Pマーク(プライバシーマーク)3.3.3  リスクなどの認識、分析及び対策

MAX85_searchsa20140531_TP_V

いつもご愛読ありがとうございます。

ISO総合研究所Pマーク(プライバシーマーク)コンサルタントの佐久間悠矢です。

今回はPマーク(プライバシーマーク)を取得するにあたって、必要となってくる

「3.3.3リスクなどの認識、分析及び対策」についてお話させて頂きます。

 

 

まず、この「3.3.3 リスクなどの認識、分析及び対策」では何を求められているのか?

以下、要求事項を載せさせていただきます。

「事業者は、3.3.1によって特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。

事業者は、3.3.1によって特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。」

 

 

なんだか難しくいろいろと書かれていますね。。。

読んでみると、二つ書かれています。

  • 個人情報を特定したら、取得した時の目的以外で利用しないように、取扱の手順を切れてください。
  • 個人情報を特定したら、その個人情報の取り扱うそれぞれの局面でのリスクを認識し、分析し、対策を立ててください。

 

では、それぞれ説明していきます。

まず①に関して、

こちらは利用目的の特定(3.4.2.1)及び利用に関する措置(3.4.2.6)で行っていれば問題ありません。

そして、②に関して、

こちらでは、特定した個人情報に対して取り扱うそれぞれの局面でのリスクの認識、分析及び対策を求められています。

では、取り扱うそれぞれの局面とは具体的にどんな局面か?

大きく分けて6つの局面があります。

 

  • 取得・入力

個人情報を本人から手渡しで取得、宅配便で取得、FAXで取得、電子メールで取得、WEBサイトからの取得、取得した情報を紙媒体へ記入する、入力業務を委託する等があげられます。

  • 移送・送信

社内での持ち運び、社外での持ち運び、配送業者を利用し個人情報を郵送する、電子メールを送信する、USBメモリなどの外部媒体を利用して送信する、ネットワークを経由して送信する、FAXで送信する等があげられます。

  • 利用・加工

紙媒体に記録された情報を利用する、閲覧する、利用加工業務を委託する、サーバーやパソコンに格納された個人情報を利用する、連絡する等があげられます。

  • 委託・提供

○○○に委託する、第三者に提供する等があげられます。

  • 保管・バックアップ

キャビネットに保管する、パソコンに保管する、社内サーバーに保管する、社外サーバーに保管する、クラウドに保管する、外部媒体に保管する、媒体内に保管する(携帯電話、スマートフォン、ipad等)等があげられます。

  • 廃棄・消去

紙媒体を廃棄する、溶解処理業者に廃棄してもらう。パソコンに格納された個人情報を消去する、社内サーバーに格納された個人情報を消去する、外部媒体に格納された個人情報を消去する、リース機器を返還する等があげられます。

このように特定した個人情報それぞれに対して、「1、取得・入力」から「2、廃棄・消去」までのリスク分析を行わなければなりません。

例として名刺について考えてみましょう。

(名刺の場合)

  • 取引先の方から手渡しで名刺を取得する。(取得。入力)
  • 取得した名刺を事務所へ持ち帰る。(移送・送信)
  • 名刺を閲覧する。(利用・加工)
  • 無し。(名刺を委託業者へ委託しない。)(委託・提供)
  • 鍵付きのキャビネットにて保管する。(保管・バックアップ)
  • シュレッダーにて廃棄する。(廃棄・消去)

実際にリスク分性を行うと上記のようになります。

これはあくまで例なので実際にはもっとそれぞれの局面でリスクが発生すると思います。

 

 

 

例として名刺のリスク分析を行いましたが、これを特定したすべての個人情報に対して行うと思うと結構面倒くさいですよね。。。

そこで1つポイントを紹介すると、

この項目「3.3.3 リスクなどの認識、分析及び対策」ではリスクなどの認識、分析及び対策を把握する場合、ライフサイクルが同じものはグルーピングが可能であるということです。

つまり、先ほどの名刺の例と全く同じ「1、取得・入力」から「2、廃棄・消去」までのリスク分析結果となる個人情報Aがあるとします。この個人情報Aは以下のように名刺と同時にリスク分析を行ってもよいですよ!ということになります。

(名刺、個人情報Aの場合)

  • 取引先の方から手渡しで名刺を取得する。(取得。入力)
  • 取得した名刺を事務所へ持ち帰る。(移送・送信)
  • 名刺を閲覧する。(利用・加工)
  • 無し。(名刺を委託業者へ委託しない。)(委託・提供)
  • 鍵付きのキャビネットにて保管する。(保管・バックアップ)
  • シュレッダーにて廃棄する。(廃棄・消去)

 

これによって、ずいぶんと対応が楽になるのではないでしょうか?

