔を見に帰ることも可能に~(*^_^*)♪

 

他には、好みのスケジュールもヒアリングしています。

コンサルによって、1日のスケジュールで大きく2パターンの好みがあります。

1つ目は、1日3件訪問にして、訪問しない日をつくるパターンと

2つ目は、毎日2件ずつ訪問して、夕方に社内の時間をつくるパターンです。

好みのスケジュールになるように、お客様訪問を予め調整することで作業時間や社内業務時間の確保もサポートしています。

 

あとは、コンサルタントのプライベートな情報も蓄積しています。

例えば、既婚者の場合、奥様やお子様の誕生日を記録しておくことでお客様訪問を事前に調整することもできます。

1年に1回の大切な家族の誕生日に遠方に出張だとさみしいですもんね(;O;)

家族の為、自分の為に仕事をしてるのに、仕事で時間が取れないのは本末転倒ですよね~

家族そろってお祝いしてもらえたらいいな~

なんて考えながら、日々、日程調整しています♪

急には難しい調整も1年前、半年前から把握していたら、調整も可能になってきます。

これからもコンサルタントの縁の下の力持ち、コンサルサポート部として精進してまいります。

 

 

以上がコンサルサポート部の一工夫の紹介でした。

最後までお読みいただき、ありがとうございました!!!

Pマーク(プライバシーマーク:JIS Q 15001) 3.3.3項「リスク等の認識、分析及び対策」規格解釈

Green20_yuukyu20141123122037_TP_V

 

 

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの保住です。

 

本日は、Pマーク(プライバシーマーク)要求事項の「3.3.3 リスク等の認識、分析及び対策」についてお話しさせていただきます。

 

「3.3.3 リスク等の認識、分析及び対策」とは一般的には「リスク分析」または「リスク対策」と呼ばれています。

 

要求事項の「3.3.3 リスク等の認識、分析及び対策」には下記のように記載されています。

 

「事業者は3.3.1によって特定した個人情報について目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。事業者は3.3.1によって特定した個人情報について、その取扱の各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。」

 

つまり、「個人情報の特定」で特定した個人情報には、取扱いの中でどのようなリスクがあるかを分析して、その分析の結果、どのようなリスクがあるのかを認識して対策を立てることが要求されています。

 

とは言っても何をすればいいのかわからないですよね?

ここからは「リスク分析」をどのようにやっていくのかをご紹介いたします。

 

「リスク分析」の簡単の流れから説明します。

 

  • 洗い出した個人情報の「ライフサイクル」確認する。

  • ライフサイクルに沿ってリスクの対策を考える。

  • 講じたリスク対策について「残存リスク」を考える

 

リスク分析の流れはこんな感じです。

 

 

まずは、「個人情報のライフサイクル」についてお話しいたします。

「個人情報のライフサイクル」とは、個人情報が生まれてから廃棄されるまでの過程のことを言います。

その過程をより細かく分類したのが下記なります。

 

・取得・入力

・移送・送信

・利用・加工

・委託・提供

・保管・バックアップ

・廃棄・消去

 

「個人情報の特定」で洗い出した個人情報の取扱いの過程の中で、それぞれ上記の6つの中からどのようなリスクが発生するかをピックアップします。

 

「個人情報はどこから入手するのか?」「誰が取扱うの?」「何のために使うの?」「媒体は紙?データ?」「委託はする?しない?」「保管はどうするんだっけ?」等など・・・。考えられる要素すべてのリスクをピックアップしていきます。

 

「履歴書」で例えるならば、取得の際には「同意を得ていない」というリスク、移送送信の際には、「返却時に間違った住所に誤送信してしまう。」というリスク、利用・加工なら「採用時以外の目的外の利用」というリスクなどなど・・・。

 

 

各個人情報に対するリスクの洗い出しが完了したら次は「リスクの対策」を考えます。

 

ピックアップしたリスクに対して、「合理的な」リスク対策をしていきます。ここで重要なのは「合理的な」ということ。

 

「合理的な」というのは、現在会社で経済的にも技術的にも実際に対策が可能であって、尚且つ、そのリスクに対して対応しうる最良の手立て、ということです。

 

いくら完璧に近い対策を講じても、経済的にも技術的にも不可能でしたら意味がありません。また、業務で個人情報を取扱う上で、合理的でない対策をしてしまうことにより、業務の効率が落ちてしまっていては意味がないです。

 

ですので、リスクには、状況を見据えた上での「合理的な」対策を講じるようにしましょう。

さらにリスク対策で気を付けていただきたい点があります。

 

それは、ヒューマンエラー、物理的な理由で発生するリスクだけでなく、法令やガイドラインに反するリスクや、社会的責任に対するリスクも考えていかなければならない、ということです。

