「Pマーク(プライバシーマーク)の新規認証の審査の1日」

SAYA072162920_TP_V

いつもご愛読ありがとうございます。

 

今回はPマークの新規取得において、担当者が一番心配されている点についてお話したいと思います。

お客様のほとんどは口を揃えて、「○○が一番心配だった。」「○○の対策をどうするかでずっと悩んでいた。」と言います。

その「○○」とは・・・「現地審査」です。

 

「現地審査」とは、審査員がPマーク取得申請企業に実際に出向いて、実務をチェックする工程です。現地審査を初めて受けられる人にとっては、何が起こるのか分からないので大変不安ですよね。では、実際、どんな風に流れていくのか、1日の流れを紹介したいと思います。現地審査の前日から、Pマーク担当者Aさんの1日のスケジュールを見ていきましょう。

 

【審査前日】○月×日

09:00 明日は審査だ。審査に使う書類を印刷しよう。

10:30 書類の印刷終了。やはり書類の数多いな…。さーて、どこにどの書類があるか当日テンパらないように付箋を貼っていこう。

12:00 付箋だらけになってしまった。書類も多いし、付箋も多いし、テーブルがごちゃごちゃだ。審査でしっかり見る書類と、ほとんど見られない書類が分かれば、書類も付箋も少なく済むのになぁ。とりあえず昼食取って休憩しよ。

13:00 さて、次は「同意書」や「委託先の契約書」とかの書類を総務部のキャビネットから集めよう。

14:00 やっと集まった。意外と大変だったな。でもなんか足りなさそうだな…

14:05 とりあえずテーブルの上がやばい(笑) 綺麗にファイリングしよう。

14:30 完成!さーて、次は全書類のチェックだ!

14:40 やばい。さっそく書類が足りない。印刷ミスもある…

16:30 チェック終了。・・・さて、やるか(不足分の書類回収、書類修正、再印刷など)

17:00 退社時間迫ってる。誰か手伝ってくれ。

18:00 んー終わらない。

19:00 よし、ここまできた。最終チェックだ!

20:00 やっと終わったー。早く帰ろう。明日は審査だ。

 

 

 

【審査当日】○月△日

08:30 出社

09:00 審査で使う会議室に、昨日チェックした書類を持ってこよう。

09:30 審査の参加者に点呼をかけよう。弊社の代表取締役、個人情報保護監査責任者がいればいいんだっけ。

09:50 審査員到着。2人来た。審査員のうち、1人がメイン、もう一人がサブということらしい。

10:00 審査開始。最初に秘密保持契約を結んだ。

10:10 トップインタビュー開始。弊社の代表取締役とメインの審査員が会話。

内容は、

①Pマーク取得の目的

②いつ頃からPマーク取得を考え始めたのか

③事業内容の概要

④各事業の売上の比率

10:30 トップインタビュー終了。代表者は退出。

10:35 ここからが私の出番!

10:50 約15分 採用の形態と採用業務のフローについて、メインの審査員に詳しく聞かれた。「不採用時の履歴書は返却か廃棄するのか」そこまで聞かれるんだな。

11:10 約20分 給与管理や社会保険関係などの経理・総務業務のフローに詳しく聞かれた。タイムカードなのか固定給なのか、社労士や税理士をどこのフローから使っているのか 質問攻め。経理に詳しい人じゃないと答えられないな。

12:00 約1時間 弊社サービスの業務フローについて詳しく聞かれた。個人情報をどこから受け取るのか、どういう書類やデータに置き換わりながら業務が流れていくのか、情報をどのプロセスで委託するのか、廃棄はどうしているのか、何年保管するか決まっているのかなど、質問攻め。よくそんなポンポン質問が出てくるなぁ。喋りすぎて喉が渇く。事務の人を呼んでコーヒー追加。

12:05 お昼休憩。審査員とは別の場所で昼食をとる。

13:00 午後の部開始!作成した書類のチェック!

14:20 午前中にヒアリングしたことと、作成した書類の整合性について順を追って、サブの審査員に確認された。午後は基本的にサブの審査員が担当するのか。メインの審査員もサブの審査員をフォローするような形で質問をしてきた。不足分や、修正する箇所を「指摘」として何個も出された。何か月もの時間を要して頑張って作り上げた書類も、こんなにたくさんの指摘が出るんだなぁ。

14:30 小休憩。昼食後は眠くなるなー。コーヒー飲もう。

14:40 審査再開!

15:30 まだまだ書類の整合性について確認される。書類しか見てないなぁ。御役所っぽい。

16:00 2回目の小休憩。審査ってこんなにも長いのか… コーヒー必須だな。

16:10 書類の確認が終わり、今後は社内を実際に見て回るそうだ。

16:20 オフィスにあるパソコンを数台見られて、「スクリーンセーバーが設定されているか」、「パスワードの桁数は、社内のルール通りなっているか」、「Windows Updateは手動更新ではなく自動更新になっているか」など、確認した。

16:40 サーバールームに移動して、システム関係のことをヒアリングされた。バックアップの方法や頻度、各パソコンやサーバーに対するアクセスログをどう管理し、点検しているのかなど。システム責任者が同席していてよかったー。

16:50 社内を一通り見て、再度会議室に戻る。実務のチェックはあまり重視しないのかな?1時間もかからず終わったぞ。

17:20 最後の総括。審査員から「今回の指摘は○○です。」と10~20個言われた。後日、正式指摘文書として、詳しい指摘内容が書かれた書類が届くそうだ。

17:30 審査員が退出。ふー。やっと終わった。それにしても長い1日だった…

 

【合計】

・書類作成時間                  :250時間

・前日準備                         :10時間

・当日の審査時間              :6時間(休憩を除く)

・審査員から受けた質問    :???個(数え切れない…)

・指摘数                            :18個

・飲んだコーヒー              :5杯

・精神の疲れ                     :250%(午前中でもうしんどい…)

 

「急に担当になったけれど、こんなに大変な仕事はやりたくない。」

という方はISO総合研究所までお問い合わせください。

審査自体の時間は短縮できませんが、「審査の前日準備10時間」と「精神の疲れ250%」を限りなく「0」に近づけることは可能です。

 

ISO総合研究所のコンサルタントがお伺いして、無料でご相談に乗らせて頂きます。

一人で悩んでいないで、まずはお気軽にお問い合わせください。

 

Pマーク(プライバシーマーク)の現地審査を受けた後に行う指摘改善について

_shared_img_thumb_SEPsts_TP_V

ISO総合研究所 コンサルタントの平墳です。

 

今回はPマーク(プライバシーマーク)の現地審査を受けた後に行う指摘改善についてお伝えしたいと思います

 

指摘改善とは、規程で定められたルールが現場で実際に運用されているのか、個人情報が適切に扱われているのかを見られる現地審査で確認し、現場で特定されていない個人情報が見つかったり、現場が個人情報を取りあつかうのに適切な環境でなかったときなどに、指摘が出されそれに対応するというものです。

 

どのように指摘が届くのかというとまず審査機関から「プライバシーマーク付与申請審査

の指摘事項について」という書類が届きます。

 

 

この書類には、どのような点が不備だったのか等が記載してあります。

これを「指摘事項」と言います。

指摘事項数は現地審査次第ですが、少なくても5箇所弱。多くて20~30箇所、またそれ以上の指摘をもらう場合があります。

 

 

しかし、「指摘事項」が出たからといって、プライバシーマークが取得できないということはありません。

 

 

申請事業者は3ヶ月以内にこの指摘事項に対して、改善報告書を提出し「指摘事項」を改善してなくせばいいのです。

 

提出された改善報告書が適切だと認められれば、審査員から改善を認める旨の連絡が入ります。

 

 

そもそも指摘事項はなぜでるのでしょうか?

