もしも赤穂浪士がPマーク(プライバシーマーク)を持っていたら!?

赤穂浪士

いつもご愛読いただきありがとうございます。
ISO総合研究所コンサルタントの國分です。

「Pマーク(プライバシーマーク)を取得したいけど、何をしたらいいんだろう?」
「最近改訂したとかなんとか…どうしたらいいんだろう?」
「規格を見ても難しいことばっかり書いてあるな・・・」

と思われる方は少なくないのではないでしょうか?

本日は、会社の人もほとんど知らない「隠れ歴女」の私が、『もし歴史上の人物がPマーク(プライバシーマーク)を持っていたら・・・』というお話をさせていただきます。

今回のPマークを持っていたら・・・は、忠臣蔵の「赤穂浪士」です。

忠臣蔵ってなに?

まず、簡単に「忠臣蔵ってなに?」というお話をします。

忠臣蔵というのは・・・
昔、赤穂のお殿様が、江戸城で吉良上野介という人物と喧嘩をして切腹させられてしまい、そのお殿様の部下たち(=赤穂浪士)が、「吉良上野介をやっつけよう!」と集まって、討ち入りに行く、というお話です。

では、そんな赤穂浪士たちがPマークを持っていたらどうなるのでしょう?

今回は特に、改訂版のPマーク(プライバシーマーク)要求事項
JISQ15001:2017のA.3.4.2.5「A.3.4.2.4のうち本人から直接書面によって取得する場合の措置」、A.3.4.3.3「従業者の監督」をピックアップしてみます。

「赤穂浪士」を企業としてみたら

まず「赤穂浪士」を企業としてみていきましょう。

・赤穂浪士株式会社
・従業員人数47名
・・・Pマーク(プライバシーマーク)審査基準の中規模に該当しますね。

まず、従業員から同意書、誓約書というものを取得します。

同意書と誓約書・・・何が違うの?と思われるかと思います。
ここをご説明いたします!

「同意書」と「誓約書」の違い

まず、同意書について。

JISQ15001:2017のA.3.4.2.5「A.3.4.2.4のうち本人から直接書面によって取得する場合の措置」では、あらかじめ書面によって、本人の同意を得なければならない。と要求されています。

「吉良邸に討ち入るメンバーとして参加します!」
と申し出るときに、氏名、住所、年齢等々・・・つまり個人情報を伝えます。

すると、赤穂浪士株式会社がその浪士に対して、
「あなたの個人情報は討ち入りにかかわる業務にしか使わないですからね」という約束を同意書で取り交わします。

そして、誓約書を取得します。
これは、A.3.4.3.3「従業者の監督」で組織は当該従業者に対する必要かつ適切な監督を行わなければならない。と要求されています。

「赤穂浪士として務めるからには業務で仕入れた個人情報は他言しませんよ。もし途中でメンバーから抜けても、討ち入りが終わるまでの1年間は漏らしません。」
と浪士が赤穂浪士株式会社に対して約束します。

もし、漏洩して討ち入りのことがばれてしまったら、赤穂浪士株式会社は大きな損害(命がけ)が生じてしまいますので。

もし途中で、「やっぱり討ち入りには参加しません!」と決断しても、やめたからといって誓約書が無効になるわけではなく、1年間は守りますよとお約束しています。
この「1年間」の部分は、会社ごとに期間を決めていただけます。

これで、双方の個人情報が保たれたまま、吉良邸への討ち入りまで漏洩なく挑める・・・ということになります。

みなさん、同意書と誓約書についてお分かりいただけたでしょうか?

同意の取得方法

他にも、同意を取得する方法はたくさんあります。

例えば、手紙で取得するときは、どうやって同意をとるか。
ホームページで取得するときは、どうやって同意をとるか。

たくさんパターンがあって、どれが適しているのかわからない!という方は、是非弊社までご連絡ください!

また、Pマーク(プライバシーマーク)取得、維持、審査についてなど、お困りごとがございましたら是非ご相談ください。

Pマーク規格改訂で何が変わったの?どこが変わったの?

YUKA150701038569_TP_V

いつもご愛読いただきありがとうございます。
ISO総合研究所のコンサルタント前田です。

さて、今回はPマーク(プライバシーマーク)JIS Q 15001:2017の改訂における改正点について述べていこうと思います。

改正点を大きく4点でお伝えします。

1.規格の構成
2.要求事項の追加
3.旧規格からの改善点
4.参考規格

1.規格の構成

大きく言いますと、マネジメントシステム要求部分と管理策の附属書Aに分かれて記載されるようになりました。
また、附属書Aの参考情報の附属書Bと附属書C、旧規格との対応をまとめた附属書Dができました。

・マネジメントシステム要求
・附属書A
・附属書B
・附属書C
・附属書D

の5つの構成になったわけです。

審査に関わるメイン部分は管理策である附属書Aとなります。
附属書Aの内容を見てわからない場合は、附属書B、附属書Cを見れば補足が書かれているのでより理解をしやすくなるかと思います。

2.要求事項の追加

個人情報保護法の改正に伴って、JIS Q 15001:2006の要求事項に、JIS Q 15001:2017で要求事項が7つ追加になりました。

1)特定機微な個人情報 → 要配慮個人情報 に変更
2)個人情報 → 個人データ に変更
3)開示対象個人情報 → 保有個人データ に変更
4)外国にある第三者提供の制限(A.3.4.2.8.1)
5)第三者提供に係る記録(A.3.4.2.8.2)
6)第三者提供を受けるときの確認(A.3.4.2.8.3)
7)匿名加工個人情報(A.3.4.2.8.4)

以上の7箇所は特に注意してみていくと良いです。

3.旧規格からの改善点

ただし書きの引用箇所が変更。

直接書面取得の場合の措置についての引用箇所が変更になりましたが、要求事項の意味には変更がないので注意。

4.参考規格

JIS Q 27001:2014(情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項)を参考にしたようです。