 

つまり、リスクが発生することで、法律やガイドラインにどのように抵触するのかということも認識しなければなりません。

 

最後は、「リスクの対策」に対する、「残存リスク」の確認です。

 

とりあえずのリスクの低減すことが出来ました。

しかし、リスクとはいくら対策しても0にならないものです。

 

対策を講じても、心配の残るリスクを「残存リスク」と言います。

 

例えば、社内サーバーがあると仮定します

「サーバー故障による滅失」というリスクに対し「データバックアップを取る/サーバーに盗難防止策を講じる」という対策講じたとします。しかし、「大規模災害によってサーバーが故障する」というリスクがまだ残っていることも考えられます。このリスクを残存リスクとして、認識し、念頭に置いておく必要があります。

 

また、実際にこのようなことが発生した時のことを考慮し、対策や対応手順を用意する等、体制を整えておきましょう。

 

以上がリスク分析についてでした。

リスク分析はどのようなことをしていけば良いのかなんとなくでもイメージが出来ましたでしょうか?

 

分析したリスクについては、「リスク分析表」や「リスク管理表」等を作成し、一覧管理していくことをおすすめします。

 

以上、リスク分析についてでした!

Pマーク(プライバシーマーク:JIS Q 15001) 3.3.3項「リスク等の認識、分析及び対策」規格解釈

 

Green20_yuukyu20141123122037_TP_V

 

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの保住です。

 

本日は、Pマーク(プライバシーマーク)要求事項の「3.3.3 リスク等の認識、分析及び対策」についてお話しさせていただきます。

 

「3.3.3 リスク等の認識、分析及び対策」とは一般的には「リスク分析」または「リスク対策」と呼ばれています。

 

要求事項の「3.3.3 リスク等の認識、分析及び対策」には下記のように記載されています。

 

「事業者は3.3.1によって特定した個人情報について目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。事業者は3.3.1によって特定した個人情報について、その取扱の各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。」

 

つまり、「個人情報の特定」で特定した個人情報には、取扱いの中でどのようなリスクがあるかを分析して、その分析の結果、どのようなリスクがあるのかを認識して対策を立てることが要求されています。

 

とは言っても何をすればいいのかわからないですよね?

ここからは「リスク分析」をどのようにやっていくのかをご紹介いたします。

 

「リスク分析」の簡単の流れから説明します。

 

  • 洗い出した個人情報の「ライフサイクル」確認する。

  • ライフサイクルに沿ってリスクの対策を考える。

  • 講じたリスク対策について「残存リスク」を考える

 

リスク分析の流れはこんな感じです。

 

 

まずは、「個人情報のライフサイクル」についてお話しいたします。

「個人情報のライフサイクル」とは、個人情報が生まれてから廃棄されるまでの過程のことを言います。

その過程をより細かく分類したのが下記なります。

 

・取得・入力

・移送・送信

・利用・加工

・委託・提供

・保管・バックアップ

・廃棄・消去

 

「個人情報の特定」で洗い出した個人情報の取扱いの過程の中で、それぞれ上記の6つの中からどのようなリスクが発生するかをピックアップします。

 

「個人情報はどこから入手するのか?」「誰が取扱うの?」「何のために使うの?」「媒体は紙?データ?」「委託はする?しない?」「保管はどうするんだっけ?」等など・・・。考えられる要素すべてのリスクをピックアップしていきます。

 

「履歴書」で例えるならば、取得の際には「同意を得ていない」というリスク、移送送信の際には、「返却時に間違った住所に誤送信してしまう。」というリスク、利用・加工なら「採用時以外の目的外の利用」というリスクなどなど・・・。

 

 

各個人情報に対するリスクの洗い出しが完了したら次は「リスクの対策」を考えます。

 

ピックアップしたリスクに対して、「合理的な」リスク対策をしていきます。ここで重要なのは「合理的な」ということ。

 

「合理的な」というのは、現在会社で経済的にも技術的にも実際に対策が可能であって、尚且つ、そのリスクに対して対応しうる最良の手立て、ということです。

 

いくら完璧に近い対策を講じても、経済的にも技術的にも不可能でしたら意味がありません。また、業務で個人情報を取扱う上で、合理的でない対策をしてしまうことにより、業務の効率が落ちてしまっていては意味がないです。

 

ですので、リスクには、状況を見据えた上での「合理的な」対策を講じるようにしましょう。

さらにリスク対策で気を付けていただきたい点があります。

 

それは、ヒューマンエラー、物理的な理由で発生するリスクだけでなく、法令やガイドラインに反するリスクや、社会的責任に対するリスクも考えていかなければならない、ということです。