弊社ではこのようなアドバイスはもちろん実際のPマーク(プライバシーマーク)の運用から審査時に必要な資料作成までお手伝いさせて頂いております。

Pマークの取得・運用にお困りの方、是非無駄な工数をかけずに取得・運用していきましょう!

Pマーク(プライバシーマーク)の現地審査を受けた後に行う指摘改善について

_shared_img_thumb_SEPsts_TP_V

ISO総合研究所 コンサルタントの平墳です。

 

今回はPマーク(プライバシーマーク)の現地審査を受けた後に行う指摘改善についてお伝えしたいと思います

 

指摘改善とは、規程で定められたルールが現場で実際に運用されているのか、個人情報が適切に扱われているのかを見られる現地審査で確認し、現場で特定されていない個人情報が見つかったり、現場が個人情報を取りあつかうのに適切な環境でなかったときなどに、指摘が出されそれに対応するというものです。

 

どのように指摘が届くのかというとまず審査機関から「プライバシーマーク付与申請審査

の指摘事項について」という書類が届きます。

 

 

この書類には、どのような点が不備だったのか等が記載してあります。

これを「指摘事項」と言います。

指摘事項数は現地審査次第ですが、少なくても5箇所弱。多くて20~30箇所、またそれ以上の指摘をもらう場合があります。

 

 

しかし、「指摘事項」が出たからといって、プライバシーマークが取得できないということはありません。

 

 

申請事業者は3ヶ月以内にこの指摘事項に対して、改善報告書を提出し「指摘事項」を改善してなくせばいいのです。

 

提出された改善報告書が適切だと認められれば、審査員から改善を認める旨の連絡が入ります。

 

 

そもそも指摘事項はなぜでるのでしょうか?

Pマーク(プライバシーマーク)の審査のために絶対必要だからでしょうか?

Pマーク(プライバシーマーク)の審査に落とすためでしょうか?

 

 

指摘事項を出すのは、「現地審査員がきちんとその企業の審査をしてきました。」という証拠になるのです。

 

審査員は実際に企業に訪問し、実態を確認した上で、Pマーク(プライバシーマーク)の水準を担保できると判断する必要があります。

 

 

 

指摘が出てそれを改善するまでをPマーク(プライバシーマーク)が付与認定されるまでの流れでご説明させて頂きます。

 

 

  1. 弊社はPマーク(プライバシーマーク)の取り組みをしています。その実態を確認してください!というまずは申請を審査機関へ提出します。これが申請書です。

 

  1. 申請書を受け取った審査機関は、申請に必要な書類や必要事項が明記されているか確認をします。これが形式審査です。

 

  1. 申請に必要な書類が確認でき、申請が受理されるといよいよ現地審査の日程が決まります。

 

  1. その後、事前に審査機関がJISQ15001(ジスキュー15001)要求事項で最低限のルールを作成するように求めています。そのルールがきちんとかかれているかを文書審査で確認を実施します。

 

  1. いよいよ現地審査にて、Pマーク(プライバシーマーク)のために実施してきた活動内容を1日かけて確認をしていきます。

 

  1. 現地審査員が指摘事項を企業に出します。

 

  1. 企業が指摘された内容を修正します。

 

  1. 現地審査員が改善された内容をもとに「審査会」と呼ばれるPマーク(プライバシーマーク)の付与認定を行う場所で報告をします。

 

  1. 審査会でPマーク(プライバシーマーク)付与が確定し、Pマーク(プライバシーマーク)が発行されます。

 

現地審査に来た審査員が指摘事項をあげる目的がどこかわかりましたか?

 

上記の8番がポイントです。

 

 

現地審査に来た審査員は現地審査終了後に

「私がこのように監査を実施して、改善していただき、Pマーク(プライバシーマーク)を付与できるだけの水準を確保しましたのでPマーク(プライバシーマーク)の付与をお願いします。」

と報告をするために必要なのです。

 

しかしその指摘事項には、審査員個人の思いや経験、考えが反映されてしまうことも珍しくありません。実際に指摘改善の作業をお手伝いしていると

 

「要求事項のどこにかいてあるのかと思うくらいおかしな指摘」

というものも多く見受けられます。

 

 

「審査員の言うことはすべて正しいから必ず実施しなければならない」と思っている企業の方も多いですが、納得行かない部分は納得いくまで審査員に聞いていただいて大丈夫です。それでもやはり審査員によって言っていることは違ってきますので、なんでそう思うか等も聞いていただいたほうがよいかと思います。

