Pマーク(プライバシーマーク)新規取得:マイナンバーが施行されたけど、関係あるの?

-shared-img-thumb-freee151108188680_TP_V
いつもご愛読ありがとうございます。ISO総合研究所の梅崎です。昨年から今年にかけて、マイナンバーについて対応を追われている企業様も多いかと思われます。マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)の施行日は平成27年10月5日。今現在、収集を始めている企業様、収集を終えた企業様、進捗は様々かと思われますが、今回はその中でも「プライバシーマークを新規取得予定・既に認証取得している」「マイナンバーについてそれほど準備が進んでいない」企業様へ、プライバシーマークの審査において、どのような指摘事例が発生しているかを紹介させていただきます。 

一般財団法人日本情報経済社会推進協会(JIPDEC)より、平成27年5月19日に、「番号法および特定個人情報ガイドラインへの対応について」が公表されておりますが、これはプライバシーマーク審査において、どのようにマイナンバーに関する法令が関わってくるか、また、プライバシーマークの要求事項に基づいて対応を必要とする事項の適用箇所について記載されております。

その資料と関連し、既に文書審査及び現地審査では指摘が出ております。

 

(1)個人情報の特定、リスクなどの認識、分析及び対策(要求事項3.3.1、3.3.3)

事業者が保有する個人情報のうち、特定個人情報(個人番号を含む個人情報)も、その洗い出しと、リスクの認識、分析、対策の対象とすることが求められております。対応として、自社で保有する個人情報で個人番号が記載されるものは何なのかを認識し、その情報を取扱う上でのリスクを認識し、番号法の規定に反することなく、取扱いを管理する必要があります。

上記に関し、個人情報の一覧における個人情報の項目、アクセス権限を有する者について、現在の個人番号取扱いを反映させる必要があります。例に挙げますと、仮に管理する情報として特定個人情報一覧を維持しているとすれば、アクセス権限者は事務取扱担当者、或いは事務取扱責任者と記載するなどがございます。

 

 

(2)法令、国が定める指針その他の規範(要求事項3.3.2)

この要求事項は参照が必須である法令等を認識し、特定するという要求事項ですが、少なくとも個人番号の利用が開始される平成28年1月以降は、その特定し参照する対象に番号法及び特定個人情報ガイドラインを加える必要があるというものです。

こちらに関しては、法規制の一覧に番号法及び特定個人情報ガイドラインを加えることで対応とできますが、追加していなければ指摘となります。

 

 

(3)資源、役割、責任及び権限(要求事項3.3.4)

要求事項3.3.4(資源、役割、責任及び権限)及びJIPDECガイドラインでは、個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めておりますが、その役割、責任及び権限の箇所に、特定個人情報等を取扱う事務に従事する従業者(事務取扱担当者)を明確にする必要がございます。

現在、文書審査において、現地確認事項又は指摘として挙がることが多いのが、3.3.4の資源、役割、責任及び権限です。規程の3.3.4に取扱事務責任者及び担当者を記載する必要がありますが、記載するだけと言っても、どのように記載すればいいかが解らないというお客様の声も頂いております。

 

 

また、上記三項目以外にも、今後は利用目的の適切な明示、公表がされていないという指摘や、委託先の監督において、特定個人情報に関する秘密保持契約を締結していない、という指摘も想定されます。

既にプライバシーマークにおいてマイナンバーの取扱いが確認され始めている一方、本業の傍らで学習を重ね、マイナンバーに関する知識は十分で取扱いは問題ない、という企業様は、それほど多くないと感じております。当然ながら本業のお仕事が優先順位として高い位置にあり、マイナンバーについては法的な要求といえども、その法令に基づき実施しなければならない事項への理解を深めるということを、最優先として取り組むことは本業がある以上、容易ではないかと存じます。

 

しかし、結果としてこのように、マイナンバーはプライバシーマークと関係する部分があり、対応を疎かにしていれば、プライバシーマークの審査においてマイナンバーの取扱いに関する指摘が発生し、是正対応にも苦労される可能性がございます。

 

上記いかがでしょうか?マイナンバー法施行に伴い、通常の業務でお忙しい中マイナンバーの無料セミナーに参加してみたものの、概要や大雑把な回答ばかりで、実際自社でどのように対応したらよいのかが不明なまま、個人番号の通知が始まり、従業員の方からも質問が来ていて困っているという担当者様。プライバシーマークのための作業を減らしたいが、どのようにすればよいのかわからないという企業様、担当者様。

是非一度弊社にお問い合わせ下さいませ。50社の担当を持つ、経験豊富なコンサルタントが御社へお伺いさせて頂き、ご説明させていただきます。

Pマーク(プライバシーマーク)の審査機関って何?

