PMS(個人情報保護マネジメントシステム)における「PDCAサイクル」について

00_PP36_PP_TP_V
いつもご愛読いただきありがとうございます。
ISO総合研究所、Pマーク(プライバシーマーク)コンサルタントの花井です。

本日はPMS(個人情報保護マネジメントシステム)における「PDCAサイクル」についてお話しいたします。

プライバシーマーク審査機関から発行されているガイドラインの冒頭にPMS(個人情報保護マネジメントシステム)についての説明が書かれています。

「個人情報保護マネジメント規格であるJIS Q 15001:2006は、マネジメントシステム規格を作成する場合の国際規約であるISOGuide 72:2001(マネジメントシステム規格の正当性及び作成に関する指針)に従って作成されています。ISOの品質マネジメントシステムや環境マネジメントシステムと共通のマネジメントシステム原則を採用しています。

マネジメントシステム原則の主旨は、方針を作成し、それに基づいて計画を作成し(Plan)、実施し(Do)、点検し(Check)、見直し(Act)を行うという、いわゆるPDCAサイクルをスパイラル的に継続することにより、事業者の管理能力を高めていくことにある。この仕組みを採用することで、事業者は個人情報の保護レベルを維持または向上させていくことが期待される。」

PDCAサイクルを繰り返し継続させていくことで個人情報保護のレベルをあげていこうということが書かれています。

ここで、そもそもPDCAサイクルとはなんなのか振り返っていきましょう。

「Plan=計画」

目標を設定し、目標達成のために何をするべきか仮説を立て、プランニングすることです。

何をするのか・誰に対してするのか・なぜするのか・どのくらいの量を行うのか・いつまでに行うのか…など基本の5W1Hを更に詳しく分解して考えていきます。

「Do=実行」

計画をもとに実行することです。

計画したことを意識し、結果が分かるように、時間を測る・数を数えるなど数字を付けることが大切です。

「Check=評価」

計画に沿った実行が出来ていたのかを検証することです。

実行した結果が、良かったのか悪かったのかを判断します。その時に、実行で述べた数字を付けておくと具体的根拠ができるので検証の正確性が増します。

「Action=改善」

検証結果で見えた、課題の解決策を考え改善することです。

実行した結果、この計画を続けるか・止めるか・改善して実行するかなどを、この段階で考えます。この時に、次のサイクルの「Plan」を意識して考えることが重要なポイントです。

一般的なPDCAサイクルを回すことを求められ、そのことを意識して仕事に望んでいる方は沢山いると思います。

しかし、なかなか上手く回せている人がいないのが現状です。

その理由として考えられるのは、以下のようなものがあります。

①PとDはあるけどCとAがない(その行動がPDCAだと思い込んでいる)

これは、多くの人が陥っている状態だと思います。

まず、結果を分析してPlanに移るのではなく「こうなったらいいな」という願望で計画を立てて、Doします。

その結果が期待と乖離している状態だった場合、その差を埋めるための施策を自らの経験から思いつき、それを実行に移すのです。

要するに、結果を分析して適切な行動を取るというのではなく、単なる“作戦の変更”に過ぎない場合があります。

②改善を急ぎすぎる

「走りながら考える」を掲げることも多い、ベンチャー企業などによく見られるパターンかもしれません。

Doをしても、Checkに十分な時間が取れず、Planがしっかり立てられないことがあります。

成果を急ぎすぎるあまり、いろんな変更を実行しすぎるためにしっかりとPDCAのサイクルを回すことができなくなります。

それを続けていくうちに、複雑に様々な要因が絡まって分析ができなくなり、せっかく効果があってもノウハウになりにくいという悪い点も出てきます。

③計画倒れしてしまう

②とは真逆と言ってもいいのですが、分析と計画に時間を費やしすぎてしまい、実行に移すことなく終わってしまうというパターンです。

Planだけが繰り返され、本当に正しいものを突き止めるまでに時間がかかりすぎて、その間に市場やトレンドが変化してしまうということが考えられます。

正しいと確信した上で実行に移したとしても、間違っている可能性も十分にあります。1度で正解に辿り着ければそれほど嬉しいことはありませんが、「間違って当たり前」という意識でいることも重要なポイントです。

これが一般的なPDCAサイクルです。

では、具体的にプライバシーマークの要求事項とPDCAサイクルはどのように対応しているかを見ていきましょう。

・計画(Plan)
3.2 個人情報保護方針
3.3 計画

・実施(Do)
3.4 実施及び運用
3.5 個人情報保護マネジメントシステム文書
3.6 苦情及び相談への対応

・確認(Check)
3.7 点検
3.8 是正処置及び予防処置

・見直し(Act)
3.9 事業者の代表者による見直し

上記のように運用内容は、このPDCAサイクルに沿ったもので構成されています。このサイクルにより、よりその事業者の個人情報保護のレベルの向上が図れるようJIS規格で要求されており、要求に沿った形で運用を進めることで事業者の管理能力を高めていくようになっています。(スパイラルアップ)

やり方がわからない、もっと詳しく知りたいなどがございましたら、ぜひISO総合研究所にお尋ねください。

Pマーク(プライバシーマーク)認証成功事例!

N934_akusyuwomotomerubijinesuman_TP_V

 

いつもご愛読ありがとうございます。ISO総合研究所コンサルタントの下です。

今回は「Pマーク(プライバシーマーク)認証成功事例」について、お伝えさせて頂きます。実際に新規認証された企業の代表者様の声をまとめさせていただきました。

 

————————————————————————————————————————-取引先からの要求で今後の取引条件としてPマークの取得が必要になりました。

急に必要になった為何をしたら良いか分からずWEBで取得を支援している企業が無いか調べました。

ですが、どこにお願いしていいのかさっぱり分かりませんでした。価格的に一番手頃だったISO総合研究所に話を聞いたところ価格は一律で作業も事務局として手伝ってくれるので自社の項数が0になるとの事でした。楽に運用ができるならとISO総合研究所にお願いすることにしました。

 

 

自社ではPマークに関する知識は無かったためコンサルタントさんに相談しながら運用を開始していくことになりました。

当社は従業者10人以下でPマーク取得に担当者を付けることが出来ない為、社長の私が普段の業務をしながらPマークの業務をする必要がありました。只でさえ人手が足りず忙しいのにプライバシーマークの業務に手が回るか非常に心配しておりました。

ですが、毎回の打合せのヒアリングで規定の作成や、運用記録の作成を手伝ってくれるので大変助かりました。自社で運用することや確認が必要な事は訪問後のメールにて指示を残してくれるので何をするのか明確になっていました。また取得までのスケジュールを共有して進められたため安心して進めることが出来ました。

 

 

まずは個人情報の洗い出しから。個人情報と言っても何が個人情報に該当するのか?