Pマーク(プライバシーマーク)の審査のために絶対必要だからでしょうか?

Pマーク(プライバシーマーク)の審査に落とすためでしょうか?

 

 

指摘事項を出すのは、「現地審査員がきちんとその企業の審査をしてきました。」という証拠になるのです。

 

審査員は実際に企業に訪問し、実態を確認した上で、Pマーク(プライバシーマーク)の水準を担保できると判断する必要があります。

 

 

 

指摘が出てそれを改善するまでをPマーク(プライバシーマーク)が付与認定されるまでの流れでご説明させて頂きます。

 

 

  1. 弊社はPマーク(プライバシーマーク)の取り組みをしています。その実態を確認してください!というまずは申請を審査機関へ提出します。これが申請書です。

 

  1. 申請書を受け取った審査機関は、申請に必要な書類や必要事項が明記されているか確認をします。これが形式審査です。

 

  1. 申請に必要な書類が確認でき、申請が受理されるといよいよ現地審査の日程が決まります。

 

  1. その後、事前に審査機関がJISQ15001(ジスキュー15001)要求事項で最低限のルールを作成するように求めています。そのルールがきちんとかかれているかを文書審査で確認を実施します。

 

  1. いよいよ現地審査にて、Pマーク(プライバシーマーク)のために実施してきた活動内容を1日かけて確認をしていきます。

 

  1. 現地審査員が指摘事項を企業に出します。

 

  1. 企業が指摘された内容を修正します。

 

  1. 現地審査員が改善された内容をもとに「審査会」と呼ばれるPマーク(プライバシーマーク)の付与認定を行う場所で報告をします。

 

  1. 審査会でPマーク(プライバシーマーク)付与が確定し、Pマーク(プライバシーマーク)が発行されます。

 

現地審査に来た審査員が指摘事項をあげる目的がどこかわかりましたか?

 

上記の8番がポイントです。

 

 

現地審査に来た審査員は現地審査終了後に

「私がこのように監査を実施して、改善していただき、Pマーク(プライバシーマーク)を付与できるだけの水準を確保しましたのでPマーク(プライバシーマーク)の付与をお願いします。」

と報告をするために必要なのです。

 

しかしその指摘事項には、審査員個人の思いや経験、考えが反映されてしまうことも珍しくありません。実際に指摘改善の作業をお手伝いしていると

 

「要求事項のどこにかいてあるのかと思うくらいおかしな指摘」

というものも多く見受けられます。

 

 

「審査員の言うことはすべて正しいから必ず実施しなければならない」と思っている企業の方も多いですが、納得行かない部分は納得いくまで審査員に聞いていただいて大丈夫です。それでもやはり審査員によって言っていることは違ってきますので、なんでそう思うか等も聞いていただいたほうがよいかと思います。

 

 

 

例を挙げるときりがありませんが、その他にもたくさん、審査員の個人の見解ではないのか?とうものが多くあります。

 

現審査後に指摘事項は必ずでます。指摘が出ないように完璧に記録を作成しよう、運用をしようとするのは労力の無駄です。

 

 

現地審査員はPマーク(プライバシーマーク)の審査に落とすためではなく、あくまで企業のことを考えて、「もっとこうしたほうがよりいいですよ」と提案をしてくださいます。

 

しかし、それが時には行き過ぎた場合もあります。現地審査員の言っていることが絶対ではない場合はあります。指摘事項は必ずでます。出てから対応するのも労力を減らす1つの方法です。さらに、現地審査のときに指摘事項としてあがりそうな項目で、納得ができそうにない場合は、「それは要求事項で必ず実施しないといけないのでしょうか?」「審査員の方のお考えなのでしょうか?」と聞いてしまうのも手です!

 

指摘改善でお困りがございましたら、当社までご連絡ください。「やらなくてもよい方法」をたくさん他社事例でもっています。それが本当に必要かどうか一緒に判断していきましょう。

「Pマーク(プライバシーマーク)」とかけまして、「座禅」と解く、その心は…

kototosoratogojyu_TP_V

お世話になっております。ISO総合研究所のコンサルタントの大山です。

いつもご愛読ありがとうございます。

 

 

いきなりPマーク(プライバシーマーク)に関してのことを書くことも、つまらないので初めて経験したことをこと少しだけ、したためますので、お付き合いください。

 

 

単刀直入に書きますと、私が最近経験した初めての体験とはお寺で1泊2日過ごしたことです。

そこで何をしたかというと座禅です。海外ではクールだと人気です。Appleの元CEOで故スティーブ・ジョブズ氏が深く座禅に傾倒していたことから、特に海外の社長にブームがきているようです。

そんなに海外の人が日本の文化に興味があるなら、どんなものか私も体験しようということでお寺に1泊2日で座禅体験に行きました。1泊2日と言っても17時開始の翌朝の9時までなのですがね。

ここまで来たら、もはやPマーク(プライバシーマーク)とどう関係があるのだろうかと思ってらっしゃる方もいるかもしれませんが、ご安心ください。

ちゃんとあとにはPマーク(プライバシーマーク)つまり個人情報保護マネジメントに関して書きますよ!

 

 

座禅は脚を組んでひたすらに呼吸に意識を向けて、目は1.5m先を眺めて薄目にしておきます。

深く長い呼吸をするようにします。呼吸のイメージは口から蜘蛛の糸を出すように細く長く息を吐き出します。はじめは慣れないので脚の痛みやしびれ、雑念が頭の中をよぎっていました。

それが呼吸に意識を向けられるようになると、お腹あたりが内側から熱くなるのを感じました。そして気温もそこまで高くないにも関わらず、額に汗まで書きはじめました。

このようなことを私の体形がいわゆるポッチャリ系だからではないかと思われるかもしれませんが、ポッチャリ系ではありません。標準体型と言われる分類になると自負しています。

そのようなこと感じで厳かな座禅をして、食事を頂くと白粥で味がお米の味のみであったり、食事中に音を立ててはいけないであったりなど、色々と規律がありました。

そして1日の体験を終えて娑婆に戻ると刺激が強いなと感じました。頭の中をスッキリさせたい時にはいいかもしれません。

 

 

ながながと座禅体験に関して、書きつらねましたが結局、Pマーク(プライバシーマーク)と座禅がどのように関係があるかという本題について書いていきます。

 

 

今回のタイトルは「Pマーク(プライバシーマーク)」とかけまして、「座禅」と解く、その心は、

 

どちらも「市政(姿勢)のチェックが大事」です。

 

 

この謎かけには少し無理がありますね。

市政に関しては都道府県、市町村の個人情報保護条例が関連するのでチェックする必要があるということです。

ということでまずは法令に関してから。

Pマーク(プライバシーマーク)の規格の用語では「3.3.2 法令、国が定める指針その他の規範」と呼ばれるものですね。

話はそれますが前座のネタに座禅を取り上げたのは、座禅が禅宗という宗派で行われているもので、シンプルな生活とキビキビと動くということが求められます。これまたある種の指針によって動いています。

だから繋がっているではないかということです。すごいこじつけですね。

 

 

Pマーク(プライバシーマーク)の規格の用語、「3.3.2 法令、国が定める指針その他の規範」には以下のことが書かれています。

事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない。

と定められています。っていうことは何をしないといけないの?

