ISO総研・コンサルサポート部の仕事と一工夫

bsYUKA150701038569

こんにちは!!

いつも、お読みいただきありがとうございます!

ISO総合研究所 コンサルサポート部の奥田です(*^_^*)

 

私が所属しているコンサルサポート部の仕事と一工夫を紹介したいと思います♪

 

まず、コンサルサポート部ってなにをしている部門かといいますと、大きく分けて2つあります。1つ目はコンサルタントの日程調整、2つ目は契約書関係です。

 

今日は、日程調整をする上での一工夫をご紹介していきます~♪

 

弊社のコンサルタントは1人約40社~50社のお客様を担当し定期的にお客様先へ訪問してお打合せをしています。(訪問頻度はご契約によって異なりますので割愛させていただきます)

 

コンサルタントの日程調整をする上で求められることは2つ!

1つ目は移動の効率化!

2つ目は移動の快適さ!

この対照的な2つをどうやって突き詰めるかが、この仕事の難しいところであり、楽しいところなのです(笑)

 

少し極端な話になりますが、

効率化だけを求めれば、1回2時間の訪問を1日4件してもらえば、めちゃめちゃ効率良くないですか?

快適さだけを求めれば、1回2時間の訪問を1日に1件だけにすれば、めちゃめちゃ快適じゃないですか?(笑)

イメージしてもらえるように具体的な例をあげてみます!

お客様先からお客様先への移動時間が徒歩10分の訪問を1日4件訪問する・・・効率はいいけどコンサルタントからしたら、きついですよね。。。(笑)

逆に、福岡県のお客様先へ1件だけ訪問して大阪へ戻ってくる日程・・・なんだか効率悪いですよね。

 

なにも考えずに日程を組むだけなら簡単なのですが

そんな対照的な2つを求めつつ、日々コンサルタントの日程調整をしております。

 

 

ではでは、本題に入っていきましょう!

日程調整で工夫していることは2つです!

 

1つ目は効率化を追求するために「担当地域のグループ化」を実施しました。

CS

 

上記は静岡県の地図で、お客様先をピンで表しています。

赤のピンが鈴木の訪問先。

水色のピンが佐藤の訪問先。

緑のピンが濱田の訪問先。

黄色のピンが田口の訪問先。

静岡県担当の訪問者は4名でエリアもバラバラの状態でした。

訪問先を見える化すると現状を把握することができました!!!

と同時に、静岡県と一括りに言っても広い為、エリアがまとまっておらず、

これじゃ効率が悪いことも明らかですよね。。。

 

そこで!部長と相談し担当変更を実施しました。

どのように担当変更をしたか!エリアで訪問者をまとめました!

黄色の〇のエリアは佐藤が訪問。

水色の〇のエリアは堀田が訪問。

緑の〇のエリアは濱田が訪問。

赤の〇のエリアは田口が訪問。

これで移動は効率的になり、コンサルタントの移動も快適になりました♪

移動が効率的になったということは、交通費も削減できて一石三鳥♪♪

 

 

 

2つ目は快適に移動してもらうために「コンサルカルテの作成」を実施しました。

コンサルカルテとは、美容院のカルテのようなイメージです。

 

各コンサルタントの自宅の最寄り駅や出身地、どのようなスケジュール組みが好みかなどを聞いて、コンサルタントのストレスをなくした働きやすい環境作りに役立てています。

 

これもイメージしてもらえるように具体的な例をあげてみます!

最寄り駅を把握することで直帰の場合でも帰宅しやすくなります。

自宅の最寄駅が阿波座駅のコンサルタントの夕方の訪問先を阿波座駅周辺のお客様先にすれば、直帰してアフター6を満喫していただけます(*^_^*)(笑)

また、出身地を把握することでお客様訪問のついでに実家に帰省することができます。

出身が福岡県のコンサルタントの金曜日の訪問を福岡県にすれば、土日は実家に帰省してご両親の顔を見に帰ることも可能に~(*^_^*)♪

 

他には、好みのスケジュールもヒアリングしています。

コンサルによって、1日のスケジュールで大きく2パターンの好みがあります。

1つ目は、1日3件訪問にして、訪問しない日をつくるパターンと

2つ目は、毎日2件ずつ訪問して、夕方に社内の時間をつくるパターンです。

好みのスケジュールになるように、お客様訪問を予め調整することで作業時間や社内業務時間の確保もサポートしています。

 

あとは、コンサルタントのプライベートな情報も蓄積しています。

例えば、既婚者の場合、奥様やお子様の誕生日を記録しておくことでお客様訪問を事前に調整することもできます。

1年に1回の大切な家族の誕生日に遠方に出張だとさみしいですもんね(;O;)

家族の為、自分の為に仕事をしてるのに、仕事で時間が取れないのは本末転倒ですよね~

家族そろってお祝いしてもらえたらいいな~

なんて考えながら、日々、日程調整しています♪

急には難しい調整も1年前、半年前から把握していたら、調整も可能になってきます。

これからもコンサルタントの縁の下の力持ち、コンサルサポート部として精進してまいります。

 

 

以上がコンサルサポート部の一工夫の紹介でした。

最後までお読みいただき、ありがとうございました!!!

Pマーク(プライバシーマーク:JIS Q 15001) 3.3.3項「リスク等の認識、分析及び対策」規格解釈

Green20_yuukyu20141123122037_TP_V

 

 

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの保住です。

 

本日は、Pマーク(プライバシーマーク)要求事項の「3.3.3 リスク等の認識、分析及び対策」についてお話しさせていただきます。

 

「3.3.3 リスク等の認識、分析及び対策」とは一般的には「リスク分析」または「リスク対策」と呼ばれています。

 

要求事項の「3.3.3 リスク等の認識、分析及び対策」には下記のように記載されています。

 

「事業者は3.3.1によって特定した個人情報について目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。事業者は3.3.1によって特定した個人情報について、その取扱の各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。」

 

つまり、「個人情報の特定」で特定した個人情報には、取扱いの中でどのようなリスクがあるかを分析して、その分析の結果、どのようなリスクがあるのかを認識して対策を立てることが要求されています。

 

とは言っても何をすればいいのかわからないですよね?