-shared-img-thumb-SEP_355215221321_TP_V
いつもご愛読いただきましてありがとうございます。
ISO総合研究所コンサルタントの崎山と申します。
今回のテーマは【Pマーク(プライバシーマーク)の審査機関って何?】となっております。結論から述べさせて頂きます。Pマーク(プライバシーマーク)の審査機関とは
『添削機関』だと考えております。『添削機関』この答えについてこれから述べさせて頂きます。

正直どうでもいいようなお話ですが、
皆さん知っているようで知らない方が結構いらっしゃいます。

すでにPマーク(プライバシーマーク)を持っている方からすると
「Pマーク(プライバシーマーク)を付与してくれるところでしょ?」って感じかもしれませんね。

正直それだけでも十分かもしれませんが、

Pマーク(プライバシーマーク)の審査機関について
これだけは知って頂きたい!という
情報をお伝えしていければ幸いだと思っております。

では、まず基本的なところからお伝えすると、

1、会員各社からのPマーク(プライバシーマーク)付与適格性審査の申請の受付
2、Pマーク(プライバシーマーク)付与適格性審査の申請の審査
3、付与適格決定の可否の決定
4、Pマーク(プライバシーマーク)付与適格決定を受けた会員の指導、監督
5、個人情報保護の推進のための環境整備

以上の5つとなっております。
ですが、これだとわかりにくいかもしれません。

上記5つを要約すると。
①Pマーク(プライバシーマーク)付与するための審査の受付
②Pマーク(プライバシーマーク)の審査
③Pマーク(プライバシーマーク)付与の合否判定
④Pマーク(プライバシーマーク)付与された企業へのアドバイス
⑤個人情報保護推進活動

とこんな感じです。

あと現在これから新しくPマーク(プライバシーマーク)を申請する予定の方への情報ですが、
通常申請してから現地審査の日程までは1か月半~2ヶ月となっておりますが、
Pマーク(プライバシーマーク)の申請をする企業が増えているのが原因かどうかは分かりませんが、
申請してから審査日までの期間が4か月待ち以上と大変込み合っておりますので、
申請をお考えであれば、早期に申請して頂くことをお勧めいたします。

せっかくですので、
ここで申請の際のポイントをお教えさせていただきますと、
Pマーク(プライバシーマーク)の申請の際に、
実際記録されているものを申請書類と一緒に審査機関へお送りされる企業様をよく見ます。

実は、記録した物は必要なくて厳密に言うと、
可能であれば「個人情報を洗い出し記録した台帳」、
「個人情報に対してのリスク分析をした記録」があれば提出を求められておりますが、
それ以外に関しては、白紙の帳票のみで大丈夫なんです。

記録した物をすべて印刷するのと、
白紙の帳票をサンプルで印刷するのとでは、
印刷の枚数がかなり変わってくる企業は少なくないと思います。
次回からは帳票のみの印刷にされてはどうでしょうか。

すこしお話がずれてしまいましたが、
審査機関の役割についてですが、
初めの方に述べさせ頂きました通り、

①Pマーク(プライバシーマーク)付与するための審査の受付
②Pマーク(プライバシーマーク)の審査
③Pマーク(プライバシーマーク)付与の合否判定
④Pマーク(プライバシーマーク)付与された企業へのアドバイス
⑤個人情報保護推進活動