 

 

 

例を挙げるときりがありませんが、その他にもたくさん、審査員の個人の見解ではないのか?とうものが多くあります。

 

現審査後に指摘事項は必ずでます。指摘が出ないように完璧に記録を作成しよう、運用をしようとするのは労力の無駄です。

 

 

現地審査員はPマーク(プライバシーマーク)の審査に落とすためではなく、あくまで企業のことを考えて、「もっとこうしたほうがよりいいですよ」と提案をしてくださいます。

 

しかし、それが時には行き過ぎた場合もあります。現地審査員の言っていることが絶対ではない場合はあります。指摘事項は必ずでます。出てから対応するのも労力を減らす1つの方法です。さらに、現地審査のときに指摘事項としてあがりそうな項目で、納得ができそうにない場合は、「それは要求事項で必ず実施しないといけないのでしょうか?」「審査員の方のお考えなのでしょうか?」と聞いてしまうのも手です!

 

指摘改善でお困りがございましたら、当社までご連絡ください。「やらなくてもよい方法」をたくさん他社事例でもっています。それが本当に必要かどうか一緒に判断していきましょう。

PMS(個人情報保護マネジメントシステム)における「PDCAサイクル」について

00_PP36_PP_TP_V
いつもご愛読いただきありがとうございます。
ISO総合研究所、Pマーク(プライバシーマーク)コンサルタントの花井です。

本日はPMS(個人情報保護マネジメントシステム)における「PDCAサイクル」についてお話しいたします。

プライバシーマーク審査機関から発行されているガイドラインの冒頭にPMS(個人情報保護マネジメントシステム)についての説明が書かれています。

「個人情報保護マネジメント規格であるJIS Q 15001:2006は、マネジメントシステム規格を作成する場合の国際規約であるISOGuide 72:2001(マネジメントシステム規格の正当性及び作成に関する指針)に従って作成されています。ISOの品質マネジメントシステムや環境マネジメントシステムと共通のマネジメントシステム原則を採用しています。

マネジメントシステム原則の主旨は、方針を作成し、それに基づいて計画を作成し(Plan)、実施し(Do)、点検し(Check)、見直し(Act)を行うという、いわゆるPDCAサイクルをスパイラル的に継続することにより、事業者の管理能力を高めていくことにある。この仕組みを採用することで、事業者は個人情報の保護レベルを維持または向上させていくことが期待される。」

PDCAサイクルを繰り返し継続させていくことで個人情報保護のレベルをあげていこうということが書かれています。

ここで、そもそもPDCAサイクルとはなんなのか振り返っていきましょう。

「Plan=計画」

目標を設定し、目標達成のために何をするべきか仮説を立て、プランニングすることです。

何をするのか・誰に対してするのか・なぜするのか・どのくらいの量を行うのか・いつまでに行うのか…など基本の5W1Hを更に詳しく分解して考えていきます。

「Do=実行」

計画をもとに実行することです。

計画したことを意識し、結果が分かるように、時間を測る・数を数えるなど数字を付けることが大切です。

「Check=評価」

計画に沿った実行が出来ていたのかを検証することです。

実行した結果が、良かったのか悪かったのかを判断します。その時に、実行で述べた数字を付けておくと具体的根拠ができるので検証の正確性が増します。

「Action=改善」

検証結果で見えた、課題の解決策を考え改善することです。

実行した結果、この計画を続けるか・止めるか・改善して実行するかなどを、この段階で考えます。この時に、次のサイクルの「Plan」を意識して考えることが重要なポイントです。

一般的なPDCAサイクルを回すことを求められ、そのことを意識して仕事に望んでいる方は沢山いると思います。

しかし、なかなか上手く回せている人がいないのが現状です。

その理由として考えられるのは、以下のようなものがあります。

①PとDはあるけどCとAがない(その行動がPDCAだと思い込んでいる)