要求事項の3項の用語及び定義は、JIS Q 27000:2014(情 報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語)を参考に、今回の規格の内容に合わせて一部修正する形にされています。

最後に

いかがでしょうか?
規格改訂に限らず、Pマーク(プライバシーマーク)でご不明点・ご相談がありましたらいつでもお問い合わせください。

↓ ↓ ↓ 規格改訂について、もっと詳しく知りたい方はこちら ↓ ↓ ↓
osaru

Pマーク(プライバシーマーク)の規格要求事項で改定されたパスワードのルール

b5f382a9377ea9998fc6a0d22cdccdf6_m

いつもご愛読ありがとうございます。
ISO総合研究所のコンサルタント南です。

毎日暑い日が続きますね。
休日はクーラーの効いた部屋でテレビを見ながら過ごすのが一番ですね。

テレビを見ながらふと、「芸能人のプライベートな写真や情報が流失してしまうことが多いよなあ・・・」と思いました。

もちろん関係者が流してしまうということもあると思いますが、少し前に芸能人のメールアカウントに不正ログインされて情報が流失してしまうという事件がありました。

原因としてはパスワードやIDを誕生日や電話番号等、推測されやすいものに絡めて設定してしまっていたということが挙げられました。
やっぱりパスワードの設定って大切ですよね。

そこで今日は、Pマーク(プライバシーマーク)の規格要求事項で改定されたパスワードのルールについてご説明していきたいと思います。

JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)が改訂されました。

今までPマーク(プライバシーマーク)の基準になっていた「JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)」が、2017年12月20日に、「JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)」に改訂されました。

JISQ15001:2006年版の3.4.3.2安全管理措置の規格要求事項では、定期的なパスワードの変更が求められていましたが、JISQ15001:2017年版では有効期限の設定がなくなり、かわりに複数サービスで同じパスワードの使いまわしをしないことが盛り込まれました。

3.4.3.2安全管理措置

(旧)
① パスワードの有効期限を設定している。
② 同一又は類似パスワードの再利用を制限している。
③ 最低パスワード文字数を設定している。
④ パスワードの設定方法(文字、数字、記号を必ず混ぜて設定する等)を定めている。
⑤ 一定回数以上ログインに失敗したIDの停止等の措置を講じている。
運用確認のためのエビデンス
・個人情報を取り扱うコンピュータ、サーバー等の設定
・個人情報へのアクセス状況に関する記録

(新)
① 最低パスワード文字数を設定している。
② パスワードの設定方法(文字、数字、記号を必ず混ぜて設定する等)を定めている。
③ 一定回数以上ログインに失敗したID の停止等の措置を講じている。
④ パスワードの設定変更をする場合には、類似パスワードの再利用を制限している。
⑤ 複数のサービスで同一のパスワードを使い回さないことを求めている。
⑥ 漏えいした、または漏えいのおそれがあるパスワードは、速やかに変更することを求めている。

※引用:JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版

改訂の背景と注意点

こうなった背景として、パスワードがパターン化して簡単になってしまうことや、使いまわしになることによってかえってセキュリティレベルが低下してしまうのではないかということが懸念されたからです。

具体的には、定期変更の場合ほとんどの人は面倒くさくなって昔使っていたパスワードの再利用や、今使っているパスワードの一部だけ変更して使う等があげられます。これだとパスワードがパターン化してきてしまい、推測しやすいので不正アクセスされる危険性が高くなってしまいます。

ただ注意してほしいのが、有効期限の設定をするなということではなく、変えるのであれば完全に毎回パターンの違うものを使って推測されないようにしてほしいということです。

企業として業務上定期的なパスワード変更が必要になる場合もあると思います。
その場合、推測されないようなパスワードの設定を心がけましょう。

最後までお読みいただき、ありがとうございました。

通販サイトにおける個人情報の取扱いと、ウェブ上で個人情報を取得する場合の措置

blackmondayIMGL0446_TP_V

いつもご愛読いただきましてありがとうございます。
ISO総合研究所 コンサルタントの野村彩紀子です。

8月も中盤に入り、スイカのおいしい季節となりましたが、皆様いかがお過ごしでしょうか。

暑い日が続き、プールに入りたくなるような気候が続きますね。
私は先日、会社の同僚たちとプールに行ってきました。よみうりランドのプール。ウォータースライダーが10分並べば順番が来るので、案外穴場です。

プールに行くことになり、私は浮足立ちました。せっかくなんだから、水着を買おうか。
そんな衝動に駆られ、通販サイト楽天を見ました。日用品も、衣類も、家具も、なんでも売っている楽天さん。

今回も例のごとく楽天をみていたら素敵な水着を見つけ、すぐに、購入ボタンをクリックしました。
私は会員になっているので、特別に住所や氏名等を入力することもなく購入が完了しました。

そこで疑問に思いました。私の個人情報は某通販サイトのどこで管理されているのでしょうか。

今回のブログではそんな通販サイトにおける個人情報の取扱いと、ウェブ上で個人情報を取得する場合の措置についてお伝えさせて頂きます。

会員登録

通販サイトを使用する際、まず最初にすることは会員登録ですね。
メールアドレスやID,パスワード、氏名を入力し、「個人情報保護方針」「会員規約」に同意します。

この個人情報保護方針の中には「お客様の個人情報にアクセスする者」という項目があり、楽天内のショップでお買い物をした場合には、各ショップが個人情報にアクセスできるようになる旨が記載されています。
これが、先述した私が購入をクリックしただけで、特別に住所や氏名等を入力することもなく購入が完了できた理由です。

楽天は会員登録時に個人情報を取得、商品購入時にはその情報を各ショップに与えることで、ユーザーが商品購入時に毎回自分の個人情報を入力しなければいけない手間が省けるわけです。