 

つまり、リスクが発生することで、法律やガイドラインにどのように抵触するのかということも認識しなければなりません。

 

最後は、「リスクの対策」に対する、「残存リスク」の確認です。

 

とりあえずのリスクの低減すことが出来ました。

しかし、リスクとはいくら対策しても0にならないものです。

 

対策を講じても、心配の残るリスクを「残存リスク」と言います。

 

例えば、社内サーバーがあると仮定します

「サーバー故障による滅失」というリスクに対し「データバックアップを取る/サーバーに盗難防止策を講じる」という対策講じたとします。しかし、「大規模災害によってサーバーが故障する」というリスクがまだ残っていることも考えられます。このリスクを残存リスクとして、認識し、念頭に置いておく必要があります。

 

また、実際にこのようなことが発生した時のことを考慮し、対策や対応手順を用意する等、体制を整えておきましょう。

 

以上がリスク分析についてでした。

リスク分析はどのようなことをしていけば良いのかなんとなくでもイメージが出来ましたでしょうか?

 

分析したリスクについては、「リスク分析表」や「リスク管理表」等を作成し、一覧管理していくことをおすすめします。

 

以上、リスク分析についてでした!

Pマーク(プライバシーマーク)取得までの流れ

AL101_natuin0420140830001_TP_V

いつもご愛読いただき、誠にありがとうございます。

ISO総合研究所コンサルタントの藤原です。

 

今回は「Pマーク(プライバシーマーク)取得までの流れ」についてお話しさせて頂きます。

 

 

まずPマーク(プライバシーマーク)取得にあたってやらなくてはならないことが大きく分けて3つあります。

それは、

①申請書提出

②審査

③指摘改善

の3つです。

 

 

では、①の申請書提出から見ていきましょう。

Pマーク(プライバシーマーク)取得のためのスタートとして、Pマークを取得できるか審査をしてもらう審査機関へ申請書というものを提出しなければなりません。この申請書はそれぞれの審査機関のサイトでダウンロードできます。更新の場合と新規の取得の場合と申請書が2種類あるのでそれぞれ間違いがないか注意しましょう。

続いて、気を付けなければならないのがPマーク(プライバシーマーク)の有効期限です。こちらは更新の場合のみに関係するのですが、申請書を提出する期限があり、それが有効期限と関わってきます。申請書は有効期限の4カ月前までに提出していなければなりません。必ずです。因みに申請は有効期限の8ヵ月前からできます。

 

 

 

申請書に記載しなければならないことは以下の内容になります。

・会社概要

・個人情報を取扱う業務の概要

・すべての事業所の所在地及び業務内容

・個人情報保護体制

・個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧

・JSQ15001要求事項との対応表

・教育実施サマリー

・監査実施サマリー

・事業者の代表者による見直し実施サマリー

・2006年版JISによる前回認定時から変更のあった事業の報告

 

このような内容の申請書を作成し、その他必要な書類をそれぞれの審査機関(更新の場合は有効期限の4カ月前まで)に提出して申請書提出が終わりです。

 

 

 

 

次に②の審査についてです。

申請書を審査機関へ提出すると、審査機関は申請書類の不足及び記載漏れを確認します。

申請書類の添付漏れや記載内容に不備がある場合、申請書類が返却となる場合があります。

 

申請書類が全て揃っている場合は、申請料の請求書が発行されます。

審査機関で申請料の入金が確認されると「プライバシーマーク付与申請に係る申請書類受領証」が送付されてきます。

 

因みに、Pマーク(プライバシーマーク)が認証されるまでに審査機関に3回支払いをしなければなりません。Pマーク(プライバシーマーク)の取得にかかる費用はどの審査機関を使っても一律料金です。しかし、申請する会社の規模によって料金は変わります。

 

 

 

受理された申請書類の中の規程がJIS Q 15001に準拠しているかの審査がされます。文書審査結果は申請受理から約1ヵ月後、審査機関から書類で事業者の元へ発送されます。

文書審査では、○△×の3つの判定がつけられ、判定理由のコメントが書かれています。もし×だった場合は、現地審査までに規程を修正しなければいけません。

 

 

 

書類審査の次には、申請事業者に対して現地審査が実施されます。現地審査の日程は、担当する審査員から事前に連絡が入り、申請から1~3ヵ月後ぐらいの日程となります。現地審査では、規定の通りに体制が整備され、運用できているかについて、資料や記録などを確認します。

審査時間は申請者の規模によって異なりますが10時から始まり17時まではかかります。

以下は現地審査の流れです。

・代表者へのインタビュー

・個人情報保護管理者、監査責任者等へのヒアリング

・現場確認(個人情報を取り扱っている部署の実施状況を確認)