個人情報とは氏名とその他の情報があれば特定が必要との事でした。自社の事でも一つずつ洗い出して行くのは困難でしたがコンサルタントさんにお手伝いしていただいて業務のフローから洗い出していくことで業務の都度発生する個人情報を改めて認識していくことが出来ました。また、社内で顧客情報や顧客リストと呼んでいても別の名称でも取り扱っていたり、社内で統一されていない名称があることも認識できました。

 

 

次にリスクの分析。リスクの分析と言うと難しく聞こえますが、特定した個人情報の取り扱いの流れの中でどのようなリスクがあるか、どのようなリスク対策があるか洗い出していくものです。今まで社内のルールとして運用していたことを文章にしていくと曖昧なルールで運用していたことが分かりました。具体的にリスク対策を書き出していくと改めてルールの見直しや現状どんな対策をしているかを確認することが出来ました。

新規認証の際にもPマークの一通りの運用が必要で個人情報に関する従業者への教育や自社で行う内部監査等Pマークに必要な取り組みを計画して進めていきました。

 

 

コンサルタントさんとの打ち合わせが進むにつれて現地審査に近づいてきます。最近の現地審査は厳しくなっているとの話を聞いていたため取得が難しいのではないかと心配でした。ですが、基本的には審査を受ければ取得は出来るとの事でした。

審査に通らない、審査に落ちる内容としては下記で、

①従業者の人数を誤魔化す等虚偽の申請。

②審査に必要な書類を提出しない、申請料を振り込まない等の申請の意思がないと見なされる時。

それ以外の内容であれば審査は通るとの事でした。

指摘事項が多く出てもしっかりと是正を行い対応していけば必ず通るとの事である程度心の準備をして現地審査に臨むことが出来ました。

 

実際に審査では指摘事項が多く出ましたが審査員の方が運用のアドバイスや改善のアドバイスをしてくれましたので指摘が出るからと言って悪いことではないと感じました。新規認証なので不十分な部分はありましたが現地審査を通して記録や規定を完成させていくイメージです。

指摘事項に対しては改善して書類を提出しないといけないのですが、これがまた一苦労でした。指摘事項の文書の意味合いが良くわからなかったり、対応方法が合っているのか分からなかったりしましたが、コンサルタントさんと相談をしながら書類を修正して進めていきました。そして提出と再指摘を審査機関と何度か繰り返しながらやっと指摘改善を終わらせられました。

 

 

審査機関とのやり取りが終わりPマークを取得できた時は非常に嬉しく、コンサルタントさんにも感謝しました。ですが、Pマークは取得後2年に1度更新が必要なのでここからは運用がスタートします。現状は運用中ですのでコンサルタントさんと打合せをしながら運用を進めています。

最初は何もわからない状態から始めましたがプロに相談して進めることで私の負担が大分減りました。自社の業務をしながらPマークの業務をするのは楽なものでは無いと感じました。専門的な知識が必要になるのでプロに任せてしまった方が早いし楽です。

今後もプロの力を借りながら運用し、更新申請をしていきたいと思っています。

———————————————————————————————————————-

 

いかがだったでしょうか。

今回ご紹介させて頂きました実際にPマークの新規取得をお手伝いさせて頂きましたお客様の声ですが新規取得以外にも現状運用中のお客様のお手伝いもさせて頂いております。

PマークやISOでお困りのことがございましたら弊社までお気軽にお問い合わせください!

 

 

Pマーク(プライバシーマーク)新規認証で見られるポイントは?

 

 

PAK85_lalakakudaikyouOL20140321_TP_V
いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの松本です。

さて、今回は「Pマーク(プライバシーマーク)新規認証で見られるポイントは?」というテーマについて考えていきたいと思います。

 

最近はマイナンバーの導入もあり個人情報についての意識が高まってきていますね。

Pマーク(プライバシーマーク)新規で認証・取得をお考えの方も増えてきていると思います。

 

初めてのPマーク(プライバシーマーク)取得のための審査となると、「審査に落ちたらどうしよう」「何を言われるのだろう」など、すごく不安な気持ちになりますよね。

 

そこで今回は、少しでも不安が少なくなるようにPマーク(プライバシーマーク)審査で審査員が見るポイントを皆さんに知らせていきたいと思います。

 

ところで皆さんはB社の漏えい事故はご存知でしょうか?

実はこの漏えい事故はきっかけと言っても過言ではないほど、最近のPマーク(プライバシーマーク)審査では厳しくなってきているのです。

 

じゃあ、どういうところが厳しくなっているのか。

実際にお客様から聞いたことや弊社のコンサルタントからの情報を基にJIS規格(JIS Q 15001:2006)の項目ごとにピックアップしていきたいと思います。

 

 

① 3.2個人情報保護方針

└ホームページに個人情報保護方針が掲載されているか。

└JIS要求事項の8項目を満たしているか。

 

② 3.3.1個人情報の特定

└業務で取り扱っている個人情報を漏れなく特定しているか。

└委託・提供をしている個人情報について特定しているか。

 

→給与関係の個人情報も細かく特定しておくといいでしょう。

 

③ 3.3.3リスク

└ライフサイクル(取得、移送送信、利用加工、委託提供、保管、廃棄)に沿ったリスク分析を実施しているか。

└残存リスクを把握しているか。

└特定した個人情報に対してすべてリスク分析されているか。

 

→ライフサイクルごとにリスク分析を行っているかがポイントです。

 

④ 3.4.2.4直接書面

└現地審査では従業員の同意書が全員分あるか確認されます。

└JIS要求の8項目を満たしているか。

└ホームページから個人情報を取得する場合は同意を得て取得する仕組みになっているか。

 

→全従業員分の同意書を取得していることがポイントです。

注意点として、採用選考前と後でそれぞれ分けて同意書を取得しているか。

 

⑤ 3.4.2.5直接書面以外

└利用目的を公表しているか。

 

⑥ 3.4.3.2安全管理(運用面の指摘が多め)

└入退室記録

└来訪者記録

└アクセスログの記録

└バックアップの方法

└安全管理規定とリスク分析が整合しているか。

 

→上記の項目を実際に運用しているのかがポイントです。

 

⑦ 3.4.3.4委託先の監督

└委託先の特定に漏れがないか。

└特定している委託先と覚書の締結ができているか。

└実際に契約書を見せないといけません。

└委託先の選定評価を行っているか。

 

→郵便関係の委託に関しては覚書の締結が難しい場合が多いですよね?

対策として約款を確認してコピーしておくといいでしょう。

 

⑧ 3.4.4.3開示の周知の事項

└ホームページに掲載されているか。

└JIS要求の6項目を満たしているか。

 

⑨ 3.4.5教育

└全従業員が教育を実施しているか。

└実際にテストを確認。

└テストを実施しただけでなく、答え合わせもしているか。

 

→全従業員分の教育テストがあるか確認されます。

特に、人材派遣業界ですと、派遣スタッフの教育テストも実施しないといけません。

何百人単位になってくると集めることが大変ですが、集めれらないと指摘になってしまいます。

 

⑩ 3.7.1運用の確認

└日常点検がしっかり実施されているか。

└入退室記録

└来訪者記録

└アクセスログの記録

 

→特にアクセスログを取得しているかは必ず聞かれます。

 

⑪ 3.7.2監査

└部門ごとに監査を行っているか。

└監査チェックリストのコメント欄が具体的に書かれているか。

└記録と事実が整合しているか、やっていないのにやったことになっていないか。

 

→ポイントは記録と事実が整合しているかです。

ここでは事実をそのまま記録に残しておけばいいのです。

 

⑫ 3.8是正処置予防処置

└監査で指摘が出たことに対して是正処置が行われているか。

 

 

JIS規格に沿ってそれぞれのポイントを上げてみました。

なんとなくポイントはわかっていただけたでしょうか?