個人情報をウェブ上で取得する際の注意点

また、Pマーク(プライバシーマーク)取得企業が個人情報をウェブ上で取得する際は、気を付けないといけない点が2つあります。

①暗号化対策
(JIS Q15001:2006 3.4.2.4 本人から直接書面によって取得する場合の措置)

通称、SSL化。Secure Socket Layerの略で、インターネット上で情報を暗号化して送受信できる仕組みのことです。
個人情報・クレジットカード情報などの大切なデータを安全にやりとりできます。

例えばクライアントPCとサーバ間のHTTPやFTPなどの通信において、クレジットカード情報の機密性の高いデータを、SSLにより暗号化して安全にやりとりできます。
Pマーク(プライバシーマーク)取得企業が個人情報をウェブ上で取得する際には必ずSSL化を実施しなければなりません。

②個人情報情の入力時の同意文の掲載
(JIS Q15001:2006 3.4.3.2 安全管理措置)

個人情報入力フォーム等で、どういった目的で個人情報を取得するのかを記載する必要があります。
そこで示さなければいけない事項は以下です。

1.事業者の氏名又は名称
2.個人情報保護管理者の氏名又は役職、所属及び連絡先
3.利用目的
4.個人情報を第三者に提供することが予定される場合の事項
5.個人情報の取扱いの委託を行うことが予想される場合にはその旨
6.JISQ15001の3.4.4.4~3.4.4.7に該当する場合にはその求めに応じる旨及び問い合わせ窓口
7.本人が個人情報を与えることの任移籍及び該当情報を与えなかった場合に本人に生じる結果
8.本人が容易に認識できない方法によって個人情報を取得する場合にはその旨。

上記2点はPマーク(プライバシーマーク)の規格要求で求められており、プライバシーマーク取得企業は必須となります。

まとめ

いかがでしたでしょうか。
ぜひ、また通販サイト等を利用する際には以下の3点を確認してみてくださいね!

①利用規約・個人情報保護方針の内容
②個人情報入力ページにはSSL化が施されているか
③個人情報入力時に個人情報の利用目的を明示されているか

最後までお読みいただき、ありがとうございました。

Pマーク(プライバシーマーク)の規格改訂って何が変わるの?

YUKA150701038569_TP_V

いつもご愛読いただきありがとうございます。
ISO総合研究所 千葉です。

だんだん気温も上がり、春らしい様子が見られるようになってきましたね。
服装も軽装になり、色も明るいものが増え、気分も変わってきました。花粉症の人にはつらい季節ですが…頑張ってのりきりましょう!

さて、Pマーク(プライバシーマーク)は、2017年に新たな動きが始まりました。

今までPマーク(プライバシーマーク)の基準になっていた「JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)」が、2017年12月20日に、「JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)」が改訂されました!
Pマーク(プライバシーマーク)業界では11年ぶりの規格改訂となっています。

そもそも規格改訂とは?

しかし、巷では騒がれていますが、そもそも規格改訂とは何のことだろうと考えたことはありませんか?

そもそも、Pマーク(プライバシーマーク)を運営するに当たり、皆様の社内に「ルール」が作られていますね。
「個人情報保護マニュアル」「個人情報保護規程」「○○手順書」等、各企業によってその前は異なり、様々なルールが存在していると思います。

このルールを作るにあたり、ベースとなる規準が存在しています。
これが、「個人情報保護マネジメントシステム」つまり、「JIS Q 15001」にあたります。

しかし、情報セキュリティ等時代の変化が激しい昨今、この基準は何年も同じものを使い続けて自社とのギャップが生まれないでしょうか?基準そのものの見直しは必要ないでしょうか?

そう考えていくと、時代に合せてルールを作るための基準も変更していく必要がありますよね。
それが、「規格改訂」になります。

Pマーク(プライバシーマーク)の審査を受けていく中でも、2年前に言われたことと違う指摘が出てきた!なんてこともありますよね。
最近ではマイナンバーに関するルールや仕組みが必要になったのもその1つですね。
時代と共に法律が変わるように、Pマーク(プライバシーマーク)の規格も変化することになりました。

では、今回のPマーク(プライバシーマーク)規格改訂、どのような変化が出てきたのでしょうか。3つに絞ってお伝えします。

変化①:規格の「共通化」

まず大きい変化の1つ目としては、規格の「共通化」が上げられます。

最近では、Pマーク(プライバシーマーク)の他にISO27001(ISMS)を同時に取得している企業が増えています。
今まで、Pマーク(プライバシーマーク)は日本独自の規格となっており、世界に通用する規格であるISOとは共通の基準を作るのが難しい状況でした。

今回の規格改訂によって、ISO同様10章立ての構造となりました。
このことで、マニュアル類を統合しやすくなりました。

規格そのものを見てみると、用語も「JIS Q 27000:2014」から引用されている箇所が多く、ISO27001(ISMS)と連動しやすい状況が作られていることがわかります。
2つの規格を持っている企業にとっては、今までうまくいかなかった、マニュアル類の統合が非常にやりやすくなっています。

変化②:「附属書」の存在

そして、次に大きな変化として挙げられるのが「附属書」の存在です。

そもそも附属書ってなんだ?って思いますよね。

実は、これが旧規格である「JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)」を継承して策定されています。
もちろん、今の時代に合せた変更もされています。
ルール作りに大きく関わるのは附属書Aと附属書Cになります。

附属書Aは、今までPマーク(プライバシーマーク)で使ってきた規格要求事項を盛り込んでいます。
例えば個人情報の特定、緊急事態への準備、教育、内部監査など。見慣れた内容が記載されているのではないでしょうか。

しかし、2017年に行われた個人情報保護法の改正により、守るべきルールや使われる用語の変更が出ています。
例えば「要配慮個人情報」は、今回新たに決められた言葉です。以前の「機微な個人情報」と言えばわかりやすいでしょうか。