・総評と指摘事項の確認

 

現地審査が終わると、ここで2回目の支払いである、審査料の支払いがあります。

 

 

 

最後に③指摘改善についてです。

現地審査後、審査機関から「プライバシーマーク付与申請審査の指摘事項について」という書類が届きます。この書類には、どのような点が不備だったのか等が記載してあります。

これを「指摘事項」と言います。

指摘事項数は現地審査次第ですが、少なくても10箇所弱。多くて20~30箇所の指摘をもらう場合があります。申請事業者は3ヶ月以内にこの指摘事項に対して、改善報告書を提出しなければなりません。1回で指摘事項がなくなれば良いのですが、これが2回目、3回目と続くことがほとんどです。

ここで注意しなくてはならないのが1回目の指摘事項に対しての改善報告書は3カ月以内で良いのですが、2回目以降は1ヵ月以内に改善報告書を提出しなくてはならなくなります。そして1回目の「プライバシーマーク付与申請審査の指摘事項について」の書類が発行されて6カ月以内に指摘事項の改善報告書が適切であると審査員から認められなければなりません。

 

 

 

提出された改善報告書が適切だと認められれば、審査員から改善を認める旨の連絡が入ります。

しかし、審査員から改善を認められてもプライバシーマークが付与される訳ではありません。

審査機関内で、判定会議が行われ、そこで正式に付与が決定されます。

審査機関によって判定会議の実施時期は異なり、月に数回行われる場合や1回しか行われない場合もあります。

 

 

 

審査機関からプライバシーマークの付与が認められると、付与機関である一般財団法人日本情報経済社会推進協会(JIPDEC)からプライバシーマーク使用許諾契約書と使用許諾料の請求書が届きます。

JIPDECへ使用許諾料の振込みを行い、使用許諾契約書へ押印して書類を発送します。

その後、JIPDECから使用許諾証とPマーク画像データが届きます。

 

 

 

これでPマーク取得が完了です。

申請から認証までの期間は半年前後だと聞いています。自社ですべて運用されているところは1年かかったと聞いたこともあります。

 

今回は以上で「Pマーク(プライバシーマーク)取得までの流れ」のお話を終わらせていただきます。

最後までお読みいただき、誠にありがとうございました。

Pマーク(プライバシーマーク)の安全管理ってどこまでやればいいの?

 

_shared_img_thumb_AL101_natuin0120140830001_TP_V

 

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの下です。

今回はPマーク(プライバシーマーク)の安全管理措置について2つの切り口からご説明します。

 

1つ目は物理的な安全管理措置についてです。

物理的な安全管理措置とは、事務所や各拠点への入退館(室)管理や、各媒体で保管している個人情報の盗難等の防止策の実施、機器・装置等の物理的な保護等です。

入退館(室)管理については、自社の人員、外部の人員がいつ入出したのかが分かるようになっていれば良いです。特別な機器を新たに導入する必要はありません。

例えば、社内の人員の管理は入退出の管理表等を用意して最初の入出者、最終退出者を記載して管理しておけば大丈夫です。外部の人員の管理については来訪者管理表等を用意し、セキュリティエリアに入った際に記載して管理が必要です。

社内で個人情報の漏洩事件や事故があった際に、後からいつだれが入退室していたのかを追っていくための管理になります。もちろんセキュリティを高める為に新たな設備を入れたほうが漏えいのリスクは減りますが、Pマーク(プライバシーマーク)の現地審査ではそこまでは求められておりません。

盗難等の防止については個人情報を記録した媒体(紙、外部記憶媒体)を施錠保管していること、個人情報を記録した媒体(紙、外部記憶媒体)の廃棄は、再利用できない措置を講じていること等です。

施錠保管に関しては紙、USBメモリ、CD、外付けハードディスク等は施錠保管が必須になりますが、施錠管理以外の盗難対策の実施でも大丈夫です。

個人情報を記録した携帯可能なコンピュータ等についての盗難防止措置については、こちらも、施錠保管や、チェーンロック等での盗難防止対策が必要になります。

廃棄については、紙媒体はシュレッダー等を利用して再利用できないようにする必要があります。外部記憶媒体も同様に物理的な破壊をして再利用できないようにする必要があります。こちらも、廃棄業者を利用して溶解処理や、廃棄を依頼することはできますが自社で再利用や、復元できない形で廃棄をしていれば新たに費用をかけて外部に依頼する必要はありません。

 