と言われると素因数分解をしてみて頂くとわかりやすいです。

「個人情報の取扱いに関する法令、国が定める指針その他の規範」、「特定し参照できる手順を確立」、「維持しなければならない」このように因数からできていますね。

そして、わかりやすい日本語に置き換えると次のような形になります。

個人情報を取扱う際に、注意しないといけない法律・条例などやお役所などが出すガイドライン、自分達が所属している業界で要求されているガイドラインを見つけて、いつでも確認できるようにしよう、さらに定期的に見直していつでも確認できるようにしようね。という意味です。

説明が長いというツッコミが入りそうなので、一言では、「最新の法律などを知っておいていつでも見られるようにしてね」です。

 

 

そこで次に問題になるのは、何の法令を入れないといけないのかということです。ただ細かいガイドラインに関してなど業種や業界によって何を特定しないといけないかは、千差万別です。

そこで、これだけは入れておいてくださいという法令等があるので記載しておきます。

これをご活用していただければ、Pマーク(プライバシーマーク)の規格が求める最低限のものは満たすことができます。「個人情報の保護に関する法律」、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」、「雇用分野に関する個人情報保護に関するガイドライン」、「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項」この4つに関しては特定することが最低限求められています。

ただし、最近は上記に加えてマイナンバーに関しての法令等の特定が必要になったことなどの変化があるので、最新の法令に関してはご確認をしたうえで運用が必要です。

 

 

ながながと書きましたが、まだまだ煩悩が多いので続きは次回に回します。お付き合いありがとうございました。

Pマーク(プライバシーマーク)の個人情報の基準ってそもそも何だろう?

 

Green20_yuukyu20141123122037_TP_V

 

 

いつもご愛読いただきありがとうございます。

また、初めての方もありがとうございます。

ISO総合研究所コンサルタントの崎山です。

 

今回は、「Pマーク(プライバシーマーク)の個人情報の基準ってそもそも何だろう?」を

お伝えしたいと思います。

 

Pマーク(プライバシーマーク)を新規で取得することをお考えの企業様が一番初めに考えることの一つとして、「個人情報ってそもそも何が個人情報で何が個人情報じゃないんだろう」という疑問があります。

 

まず法律を見てみましょう!!

個人情報の定義を下記の通り定めています。

《個人情報保護法の定義》

 

『個人に関する情報であって、当該情報に含まれる氏名、

生年月日その他の記述などによって特定の個人を識別できるもの

(他の情報と容易に照合することができ、

それによって特定の個人を識別することができることとなるものを含む。)。』

 

となっています。

 

なるほどなるほど!!!!

ふむふむ。。。。。!!!!

うん!!!

 

よくわからない!!!

 

 

よくわからないので、少し簡潔に話します。

★ここで一番重要な部分は次の2つです。

①個人に関する情報であること

②特定の個人情報を識別できること

 

個人情報の例としては、下記のようなものがあります。

(1)氏名

(2)メールアドレス(所属団体と氏名から本人が特定出来るもの)

(3)個人を識別できる写真、画像(ビデオ)、録音(電話)

(4)従業員の情報(評価)

(5)インターネット、官報、電話帳などで公開されている個人に関する情報

(6)氏名と関連付けされているすべての情報

 

 

上記については具体的にはこちらになります!

 

(1)氏名

・誰もがわかっていると思いますが、個人氏名はそれだけで「個人情報」です。

ただし、姓(名字)だけでは、誰かを特定できないのですが

姓(名字)に会社名、住所などのプロフィール情報が加わると特定出来るので

「個人情報」となりますので注意してください。

 

(2)メールアドレス(所属団体と氏名から本人が特定出来るもの)

・「takahashi.taro@iso-jimusho.com」のように、

所属する団体名と氏名が明記されている場合は「個人情報」となります。

上記の(1)氏名と一緒ですね。

 

(3)個人を識別できる写真、画像(ビデオ)、録音(電話)

・写真、画像(ビデオ)、録音(電話)も「個人情報」となります。

姿、形、指紋、声紋なども個人を特定する重要なデータだからです。

刑事ドラマとかでよく証拠として使われますね!!

 

(4)従業員の情報(評価)

・お客様(顧客)の情報が最初に浮かぶかもしれませんが

自社の従業員情報も含まれます!!

履歴書、職務経歴書、健康診断結果、社員名簿、源泉徴収票、勤務表(タイムカード)

賃金台帳などが「個人情報」になります。

 

(5)インターネット、官報、電話帳などで公開されている個人に関する情報

・ここいう電話帳は、「タウンページ」を想像して頂けるといいと思います。

大量の個人情報が書かれているもの(会社名、連絡先、住所、住民の名前など)

官報は、所属団体の連絡網や、理事長、理事等の氏名、連絡先が記入されています。

(6)氏名と関連付けされているすべての情報

関連付けされているすべての情報、、、

難しいですね!

どういうことかと言いますと

①コンビニでお話しますと、独自のポイントカードシステムを運用していて

お客様がポイントカードを使用した際の売上データに登録した「氏名」が

わかるようになっていたとします。

すると、「氏名」だけが「個人情報」になるのではなく

売上データ自体(購入したものまで)が「個人情報」となります。

 

②予備校などが実施する模擬テストも含まれます。

試験の結果の一覧表に「学校名」「学籍番号」「テストの結果」だけが

記載されている場合、一般の人がこの一覧表を見ても、

誰の情報かはまったく分かりません。

しかし、一覧表に記載された学校の関係者であれば、

校内の学籍簿を見て、学籍番号を参照すれば、

どの生徒の試験結果であるかをすぐに特定できるのです。

 

※上記のように単独の情報では「個人情報」と呼べない情報でも、

他の情報を参照することで個人を特定できる場合も、

「個人情報」となります。

最終的には、「個人情報」にあたるかどうかは、

そのような立ち位置にいるかによって変わってきます。

 

少し余談になるんですが、

「個人情報」にはこんな定義もあります。

「『個人情報』には、死者の情報も含まれるが、

歴史上の人物まで対象とするものではない」

さすがに歴史上の人物は対象外。

織田信長や徳川家康も対象となってしまったら、

歴史的な事実に基づく小説やドラマなどは作れなくなってしまいますものね。

 

長々とお話をさせて頂きましたが、いかがでしたでしょうか??