 

ここまでは主に記録の確認です。

現地審査では社内も見回り、チェックされます。

では、社内ではどのようなところを重視してチェックされるのでしょうか?

 

大きく分けると2つの項目を確認されます。

 

1、サーバの状態

└アクセスログを取得しているか。

 

→何度もしつこいですが、アクセスログの取得は必ず聞かれます。

また、地震や災害が起こった時の対策はどうしているか。と質問されることも多いです。

 

 

2、パソコンの設定

└パスワード設定をしているか。

└スクリーンセーバはかかっているか。

└ウィルス対策ソフトは入っているか。

 

→社内にあるパソコンをランダムで選び、チェックされます。

日ごろからパソコンの設定は癖づけておくといいかもしれませんね。

 

以上、松本が「Pマーク(プライバシーマーク)新規認証で審査員はここを見ている!」ポイントをお伝えしました。

 

いかがでしょうか?
皆さんがPマーク(プライバシーマーク)新規認証の審査に備えて、少しでもお役にたてれば光栄です。

 

今回は、審査員が特に見るポイントを重視してみました。

審査員によってもっと細かく見る人もいるかもしれませんが、今上げた項目を知っていただけたら、審査の不安が少しでも軽くなったかと思います。

Pマーク(プライバシーマーク:JIS Q 15001) 規格解釈

_shared_img_thumb_YOTA82_yossya15122540_TP_V

いつもお読み頂きましてありがとうございます。

ISO総合研究所コンサルタントの前田です。

今回はPマーク(プライバシーマーク)の規格について、

前回に引き続きご説明していきたいと思います。

 

 

>3.3.3 リスクなどの認識,分析及び対策

>事業者は,3.3.1 によって特定した個人情報について,目的外利用を行わないため,必要な対

>策を講じる手順を確立し,かつ,維持しなければならない。

>事業者は,3.3.1 によって特定した個人情報について,その取扱いの各局面におけるリスク

>(個人情報の漏えい,滅失又はき損,関連する法令,国が定める指針その他の規範に対する

>違反,想定される経済的な不利益及び社会的な信用の失墜,本人への影響などのおそれ)を

>認識し,分析し,必要な対策を講じる手順を確立し,かつ,維持しなければならない。

ここで要求されているのは、3.3.1で特定した個人情報に対するリスクを

把握した上で、どんなリスクであるかを考えた上で対策を打つことを求めています。

個人情報保護マネジメントシステムを運用していく中で、一番重要なところはここだと

言っても過言ではないと思います。

またリスク分析においては、その個人情報を取得してから廃棄するまでの流れ、

ライフサイクルを考えて行うことを言われます。

例えば、履歴書という個人情報は、採用面接時に本人から手渡しで取得することが多いかと

思います。ここで想定されるリスクは虚偽の情報を受け取ったり、本人じゃない情報を

渡されてしまうことなどがあげられます。

対策としては別の方法で本人確認をする等でしょうか。

他には保管しているときのリスクです。盗難にあったり、盗み見られたりするのがリスクでしょう。となれば、管理する人を決めて、鍵付のキャビネットに入れておくのが

対策となりえそうです。

あとは対策を打っても残るリスクを残存リスクと呼んで、残存リスクも把握することを

求められています。

上記の例で言うと、鍵付キャビネットに保管していても鍵を壊されて盗まれるかもしれません。

ここではこれらのリスク、対策、残存リスクについて考える要求事項となります。

 

>3.3.4 資源,役割,責任及び権限

>事業者の代表者は,個人情報保護マネジメントシステムを確立し,実施し,維持し,かつ,

>改善するために不可欠な資源を用意しなければならない。

>事業者の代表者は,個人情報保護マネジメントシステムを効果的に実施するために役割,責

>任及び権限を定め,文書化し,かつ,従業者に周知しなければならない。

>事業者の代表者は,この規格の内容を理解し実践する能力のある個人情報保護管理者を事業

>者の内部の者から指名し,個人情報保護マネジメントシステムの実施及び運用に関する責任

>及び権限を他の責任にかかわりなく与え,業務を行わせなければならない。

>個人情報保護管理者は,個人情報保護マネジメントシステムの見直し及び改善の基礎として,

>事業者の代表者に個人情報保護マネジメントシステムの運用状況を報告しなければならない。

ここではヒトモノカネというような使える資源を用意し、人の役割、責任、権限を定めた上で、

従業員に知らせないといけません。

皆それぞれが個人情報を守っていくために、自分にどんな役割、責任、権限が

あるかわからないと、何をしていいかわかりません。

ここで特に重要なのは、個人情報保護管理者及び監査責任者を任命することが求められます。

個人情報保護管理者は仕組み作りの責任者なので事業者の代表者や代表者が任命した人が

なることができます。

監査責任者は作られた仕組みをチェックすることになるので、管理者と同じ人が

兼任することはできません。

これ以外にもガイドライン上では教育責任者やお問い合わせ窓口、苦情相談窓口などの

役割、責任、権限を設定するように言われています。

 

>3.3.5 内部規程

>事業者は,次の事項を含む内部規程を文書化し,かつ,維持しなければならない。

>a) 個人情報を特定する手順に関する規定

>b)  法令,国が定める指針その他の規範の特定,参照及び維持に関する規定

>c) 個人情報に関するリスクの認識,分析及び対策の手順に関する規定

>d) 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定

>e) 緊急事態(個人情報が漏えい,滅失又はき損をした場合)への準備及び対応に関する規定

>f) 個人情報の取得,利用及び提供に関する規定

>g) 個人情報の適正管理に関する規定

>h) 本人からの開示等の求めへの対応に関する規定

>i) 教育に関する規定

>j) 個人情報保護マネジメントシステム文書の管理に関する規定

>k) 苦情及び相談への対応に関する規定

>l) 点検に関する規定

>m) 是正処置及び予防処置に関する規定

>n) 代表者による見直しに関する規定

>o) 内部規程の違反に関する罰則の規定

>事業者は,事業の内容に応じて,個人情報保護マネジメントシステムが確実に適用されるよ

>うに内部規程を改定しなければならない。

ここで要求されているのは内部規程として、文書の作成を求められています。

全部で15個の文書を求められていますが、15個の規程をと作れというわけではなく、

15個の内容が盛り込まれていれば、1つの文書にまとめられていてもかまいません。

特にa~nの内容についてはJIS規格の各項番と一致していますので、

個人情報保護マニュアルのようなJIS規格を網羅したような文書があれば、

それで満たされていることがほとんどです。

参考までに項番を書いてみましょう。

 