ここからは「リスク分析」をどのようにやっていくのかをご紹介いたします。

 

「リスク分析」の簡単の流れから説明します。

 

  • 洗い出した個人情報の「ライフサイクル」確認する。

  • ライフサイクルに沿ってリスクの対策を考える。

  • 講じたリスク対策について「残存リスク」を考える

 

リスク分析の流れはこんな感じです。

 

 

まずは、「個人情報のライフサイクル」についてお話しいたします。

「個人情報のライフサイクル」とは、個人情報が生まれてから廃棄されるまでの過程のことを言います。

その過程をより細かく分類したのが下記なります。

 

・取得・入力

・移送・送信

・利用・加工

・委託・提供

・保管・バックアップ

・廃棄・消去

 

「個人情報の特定」で洗い出した個人情報の取扱いの過程の中で、それぞれ上記の6つの中からどのようなリスクが発生するかをピックアップします。

 

「個人情報はどこから入手するのか?」「誰が取扱うの?」「何のために使うの?」「媒体は紙?データ?」「委託はする?しない?」「保管はどうするんだっけ?」等など・・・。考えられる要素すべてのリスクをピックアップしていきます。

 

「履歴書」で例えるならば、取得の際には「同意を得ていない」というリスク、移送送信の際には、「返却時に間違った住所に誤送信してしまう。」というリスク、利用・加工なら「採用時以外の目的外の利用」というリスクなどなど・・・。

 

 

各個人情報に対するリスクの洗い出しが完了したら次は「リスクの対策」を考えます。

 

ピックアップしたリスクに対して、「合理的な」リスク対策をしていきます。ここで重要なのは「合理的な」ということ。

 

「合理的な」というのは、現在会社で経済的にも技術的にも実際に対策が可能であって、尚且つ、そのリスクに対して対応しうる最良の手立て、ということです。

 

いくら完璧に近い対策を講じても、経済的にも技術的にも不可能でしたら意味がありません。また、業務で個人情報を取扱う上で、合理的でない対策をしてしまうことにより、業務の効率が落ちてしまっていては意味がないです。

 

ですので、リスクには、状況を見据えた上での「合理的な」対策を講じるようにしましょう。

さらにリスク対策で気を付けていただきたい点があります。

 

それは、ヒューマンエラー、物理的な理由で発生するリスクだけでなく、法令やガイドラインに反するリスクや、社会的責任に対するリスクも考えていかなければならない、ということです。

 

つまり、リスクが発生することで、法律やガイドラインにどのように抵触するのかということも認識しなければなりません。

 

最後は、「リスクの対策」に対する、「残存リスク」の確認です。

 

とりあえずのリスクの低減すことが出来ました。

しかし、リスクとはいくら対策しても0にならないものです。

 

対策を講じても、心配の残るリスクを「残存リスク」と言います。

 

例えば、社内サーバーがあると仮定します

「サーバー故障による滅失」というリスクに対し「データバックアップを取る/サーバーに盗難防止策を講じる」という対策講じたとします。しかし、「大規模災害によってサーバーが故障する」というリスクがまだ残っていることも考えられます。このリスクを残存リスクとして、認識し、念頭に置いておく必要があります。

 

また、実際にこのようなことが発生した時のことを考慮し、対策や対応手順を用意する等、体制を整えておきましょう。

 

以上がリスク分析についてでした。

リスク分析はどのようなことをしていけば良いのかなんとなくでもイメージが出来ましたでしょうか?

 

分析したリスクについては、「リスク分析表」や「リスク管理表」等を作成し、一覧管理していくことをおすすめします。

 

以上、リスク分析についてでした!

Pマーク(プライバシーマーク:JIS Q 15001) 3.3.3項「リスク等の認識、分析及び対策」規格解釈

 

Green20_yuukyu20141123122037_TP_V

 

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの保住です。

 

本日は、Pマーク(プライバシーマーク)要求事項の「3.3.3 リスク等の認識、分析及び対策」についてお話しさせていただきます。

 

「3.3.3 リスク等の認識、分析及び対策」とは一般的には「リスク分析」または「リスク対策」と呼ばれています。

 

要求事項の「3.3.3 リスク等の認識、分析及び対策」には下記のように記載されています。

 

「事業者は3.3.1によって特定した個人情報について目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。事業者は3.3.1によって特定した個人情報について、その取扱の各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。」

 

つまり、「個人情報の特定」で特定した個人情報には、取扱いの中でどのようなリスクがあるかを分析して、その分析の結果、どのようなリスクがあるのかを認識して対策を立てることが要求されています。

 

とは言っても何をすればいいのかわからないですよね?

ここからは「リスク分析」をどのようにやっていくのかをご紹介いたします。

 

「リスク分析」の簡単の流れから説明します。

 

  • 洗い出した個人情報の「ライフサイクル」確認する。

  • ライフサイクルに沿ってリスクの対策を考える。

  • 講じたリスク対策について「残存リスク」を考える

 

リスク分析の流れはこんな感じです。

 

 

まずは、「個人情報のライフサイクル」についてお話しいたします。

「個人情報のライフサイクル」とは、個人情報が生まれてから廃棄されるまでの過程のことを言います。

その過程をより細かく分類したのが下記なります。

 

・取得・入力

・移送・送信

・利用・加工

・委託・提供

・保管・バックアップ

・廃棄・消去

 

「個人情報の特定」で洗い出した個人情報の取扱いの過程の中で、それぞれ上記の6つの中からどのようなリスクが発生するかをピックアップします。

 

「個人情報はどこから入手するのか?」「誰が取扱うの?」「何のために使うの?」「媒体は紙?データ?」「委託はする?しない?」「保管はどうするんだっけ?」等など・・・。考えられる要素すべてのリスクをピックアップしていきます。

 

「履歴書」で例えるならば、取得の際には「同意を得ていない」というリスク、移送送信の際には、「返却時に間違った住所に誤送信してしまう。」というリスク、利用・加工なら「採用時以外の目的外の利用」というリスクなどなど・・・。

 

 

各個人情報に対するリスクの洗い出しが完了したら次は「リスクの対策」を考えます。

 

ピックアップしたリスクに対して、「合理的な」リスク対策をしていきます。ここで重要なのは「合理的な」ということ。

 

「合理的な」というのは、現在会社で経済的にも技術的にも実際に対策が可能であって、尚且つ、そのリスクに対して対応しうる最良の手立て、ということです。

 

いくら完璧に近い対策を講じても、経済的にも技術的にも不可能でしたら意味がありません。また、業務で個人情報を取扱う上で、合理的でない対策をしてしまうことにより、業務の効率が落ちてしまっていては意味がないです。

 

ですので、リスクには、状況を見据えた上での「合理的な」対策を講じるようにしましょう。

さらにリスク対策で気を付けていただきたい点があります。

 