なんとなくでもわかって頂けましたでしょうか??

わからないと思った方は、1度弊社のお話しを聞いていただきご検討いただければ幸いです。

・これからPマーク(プライバシーマーク)取得を検討している。

・Pマーク(プライバシーマーク)を取得したけど、運用がうまくいかない。

・Pマーク(プライバシーマーク)を取得したけど、今後どうしたらいいのかがわからない。

などなど、自社だけでどうすればいいのかわからないようでしたら

ぜひぜひお待ちしております。

 

 

Pマーク(プライバシーマーク)僕と君のPマーク~個人情報から始まる恋物語~

SAYA071134715_TP_V

 

おはようこんにちこんばんは!!!!!

ISO総合研究所コンサルタントの尾形雅貴です!!

はやいもんでもう4月も終わろうとしてます!

4月と言ったら春!!春と言ったら恋愛!!

そう!「恋愛」!!

私尾形の周辺では数々のカップルたちが誕生しております!!

それを見てひがんでいる者もおります!!(笑)

恋愛って難しいですね(笑)

 

はい!!

っというわけで今回のブログのタイトルは「Pマーク(プライバシーマーク)僕と君のPマーク~個人情報から始まる恋物語」です!!!

正直今回のタイトルには私もかなり戸惑っております(笑)

Pマーク(プライバシーマーク)のコンサルタントになり早10ヶ月、様々なお客様へのご訪問もありましたが、個人情報から始まる恋物語とか聞いたことないですわ!!

 

毎回雑なブログでほんとに申し訳ありません・・・(笑)

今回も精一杯頑張って書いていきます!!

 

 

というかそもそもPマーク(プライバシーマーク)や個人情報から始まる恋愛物語なんて想像もつかないわけでありますよ。

 

しかしながら日本だけではなく海外にまで恋愛物語ってものは存在する全国共通のものですよね。文化の壁を越えてもわかるような恋愛物語を作るってかなり難しいと思うんです。よく、「全米が泣いた純愛ラブストーリー!!」なんてものがありますが、あれってまじですごいことですよ。(笑)

 

今私が悩んでいるのはまさに「恋愛物語」です。どうせ書くならいっそ全米なりなんなり泣かせてやりますよ!でもそれは追々やっていきます。(笑)

 

なので今回のブログはそのさわりだけでも皆様にお伝えすることができればと思います!

 

 

個人情報Pマーク(プライバシーマーク)から始まる恋愛物語ってことは、ある男女が何か個人情報を交えて恋に落ちないといけません。

まず初めに、最近の男女が思わず恋に落ちてしまうような状況を想定します。

最近の男女が恋に落ちてしまうシチュエーションとは何か、グーグル先生に聞いてみたところ、1位は「ひたむきな姿を見たとき」、2位は「価値観、趣味が一致したとき」、3位は「他に人にない魅力に気づいたとき」、4位は「自分に気があると感じたとき」、5位は「大きなギャップを見つけたとき」、こんな感じです。さすがグーグル先生は色んな恋に落ちる瞬間を知っています(笑)

一番使いやすそうな2位の「価値観、趣味が一致したとき」に当てはめていきます!

 

とにかく今から頑張って個人情報に交えて、ある男女の価値観が合ってこいに落ちる環境を整えます!

 

 

主演:一之瀬P太郎

ヒロイン:二階堂P子

その他

 

 

ここはと東京のとある中心地、そこにとある二人の男女がおったとさ。

しかしこの男女、困ったことにひどく自分の個人情報の漏えいについて口うるさい二人なもんで、自分の個人情報が漏れそうになるとすぐに頭に血が上っちまう。

はたしてこの二人はどんな出会いを果たし、どんな甘酸っぱい青春ラブコメディを送るのか、どうぞお楽しみください!

 

一之瀬P太郎「やっべ!!どっかにスマホ落とした!!」

 

なんと一之瀬P太郎くん、つい15分前に購入した新しいのスマートフォンを紛失してしまいました。購入してからスマートフォンを紛失する、あんまりないですがこの話、実は実話です。(笑)

 

一之瀬P太郎「まじかよー。どこに置いてきたっけなー。まだパスワーどもかけてないし誰かに拾われたりして悪用されて誰かに弱みを握られて二度とお天道様に顔向けできないようなことになったらどうしよう・・・。」

 

P太郎君これは危ない。早くしないと携帯の中身を悪用されてしまいます。と、そこに二階堂P子ちゃんがやってきました。

 

二階堂P子「おやおや、これはこれは、誰かと思ったら一之瀬P太郎じゃないか」

 

一之瀬P太郎「む!その声は!P子か!」

 

二階堂P子「き、気安く呼び捨てるんじゃないよ!!いったいどうしたんだい?そんなし

ょぼくれて」

 

一之瀬P太郎「聞いてくれよ、おれさ20分前くらいにスマホを買ったんだ。新しいipone12(アイポン12)だぜ?しかしながら自分の力不足で落としてしまったんだ…。」

 

二階堂P子「はん!情けないね!このあたしが一緒に探してやるよ!」

 

一之瀬P太郎「いいのかい?恩に着るよ!」

 

二階堂P子「落とした場所はどこなんだい?」

 

一之瀬P太郎「そこのソフト○ンクで買って、ここまでの道のりさ。」

 

二階堂P子「なるほど!単純明快!しかしここまでに道のりで逆にどうやって落としたんだい?」

 

一之瀬P太郎「問題はそこさ。ここには落とすようなギミックがない。完全に迷宮入りさ。」

 

二階堂P子「しかし落としたのはいいとして、パスワードとかもかけていないんだろう?あんたの個人情報が駄々漏れじゃないか!その中にはあたしの情報だってはいっているんだよ!?どうしてくれるんだい!誰かに悪用されて弱みを握られて二度とお天道様に顔向けできないようなことになったら…。」

 

一之瀬P太郎「落ち着けP子!お前のためを思って、電話長にだけはパスをかけておいた」

 

二階堂P子「あたしの…ため…?」

 

一之瀬P太郎「そうさ、何があっもP子の個人情報だけはばらしちゃいけないと思ったんだ」

 

二階堂P子「P太郎…そんなにあたしの個人情報を大事に思ってくれてたんだね…さすがはPマーク(プライバシーマーク)のコンサルタントだけはあるね…あたし、あんたに惚れたよ…」

 

一之瀬P太郎「まさか、スマホを落として、恋に落ちちまうなんてな…。(電話長のパスワードをかけるだけで彼女が出来ちまったぜ)」

 

 

こうして、めでたくしてP太郎とP子は深い深い個人情報保護という堅い絆の元、結ばれたのでありましたとさ!