このように、Pマーク(プライバシーマーク)規格改訂により、最新の法令を反映した要求事項が作られています。
今まで利用してきたマニュアル類から変更する箇所ももちろん出てくるでしょう。

変化③:旧規格「3.4.3.2 安全管理措置」が独立

最後に3つ目として、附属書Cが変わりました。
旧規格「3.4.3.2 安全管理措置」を独立させた要求事項ととらえてください。

以前よりも、セキュリティに関する要求事項が増えています。114項目の要求事項を照合する必要があります。
もはやISMS(ISO27001)と変わらないセキュリティに関する要求事項が出来ましたね。

114項目と聞くと、もう見るのも嫌になってしまいそうですが、もちろん似たようなルールが存在しています。
要求事項を読み込み、自社にあったルールを作れば記入する量も減るかもしれませんね。

まとめ

こうやって見ると、規格改訂に対応したマニュアルの策定だけでも情報を仕入れて進めていく必要がありそうです。

Pマーク(プライバシーマーク)規格改訂の対応期間は2018年8月1日~2020年7月31日です。
対応するための準備期間は2年間ですね。審査機関の審査基準の公表も1月中旬に行われる予定です。

当社では、規格改訂に関する無料コンサルも行っています。何か気になることがありましたら、是非お気軽にお問合せください。

\ お問い合わせフォームはこちら /

WEBお問い合わせ

Pマーク新規格の抑えるべき3つのポイント!!

いつもご愛読いただきましてありがとうございます。
ISO総合研究所コンサルタントの田口と申します。

今回のテーマは、「Pマーク新規格の抑えるべき3つのポイント!!」というテーマで書かせていただきます!

え!?Pマークの新規格ってどういうこと?と、思っているあなた!
実は、12月に規格改訂がされた JISQ15001:2017 が出ていたのです。
そんなPマーク規格改訂のポイントを3つ教えちゃいます。

ポイント1. どんな要求事項になってるの?
ポイント2. 今回からでてきた付属書とは?
ポイント3. 審査で気を付けることは?

ポイント1.どんな要求事項になってるの?

ISO27001またはISMSというものをご存知でしょうか?ご存知だと話が早いです。規格要求事項はISO27001と似たような形になったのです。
大枠で分けると、3つになります。

①大元の規格要求事項(個人情報の要求事項ではない)
ISO27001をないしはその他のISOの規格要求事項となりました。大項番の1~10で割り振られ、順番に言うと適用範囲、引用規格、用語及び定義、組織の状況、リーダーシップ、計画、支援、運用、パフォーマンス評価、改善となります。
詳細を書くと長くなるので、ここでは概要だけにしておきます。

②付属書Aと呼ばれるもので、今までの個人情報規格要求事項
これは今までのものと同じです。ポイント2のところで書かせていただきますね。

③付属書Cと呼ばれるもので、ISO27001の適用宣言書(付属書A)となり、安全管理に関する要求事項。
ISOの適用宣言書そのままで、詳細はポイント2で書かせていただきます。

この3つになります。
付属書BとDってあるの?と思われた方がいると思います。存在はしますが、これは付属書AとCの解説みたいなものとなるので、あまり関係ありません。
大枠としての規格要求事項はこのような形となりました。

ポイント2.今回からでてきた付属書とは?

大元の規格要求事項とは別の要求事項となります。
要は下位文書ですね。先ほども少し触れましたが、付属書にはA~Dがあります。基本的に自分たち、審査時に使用するものは付属書のAとCになります。
その二つ解説を簡単にします。

まずは付属書Aについて説明します。

基本は今までの個人情報の規格要求事項とほぼ内容は同じです。例えば3.3.1個人情報保護方針⇒A3.3.1個人情報保護方針という感じです。
ただいくつか変わっているところもあります。
例えば、直接書面という呼び名がなくなっている。第三者提供が3つに詳細が別れている。匿名加工情報(個人が特定されないデータのこと。アンケート集計結果等)が入った。などです。
ちなみに、個人情報保護法の改正に合わせて機微な情報が要配慮個人情報という名称に変わっています。個人情報保護法の改正で変わった名称は、そのまま変わっています。

次に付属書Cについて説明します。

これはISO27001の適用宣言書(付属書A)と同じです。少し抜粋してみます。

(1)C6.2.2テレワーキング
テレワーキングの場所でアクセス,処理及び保存される個人情報を保護するために,方針及びその方針を支援するセキュリティ対策を実施することが望ましい。
噛み砕くと、自分たちが決めたセキュリティエリア外での作業をおこなっているかどうか。これの管理策を決めてくださいということです。

(2)C.8.2.2情報のラベル付け
個人情報のラベル付けに関する適切な一連の手順は,組織が採用した個人情報分類体系に従って策定し,実施することが望ましい。
噛み砕くと、情報の分類(例えば、極秘・社外秘・公開)を決めたら、それに従った管理方法、触れる人を限定するなどの対策をしましょうということです。
ちなみに、赤いシール・青いシールなどをロッカーにも貼らなければいけないんじゃないかと、よく間違われますが、必ずしもそんなことはないので安心してください。

(3)C.18.1.5暗号化機能に対する規制
暗号化機能は,関連する全ての協定,法令及び規制を遵守して用いることが望ましい。
噛み砕くと、暗号化されたもの(ノートPC、USBでパスワード管理されたものを含む)を海外に持ち込んだり、輸出入する場合は、現地の法令等を守りましょう。ということです。
他の詳細も知りたいと思いますが、これも量が多いのでまた別の機会にします。

このように付属書というものが出来たので規格要求事項自体は増えたというべきでしょう。
やることは今までとはあまり変わらないですが、ルール策定を行わなければいけないので少々負担になってくるのかなと思います。

ポイント3.審査で気を付けることは?