  1. a) 個人情報を特定する手順に関する規定 3.1
  2. b) 法令,国が定める指針その他の規範の特定,参照及び維持に関する規定 3.2
  3. c) 個人情報に関するリスクの認識,分析及び対策の手順に関する規定 3.3
  4. d) 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定 3.4
  5. e) 緊急事態(個人情報が漏えい,滅失又はき損をした場合)への準備及び対応に関する規定 3.7
  6. f) 個人情報の取得,利用及び提供に関する規定 4.2
  7. g) 個人情報の適正管理に関する規定  4.3
  8. h) 本人からの開示等の求めへの対応に関する規定 4.4
  9. i) 教育に関する規定 4.5
  10. j) 個人情報保護マネジメントシステム文書の管理に関する規定 5
  11. k) 苦情及び相談への対応に関する規定 6
  12. l) 点検に関する規定 7
  13. m) 是正処置及び予防処置に関する規定 8
  14. n) 代表者による見直しに関する規定 9

 

以上となっています。あと残りの一つである違反に関する罰則の規定は、

Pマーク(プライバシーマーク)の要求事項上にはなく、何かしらの形で罰則の規定を用意することになります。

多くの場合は就業規則に罰則に関するルールが記載されているので、

そこを利用することが多いです。

>o) 内部規程の違反に関する罰則の規定 就業規則など

 

今回はここまでになります。引き続きお読みいただければ幸いです。

Pマーク(プライバシーマーク):最近の事故事例(紛失編)

_shared_img_thumb_Green11_kessai20141123152655_TP_V

 

いつもご愛読いただき誠にありがとうございます。

ISO総合研究所コンサルタントの小林です。

近年個人情報の漏洩やその事故についてニュースでもよく話題になり、企業の皆様もより一層の注意と教育を実施していることと思います。

 

 

 

さて今回のテーマは事故事例の紛失についてお伝えいたします。個人情報の漏洩事故といえばどんなものがあるのか、また何が原因で発生しているのでしょうか。

 

 

 

まずは、Pマーク(プライバシーマーク)付与事業者数と事故報告の件数についてです。

(平成22年~26年)

年度 22年度 23年度 24年度 25年度 26年度
付与事業者数 691 682 620 736 768
事故報告件数 1,590 1,434 1,447 1,627 1,646

 

上記をみると年々事故発生の企業数と報告の件数が増えていますね。Pマークを持っているからと言って、個人情報を漏洩しないわけではないのです。しかし、こうして報告を行うことで自社の中で原因をつきとめ、再発防止に努める活動が実施されます。

 

現状のPマークの付与事業者全体の数値はこちらです。

年度 22年度 23年度 24年度 25年度 26年度
付与事業者数 12,091 12,564 13,075 13,591 14,044

 

 年々Pマークを取得する企業が増えているのがわかります。

企業的、社会的にも個人情報に対する意識の向上が見受けられます。

JIPDEC HP 参照

http://www.privacymark.jp/news/2015/0825/index.html

 

 

 

 

そもそも漏洩事故と聞くと皆様はどんな事故を想像するでしょうか?実際どんな漏洩事故が多いと思いますか?

 

事故の発生原因 トップ3

 

1位 紛失 25%

2位 メール誤送信 18%

3位 宛名間違い 17%

 

JIPDEC HP 参照

http://www.privacymark.jp/news/2015/0825/index.html

 

 

こうして見てみるとウィルス感染や、車上荒らし、盗難等外部による影響が原因で漏洩事故が起こる確率は極めて低いと言えます。

 

 

一番の原因は事業者従業員によるミス、人為的なもので漏洩する確立が多いのです。

 

 

 

紛失が一番多いことがわかったところで次に、どんな紛失の事故が起きているか他社事例をご紹介致します。

 

 

奈良県立医大病院

奈良県立医科大学付属病院において、精神科を受診した患者の個人情報が保存されたUSBメモリが所在不明になっていることがわかった。

3月11日にUSBメモリを使用しようとした際、なくなっていることへ気付いたもの。前日10日に職員が執務室にあるパソコン内の検査所見を印刷するため、プリンターがある別室でUSBメモリを使用したが、それ以降の所在がわからないという。

紛失したUSBメモリには、同院の精神科を受診した患者283人の氏名やID、生年月日、年齢、検査所見などが保存されていた。USBメモリやデータに、パスワードは設定されていなかったという。

同院では警察へ紛失届を提出するとともに、対象となる患者に書面による説明と謝罪を行う。また別室へ持ち出す必要がないよう、執務室へプリンタを設置。USBメモリの利用を中止した。

 

 

滋賀銀行

滋賀銀行にて個人情報含む書類を一時紛失。同行長浜北支店にて渉外担当行員が顧客宅訪問の際に、面談の際の参考のために顧客個人情報含む書類を支店外に持ち出し、途中に立ち寄った場所の軒先に置き忘れたことにより紛失した。

後日当該書類の拾得者から、軒先に書類が放置されている旨の連絡があり、置き忘れによる紛失が発覚。同行は直ちに拾得者に会って当該書類を回収し た。また、当該書類に記載の顧客宅を訪問して事実関係説明とお詫びを行った。同行では原則として行外に顧客個人情報は持ち出さないことになっていたが、当 該行員は書類を無断で持ち出していた。現時点では情報の外部流出や悪用は確認されていない。

 

 

紛失事故は従業員のふとしたことがきっかけで容易に起こりえる事故です。会社全体でどれだけ個人情報が大切か、また漏洩した場合にどんな影響があるかを教育していく必要があります。また、その教育方法やどれだけ力を入れるかはやはり企業それぞれです。

 

 

 

その他の紛失事故についてもご紹介させて頂きます。

 

情報漏えい・紛失事故 2015年は6月15日時点で31社、40件が発生

2012年1月以降に発生した個人情報漏えい・紛失事故を年別にみると、2013年(87社、漏えい・紛失事故件数107件)が最も多く、2014年は (59社、同70件)と減少した。ただし、2015年(1月~6月15日)は31社、40件発生しており、前年を上回るペースで推移している(年毎に集計 しているため社数の合計は179社を上回る)。

1万件未満の漏えい・紛失事故が8割以上を占める

事故件数288件のうち、漏えい・紛失件数が最も多かったのは100件未満で95件(構成比32.9%)だった。書類などの紙媒体や個人利用の携帯電話を 紛失したことによる顧客情報の紛失が中心。以下、100件以上1,000件未満が78件(同27.0%)、1,000件以上1万件未満が67件(同 23.2%)と続き、1万件未満が8割以上を占めた。
ただ、100万件以上の漏えい・紛失は4件(同1.3%)発生した。上位4件の漏えい・紛失件数の合計は6,776万人分の個人情報で、全体の9割以上におよんだ。

漏えい・事故件数最多はNTTグループ

2012年1月以降、漏えい・紛失事故が最も多かったのはNTT(日本電信電話)で、合計21回だった。100%子会社のエヌ・ティ・ティ・コミュニケーションズ(株)、西日本電信電話(株)、東日本電信電話(株)などで発生した。
次いで、りそなホールディングス[(株)りそな銀行、(株)埼玉りそな銀行、(株)近畿大阪銀行]の9回、東京ガス、パナソニックの各7回と続く。
電話、ガス、金融など公共性が高い企業は保有する個人情報が多いことに加え、徴収業務などは人海戦術で多数の従業員が個人情報に触れる機会がある。顧客が記入した申込書や伝票などを業務中に紛失するケースなども目立った。