こういった役割があることが分かりました。
上記については
あくまで【Pマーク(プライバシーマーク)の審査機関って何?】
の説明でしたが、

ではここからが本題となりますが、
私たちにとっての【Pマーク(プライバシーマーク)の審査機関って何?】
についてお話させて頂きます。

弊社では、
毎日コンサルタントが様々な企業へご訪問させていただき、
多種多様な帳票類、記録類を拝見させていただきます。
そこでよくあることとして、
申請日が近づくにつれて、
帳票類、記録類の精度を極端にあげようと奮闘されるお客様がいらっしゃいます。
何時間もの時間をかけて記録の数字を精査したり、
帳票類の誤字脱字について精査するお客様がいらっしゃいますが、
正直そういったことは審査機関にお任せになったらいいと思っております。

というのもせっかく大金をお支払いになって、現地審査をしていただくのだから、
書類の添削機能を自社でするのではなく、審査機関に頼ってしまった方が、
よっぽど効率的だと考えております。

普段のお仕事で使用される書類ならまだしも、Pマーク(プライバシーマーク)の審査の為の書類だとすれば、
なおさらその書類を見る時間を削減し、その分日常業務の書類を見る時間を増やした方が賢明だと思います。

日々日常業務と兼務でPマーク(プライバシーマーク)の運用をされているご担当者様が多いですが、
今、自分の事だなと思われた方、
現在Pマーク(プライバシーマーク)の書類とにらめっこする時間が多いようでしたら、

今後の運用スタイルとして、審査機関をPマーク(プライバシーマーク)の書類の『添削機関』としてご利用していくことを強くお勧め致します。

Pマーク(プライバシーマーク)って何???

-shared-img-thumb-CSS85_mbakubiwokashige20131019_TP_V

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの遠藤です。

 

 

今回は、「そもそもPマーク(プライバシーマーク)って何だ?」

というアナタのために、基礎知識をご案内いたします!

 

 

 

◆プライバシーマークって?

 

 

・「個人情報の取り扱いを適切に行っている会社だよ!」というのを認める制度

・経済産業省の指導管轄のもとで運営

・一般財団法人日本情報経済社会推進協会(JIPDEC)が管轄

・平成10年4月1日から開始

・JIS規格

・詳しくお調べになりたい方はこちらから

http://privacymark.jp/privacy_mark/guidance/index.html

平成17年の「個人情報の保護に関する法律」(個人情報保護法)施行に伴い、認知度、登録事業者数も増加の一途をたどっています。マイナンバー制度の導入で、更にニーズの高まっている規格です。

 

 

 

 

◆プライバシーマークの目的

 

 

1.個人情報への意識を高め、取得事業者が社会的信用を得られるメリットを作っていこうとしている

2.消費者の目に見える「マーク」で示すことで、個人情報が保護されているという消費者の意識も作っていこうとしている

 

 

共通の基準を設けることで、企業、消費者双方の意識を高め、かつ、意識の高さを「見える化」しようというのが目的になっています。

一方で、プライバシーマークの取得事業者側から見た「目的」の大半は、顧客要求に対応することです。具体的にプライバシーマークが取引要件になっているケースの他、個人向けの事業を行っている事業者様が、信頼補完を目的に取得されるケースもあります。

 

 

 

 

◆プライバシーマークを取得するには?

 

 

・規格に合った個人情報の管理体制を作る

※JIS Q(ジスキュー)15001「個人情報保護マネジメントシステム―要求事項」

・審査機関に申請をする

・審査機関による現地審査をうける

・規格に合っていることが確認され、マーク取得!

 

 

審査機関による現地審査の段階で、100点の仕組みが出来ている必要はありません。

不足する部分がある場合には、修正点を教えてくれます。修正し、規格の要求している内容と合っていることが確認された段階で、マーク取得が可能です。「まずやってみる」のが、プライバシーマーク取得への一番の近道であることは間違いありません。

 

 

 

 

◆プライバシーマークを受けられるか受けられないか

 

 

プライバシーマークの取得の前提条件として、受けられる会社と受けられない会社があります。そちらもご紹介いたします。

 

 

<プライバシーマークを受けられる>

・国内に活動拠点を持つ事業者

・法人単位で受けられる

・従業者2名以上

・医療法人等、及び学校法人等など、一部例外はあり

・外国法人でも日本の法律に基づいて視点として登記してあれば受けられるが取り扱いは日本国内のみ

 

 