 2つ目は技術的安全管理です。

技術的安全管理とは主にPC等に保存されているデータの安全管理です。

個人情報へのアクセスにおいてID、PW等による認証を実施する必要があります。これは必須になります。

盗聴される可能性のあるネットワーク(インターネットや無線LAN等)で個人情報を送信する際に、個人情報の暗号化又はパスワードロック等の秘匿化の措置を講じていることが必要です。具体的にはウェブサイトから本人から個人情報を入力させる場合に、SSL化、SQLインジェクション及びクロスサイトスプリクティング対策等の措置を講じる必要があります。

 

最近のPマーク(プライバシーマーク)現地審査で良く見られていることが、個人情報へのアクセス記録の確認です。情報システムへのアクセスログの取得状況は必ずチェックされます。

アクセスログとは社内サーバやクラウド等の個人情報を保管している情報システムへのアクセスや操作の成功と失敗の記録です。アクセスログを取得、保管し、定期的に確認する必要があります。Pマーク(プライバシーマーク)を取得していない企業ではアクセスログを取得していなかったり、取得していても確認方法が分からなかったりするケースが多いです。現地審査の際には必ずチェックされますのでPMS運用の前に改めてアクセスログの点検方法を確認しチェックの運用をする必要があります。

 

安全管理措置については各局面について全ての対策を実施するのが望ましいですが、全ての対策を実施すると、費用的、人的、業務的な面において現実的に難しいことが出てくるかと思います。例えば、入退出の管理をICカードの導入によりオートロックにしたり、データ入力の際に必ず二者確認をしたり等です。

ですので、社内でリスクを洗い出して現実的に出来る範囲の部分で問題ありません。重要なのは自社でリスクをしっかりと認識して対策を実施することです。費用をかけて新たに設備等を導入すれば安全の確認がしやすくなり、よりセキュリティが高まる事は事実です。Pマーク(プライバシーマーク)の取得、PMS(個人情報保護マネジメントシステム)の運用の為に新たに費用をかけるのではなく、実務に費用を当て、費用をかけずにPMS(個人情報保護マネジメントシステム)を運用することは可能です。

そのために、弊社コンサルタントが他社の事例や、現地審査の傾向から運用方法の提案のお手伝いをさせて頂きます。

また、当たり前ですが、社内のセキュリティを高めたいからといって、例えば消防法等の法令に違反する設備を構築するようなことは出来ません。

今回ご説明させて頂きました安全管理措置は一部になりますが、最近のPマーク現地審査で見られているポイントになします。

弊社ではPマーク(プライバシーマーク)の新規取得以外にも現状運用中のお客様のお手伝いもさせて頂いております。

Pマーク(プライバシーマーク)やISOでお困りのことがございましたら弊社までお気軽にお問い合わせください。

Pマーク(プライバシーマーク)の取得及び運用する際に必ず必要となる記録類

SAYA160312140I9A3606_TP_V

いつもご愛読いただき、誠にありがとうございます。ISO総合研究所コンサルタントの馬場です。

 

今回は、「Pマーク(プライバシーマーク)の取得及び運用する際に必ず必要となる記録類」について詳しくお話しさせて頂きます。

 

 

記録とは、

①個人情報の特定

②法令、国が定める指針その他の規範

③リスクなどの認識、分析及び対策

④委託先の記録

⑤教育

⑥監査

⑦事業者の代表者の見直し

の7つのことを言います。では、細かく見てみましょう。

 

 

①個人情報の特定とは?

簡単にいうと、事業で使用している個人情報を特定することです。

多くの会社で使用されているのが、「個人情報管理台帳」というもので、事業で使用された個人情報を特定したものを台帳にしたものです。個人情報を整理、管理するためのものでもあります。

例えば、採用の際に取得する「履歴書」や「職務経歴書」などが挙げられます。その項目の「利用目的」「保管場所」「保管方法(鍵付きキャビネットなど)」「管理者」「利用期限」「件数(概算)」を台帳に記入していきます。紙で使用するものだけでなくデータで管理しているものもここに記載しておきましょう。

 

 

②法令、国が定める指針その他の規範とは?

ここでは、事業者の自らの業務に関わる範囲の個人情報に関する法令を特定しなければなりません。そして、改正されればその最新版を維持していきます。

「その他の規範」とは、業界のガイドラインや顧客の要求のことを言いますので、ここには法令のみを特定していくものではありません。

 

 

③リスクなどの認識、分析及び対策

ここでは、①個人情報の特定(個人情報管理台帳)との関連性が必要とされます。

①で特定された個人情報の各局面のリスク(漏えい、き損、法令の違反など)を認識し、リスクを起こさない為の対策をしていきます。

リスクを漏れなく洗い出すためには、個人情報の取得から廃棄までの流れに基づいて、対策を講じいくことが必要です。取得から廃棄について分かりにくい方は、自身のお仕事の流れを想像してみてください。

