Pマーク(プライバシーマーク)とホームページ(HP)のレイアウト

PAK153130659_TP_V

毎度毎度

こんにちは!

 

最近、気になる女の子に振られHeart Breakなコンサルタント

ISO総合研究所コンサルタントの立松 夏樹です。

 

今回もプライバシーマーク(Pマーク)のお話しをいたします。

 

タイトルは「Pマーク(プライバシーマーク):Pマーク(プライバシーマーク)とホームページ(HP)のレイアウト」です。

 

タイトルだけ見ると「なんで、プライバシーマーク(Pマーク)とホームページ(HP)が結びつくのか?」とお思いの方も多数いらっしゃるかと思います。今回は、この話を分かりやすくするために有名マンガに例えて見せていければなと思います。

 

CATUION!!

CATUION!!

CATUION!!

・・

・・・

進撃のプライバシーマーク(Pマーク) 調査兵団がコンサルタントだったら・・・

 

指摘型巨人「オオオォオオォォ…ホームページニシテキニコ…ア・ル・ヨォ…」

 

エ〇ン「ハァ?!何言ってるかわかんねぇんだよ!!! くたばれぇぇぇぇ!!!」

 

ミ〇サ「待って!! エレン!! 闇雲に飛び込んでは危険よ!!!」

 

エレ〇「うっせぇぇぇ!!! 俺はとにかくこの指摘を片付けるッッ!!

俺は、この世から指摘を一匹も残らず駆逐してやる!!!うぉぉぉぉ!!」

 

リヴァ〇「馬鹿が・・・何の指摘か分からず考えもなしに飛び込みやがって

駆逐より指摘内容を確認するのが先だろう」

 

指摘型巨人「オトイアワセブントコジンジョウホウホゴホウシンニノッテナイトコロガアルヨ・・」

 

※この場面では、審査完了後にホームページ(HP)関連の指摘が2個降りてきたようです。

早急に片づけたいですね。しかし、この〇レンのように何も分からずに駆逐しようと

するのは良くないですね。まずは、〇ヴァイ兵長のようにどのような指摘内容かを確認するのがいいです。

 

エ〇ン「ッと。確かに考えもなしに飛び込むのは危険すぎるな・・・つっても

どんな指摘かが分かんねえよ」

 

ミ〇サ「無思考は危険よ。エ〇ン。巨人の声に耳を傾けるのよ。ホームページ(HP)のお問合せ文言と個人情報保護方針に関する指摘のようね。」

 

※上のミ〇サのように

指摘内容の把握には、審査後、審査機関から返ってくる指摘文書の確認が必要になります。今回はホームページ(HP)のお問合せ文言と個人情報保護方針に関する指摘のようですね。

 

指摘型巨人「オトイアワセブンノリヨウモクテキガフテキゴウ・・・

コジンジョウホウホゴホウシンノトイアワセマドクチガカイテナイ・・・」

ミ〇サ「問合せ文言の利用目的と個人情報保護方針の問合せ窓口が書いていないことが

今回の指摘内容なのね。」

 

※指摘内容の把握はとても重要で、この指摘改善の内容を見誤り、間違った改善の対応をしてしまうと再指摘をもらう可能性があります。といっても、実際の指摘文書はこんな片言では書いてないですが(笑)

 

エ〇ン「さすがだな!ミ〇サ!そうなったら早速改善だッ!!」

 

リヴァ〇「馬鹿が・・・改善の仕方も分からずにやりやがって。

この指摘の改善方法は、利用目的をお問い合わせに回答のための利用目的に

するのと個人情報保護方針の問合せ窓口を記載する必要があるんだよ

 

※さすがリヴァ〇兵長!その通りです!!

今回の指摘の改善方法は、ホームページ(HP)に記載されているお問合せ文言にお問い合わせの回答するためという内容で利用目的を記載するのが正解です。

お問い合わせをもらったらどうするかを考えていくと利用目的が見えてくるかと思います。

そうです。お問い合わせは回答するためにあり、いただいた個人情報はそのことに回答をするために利用するのです。

ここの部分を会社での個人情報の取り扱いにおける利用目的と勘違いして載せてしまうパターン(例えば、利用目的を通常業務で使用するため・サービスの宣伝で使用するため等)があり、いままでもお手伝いさせていただいている会社さんに見受けられる事象になります。また、個人情報保護方針の開示等に対する問合せ先を掲載するのはガイドライン3.2項個人情報保護方針のc項に該当します。(苦情及び相談への対応に関すること)

問合せをしたいのに、窓口が載ってなければどこに連絡すれば分からないですよね。

だから問合せの窓口を載せるのです。

 

…こうして、指摘の改善対応に費やすこと幾星霜…

エ〇ン「おっしゃぁぁ!!対応が終わったぞ!!これで指摘は完了だぜ!!」

 

リヴァ〇「先走り過ぎだ、馬鹿が だがまぁこれで指摘は完了するだろう・・・」

 

エ〇ン「よかったわね。エ〇ン。」

 

こうして 、無事に指摘は完了されたと判断されプライバシーマーク(Pマーク)の認証に至るのであった。

 

このように、プライバシーマーク(Pマーク)とホームページ(HP)は関係ないように見えて、実は大いに関係があることが分かりましたね。といっても、会社のホームページ(HP)の対応においては、自社で実施しているのであればすぐできるかもしれませんが、外注の場合、完了まである程度、お日にちを頂く可能性がございます。弊社、ISO総合研究所はプライバシーマーク(Pマーク)やISO(アイエスオー)のコンサルだけでなく、関連会社にて会社のホームページ(HP)の運用代行も実施しております。毎度毎度の営業で聞き飽きたかとは思いますが、ご興味がございましたら弊社、ISO総合研究所までお問合わせをお願いいたします。

 

末筆ではございますが拙い内容で恐縮ではございますが、以上とさせていただきます。

Pマーク(プライバシーマーク:JIS Q 15001) 3.7項「点検」規格解釈

OZPAyatta_TP_V

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの高木です。

 

 

Pマーク(プライバシーマーク)を運用していく中で日々、点検(確認)していくことが必要なものがあります。PDCAを回すことがマネジメントシステムの要件ですが、点検はC(チェック)にあたります。個人情報保護マネジメントシステム(PMS)が各部門、各階層で適切に運用されているか、を点検します。

・いつ点検を実施するか? 毎月第一営業日、等明確にする。

・誰が点検をするのか? 部門毎、階層毎に決めます。部門別の点検は最低限必要となります。

・点検項目 文字通り点検のポイントを定めます。リスク分析で決められた重要なリスク対策を含めることがポイントです。あまり点検項目数が多いと実施が大変になってしまうので、チェック項目をあまり増やしすぎないで重要なものを絞って決めるとよいのではないでしょうか。