それは、ヒューマンエラー、物理的な理由で発生するリスクだけでなく、法令やガイドラインに反するリスクや、社会的責任に対するリスクも考えていかなければならない、ということです。

 

つまり、リスクが発生することで、法律やガイドラインにどのように抵触するのかということも認識しなければなりません。

 

最後は、「リスクの対策」に対する、「残存リスク」の確認です。

 

とりあえずのリスクの低減すことが出来ました。

しかし、リスクとはいくら対策しても0にならないものです。

 

対策を講じても、心配の残るリスクを「残存リスク」と言います。

 

例えば、社内サーバーがあると仮定します

「サーバー故障による滅失」というリスクに対し「データバックアップを取る/サーバーに盗難防止策を講じる」という対策講じたとします。しかし、「大規模災害によってサーバーが故障する」というリスクがまだ残っていることも考えられます。このリスクを残存リスクとして、認識し、念頭に置いておく必要があります。

 

また、実際にこのようなことが発生した時のことを考慮し、対策や対応手順を用意する等、体制を整えておきましょう。

 

以上がリスク分析についてでした。

リスク分析はどのようなことをしていけば良いのかなんとなくでもイメージが出来ましたでしょうか?

 

分析したリスクについては、「リスク分析表」や「リスク管理表」等を作成し、一覧管理していくことをおすすめします。

 

以上、リスク分析についてでした!

Pマーク(プライバシーマーク)取得までの流れ

AL101_natuin0420140830001_TP_V

いつもご愛読いただき、誠にありがとうございます。

ISO総合研究所コンサルタントの藤原です。

 

今回は「Pマーク(プライバシーマーク)取得までの流れ」についてお話しさせて頂きます。

 

 

まずPマーク(プライバシーマーク)取得にあたってやらなくてはならないことが大きく分けて3つあります。

それは、

①申請書提出

②審査

③指摘改善

の3つです。

 

 

では、①の申請書提出から見ていきましょう。

Pマーク(プライバシーマーク)取得のためのスタートとして、Pマークを取得できるか審査をしてもらう審査機関へ申請書というものを提出しなければなりません。この申請書はそれぞれの審査機関のサイトでダウンロードできます。更新の場合と新規の取得の場合と申請書が2種類あるのでそれぞれ間違いがないか注意しましょう。

続いて、気を付けなければならないのがPマーク(プライバシーマーク)の有効期限です。こちらは更新の場合のみに関係するのですが、申請書を提出する期限があり、それが有効期限と関わってきます。申請書は有効期限の4カ月前までに提出していなければなりません。必ずです。因みに申請は有効期限の8ヵ月前からできます。

 

 

 

申請書に記載しなければならないことは以下の内容になります。

・会社概要

・個人情報を取扱う業務の概要

・すべての事業所の所在地及び業務内容

・個人情報保護体制

・個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧

・JSQ15001要求事項との対応表

・教育実施サマリー

・監査実施サマリー

・事業者の代表者による見直し実施サマリー

・2006年版JISによる前回認定時から変更のあった事業の報告

 

このような内容の申請書を作成し、その他必要な書類をそれぞれの審査機関(更新の場合は有効期限の4カ月前まで)に提出して申請書提出が終わりです。

 

 

 

 

次に②の審査についてです。

申請書を審査機関へ提出すると、審査機関は申請書類の不足及び記載漏れを確認します。

申請書類の添付漏れや記載内容に不備がある場合、申請書類が返却となる場合があります。

 

申請書類が全て揃っている場合は、申請料の請求書が発行されます。

審査機関で申請料の入金が確認されると「プライバシーマーク付与申請に係る申請書類受領証」が送付されてきます。

 

因みに、Pマーク(プライバシーマーク)が認証されるまでに審査機関に3回支払いをしなければなりません。Pマーク(プライバシーマーク)の取得にかかる費用はどの審査機関を使っても一律料金です。しかし、申請する会社の規模によって料金は変わります。

 

 

 

受理された申請書類の中の規程がJIS Q 15001に準拠しているかの審査がされます。文書審査結果は申請受理から約1ヵ月後、審査機関から書類で事業者の元へ発送されます。

文書審査では、○△×の3つの判定がつけられ、判定理由のコメントが書かれています。もし×だった場合は、現地審査までに規程を修正しなければいけません。

 

 

 

書類審査の次には、申請事業者に対して現地審査が実施されます。現地審査の日程は、担当する審査員から事前に連絡が入り、申請から1~3ヵ月後ぐらいの日程となります。現地審査では、規定の通りに体制が整備され、運用できているかについて、資料や記録などを確認します。

審査時間は申請者の規模によって異なりますが10時から始まり17時まではかかります。

以下は現地審査の流れです。

・代表者へのインタビュー

・個人情報保護管理者、監査責任者等へのヒアリング

・現場確認(個人情報を取り扱っている部署の実施状況を確認)

・総評と指摘事項の確認

 

現地審査が終わると、ここで2回目の支払いである、審査料の支払いがあります。

 

 

 

最後に③指摘改善についてです。

現地審査後、審査機関から「プライバシーマーク付与申請審査の指摘事項について」という書類が届きます。この書類には、どのような点が不備だったのか等が記載してあります。

これを「指摘事項」と言います。

指摘事項数は現地審査次第ですが、少なくても10箇所弱。多くて20~30箇所の指摘をもらう場合があります。申請事業者は3ヶ月以内にこの指摘事項に対して、改善報告書を提出しなければなりません。1回で指摘事項がなくなれば良いのですが、これが2回目、3回目と続くことがほとんどです。

ここで注意しなくてはならないのが1回目の指摘事項に対しての改善報告書は3カ月以内で良いのですが、2回目以降は1ヵ月以内に改善報告書を提出しなくてはならなくなります。そして1回目の「プライバシーマーク付与申請審査の指摘事項について」の書類が発行されて6カ月以内に指摘事項の改善報告書が適切であると審査員から認められなければなりません。

 

 

 

提出された改善報告書が適切だと認められれば、審査員から改善を認める旨の連絡が入ります。

しかし、審査員から改善を認められてもプライバシーマークが付与される訳ではありません。

審査機関内で、判定会議が行われ、そこで正式に付与が決定されます。

審査機関によって判定会議の実施時期は異なり、月に数回行われる場合や1回しか行われない場合もあります。

 

 

 

審査機関からプライバシーマークの付与が認められると、付与機関である一般財団法人日本情報経済社会推進協会(JIPDEC)からプライバシーマーク使用許諾契約書と使用許諾料の請求書が届きます。

JIPDECへ使用許諾料の振込みを行い、使用許諾契約書へ押印して書類を発送します。

その後、JIPDECから使用許諾証とPマーク画像データが届きます。

 

 

 

これでPマーク取得が完了です。

申請から認証までの期間は半年前後だと聞いています。自社ですべて運用されているところは1年かかったと聞いたこともあります。

 

今回は以上で「Pマーク(プライバシーマーク)取得までの流れ」のお話を終わらせていただきます。

最後までお読みいただき、誠にありがとうございました。

Pマーク(プライバシーマーク)の安全管理ってどこまでやればいいの?