基本的には受けられる事業者が多くなりますが、法人登記のない個人事業主(社労士など)が審査を受ける場合、審査機関はJIPDEC(ジプデック)の一択となります。

 

 

 

<プライバシーマークを受けられない>

・禁錮以上の刑に処せられ、執行を終わった日(受けることがなくなった日)から25年を経過しない役員がいる場合

・個人情報の保護に関する法律を違反して刑に処せられ、執行を終えた日(執行をうけることがなくなった日)から2年経過していない役員がいる場合

・暴力団員による不当な行為の防止等に関する法律の規定に基づき、指定暴力団又は暴力団連合に指定された絵暴力団の構成員であるものが役員にいる場合

・インターネット異性紹介事業者が提供するサービスで、事業者名や代表者名なんかを、登録者や利用者が利用できない場合

・管轄する都道府県の公安委員会に届け出てしていないインターネット異性紹介事業者

 

 

 

<審査を受けても通らない>

以下の4パターンです。

・更新期限までに、更新の申請をしない

・審査料を支払わない

・現地審査の指摘事項に対応しない

・虚偽の申請

 

 

いずれも、普通に申請し、審査を受け、審査のルールを守っていれば発生しないケースばかりです。

 

 

 

<マークの取り消しについて>

・個人情報の漏洩、紛失などの事故を起こして、欠格レベルが10と判定された場合

 

 

事故=マークの取り消しにはなりません。

審査機関に事故の概要・対策・対策の実施を報告し、欠格レベルを判定されます。

欠格レベルは0~10まであり、10だと取り消し、8や9だと一時停止等の措置になります。欠格レベルが10と判定された事例は、2014年秋に発生した大規模な流出事故がありました。この事例でも、当初は欠格レベル10の判定はされていませんでした。そのくらい、欠格レベル10というのは、稀な事例になります。

 

 

 

最後に、、、

プライバシーマークの取得にお悩みの場合、マークが必要なのであれば、まず行動することが先決です。100点の仕組みを作って運用してから・・・なんて考えていて、何年も前に進んでいない事例は星の数ほどあります。行動し審査を受け、審査で受けた指摘事項に一つ一つ対応していけば、プライバシーマークは取得できます。考えて止まっている間に、取得出来てしまいます。

 

 

最近は、マイナンバー制度の開始に伴い申請事業者数も増加の一途で、申請から審査まで3カ月以上待つなんて事例も発生しています。

「そんなに待てない!」「少しでも早く取得したい!」そんなご要望がございましたら、是非、ISO総合研究所にお声掛けください!すぐにコンサルタントがご説明にうかがいます。

 

 

Pマーク(プライバシーマーク)取得に際してのわかりづらい言葉5選!

お世話になっております。ISO総合研究所のコンサルタントの大山です。
いつもご愛読ありがとうございます。

 

本日は「Pマーク(プライバシーマーク)取得に際してのわかりづらい言葉5」をしたためます。

 

NO1.「特定の機微な情報」

字面を見るだけ以下にも難しい言葉ですよね。


 

意味:①思想、信条、宗教②人種、民族、門地、本籍地、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項③勤労者の団結権、団体交渉、その他団体行動に関する事項

④集団示威行為への参加、請願権の行使、その他の政治的権利の行使に関する事項⑤保健医療性生活。これらの情報が「特定の機微な情報」になります。またセンシティブ情報とも言われることがあります。

 

 

ひと言解説:情報が漏れるなどにより差別を受ける可能性がある情報などのことを指します。

 

用例:P:ポッコロ B:ベーコン

P:「あなたはどこの生まれでしたっけ?」

B:「私は惑星ベジータです。」

P:「あっはい、そうしましたら戦闘民族ですよね?」

B:「それは特定の機微な情報のためお答えできません。」

 

 

NO.2「是正処置」

これも字面を見るだけで難しい印象な言葉です。

 

 

意味:金田一先生が書かれている意味はおそらく「悪い点を改める」で終わると思います。

Pマーク(プライバシーマーク)では少し違い、不適合になった原因を見つける。そして悪い点を根っ子から改める。さらに再発しないようにするという意味になります。

 

ひと言解説:不適合の根本を改善してもう2度と同じことを繰り返さない。

 