 
では、まず幾つか点検項目をご紹介させて頂きます。

■日常点検その①『入退室の記録』

朝一番早く事務所に来られた方もしくは、夜、最後に事務所を出られる方は
出社時間や退社時間などを記入したことはございませんか?
それが『入退室の記録』になります。

これを記録する必要性は、仮に問題が起きた際誰が開錠と施錠を実施しているかを、
記録を基に過去に遡って確認する為です。

そこから原因を追究していく流れになります。

■日常点検その②『来訪者の記録』

こちらは外部の方が来社されたときに記入してもらう記録になります。

こちらも既にご案内した『来訪者の記録』と同じで問題が起きた際、外部から誰が来ていたかを記録に残しておき原因を追究していく形になります。

■日常点検その③『アクセスログの記録』

 

上記2点と同じく最低限必要とされているものにアクセスログの記録というものがあります。入退室の記録来訪者の記録はどちらかというとアナログ的なものでした。

このアクセスログの記録というものは、個人情報を格納した情報システムへのアクセスログを取得し、その取得したものを定期的に確認するというものです。

 

 
①~③のどれも問題が起こってしまった時の為に日常から記録を取得しておくことが求められます。(必ずしも紙でなければならないということではありません。)

その記録を基に原因を追究した上で、問題に対する対策を考えていきましょう。
 

 
そして点検と間違えやすいものに監査というものがあります。

点検とは外的なもの、つまり環境変化などに対し社内の取り組みが適切であるかどうかを確認するものです。

監査は取り決めたルールや運用状況をチェックすることです。Pマーク(プライバシーマーク)でいうと、社内で取り決めた個人情報に関してのルールが規格の要求を満たしているのかを第三者目線でチェックすることです。

 

点検と監査には実施者、実施頻度、実施の目的に大きな違いがあります。
点検は担当者などの自分たちのチェックをする、つまりセルフチェックであるのに対し、監査は該当する部門外の人が実施します。第三者目線でのチェックがなされるということです。

第三者がチェックするということの意味ですが、学校においてテストの採点は先生がするように、自己採点ではどうしても評価が甘くなってしまうことがあるからです。

監査は普段自分が所属している部門などの監査に対して、チェックが甘くなり公平性が保たれなくなるのを防ぐための措置となっています。
頻度については点検が日次や週次、月次など日常点検が一般的ですが、監査については主に年次単位で実施の計画を立てて行います。
一番の違いである実施の目的ですが、点検は予防を含む問題点の早期に見つけるための実施項目に対して、監査は社内のルールや実施状況、社内の体制を見直すために実施します。

 
以上、今回ご紹介した項目は全てではありませんが、
御社で実施されているか確認してみて下さい!!

Pマーク(プライバシーマーク)の申請書を書こう (後編)

MIYAKO92_beachdemba20140727_TP_V

 

 

 

いつもご愛読いただき、誠にありがとうございます。ISO総合研究所コンサルタントの一山です。前回はPマーク(プライバシーマーク)の新規認証・取得時や更新時に必ず必要となる「申請書」についてのお話をさせて頂きました。

前回分では内容のすべてを書ききることができなかったので、前回の内容の続きを確認していきたいと思います。

 

 

少しですが前回のおさらいをしていきます。

「申請書」を書く意味は、Pマーク(プライバシーマーク)を新規取得・更新するためです。Pマーク(プライバシーマーク)新規取得・更新をする際には必ず必要なものとなります。その申請書の内容はどのようなものを記載すれば良いのでしょうか。

その一覧を、再確認していきましょう。

 

 

 

 

0 プライバシーマーク付与適格性審査申請チェック表

1 プライバシーマーク付与適格性審査申請書

2 会社概要

3 個人情報を取扱う業務の概要

4 すべての事業所の所在地及び業務内容

5 個人情報保護体制

6 個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧

7 JIS Q 15001要求事項との対応表

8 教育実施サマリー

9 監査実施サマリー

10 事業者の代表者による見直し実施サマリー

11 2006年版JISによる前回認定時から変更のあった事業の報告

 

 

Pマーク(プライバシーマーク)の申請書のページごとの表題はこのようなものがつけられております。

タイトルで内容が分かるようなものもありますが、実際に記入する内容はどのようなものなのか、前回は0から4の内容の詳細や注意点を確認していきましたので、今回は5から11までの内容を確認していきましょう。

 

 

 

『5 個人情報保護体制』

Pマーク(プライバシーマーク)を運用するにあたって、Pマーク(プライバシーマーク)に関係する業務を誰が担当するのかを記載するページとなっております。

担当者を決めなければいけないものは、個人情報保護管理者(基本的に、申請した後に審査機関とやり取りを行う窓口になります)、個人情報保護監査責任者(基本的に監査を統括するリーダーとなり、監査員の指名などを行います)、個人情報保護マネジメントシステム(PMS)に係わる社内実施(推進)体制の欄には教育を行う方などを記載、個人情報保護マネジメントシステム(PMS)に係わる消費者相談窓口(苦情・相談等の窓口の責任者)、個人情報保護マネジメントシステム(PMS)に係わる養育を行う担当者の役職や開催回数、個人情報保護マネジメントシステム(PMS)に係わる監査の実施体制や行う回数などを記載します。

記載する内容が少し多いのですが、その点は弊社にお任せ頂ければすべて作成いたしますので、よろしくお願いいたします。笑

 

 

 

 

『6 個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧』

Pマーク(プライバシーマーク)を運用するにあたって使用する規定や様式の一覧をこのページに記載します。

規程や様式の名前及び制定日、最新の改正日を記載することとなります。使用している様式が多ければ多いほど内容も多くなってしまいます。必要な規程や様式を残し、できる限り書類を少なくした状態にしてから記載することをオススメします。

 

 

 

 

『7 JIS Q 15001要求事項との対応表』

JIS Q 15001(ジスキュー15001)というPマーク(プライバシーマーク)の要求事項となるものに沿って記載していく部分となっております。まずはそのJIS Q 15001(ジスキュー15001)の要求事項を記載していき、それに対応するPMS(個人情報保護マネジメントシステム)の規程と名称と項番を上位規程から記載し、その要求事項に対応する様式を記載する部分となっています。

6の個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧に載っていない様式が混ざる、誤字脱字でそうなってしまうこともあるので、様式名は特に確認しなければならない部分となっています。

 

 

 

『8 教育実施サマリー』

実施した教育の記録を記載するページです。

いつ、どのような方法で教育を実施し、何人が教育を受けたのかを記載するページとなっております。

更新の場合は2年分の教育の記録が必要となります。

 