 

_shared_img_thumb_AL101_natuin0120140830001_TP_V

 

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの下です。

今回はPマーク(プライバシーマーク)の安全管理措置について2つの切り口からご説明します。

 

1つ目は物理的な安全管理措置についてです。

物理的な安全管理措置とは、事務所や各拠点への入退館(室)管理や、各媒体で保管している個人情報の盗難等の防止策の実施、機器・装置等の物理的な保護等です。

入退館(室)管理については、自社の人員、外部の人員がいつ入出したのかが分かるようになっていれば良いです。特別な機器を新たに導入する必要はありません。

例えば、社内の人員の管理は入退出の管理表等を用意して最初の入出者、最終退出者を記載して管理しておけば大丈夫です。外部の人員の管理については来訪者管理表等を用意し、セキュリティエリアに入った際に記載して管理が必要です。

社内で個人情報の漏洩事件や事故があった際に、後からいつだれが入退室していたのかを追っていくための管理になります。もちろんセキュリティを高める為に新たな設備を入れたほうが漏えいのリスクは減りますが、Pマーク(プライバシーマーク)の現地審査ではそこまでは求められておりません。

盗難等の防止については個人情報を記録した媒体(紙、外部記憶媒体)を施錠保管していること、個人情報を記録した媒体(紙、外部記憶媒体)の廃棄は、再利用できない措置を講じていること等です。

施錠保管に関しては紙、USBメモリ、CD、外付けハードディスク等は施錠保管が必須になりますが、施錠管理以外の盗難対策の実施でも大丈夫です。

個人情報を記録した携帯可能なコンピュータ等についての盗難防止措置については、こちらも、施錠保管や、チェーンロック等での盗難防止対策が必要になります。

廃棄については、紙媒体はシュレッダー等を利用して再利用できないようにする必要があります。外部記憶媒体も同様に物理的な破壊をして再利用できないようにする必要があります。こちらも、廃棄業者を利用して溶解処理や、廃棄を依頼することはできますが自社で再利用や、復元できない形で廃棄をしていれば新たに費用をかけて外部に依頼する必要はありません。

 

 2つ目は技術的安全管理です。

技術的安全管理とは主にPC等に保存されているデータの安全管理です。

個人情報へのアクセスにおいてID、PW等による認証を実施する必要があります。これは必須になります。

盗聴される可能性のあるネットワーク(インターネットや無線LAN等)で個人情報を送信する際に、個人情報の暗号化又はパスワードロック等の秘匿化の措置を講じていることが必要です。具体的にはウェブサイトから本人から個人情報を入力させる場合に、SSL化、SQLインジェクション及びクロスサイトスプリクティング対策等の措置を講じる必要があります。

 

最近のPマーク(プライバシーマーク)現地審査で良く見られていることが、個人情報へのアクセス記録の確認です。情報システムへのアクセスログの取得状況は必ずチェックされます。

アクセスログとは社内サーバやクラウド等の個人情報を保管している情報システムへのアクセスや操作の成功と失敗の記録です。アクセスログを取得、保管し、定期的に確認する必要があります。Pマーク(プライバシーマーク)を取得していない企業ではアクセスログを取得していなかったり、取得していても確認方法が分からなかったりするケースが多いです。現地審査の際には必ずチェックされますのでPMS運用の前に改めてアクセスログの点検方法を確認しチェックの運用をする必要があります。

 

安全管理措置については各局面について全ての対策を実施するのが望ましいですが、全ての対策を実施すると、費用的、人的、業務的な面において現実的に難しいことが出てくるかと思います。例えば、入退出の管理をICカードの導入によりオートロックにしたり、データ入力の際に必ず二者確認をしたり等です。

ですので、社内でリスクを洗い出して現実的に出来る範囲の部分で問題ありません。重要なのは自社でリスクをしっかりと認識して対策を実施することです。費用をかけて新たに設備等を導入すれば安全の確認がしやすくなり、よりセキュリティが高まる事は事実です。Pマーク(プライバシーマーク)の取得、PMS(個人情報保護マネジメントシステム)の運用の為に新たに費用をかけるのではなく、実務に費用を当て、費用をかけずにPMS(個人情報保護マネジメントシステム)を運用することは可能です。

そのために、弊社コンサルタントが他社の事例や、現地審査の傾向から運用方法の提案のお手伝いをさせて頂きます。

また、当たり前ですが、社内のセキュリティを高めたいからといって、例えば消防法等の法令に違反する設備を構築するようなことは出来ません。

今回ご説明させて頂きました安全管理措置は一部になりますが、最近のPマーク現地審査で見られているポイントになします。

弊社ではPマーク(プライバシーマーク)の新規取得以外にも現状運用中のお客様のお手伝いもさせて頂いております。

Pマーク(プライバシーマーク)やISOでお困りのことがございましたら弊社までお気軽にお問い合わせください。

Pマーク(プライバシーマーク)の取得及び運用する際に必ず必要となる記録類

SAYA160312140I9A3606_TP_V

いつもご愛読いただき、誠にありがとうございます。ISO総合研究所コンサルタントの馬場です。

 

今回は、「Pマーク(プライバシーマーク)の取得及び運用する際に必ず必要となる記録類」について詳しくお話しさせて頂きます。

 

 

記録とは、

①個人情報の特定

②法令、国が定める指針その他の規範

③リスクなどの認識、分析及び対策

④委託先の記録

⑤教育

⑥監査

⑦事業者の代表者の見直し

の7つのことを言います。では、細かく見てみましょう。

 

 

①個人情報の特定とは?

