Pマーク(プライバシーマーク)の規格改訂って何が変わるの?

YUKA150701038569_TP_V

いつもご愛読いただきありがとうございます。
ISO総合研究所 千葉です。

だんだん気温も上がり、春らしい様子が見られるようになってきましたね。
服装も軽装になり、色も明るいものが増え、気分も変わってきました。花粉症の人にはつらい季節ですが…頑張ってのりきりましょう!

さて、Pマーク(プライバシーマーク)は、2017年に新たな動きが始まりました。

今までPマーク(プライバシーマーク)の基準になっていた「JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)」が、2017年12月20日に、「JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)」が改訂されました!
Pマーク(プライバシーマーク)業界では11年ぶりの規格改訂となっています。

そもそも規格改訂とは?

しかし、巷では騒がれていますが、そもそも規格改訂とは何のことだろうと考えたことはありませんか?

そもそも、Pマーク(プライバシーマーク)を運営するに当たり、皆様の社内に「ルール」が作られていますね。
「個人情報保護マニュアル」「個人情報保護規程」「○○手順書」等、各企業によってその前は異なり、様々なルールが存在していると思います。

このルールを作るにあたり、ベースとなる規準が存在しています。
これが、「個人情報保護マネジメントシステム」つまり、「JIS Q 15001」にあたります。

しかし、情報セキュリティ等時代の変化が激しい昨今、この基準は何年も同じものを使い続けて自社とのギャップが生まれないでしょうか?基準そのものの見直しは必要ないでしょうか?

そう考えていくと、時代に合せてルールを作るための基準も変更していく必要がありますよね。
それが、「規格改訂」になります。

Pマーク(プライバシーマーク)の審査を受けていく中でも、2年前に言われたことと違う指摘が出てきた!なんてこともありますよね。
最近ではマイナンバーに関するルールや仕組みが必要になったのもその1つですね。
時代と共に法律が変わるように、Pマーク(プライバシーマーク)の規格も変化することになりました。

では、今回のPマーク(プライバシーマーク)規格改訂、どのような変化が出てきたのでしょうか。3つに絞ってお伝えします。

変化①:規格の「共通化」

まず大きい変化の1つ目としては、規格の「共通化」が上げられます。

最近では、Pマーク(プライバシーマーク)の他にISO27001(ISMS)を同時に取得している企業が増えています。
今まで、Pマーク(プライバシーマーク)は日本独自の規格となっており、世界に通用する規格であるISOとは共通の基準を作るのが難しい状況でした。

今回の規格改訂によって、ISO同様10章立ての構造となりました。
このことで、マニュアル類を統合しやすくなりました。

規格そのものを見てみると、用語も「JIS Q 27000:2014」から引用されている箇所が多く、ISO27001(ISMS)と連動しやすい状況が作られていることがわかります。
2つの規格を持っている企業にとっては、今までうまくいかなかった、マニュアル類の統合が非常にやりやすくなっています。

変化②:「附属書」の存在

そして、次に大きな変化として挙げられるのが「附属書」の存在です。

そもそも附属書ってなんだ?って思いますよね。

実は、これが旧規格である「JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)」を継承して策定されています。
もちろん、今の時代に合せた変更もされています。
ルール作りに大きく関わるのは附属書Aと附属書Cになります。

附属書Aは、今までPマーク(プライバシーマーク)で使ってきた規格要求事項を盛り込んでいます。
例えば個人情報の特定、緊急事態への準備、教育、内部監査など。見慣れた内容が記載されているのではないでしょうか。

しかし、2017年に行われた個人情報保護法の改正により、守るべきルールや使われる用語の変更が出ています。
例えば「要配慮個人情報」は、今回新たに決められた言葉です。以前の「機微な個人情報」と言えばわかりやすいでしょうか。

このように、Pマーク(プライバシーマーク)規格改訂により、最新の法令を反映した要求事項が作られています。
今まで利用してきたマニュアル類から変更する箇所ももちろん出てくるでしょう。

変化③:旧規格「3.4.3.2 安全管理措置」が独立

最後に3つ目として、附属書Cが変わりました。
旧規格「3.4.3.2 安全管理措置」を独立させた要求事項ととらえてください。

以前よりも、セキュリティに関する要求事項が増えています。114項目の要求事項を照合する必要があります。
もはやISMS(ISO27001)と変わらないセキュリティに関する要求事項が出来ましたね。

114項目と聞くと、もう見るのも嫌になってしまいそうですが、もちろん似たようなルールが存在しています。
要求事項を読み込み、自社にあったルールを作れば記入する量も減るかもしれませんね。

まとめ

こうやって見ると、規格改訂に対応したマニュアルの策定だけでも情報を仕入れて進めていく必要がありそうです。

Pマーク(プライバシーマーク)規格改訂の対応期間は2018年8月1日~2020年7月31日です。
対応するための準備期間は2年間ですね。審査機関の審査基準の公表も1月中旬に行われる予定です。

当社では、規格改訂に関する無料コンサルも行っています。何か気になることがありましたら、是非お気軽にお問合せください。

\ お問い合わせフォームはこちら /

WEBお問い合わせ

Pマーク(プライバシーマーク)|JISQ15001:2017の改正、どうすればいいの?

ISO総合研究所の崎山です。

みなさん、ご存知の方もいらっしゃるかもしれませんが、2017年12月20日に一般財団法人日本規格協会よりPマーク(プライバシーマーク)の要求事項である【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】が発売が開始されました。

ただ、気になっているご担当者様も【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】について、何がどうなっていて、今後どうすればいいのかわからない。そういったご担当者様も少なからずいると思います。
そこで今回も、【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】について一緒に見ていきたいと思います。

まずは【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】の改訂によって、何がかわったのかを一緒に見ていきましょう。

改正点

主な改正点は次のとおりである。

3.1 規格票の構成の変更
今回の改正では,マネジメントシステムに関する要求事項を記載した本文と,管理策を記載した附属書
A(規定)とに分離した。さらに,附属書A の理解を助けるための参考情報を記載した附属書B(参考)及び附属書C(参考),並びにこの規格と旧規格との対応を示した附属書D の構成に変更した。

3.2 個人情報保護法の改正に伴い追加された要求事項
個人情報保護法の改正に伴い追加又は変更された要求事項は,次のとおりである。
a) “特定の機微な個人情報”を,“要配慮個人情報”に変更した。
b) 旧規格では“個人情報”としていた要求事項の一部を,個人情報保護法の規定に合わせて“個人データ”に変更した。
c) “開示対象個人情報”を“保有個人データ”に変更した。
d) 外国にある第三者への提供の制限を追加した。
e) 第三者提供に係る記録の作成などを追加した。
f) 第三者提供を受ける際の確認などを追加した。
g) 匿名加工情報を追加した。