 

 

はい!こんな感じで少しだけ雑な感じでお送りした今回のブログ、個人情報から始まる恋物語はいかがでしたでしょうか?

ブログで物語書くってめっちゃ難しいです(笑)

 

4月が始まったので、皆様も是非恋に没頭してください!!

今ならパスワードをかけるだけで気になるあの子と近づけるかも!?(笑)

 

とういうことで、今回も私ISO総合研究所コンサルタント尾形のブログをお読みいただきましてありがとうございました!!

 

また次回お会いしましょう!!!

 

 

 

Pマーク(プライバシーマーク):まず個人情報保護ってなんですか。

-shared-img-thumb-SAYA160312140I9A3606_TP_V3

いつもご愛読ありがとうございます。

ISO総合研究所 岡本紗矢 です。

 

名前の紹介がフルネームになったのには理由があります。

3月から弊社のコンサルタントにもう1名「岡本」が入りまして、

これからは下の名前もみなさんに覚えてもらおうという試みをしております。

 

私は“紗矢”と書いて“さや”と読みます。(そのままですみません)

 

某犬用ジャーキーとか、

某お菓子メーカーのチョコレートとか、

 

いろんなところで「紗」という漢字がつかわれていますので

「紗」を見たらみなさん私を思い出してくださいね。

 

名前の由来は…

紗:薄くて綺麗な衣

矢:弓矢の矢(そのままですみません)

 

しなやかに美しく逞しく

 

とのことです。父親が考えたそうです。

名前通りに育っているのかは謎ですが。お父さん、私は強くそだっていますよ!

 

私は小さい頃は自分の名前があまり好きではありませんでした。

こんなエピソードがあります。

私が小学4年生の夏に京都へ家族旅行に行った際のことです。

南禅寺の和尚さんに名前を言ってコメントとサインをもらいました。

母の名:「素敵な名前ですね。一家の大黒柱になるような名前です。支えになっているのですね」

姉の名:「美しい風景が浮かびますね、美しく育つことでしょう。」

 

 

私の名:「矢を打てば当たる。(苦笑)」

 

 

家族:(苦笑)

 

 

私:「…。」

(雑すぎでしょぉぉぉぉぉぉぉおおおお!!!!)

 

 

こんな経験から自分の名前を嫌いになったのでした。

小学生の頃はとってもナイーブなので、こんなことでも実はショックだったりするのです。

 

とはいえ、名前は親がつけてくれた大切なものです。

改名しないかぎり一生付き合っていくものですから、蔑ろにしてはいけませんね。

「名前」はいろんなところでも大切なものとして扱われています。

 

例えば、ジブリ映画の「千と千尋の神隠し」では名前は大切なキーワードになっています。

主人公の「千尋(ちひろ)」は湯婆婆(ゆばーば)に名前をとられて「千(セン)」という名前にされてしまいますよね。同じくヒーロー役のハクも本当の名前を取られてゆばーばに操られてしまいます。

この世界では名前の支配=人の支配となるのです。

同じジブリ映画の「ゲド戦記」でも主人公のアレンが本当の名前を話すことによって悪い敵に操られてしまうというシーンがありましたね。

他にも「天空の城ラピュタ」、最近人気の漫画「夏目友人帳」も同じように名前がキーワードになっています。

 

名前がその人そのものを表現するものになっているからでしょうか。

考察してみるのも楽しそうですね。

 

人と話すときは自己紹介をしますよね。

「○○の●●です。」

プライベートだったら名前だけですが、会社員だったら所属と自分の名前です。

自分の名前を言うことで自分は変な人ではないですよというクレジットになります。

名乗らない人を信用なんてできないですよね。

相手が名乗らなければ自分も名乗りません。信用できない人に“自分の情報”を“ただ”で渡すなんて不利ですから当然のことです。(これを社会心理学では情報開示の法則と言います。自分が与えた情報の同価値の情報を相手も開示してくれるというものです。)

 

個人の情報 = 個人情報 = 名前

 

と皆さん考えがちですが、「あなたに関するすべての情報」を「個人情報」と考えてみてください。

名前、住所、電話番号、好きなもの、嫌いなもの… あなたに関する全てが個人の情報です。

 

あなたの個人情報がわかればなんでもできるのです。

 

名前、電話番号がわかればあなたの名前でお店の予約ができます。

「高級ホテルの予約をしていて当日いらっしゃらなかったのでキャンセル料100%いただきます。」

 

あなたの好きなもの(通販サイトの購買履歴)を知っていれば会社に名前を売れます。

知らないうちにたくさんの化粧品店からDMが来るように。

家にも携帯にも営業の電話がかかってくるかもしれません。

 

悪意をもったなりすましなどの攻撃は防ぎ様がないかもしれませんが、今は情報社会、個人情報は立派な価値ある商品に成り得ますので大切にするに越したことはありませんよね。

もちろん、偽名を使えと言っているわけではありません。

情報の大切さをご理解いただきたかったのです。

 

プライバシーマーク(Pマーク)での個人情報は以下のように定義されています。

 

個人に関する情報であって、

当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの

 

特定の個人を識別できるもの、ということですが結構曖昧ですよね。

「岡本」だけは個人情報なのかというとそうではありません。

ただの名字です。

それに「岡本」は全ての名字中で全国順位 47位、約300,000人もいるそうです。(名字由来netより)

さすがに特定の個人を識別することなんてできません。

 

「岡本」「ISO総合研究所」というと私だということがわかりますね。

 

これがPマーク上の個人情報というものです。

皆さんが生活しているなかでこれは個人情報かなと悩むことがあったらそれは個人情報だと思ってください。個人情報じゃないと思って蔑ろに扱った書類はもしかしたらその本人にとって大事な情報で、

悪用する人には価値のある情報かもしれないのです。

 

最後に、あなたの個人情報はあなたのものです。

その人の個人情報はその人のものです。

人の個人情報は 本人から預かっている ものです。

 

あなたの情報もあの人の情報も大切に扱いましょうね。

Pマーク(プライバシーマーク):暗号化対策ってなんですか

-shared-img-thumb-YUKA150701098458_TP_V

 

いつもご愛読いただき、誠にありがとうございます。ISO総合研究所コンサルタントの小林です。今回はPマーク(プライバシーマーク)取得や更新には欠かせないといっても過言ではないテーマでお送りさせて頂きます。

 

 

Pマーク(プライバシーマーク)において暗号化対策と聞いて思い浮かぶことはありますか?Pマーク(プライバシーマーク)における暗号化とはSSL化対策をさすことが多いです。

では今回は、このSSLについてよくでる指摘事項と、対策等をお伝えいたします。

 

 

SSLとは??