皆さんが不安になっておられるのは、『どんなことをみられるのかな?審査で通るのかな? 』といったことだと思います。
現地審査での話をまとめてみます。

現地審査で見られるところは、大きく分けて2つで大元の要求事項と付属書Aです。
文書審査では、付属書Cも見られるのでルール策定はしっかりと行わないと不適合で返ってきます。

現地で見られるのは今まで変わりません。書類として、方針・マニュアル類、個人情報の台帳、リスク分析、特定された法令、委託先、教育、内部監査、代表者による見直しです。
その他には、同意書や誓約書、委託先の個人情報に関する契約書類などです。

新しい規格での審査開始は、今のところは6月頃からのようですが、まだ詳細は決定していないようです。
2018年1月中には発表されるとのことなので、当社からもお知らせしていきます。

仮に審査が6月から始まったとしても、審査員がまだ100%理解できている状態ではないと思います。
Pマークの審査だけをやっていて、ISOの審査経験がない審査員がほとんどです。
審査の方向性が決まっていなく、審査がしづらい状態であるため、良い審査を行うにはまだ時間がかかると思います。

最後に

いかがでしょうか?少しはイメージできましたか?

それでも他のものも良くわからないんだけど…というあなたは、ISO総研の運用代行サービスでまるっと解決!!!(笑)
半分冗談ですけれども、本当にわからない場合にはあなたの力になりますので、お気軽にお問い合わせ下さい。

それでは、またご愛読いただければ幸いです。

\ お問い合わせフォームはこちら /

WEBお問い合わせ

個人情報保護法改正 マスターしておくべきPマークガイドライン

いつもご愛読いただきありがとうございます。
ISO総合研究所の小嶋です。

今回は、「個人情報保護法改正マスターしておくべきPマークガイドライン」についてお話させていただきます。

2017年9月に「個人情報の保護に関する法律」が改正されました。
その改正についてマスターしておくべきポイントをお伝えさせていただきます!

個人情報の定義

プライバシーマーク審査の基準でもある日本工業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」も、現在は見直し検討が進められております。
今回の改正により個人情報の概念が大きく変わりました。

まずは、個人情報とは「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などにより特定の個人を識別することができるもの(他の情報と用紙に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」と定義されていました。この定義についてはプライバシーマーク取得事業者であれば聞いたことがあるかもしれません。

しかしながら、今回の改正により、

(1)個人識別符号
(2)要配慮個人情報
(3)匿名加工情報
(4)5,000人要件の撤廃

の4つが付け加えられました。

(1)個人識別符号

まず1つ目の個人識別符号についてです。

個人識別符号というのは、「指紋・掌紋データや容貌データ、DNAの塩基配列など「特定の個人の身体の一部の特徴」を変換した符号によって本人認証ができるようにしたもの」または「旅券番号や免許証番号、住民票コードなど個人に割り当てられる符号」となります。

個人識別符号というのは単体でも個人を特定できる個人情報として取扱うことになります。
例えば指紋又は掌紋、運転免許証の番号、国民健康保険が該当します。

このように、もしプライバシーマーク事業者が個人識別符号の取得、利用されている場合、個人情報の特定、リスク分析、運用が必要となりますのでお気を付けください。

(2)要配慮個人情報

次に、要配慮個人情報について説明させていただきます。

本人に対して人種、信条、病歴、犯罪の経歴などを含む個人情報については「要配慮個人情報」とされます。

したがって、一般的な個人情報よりも大切に取扱うべきであると定義されています。
例えば事業者の従業員が健康診断を受けた場合の健康診断の結果が要配慮個人情報に該当します。

要配慮個人情報については、本人の同意がある場合や法令により制限がされている以外は取得が禁止されますのでお気を付けください。

(3)匿名加工情報

3つ目は、匿名加工情報についてです。

改正個人情報保護法では、もともと個人情報であるデータを誰の情報か分からないように加工するとともに、個人情報として復元できないようにした「匿名加工情報」というものが新しく追加されました。

匿名加工情報というのは個人情報には該当しないため、本人の同意なしで第三者提供が可能となります。また、企業はこうした匿名加工情報を基に、ビッグデータの利活用に向けた取り組みを促進することが可能となります。
例えば皆様が良く使用しているポイントカードの購入履歴や交通機関で使用するICカードの乗車履歴名護が該当します。

匿名加工情報の取扱いにあたっては、元の個人情報を加工して匿名加工情報を作成する立場と、それらの情報を受け取り利活用する立場のそれぞれの事業者に対し、規制事項が定められています。

(4)5,000人要件の撤廃

4つ目に、5000人要件の撤廃について説明いたします。

個人情報保護法では、5,000人を超える個人情報を保有する事業者が適用対象でした。

しかしながら、改正個人情報保護法では、同条項が削除されたため、保有している個人情報が5,000人以下の小規模事業者であっても、適用の対象になります。
そもそも人数の要件は無いため、特別な運用は必要ありません。

例えば、派遣業で登録している人員、システム業界で労務登録している人員などはこの条件に該当するので個人情報を保有する事業者に該当します。

まとめ

今回個人情報保護法の改正について簡単にご説明させていただきました。

皆様の事業所の中で再度個人情報とは何かという定義の見直し及び教育を実施してはいかがでしょうか?
その中で、マニュアルや規定類が大きく変更されたり、個人情報の一覧表及びリスク分析の変更が伴ってくる可能性が大きくなってきます。

また、2019年度には個人情報のガイドラインが改定されるのではないかという事が言われている中で、現在の個人情報というのをしっかり洗い出してもらってから、次につながるようにしていただいた方が新規格での取り組みも実施できてくるかと思います。
 
簡単ではありますが、個人情報保護法改正についてとプライバシーマークについての関連を説明させていただきました。
最後までお読みいただきありがとうございました。

Pマーク(プライバシーマーク)|JISQ15001:2017の改正、どうすればいいの?