【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】より引用

これをみると「変更点」と「追加事項」があるのがわかります。

変更点

まず「変更点」としては、旧規格では、規格の構成として、要求事項が書かれている本文のみでした。

ただ、今回は大きく3つ「要求事項を記載した本文」「管理策を記載した付属書A(規定)」「この規格と旧規格との対応を示した付属書D」とに分離しているようです。

その他、付属書Aの参考情報として「付属書B(参考)」「付属書C(参考)」があります。

追加事項

次に7点の「追加事項」があります。

①『“特定の機微な個人情報”を,“要配慮個人情報”に変更した。』

例えば、今まで「健康診断書」が“特定の機微な個人情報”にあたるものだったのですが、“特定の機微な個人情報”の取扱いには同意書を取る必要がありました。
おそらくそういった同意書の文言を“要配慮個人情報”に変更する必要があるかもしれません。

②『旧規格では“個人情報”としていた要求事項の一部を,個人情報保護法の規定に合わせて“個人データ”に変更した。』

こちらは例えば、今まで旧規格では「3.4.2.8提供に関する措置」となっていた項番が「A 3.4.2.8 個人データの提供に関する措置」と個人データという文言が一部追記されているようです。

③『“開示対象個人情報”を“保有個人データ”に変更した。』

例えば、こちらも旧規格では、

「3.4.4.3 開示対象個人情報に関する事項の周知など」
「3.4.4.4 開示対象個人情報の利用目的の通知」
「3.4.4.5 開示対象個人情報の開示」
「3.4.4.6 開示対象個人情報の訂正、追加または削除」
「3.4.4.7 開示対象個人情報の利用又は提供の拒否権」

となっていたものが、以下のように“保有個人データ”という文言が変更になっております。

「A.3.4.4.3 保有個人データに関する事項の周知など」
「A.3.4.4.4 保有個人データの利用目的の通知」
「A.3.4.4.5 保有個人データの開示」
「A.3.4.4.6 保有個人データの訂正,追加又は削除」
「A.3.4.4.7 保有個人データの利用又は提供の拒否権」

④『外国にある第三者への提供の制限を追加した。』

上記について、旧規格にはなかったものですが、新規格にて管理策として追加されております。
追加項番として以下になります。

「A.3.4.2.8.1 外国にある第三者への提供の制限」
組織は,法令等の定めに基づき,外国にある第三者に個人データを提供する場合には,あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。ただし,A.3.4.2.3 のa)~d) のいずれかに該当する場合及びその他法令等によって除外事項が適用される場合には,本人の同意を得ることを要しない。

上記を見る限りでは例えば、派遣会社が外国にある派遣先の会社に派遣社員名簿等を提供する場合は、あらかじめ派遣社員より、同意書をもらったりしなければいけないようです。

④『第三者提供に係る記録の作成などを追加した。』

こちらは例えば、4点目でお話しました派遣会社が外国にある派遣先の会社に派遣社員名簿を提供した際に、提供したことを記録に残して保管しておくことが必要になったようです。

⑥『第三者提供を受ける際の確認などを追加した。』

こちらも4点目でお話した例をあげると、外国にある派遣先の会社が派遣会社から派遣社員名簿を提供してもらう際、派遣会社は派遣先の会社が派遣社員名簿を提供してもらったことを確認するための記録を作成し、保管しておかなければいけないようです。

⑦『匿名加工情報を追加した。』

こちらは下記項番が今回の新規格で追加されています。

「A.3.4.2.9 匿名加工情報*」
組織は,匿名加工情報の取扱いを行うか否かの方針を定めなければならない。
組織は,匿名加工情報を取り扱う場合には,本人の権利利益に配慮し,かつ,法令等の定めるところによって適切な取扱いを行う手順を確立し,かつ,維持しなければならない。

上記については例えば、通販等に関わる企業で個人情報に氏名、電話番号などにマスキングを施した情報を取り扱っている情報が匿名加工情報に当たると考えられます。

以上、簡単にではございましたが概要に変更点、追加点についてご案内いたしました。

最後に

これを読まれて、「正直、規格改訂するの大変だし、任せたい!!」とか「とりあえずすぐに相談に乗ってほしい!!」というPマークを運用中、あるいはこれから取得を検討中の企業様は一度当社ISO総合研究所にお問い合わせください!

皆様のご連絡を心よりお待ちしております!

Pマーク(プライバシーマーク)における「内部監査」について

_shared_img_thumb_GREEN_I20140125_TP_V

いつもご愛読いただき、ありがとうございます。
ISO総合研究所、コンサルタントの南です。

最近、気温の寒暖差が激しいですね。夜はちょうど良かったのに朝は寒すぎて、布団の中で震える日々が続いております(笑)

そうそう、先日ですね、弊社で毎月実施している新卒のイベント、「天下一大会」の“東京新卒VS大阪新卒のプレゼン対決”に向けての打合せをするために、最近、板橋区引っ越した同期の新卒男子の家に、他の新卒者と一緒にお邪魔させていただきました!!

※天下一大会とは毎月一回、新卒同士で戦う壮絶なバトルの日です!ISO総合研究所の名物と言っても過言ではないです!しかし、イベントの名前はどこかの漫画からクレームが来そうなネーミングですね!(笑)

いやあ~、職業柄でしょうかね、間取りとか、何処に何を置くかよりも、エントランスの鍵の閉め方や、靴箱に鍵がかかっている、災害時の避難経路はあるのか、消化器は置いてあるか、などのセキュリティーが気になってしょうがなかったです。知らず知らずのうちに内部監査をするような視点で新居を見て回っていました。(笑)

ということで今回はPマーク(プライバシーマーク)における内部監査のお話をさせていただこうと思います。(かなり無理矢理ですね...(笑))

内部監査とは??