簡単にいうと、事業で使用している個人情報を特定することです。

多くの会社で使用されているのが、「個人情報管理台帳」というもので、事業で使用された個人情報を特定したものを台帳にしたものです。個人情報を整理、管理するためのものでもあります。

例えば、採用の際に取得する「履歴書」や「職務経歴書」などが挙げられます。その項目の「利用目的」「保管場所」「保管方法(鍵付きキャビネットなど)」「管理者」「利用期限」「件数(概算)」を台帳に記入していきます。紙で使用するものだけでなくデータで管理しているものもここに記載しておきましょう。

 

 

②法令、国が定める指針その他の規範とは?

ここでは、事業者の自らの業務に関わる範囲の個人情報に関する法令を特定しなければなりません。そして、改正されればその最新版を維持していきます。

「その他の規範」とは、業界のガイドラインや顧客の要求のことを言いますので、ここには法令のみを特定していくものではありません。

 

 

③リスクなどの認識、分析及び対策

ここでは、①個人情報の特定(個人情報管理台帳)との関連性が必要とされます。

①で特定された個人情報の各局面のリスク(漏えい、き損、法令の違反など)を認識し、リスクを起こさない為の対策をしていきます。

リスクを漏れなく洗い出すためには、個人情報の取得から廃棄までの流れに基づいて、対策を講じいくことが必要です。取得から廃棄について分かりにくい方は、自身のお仕事の流れを想像してみてください。

人材派遣業界の方の場合、1つの例として挙げます。

 

まず、登録しに来られた方の履歴書をいただく(取得)。

→それを自社サーバーに打ち込む(入力)。

→履歴書は鍵付きのキャビネットに保管しておく(保管)。

→その方のデータを派遣先の企業にメールで送る(送信)。

→辞めることになった方の履歴書はシュレッダーで廃棄する(廃棄)。

 

という一連の流れとなる。この、取得から廃棄までで起こるであろうリスクを考えないといけない。だが、対策をするにも費用面、業務効率が犠牲となることがあるだろう。その際には、無理に対策をするのではなく、現状で講じるべき対策を講じた上で未対応の部分を「残存リスク」として把握し、対策していかなければいけません(対策不可能なことまでは対策はしなくてよい)。

 

 

④委託先の監督

ここでは、個人情報の取扱いを委託する場合は、十分な個人情報の保護基準を満たしている者を選定しなければいけません。

ですが、人材派遣契約は個人情報の取扱いの委託には含まれず、要求事項の対象外なのです。

また、清掃事業者、機器のメンテナンス事業者、警備会社等との契約も個人情報の取扱いがない限りは対象外に当たります。ただし、個人情報に触れる可能性かある委託先に関しては、立ち入る範囲を定めたり、守秘義務を盛り込んだ契約を交わしたりすることが望ましいですね。

 

 

⑤教育

教育は、すべての従業員に実施しなければいけません。直接に個人情報の取扱いをしていない部署であっても、実施義務があります。教育では集合教育、eラーニングなど事業者にとってやりやすい方法で行えばよいです。

教育は少なくとも年1回、必ず実施しなければいけませんのでお忘れなく。

 

 

⑥監査

監査とは、“個人情報マネジメントシステムと適合したマニュアルが作成できているか”、“このマニュアルに乗っ取った運用ができているか”を確認するものです。

全部門の監査が必要ですので少し大変な作業となりますね。

この監査の責任者でもある個人情報保護監査責任者になれるのは、客観的な立場にあるものを内部の中から指名した人です。なので、個人情報保護責任者、代表者(社長)はなることが出来ません。そして、客観的なという観点から自分が所属している部署監査を行うこともできません。ここは間違いやすいので注意しておきましょう。

そして監査も少なくとも年1回必ず実施しなければいけないのでお忘れなく。

 

 

⑦事業者の代表者の見直し

事業者の代表者は定期的にマネジメントシステムを見直さなければいけない。監査で出た指摘の確認や、外部からの苦情への対応についても言及することがある。

検討結果次第では、今後の事業計画への影響も考えられるため、経営判断が求められることがある場合もあります。なので、ただ日々を改善するというものとは次元が異なること知っていていただきたいです。

 

 

いかがでしたか。

7つの記録の要素、1つ1つ並べてみるとつながっているものが多々あります。ですので、「整合性」が求められます。記録を作成する際は「整合性」を確認しながら作成していくと良いですね。

 

今回は以上で「Pマーク(プライバシーマーク):Pマーク(プライバシーマーク)の取得及び運用する際に必ず必要となる記録類」のお話を終わらせていただきます。

最後までお読みいただき、誠にありがとうございました。

Pマーク(プライバシーマーク):とあるジオン軍がプライバシーマークを取るそうです (リスク分析編)

MIYAKO85_amanogawatentai20140725_TP_V

 

 

 

人類が増えすぎた人口を宇宙に移民させるようになって、既に半世紀が過ぎていた。地球の周りの巨大な人工都市は人類の第二の故郷となり、人々はそこで子を産み、育て、そして死んでいった。

 

宇宙世紀0093年。シャア・アズナブルは新生ネオ・ジオン軍を率い、自らが総帥となって新たな戦いを挑もうとしていた。

 

シャア「やあ。またあったな。」

 

アムロ「すまないな。またなんだ。」

 

シャア「構わんさ。で、次はなにが知りたいんだ?」

 

アムロ「そうだな。リスク分析とはなんなんだ?」

 

シャア「ほぅ。リスク分析という言葉を知っているのか。」

 

アムロ「あれから少し調べたのさ。よくわからなかったんだがな。」

 

シャア「自分で調べるということが大切なのさ。」

 

アムロ「リスク分析とはどういうことなんだ?特定した個人情報についてのリスクの分析を行うということはわかったんだが、肝心のリスク分析は何をしたら良いのかがわからないんだ。」

 

シャア「なるほどな。確かに、リスク分析とは何をしたら良いのかよくわからないものではあるな。」

 

アムロ「取扱う全ての個人情報の局面(ライフサイクル)でどのようなリスクの発生の可能性があるかを認識して、発生しそうなリスクがあるのか分析して、リスクの発生を防ぐ為の対策を講じること、とはどういうことなんだ?」

 

シャア「個人情報を取得から廃棄までのライフサイクルを漏えい、滅失、毀損の観点でリスク分析をするんだ。そうだな。わかりやすいものに例えるといいかもしれないな。」

 

アムロ「わかりやすいものに例えるか。」

 

シャア「ああ。例えば、戦艦から出撃して、帰還するまでの流れでリスク分析をしてみたらどうだ?」

 

アムロ「そうだな。一度やってみるか。」

 

シャア「では、出撃する時の流出などのリスクは何になるかな?」

 