 

『9 監査実施サマリー』

内部監査を行わなければならないのですが、それによって指摘された内容を記載し、それに対応する是正処置はどのようなものを行ったかを記載するページとなっております。

こちらも、更新の場合は2年分の監査の記録が必要となります。

 

 

『10 事業者の代表者による見直し実施サマリー』

代表者に報告を行い、それに対してどのような指示を受けたか記載するページです。

指示に基づいての処置の実施状況を記載する欄もあります。

こちら更新では2年分の記録が必要となります。

 

 

『11  2006年版JISによる前回認定時から変更のあった事業の報告』

こちらは新規の申請の場合はありませんが、更新の場合は記入欄があります。

変更がなければ変更なしにチェックをし、変更がある場合はその旨を記載します。

新規事業を開始している場合、個人情報の取り扱いに大きな変化があった場合、取りやめた事業がある場合、合併などがある場合はここに内容を記載しなければなりません。

 

 

 

前回に引き続き今回もPマーク(プライバシーマーク)の申請書に関する項目の詳細を確認しました。

最後までお読みいただき、誠にありがとうございます。

Pマーク(プライバシーマーク)における必要な役割と権限と責任

JY742_shinbashi_TP_V

 

 

いつも弊社ブログをご愛読いただき、誠にありがとうございます。

ISO総合研究所コンサルタントの本間仁志(ほんまひとし)と申します。

今回は、「Pマーク(プライバシーマーク)における必要な役割と権限と責任」についてお話させていただきます。

まず最近の審査員からの指摘事項で多くなっているマイナンバーに関しての役割設定があります。「行政手続における特定の個人を識別するための番号の利用等に関する法律」(番号法)が成立し(平成25年5月31日公布)、社会保障・税番号制度が導入され、平成27年10月から国民一人ひとりに個人番号が通知されたことは皆様記憶に新しく取扱いに悩まれているのではないでしょうか?今年の源泉徴収票には必要になり今必死に従業員のマイナンバーを集めているなんてお話も聞きます。要求事項3.3.4では個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めています。

そしてマイナンバーに関してのガイドライン(特定個人情報ガイドライン)では特定個人情報等を取り扱う事務に従事する従業者(以下、「事務取扱担当者」という。)の明確化を求めています。よって、プライバシーマーク(Pマーク)付与を受けようとする事業者は、事務取扱担当者の役割、責任及び権限を明確に定め、文書化する必要があると定めています。

簡単にいうと「個人情報保護マニュアルと体制図に特定個人情報の取扱い責任者と事務取扱責任者を代表者が任命し役割を明確すること」ということになります。こちらは後程出てきますが個人情報保護管理者と兼務で行うことが出来ますが実際取扱う総務の方などを任命することが望ましいと考えられます。また特定の人しか扱えないよう取扱う範囲や権限を設け不備のないように運用していくことが大切になります。

次はプライバシーマーク(Pマーク)を取得するに当たって、必ず任命しなくてはならない役割、「個人情報保護管理者」のお話です
JIS Q 15001:2006の規格では以下の通り定義されています。
「代表者によって事業者の内部の者から指名された者であって,個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者」
1. 事業者の代表者から指名されること。
2. またその組織の内部の者であることが必須。(外部のコンサルタントとか専門家等は不可)。
3. 個人情報保護マネジメントシステムにおいて適法かつ適正に「実施および運用」することが求められている。
さらには、以下のような責任権限を持つことが求まれている。
「個人情報保護管理者」は,個人情報の取扱いに関する安全管理面だけではなく,組織全体のマネジメントを含む全体の管理者である。
「個人情報保護管理者」は,個人情報保護マネジメントシステム(PMS)を理解し,実施・運用できる能力をもった者でなければならない。
「個人情報保護管理者」は,当該事業者に係る個人情報の管理の責任者である性格上,いたずらに指名する者を増やし,責任が不明確になることは避けなければならない。したがって,事業部が複数あり個人情報保護管理者を複数名指名する場合には,当該者間での役割分担を明確にすることが求められる。
「個人情報保護管理者」は,社外に責任をもつことができる者(例えば,役員クラス)を指名することが望ましい。
「個人情報保護管理者」は,代表者による個人情報保護マネジメントシステム(PMS)の見直しに資するため,定期的に,又は適宜に,代表者にその実施状況を報告しなければならない。
また「監査」と「見直し」がその役割に含まれてはならないとされている。

大まかな役割としては
①会社の個人情報の保護と利用に関する統括・管理
②個人情報の安全管理に関する規定
③個人情報保護管理者からの報告徴収と助言・指導
④個人情報の安全管理に関する教育・研修の企画
⑤その他会社全体における個人情報の安全管理に関すること

が考えられます。
つまり個人情報保護管理者は、個人情報保護マネジメントシステム(PMS)をJIS Q 15001の規格に従って確立し、実行し、維持すること。またそれらを確実にすることでプライバシーマーク(Pマーク)を取得するための体制を推進する必要が有ります。
ただ、現状として中小企業の中には作業ベースの事務担当がなっているケースも多々見られます。
実務の負担を考えると管理職を当ててしまうことはリスクもあるのでしょう。

個人情報保護マネジメントシステム(PMS)を運営していく上で、
各役割に対する責任や権限を予め規程化しておく必要があります。
JIS Q 15001の要求事項においても、これらは文書化し従業者に周知させることを求めています。

最低限としては、個人情報保護管理者と個人情報保護監査責任者となりますが、
ここでは後者の個人情報保護監査責任者の役割についてご紹介します。

まずはじめは監査責任者にはどんな人が適任か資格としては以下のように定められています。
①社内の人間であること
※実施は社外のコンサルタントでも構いませんが、あくまで責任者は社内の人間の方であることが必須です。
②役員クラス、もしくは個人情報保護管理者と同格以上であること
③個人情報保護管理者ではないこと
※兼務ができません
④商法上の監査役ではないこと

上記①~④を踏まえて、プライバシーマーク(Pマーク)における監査責任者にふさわしい方を社内から選任してください。
役割としては毎年、全部署監査を実施し指摘事項を改善していくことが大きな任務となります。

プライバシーマーク(Pマーク)を運用していく中で、とても大切な部分です。
継続的改善こそが、個人情報保護体制をスパイラルアップさせていくカギを握っています。

この他にも、こんな時はどうしたらいいの?こんな場合は?ございましたら、ISO総合研究所までお気軽にご相談いただければ幸いです。

Pマーク(プライバシーマーク)における守るべき個人情報はなに??