内部監査とは、組織の内部の者による監査のことをいいます。

組織体が経営する上での目標の効果的な達成に役に立つことを目的として、合法性と合理性の観点から公正かつ独立の立場で、ガバナンス・プロセス、リスク・マネジメントおよびコントロールに関連する経営諸活動の遂行状況を、内部監査人としての規律を遵守する態度をもって評価し、これに基づいて客観的意見を述べ、助言・勧告を行う保証(アシュアランス)業務、および特定の経営諸活動の支援を行うアドバイザリー業務です。

内部監査は、取締役(会計参与設置会社にあっては、取締役及び会計参与)の職務の執行を監査する監査役監査(又は監査委員会による監査)、計算書類及びその附属明細書、臨時計算書類並びに連結計算書類を監査する会計監査人監査と合わせて、三様監査と呼ばれることがあります。

※一般社団法人日本内部監査協会の「内部監査基準」参照

これを簡単に言いますと、ルールをしっかり守れているのかを社内にいる人がチェックしていくということです。

Pマーク(プライバシーマーク)の運用で言うと「PDCAサイクル(ピーディーシーエーサイクル)」の「C」にあたるのが内部監査です!
※PDCAサイクル(ピーディーシーエーサイクル)とはPがプランつまり計画、Dがデューつまり実行、Cがチェックつまり点検、Aがアクションつまり行動になります!!!

Pマーク(プライバシーマーク)の内部監査

Pマーク(プライバシーマーク)の内部監査を行うにあたって、大きく分けて以下3点の監査を行っていかなければなりません。

①Pマーク(プライバシーマーク)の文書に対する監査
チェックするのは、社内で作った文書が規格(JISQ15001(ジスキュー15001))の要求を満たしているかどうかです。

②個人情報保護管理者に対しての監査
個人情報保護管理者が作ったルール通りに運用をできているか

③現場に対しての監査
実際に現場で決めたルールを守っているか、各拠点、各部署の単位でチェックをしていきます!!

よくある例としては、入退室の記録の書き忘れや社内携帯にパスワードをかけていない、スクリーンセーバーをかけ忘れている、また掛けているが、バブルで設定しているなどなどです。

ちなみになぜスクリーンセーバーの設定がバブルだとダメかというと、バブルだとスクリーンセーバーがかかっても透けてしまってパソコンの画面の内容が丸見えなんですよ(笑)
実際、わたしたちのお客様でも現地審査で審査員に指摘として出されてしまったお客様がいます(笑)気になる方はぜひ一度設定してスクリーンセーバーがかかるまで放置してみてください(笑)

ちなみにどうしてもスクリーンセーバーをかけたくない方には、離席時に「Ctr(コントロール)」と「L(エル)」のキーを押していただくと、画面がロック画面になるという裏技が有ります!!ぜひぜひお試しくださいませ!!(笑)

内部監査の頻度

Pマークを取るためには、上記の内容の内部監査を最低でも1年に1度は行わなければいけないです!

また、内部監査をする際の注意点ですが、監査員は自分が所属している部署の内部監査を実施してはいけません!!
理由としては自分の部署を自分で見てしまうと、客観的な目で見れなくて、公平な判断が出来ないからです!!!

分かりやすくいうならば、遊園地に行って、周りにいる子供と自分の子を比べて、「うちの子が一番かわいい」と思ってしまう父親、母親のようなものです(笑)客観性、公平性を失っていますね(笑)かく言うわたしも子供が出来たらそうなっていくのでしょうが…(笑)

ざっくりですが内部監査につきましては以上となります!!!!
拙い文章ですが最後まで読んでいただきありがとうございました!!!!!

「Pマーク(プライバシーマーク)の新規認証の審査の1日」

SAYA072162920_TP_V

いつもご愛読ありがとうございます。

今回はPマーク(プライバシーマーク)の新規取得において、担当者が一番心配されている点についてお話したいと思います。

お客様のほとんどは口を揃えて、「○○が一番心配だった。」「○○の対策をどうするかでずっと悩んでいた。」と言います。

その「○○」とは・・・「現地審査」です。

「現地審査」とは、審査員がPマーク取得申請企業に実際に出向いて、実務をチェックする工程です。
現地審査を初めて受けられる人にとっては、何が起こるのか分からないので大変不安ですよね。

では、実際、どんな風に流れていくのか、1日の流れを紹介したいと思います。
現地審査の前日から、Pマーク管理責任者Aさんの1日のスケジュールを見ていきましょう。

【審査前日】○月×日

09:00
明日は審査だ。審査に使う書類を印刷しよう。

10:30
書類の印刷終了。
やはり書類の数多いな…。さーて、どこにどの書類があるか当日テンパらないように付箋を貼っていこう。

12:00
付箋だらけになってしまった。
書類も多いし、付箋も多いし、テーブルがごちゃごちゃだ。審査でしっかり見る書類とほとんど見られない書類が分かれば、書類も付箋も少なく済むのになぁ。
とりあえず昼食取って休憩しよ。

13:00
さて、次は「同意書」や「委託先の契約書」とかの書類を総務部のキャビネットから集めよう。

14:00
やっと集まった。意外と大変だったな。でもなんか足りなさそうだな…

14:05
とりあえずテーブルの上がやばい(笑)
綺麗にファイリングしよう。

14:30
完成!さーて、次は全書類のチェックだ!

14:40
やばい。さっそく書類が足りない。印刷ミスもある…

16:30
チェック終了。
・・・さて、やるか(不足分の書類回収、書類修正、再印刷など)

17:00
退社時間迫ってる。誰か手伝ってくれ。

18:00
んー終わらない。

19:00
よし、ここまできた。最終チェックだ!

20:00
やっと終わったー。早く帰ろう。明日は審査だ。

【審査当日】○月△日

08:30
出社

09:00
審査で使う会議室に、昨日チェックした書類を持ってこよう。

09:30
審査の参加者に点呼をかけよう。弊社の代表取締役、個人情報保護監査責任者がいればいいんだっけ。

09:50
審査員到着。2人来た。審査員のうち、1人がメイン、もう一人がサブということらしい。

10:00
審査開始。最初に秘密保持契約を結んだ。

10:10
トップインタビュー開始。弊社の代表取締役とメインの審査員が会話。内容は、
①Pマーク取得の目的
②いつ頃からPマーク取得を考え始めたのか
③事業内容の概要
④各事業の売上の比率

10:30
トップインタビュー終了。代表者は退出。

10:35
ここからが私の出番!