アムロ「そうだな。流出はこちらのMSがスパイに盗まれることだな。滅失と毀損では進路上になにもないことや、敵がいないことだな。何かあると、機体ぶつかったり、落とされたりするからな。」

 

シャア「なるほどな。そう言えば、確か連邦のMSが強奪されたということが、UC0083年にあったと噂で聞いたな。」

 

アムロ「そうなのか?それは知らなかった。」

 

シャア「あくまでも風の噂だ。核装備のガンダムだとかなんとか。まあ、それはおいておくとしようでは、そのリスクを回避するためには何をしたら良いと思う?アムロ」

 

アムロ「ミノフスキー粒子を散布したり、索敵をすることになるかな。」

 

シャア「では、次は戦闘前の索敵になるか。そこでのリスクを分析してみようか。」

 

アムロ「そうだな。やはり、こちらの位置が敵にバレていることと、進路上の障害物、敵の待ち伏せだな。リスク回避としては、一機で行動しないこと、編隊を組んで行動すること、障害物に注意すること、障害物の影に注意することだな。」

 

シャア「流石だな。だが、どんなに注意していてもそのリスクを回避できないことがある。それを残存リスクというのだよ。」

 

アムロ「残存リスク・・・。そういうのもあるのか。」

 

シャア「ああ。どんなに注意していても待ち伏せされていたら、急には対応できないだろ?」

 

アムロ「そうなのか?」

 

シャア「アムロや私なら十分に対応できるだろうが、普通は対応できないものなのさ。」

 

アムロ「そういうものなのか。残存リスクというのは、つまり注意していても対応できないことのことをいうんだな。」

 

シャア「そこでの残存リスクは待ち伏せのリスクということになるかな?」

 

アムロ「ああ。そうなる。待ち伏せはどうしようもないからな。何度かやられてこともあるしな。」

 

シャア「そうだな。やったり、やられたりだな。では、次は戦闘だな。」

 

アムロ「戦闘も先に敵に見つかっていないかだな。それによって戦況がガラリと変わる。

後は、周りの様子と、仲間との連携だな。1人だと当然囲まれてすぐにやられてしまう。」

 

シャア「そういうふうに、自分のわかるものに例えてやっていけば、リスク分析がどういうものかというのが大体わかってくるはずさ。」

 

アムロ「確かにそうだな。自分のわかるものに例えてやっていけばどういう流れかがわかってくるな。」

 

シャア「それを、個人情報に置き換えて、個人情報を取得してから廃棄までの流れで、リスク分析をするのだよ。」

 

アムロ「なるほどな。だが、これは個人情報を取り扱っていないとわからないようなことばかりだな。」

 

シャア「確かにそれはあるな。例えばだが、自分が郵便をもらうとしよう。その時のリスクから考えても良いかもしれないな。」

 

アムロ「なるほどな。そこから考えるのも良いかもしれないな。リスク分析が少しずつだがわかってきた気がするよ。」

 

シャア「そうか。それは良かったよ。だが、リスク分析は奥が深い。自分では気がつかないリスクが潜んでいることもある。色んな角度からのアプローチをしていくほうがいいだろうな。」

 

アムロ「ああ、わかった。ありがとうシャア。色々と勉強になったよ。」

 

シャア「構わんさ。またいつでも聞いてくれ。」

 

アムロ「ああ。また、時間があれば、プライバシーマークについて教えてくれシャア。」

 

シャア「もちろんさ。次は何が知りたいんだ?」

 

アムロ「そうだな。次は―・・・」

 

 

プライバシーマークの取得に奮闘するネオ・ジオン!

果たして、無事取得することができるのか?

戦火の中、人は涙するしかないのだろうか

次回「プライバシーマーク強襲」

君は生き延びることが出来るか

最近のPマーク(プライバシーマーク)現地審査の傾向

_shared_img_thumb_PASONAZ160306230I9A1809_TP_V(1)

いつもご愛読ありがとうございます。

ISO総合研究所Pマーク(プライバシーマーク)コンサルタントの川端です。

もうすぐ待ちに待ったゴールデンウィーク!

これといった予定は特にないのですが(笑)やはり大型連休は楽しみなものです!

今年はより計画的にだらだらのんびり過ごせるようにします。

 

さて、今日は最近のPマーク(プライバシーマーク)現地審査の傾向について書いていきたいと思います。

 

 

Pマーク(プライバシーマーク)現地審査と聞くと、一度受けたことがある方は、「長い」「しんどい」「疲れる」といったような印象を持たれる方もいるのではないでしょうか。毎年違うところを指摘として残され、現地審査後もしばらくは、その指摘部分の修正に時間を取られて大変!といった声もたまにいただくことがあります。

 

 

なぜ毎年違う部分を指摘されるかというと、その主な理由は下記のようなものがあげられます。

・Pマーク(プライバシーマーク)審査は、サンプリングで行われるため

・前回審査とは別の審査員が審査をするため

・社会情勢の変化や関連法規制の変化によって、ルールが変わるから

などなど。

このような理由で、前回審査では指摘にならなかったようなところが審査で議題になることがあるのです。

 

 

さて、Pマーク(プライバシーマーク)現地審査が「社会情勢の変化」に左右されることがあるということは、審査にも毎年の「流行」というものがあります。

 

会社用携帯と個人携帯の2台持ちという方も結構いらっしゃるのではないでしょうか。会社には出勤せず、自宅から会社のネットワークに接続し、自宅で仕事をするという勤務形態の方もいらっしゃるのではないでしょうか。

 

そういった「変化」に柔軟に対応していくためにも、審査員さんは、最近の社会情勢の変化に合わせて審査を行っています。

 

 

その中で、お客様からの声を聞いていると、2点ほど、私が「最近の傾向かな?」と思う事があります。

 

 

一つ目は、スマートフォンをパソコンのUSBポートからケーブルにつないで充電をしていないか、というものです。

 

みなさん、きちんとスマートフォンを会社で充電している時、専用充電器でコンセントから充電していますか?パソコンのUSBポートからケーブルにつないで充電をしていませんか?