これは、多くの人が陥っている状態だと思います。

まず、結果を分析してPlanに移るのではなく「こうなったらいいな」という願望で計画を立てて、Doします。

その結果が期待と乖離している状態だった場合、その差を埋めるための施策を自らの経験から思いつき、それを実行に移すのです。

要するに、結果を分析して適切な行動を取るというのではなく、単なる“作戦の変更”に過ぎない場合があります。

②改善を急ぎすぎる

「走りながら考える」を掲げることも多い、ベンチャー企業などによく見られるパターンかもしれません。

Doをしても、Checkに十分な時間が取れず、Planがしっかり立てられないことがあります。

成果を急ぎすぎるあまり、いろんな変更を実行しすぎるためにしっかりとPDCAのサイクルを回すことができなくなります。

それを続けていくうちに、複雑に様々な要因が絡まって分析ができなくなり、せっかく効果があってもノウハウになりにくいという悪い点も出てきます。

③計画倒れしてしまう

②とは真逆と言ってもいいのですが、分析と計画に時間を費やしすぎてしまい、実行に移すことなく終わってしまうというパターンです。

Planだけが繰り返され、本当に正しいものを突き止めるまでに時間がかかりすぎて、その間に市場やトレンドが変化してしまうということが考えられます。

正しいと確信した上で実行に移したとしても、間違っている可能性も十分にあります。1度で正解に辿り着ければそれほど嬉しいことはありませんが、「間違って当たり前」という意識でいることも重要なポイントです。

これが一般的なPDCAサイクルです。

では、具体的にプライバシーマークの要求事項とPDCAサイクルはどのように対応しているかを見ていきましょう。

・計画(Plan)
3.2 個人情報保護方針
3.3 計画

・実施(Do)
3.4 実施及び運用
3.5 個人情報保護マネジメントシステム文書
3.6 苦情及び相談への対応

・確認(Check)
3.7 点検
3.8 是正処置及び予防処置

・見直し(Act)
3.9 事業者の代表者による見直し

上記のように運用内容は、このPDCAサイクルに沿ったもので構成されています。このサイクルにより、よりその事業者の個人情報保護のレベルの向上が図れるようJIS規格で要求されており、要求に沿った形で運用を進めることで事業者の管理能力を高めていくようになっています。(スパイラルアップ)

やり方がわからない、もっと詳しく知りたいなどがございましたら、ぜひISO総合研究所にお尋ねください。

Pマーク(プライバシーマーク)の申請書を作りましょう。

-shared-img-thumb-SEP_355215221321_TP_V

みなさん、こんにちは。

ISO総合研究所Pマーク(プライバシーマーク)コンサルタントの馬場です。

 

 

残暑が続き、私たちコンサルタントもまだまだ汗をかきながらお客様先へ移動しております。皆さまはどうお過ごしでしょうか?

 

 

本日は、審査機関に審査をしてもらう前に提出しなければいけない「申請書」についてお話させて頂きます。

 

申請書を出すにはルールがあります!

有効期限の4か月前までには申請書を審査機関へ送らなければいけません!

たとえば、平成28年9月9日が有効期限であれば、その4か月前なので、

<平成28年5月9日>までには送らなければいけないということになります。

 

「遅れてしまった!」という方でもまだ大丈夫です。

「延長申請書」と言うものが存在します。もし、遅れてしまったら延長申請書を書いて

審査機関に送ってください。

 

 

早速、申請書を作ってみましょう。

まず、どの審査機関で審査をしてもらうか決めましょう。

その審査機関のHPにいきPマーク(プライバシーマーク)申請書をダウンロードしましょう。(この際、新規の申請か更新の申請か確認しておいてくださいね。)

 

①御社の情報を記入しましょう。

登録番号は、JIPTEC(ジプテック)のHPにある、プライバシーマーク付与事業者情報

の付与事業者に掲載されているので、そこから抜粋しましょう。

所在地は、登記上の本店の住所を記入しなければいけません。ここは間違えやすいので気をつけるようにしてください。代表者のお名前と役職は間違えないようにしましょう!

 

※注意ポイント1

また、新規取得の場合と更新取得場合とで書式が違いますので注意しましょう!

 

②申請担当者の情報を記入しましょう。

申請を担当する方(審査機関とのやりとりはこの方が行うようになります。)

の名前、役職、住所など記入していきます。

 

 

③会社概要を記入しましょう。

※注意ポイント2

従業者数を記入する欄があるのですが、役員数は登記上の人数を記入しなければいけません。ここも、きちんと確認してから記入していきましょう。

HPを持っている会社であれば、トップページのURLを記載してください。

それと、保護方針を記載しているURL、お問い合わせページ(個人情報を入力するぺージ)のURLも記載してください。

 

 

④個人情報を取扱う業務を記入しましょう。

ここでは御社で個人情報を取扱う業務・種類(従業員情報など)・件数(概数)・取得方法・委託の有無・保管方法を記入してください。

※こちらはあくまでも概要です。すべてを洗い出さなくても良いです。

 

 

⑤事業所の所在地を記入しましょう。

御社の事業所の所在地と、その事業所で取り扱っている個人情報を洗い出しましょう。

 

 