最悪の漏えい・紛失件数はベネッセホールディングスの3,504万件

1件の事故で漏えい・紛失件数が最大だったのは、ベネッセホールディングス[(株)ベネッセコーポレーション、2014年7月発生]の3,504万件で、 断トツだった。委託先社員による不正取得と転売が明るみになり、刑事事件に発展した。次いで、外部からの不正アクセスを受け最大2,200万件のIDが外 部流失した可能性を公表したヤフー(2013年5月発生)、合計672万人分の過去の顧客取引データを記録したコムフィッシュ(記録メディア)を紛失した 三菱UFJフィナンシャル・グループ[(株)三菱東京UFJ銀行、2012年11月発生]と続く。いずれも膨大な顧客情報を管理する大手企業で発生し、情 報管理の難しさを露呈した。

原因別 最多は紛失・誤廃棄

情報漏えい・紛失事故288件のうち、主な理由として最も多かったのは「紛失・誤廃棄」の132件(構成比45.8%)だった。次いで「誤表示・誤送信」が59件(同20.5%)、「ウイルス感染・不正アクセス」が53件(同18.4%)と続く。
最も多かった「紛失・誤廃棄」は、書類や記録メディアを廃棄処分していた事が社内調査等で判明したケースがほとんどで、実際に社外へ流失した可能性は低いとみられる。「誤表示・誤送信」は、システムトラブルや管理者の人為的なミスを中心に発生している。
1事故あたりの情報漏えい・紛失件数の平均では「盗難」が120万8,728件と突出したが、これは顧客データを不正取得されたベネッセホールディングス が押し上げたため。紙媒体が中心の「紛失・誤廃棄」と、機械的に情報を抜き取る「ウイルス感染・不正アクセス」との間には情報漏えい・紛失件数で8倍以上 の差がみられ、流出した際の被害の深刻度はケタ違いになる恐れがある。

 

Livedoor NEWS 参照

http://news.livedoor.com/article/detail/10246732/

 

いかがでしたか。紛失の漏洩事故はどんな企業には発生する可能性のある問題です。どれだけ教育に力を入れるのか、また他社がどのような対策や教育を実施しているかについては、当社のコンサルタントが数多くの事例を持っています。一番よく言われ多く実施しているのは、あっさり・しつこく同じ事を繰り返し実施する教育です。教育に課題をお持ちの方がいましたら、ぜひ一度ご相談ください。

 

Pマーク(プライバシーマーク):どこの審査機関に申し込んだらいいの?

-shared-img-thumb-PAK85_lalamaittawai20140321_TP_V

いつもご愛読ありがとうございます。ISO総合研究所の梅崎です。

一昨年、経済産業分野のガイドラインが改正され、昨年には個人情報保護法の改正、今年からは番号法が施行され、様々な法令の要求が、プライバシーマークの審査にも反映されております

 

通常、自社での運用となれば、担当者様は本業以外のプライバシーマークに関する作業により多忙を極めるかと思われますが、

事業者を取り巻く関連法令の変化により、更なる困難が予想されます。

個人情報保護法の改正関連として、第三者への提供、再委託先の把握、管理、個人識別符号が含まれるものが個人情報であるという解釈、小規模取扱い事業者への対応等が変化しています。

また、マイナンバーの取扱いに関しても、一般財団法人日本情報経済社会推進協会(JIPDEC)より、平成27年5月19日に、「番号法および特定個人情報ガイドラインへの対応について」が公表されておりますが、プライバシーマーク審査において、プライバシーマークの要求事項に基づいて対応を必要とする事項の適用箇所を中心に取扱い状況について確認されます。

 

そのような状況の中、これから記載する審査機関についての記述をご覧いただき、適切な審査機関の選定により少しでも指摘を減らし、ご担当者様の負荷を減らして頂ければと存じます。

 

まず始めに、現地審査に要する審査員の交通費・宿泊費等は事業者負担となっていることから、地域ごとの審査機関での審査が推奨されております。

例えば、北海道なら一般社団法人IT推進協会愛知なら一般社団法人中部産業連盟大阪なら一般財団法人関西情報センター中四国なら特定非営利活動法人中四国マネジメントシステム推進機構九州なら公益財団法人くまもと産業支援財団、といった審査機関がございます。

じゃあ東京は?と思われる方もおられるかと思いますが、まず一般財団法人日本情報経済社会推進協会、通称JIPDECで申請されている事業者の方が多数かと存じます。

このJIPDECは1967年に設立。プライバシーマーク制度運用を平成10年に開始しており、登録商標にもなっておられるので、プライバシーマークの審査において、その知名度は随一かと。ちなみに、現在の会長は牧野力氏。東京大学法学部を卒業し、通産省に入省。元通商産業事務次官というキャリアの持ち主です。

 

一方で、一般社団法人日本情報システム・ユーザー協会、通称JUASという審査機関もございます。

このJUASという審査機関は、1962年創立。現在の会長は東京海上日動火災保険株式会社の相談役、石原邦夫氏が務めております。活動目的は、「産業活動によるITの高度利用(経営革新を含む)に関する調査及び研究、普及啓発及び指導、情報の収集及び提供等を行うことにより、IT利活用の向上を促進し、もって我が国産業経済の発展に寄与することを目的とする。」と、協会概要に記載しております。

 

 

このJUASが前述のJIPDECと違うところは、プライバシーマークの審査を受けるにあたって、入会が必要という点です。

従業員数500名以上の企業・団体は入会金3万円、年会費30万円。従業員数500名未満の企業・団体は入会金3万円、年会費10万円。この入会によるメリットとして、各種セミナー等への参加ができる他、JUASのポータルサイトで、プライバシーマークの運用に有効活用できる情報(業種ごとの法令一覧)が閲覧できます。そして、一番のメリットとしてはJIPDECでは審査員による指摘数の振れ幅が大きく、審査員独自の観点からの指摘も多数発せられますが(審査員によっては、50~60個もの指摘を出す方もおられます!)、

JUASでは比較的、指摘数は少な目で、その内容も適切な指摘であることが多いです。

 

 

費用対効果を考えた上での選択は、このブログを閲覧している企業様、ご担当者様にお任せ致しますが、指摘数が10も20も違うと、再指摘や再々指摘が返ってくること可能性も高まり、そこで発生する工数もかなりのご負担かと思われます。

また、費用対効果という点では、ご担当者様のお時間を割き、関連法令の変化に対応し、規格について学び、本業の傍らで作業を進め、業務を圧迫されながらも、全て自社で運用されている企業様がまだまだ多数おられます。

そこで発生する手間を考えると、外部にアウトソースし、ご担当者様を本業に注力させることも一考かと存じます。

 

 

上記いかがでしょうか?昨年には個人情報保護法も改正され、マイナンバーの施行も本年から開始致しました。実務だけでもお忙しい中、それらの法改正に対応しつつ、プライバシーマークを維持することの労力はイメージ頂けたかと存じます。プライバシーマークを新規取得したい、またはプライバシーマークのための作業を減らしたいが、どのようにすればよいのかわからないという企業様、担当者様。

是非一度弊社にお問い合わせ下さいませ。50社の担当を持つ、経験豊富なコンサルタントが御社へお伺いさせて頂き、ご説明させていただきます。

Pマーク(プライバシーマーク)ってどのくらいで取得できるの?