人材派遣業界の方の場合、1つの例として挙げます。

 

まず、登録しに来られた方の履歴書をいただく(取得)。

→それを自社サーバーに打ち込む(入力)。

→履歴書は鍵付きのキャビネットに保管しておく(保管)。

→その方のデータを派遣先の企業にメールで送る(送信)。

→辞めることになった方の履歴書はシュレッダーで廃棄する(廃棄)。

 

という一連の流れとなる。この、取得から廃棄までで起こるであろうリスクを考えないといけない。だが、対策をするにも費用面、業務効率が犠牲となることがあるだろう。その際には、無理に対策をするのではなく、現状で講じるべき対策を講じた上で未対応の部分を「残存リスク」として把握し、対策していかなければいけません(対策不可能なことまでは対策はしなくてよい)。

 

 

④委託先の監督

ここでは、個人情報の取扱いを委託する場合は、十分な個人情報の保護基準を満たしている者を選定しなければいけません。

ですが、人材派遣契約は個人情報の取扱いの委託には含まれず、要求事項の対象外なのです。

また、清掃事業者、機器のメンテナンス事業者、警備会社等との契約も個人情報の取扱いがない限りは対象外に当たります。ただし、個人情報に触れる可能性かある委託先に関しては、立ち入る範囲を定めたり、守秘義務を盛り込んだ契約を交わしたりすることが望ましいですね。

 

 

⑤教育

教育は、すべての従業員に実施しなければいけません。直接に個人情報の取扱いをしていない部署であっても、実施義務があります。教育では集合教育、eラーニングなど事業者にとってやりやすい方法で行えばよいです。

教育は少なくとも年1回、必ず実施しなければいけませんのでお忘れなく。

 

 

⑥監査

監査とは、“個人情報マネジメントシステムと適合したマニュアルが作成できているか”、“このマニュアルに乗っ取った運用ができているか”を確認するものです。

全部門の監査が必要ですので少し大変な作業となりますね。

この監査の責任者でもある個人情報保護監査責任者になれるのは、客観的な立場にあるものを内部の中から指名した人です。なので、個人情報保護責任者、代表者(社長)はなることが出来ません。そして、客観的なという観点から自分が所属している部署監査を行うこともできません。ここは間違いやすいので注意しておきましょう。

そして監査も少なくとも年1回必ず実施しなければいけないのでお忘れなく。

 

 

⑦事業者の代表者の見直し

事業者の代表者は定期的にマネジメントシステムを見直さなければいけない。監査で出た指摘の確認や、外部からの苦情への対応についても言及することがある。

検討結果次第では、今後の事業計画への影響も考えられるため、経営判断が求められることがある場合もあります。なので、ただ日々を改善するというものとは次元が異なること知っていていただきたいです。

 

 

いかがでしたか。

7つの記録の要素、1つ1つ並べてみるとつながっているものが多々あります。ですので、「整合性」が求められます。記録を作成する際は「整合性」を確認しながら作成していくと良いですね。

 

今回は以上で「Pマーク(プライバシーマーク):Pマーク(プライバシーマーク)の取得及び運用する際に必ず必要となる記録類」のお話を終わらせていただきます。

最後までお読みいただき、誠にありがとうございました。

Pマーク(プライバシーマーク):とあるジオン軍がプライバシーマークを取るそうです (リスク分析編)

MIYAKO85_amanogawatentai20140725_TP_V

 

 

 

人類が増えすぎた人口を宇宙に移民させるようになって、既に半世紀が過ぎていた。地球の周りの巨大な人工都市は人類の第二の故郷となり、人々はそこで子を産み、育て、そして死んでいった。

 

宇宙世紀0093年。シャア・アズナブルは新生ネオ・ジオン軍を率い、自らが総帥となって新たな戦いを挑もうとしていた。

 

シャア「やあ。またあったな。」

 

アムロ「すまないな。またなんだ。」

 

シャア「構わんさ。で、次はなにが知りたいんだ?」

 

アムロ「そうだな。リスク分析とはなんなんだ?」

 

シャア「ほぅ。リスク分析という言葉を知っているのか。」

 

アムロ「あれから少し調べたのさ。よくわからなかったんだがな。」

 

シャア「自分で調べるということが大切なのさ。」

 

アムロ「リスク分析とはどういうことなんだ?特定した個人情報についてのリスクの分析を行うということはわかったんだが、肝心のリスク分析は何をしたら良いのかがわからないんだ。」

 

シャア「なるほどな。確かに、リスク分析とは何をしたら良いのかよくわからないものではあるな。」

 