 

AKANE072160504_TP_V

 

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの岡本です。

 

最近は「いかに有給をとって楽しいところに旅行にいくか」とばかり考えています。

弊社ではなんと有給消化率100%。

さらに年間のスケジュールで自由に申請ができちゃうという素敵な制度があります。

(いつもありがとうございます!)

楽しいところ、おすすめなところがあれば是非教えて下さいね。

 

さて、本日は「Pマーク(プライバシーマーク)における守るべき個人情報はなに??」をテーマにお話させていただきます。

 

まず身の回りに、個人情報を含む物はどんなものがあるでしょうか。

よく言われるのが運転免許証、健康保険証、マイナンバーの通知カードですね。

 

運転免許証や健康保険証。

無くさないように財布の中にいれていますよね。

パスポート。

盗まれないように大切な引き出しに閉まっていませんか。

 

公的な身分の証明書になるものですから、大切に管理しています。

当たり前のことですね。

でも大切にしなくてはいけない個人情報は身分証だけではないのです。

 

 

すこし真面目な話をしましょう。

個人情報とはJIS Q 15001(Pマークの要求事項)では以下のように定義されています。

「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの。

(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)。」

 

つまりは

「本人を特定できるものは全て個人情報とする」と考えていただいて結構です。

 

あなたに つ な が る も の は全て大 切 な 個 人 情 報 です。

 

 

ここでちょっと怖い話をしましょう。

——————————————————————————————————————-

Aさんは会社勤めのOLです。

仕事帰りにスーパーで自分へのご褒美にエクレアを買うのが日課でした。

レジのバイトのお兄さんにはいつもエクレアを買っている女性だと覚えられてしまっているくらいでした。

 

ある日、Aさんは最寄り駅でお財布を落としてしまいました。

財布の中にはレシート、ポイントカード、いくらかのお金が入っているだけでした。

Aさんは大切なものが入っているわけではないので

あまり気にはしませんでしたが、遺失届けを提出しに交番へ行きました。

ちょうどその時、Bくんが財布を拾っていました。

 

数日後、Aさんのもとに警察から電話が来て、

財布が「見つかりましたよ」という連絡が入りました。

Aさんは少し安心しました。

 

Aさんが警察に受け取りにいくと、女性の警察の方がこう言いました。

「男性の方が○月○日○○駅で見つけたそうです。その時その場所を通った覚えはありますか。謝礼は結構ですとのことです。優しい方に拾ってもらえてよかったですね。」

 

「はい。ありがとうございます。」

Aさんはそう言って受け取りのサインをして財布を回収しました。

財布を見るとお金はとられている様子もなく、落としたときのままでした。

Aさんは再び安心しました。

 

 

数日後Aさんがいつものように会社帰りにスーパーで買い物をしてお家に帰ると

玄関のドアノブにビニール袋がかかっていることに気がつきました。

不審に思ったAさんですが、Aさんは一人暮らしです。

迷いながらも、とにかくその袋の中を覗いてみることにしました。

するとそのビニール袋の中にはAさんが毎日会社帰りにスーパーで買っているエクレアがどっさりと入っていたのです。

 

Aさんは驚いてすぐに部屋に入り入り口に鍵をしました。

するとすぐに携帯電話が鳴りました。

画面を見ると非通知設定でかけてきた番号でした。

すると画面は留守番電話の画面になり、数秒間録音をして電話は切れました。

怖かったAさんですが、友達からだったらと思い勇気をだして留守番電話内容を

聞いてみることにしました。

 

 

…留守番メモ、1件です。

 

ピーーーーーーーーーーーー。

 

 

「Aちゃん。おかえり。いつも遅くまでお仕事おつかれさま。

エクレアが好きなんだね。

そんなに毎日食べると太っちゃうよ。

でも特別に今日はたくさん買ってあげたんだよ。

なんで!?なんでうけとってくれないの!?

あああああああああああああああああああああああああああああああああああああ」

 

 

Aさんは怖くなってすぐに携帯を切り、友人を数人呼びました。

数日後、Aさんは携帯電話を変えて違う場所へと引っ越しました。

——————————————————————————————————————-

 

 

ベタなお話でしたね。

…ちょっと自分で書いていてゾワゾワしました。

これは被害者が女性、加害者が男性でストーリーを書きましたが、もちろん逆バージョンもありえます。気分を害された方がいらっしゃったら、すみません。

 

なぜAさんはBくんに名前、電話番号、帰宅時間、好きな食べもの、住所、を知られてしまったのでしょうか。

もちろん。財布をBくんが拾ったからですね。

 

名前、電話番号     ・・・ポイントカード(電話番号と名前を手書きで入力)

帰宅時間、好きな食べもの・・・レシート

毎回同じような時間帯に駅前のスーパーで同じ

エクレアを購入していた。

住所          ・・・毎日同じ時間帯にエクレアを購入するAさんと思わしき女性を尾行していた。

 

もしかしたらBくんはスーパーのレジを打っている店員さんだったのかもしれません。

 

 

守るべき個人情報は身分証だけではありません。

複数の情報が重なってあなたが特定されるのなら、

それはあなたが大切にすべき個人の情報です。

あなたの個人情報を守ることはあなたの生活を守ることにも繋がります。

どんなものでも情報としての価値は一緒、とお考えください。

あなたの個人情報もあの人の個人情報も、です。

 

大切に扱いましょう。

 

怖いのはわかったけれど、実際の個人情報の取扱はどうしたら良いのかわからない。

そんなときは是非、Pマーク(プライバシーマーク)新規認証・取得・運用代行のプロ、ISO総合研究所のコンサルタントにお声がけください。

Pマーク(プライバシーマーク)の意義

PAK77_sumahodetel20140823111801_TP_V

 

 

 

 

お世話になっております。ISO総合研究所コンサルタントの藤田です。

いつもご愛読いただきありがとうございます。

 

さて、今回は「Pマーク(プライバシーマーク)の意義」について、お伝えさせていただきます。

 

■会社側から見た個人情報保護の意義

 

・社会的信用の獲得

 

社内全体での個人情報保護意識高揚(従業員による内部流出事件の防止対策)

トラブル発生による企業イメージダウンの回避(リスクヘッジ)

事業の安定継続性の獲得

 

法令遵守姿勢の評価

 

 

・顧客からの信頼関係の獲得

 

個人情報収集対象である消費者からの信頼確保

 

預託関係にある取引先企業からの信頼性確保

受注競争の優位性

「取引の拡大」

 

従業員との信頼関係の構築(安心して働ける職場環境)

 

 

■取引先・消費者側から見た個人情報保護の意義

 

・優良企業の判断材料

 