LIG_h_agenttokeiwomiru_TP_V1
いつもご愛読ありがとうございます。
ISO総合研究所コンサルタント 濱田章弘です。

今回はプラバシーマークの新規申請についてお話させていただきます。
プラバシーマーク取得をお急ぎの方でよくご質問いただくのが、
「プライバシーマークってどのくらいで取得できるの?」
というものです。
お答えとしては「平均4か月で取得可能です。」ということになるのですが審査機関からのお返事を待つ期間もあるので明確にお伝えしないことがとてもむず痒いです。
今日は自社で管理可能な部分をできるだけかみ砕いてお伝えさせていただきます。

 

プライバシーマーク取得には最低以下の準備が必要です。

 

①審査費用
②最低3か月の運用実績
③審査での指摘対応完了

 

逆に言うとたったこれだけなんです。
そうそう、あとは最低限「個人情報保護管理者」「個人情報保護監査責任者」の役割2名が必要であると規格にも定められています。社長を含めて2名です。

それなのに。
それなのに。
プライバシーマーク取得にはものすごい準備が必要なのではないか、ものすごく人件費と手間がかかるのではないかとお考えの方がものすごく多いです。
その結果、「これも揃えたほうがいい。」「これも必要かもしれない。」と自社のルールをがちがちに固めてしまいます。
これでは審査で余計な指摘がでてしまいます。
これはPマーク自体のイメージのせいだと思います。

 

まずは簡単にプライバシーマーク取得のメリットとデメリットをお話させていただきます。

 

【取得のメリット】
・プライバシーマーク取得した取引先とスムーズに契約できる
・官公庁の入札に参加できる
・HP、名刺などにプライバシーマークを入れて同業他社より優位性をアピールでき信頼してもらえる

 
【取得のデメリット】
・プライバシーマークを使用する限りずっと運用を続ける必要がある
・2年ごとに更新が必要(審査あり)

 

①審査費用
審査に係る費用は審査機関によって同一です。
ですが皆さまが一番気にされるのは「審査に通るかどうか」だと思います。
審査では、会社で定めたルールを書面で確認して実際にそのルールで運用しているかだけです。
そのルールを“念のため”に多くすると自社でやらなければいけないことが増えるのは当然です。
まずは自社の現状を理解するために審査を受けて外部の目線で見てもらう。
そして指摘された箇所を改善していくことがプライバシーマークを取得する上で一番早いです。

 

②3か月以上の運用実績
初回のプライバシーマーク申請は最低3か月の運用実績が必要です。
これは実際に社内でPDCAサイクルを回し始めていますという実績証明のようなものです。
これも何を行えばいいかガイドラインをじっくり見て解釈するのもいいですが、まずは最低限規格で求められているものを実施していくことが大切だと思います。
そして今後社内で必要だと思ったら新しいルールを組み込んだ方が会社にとっても効果的であると色々な企業を見させていただき感じます。

 

③審査での指摘改善完了
さて、無事審査をクリアすると審査員から必ず指摘事項をいただきます。
その指摘改善を全てクリアすることで晴れてプライバシーマークの新規認証となります。
指摘改善は最も皆さまが楽しくないことかもしれません。
その指摘改善こそプロの力を借りて欲しいと心から思います。
なぜなら専門家には今までのデータの蓄積があるはずです。
例えばゴルフを始めようと思ったらまずはプロに教わりたいと思います。
そしてここはこうした方がいいと細かに指導されてうまくなると思います。
見てくれる人がいた方が確実に上手くなることは誰も否定しない事実ではないでしょうか。

 

さて、ここまでプライバシーマークの新規認証についての流れを書かせていただきましたがいかがだったでしょうか。

思ったほど準備が必要ではないとご安心していただけたかと思います。

最後に、最近よく社内の個人情報に対する意識を上げたいですというご相談を受けることについて書かせていただければと思います。
このご質問に対してもやはり一番有効なのは第三者の目で見てもらうことが一番ではないでしょうか。
そして違和感を見つけてもらい、そこを優先的につぶしたほうが社内の個人情報に対するレベルは早く上がります。

社内のレベルを上げたいと思ったらどうぞ早めに審査を受けてみてください。
そして審査を受けてからがスタートです。
審査を受けるのがゴールだと思っていると、また2年後に同じことの繰り返しになるかもしれません。
もちろん自社でプライバシーマーク取得から運用まで行うことは可能かもしれません。
費用も抑える事ができますね。
ただし、引継も無しでご担当が退職してしまってとても困っているというお話も少なからずお聞きします。
そのタイミングでコンサルタントのサポートを受けると誰も情報を掴んでいない状態なので審査は少し大変かもしれません。
もし費用対効果を検討してサポートの必要性を求めていらっしゃるのであれば、
私どもがお力添えをさせていただければとても光栄です。
あ、最後に貴社の所在している市区でプライバシーマーク取得のタイミングによって助成金が出ますのでもしタイミングがあえばしっかり受け取ってください。
もし自社はもらえるのかご不明であればご相談ください。

Pマーク(プライバシーマーク)更新時期とそれまでに何したらいいの?

-shared-img-thumb-CSS85_mbakubiwokashige20131019_TP_V

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの岡山です。

今年は暖冬と言われておりましたが最近めっきり寒くなって参りました。

皆様、風邪などにはくれぐれもお気を付けくださいませ。

 

さて今回は

Pマーク(プライバシーマーク)の更新時期とそれまでに何をしておかないといけないのか

についてお話しさせてもらいます。

 

更新をするに当たって、まずいつまでが更新期限でいつから更新の申請が

できるのかを把握する必要がございます。

 

例えば、先日お伺いした総合系の人材派遣会社のお客様ですとPマーク(プライバシーマーク)の

有効期限が2016年12月16日でした。そうしますと、申請書類を審査機関に提出する期限は

有効期限の4か月前となりますので2016年8月16日までには提出しないといけなければなりません。

 

さらに,今申し上げたのはあくまでも期限。

つまりは締切りですのでこの日をめがけて準備しているようでは余裕がないですよね。

自動車の免許更新のように、更新期間が設けられており更新申請は、

有効期間の終了する8ヶ月前から4ヶ月前までの間に行わなければなりません。

つまりは2016年4月16日から2016年8月16日までに

更新申請が出来ることがお分かり頂けると思います。

 

そして大事なのが運用の状況です。

 

運用でやっておかないといけないことを、弊社では7つ道具と呼んでいます。

1.個人情報管理台帳の更新

台帳は年1回の見直しが求められます。
新しく扱うことになった個人情報はありませんか?
もう扱っていない個人情報はありませんか?
それらを見直して台帳に反映しましょう!