⑥個人情報保護体制を記入しましょう。

ここでは、誰が何の担当をしているか決めなければいけません。

※個人情報保護監査責任者には、代表者・個人情報管理者はなれません。

社内体制には、教育の担当者・お問い合わせ窓口の担当者も記入しましょう。

最近では、マイナンバーの取扱いの責任者・事務取扱いの担当者も特定しなければいけなくなってきているようですので、マイナンバーの取扱いがあれば、ここも記載しておくようにしましょう。

 

 

⑦文書を洗い出しましょう。

ここでは、御社で使う様式や、規程類を洗い出しましょう。

※制定日と改正日の記載も忘れないようにしてください。

 

 

⑧要求事項と対応表を作成しましょう。

各要求事項に使用する様式を記入していきましょう。

ここは知識がないと少し難しいかもしれません。

※⑦で洗い出した様式はすべてここに洗い出して記入してください。

整合性を合わせましょう。

 

 

⑨教育の実施について記入しましょう。

教育をいつ行ったか、テキストは何か等、左に記載されている項目に答えていくように

右側を埋めていってください。

※教育は全従業員対象に行ってくださいね。

 

 

⑩内部監査の実施について記入しましょう。

こちらも「⑨教育」と同じように右側を埋めていきましょう。

※個人情報保護管理者は、JIS Q 15001(ジスキューイチマンゴセンイチ)への適合状況の監査も行ってください。

 

 

⑪代表者による見直しについて記入しましょう。

代表者による見直しについて記入していきましょう。

内部監査で指摘になった報告や、これからどういう事業展開を行っていきたいか、代表の思いを記入していくところですので、どんどん記入していってください。

※こちらも質問内容が□で記載されているので、その質問に答えていくように記入していただければよいです。

 

 

⑫変更はあったか記入しましょう。

前回の認定時から変化のあった事業の報告をしましょう。

ですので、新規で申請される会社の申請書には⑫は存在しませんので、ご安心を。

例えば、新たに開拓した事業や、取りやめになった事業など、変化の概要を記入してください。特に何もなければ、「無」にチェックしていただければ良いです。

 

 

これで申請書は完成です!

それでは審査機関へ申請書を送付しましょう。

ここでご準備して頂くものがあります。

①登記簿謄本(3ヶ月以内に取得したもの)※原本

②定款 ※写しでも可

③代表者印

④担当者印(シャチハタ可)

⑤会社パンフレット(あれば)

も一緒に送付していただかないといけません。

こちらもお忘れなくご準備お願いします!

 

これで、Pマークの申請は大丈夫です!

面倒だと思われたら私たちISO総合研究所がお手伝いさせていただきますので

お気軽にお問い合わせください!

 

Pマーク(プライバシーマーク)認証成功事例!

N934_akusyuwomotomerubijinesuman_TP_V

 

いつもご愛読ありがとうございます。ISO総合研究所コンサルタントの下です。

今回は「Pマーク(プライバシーマーク)認証成功事例」について、お伝えさせて頂きます。実際に新規認証された企業の代表者様の声をまとめさせていただきました。

 

————————————————————————————————————————-取引先からの要求で今後の取引条件としてPマークの取得が必要になりました。

急に必要になった為何をしたら良いか分からずWEBで取得を支援している企業が無いか調べました。

ですが、どこにお願いしていいのかさっぱり分かりませんでした。価格的に一番手頃だったISO総合研究所に話を聞いたところ価格は一律で作業も事務局として手伝ってくれるので自社の項数が0になるとの事でした。楽に運用ができるならとISO総合研究所にお願いすることにしました。

 

 

自社ではPマークに関する知識は無かったためコンサルタントさんに相談しながら運用を開始していくことになりました。

当社は従業者10人以下でPマーク取得に担当者を付けることが出来ない為、社長の私が普段の業務をしながらPマークの業務をする必要がありました。只でさえ人手が足りず忙しいのにプライバシーマークの業務に手が回るか非常に心配しておりました。

ですが、毎回の打合せのヒアリングで規定の作成や、運用記録の作成を手伝ってくれるので大変助かりました。自社で運用することや確認が必要な事は訪問後のメールにて指示を残してくれるので何をするのか明確になっていました。また取得までのスケジュールを共有して進められたため安心して進めることが出来ました。

 

 

まずは個人情報の洗い出しから。個人情報と言っても何が個人情報に該当するのか?