相手先企業のコンプライアンス規定に照らして、取引適正事業者として扱われる。

※Pマーク取得事業者以外との優先取引を禁じているコンプライアンス規定が近年大手企業に増えてきています。

 

 

■従業員側から見た個人情報保護の意義

 

・従業員の個人情報に関する権利の確保

・従業員全体の個人情報に対する保護意識の向上

 

コンプライアンス意識の向上

遵法意識の高い従業員の育成

法令違反による企業イメージダウンの回避

 

 

 

 

個人情報保護活動におけるPマーク(プライバシーマーク)の必要性

 

一口に個人情報保護活動と言っても、会社がやらなければならないことはたくさんあります。個人情報が不正業者にわたらないように守ること以外にも、全社員に活動を積極的に実施してもらうための工程を作ったり、社内のどんな業務でどのような個人情報を利用するのかを分析したり、だれもが適切に個人情報を取り扱えるようルールを作ったり、そのルールが守られているかどうかをチェックしたり・・と実施すべき様々な活動があります。あなたの会社がこれらの活動を実施しているかどうかを、一般の消費者が調べるのはとても困難な作業です。そこで、これらの内容をすべて含めて、適合審査に合格したという証が必要になるのです。また、企業に対して個人情報保護活動を実施する為の基準を示す、という意味合いでもPマーク(プライバシーマーク)は非常に重要なマークなのです。

 

企業間取引におけるPマーク(プライバシーマーク)の必要性

 

B to B(企業間取引)

 

企業間取引、いわゆるB to B(法人向け)ビジネスでもPマーク(プライバシーマーク)の必要性は高まってきています。それは、企業がお客様から取得した個人情報を、業務上第三者にその取扱いを委託するケースが数多くあるからです。

例えば、

・ 通販会社が通販雑誌の定期購読者への発送を出版会社に委託する

・ 通信サービス会社が顧客のカスタマーサポート業務を外部に委託する

・ 電機メーカーが顧客管理システムの開発をシステム開発会社に委託する

・ 業界団体が会員名簿の印刷を印刷会社に委託する

などのケースが想定されます。

 

さて、こういったケースで委託先が個人情報の漏洩事故をおこしてしまった場合、誰が責任を取るのか?お客さまから直接個人情報を取得した委託元が責任を免れることはできないでしょう。個人情報の取り扱いを外部に委託する場合、委託先での事故発生の可能性を低減させるため委託先が一定水準以上の個人情報管理を行なっているかチェックしなければなりません。そこでPマーク(プライバシーマーク)の必要性が出てきます。そう、Pマーク(プライバシーマーク)を取っているということは、個人情報保護活動が一定のレベル以上で推進できているという証なのです。ですからPマーク(プライバシーマーク)を取っていれば委託先として認めるという考え方が広まってきているのです。実際に、Pマーク(プライバシーマーク)を取得している会社は専門の審査員の審査を受けて合格しているわけですから、委託元の担当者がチェックするよりも信頼性が高いのは明白です。委託元が委託先に対して安心して業務を任せられるかどうかを判断する基準としてもPマーク(プライバシーマーク)は非常に重要な役割をはたしています。

 

 

Pマーク(プライバシーマーク)のメリット・デメリットについてもお話しします。

 

■メリット

 

・個人情報の保護に積極的であるという意味で、会社の社会的な信用が向上する。

 

・顧客や関係先に、安心して取引してもらえる。

 

・顧客や関係先に、安心して個人情報の取扱いを任せてもらえる。

 

・JIS Q 15001(ジスキュー15001):2006は、個人情報保護法を取り込んでいるため、Pマーク(プライバシーマーク)を取得することは、個人情報保護法を必然的にクリアーすることになる。

 

・強力な営業ツールとして利用できる。

 

・従業員のモラル、個人情報保護に対する意識が向上する。

 

・個人情報の管理の視点から、これまでの業務を見直すことになるので、業務の簡略化・省力化といった業務改善につなげることができる。

 

・社会的に認められた第三者(付与機関、指定機関)が個人情報の管理面から業務をチェックすることになるので、CSR(企業の社会的責任)に取り組むきっかけになる。

 

 

■デメリット

 

・良くも悪しくも、仕事のやり方に“ギプス”をはめられることになるので、自由な裁量で仕事をする範囲が狭くなる。

 

・合理的な対策を行う上で、ある程度の設備投資が必要な場合もある。

 

・(やり方を間違えると)通常の仕事と、個人情報保護マネジメントシステム(PMS)で定めた仕事が乖離して、ダブルスタンダードになってしまう。

 

・一度取得してしまうと辞めづらい。Pマーク(プライバシーマーク)を返上することで、個人情報の取扱いについて信用不安につながりかねない)

 

 

 

Pマーク(プライバシーマーク)の必要性について分かっていただけましたでしょうか?

もしPマーク(プライバシーマーク)の取得、運用についてお困りでしたら、どうぞお気軽に弊社ISO総合研究所までご連絡ください。

Pマーク(プライバシーマーク)は誰がなにをしなければいけないか

 

 

SAYA072162733_TP_V

いつも弊社ブログをご愛読いただき、誠にありがとうございます。

 

ISO総合研究所 本間 仁志(ほんま ひとし)と申します。

 

今回は、「Pマーク(プライバシーマーク)は誰がなにをしなければいけないか」についてお話させていただきます。

 

プライバシーマークを取得するに当たって、必ず任命しなくてはならない役割が「個人情報保護管理者」です。
JIS Q 15001:2006の規格では以下の通り定義されています。
「代表者によって事業者の内部の者から指名された者であって,個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者」
1. 事業者の代表者から指名されること。
2. またその組織の内部の者であることが必須。(外部のコンサルタントとか専門家等は不可)。
3. 個人情報保護マネジメントシステムにおいて適法かつ適正に「実施および運用」することが求められている。
さらには、以下のような責任権限を持つことが求まれている。
「個人情報保護管理者」は,個人情報の取扱いに関する安全管理面だけではなく,組織全体のマネジメントを含む全体の管理者である。
「個人情報保護管理者」は,個人情報保護マネジメントシステムを理解し,実施・運用できる能力をもった者でなければならない。
「個 人情報保護管理者」は,当該事業者に係る個人情報の管理の責任者である性格上,いたずらに指名する者を増やし,責任が不明確になることは避けなければならない。したがって,事業部が複数あり個人情報保護管理者を複数名指名する場合には,当該者間での役割分担を明確にすることが求められる。
「個人情報保護管理者」は,社外に責任をもつことができる者(例えば,役員クラス)を指名することが望ましい。
「個人情報保護管理者」は,代表者による個人情報保護マネジメントシステムの見直しに資するため,定期的に,又は適宜に,代表者にその実施状況を報告しなければならない。
また「監査」と「見直し」がその役割に含まれてはならないとされている。