2.リスク分析の更新

台帳と同じようにリスク分析も年1回の見直しが求められます。
リスク分析は台帳との紐付が必要になりますから、
台帳で変化があった個人情報はリスク分析に確実に反映しましょう!

3.関連法令の更新

法令は現在、御社と関連している法令が改訂していないかを確認し、最新の状態にしましょう!
改訂されているかはHPで簡単に調べることができます!

4.委託先の評価・選定の見直し

1年ごとに委託先は評価をしなおしましょう!
御社の個人情報を扱うのですからきちんと運用できているかのチェックは必要です!

5.教育の実施

Pマークでは年1回以上の教育の実施を求められます。

テストの解答用紙やアンケートなど、
教育を行った記録が求められますのでしっかり準備しましょう!

6.内部監査の実施

教育と同じように内部監査も年1回求められます。
本来なら2年間分必要になりますが、去年の分を実施していない場合、悩みますよね?
そんなときは正直に内部監査を行ってないことを不適合にしてしまいましょう!
そしてその後に是正処置を行ってくださいね!

7.代表者の見直し

内部監査を受けて代表者の方は
今後の個人情報の運用についてチェックを行いましょう。
ここで1年間の反省を行い、来年度の方針を決定します。

上記の7つは全て記録として残さなくてはならないものばかりです。
なかなか手間がかかります。

 

その他にも

・登記事項証明書(「履歴事項全部証明書」あるいは「現在事項全部証明書」)等、申請事業者の実在を証する公的書類 (申請の日前3ヶ月以内に発行のもの。コピー不可)

・定款、その他これに準ずる規程類

・会社パンフレット(ある場合)

などなど更新を行うための申請書及び記録、マニュアルや安全管理規程などたくさんの書類がPマーク(プライバシーマーク)には必要となります。

 

上記でご紹介しましたが作業や必要なものは当然これだけではございません。

特に本業を進めながらPマーク(プライバシーマーク)を運用するのは物凄く大変なことだと思います。

仮に僕が今このブログを読んでいただいているあなたの通常の業務をこなしながら

兼務でPマーク(プライバシーマーク)を運用出来る自信が全くありません。

ISO総合研究所では平均半年、最短で3,4ヶ月で

Pマーク(プライバシーマーク)が出来るようサポートさせて頂いております。

 

よくお手伝いさせてもらう前にお客様がよくおっしゃられているのが

・Pマーク(プライバシーマーク)を取得しているけど、運用がうまくいっていない。

・Pマーク(プライバシーマーク)を取得はできたけど今後どうしたらいいのかがわからない。

 

 

などなど、自社だけでどうすればいいのかお考えでしたら

1度、弊社のお話しを聞いていただきご検討いただければと思います。

ISO総合研究所では最短で3,4ヶ月、平均8か月でPマーク(プライバシーマーク)が

出来るようサポートさせて頂きます。

もちろん、1からPマーク(プライバシーマーク)を所得するお手伝いもさせて頂いております。

このような面倒な作業や面倒な運用はすべて弊社が引き受けます。

Pマーク(プライバシーマーク)のことでお困りの事、相談がありましたらお気軽にISO総合研究所にご連絡ください。

 

 

 

 

 

 

Pマーク(プライバシーマーク)担当者の作業の本当のところ

-shared-img-thumb-SEP_355215221321_TP_V
いつもご愛読ありがとうございます。ISO総合研究所 コンサルタントの岡本です。
みなさん、お正月はいかがでしたでしょうか。
私は長野の実家でゆっくりとした時間を過ごすことができました。猫とこたつでごろごろするのは本当に幸せです。ご飯を食べて、こたつで猫とお昼寝…たまりませんね。今年も良い一年にしましょう。

さて、今回のブログでは私が日頃感じている

Pマーク(プライバシーマーク)の運用では実際にどんな作業があるのか

をご紹介します。

 

経営者のみなさんはPマークの運用って「大変なのだな」と思っていただきたいですし、担当者のみなさんは 「うんうん、わかるわかる!」 と共感していただければ幸いです。

 

まず、Pマークの運用では以下のことをする必要があります。
①自社の持っている個人情報を洗い出して特定する
②自社がかかわる個人情報に関しての法律を特定してPMS(Pマークの運用)に導入する。
③ ①で洗い出した個人情報のリスク分析をする
④委託先の評価をする
⑤全従業員を対象に個人情報保護に関する教育をする
⑥定期的にPMSや個人情報保護の点検をする
⑦すべての部門、拠点の内部監査を実施する
⑧1年の振り返りを代表者にしてもらう

ざっくりですがPマークの運用についてなんとなくイメージできますでしょうか。
今回は①~③までの運用を担当者目線でピックアップしてみます。

 

①自社の持っている個人情報を洗い出して特定する
Pマークの運用ならば毎年最初から洗い出しをする必要はありません。年に1回見直しをすれば良いです。業務が変わらなければ「日付さえ更新すれば良い」なんておっしゃる審査員の方もいらっしゃいます。
楽勝ですね!余裕です!
日付を更新しましょう。
作業時間3分!
でもちょっと待ってください。
新しいサービス、始めていませんか。本当に去年と個人情報の取扱いは変わっていませんか。
Pマークの現地審査で一番指摘になりやすいのがこの「個人情報の特定」です。
審査員には「実態と合ってないよね、本当に見直ししているの?書き直し!」なんて言われちゃいます。新しい事業所ができたときはその事業所用の取扱い個人情報一覧をつくらなくてはいけません。気が付けば見直しで1時間書類と向き合っていた…なんて経験もあります。
そもそもどこまで特定していいのかするべきなのかが審査員次第なので難しいところです。

 

②自社がかかわる個人情報に関しての法律を特定してPMS(Pマークの運用)に導入する。
個人情報保護にかかわる法令や規範の改廃をしっかりチェックして「関係法令一覧」を更新しましょう。
実はここも審査員によっては日付の更新でOKって言われています。
楽勝ですね。だってネットで調べれば改廃状況なんて一目瞭然!
JUAS(一般社団法人 日本情報システム・ユーザー協会)の会員になれば改廃状況の最新版もポータルサイトでチェックできます。
さっそく日付を更新しましょう!
作業時間10分!
でもちょっとまってください。
「特定個人情報の適正な取扱いに関するガイドライン」
「行政手続における特定の個人を識別するための番号の利用等に関する法律」
この二つが追加になっていました。何からはじめたら良いでしょう。
見直し自体は簡単ですが、変更があったときが大変です。
必要に応じて規程類の見直し、様式の見直し、HP掲載事項の修正…段取りを組んで進めていきます。Pマーク担当者としては法令の改廃が行われないことを祈るばかりですね。

 

③ ①で洗い出した個人情報のリスク分析をする
でました。リスク分析。個人的にはリスク分析が一番ネックです。必要なのは特定した個人情報のライフサイクルに合わせてリスク分析を行うことです。取得のときはこんなリスクがあるよね、じゃあどういう対策ができているのか。果たしてその対策でリスクは無くなるのか。
弊社コンサルタントのTさんは夜中1時に起きてリスク分析を行うのが趣味だとか…。
(私は正直やらなくて良いならやりたくないです。)
ただ、一度新規構築で「リスク分析表」を作成してしまえばだいたいの運用は変わりません。最初の基盤さえつくればなんとかなります。
余裕ですね!だって個人情報の取扱いがかわらないからリスクも変わりません。
日付を更新しましょう。