個人情報とは氏名とその他の情報があれば特定が必要との事でした。自社の事でも一つずつ洗い出して行くのは困難でしたがコンサルタントさんにお手伝いしていただいて業務のフローから洗い出していくことで業務の都度発生する個人情報を改めて認識していくことが出来ました。また、社内で顧客情報や顧客リストと呼んでいても別の名称でも取り扱っていたり、社内で統一されていない名称があることも認識できました。

 

 

次にリスクの分析。リスクの分析と言うと難しく聞こえますが、特定した個人情報の取り扱いの流れの中でどのようなリスクがあるか、どのようなリスク対策があるか洗い出していくものです。今まで社内のルールとして運用していたことを文章にしていくと曖昧なルールで運用していたことが分かりました。具体的にリスク対策を書き出していくと改めてルールの見直しや現状どんな対策をしているかを確認することが出来ました。

新規認証の際にもPマークの一通りの運用が必要で個人情報に関する従業者への教育や自社で行う内部監査等Pマークに必要な取り組みを計画して進めていきました。

 

 

コンサルタントさんとの打ち合わせが進むにつれて現地審査に近づいてきます。最近の現地審査は厳しくなっているとの話を聞いていたため取得が難しいのではないかと心配でした。ですが、基本的には審査を受ければ取得は出来るとの事でした。

審査に通らない、審査に落ちる内容としては下記で、

①従業者の人数を誤魔化す等虚偽の申請。

②審査に必要な書類を提出しない、申請料を振り込まない等の申請の意思がないと見なされる時。

それ以外の内容であれば審査は通るとの事でした。

指摘事項が多く出てもしっかりと是正を行い対応していけば必ず通るとの事である程度心の準備をして現地審査に臨むことが出来ました。

 

実際に審査では指摘事項が多く出ましたが審査員の方が運用のアドバイスや改善のアドバイスをしてくれましたので指摘が出るからと言って悪いことではないと感じました。新規認証なので不十分な部分はありましたが現地審査を通して記録や規定を完成させていくイメージです。

指摘事項に対しては改善して書類を提出しないといけないのですが、これがまた一苦労でした。指摘事項の文書の意味合いが良くわからなかったり、対応方法が合っているのか分からなかったりしましたが、コンサルタントさんと相談をしながら書類を修正して進めていきました。そして提出と再指摘を審査機関と何度か繰り返しながらやっと指摘改善を終わらせられました。

 

 

審査機関とのやり取りが終わりPマークを取得できた時は非常に嬉しく、コンサルタントさんにも感謝しました。ですが、Pマークは取得後2年に1度更新が必要なのでここからは運用がスタートします。現状は運用中ですのでコンサルタントさんと打合せをしながら運用を進めています。

最初は何もわからない状態から始めましたがプロに相談して進めることで私の負担が大分減りました。自社の業務をしながらPマークの業務をするのは楽なものでは無いと感じました。専門的な知識が必要になるのでプロに任せてしまった方が早いし楽です。

今後もプロの力を借りながら運用し、更新申請をしていきたいと思っています。

———————————————————————————————————————-

 

いかがだったでしょうか。

今回ご紹介させて頂きました実際にPマークの新規取得をお手伝いさせて頂きましたお客様の声ですが新規取得以外にも現状運用中のお客様のお手伝いもさせて頂いております。

PマークやISOでお困りのことがございましたら弊社までお気軽にお問い合わせください!

 

 

Pマーク(プライバシーマーク)の申請書に必要な情報って何??

N112_sukejyurucyouseicyu_TP_V

いつもご愛読いただき、誠にありがとうございます。ISO総合研究所コンサルタントの一山です。今回はPマーク(プライバシーマーク)の新規取得時や更新時に必ず必要となる「申請書」についてのお話をさせて頂きます。

 

まず、「申請書」を書く意味なのですが、Pマーク(プライバシーマーク)を新規取得・更新するためです。

それ以外の理由で申請書を作成している人は見たことがありません。笑

逆に言えば、新規取得・更新をする際には必ず必要なものとなります。

ではその内容はどのようなものを記載すれば良いのでしょうか。

ある審査機関の申請書に記載する内容を確認していきます。

 

0 プライバシーマーク付与適格性審査申請チェック表

1 プライバシーマーク付与適格性審査申請書

2 会社概要

3 個人情報を取扱う業務の概要

4 すべての事業所の所在地及び業務内容

5 個人情報保護体制

6 個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧

7 JISQ15001要求事項との対応表

8 教育実施サマリー

9 監査実施サマリー

10 事業者の代表者による見直し実施サマリー

(11  2006年版JISによる前回認定時から変更のあった事業の報告)

 