アムロ「取扱う全ての個人情報の局面(ライフサイクル)でどのようなリスクの発生の可能性があるかを認識して、発生しそうなリスクがあるのか分析して、リスクの発生を防ぐ為の対策を講じること、とはどういうことなんだ?」

 

シャア「個人情報を取得から廃棄までのライフサイクルを漏えい、滅失、毀損の観点でリスク分析をするんだ。そうだな。わかりやすいものに例えるといいかもしれないな。」

 

アムロ「わかりやすいものに例えるか。」

 

シャア「ああ。例えば、戦艦から出撃して、帰還するまでの流れでリスク分析をしてみたらどうだ?」

 

アムロ「そうだな。一度やってみるか。」

 

シャア「では、出撃する時の流出などのリスクは何になるかな?」

 

アムロ「そうだな。流出はこちらのMSがスパイに盗まれることだな。滅失と毀損では進路上になにもないことや、敵がいないことだな。何かあると、機体ぶつかったり、落とされたりするからな。」

 

シャア「なるほどな。そう言えば、確か連邦のMSが強奪されたということが、UC0083年にあったと噂で聞いたな。」

 

アムロ「そうなのか?それは知らなかった。」

 

シャア「あくまでも風の噂だ。核装備のガンダムだとかなんとか。まあ、それはおいておくとしようでは、そのリスクを回避するためには何をしたら良いと思う?アムロ」

 

アムロ「ミノフスキー粒子を散布したり、索敵をすることになるかな。」

 

シャア「では、次は戦闘前の索敵になるか。そこでのリスクを分析してみようか。」

 

アムロ「そうだな。やはり、こちらの位置が敵にバレていることと、進路上の障害物、敵の待ち伏せだな。リスク回避としては、一機で行動しないこと、編隊を組んで行動すること、障害物に注意すること、障害物の影に注意することだな。」

 

シャア「流石だな。だが、どんなに注意していてもそのリスクを回避できないことがある。それを残存リスクというのだよ。」

 

アムロ「残存リスク・・・。そういうのもあるのか。」

 

シャア「ああ。どんなに注意していても待ち伏せされていたら、急には対応できないだろ?」

 

アムロ「そうなのか?」

 

シャア「アムロや私なら十分に対応できるだろうが、普通は対応できないものなのさ。」

 

アムロ「そういうものなのか。残存リスクというのは、つまり注意していても対応できないことのことをいうんだな。」

 

シャア「そこでの残存リスクは待ち伏せのリスクということになるかな?」

 

アムロ「ああ。そうなる。待ち伏せはどうしようもないからな。何度かやられてこともあるしな。」

 

シャア「そうだな。やったり、やられたりだな。では、次は戦闘だな。」

 

アムロ「戦闘も先に敵に見つかっていないかだな。それによって戦況がガラリと変わる。

後は、周りの様子と、仲間との連携だな。1人だと当然囲まれてすぐにやられてしまう。」

 

シャア「そういうふうに、自分のわかるものに例えてやっていけば、リスク分析がどういうものかというのが大体わかってくるはずさ。」

 

アムロ「確かにそうだな。自分のわかるものに例えてやっていけばどういう流れかがわかってくるな。」

 

シャア「それを、個人情報に置き換えて、個人情報を取得してから廃棄までの流れで、リスク分析をするのだよ。」

 

アムロ「なるほどな。だが、これは個人情報を取り扱っていないとわからないようなことばかりだな。」

 

シャア「確かにそれはあるな。例えばだが、自分が郵便をもらうとしよう。その時のリスクから考えても良いかもしれないな。」

 

アムロ「なるほどな。そこから考えるのも良いかもしれないな。リスク分析が少しずつだがわかってきた気がするよ。」

 

シャア「そうか。それは良かったよ。だが、リスク分析は奥が深い。自分では気がつかないリスクが潜んでいることもある。色んな角度からのアプローチをしていくほうがいいだろうな。」

 

アムロ「ああ、わかった。ありがとうシャア。色々と勉強になったよ。」

 

シャア「構わんさ。またいつでも聞いてくれ。」

 

アムロ「ああ。また、時間があれば、プライバシーマークについて教えてくれシャア。」

 

シャア「もちろんさ。次は何が知りたいんだ?」

 

アムロ「そうだな。次は―・・・」

 

 

プライバシーマークの取得に奮闘するネオ・ジオン!

果たして、無事取得することができるのか?

戦火の中、人は涙するしかないのだろうか

次回「プライバシーマーク強襲」

君は生き延びることが出来るか

最近のPマーク(プライバシーマーク)現地審査の傾向

_shared_img_thumb_PASONAZ160306230I9A1809_TP_V(1)

いつもご愛読ありがとうございます。

ISO総合研究所Pマーク(プライバシーマーク)コンサルタントの川端です。

もうすぐ待ちに待ったゴールデンウィーク!