10:50
約15分 採用の形態と採用業務のフローについて、メインの審査員に詳しく聞かれた。
「不採用時の履歴書は返却か廃棄するのか」そこまで聞かれるんだな。

11:10
約20分 給与管理や社会保険関係などの経理・総務業務のフローに詳しく聞かれた。
タイムカードなのか固定給なのか、社労士や税理士をどこのフローから使っているのか 質問攻め。経理に詳しい人じゃないと答えられないな。

12:00
約1時間 弊社サービスの業務フローについて詳しく聞かれた。
個人情報をどこから受け取るのか、どういう書類やデータに置き換わりながら業務が流れていくのか、情報をどのプロセスで委託するのか、廃棄はどうしているのか、何年保管するか決まっているのかなど、質問攻め。よくそんなポンポン質問が出てくるなぁ。
喋りすぎて喉が渇く。事務の人を呼んでコーヒー追加。

12:05
お昼休憩。審査員とは別の場所で昼食をとる。

13:00
午後の部開始!作成した書類のチェック!

14:20
午前中にヒアリングしたことと、作成した書類の整合性について順を追って、サブの審査員に確認された。午後は基本的にサブの審査員が担当するのか。
メインの審査員もサブの審査員をフォローするような形で質問をしてきた。
不足分や、修正する箇所を「指摘」として何個も出された。
何か月もの時間を要して頑張って作り上げた書類も、こんなにたくさんの指摘が出るんだなぁ。

14:30
小休憩。昼食後は眠くなるなー。コーヒー飲もう。

14:40
審査再開!

15:30
まだまだ書類の整合性について確認される。書類しか見てないなぁ。お役所っぽい。

16:00
2回目の小休憩。審査ってこんなにも長いのか… コーヒー必須だな。

16:10
書類の確認が終わり、今後は社内を実際に見て回るそうだ。

16:20
オフィスにあるパソコンを数台見られて、「スクリーンセーバーが設定されているか」、「パスワードの桁数は、社内のルール通りなっているか」、「Windows Updateは手動更新ではなく自動更新になっているか」など、確認した。

16:40
サーバールームに移動して、システム関係のことをヒアリングされた。
バックアップの方法や頻度、各パソコンやサーバーに対するアクセスログをどう管理し、点検しているのかなど。
システム責任者が同席していてよかったー。

16:50
社内を一通り見て、再度会議室に戻る。実務のチェックはあまり重視しないのかな?1時間もかからず終わったぞ。

17:20
最後の総括。審査員から「今回の指摘は○○です。」と10~20個言われた。後日、正式指摘文書として、詳しい指摘内容が書かれた書類が届くそうだ。

17:30
審査員が退出。ふー。やっと終わった。それにしても長い1日だった…

実際にかかった時間

【合計】

・書類作成時間:250時間
・前日準備 :10時間
・当日の審査時間:6時間(休憩を除く)
・審査員から受けた質問:???個(数え切れない…)
・指摘数:18個
・飲んだコーヒー:5杯
・精神の疲れ:250%(午前中でもうしんどい…)

まとめ

「急に担当になったけれど、こんなに大変な仕事はやりたくない。」
という方はISO総合研究所までお問い合わせください。
審査自体の時間は短縮できませんが、「審査の前日準備10時間」と「精神の疲れ250%」を限りなく「0」に近づけることは可能です。

ISO総合研究所のコンサルタントがお伺いして、無料でご相談に乗らせて頂きます。
一人で悩んでいないで、まずはお気軽にお問い合わせください。

\ お問い合わせフォームはこちら /

WEBお問い合わせ

Pマーク(プライバシーマーク):サザエさんと三川屋さんに学ぶ開示等に関して

ISUMI151101140I9A6167_TP_V

お世話になっております。ISO総合研究所のコンサルタントの大山です。
いつもご愛読ありがとうございます。

Pマーク(プライバシーマーク)を運用していくために、少し厄介なことを感じるものがあると思います。
何を隠そう、私もJISQ15001:2006(ジスキュー15001:2006)のガイドラインの3.4.4の個人情報に関する本人の権利の開示等を重い腰、いや手を上げてブログを作成していくところです。

ただ闇雲に開示等に関して書き連ねても面白みがないので、例を交えながら書いていきます。

3.4.4 個人情報に関する本人の権利

JISQ15001:2006の開示に関しては3.4.4個人情報に関する本人の権利から幕を開けるのです。

これは個人情報の主つまり本人、サザエさんであれば(名前:フグ田サザエ、年齢:24歳、誕生日:4月3日、出身校:あわび女子学園、住所:東京都世田谷区桜新町あさひが丘)などの個人情報の権利をサザエさんが持っているということです。

3.4.4.1 個人情報に関する権利

3.4.4.1個人情報に関する権利は企業が管理している個人情報に関して、個人から要求されたことに対して応じる権利がある場合に、例外もあるけど速やかに対応しようねということが書かれています。

ただこれでも、よくわかりませんね。
これはつまり、サザエさんの裏の勝手口からよく出入りしている三河屋さん(酒屋の若造さん)との関係で説明すると以下のようになります。

サザエさんの個人情報( 名前:フグ田サザエ、住所:東京都世田谷区桜新町あさひが丘3丁目、電話番号、口座情報など)を三河屋さん(酒屋の若造さん)に預けていることになっています。もちろん三河屋さんはお得意さんの情報を一覧化して管理しています。

そこでサザエさんは思いました。私の個人情報をどこまで、三河屋さんは知っているのかしらと。
そこで、三河屋さんに何を知っているか開示を求めました。サザエさんの身長や体重がもし三河屋さんが握っていたら嫌ですもんね。

開示を求めたところ問題がありました。
いたずら電話が多かったので電話番号が変えていたので、個人情報の内容の訂正を三河屋さんに要求しました。

もちろんここまでの開示、内容の訂正に関して三河屋さんは快く対応しました。

また後日、サザエさんはFAXを購入したのでFAX番号を追加することを求めました。ただ、磯野家はありがちなことで、ものが壊れやすいです。
そうカツオ君のおかげでFAXが壊れたので、FAX番号を削除してと要求しました。

そしてしばらくは個人情報に関して何もなかったのですが、三河屋さんは商いの素質が高かったのでDMを送るようになりました。
するとDMに関してはサザエさんは不快に感じたので、DM発送に関しての個人情報に利用停止を要求しました。これに対して三河屋さんは紳士的に対応しました。

三河屋さんは天性の商いの才能を活かして、カタログ通販業者にサザエさんの個人情報を提供していました。
もちろんこの提供にサザエさんは同意していましたが、カタログ通販に興味がないので、第三者提供をやめように要求しました。もちろんこれに対しても三河屋さんは応じました。