Pマーク(プライバシーマーク)の申請書のページごとの表題はこのようなものがつけられております。

タイトルで内容が分かるようなものもありますが、実際に記入する内容はどのようなものなのかを、本ブログでは簡単ではありますが、

説明していきますので、最後までお付き合いをよろしくお願い致します。

 

 

『0 プライバシーマーク付与適格性審査申請チェック表』

申請するために必要な書類がそろっているかのチェックシートとなっているので、そのチェックに印を入れるのと、申請事業者名や申請担当者名の記載が必要となります。

申請担当者名の後ろに、印鑑を押す印はついていないのですが、シャチハタ印でも構わないので捺印をしてください。

もう一つ忘れがちなのが、申請日の日付を記入することです。それも忘れずに記入しましょう。

 

 

『1 プライバシーマーク付与適格性審査申請書』

申請事業者の名称をフリガナ付きで記載する欄や、英語での名称を記載する欄があります。

新規の場合は記載欄がありませんが、更新の場合はPマーク(プライバシーマーク)の登録番号を記載する欄もあります。

所在地を記載する欄には、登記簿上の本店の住所を記載しなければなりません。

代表者の役職を記載する欄では、「代表取締役社長」や「代表取締役」の違いなどにも気を付けましょう。代表者氏名の右隣りに捺印する欄がありますが、そちらは実印でお願い致します。

下部には申請担当者の連絡先を記載する欄がありますが、そちらは申請後の審査機関との連絡の際に使用される電話番号やメールアドレスとなるので、連絡がすぐ取れるものにしておきましょう。

 

 

『2 会社概要』

名前の通り、会社の概要を記載する欄です。売上高ら事業の内容、従業員数を記載する欄があります。役員の数は登記簿上の登録と同じもので申請しなければいけないので、ご注意ください。

会社のHPのURLや、個人情報保護方針を載せているページのURL、個人情報の入力を行うページのURLが必要となってきます。

同一の個人情報保護マネジメントシステムをベースとするグループがある場合に、記載する欄もあります。

 

 

『3 個人情報を取扱う業務の概要』

こちらは、個人情報を取り扱う業務の一覧を記載する欄です。業務内容に、その個人情報を取り扱う件数、その個人情報をどのような方法で入手するか、外部委託の有無、その個人情報の保管の状況を記載する欄があります。

個人情報の件数は概数で大丈夫ですが、個人情報を取り扱う業務は漏れなく全て記載しましょう。

 

 

『4 すべての事業所の所在地及び業務内容』

支店などの全ての事業所を記載するページです。事業所の名称とその所在地、個人情報を取り扱う業務の内容の記載が必要です。

 

 

『5 個人情報保護体制』

Pマーク(プライバシーマーク)を運用するにあたって、Pマーク(プライバシーマーク)に関係する業務を誰が担当するのかを記載するページとなっております。

担当者を決めなければいけないものは、個人情報保護管理者(基本的に、申請した後に審査機関とやり取りを行う窓口になります)、個人情報保護監査責任者(基本的に監査を統括するリーダーとなり、監査員の指名などを行います)、個人情報保護マネジメントシステム(PMS)に係わる社内実施(推進)体制の欄には教育を行う方などを記載、個人情報保護マネジメントシステム(PMS)に係わる消費者相談窓口(苦情・相談等の窓口の責任者)、個人情報保護マネジメントシステム(PMS)に係わる養育を行う担当者の役職や開催回数、個人情報保護マネジメントシステム(PMS)に係わる監査の実施体制や行う回数などを記載します。

記載する内容が少し多いのですが、その点は弊社にお任せ頂ければすべて作成いたしますので、よろしくお願いいたします。笑

 

 

『6 個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧』

Pマーク(プライバシーマーク)を運用するにあたって使用する規定や様式の一覧をこのページに記載します。

規定や様式の名前と制定日と最新の改正日を記載することとなります。使用している様式が多ければ多いほど内容も多くなってしまいます。必要な規定や様式を残し、できる限り書類を少なくした状態にしてから記載することをオススメします。

 

 

『7 JISQ15001要求事項との対応表』

JISQ15001(ジスキュー15001)というPマーク(プライバシーマーク)の要求事項となるものに沿って記載していく部分となっております。まずはそのJISQ15001(ジスキュー15001)の要求事項を記載していき、それに対応するPMS(プライバシーマークシステム)の規定と名称と項番を上位規程から記載し、その要求事項に対応する様式を記載する部分となっています。

6の個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧に載っていない様式が混ざる、誤字脱字でそうなってしますこともあるので、

様式名は特に確認しなければならない部分となっています。

 

 