Secure Socket Layerの略で、インターネット上で情報を暗号化して送受信できる仕組みのことです。個人情報・クレジットカード情報などの大切なデータを安全にやりとりできます。

例えばクライアントPCとサーバ間のHTTPやFTPなどの通信において、クレジットカード情報の機密性の高いデータを、SSLにより暗号化して安全にやりとりできます。なお、SSLでの暗号化は公開鍵暗号、秘密鍵暗号、デジタル署名、デジタル証明書の技術を組み合わせ実現します。SSL(Secure Sockets Layer)/TLS(Transport Layer Security)を利用してパソコンとサーバ間の通信データを暗号化することで、第三者によるデータの盗聴や改ざんなどを防ぐことができます。

 

 

SSLサーバ証明書が導入されているかどうか、ウェブサイトでパスワードやクレジットカード情報などを入力する前には必ず確認しましょう。確認するポイントは大きく2つです。

1つめは、URLのところに「https」が記載されているか!SSL/TLSが導入されているウェブページでは、ブラウザのアドレスバーに表示されるURL「http://」にセキュア(Secure)を表す「s」が付き、「https://」になります。

2つめは、URLのところに鍵マーク、南京錠のマークがあるかどうか!です。

よくSSLが必要となる部分は企業ホームページのお問い合わせ入力フォームです!

 

 

自社で運用しているホームページの場合、お問い合わせ入力フォームや、会員登録、お申し込みの入力フォーム等、何か情報を入力フォームにて取得する場合、入力フォームがある場合は必ずこのSSL暗号化が必要なります。

 

 

現地審査ではどのくらいの確立でSSL化が指摘となるのか?

99%指摘事項としてでます。

逆にSSLを設定していないと審査にはいつまでたっても合格しない可能性があります。

たまに、審査員によっては、SSL設定までの計画を立て、残存リスクとして管理することで、審査が通ることもありますが、ほとんどこの事例はありません。

 

 

Pマーク(プライバシーマーク)新規取得時は特に見逃しやすいポイントでもありますが、ホームページをリニューアルした際や、新たにホームページを作成した場合には、忘れてしまうポイントでもあります。

 

 

「お問い合わせ入力フォーム等SSLによる通信経路の秘匿化がされていないものがある。」といった内容で指摘事項としてだされることが多いです。

どうせ審査で指摘になるのであれば、事前にチェックして導入しておくほうがよいかと思います。審査で指摘されてから実施しても遅くはありません。企業の安全対策の一つとして導入してみてはいかがでしょうか。

 

 

そんなSSLの設定をしようと検討している企業のご担当者様、、、、、、、、、、、、、、、

その前に、その入力フォーム本当に必要ですか???

 

 

当社でお手伝いさせているお客様では、ホームページにある入力フォームといえば、お問い合わせの入力フォームのみといったお客様も少なくありません。そんなとき、私がご提案及びお聞きする内容が下記になります。

 

 

1.入力フォームから月何件くらいのお問い合わせがありますか?

2.そのお問い合わせから受注に繋がることはどのくらいありますか?

3.お問い合わせ入力フォームは本当に必要ですか?

 

 

です。

実際ホームページ作成時に、他の企業でもよく見かけるし、入力フォームを設定している企業が多いから自社のホームページに入力フォームを設けているということが多いです。

毎月のお問い合わせもそんなにない、来たとしても営業のメールだったり、迷惑メールがほとんどだったり、受注につながることなんて本当にあるかないか、、、、、

そんなお問い合わせフォームのために、ランニングコストのかかるSSLの設定をしますか?Pマーク(プライバシーマーク)を取得、更新するためには、SSLのほかにも、入力フォームで取得する個人情報の同意文を掲載するなど、ホームページの修正が必要となります。

そこにお金をかける必要が本当にありますか?

 

 

入力フォームが不要の場合は、「電話とFAX、メールにてお問い合わせを受け付けます」としてしまえばよいのです。「入力フォーム」があるから、SSLの設定や同意文の掲載が必要になるのです。入力フォームがなければ、そこにかかる費用も抑えることができます。

 

 

Pマーク(プライバシーマーク)を新規で取得しようとお考えの企業様、また、こういったSSLの設定でお困りの企業様がおりましたら、お気軽にご相談ください。内部監査を実施してその課題を表に出して取り組んでいきましょう。担当者レベルで決められない可能性もあります。その場合は、代表者の見直し、マネジメントレビューなどで、代表の方と一緒になって課題解決をしていきましょう。

皆様にとってよりよい方法をご提案できればと思います。そんなお手伝いをさせていただいております。ぜひ一度ご連絡をいただければと思います。

車好きによるP(プライバシーマーク)の疑問

_shared_img_thumb_MAX76_gjmax20140531_TP_V

 

 

いつも弊社ブログをご愛読いただき、誠にありがとうございます。

ISO総合研究所 岡山 隆一(オカヤマ リュウイチ)と申します。

 

本日はPマーク(プライバシーマーク)の要求事項って何?について書かせて頂きますがその前に車の話をひとつ。

前職が車屋さんということも有り友人、知人によく「軽自動車探して―」と連絡が来るのですが

あまりにも、広くてー、良く走ってー、子供ができてもチャイルドシート楽々でー。

えーっとタントとかかな!!!という要望を良くもらいます。

ダイハツのメインともいえるハイトワゴンというジャンルの軽自動車ですね。

語り出すと非常に良くできた車なのできりがないのでざっとご紹介致します。

ダイハツのスーパートール軽ワゴン「タント」は、2013年9月に6年ぶり2度目となるフルモデルチェンジを実施し、現行型となりました。前回のフルモデルチェンジと同様キープコンセプトを貫いた為、外観の印象に大きな違いはないものの、使い勝手を更に高める為の実利的な改良が加えられました。

スタイリングは、基本プロポーションは先代のイメージを色濃く受け継ぐもので、引き続き用意される「タント・カスタム」がスポーティなエクステリアとインテリアにより差別化される点も同様でした。しかし、共にフロント廻りの造形が立体的になった他、空力特性を改善する為ディテールに工夫が凝らされるなどの変更が行われました。

  • 後部座席の燃費の改良が非常にポイントに

ボディサイズは、先代と全く同一の全長3,395mm×全幅1,475mm×全高1,750mmが維持された一方、ホイールベースは35mm短縮され2,455mmとなっています。先代に対するボディの仕様面での変更点は、右側後部ドアもスライドドア化され両側スライドドアとなった事でした。車両重量は、ドア変更に伴う重量増加を様々な軽量化対策で補い、先代とほぼ同じ920kg~1,010kgに抑えられました。

kuruma

ダイハツ タント ’13 (出典:daihatsu.co.jp)

エンジンは、先代から受け継いだDVVT搭載DOHC直3 NAのKF-VE型と、DOHC直3インタークーラーターボのKF-DET型で、最高出力と最大トルクも先代から変更はなく、前者が52ps/6.1kgm、後者が64ps/9.4kgmとなっています。しかし、改良により燃費が向上し、JC08モードで先代の23.5km/L~25km/Lに対し、24.6km/L~28km/Lとなっています。

トランスミッションは先代の後期モデル同様全グレードがCVTで、駆動方式にFFとオンデマンド4WDが用意される点も同様となっています。サスペンションは、初代モデルより踏襲される前マクファーソンストラット式/後トーションビーム式(FF)・3リンク(4WD)式となっています。その他、室内空間の拡大などの改良が行われた他、衝突被害軽減ブレーキ「スマートアシスト」装備グレードを先代同様設定しています。

 

  • 先代より燃費が飛躍的に向上!お財布にも優しい仕様に!