サザエさんは買い物にいくとふと三河屋さんは高いと気付き、定期訪問を解約することにしました。そこで三河屋さんに保有している個人情報の消去を要求しました。

少し長くなりましたが、上記の内容に例外がありますが基本的には三河屋さんはすぐに対応しようということです。

3.4.4.2 開示等の求めに応じる手続き

3.4.4.2開示等の求めに応じる手続きには本人に負担がないように手続きを設定しないといけないと記載されています。
これもサザエさんと三河屋さんとの関係で説明すると以下のようになります。

開示等の申し出先:三河屋さん(青年)と規定されているので三河屋さん(青年)にサザエさんは連絡しないといけません、三河屋さんの他の店員に伝えても意味がありません。

開示に必要な書式やそのほかの開示等の求め方式として「開示等請求書」を三河屋さんは規定しました。サザエさんは開示等を請求するためには「開示等請求書」に必要事項を記載して三河屋さん(青年)に提出する必要があります。

これ以外では三河屋さんに受け付けてもらえません。もしもサザエさんの気が弱くてマスオさんが代理人として開示等を請求してきたときのために、委任状と委任されている人が本人であるかを免許証やパスポートなどで確認すること規定する必要が三河屋さんにはあります。

また三河屋さんは開示等を要求されて時に無料で対応することがお得意さんのためになる思ったため、無料で規定しました。

3.4.4.3 開示対象個人情報に関する事項の周知

3.4.4.3開示対象個人情報に関する事項の周知などには取得している個人情報の内、開示するものは本人にJISQ15001:2006の3.4.4.3のa)~f)項が知れる状態にしないといけないということです。
つまりこれもサザエさんと三河屋さんで説明すると以下のようになります。

三河屋さんはサザエさんの開示する個人情報に関しては、以下のことをサザエさんが知れるようにしないといけません。

事業者名:三河屋、個人情報保護管理者:営業担当、営業部、電話番号、すべての開示対象個人情報の利用目的:商品の配達のため、開示対象個人情報の取扱いに関する苦情の申し出先:三河屋さんの電話番号、認定個人情報保護団体の苦情の申し出先、3.4.4.2開示等の求めに応じる手続きで定めた内容。

上記をチラシに記載してサザエさんのお宅に配達時にお持ちしたり、お店先において置くことで本人ことサザエさんが知る得る状態にしました。

3.4.4.4 開示対象個人情報の利用目的の通知~3.4.4.7 開示対象個人情報の利用又は提供の拒否

3.4.4.4開示対象個人情報の利用目的の通知~3.4.4.7開示対象個人情報の利用又は提供の拒否に関しては比較的簡単であるため、サザエさん、三河屋さんの出番も不必要だと思います。
何より彼らも疲れていると思うので、休ませてあげてください。

おしまい

さーて次回のサザエさんは

・カツオ現地審査の指摘を1ヶ月に解決
・タラちゃん内部監査責任者に任命
・波平、代表者による見直しで「バカもの」を連呼

の3本だったりするかもしれません。

次回もまた見てくださいね。じゃんっけんっぽんっ・・・パー

このブログはISO総研とISO総合研究所の提供でお送りいたしました。

Pマーク(プライバシーマーク:JIS Q 15001) 3.7項「点検」規格解釈

OZPAyatta_TP_V

いつもご愛読いただきありがとうございます。
ISO総合研究所コンサルタントの高木です。

C(チェック)

Pマーク(プライバシーマーク)を運用していく中で日々、点検(確認)していくことが必要なものがあります。

PDCAを回すことがマネジメントシステムの要件ですが、点検はC(チェック)にあたります。
個人情報保護マネジメントシステム(PMS)が各部門、各階層で適切に運用されているか、を点検します。

・いつ点検を実施するか? 毎月第一営業日、等明確にする。
・誰が点検をするのか? 部門毎、階層毎に決めます。部門別の点検は最低限必要となります。
・点検項目 文字通り点検のポイントを定めます。リスク分析で決められた重要なリスク対策を含めることがポイントです。あまり点検項目数が多いと実施が大変になってしまうので、チェック項目をあまり増やしすぎないで重要なものを絞って決めるとよいのではないでしょうか。

では、まず幾つか点検項目をご紹介させて頂きます。

日常点検その①『入退室の記録』

朝一番早く事務所に来られた方もしくは、夜、最後に事務所を出られる方は出社時間や退社時間などを記入したことはございませんか?
それが『入退室の記録』になります。

これを記録する必要性は、仮に問題が起きた際誰が開錠と施錠を実施しているかを、記録を基に過去に遡って確認する為です。

そこから原因を追究していく流れになります。

日常点検その②『来訪者の記録』

こちらは外部の方が来社されたときに記入してもらう記録になります。

こちらも既にご案内した『来訪者の記録』と同じで問題が起きた際、外部から誰が来ていたかを記録に残しておき原因を追究していく形になります。

日常点検その③『アクセスログの記録』

上記2点と同じく最低限必要とされているものにアクセスログの記録というものがあります。

入退室の記録来訪者の記録はどちらかというとアナログ的なものでした。
このアクセスログの記録というものは、個人情報を格納した情報システムへのアクセスログを取得し、その取得したものを定期的に確認するというものです。

①~③のどれも問題が起こってしまった時の為に日常から記録を取得しておくことが求められます。(必ずしも紙でなければならないということではありません。)

その記録を基に原因を追究した上で、問題に対する対策を考えていきましょう。

点検と監査

そして点検と間違えやすいものに監査というものがあります。

点検とは外的なもの、つまり環境変化などに対し社内の取り組みが適切であるかどうかを確認するものです。

監査は取り決めたルールや運用状況をチェックすることです。
Pマーク(プライバシーマーク)でいうと、社内で取り決めた個人情報に関してのルールが規格の要求を満たしているのかを第三者目線でチェックすることです。

点検と監査には実施者、実施頻度、実施の目的に大きな違いがあります。
点検は担当者などの自分たちのチェックをする、つまりセルフチェックであるのに対し、監査は該当する部門外の人が実施します。第三者目線でのチェックがなされるということです。

第三者がチェックするということの意味ですが、学校においてテストの採点は先生がするように、自己採点ではどうしても評価が甘くなってしまうことがあるからです。
監査は普段自分が所属している部門などの監査に対して、チェックが甘くなり公平性が保たれなくなるのを防ぐための措置となっています。

頻度については点検が日次や週次、月次など日常点検が一般的ですが、監査については主に年次単位で実施の計画を立てて行います。
一番の違いである実施の目的ですが、点検は予防を含む問題点の早期に見つけるための実施項目に対して、監査は社内のルールや実施状況、社内の体制を見直すために実施します。

以上、今回ご紹介した項目は全てではありませんが、御社で実施されているか確認してみて下さい!!