 

用例:P:ポッコロ R:ライス

R:「おいライス、今夜は満月だからな。」

   R:「ポッコロ、いい月だな。ゴオーーーー」

   P:「だから、ライス満月を見るなっていっただろ。

大猿になるから。尻尾を切ると、とりあえずの是正でいいな。テイ。」

   P:「ただよく考えれば尻尾はまた生えてくる。いっそ月がなくなれば

再発することはない。俺の気ならここから月を砕くことができる。よしやるぞ。

マカンひかり殺法。ズドーーン。」

   P:「これで是正措置が完了した。ライスお前はもう大猿になり暴れなくて済む。」

   R:「ありがとう。ポッコロさん」

 

 

NO3.「PDCAサイクル」

とりあえずグルグルしているのはイメージがつきますね。


 

意味:Plan(計画)→ Do(実施)→ Check(点検)→ Act(見直し)の 4 段階を繰り返すことによって、業務を継続的に改善する。これがPマーク(プライバシーマーク)になると、持続的に個人情報保護を目的としてPDCAをそれぞれ規格に沿って実行していくことになります。

 

 

 

ひと言解説:4つの段階を永続的に実施し、個人情報を守っていきますよ。

 

 

用例:B:ベーコン T:タンパン

   B:「マゴのやつスーパーヤサイ人なって俺になれない訳がない。PDCAを回すしかない。まずは計画だな。タンパンに重力装置を作らせよう。おいタンパン、重力が100倍になる装置が欲しい。」

   T:「また修行、仕事をしなさいよ。」

   B「うるさい。とにかく俺はスーパーヤサイ人になる。ウッこれは効くな。」

   B「今日で一年も修行をするのに全くスーパーヤサイ人になれないぞ。効果を点検しよう。なるほど、気合が足りないな。」

   T「もっと頭を使いなさいよ。点検の結果はあなたには怒りが足りなかったのよ。これを元にもう一回計画しなさい。それがPDCAを回すってことよ。」

 

NO4.「開示等」

なんとなく法律の用語っぽくてかっこいいな。


 

意味:開示等と、ひとまとまりにされていますがまとめないと以下です。①本人からの利用目的の通知、②開示、③内容の訂正、④追加又は削除、⑤利用の停止、⑥消去及び第三者への提供の停止の6つがあります。本人からの6つのことに対して対応しますということです。

 

 

ひと言解説:ご要望があれば個人情報に関して対応を6つのことなら対応しますよということ。

 

 

用例:T:タンパン M:マゴ

   M:「おいタイパン、おらの預けている個人情報を教えくれよ。」

   T:「仕方がないはね。開示等の対応をうちはしないといけないから、どうぞ。」

   M:「おいタンパン、おらの住所が違うぞ。直してくれ。」

   T:「あら、ごめんなさい。マゴの住所を直しておくね。これも開示等の対応をしないといけないからね。」

NO5.「リスク」

危ないや嫌ものということならわかりますね。


 

意味:リスクはPマーク(プライバシーマーク)でのリスクは単純な危機等という意味ではありません。Pマーク(プライバシーマーク)でのリスクは①個人情報の漏えい、②滅失又はき損、③関連する法令、国が定める指針その他の規範に対する違反、④想定される経済的な不利益及び社会的な信用の失墜、⑤本人への影響などのおそれの5つがリスクになります。

 

 

ひと言解説: Pマークは5つのリスクに関してどうのようにするかを考えるようになっている。

 

 

用例:D:ダイコン A:アオナ

   D:「地球はどの程度の戦闘力がある民族なんだ?」

   A:「戦闘能力解析個人特定眼鏡で見てみよう。ムム、なんだこの異常に

戦闘能力が高いやつは。」

   D:「壊れてるんじゃないか?俺を見てみろ。」

   A:「ん?ダイコンがデータベースで照合できない。何でデータベースが読み込めない。」

   D:「データ壊れていんじゃないか。データベースが、き損しているな。

これでは使い物にはらないな。」

難しい用語も噛み砕けば、何ということもないってこともよくありませすね。さらに身近な

例、好きなもの置き換えると楽しく学べますね。