ISO総合研究所の崎山です。

みなさん、ご存知の方もいらっしゃるかもしれませんが、2017年12月20日に一般財団法人日本規格協会よりPマーク(プライバシーマーク)の要求事項である【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】が発売が開始されました。

ただ、気になっているご担当者様も【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】について、何がどうなっていて、今後どうすればいいのかわからない。そういったご担当者様も少なからずいると思います。
そこで今回も、【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】について一緒に見ていきたいと思います。

まずは【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】の改訂によって、何がかわったのかを一緒に見ていきましょう。

改正点

主な改正点は次のとおりである。

3.1 規格票の構成の変更
今回の改正では,マネジメントシステムに関する要求事項を記載した本文と,管理策を記載した附属書
A(規定)とに分離した。さらに,附属書A の理解を助けるための参考情報を記載した附属書B(参考)及び附属書C(参考),並びにこの規格と旧規格との対応を示した附属書D の構成に変更した。

3.2 個人情報保護法の改正に伴い追加された要求事項
個人情報保護法の改正に伴い追加又は変更された要求事項は,次のとおりである。
a) “特定の機微な個人情報”を,“要配慮個人情報”に変更した。
b) 旧規格では“個人情報”としていた要求事項の一部を,個人情報保護法の規定に合わせて“個人データ”に変更した。
c) “開示対象個人情報”を“保有個人データ”に変更した。
d) 外国にある第三者への提供の制限を追加した。
e) 第三者提供に係る記録の作成などを追加した。
f) 第三者提供を受ける際の確認などを追加した。
g) 匿名加工情報を追加した。

【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】より引用

これをみると「変更点」と「追加事項」があるのがわかります。

変更点

まず「変更点」としては、旧規格では、規格の構成として、要求事項が書かれている本文のみでした。

ただ、今回は大きく3つ「要求事項を記載した本文」「管理策を記載した付属書A(規定)」「この規格と旧規格との対応を示した付属書D」とに分離しているようです。

その他、付属書Aの参考情報として「付属書B(参考)」「付属書C(参考)」があります。

追加事項

次に7点の「追加事項」があります。

①『“特定の機微な個人情報”を,“要配慮個人情報”に変更した。』

例えば、今まで「健康診断書」が“特定の機微な個人情報”にあたるものだったのですが、“特定の機微な個人情報”の取扱いには同意書を取る必要がありました。
おそらくそういった同意書の文言を“要配慮個人情報”に変更する必要があるかもしれません。

②『旧規格では“個人情報”としていた要求事項の一部を,個人情報保護法の規定に合わせて“個人データ”に変更した。』

こちらは例えば、今まで旧規格では「3.4.2.8提供に関する措置」となっていた項番が「A 3.4.2.8 個人データの提供に関する措置」と個人データという文言が一部追記されているようです。

③『“開示対象個人情報”を“保有個人データ”に変更した。』

例えば、こちらも旧規格では、

「3.4.4.3 開示対象個人情報に関する事項の周知など」
「3.4.4.4 開示対象個人情報の利用目的の通知」
「3.4.4.5 開示対象個人情報の開示」
「3.4.4.6 開示対象個人情報の訂正、追加または削除」
「3.4.4.7 開示対象個人情報の利用又は提供の拒否権」

となっていたものが、以下のように“保有個人データ”という文言が変更になっております。

「A.3.4.4.3 保有個人データに関する事項の周知など」
「A.3.4.4.4 保有個人データの利用目的の通知」
「A.3.4.4.5 保有個人データの開示」
「A.3.4.4.6 保有個人データの訂正,追加又は削除」
「A.3.4.4.7 保有個人データの利用又は提供の拒否権」

④『外国にある第三者への提供の制限を追加した。』

上記について、旧規格にはなかったものですが、新規格にて管理策として追加されております。
追加項番として以下になります。

「A.3.4.2.8.1 外国にある第三者への提供の制限」
組織は,法令等の定めに基づき,外国にある第三者に個人データを提供する場合には,あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。ただし,A.3.4.2.3 のa)~d) のいずれかに該当する場合及びその他法令等によって除外事項が適用される場合には,本人の同意を得ることを要しない。

上記を見る限りでは例えば、派遣会社が外国にある派遣先の会社に派遣社員名簿等を提供する場合は、あらかじめ派遣社員より、同意書をもらったりしなければいけないようです。

④『第三者提供に係る記録の作成などを追加した。』

こちらは例えば、4点目でお話しました派遣会社が外国にある派遣先の会社に派遣社員名簿を提供した際に、提供したことを記録に残して保管しておくことが必要になったようです。

⑥『第三者提供を受ける際の確認などを追加した。』

こちらも4点目でお話した例をあげると、外国にある派遣先の会社が派遣会社から派遣社員名簿を提供してもらう際、派遣会社は派遣先の会社が派遣社員名簿を提供してもらったことを確認するための記録を作成し、保管しておかなければいけないようです。

⑦『匿名加工情報を追加した。』

こちらは下記項番が今回の新規格で追加されています。

「A.3.4.2.9 匿名加工情報*」
組織は,匿名加工情報の取扱いを行うか否かの方針を定めなければならない。
組織は,匿名加工情報を取り扱う場合には,本人の権利利益に配慮し,かつ,法令等の定めるところによって適切な取扱いを行う手順を確立し,かつ,維持しなければならない。

上記については例えば、通販等に関わる企業で個人情報に氏名、電話番号などにマスキングを施した情報を取り扱っている情報が匿名加工情報に当たると考えられます。

以上、簡単にではございましたが概要に変更点、追加点についてご案内いたしました。

最後に

これを読まれて、「正直、規格改訂するの大変だし、任せたい!!」とか「とりあえずすぐに相談に乗ってほしい!!」というPマークを運用中、あるいはこれから取得を検討中の企業様は一度当社ISO総合研究所にお問い合わせください!