Pマーク(プライバシーマーク:JIS Q 15001) 3.4.5項「教育」規格解釈

AKANE072160504_TP_V

いつもご愛読いただきましてありがとうございます。
ISO総合研究所コンサルタントの南と申します。4月に入社したほやほやのコンサルタント見習いです。

湿気が本当に嫌な時期ですね!!
雨の日はいつも洗濯物が外に干せないのでもやもやしています。
じめじめとした日にも負けずに今日も元気にいきましょう!!

はい、それでは今回は教育についてのお話です!!

まずJIS Q 15001:2006(以下JISという。)で求められている教育についてご案内します。

規格要求事項

JISではこんな風に書かれています。

3.4.5 教育

事業者は、従業者に定期的に適切な教育を行わなければならない。
事業者は従業者に、関連する各部門及び階層における次の事項を理解させる手順を確立し、かつ維持しなければならない。

a) 個人情報保護マネジメントシステムに適合することの重要性及び利点
b) 個人情報保護マネジメントシステムに適合するための役割及び責任
c) 個人情報保護マネジメントシステムに違反した際に予想される結果

事業者は、教育の計画及び実施、結果の報告及びそのレビュー、計画の見直し及びこれらに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持しなければならない。

うーん、なんだかよくわからないですねー。(笑)
なので、今回は教育に関して新卒目線であっさりあっさり説明させていただきます。

教育を行う目的とは?

そもそもなぜ教育をやらないといけないのか…??プライバシーマークに携わっている人は誰しも疑問に一度は思うはずです!!!(たぶん(笑))

それでですね、答えを言ってしまうと、従業員に個人情報保護マネジメントシステム(PMS:個人情報を保護する体制を整備し、定められた通り実行し、定期的な確認、継続的に改善するための管理の仕組み)を実施できるだけの力をつけて欲しいからです!!

なお、Pマーク(プライバシーマーク)制度では少なくても一年に一回は教育を実施しなければいけません!!

教育は個人情報を取り扱っている部署の人だけが受ければいいのか?

はい、ダメです!!
なぜならそれがPマーク(プライバシーマーク)のルールで決まっているからです!!

…はい、すいません、ちゃんと説明します。

理由はですね、直接個人情報を取り扱う業務がない部署でも、個人情報に触れる可能性があるからです。例えば、従業者名簿・お客様リストなどなど…。みな様思い当たるものありますよね??

ですので、全ての部署の人が教育を受けましょう!!!

社員だけ教育を受ければいいの?

はい、ダメです!!全ての従業者が受けなければだめです!!
つまりパートさん、アルバイトさん受け入れ派遣社員さんなども教育を受けなければだめです!

また人材派遣業を営む事業者の方々は雇用契約を締結している派遣スタッフの方(実働者)への教育も必要です!

また長期休暇中(例えば育児休暇中)で教育の受講ができない社員の方に関しましては、現地審査(会社に審査員の人が赴いてプライバシーマークを取得のための審査を受けること)の時点で教育を実施している必要はないです!!このような方々は休日明けに教育を実施していただければ大丈夫です

どんな教育方法があるのか?

教育方法としては集合教育、テキスト配布の自習、eラーニング、DVDでの教育などがあります。それぞれどんな教育方法でどんなメリットがあるのか、下記にまとめましたので、ぜひ会社に合った方法を探し、参考にしてみてください!

集合教育
・従業者を集めて講義形式で教育。
・人数が多いときは複数に分けて実施。
・担当者の声をそのまま伝えられるので教育効果大。

テキスト配布の自習
・テキストとテストを配布して空いた時間に各自で実施。
・従業者がなかなか集まれない場合や業務が忙しいときなど。
・システム関係で派遣を行っている企業に多い。
・お手軽なため多くの事業者が導入している方法。

eラーニング形式
・インターネットを利用した学習形態。
・間違えた問題を正解するまで何度も行うなどプログラムによって自由にカスタマイズできる。
・実施状況を一覧管理できるものもあり、管理が簡単。

DVD教育
・市販のDVDを利用して行う教育。
・映像なので印象に残りやすい。
・個々人の好きな時間にできる。

なおですね、教育を行う前には必ず計画をたてて、計画書を作り、教育を行ったあとは報告書をつくりましょう!!
そして、次回はもっと良い教育を行えるように見直して次回への引き継ぎを行いましょう。

そして、今回つくった計画書や報告書はちゃんと保管しておいてください!

最後に

こんな感じで教育に関する、あっさり、あっさり、あっさりした説明を終わらせていただきます!

拙い文章ですが、読んでいただきありがとうございました!!

これからどんどんPマーク(プライバシーマーク)の知識をつけて、コンサルタントになれるよう頑張っていきます!!

皆様もじめじめした湿気に負けず快適にお過ごしください!!

それではまたいつの日に…

Pマーク(プライバシーマーク)の気になること。リスク編。

CL1012_kaidanoriruhutar2i20140830114712_TP_V

おはようこんにちこんばんは!
ISO総合研究所コンサルタントの樋口です!

頻繁に更新されるこのブログは楽しんで理解して いただけておりますでしょうか?

2回くらい前の僕が書いた戦隊モノのストーリー形式ブログでも「リスク」について取り上げたのですが、今回も「リスク」を題材にしてブログを上げたいと思います。

これでは今日も行ってみましょう!

「リスク」言葉の定義

まずは言葉の定義から。
ウィキペディアで「リスク」と調べると下記のように記載されています。

“リスク(英:risk)とは、一般的には、「ある行動に伴って(あるいは行動しないことによって)、危険に遭う可能性や損をする可能性を意味する概念」と理解されている”

“日本語ではハザード (英: hazard) とともに「危険性」などと訳されることもあるが、ハザードは潜在的に危険の原因となりうるものを指し、リスクは実際にそれが起こって現実の危険となる可能性を組み合わせた概念である。ハザードがあるとしてもそれがまず起こりえないような場合ではリスクは低くなるが、起こる確率は低くても起こった場合の結果が甚大であればリスクは高く見積もられる。”

ふむふむなるほど。
つまり「会社にとっての危険」=「事故や損益に繋がる事象」と言えるということですね。

Pマーク(プライバシーマーク)での「リスク」

ではPマーク(プライバシーマーク)での「リスク」とは何でしょうか?