同年12月に、先代以降NAエンジンのみの設定となっていた標準タイプに、ターボエンジン搭載グレードが追加されました。次いで2015年4月に一部改良を行い、スマートアシストの進化版である「スマートアシストⅡ」が新たに採用されました。これは、従来のレーザーセンサーとソナーセンサーに加え単眼カメラを追加した事で、運転支援性能を向上させたものです。

ダイハツ タント Custom ’13 (出典:daihatsu.co.jp)

従来型と比較し作動速度域が広がった他、新たに車線逸脱警報機能や対歩行者衝突警報機能、後退時誤発信防止抑制機能が追加されています。又、全グレードにVSC(横滑り防止装置)とTRC(トラクションコントロール)を装備するなど、安全装備が大幅に充実しています。現行型タントは、先代にも増して販売が好調で、2014年には登録車も含め年間販売台数日本一に輝いています。

要するに日本を代表する広くてバランスが整っていて良く走る優れた軽自動車ということです。

老若男女問わず長い目で載って頂ける車だと私は思います。

これ以上ダイハツの軽自動車のことをよく書くと仲良しのスズキの重役に怒られそうですのでこれぐらいで

個人情報の話に戻そうかなと思います。

ではでは、個人情報保護の規格「JISQ15001:2006個人情報保護-マネジメントシステム要求事項」のお話です。

特徴として、マネジメントシステム、いわゆる体制作りをするということが主に挙げられます。

聞いたことがある方は「PDCA」というとわかりやすいですかね

ちなみにPはPlan(計画)

DはDo(行動)

CはCheck(点検)

AはAct(処置)

です!!!!!!

もっと細かく言うと、個人情報保護体制を構築するために、計画を立て、それを実施し、適切に運用できているのか点検し、良くない点があれば見直して改善していきましょうということです。

「PDCA」を繰り返し安定的に回していくことで、組織の断続的な改善と、発展を追及していきましょう!という様に考えられるわけです。

Pマーク(プライバシーマーク)の規格でのPDCAはというとは以下の通りです。

Plan(計画)→3.2個人情報保護方針~3.3計画
Do(行動)→3.4.1運用手順~3.6苦情及び相談対応
Check(点検)→3.7点検~3.8是正処置及び予防処置
Act(処置):→.9事業者の代表者による見直し

このような「まとまり」があるということが分かれば、なんだか納得したくなるようなならないような気もしてきます。

そして、このようなPマーク(プライバシーマーク)を取得する為、つまりはPDCAを回すためによく言われるのが「セキュリティーを高めるためにインフラ整備しないとですね。」

と言われます。

例えば、「指紋認証」であったり「鉄の扉」的なことです。

答えはNOです!

NOと言いますか別に自由ですが会社にとってやらなければ絶対いけないのであれば私は構いませんが普通に考えて面倒くさい、お金かかるじゃんかとなりますよね。

だからそんなのしなくても大丈夫です。

中盤でも申し上げたように「PDCA」を繰り返し安定的に回していくことPマーク(プライバシーマーク)は非常に重点が置かれていると私は考えております。

つまりは運用ですよね。

そしてそれが面倒くさい。

その面倒くさい運用を代行するのが弊社なわけです!

Pマーク(プライバシーマーク)のことでお困りの方、うちも大変なんだよなと悩まれている担当者様。

必ず弊社がお力になれると思いますよ!!

お気軽にISO総合研究所にご連絡くださいませ。

 

 

Pマーク(プライバシーマーク)新規取得の基本テク:個人情報の見つけ方7つの基本

_shared_img_thumb_max16011630_TP_V(1)

 

いつもご愛読ありがとうございます。ISO総合研究所コンサルタントの下です。

今回はPマーク(プライバシーマーク)新規取得の際の、個人情報の見つけ方についてご紹介いたします。

Pマーク新規取得に向けてまずは自社の取扱いのある個人情報について洗い出す必要があります。

個人情報とは「JISQ15001」では次のように定義しています。

『個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)。』

 

「氏名」が含まれると個人情報として特定する必要がありますので氏名の記載があるとほとんどを特定する必要があります。また、姓(名字)だけでは誰かを特定できませんが、その姓(名字)に「○□△会社に勤務」「東京都○△区○△町△番地在住」などのプロフィール情報が加われば、その人が誰であるかを特定できます。つまり、「個人情報」となります。

 

JIS Q 15001の定義には、「他の情報と容易に参照することができ、それによって特定の個人を識別することができることとなるものを含む」という“ただし書き”があります。

それはどのようなケースを表しているのでしょうか。

 

例えば、予備校などが実施する模擬試験を考えてみましょう。

 

試験の結果の一覧表に「学校名」「学籍番号」「テストの結果」だけが記載されている場合、一般の人がこの一覧表を見ても、誰の情報かはまったく分かりません。しかし、一覧表に記載された学校の関係者であれば、校内の学籍簿を見て、学籍番号を参照すれば、どの生徒の試験結果であるかをすぐに特定できるのです。

 

これが、JIS Q 15001の定義にある「他の情報と容易に参照することができ、それによって特定の個人を識別することができることとなるものを含む」という内容に該当するケースです。

 

このように単独の情報(上の例では、試験結果の一覧表)では「個人情報」と呼べない情報でも、他の情報(同じく、校内の学籍簿)を参照することで個人を特定できる場合も、「個人情報」となります。

 

 

自社の個人情報を洗い出すことで取扱い方法を定め、リスクを認識することが出来ます。

大きく分けて7つの個人情報を見つける切り口があると思います。

 

1つ目は業務の流れから洗い出し。

普段の業務の一連の流れを書き出して個人情報を特定してきます。個人情報がどこから入ってきて、どこへ移送して、どのように利用し、どこへ保管し、どのように廃棄するのか、どこへ出ていくのかを業務フローに起こしながら洗い出していきます。

個人情報を利用・加工して複製物の個人情報が発生するものも特定します。

 

2つ目は受注のタイミング

受注のタイミングで発生する個人情報を特定します。担当者の個人情報などです。

 

3つ目は情報を預かるタイミング

取引先から業務を受注した業務の中で発生する個人情報を特定します。例えば業務を受託して人材を受け入れる際に預かる「派遣先台帳」や、名刺作成で預かる「名刺情報」等です。

 

4つ目は社内的に必要な個人情報

どこの企業でも取扱いのある従業者の個人情報を洗い出します。従業者の「履歴書」や「保険情報」など主に総務部で管理しているようなものが該当します。

 

5つ目は委託する個人情報

配送業者に預ける配送伝票情報やレンタルサーバに保管する個人情報が該当します。

 

6つ目は生産活動の中で利用する個人情報

お客様先で利用する個人情報が該当します。

 