皆様のご連絡を心よりお待ちしております!

マイナンバーについて説明できますか?~個人情報保護法改正とPマーク~

いつもブログを見て頂きありがとうございます。
ISO総合研究所、大阪コンサルティング部の清水です。

この度のブログのテーマは、「マイナンバーについて説明できますか?~個人情報保護法改正とPマーク~」です。

マイナンバーって?

まず皆さんは、マイナンバーについて説明できますか?
ネット検索をせずに説明できる人はなかなか少ないのではないでしょうか?

では、まずマイナンバーとは何かからご説明していきます。

マイナンバーとは、日本に住民票を持っているすべての人(外国人の方たちも含まれます)が持つ12桁の数字番号のことです。
原則として、死ぬまで同じ番号を使用し、マイナンバーが漏えいしてしまい悪用される可能性があると認められる場合を除いて、基本的には変更することができないことになっているようです。

マイナンバーの使い道

ではそのマイナンバーは、何に使うのでしょうか?
マイナンバーの使い道について説明します。大きく分けると3つの場面で活躍が期待されているようです。

1つ目は社会保障
例えば、社会保険や公的扶助・社会福祉事業で活躍が期待されています。

2つ目は税金
例えば、納税者に対して利便性が向上します。

3つ目は災害対策です。
例えば、被災者生活の再建支援金の支給等に利用されます。

共通して言えるメリットは、多くの公共機関に存在する個人の情報が同一人の情報であることを確認するために活用できることです。

今までは、それぞれの機関内で、住民票や健康保険被保険者番号等を各番号で個人の情報を管理していました。その為、氏名、住所などで個人の特定に時間と労力を費やし、機関間でのやりとりにもかなりの項数を要していたようです。

そこで各機関で共通に利用できるような番号を導入することで、一個人の特定を確実にかつスムーズに行える。そこで導入されたのがマイナンバーというわけです。
実際に、行政機関の効率化が実現し、かなり多くの項数が削減されたようです。

マイナンバーの相談窓口

マイナンバーについてのご説明は以上にしようかと思うのですが、やはりこれで悩みを完全に解決できない人もいるかと思います。

お忘れの人もおられるかもしれませんが、私はあくまでも中小企業様にプライバシーマークの取得をサポートするコンサルタントです。
個人情報保護の観点からもマイナンバーについてもちろん見ています。

そこで、マイナンバーを取り扱う上での苦情の申し出先というものがありますので、紹介させて頂きます。
その名も「マイナンバー苦情斡旋相談窓口」です!
基本的には、マイナンバーの取扱いに関する苦情をお持ちの方なら、どなたでもご利用いただけます。

よくある相談例としては、

①事業者に苦情を伝えたが、対応してもらえない。
②事業者の苦情に対して物言いである、もしくはどうしたらよいか分からない。
③事業者にてマイナンバーが漏えいさせており、自分の情報が流出している可能性がある。

といった3つに分かれます。もう少しでも不安になるようでしたら、「マイナンバー苦情斡旋相談窓口」を上手に活用してください。

—————————————————–

マイナンバー苦情斡旋相談窓口
電話番号 03-6457-9585
受付時間 9:30~17:30 (土日祝日及び年末年始を除く)

—————————————————–

マイナンバーとプライバシーマーク審査

そんなマイナンバーですが、プライバシーマークの審査ではどのような観点で扱われているのでしょうか?
弊社は1853社のお客様をお手伝いしており近年の審査傾向やよくあがる指摘事項等がわかります。

この1年間で一番多かったマイナンバーに関する指摘はズバリ【個人情報の特定漏れ】です。
マイナンバーを会社で収集する際に一緒に取得する本人確認の書類やマイナンバーをデータ管理する際のファイル、またはシステムの特定漏れが多かったように思えます。

次に個人情報の特定漏れに付随して、【リスクの認識、分析及び対策が不十分】という指摘です。
リスク分析とは、

1.取得・入力
2.移送・送信
3.利用・加工
4.委託・提供
5.保管・バックアップ
6.廃棄

の各フローによって取扱う個人情報にどんなリスクがあるかを把握し、対策することです。

最近の事例では、“特定個人情報における廃棄時のリスク分析が不十分である”という指摘事項がありました。
誤廃棄などのリスクに対してマイナンバーの廃棄の際には廃棄の記録を取っておきましょうという指摘がありました。

最後に

私たちは、あくまでもプライバシーマークの取得のお手伝いをする専門コンサルタントです。
マイナンバーに特化した情報を提供する事は難しいですが、一個人情報としての取り扱い方や、保管方法など企業がプライバシーマークを取得する上で必要な措置をお教えすることは可能です。

個人情報保護法の改正が2017年5月に施行されています。マイナンバーに関する内容ももちろん盛り込まれた変更内容です。
企業内だけで悩まず、ぜひ私たちのようなプライバシーマークの専門家にご相談ください。

何をするときでも我流より専門家に聞いた方が、合理的かつ有効的だと私は考えております。
ぜひ、個人情報の取り扱い方やマイナンバーについて、個人情報保護法の改正やプライバシーマークの運用についてお悩みをお持ちの人は弊社、ISO総合研究所までお気軽にご相談くださいませ。

最後までお読みいただきありがとうございました。

\ お問い合わせフォームはこちら /

WEBお問い合わせ

Pマークを持っている企業が知りたい個人情報保護法改正

はじめまして、こんにちは!
ISO総合研究所の森本と申します。

今回は、「Pマークを持っている企業が知りたい個人情報保護法改正」というテーマについてお話していきたいと思います。

個人情報保護法が改正されました。

まず初めに、個人情報の保護に関する法律(以下個人情報保護法)が改正されたのはご存知でしょうか?