個人情報の事故というと漏洩事故を想像すると思いますが、大きくわけて以下の3つが該当します。

・漏洩(ろうえい)・・・個人情報が外部に流出すること
・滅失(めっしつ)・・・個人情報の内容が失われること
・き損(き損)  ・・・個人情報の内容の意図しない変更

それではそれぞれの事故事例を見てみましょう!

事例(1)漏洩(ろうえい)事件

S区が11月8日に寄付者30人へ記念品の送付時期を尋ねるメールを送信した際、宛先を誤って宛先に設定したため、受信者間でメールアドレスが確認できる状態となった。
受信者からの連絡で問題が判明した。

また誤送信されたメールに対し受信者1人が返信した際、全員に返信する形で送信したため、メール内に記載された氏名や住所、電話番号が全員に送信されたという。

同区では、対象者に謝罪し、誤送信したメールの削除を依頼した。

解説
メールのTO、CCなどの間違えによる漏洩事故は頻繁に起こります。一番報告される事故事例でしょう。みなさんも身に覚えがあると思います。
漏えい事件のほとんどはヒューマンエラーによるものが多いようです。日頃の安全管理に気を付けましょう。

事例(2)保管すべき文書の廃棄

B労働監督署において、アスベスト関連の労災関係書類を誤って廃棄していたことが8月30日に判明したことから、関係文書の保存状況について点検・確認を実施したところ、13ある同局管轄すべての監督署において、同様の問題が発生していたという。

誤廃棄したのは、2000年度から2010年度までのアスベスト文書の一部。健康診断の結果報告書など安全衛生関係書類1500件をはじめ、監督関係書類350件、平均賃金決定関係書類100件、労災関係書類60件などが含まれる。

これら文書は、2005年12月以降、廃棄せずに保存する規定となっていたが、徹底されていなかった。また外部への情報漏洩については否定している。

解説
本来保管し、使用すべき情報が廃棄や消去によって使用できなくなることを滅失といいます。
紙媒体の場合だと風に飛ばされてしまったり廃棄資料に混入してしまったりする事故が多いようです。
情報は大事な資産ですから、大切に保管しましょう。

事例(3)USBの破損

Pマーク(プライバシーマーク)担当者のSさんは年に1回の教育テストを全従業員500人から回収し、エクセルで受講者一覧をつくらなくてはいけません。

事務所でSさんが1時間かけてデータを入力し、上司へ報告するためにそのデータをUSBメモリに入れました。
来訪のお客様がみえたのでUSBメモリを机に置いて5分間席をはずしました。

BさんがやってきてSさんの机の横を通ります。すると服に引っかかってしまいUSBメモリが床へ落下しました。
なにも知らないSさんは席につこうとした時にUSBメモリを踏みつけてしまいました。
接続部分が曲がり、USBメモリをPCに挿せません。データが取り出せなくなってしまいました。

Sさんはデータが使えなくなってしまったことを上司に報告し、もう1時間受講者一覧をつくりました。

まとめ

リスクの3つの種類は理解いただけましたでしょうか。

みなさんはこの「リスク」=「危険」を回避するために行う様々な対策を行っていますよね。
たとえばメールを送る際には宛先のチェックを行っていますよね。これも対策です。

Pマーク(プライバシーマーク)の新規取得や、運用をお困りの皆さん、会社として「リスク」を軽減したい監査役の方々、ISO総合研究所は、リスクの考え方、運用の相談なんでもお待ちしておりますのでお気軽にご相談ください!

Pマーク(プライバシーマーク:JIS Q 15001) 3.3.3項「リスク等の認識、分析及び対策」規格解釈

Green20_yuukyu20141123122037_TP_V

いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの保住です。

本日は、Pマーク(プライバシーマーク)要求事項の「3.3.3 リスク等の認識、分析及び対策」についてお話しさせていただきます。

「3.3.3 リスク等の認識、分析及び対策」について

「3.3.3 リスク等の認識、分析及び対策」とは一般的には「リスク分析」または「リスク対策」と呼ばれています。

要求事項の「3.3.3 リスク等の認識、分析及び対策」には下記のように記載されています。

「事業者は3.3.1によって特定した個人情報について目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。事業者は3.3.1によって特定した個人情報について、その取扱の各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。」

つまり、「個人情報の特定」で特定した個人情報には、取扱いの中でどのようなリスクがあるかを分析して、その分析の結果、どのようなリスクがあるのかを認識して対策を立てることが要求されています。

とは言っても何をすればいいのかわからないですよね?
ここからは「リスク分析」をどのようにやっていくのかをご紹介いたします。

リスク分析の流れ

「リスク分析」の簡単の流れから説明します。

洗い出した個人情報の「ライフサイクル」確認する。

ライフサイクルに沿ってリスクの対策を考える。

講じたリスク対策について「残存リスク」を考える

リスク分析の流れはこんな感じです。

個人情報のライフサイクル

まずは、「個人情報のライフサイクル」についてお話しいたします。

「個人情報のライフサイクル」とは、個人情報が生まれてから廃棄されるまでの過程のことを言います。
その過程をより細かく分類したのが下記なります。

・取得・入力
・移送・送信
・利用・加工
・委託・提供
・保管・バックアップ
・廃棄・消去

「個人情報の特定」で洗い出した個人情報の取扱いの過程の中で、それぞれ上記の6つの中からどのようなリスクが発生するかをピックアップします。

「個人情報はどこから入手するのか?」「誰が取扱うの?」「何のために使うの?」「媒体は紙?データ?」「委託はする?しない?」「保管はどうするんだっけ?」等など・・・。考えられる要素すべてのリスクをピックアップしていきます。

「履歴書」で例えるならば、取得の際には「同意を得ていない」というリスク、移送送信の際には、「返却時に間違った住所に誤送信してしまう。」というリスク、利用・加工なら「採用時以外の目的外の利用」というリスクなどなど・・・。

リスクの対策

各個人情報に対するリスクの洗い出しが完了したら次は「リスクの対策」を考えます。

ピックアップしたリスクに対して、「合理的な」リスク対策をしていきます。

ここで重要なのは「合理的な」ということ。
「合理的な」というのは、現在会社で経済的にも技術的にも実際に対策が可能であって、尚且つ、そのリスクに対して対応しうる最良の手立て、ということです。

いくら完璧に近い対策を講じても、経済的にも技術的にも不可能でしたら意味がありません。また、業務で個人情報を取扱う上で、合理的でない対策をしてしまうことにより、業務の効率が落ちてしまっていては意味がないです。ですので、リスクには、状況を見据えた上での「合理的な」対策を講じるようにしましょう。