大まかな役割としては
①会社の個人情報の保護と利用に関する統括・管理
②個人情報の安全管理に関する規定
③個人情報保護管理者からの報告徴収と助言・指導
④個人情報の安全管理に関する教育・研修の企画
⑤その他会社全体における個人情報の安全管理に関すること

が考えられます。
つまり個人情報保護管理者は、個人情報保護マネジメントシステムをJIS Q 15001の規格に従って確立し、実行し、維持すること。またそれらを確実にすることでプライバシーマークを取得するための体制を推進する必要が有ります。
ただ、現状として中小企業の中には作業ベースの事務担当がなっているケースも多々見られます。
実務の負担を考えると管理職を当ててしまうことはリスクもあるのでしょう。

 

もう一つ企業で必ず任命しなければいけない役割が「個人情報保護監査責任者」です。

プライバシーマーク上の個人情報保護監査責任者の役割は以下になります。
・個人情報保護監査規程に従い、全部門の監査を計画、実行し、代表者に報告すること。

要するに監査を誰が、いつ、どこで、どのように実行するかを計画して、責任者として
会社の全部署を監査していくことになります。もちろん、企業によっては監査員を
それぞれの部署にいかせて監査を実行し、責任者として最終的な代表者への
報告をするのみという事もございます。

プライバシーマークのルールでは代表者、又は監査役の役職の方は、個人情報保護監査責任者
にはなれません。監査の第三者性・客観性が担保されるかどうか疑問となり、監査に実効性が
あると評価できなくなるからです。
プライバシーマークの運用が適切にできているか確認していく上で、個人情報保護監査責任者は
ある程度権限を持ち、監査対象の部署に対しても意見を言える方が望ましいかもしれません。

またプライバシーマークを取得している企業ではPMS(Personal Information Protection Management Systems:個人情報保護マネジメントシステム)に基づいて苦情・相談の窓口を設置しなくてはなりません。

対応する窓口としては、「お客様窓口」「お客様相談窓口」などといった会社への問合せ全般を受ける場所と同じとしても構いませんし、特別に個人情報専用の 「個人情報相談受付窓口」「個人情報についての窓口」などのように受付を分けても大丈夫です。プライバシーマークの運用上、重要なのは個人情報に対する窓口を設置することなので特に窓口の名称はなんでもかまいません。
また苦情相談窓口は、外部の人にその連絡先をお知らせする必要性があります。
利用者にとってわかりやすい場所に設置となると、基本的には個人情報保護方針や個人情報の取扱いについてと一緒にHP上に掲載している企業が一般的ですね。

苦情や相談といった問い合わせに応じる責務を持つ役職が苦情・相談窓口責任者ということになります。会社の規模や個人情報の運用形態によっては、管理者が兼務することが可能です。しかし、新JISでのその役割はますます大きくなってきました。
個人情報の開示への対応がより詳細に定められ、また、個人情報の利用目的の開示への対応といったことも実施する必要があります。管理者が片手間にできるような内容ではなくなりつつあります。

この他にも、こんな時はどうしたらいいの?こんな場合は?ございましたら、ISO総合研究所までお気軽にご相談いただければ幸いです。

Pマーク(プライバシーマーク)個人情報管理台帳の更新

MIYAKO85_kaisuiyokjyounomado20140726_TP_V(1)

お世話になっております。ISO総合研究所コンサルタントの花井です。

いつもご愛読ありがとうございます。

Pマーク(プライバシーマーク)の運用をお手伝いしていると、

個人情報の特定で苦戦しているお客様をよく見かけます。

Pマーク(プライバシーマーク)個人情報管理台帳の

更新に苦労するわけです。

 

Pマーク(プライバシーマーク)個人情報管理台帳更新する時の

洗い出しの程度がわからない、どういう項目で洗い出したらいいかわからない

からということがほとんどです。

 

色々なやり方があるので100点の正しいやり方はありませんが、

Pマーク(プライバシーマーク)個人情報管理台帳を更新する時には

ある程度の切り口を定めておくだけでもやりやすさが違うと思います。

 

ある企業様ではこんな形でされていました。

 

聞くと当たり前と思うかもしれませんが、

個人情報を洗い出すときに大きく分類していました。

 

1.顧客個人情報

ビジネス上で関わりのあるお客様の個人情報です。

特にカスタマー向けにサービスをしている場合には、

即クレームや事故につながるので要注意の

個人情報です。

 

2.従業員個人情報

社内で働いている方の個人情報です。

顧客個人情報よりはリスクは少ないことが多いですが、

その分機微な個人情報をつかむことが多いので

注意しましょう。

 

3.採用者個人情報

社内に従業員として採用するために得る個人情報です。

目的も明確で、取得する個人情報の内容もあらかた決まっており、

リスクは低めだと思います。

ただし、預かった採用者個人情報を事前に破棄するのか、

返却するのかを明示して約束しておくほうが

あとあとのトラブルを避けられてよいです。

 

こういった形で大きく3つに分類するだけでも、

ある視点から眺めることができるので、

Pマーク(プライバシーマーク)個人情報管理台帳を

更新しやすくなります。

 

次に上記の3分類に分け、それぞれの分類ごとに下記6項目の例に当てはめながら

考えていきます。

 

(1)氏名

(2)メールアドレス(所属団体と氏名から本人が特定出来るもの)

(3)個人を識別できる写真、画像(ビデオ)、録音(電話)

(4)従業員の評価

(5)インターネット、官報、電話帳などで公開されている個人に関する情報

(6)氏名と関連付けされているすべての情報

 

(6)がわかりづらく、理解しにくい部分です。ここについては具体的な例をもってご説明しましょう。

コンビニでお話しますと、独自のポイントカードシステムを運用していて

お客様がポイントカードを使用した際の売上データに登録した「氏名」が

わかるようになっていたとします。

すると、「氏名」だけが「個人情報」になるのではなく

売上データ自体(購入したものまで)が「個人情報」となります。

 

②予備校などが実施する模擬テストも含まれます。

試験の結果の一覧表に「学校名」「学籍番号」「テストの結果」だけが

記載されている場合、一般の人がこの一覧表を見ても、

誰の情報かはまったく分かりません。

しかし、一覧表に記載された学校の関係者であれば、

校内の学籍簿を見て、学籍番号を参照すれば、

どの生徒の試験結果であるかをすぐに特定できるのです。

 