7つ目はプライバシーマークの要求事項で必要なもの

意外と忘れやすいのがPMS(個人情報保護マネジメントシステム)運用で発生する個人情報です。教育テストや入退出記録も個人情報として特定が必要です。

 

上記の切り口で個人情報を見ていくと一通り確認ができるかと思います。

最近の審査でよく特定漏れとして下記の個人情報が指摘されています。

 

「バックアップデータ」

社外サーバやUSBなど媒体ごとに特定する必要があります。

 

「健康診断結果」

健康情報は機微な情報になりますので承認も必要です。

 

「名刺」

「履歴書」

従業者の個人情報もそれぞれ特定が必要です。名刺は交換して頂く取引先のものも特定します。

 

「同意書」

「誓約書」

「教育テスト結果」

PMS(個人情報保護マネジメントシステム)運用の為に必要な個人情報です。

 

「社用携帯」

最近はスマホが普及し電話帳情報だけでなく社内のデータも閲覧できるようなシステムもありますので特定が必要です。

 

個人情報の特定はPMS(個人情報保護マネジメントシステム)運用において一番初めに取り掛かる作業です。個人情報をしっかりと特定しないとその後のリスク分析や委託、内部監査の際にも全て漏れてしまいます。しっかりと自社で取扱いのある個人情報を認識して

PMS(個人情報保護マネジメントシステム)を適切に運用していきましょう。

 

弊社ではPマークの新規取得以外にも現状運用中のお客様のお手伝いもさせて頂いております。

PマークやISOでお困りのことがございましたら弊社までお気軽にお問い合わせください!

 

Pマーク(プライバシーマーク)取得時に必ず必要な、個人情報を取得する際の「同意取得」

_shared_img_thumb_OOK89_anatanono120131223_TP_V

いつもブログをご愛読いただきまして誠にありがとうございます。

ISO総合研究所コンサルタントの遠藤です。

 

最近は気温も上がってきて暖かくなってきました。

我が家では昨年あたりからアウトドアブームが来ておりますので、BBQ等に繰り出せる良い季節になってきました。

といいながらも、ゴールデンウィークは「肉フェス」「オクトーバーフェスト」に参戦の予定となっております。「肉フェス」は読んで字の如くです(笑)。

「オクトーバーフェスト」は、最近は電車の中吊り広告でも見かけるようになりました。ドイツのビールのお祭りです。なんと!本場ドイツのミュンヘンで開催されるオクトーバーフェストは、東京ドーム9個分!!!の広大な会場で、多くのビールが飲み交わされるそうです。昨年は590万人が来場し、770万リットルのビールが消費されたそうです。

オクトーバーフェストといえば、ステージでのバンドパフォーマンスも魅力ですが、私のおすすめは断然「アントン&ザ・ファニーガイズ」です。アントンが来るオクトーバーフェストを狙い撃ちして参戦します。よろしければ、ご参考に。

 

 

 

さて、本題です。

 

今回はPマーク(プライバシーマーク)取得時に必ず必要な、個人情報を取得する際の「同意取得」についてご説明いたします。

 

まず、前提条件として押さえていただきたいのは、「Pマーク(プライバシーマーク)」と「個人情報保護法」は「完全にイコールではない」という点です。

 

同意取得に限った話ではなく、混同されてしまうケースが散見されますが、別のものです。

当然、「Pマーク(プライバシーマーク)」の内容は、法律である「個人情報保護法」を網羅したものになりますし、ほぼほぼ同じ内容と言えます。

ただし、「Pマーク(プライバシーマーク)」特有の要求事項はありますし、「Pマーク(プライバシーマーク)」の認証を得ようとするならば、その要求を満たしている必要があります。

 

では、同意取得について、「Pマーク(プライバシーマーク)」では、どんなことが求められているのでしょうか?

 

まず、個人情報の取得方法について、大きく2つに分ける事ができます。

 

1.直接書面にて取得

2.直接書面以外の方法にて取得

 

このうち、1.の「直接書面にて取得」の場合、本人から同意を得る必要があります。

 

 

Pマークの規格であるJISQ15001(ジスキューイチマンゴセンイチ)には以下の項目を明示し同意を得るよう記載してあります。

 

a)事業者の氏名又は名称

b)個人情報保護管理者(若しくはその代理人)の氏名又は職名、及び連絡先

c)利用目的

d)個人情報を第三者に提供することが予定される場合の事項

-第三者に提供する目的

-提供する個人情報の項目

-提供の手段又は方法

-当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性

-個人情報の取扱いに関する契約がある場合はその旨

e)個人情報の取扱いの委託を行うことが予定される場合には、その旨

f)3.4.4.4~3.4.4.7に該当する場合には、その求めに応じる旨及び問合せ窓口

g)本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果

h)本人が容易に認識出来ない方法によって個人情報を取得する場合には、その旨

 

 

これらの項目を明示した上で、個人情報の取得について、本人から同意を得る必要があります。一般的な方法は、上記の項目を記載した「同意書」を用意し、ご本人に署名・捺印をいただく方法でしょうか。

 

 

具体的な事例を見ていきましょう。

 

■事例1:採用面接時

 

採用面接で取得する個人情報といって思い浮かぶのは、「履歴書」「職務経歴書」でしょうか。

これらも立派な個人情報になりますから、同意取得が必要になります。

 

■事例2:従業員入社時

 

従業員が入社する際にも、様々な個人情報を取得することになります。

この際にも同意取得が必要です。

 

 

ここで注意したいのは、事例1と事例2では、個人情報を取得するタイミングも内容も利用目的も変わるため、それぞれのタイミングでそれぞれの内容に合わせた同意書を用意し、同意取得をする必要がある点です。

 

 

■事例3:ホームページでの個人情報取得時

 

ホームページの「問い合わせ」「採用ページ」等での「入力フォーム」への入力も直接取得に該当しますので、同意取得が必要になります。

この際は、上記a)~h)を個人情報の入力フォームの前(又は後)に掲載し、内容に同意したことが確認できるように、同意の「チェックボックス」を設置する、または、同意ボタンを押さないと次の画面に進まないなどの処置が必要になります。

 

 

ちなみにですが、「個人情報保護法」では、直接書面での取得において、利用目的の通知または公表は義務づけられています。Pマーク(プライバシーマーク)との違いは、明示的な同意が求められている訳ではない点です。また、利用目的などについては、本人に認識される「合理的かつ適切な方法」と規定されているだけで、具体的な明示方法には触れていません。

 

 

いかがでしたでしょうか?

 

プライバシーマークの取得に際しては、細かな要求事項を満たしている必要がありますが、「どこまでやったら良いのか分からない」といったお声をいただくことが多くあります。

分からないまま進めてしまって、規格の要求をはるかに超える厳重な対応を行い、運用に苦労されているケースも多くあります。

 

これから取得をお考えの方も、取得後の運用にお困りの方も、是非一度ISO総合研究所にご相談ください。現場の第一線で活躍中のコンサルタントがお話をうかがわせていただきます。