これといった予定は特にないのですが(笑)やはり大型連休は楽しみなものです!

今年はより計画的にだらだらのんびり過ごせるようにします。

 

さて、今日は最近のPマーク(プライバシーマーク)現地審査の傾向について書いていきたいと思います。

 

 

Pマーク(プライバシーマーク)現地審査と聞くと、一度受けたことがある方は、「長い」「しんどい」「疲れる」といったような印象を持たれる方もいるのではないでしょうか。毎年違うところを指摘として残され、現地審査後もしばらくは、その指摘部分の修正に時間を取られて大変!といった声もたまにいただくことがあります。

 

 

なぜ毎年違う部分を指摘されるかというと、その主な理由は下記のようなものがあげられます。

・Pマーク(プライバシーマーク)審査は、サンプリングで行われるため

・前回審査とは別の審査員が審査をするため

・社会情勢の変化や関連法規制の変化によって、ルールが変わるから

などなど。

このような理由で、前回審査では指摘にならなかったようなところが審査で議題になることがあるのです。

 

 

さて、Pマーク(プライバシーマーク)現地審査が「社会情勢の変化」に左右されることがあるということは、審査にも毎年の「流行」というものがあります。

 

会社用携帯と個人携帯の2台持ちという方も結構いらっしゃるのではないでしょうか。会社には出勤せず、自宅から会社のネットワークに接続し、自宅で仕事をするという勤務形態の方もいらっしゃるのではないでしょうか。

 

そういった「変化」に柔軟に対応していくためにも、審査員さんは、最近の社会情勢の変化に合わせて審査を行っています。

 

 

その中で、お客様からの声を聞いていると、2点ほど、私が「最近の傾向かな?」と思う事があります。

 

 

一つ目は、スマートフォンをパソコンのUSBポートからケーブルにつないで充電をしていないか、というものです。

 

みなさん、きちんとスマートフォンを会社で充電している時、専用充電器でコンセントから充電していますか?パソコンのUSBポートからケーブルにつないで充電をしていませんか?

 

ちなみに、USBポートからケーブルにつないで充電をしていると、審査の際に目を付けられてしまいます。現在、実際には指摘になっていないようですが(私の知る限りでは)、今後、おそらく指摘としてあがってくると思います。

 

なぜ、これが良くないのかというと、充電をしているのか、データを抜き取っているのかの判断が見た目では分かりにくいからです。

 

この行為が日常化してしまうと、もし、データの流出、盗難があった時に、気づくのが遅くなり、大きな事故につながる可能性が高いからです。スマートフォンはもう小型パソコンのようなものです。もしものときに自分が疑われないようにするためにも、USBポートからケーブルにつないで充電するのではなく、専用充電器でコンセントから充電することをお勧めします。

 

 

二つ目は、審査の中で、現場を見る時間が長くなった、ということです。これは、あくまで、私が個人的に最近感じていることなので、あてにはならないかもしれません。

 

最近審査があった会社では、書類審査を早めに終わらせ、本社の安全管理を確認した後、本社から車で30分かかる場所にある支店まで、安全管理の審査をしたそうです。また、他の会社でも、車で10分以内の支店を5~6か所、予定時間の17時ぎりぎりまで見に行ったようです。

 

以前までは、比較的、現場の確認をする時間は短かったように感じましたが、最近では30分車で移動してまで現場を見る、といったように現場を重視してきているように思います。

 

これは、私の個人的な意見ではありますが、管理者や上席の役員などがいる本部に、個人情報保護に関するルールが周知できているのは当たり前、管理者がたまにしかいない支店や営業所にまで、ルールの周知、徹底ができているかをチェックしているのではないでしょうか。

 

支店や営業所で取り扱う個人情報も少なくない、むしろ本部よりも多くの情報を取り扱っているという会社もあるのではないでしょうか。本部では守られているけれども、支店や営業所では管理が甘い、といった状態では意味がありませんよね。

 

 

私の個人的な意見もありますが、やはり、少しずつ変化してきていると思います。スマートフォンの取扱いについても、ガラケー(フィーチャーフォン)と同じような取扱いでは不十分なこともあります。

 

 

Pマーク(プライバシーマーク)現地審査で来る審査員さんは、そういった最近の傾向も踏まえて審査してくれます。2年に一度しかない貴重な機会なので、わざわざお金を出してきてもらうので(笑)指摘を出ることを嫌がってその場しのぎをするよりも、どういったところが漏洩などの事故につながりやすいのかを、プロの目でチェックしてもらう場にするのもいいかもしれません。