 

ちなみに、USBポートからケーブルにつないで充電をしていると、審査の際に目を付けられてしまいます。現在、実際には指摘になっていないようですが(私の知る限りでは)、今後、おそらく指摘としてあがってくると思います。

 

なぜ、これが良くないのかというと、充電をしているのか、データを抜き取っているのかの判断が見た目では分かりにくいからです。

 

この行為が日常化してしまうと、もし、データの流出、盗難があった時に、気づくのが遅くなり、大きな事故につながる可能性が高いからです。スマートフォンはもう小型パソコンのようなものです。もしものときに自分が疑われないようにするためにも、USBポートからケーブルにつないで充電するのではなく、専用充電器でコンセントから充電することをお勧めします。

 

 

二つ目は、審査の中で、現場を見る時間が長くなった、ということです。これは、あくまで、私が個人的に最近感じていることなので、あてにはならないかもしれません。

 

最近審査があった会社では、書類審査を早めに終わらせ、本社の安全管理を確認した後、本社から車で30分かかる場所にある支店まで、安全管理の審査をしたそうです。また、他の会社でも、車で10分以内の支店を5~6か所、予定時間の17時ぎりぎりまで見に行ったようです。

 

以前までは、比較的、現場の確認をする時間は短かったように感じましたが、最近では30分車で移動してまで現場を見る、といったように現場を重視してきているように思います。

 

これは、私の個人的な意見ではありますが、管理者や上席の役員などがいる本部に、個人情報保護に関するルールが周知できているのは当たり前、管理者がたまにしかいない支店や営業所にまで、ルールの周知、徹底ができているかをチェックしているのではないでしょうか。

 

支店や営業所で取り扱う個人情報も少なくない、むしろ本部よりも多くの情報を取り扱っているという会社もあるのではないでしょうか。本部では守られているけれども、支店や営業所では管理が甘い、といった状態では意味がありませんよね。

 

 

私の個人的な意見もありますが、やはり、少しずつ変化してきていると思います。スマートフォンの取扱いについても、ガラケー(フィーチャーフォン)と同じような取扱いでは不十分なこともあります。

 

 

Pマーク(プライバシーマーク)現地審査で来る審査員さんは、そういった最近の傾向も踏まえて審査してくれます。2年に一度しかない貴重な機会なので、わざわざお金を出してきてもらうので(笑)指摘を出ることを嫌がってその場しのぎをするよりも、どういったところが漏洩などの事故につながりやすいのかを、プロの目でチェックしてもらう場にするのもいいかもしれません。

Pマーク(プライバシーマーク)取得後は何をすればいいの?

_shared_img_thumb_TC160130040I9A6542_TP_V

ご愛読者の皆様、いつもありがとうございます。

ISO総合研究所コンサルタントの久米です。

今回は、「Pマーク(プライバシーマーク)取得後は何をすればいいの?」

お伝えしたいと思います。

 

 

Pマーク(プライバシーマーク)取得に向けて、

①マニュアル類の作成 ⇒ ②記録の作成・実施 ⇒ ③申請書作成 ⇒ ④形式審査

⇒⑤文書審査 ⇒ ⑥現地審査 ⇒ ⑦指摘改善 ⇒ ⑧審査会

⇒ ⑨Pマーク(プライバシーマーク)取得決定と

やっと取得出来たと思ったらダメですよ!!!!

Pマーク(プライバシーマーク)は、

自社のPDCA(ピーディーシーエー)サイクルを廻していく事が1番の目的です。

取得するまでよりも、取得後が1番大事で重要なんです!!!!

 

 

取得後は、1年を1サイクルとして、下記の項目を必ず見直しをしていきます。

Pマーク(プライバシーマーク)の更新申請は、2年に1度なので、

2年分の運用記録が必要です。

 

 

①個人情報の見直し

∟自社で扱う個人情報の洗い出しを行う。

例:件数の見直し、廃棄方法の見直し、媒体の見直し(紙なのかデータなのか)など

 

②法令関連の見直し

∟自社が業務をする中で必要な法令・条例の洗い出しを行う。(改訂も更新していく)

例:マイナンバー制度(↓正式名称は下記です)

「行政手続における特定の個人を識別するための番号の利用等に関する法律」

 

③リスク分析の見直し

∟見直しを行った「個人情報」のリスクを洗い出し、対策の見直しを行う。

例:取得・入力、移送・送信、利用・加工、委託・提供、

保管・バックアップ、破棄・消去の各項目に対しての対策を考える。

 

④委託先の見直し

∟自社の個人情報を委託している企業の洗い出しを行う。

例:メールサーバ会社、HPサーバ会社、社労士、税理士など

 

⑤教育の実施

∟個人情報に関する教育を実施する。

例:教育に関しては、計画の記録と実施の記録を作成、テストの実施が必要

 

⑥内部監査の実施

∟自社のPDCA(ピーディーシーエー)サイクルが運用出来ているかのチェックを行う。

例:監査に関しては、計画の記録、実施の記録を作成、各部署、各事業をチェックする。

1番重要なのは、所属している部署を監査は出来ないということ!!!

クロスチェックが重要なので、1人がすべての部署をみることは出来ません。

 

⑦代表者の見直し

∟内部監査の結果を元に、代表者がインプットに対するアウトプットを行う。

例:不適合の修正指示、今後の運用方針など

 

⑧マニュアル・安全管理に規程している運用の記録

例:来訪者記録、従業員の入退室記録、従業員の同意書・誓約書、

委託先との覚書(誓約書)、運用ができているかのチェック様式など

 

上記に列挙した項目は【最低限】必要な項目ですので、自社の運用に合わせ増えていきます。

 

☆Pマーク(プライバシーマーク)取得後に、よく不適合になるポイントを紹介

個人情報保護のガイドライン要求事項に、

「所属する認定個人情報保護団体の名称および苦情の解決の申し出先」に所属している場合は

公表しなければならないことになっています。

上記は任意なので、所属しなくてもいいのですが意外と皆様所属しています!!

(JIPDEC【一般財団法人 日本情報経済社会推進協会】のサイトで一覧が調べられます)

1度確認してみてはいかがでしょうか??

 

Pマーク(プライバシーマーク)取得後、プライバシーマークが付与されます、

このプライバシーマークにも、設定条件があるのをご存知でしょうか??

HP上にプライバシーマークを掲載する場合は、プライバシーマークをクリックすると

JIPDEC【一般財団法人 日本情報経済社会推進協会】に指定されたURLへ飛ぶように

リンクを張らないといけません。

こちらも1度確認してみてはいかがでしょうか??

 

上記2点に関しては、実際にお客様へ御伺いさせて頂きHPを拝見させて頂くと

結構な確率で両方もしくは片方ができていません。御社はいかがでしょうか??

 

 

担当者の方々へ

本業をしながら、上記の項目を1年づつ作成、更新、チェック。。。。。

上記をすべて出来ても、1つも評価はされません。

Pマーク(プライバシーマーク)は、

取得していれば売上が上がったり、受注が急に増えるわけではありません。

出来て当たり前と思われています。

こんな状態で、本業に精一杯(100%)の力が発揮できますか??