③会社社名、担当者名の記載がある見積もり書。

どの会社の誰と特定できますので当然個人情報です。また、何を購入する予定であるのかも一目瞭然となっています。名刺を配っていたり、同様に見積もり書において広められている会社や氏名であっても個人情報として大切に取扱わなくてはなりません。

※このように単独の情報では「個人情報」と呼べない情報、これって個人情報と呼べるのか?といったものでも

他の情報を参照することで個人を特定できる場合は

「個人情報」となります。

最終的には、「個人情報」にあたるかどうかは、

そのような立ち位置にいるかによって変わってきます。

 

以上をまとめると、

①誰の個人情報なのかを大きく分類する(お客様、従業員等)

②どんな個人情報なのかを分類する(氏名、メールアドレス、写真等)

③取り扱っている紙面や電子データとなっている情報が個人情報となっているか確認する(メイン業務で取り扱っているものから考える)

という手順で個人情報を考えていくということです。

難しく考えず、①、②から特定していき、そこから③について「そういえばこれは個人情報か?」と考えてゆけばよいとでしょう。

なんとなくでもわかって頂けましたでしょうか??

まだ、よくわからない

わかったけど作業出来るかな??と思った方は

1度、弊社のお話しを聞いていただきご検討いただければ幸いです。

 

・これからPマーク(プライバシーマーク)取得を検討している。

・Pマーク(プライバシーマーク)を取得したけど、運用がうまくいかない。

・Pマーク(プライバシーマーク)を取得したけど、今後どうしたらいいのかがわからない。

少しでも気になることがあれば、お気軽にお問合せください。

弊社は、現在、1,400社様以上のサポートをさせて頂いております。

豊富な実績でサポートさせていただきます。

Pマーク(プライバシーマーク)新規取得の基本テク:個人情報の見つけ方7つの基本

_shared_img_thumb_max16011630_TP_V(1)

 

いつもご愛読ありがとうございます。ISO総合研究所コンサルタントの下です。

今回はPマーク(プライバシーマーク)新規取得の際の、個人情報の見つけ方についてご紹介いたします。

Pマーク新規取得に向けてまずは自社の取扱いのある個人情報について洗い出す必要があります。

個人情報とは「JISQ15001」では次のように定義しています。

『個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)。』

 

「氏名」が含まれると個人情報として特定する必要がありますので氏名の記載があるとほとんどを特定する必要があります。また、姓(名字)だけでは誰かを特定できませんが、その姓(名字)に「○□△会社に勤務」「東京都○△区○△町△番地在住」などのプロフィール情報が加われば、その人が誰であるかを特定できます。つまり、「個人情報」となります。

 

JIS Q 15001の定義には、「他の情報と容易に参照することができ、それによって特定の個人を識別することができることとなるものを含む」という“ただし書き”があります。

それはどのようなケースを表しているのでしょうか。

 

例えば、予備校などが実施する模擬試験を考えてみましょう。

 

試験の結果の一覧表に「学校名」「学籍番号」「テストの結果」だけが記載されている場合、一般の人がこの一覧表を見ても、誰の情報かはまったく分かりません。しかし、一覧表に記載された学校の関係者であれば、校内の学籍簿を見て、学籍番号を参照すれば、どの生徒の試験結果であるかをすぐに特定できるのです。

 

これが、JIS Q 15001の定義にある「他の情報と容易に参照することができ、それによって特定の個人を識別することができることとなるものを含む」という内容に該当するケースです。

 

このように単独の情報(上の例では、試験結果の一覧表)では「個人情報」と呼べない情報でも、他の情報(同じく、校内の学籍簿)を参照することで個人を特定できる場合も、「個人情報」となります。

 

 

自社の個人情報を洗い出すことで取扱い方法を定め、リスクを認識することが出来ます。

大きく分けて7つの個人情報を見つける切り口があると思います。

 

1つ目は業務の流れから洗い出し。

普段の業務の一連の流れを書き出して個人情報を特定してきます。個人情報がどこから入ってきて、どこへ移送して、どのように利用し、どこへ保管し、どのように廃棄するのか、どこへ出ていくのかを業務フローに起こしながら洗い出していきます。

個人情報を利用・加工して複製物の個人情報が発生するものも特定します。

 

2つ目は受注のタイミング

受注のタイミングで発生する個人情報を特定します。担当者の個人情報などです。

 

3つ目は情報を預かるタイミング

取引先から業務を受注した業務の中で発生する個人情報を特定します。例えば業務を受託して人材を受け入れる際に預かる「派遣先台帳」や、名刺作成で預かる「名刺情報」等です。

 

4つ目は社内的に必要な個人情報

どこの企業でも取扱いのある従業者の個人情報を洗い出します。従業者の「履歴書」や「保険情報」など主に総務部で管理しているようなものが該当します。

 

5つ目は委託する個人情報

配送業者に預ける配送伝票情報やレンタルサーバに保管する個人情報が該当します。

 

6つ目は生産活動の中で利用する個人情報

お客様先で利用する個人情報が該当します。

 

7つ目はプライバシーマークの要求事項で必要なもの

意外と忘れやすいのがPMS(個人情報保護マネジメントシステム)運用で発生する個人情報です。教育テストや入退出記録も個人情報として特定が必要です。

 

上記の切り口で個人情報を見ていくと一通り確認ができるかと思います。

最近の審査でよく特定漏れとして下記の個人情報が指摘されています。

 

「バックアップデータ」

社外サーバやUSBなど媒体ごとに特定する必要があります。

 

「健康診断結果」

健康情報は機微な情報になりますので承認も必要です。

 

「名刺」

「履歴書」

従業者の個人情報もそれぞれ特定が必要です。名刺は交換して頂く取引先のものも特定します。

 

「同意書」

「誓約書」

「教育テスト結果」

PMS(個人情報保護マネジメントシステム)運用の為に必要な個人情報です。

 

「社用携帯」

最近はスマホが普及し電話帳情報だけでなく社内のデータも閲覧できるようなシステムもありますので特定が必要です。

 

個人情報の特定はPMS(個人情報保護マネジメントシステム)運用において一番初めに取り掛かる作業です。個人情報をしっかりと特定しないとその後のリスク分析や委託、内部監査の際にも全て漏れてしまいます。しっかりと自社で取扱いのある個人情報を認識して

PMS(個人情報保護マネジメントシステム)を適切に運用していきましょう。

 

弊社ではPマークの新規取得以外にも現状運用中のお客様のお手伝いもさせて頂いております。

PマークやISOでお困りのことがございましたら弊社までお気軽にお問い合わせください!