でも最近のPマークの現地審査の傾向ではさらにこんなことを指摘されます。
  ・個人情報一覧と対応するように紐づけを行いましょう。
  ・関連規程の最小項番まで書いて対応する規定を明確にしましょう。

前回の審査では言われなかったよね?なんて通じません。前回のOKも今回はNOです。社会の動きに合わせて変化していきます。

作業内容は個人情報台帳の番号を追加し、リスク分析一つひとつに番号を振り、その対策に該当する規程を書いていきます。
例:
①手渡しで受け取る際は必ず授受記録をとる。 ①安全管理規程◯章◯条(◯)
②一時保管場所を定める。          ②安全管理規程□章□条(□)
実際に私もあるリスク分析の修正で安全管理規程とにらめっこして4時間かかりました。やることは簡単ですが時間がかかってしまいます。

 

①~③を例にしてご紹介しましたが、作業はこれだけではありません。
ひとつご理解いただきたいのは「私たちISO総研社員は作業に慣れている」という点です。
本業を進めながら不慣れなPマークの運用を行うことはとても大変です。Pマークの運用そのものには利益でませんので本業のパフォーマンスが落ちるだけです。

「ああこの作業面倒だな…なんで私がやらなくちゃいけないの。」

と思ったら是非弊社サービスをご活用ください。
面倒な作業引き受けます。
弊社コンサルタントが作業をしますので、チェックをしてください。
手を動かすのは私たちだけで十分です。

Pマーク(プライバシーマーク)って何???

-shared-img-thumb-CSS85_mbakubiwokashige20131019_TP_V

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの遠藤です。

 

 

今回は、「そもそもPマーク(プライバシーマーク)って何だ?」

というアナタのために、基礎知識をご案内いたします!

 

 

 

◆プライバシーマークって?

 

 

・「個人情報の取り扱いを適切に行っている会社だよ!」というのを認める制度

・経済産業省の指導管轄のもとで運営

・一般財団法人日本情報経済社会推進協会(JIPDEC)が管轄

・平成10年4月1日から開始

・JIS規格

・詳しくお調べになりたい方はこちらから

http://privacymark.jp/privacy_mark/guidance/index.html

平成17年の「個人情報の保護に関する法律」(個人情報保護法)施行に伴い、認知度、登録事業者数も増加の一途をたどっています。マイナンバー制度の導入で、更にニーズの高まっている規格です。

 

 

 

 

◆プライバシーマークの目的

 

 

1.個人情報への意識を高め、取得事業者が社会的信用を得られるメリットを作っていこうとしている

2.消費者の目に見える「マーク」で示すことで、個人情報が保護されているという消費者の意識も作っていこうとしている

 

 

共通の基準を設けることで、企業、消費者双方の意識を高め、かつ、意識の高さを「見える化」しようというのが目的になっています。

一方で、プライバシーマークの取得事業者側から見た「目的」の大半は、顧客要求に対応することです。具体的にプライバシーマークが取引要件になっているケースの他、個人向けの事業を行っている事業者様が、信頼補完を目的に取得されるケースもあります。

 

 

 

 

◆プライバシーマークを取得するには?

 

 

・規格に合った個人情報の管理体制を作る

※JIS Q(ジスキュー)15001「個人情報保護マネジメントシステム―要求事項」

・審査機関に申請をする

・審査機関による現地審査をうける

・規格に合っていることが確認され、マーク取得!

 

 

審査機関による現地審査の段階で、100点の仕組みが出来ている必要はありません。

不足する部分がある場合には、修正点を教えてくれます。修正し、規格の要求している内容と合っていることが確認された段階で、マーク取得が可能です。「まずやってみる」のが、プライバシーマーク取得への一番の近道であることは間違いありません。

 

 

 

 

◆プライバシーマークを受けられるか受けられないか

 

 

プライバシーマークの取得の前提条件として、受けられる会社と受けられない会社があります。そちらもご紹介いたします。

 

 

<プライバシーマークを受けられる>

・国内に活動拠点を持つ事業者

・法人単位で受けられる

・従業者2名以上

・医療法人等、及び学校法人等など、一部例外はあり

・外国法人でも日本の法律に基づいて視点として登記してあれば受けられるが取り扱いは日本国内のみ

 

 

基本的には受けられる事業者が多くなりますが、法人登記のない個人事業主(社労士など)が審査を受ける場合、審査機関はJIPDEC(ジプデック)の一択となります。

 

 

 

<プライバシーマークを受けられない>

・禁錮以上の刑に処せられ、執行を終わった日(受けることがなくなった日)から25年を経過しない役員がいる場合

・個人情報の保護に関する法律を違反して刑に処せられ、執行を終えた日(執行をうけることがなくなった日)から2年経過していない役員がいる場合

・暴力団員による不当な行為の防止等に関する法律の規定に基づき、指定暴力団又は暴力団連合に指定された絵暴力団の構成員であるものが役員にいる場合

・インターネット異性紹介事業者が提供するサービスで、事業者名や代表者名なんかを、登録者や利用者が利用できない場合

・管轄する都道府県の公安委員会に届け出てしていないインターネット異性紹介事業者

 

 

 

<審査を受けても通らない>

以下の4パターンです。

・更新期限までに、更新の申請をしない

・審査料を支払わない

・現地審査の指摘事項に対応しない

・虚偽の申請

 

 

いずれも、普通に申請し、審査を受け、審査のルールを守っていれば発生しないケースばかりです。

 

 

 

<マークの取り消しについて>

・個人情報の漏洩、紛失などの事故を起こして、欠格レベルが10と判定された場合

 

 

事故=マークの取り消しにはなりません。

審査機関に事故の概要・対策・対策の実施を報告し、欠格レベルを判定されます。

欠格レベルは0~10まであり、10だと取り消し、8や9だと一時停止等の措置になります。欠格レベルが10と判定された事例は、2014年秋に発生した大規模な流出事故がありました。この事例でも、当初は欠格レベル10の判定はされていませんでした。そのくらい、欠格レベル10というのは、稀な事例になります。

 

 

 

最後に、、、

プライバシーマークの取得にお悩みの場合、マークが必要なのであれば、まず行動することが先決です。100点の仕組みを作って運用してから・・・なんて考えていて、何年も前に進んでいない事例は星の数ほどあります。行動し審査を受け、審査で受けた指摘事項に一つ一つ対応していけば、プライバシーマークは取得できます。考えて止まっている間に、取得出来てしまいます。

 

 

最近は、マイナンバー制度の開始に伴い申請事業者数も増加の一途で、申請から審査まで3カ月以上待つなんて事例も発生しています。

「そんなに待てない!」「少しでも早く取得したい!」そんなご要望がございましたら、是非、ISO総合研究所にお声掛けください!すぐにコンサルタントがご説明にうかがいます。