さらにリスク対策で気を付けていただきたい点があります。
それは、ヒューマンエラー、物理的な理由で発生するリスクだけでなく、法令やガイドラインに反するリスクや、社会的責任に対するリスクも考えていかなければならない、ということです。

つまり、リスクが発生することで、法律やガイドラインにどのように抵触するのかということも認識しなければなりません。

残存リスクの確認

最後は、「リスクの対策」に対する、「残存リスク」の確認です。

とりあえずのリスクの低減すことが出来ました。

しかし、リスクとはいくら対策しても0にならないものです。
対策を講じても、心配の残るリスクを「残存リスク」と言います。

例えば、社内サーバーがあると仮定します。

「サーバー故障による滅失」というリスクに対し「データバックアップを取る/サーバーに盗難防止策を講じる」という対策講じたとします。
しかし、「大規模災害によってサーバーが故障する」というリスクがまだ残っていることも考えられます。このリスクを残存リスクとして、認識し、念頭に置いておく必要があります。

また、実際にこのようなことが発生した時のことを考慮し、対策や対応手順を用意する等、体制を整えておきましょう。

最後に

リスク分析はどのようなことをしていけば良いのかなんとなくでもイメージが出来ましたでしょうか?

分析したリスクについては、「リスク分析表」や「リスク管理表」等を作成し、一覧管理していくことをおすすめします。

以上、リスク分析についてでした!

Pマーク(プライバシーマーク:JIS Q 15001) 3.3.2項「法令、国が定める指針その他の規範について」規格解釈

SAYA151005488000_TP_V

いつもご愛読いただき、誠にありがとうございます。
ISO総合研究所コンサルタントの藤原です。

今回はPマーク(プライバシーマーク)の規格要求事項である「3.3.2 法令、国が定める指針その他の規範」についてお話しさせていただきます。

Pマーク新規取得、更新の流れ

Pマーク(プライバシーマーク)を新規取得、更新するまでの流れは下記の通りです。

①個人情報の洗い出し
②法令一覧の見直し
③リスク分析の見直し
④委託先の評価
⑤従業員の個人情報保護教育
⑥監査
⑦代表者による見直し

今回は②法令一覧の見直しに関してのお話です。

「法令、国が定める指針その他の規範」について

まず「法令、国が定める指針その他の規範」とはなんでしょうか。

Pマーク(プライバシーマーク)の規格であるJIS Q 15001には、「事業者は,個人情報の取扱いに関する法令,国が定める指針その他の規範を特定し参照できる手順を確立し,かつ,維持しなければならない。」といった記述があります。

「法令」
法律や地方自治体が定める条例など

「国が定める指針」
法律ではないが、国が定めて、事業者が遵守しなければならない通達や指針など

「その他の規範」
国や事業者が所属する業界団体などが定めるガイドラインなど

これらのことが該当します。

個人情報保護方針においても、法令遵守を盛り込む必要があるように、Pマーク(プライバシーマーク)取得事業者は、関連法規制を遵守しなければなりません。
そのためには、まず自社にどのような法規制が関連しているのか、これを明確にしなければなりません。

要求事項で言われているのは法令だけではありません。
「国が定める指針」や「その他の規範」も特定の対象になります。

Pマーク(プライバシーマーク)の制度では、以下のものが最低限特定されていることが必須となります。

「個人情報の保護に関する法律」
http://law.e-gov.go.jp/htmldata/H15/H15HO057.html

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/1212guideline.pdf

「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」
http://www.mhlw.go.jp/topics/2004/07/tp0701-1.html

「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項について」
http://www.mhlw.go.jp/topics/bukyoku/seisaku/kojin/dl/161029kenkou.pdf

事業者が独自に法令を特定

規格では、個人情報を取り扱うに当たって参照し、守らなければならない法令等を事業者が独自に特定することを求めています。
つまり、事業者が自らの業務に関連のある範囲で参照すべき法令等を特定するということです。

例えば、保険事業をしていれば、「保険法」が当てはまりますし、印刷系の事業をしている、かつJIS Q 15001に準じているのであれば、「印刷産業のための個人情報保護の手引き」が必要になります。

また、派遣系の事業をしていれば、「派遣元事業主が講ずべき措置に関する指針」や、「職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が均等待遇、労働条件等の明示、求職者の個人情報の取り扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対処するための指針」など、これらに準ずる法令が適用されます。

事業に応じて必要な法令を特定しましょう。

法律や条令の変更にも対応しましょう

法令等の特定をした後は、「参照できる手順を確立し,かつ,維持しなければならない。」という要求事項があります。

法律や条令は変わりますよね??
条例が変更されたとすると、参照するものも変更しなければなりません。

ですからここでは「特定をして、常に最新版が見られるような手順を決めてください。」 ということが求められているということです。

例えば、「管理者は毎年●●月に必要に応じ見直しを行い、制定・改版状況を確認し、最新版を維持管理する。制定・廃止状況に応じて法令を管理している帳票に反映し、代表者に承認を得る」こちらが手順になります。

最近ではマイナンバー制度が施行されたので「番号法及び特定個人情報ガイドライン」を新しく追記する必要があります。見直しはきちんとできていますか??

なぜこの順番なのか?

「3.3.2 法令、国が定める指針その他の規範」は、なぜ個人情報の特定の後、リスク分析の前に置かれているのでしょう?

それは個人情報の特定の結果によって遵守すべき法令や指針が異なり、また個人情報取扱上のリスクの一つとして法令違反が挙げられる場合があります。
従って、時系列として個人情報の特定の後でリスク分析の前になります。

例えば、お問い合わせフォームで個人情報を聞くような場合を想定します。

規格では 「3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置」に基づけばよく、利用目的が本人に対して通知または公表されていれば、同意を得ることは不要です。

ところが、自社の主務官庁や所属する業界団体が発行するガイドラインなどにおいて、お問い合わせフォームでの個人情報の取得においては、HP上で利用目的を通知 し、HP上で同意を得ることを求めていた場合、それに従うことが必要です。

もし、あらかじめこれらのガイドラインの内容を理解しておくことができなければ同意を得ない、という大きなリスクを抱えることになります。

このように、個人情報に関わるリスク分析を実施する上では、事業者が遵守すべき「法令、国が定める指針その他の規範」を特定し、その内容を理解しておくことが重要になります。

最後までお読みいただき、誠にありがとうございます。