 

Pマーク(プライバシーマーク:JIS Q 15001) 規格解釈

_shared_img_thumb_YOTA82_yossya15122540_TP_V

いつもお読み頂きましてありがとうございます。

ISO総合研究所コンサルタントの前田です。

今回はPマーク(プライバシーマーク)の規格について、

前回に引き続きご説明していきたいと思います。

 

 

>3.3.3 リスクなどの認識,分析及び対策

>事業者は,3.3.1 によって特定した個人情報について,目的外利用を行わないため,必要な対

>策を講じる手順を確立し,かつ,維持しなければならない。

>事業者は,3.3.1 によって特定した個人情報について,その取扱いの各局面におけるリスク

>(個人情報の漏えい,滅失又はき損,関連する法令,国が定める指針その他の規範に対する

>違反,想定される経済的な不利益及び社会的な信用の失墜,本人への影響などのおそれ)を

>認識し,分析し,必要な対策を講じる手順を確立し,かつ,維持しなければならない。

ここで要求されているのは、3.3.1で特定した個人情報に対するリスクを

把握した上で、どんなリスクであるかを考えた上で対策を打つことを求めています。

個人情報保護マネジメントシステムを運用していく中で、一番重要なところはここだと

言っても過言ではないと思います。

またリスク分析においては、その個人情報を取得してから廃棄するまでの流れ、

ライフサイクルを考えて行うことを言われます。

例えば、履歴書という個人情報は、採用面接時に本人から手渡しで取得することが多いかと

思います。ここで想定されるリスクは虚偽の情報を受け取ったり、本人じゃない情報を

渡されてしまうことなどがあげられます。

対策としては別の方法で本人確認をする等でしょうか。

他には保管しているときのリスクです。盗難にあったり、盗み見られたりするのがリスクでしょう。となれば、管理する人を決めて、鍵付のキャビネットに入れておくのが

対策となりえそうです。

あとは対策を打っても残るリスクを残存リスクと呼んで、残存リスクも把握することを

求められています。

上記の例で言うと、鍵付キャビネットに保管していても鍵を壊されて盗まれるかもしれません。

ここではこれらのリスク、対策、残存リスクについて考える要求事項となります。

 

>3.3.4 資源,役割,責任及び権限

>事業者の代表者は,個人情報保護マネジメントシステムを確立し,実施し,維持し,かつ,

>改善するために不可欠な資源を用意しなければならない。

>事業者の代表者は,個人情報保護マネジメントシステムを効果的に実施するために役割,責

>任及び権限を定め,文書化し,かつ,従業者に周知しなければならない。

>事業者の代表者は,この規格の内容を理解し実践する能力のある個人情報保護管理者を事業

>者の内部の者から指名し,個人情報保護マネジメントシステムの実施及び運用に関する責任

>及び権限を他の責任にかかわりなく与え,業務を行わせなければならない。

>個人情報保護管理者は,個人情報保護マネジメントシステムの見直し及び改善の基礎として,

>事業者の代表者に個人情報保護マネジメントシステムの運用状況を報告しなければならない。

ここではヒトモノカネというような使える資源を用意し、人の役割、責任、権限を定めた上で、

従業員に知らせないといけません。

皆それぞれが個人情報を守っていくために、自分にどんな役割、責任、権限が

あるかわからないと、何をしていいかわかりません。

ここで特に重要なのは、個人情報保護管理者及び監査責任者を任命することが求められます。

個人情報保護管理者は仕組み作りの責任者なので事業者の代表者や代表者が任命した人が

なることができます。

監査責任者は作られた仕組みをチェックすることになるので、管理者と同じ人が

兼任することはできません。

これ以外にもガイドライン上では教育責任者やお問い合わせ窓口、苦情相談窓口などの

役割、責任、権限を設定するように言われています。

 

>3.3.5 内部規程

>事業者は,次の事項を含む内部規程を文書化し,かつ,維持しなければならない。

>a) 個人情報を特定する手順に関する規定

>b)  法令,国が定める指針その他の規範の特定,参照及び維持に関する規定

>c) 個人情報に関するリスクの認識,分析及び対策の手順に関する規定

>d) 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定

>e) 緊急事態(個人情報が漏えい,滅失又はき損をした場合)への準備及び対応に関する規定

>f) 個人情報の取得,利用及び提供に関する規定

>g) 個人情報の適正管理に関する規定

>h) 本人からの開示等の求めへの対応に関する規定

>i) 教育に関する規定

>j) 個人情報保護マネジメントシステム文書の管理に関する規定

>k) 苦情及び相談への対応に関する規定

>l) 点検に関する規定

>m) 是正処置及び予防処置に関する規定

>n) 代表者による見直しに関する規定

>o) 内部規程の違反に関する罰則の規定

>事業者は,事業の内容に応じて,個人情報保護マネジメントシステムが確実に適用されるよ

>うに内部規程を改定しなければならない。

ここで要求されているのは内部規程として、文書の作成を求められています。

全部で15個の文書を求められていますが、15個の規程をと作れというわけではなく、

15個の内容が盛り込まれていれば、1つの文書にまとめられていてもかまいません。

特にa~nの内容についてはJIS規格の各項番と一致していますので、

個人情報保護マニュアルのようなJIS規格を網羅したような文書があれば、

それで満たされていることがほとんどです。

参考までに項番を書いてみましょう。

 

  1. a) 個人情報を特定する手順に関する規定 3.1
  2. b) 法令,国が定める指針その他の規範の特定,参照及び維持に関する規定 3.2
  3. c) 個人情報に関するリスクの認識,分析及び対策の手順に関する規定 3.3
  4. d) 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定 3.4
  5. e) 緊急事態(個人情報が漏えい,滅失又はき損をした場合)への準備及び対応に関する規定 3.7
  6. f) 個人情報の取得,利用及び提供に関する規定 4.2
  7. g) 個人情報の適正管理に関する規定  4.3
  8. h) 本人からの開示等の求めへの対応に関する規定 4.4
  9. i) 教育に関する規定 4.5
  10. j) 個人情報保護マネジメントシステム文書の管理に関する規定 5
  11. k) 苦情及び相談への対応に関する規定 6
  12. l) 点検に関する規定 7
  13. m) 是正処置及び予防処置に関する規定 8
  14. n) 代表者による見直しに関する規定 9

 

以上となっています。あと残りの一つである違反に関する罰則の規定は、

Pマーク(プライバシーマーク)の要求事項上にはなく、何かしらの形で罰則の規定を用意することになります。

多くの場合は就業規則に罰則に関するルールが記載されているので、

そこを利用することが多いです。

>o) 内部規程の違反に関する罰則の規定 就業規則など

 

今回はここまでになります。引き続きお読みいただければ幸いです。