 

ISO総合研究所では平均半年、最短で3,4ヶ月(平均半年くらい)で

Pマーク(プライバシーマーク)が出来るようサポートさせて頂いております。

勿論、取得後の運用もサポートしております。

 

・これからPマーク(プライバシーマーク)取得を検討している。

・Pマーク(プライバシーマーク)を取得したけど、運用がうまくいかない。

・Pマーク(プライバシーマーク)を取得したけど、今後どうしたらいいのかがわからない。

などなど、一人で、自社だけでどうすればいいのかお考えでしたら

1度、弊社のお話しを聞いていただきご検討いただければ幸いです。

弊社は、現在、約1,400社様のサポートをさせて頂いております。

豊富な実績で精一杯サポートさせていただきます。

 

Pマーク(プライバシーマーク)を取得すると個人情報保護できるの?

_shared_img_thumb_OZP85_iPhonijirinagarairaira_TP_V

 

いつもブログをご覧になっている方、初めてですという方。

こんにちは。

ISO総合研究所の崎山です。

 

今回は、Pマーク(プライバシーマーク)を取ったら個人情報保護できるようになるのかということについてお話しします。

 

まず、結論から言いますと

“できません”

 

理由としては、さまざまありますが、

社内のセキュリティは多少あがるかもしれません。

主に

①定期的な教育

②ルール付けがしっかりされている

事が理由となります。個人情報に関する掲示物や周知が要因の場合もあります。

この行動の頻度がPマーク(プライバシーマーク)取得前と取得後で回数が変わります。

 

そもそも、Pマーク(プライバシーマーク)の構成は

①規程・マニュアル

②帳票

③記録

と大きく3種類に分けられます。

シチューに例えると

①お肉(規程・マニュアル)

②ニンジン(帳票)

③ジャガイモ(記録)

上記はどれも外せないものになります。一つでも外したら大変なことになります。

お肉ばかり食べていてもダメですし、逆にお肉の入っていないシチューはシチューじゃないです。

 

近年、個人情報の漏洩ニュースが大きく取り上げられる中、2,3年前は日本年金機構の情報漏洩事件、最近では大阪府堺市の役所職員が50万人以上の個人情報が漏れてしまいました。因みに原因は無断持出しでした。この事件は昨年12月の年の瀬に起こったこともあり、記憶に新しいのではないかと思います。

 

こうした個人情報の漏洩を防ぐアクションとしてPマーク(プライバシーマーク)があり

Pマーク(プライバシーマーク)を取ることで従業員の意識が高まります。

 

ここで、自分が担当している会社様の一例を紹介いたします。

①派遣業 A社

いままで、個人情報の取扱いについてそんなに意識が高くなかった会社でしたが、

今では、規程やルールがあることによって従業員一人一人が個人情報の取扱いに注意を払うようになりました。

※以前は、外部媒体(USB等)が主流でしたが今では、外部媒体を完全に禁止し、システムとPCの通信しか認めないことにより、媒体の紛失が無くなりました。

(貸与PCにも管理番号を付けて状況を把握しております)

 

②水道業 B組合

元々、担当者の個人情報取扱いの意識が高い方でしたが、Pマーク(プライバシーマーク)を取得したことにより、より細やかな個人情報の取扱いを推奨し、従業員にも周知徹底を促しております。

※実際に訪問もさせていただきました。張り紙や朝礼など様々な方法で従業員に周知を行っておりました。

 

③システム業 C会社

意識的には普通のレベルの会社でしたが、お手伝いをさせていただいている過程で様々な疑問が上がり、相談を受けたりする中で個人情報のセキュリティがドンドン向上していきました。

今では、同業他社様の個人情報の取扱いが気になるようで意見を求めております。

 

実際こういった会社様もあります。

 

ですがひとえにPマーク(プライバシーマーク)を取る目的として多くの会社様は

・取引先の要求

があったため取得を検討したとのお声をよくいただきます。実際、Pマーク(プライバシーマーク)を新規で取得する場合、ルール作りから記録作成まで必要書類を作成し、文章の審査、現地審査、指摘改善を経てようやくPマーク(プライバシーマーク)を取得できるようになります。ここまでくるのに短くて3ヵ月長いと1年以上もかかる会社様もあります。

実際、1年以上かかってようやく取得できたケースも聞きます。

上記の経緯も踏まえ、運用をスタートしていった場合、まだまだルールを作ってからそんなに時間が経っていない状況なので、ルールを運用するにあたって、業務の効率を鑑みて、さらに内容をスパイラルアップしていくことになります。

自分が担当している案件で7回更新をした会社様がありました。そこは、初期のころは

個人情報の取扱い方の右も左も分からなかったと担当者様はお話ししますが、更新を繰り返すうちに知識もついてきて従業員にも個人情報の取扱いを気を付けるようになったとお話ししておりました。

 

新規取得した後は、更新するための運用を開始するので自然と個人情報の取扱い方にも目が行くようになります。

運用をお手伝いさせていただいている会社の担当者様は

「この個人情報はどういう風に取り扱ったらいいのか」

「今度、新しく事業をするにあたり個人情報の管理を一新しようと思う」

「同じ業界で何か真似できるものは無いか」

等のご相談を受けたりします。

元々、取得当時はそんなに意識が高くなかった担当者様でしたが、取得をしてから

意識が変わり注意して個人情報を取り扱うようになりました。

ですが、個人情報漏洩の原因の8割はヒューマンエラーによるもの。

どこまで社内意識を高めようと、ルールを構築しようと、

個人情報漏洩が起きるときは起きてしまいます。

 

では、どうすればいいか?

それは起きてから、すぐに社長、あるいは個人情報管理者に報告できる仕組みが構築されていること。

これが一番大事です。

 

正直、Pマーク(プライバシーマーク)を取得しようと個人情報を保護できるわけではありませんが、

個人情報が漏えいした場合、どうすればいいかくらいは分かるようになるかもしれませんね。

 

また個人情報の取扱いにお困りの方

現在、マイナンバー制度も始まりに今までより個人情報の重要性が増してきましてきて、取扱いにも苦心・気苦労もあるかもしれないです。

これからどうしようとお悩みの方、僕たちISO総合研究所は皆様の味方になって

精一杯サポートさせていただきます。

このブログを読んで、少しでも興味が湧いたらお電話して下さい。