個人情報保護法は、2005年に制定され今年2017年5月30日に法改正されました。
改正された内容の中でも、今回は特にPマークを「取得されている企業の方が知っておきたい内容」について触れていきます。

個人情報保護法の改正内容で企業の方が知っておきたい改正内容は4点あります。

①個人情報の適用範囲が変わったこと
②個人識別符号について
③要配慮個人情報について
④匿名加工情報について

一つずつ解説していきますのでお付き合いください。

①個人情報の適用範囲が変わったこと

最初に、今まで個人情報保護法が適用されていたのは、個人情報を5,000件以上保有している企業のみだったのが、保護法改正により適用範囲が広がりました。

具体的にどうなったかというと、保護法改正により5000件以上の個人情報を保有していなくても個人情報保護法が適用されるようになりました。
ですので、これまで個人情報保護法の適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し、対応する必要があります。

個人情報を業務で1件でも取り扱っていれば小規模事業の方も改正法を守ってくださいね!ということです。

②個人識別符号について

次に個人情報保護法が改正されたことにより覚えておきたいことは、なんといっても個人情報の定義が明確にされたことです。
今までの個人情報と言われるものとは定義が少し変更になり、改正個人情報保護法では、「個人識別符号」という概念が新設されました。

個人識別符号とは、指紋・掌紋データや容貌データ等の特定の個人の身体の一部の特徴を変換した符号によって本人認証ができるようにしたものまたは旅券番号や免許証番号、住民票コードなどといった個人に割り当てられる符号のことを言います。
例えば銀行のセキュリティロックで指紋や静脈、虹彩を使用している場合、その指紋や静脈、虹彩の情報が個人識別符号に当たります。

例としては、スマートフォンやPCのロック解除に指紋認証を利用している企業が増えてきていますが、そういった情報も個人識別符号に当たるため、企業で利用目的を明確にして管理していくことが今後Pマークを運用していくに当たって求められていくことになるでしょう。

上記の情報は、個人情報保護法が改正される前は単独では個人情報とは扱われず、「特定の個人を識別できる情報」と結びついて初めて個人情報と扱われていました。
従来から、個人識別符号に該当する情報と、その他の個人情報を結び付けて取り扱っている場合には、特に新たに対応する必要はありません。

一方、個人識別符号に該当する情報と、その他の個人情報を結び付けず、別に管理しているなどの場合には、対応する必要があります。そのような個人識別符号も個人情報に該当するため、個人識別符号にかかる取扱いの方法を見直すなどの措置をしなければなりません。

③要配慮個人情報について

そして3つ目の要配慮個人情報についてですが、要配慮個人情報という概念が今回の改正で新設されました。

要配慮個人情報とは差別や偏見が生じてしまうような個人情報のことで、例としては、本人の人種(例:肌の色や民族)、信条、社会的身分、病歴(例:特殊な病歴)、犯罪の経歴(例:前科等の情報)、犯罪により害を被った事実、その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報のことです。

これらの個人情報は特に気を付けて取り扱わなければいけないので、機微情報と言われることが多いです。
機微情報とは簡単に言うと健康診断の結果や、身体の障害等の差別に繋がったりする可能性のある情報のことです。

ちなみに、要配慮個人情報に該当するが、機微情報に該当しないものとしては、犯罪により害を被った事実等です。
機微情報に該当して要配慮個人情報に該当しないものとしては、労働組合への加盟や本籍地の情報などです。

個人情報保護法改正の内容で、要配慮個人情報は本人の同意がある場合や、法令に基づく場合などを除いて取得が禁止されているとありますが、プライバシーマークの要求事項でも事業者が機微な個人情報を取り扱う場合については特段の配慮が求められる。

したがってこれらの個人情報の取得、利用及び提供は原則として禁止し、例外的に認めるものとする。とあります。
ですので、要配慮個人情報については今まで通りプライバシーマークの要求事項さえ守っていれば何も変更点はないと思っていただいて結構です。

要配慮個人情報にあたり、多くの企業が取得している個人情報と言えば健康診断ですが、健康診断は今までと同じように、本人の同意をとって情報取得しているのであれば、特に運用を変える必要はありません。

④匿名加工情報について

そして最後の4つ目に匿名加工情報のご紹介をいたします。

匿名加工情報とは、個人情報を特定の個人情報を識別できないように加工して得られる個人に関する情報であり、当該個人情報を復元して特定の個人を再識別できないようにした個人情報のことを言います。
例としては、PiTaPaなどのICカードの履歴、ポイントカードの購買履歴などがあります。

匿名加工情報に関しては、個人情報に該当しないので、本人の同意なしで第3者に提供などができます。

例えば、今後、PiTaPaなどのICカードの履歴を提供する場合は、匿名加工情報の加工方法を守ることにより、本人の同意なく個人情報の利用目的として定めた目的以外で利用することや、本人の同意なく第三者に提供することなどが可能になりますので、業務の幅が大きく広がるかも知れません。

また、匿名加工情報についてはJIPDECが事例集を公表しておりますので、そちらも是非合わせて読んでみてください!

匿名加工情報については提供する際に本人の同意は不要です。ただし、適正な加工を行わないといけないなどの条件はありますので、気を付けましょう。

以下に匿名加工情報について詳しく記載してありますので参考にしてみてください。
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/tokumeikakou.pdf

また、以下に個人情報保護法の改正について詳しく書いてありますので、興味のある方は是非是非ご確認くださいませ!
https://www.ppc.go.jp/files/pdf/290530_personal_law.pdf

最後に

今回の個人情報保護法の改正は2015年以来と久しぶりの改正なので、困惑していらっしゃる方が多いと思われます。

しかし、個人情報を適切に取り扱っている企業はそれだけで信用されますので、今回の個人情報保護法改正によって個人情報を取り扱う意識を少しでも上げていただければなと思います。

以上、長々と話しましたが、お付き合いいただきまして、本当にありがとうございました!!!

\ お問い合わせフォームはこちら /

WEBお問い合わせ