『8 教育実施サマリー』

実施した教育の記録を記載するページです。

いつ、どのような方法で教育を実施し、何人が教育を受けたのかを記載するページとなっております。

更新の場合は2年分の教育の記録が必要となります。

 

 

『9 監査実施サマリー』

内部監査を行わなければならないのですが、それによって指摘された内容を記載し、それに対応する是正処置はどのようなものを行ったかを記載するページとなっております。

こちらも、更新の場合は2年分の監査の記録が必要となります。

 

 

『10 事業者の代表者による見直し実施サマリー』

代表者に報告を行い、それに対してどのような指示を受けたか記載するページです。

指示に基づいての処置の実施状況を記載する欄もあります。

こちら更新では2年分の記録が必要となります。

 

 

『11  2006年版JISによる前回認定時から変更のあった事業の報告』

こちらは新規の申請の場合はありませんが、更新の場合は記入欄があります。

変更がなければ変更なしにチェックをし、変更がある場合はその旨を記載します。

新規事業を開始している場合、個人情報の取り扱いに大きな変化があった場合、取りやめた事業がある場合、合併などがある場合はここに内容を記載しなければなりません。

 

 

 

…長々と書いてしまいましたね。

これだけの情報が必要なんですね。

これだけの内容を確認するのも一苦労ですが、

実際に申請書を作成するのは、本業をこなされながらの兼務となりますので、

もっと大変な手間になると思います。

 

 

弊社ではこれらの書類作成業務もお手伝いさせて頂きますので、

「ブログ見たよ!」で、1本、お電話を頂ければ幸いです。笑

弊社のサービスは他にもございますので、

お電話をして頂ければ、ご説明をさせて頂きます!!

 

最後までお読みいただき、誠にありがとうございます。

Pマーク(プライバシーマーク):サザエさんと三川屋さんに学ぶ開示等に関して

ISUMI151101140I9A6167_TP_V

お世話になっております。ISO総合研究所のコンサルタントの大山です。
いつもご愛読ありがとうございます。

 

 

Pマーク(プライバシーマーク)を運用していくために、少し厄介なことを感じるものがあると思います。

何を隠そう、私もJISQ15001:2006(ジスキュー15001:2006)のガイドラインの3.4.4の個人情報に関する本人の権利の開示等を重い腰、いや手を上げてブログを作成していくところです。ただ闇雲に開示等に関して書き連ねても面白みがないので、例を交えながら書いていきます。

 

 

JISQ15001:2006の開示に関しては3.4.4個人情報に関する本人の権利から幕を開けるのです。

これは個人情報の主つまり本人、サザエさんであれば(名前:フグ田サザエ、年齢:24歳、誕生日:4月3日、出身校:あわび女子学園、住所:東京都世田谷区桜新町あさひが丘)などの個人情報の権利をのび太が持っているということです。

3.4.4.1個人情報に関する権利は企業が管理している個人情報に関して、個人から要求されたことに対して応じる権利がある場合に、例外もあるけど速やかに対応しようねということが書かれています。

ただこれでも、よくわかりませんね。

これはつまり、サザエさんの裏の勝手口からよく出入りしている三河屋さん(酒屋の若造さん)との関係で説明すると以下のようになります。

サザエさんの個人情報(  名前:フグ田サザエ、住所:東京都世田谷区桜新町あさひが丘3丁目、電話番号、口座情報など)を三河屋さん(酒屋の若造さん)に預けていることになっています。

もちろん三河屋さんはお得意さんの情報を一覧化して管理しています。そこでサザエさんは思いました。

私の個人情報をどこまで、三河屋さんは知っているのかしらとそこで、三河屋さんに何を知っているか開示を求めました。サザエさんの身長や体重がもし三河屋さんが握っていたら嫌ですもんね。

開示を求めたところ問題がありました。

いたずら電話が多かったので電話番号が変えていたので、個人情報の内容の訂正を三河屋さんに要求しました。

もちろんここまでの開示、内容の訂正に関して三河屋さんは快く対応しました。また後日、サザエさんはFAXを購入したのでFAX番号を追加することを求めました。ただ、磯野家はありがちなことで、ものが壊れやすいです。

そうカツオ君のおかげでFAXが壊れたので、FAX番号を削除してと要求しました。そしてしばらくは個人情報に関して何もなかったのですが、三河屋さんは商いの素質が高かったのでDMを送るようになりました。

するとDMに関してはサザエさんは不快に感じたので、DM発送に関しての個人情報に利用停止を要求しました。これに対して三河屋さんは紳士的に対応しました。

三河屋さんは天性の商いの才能を活かして、カタログ通販業者にサザエさんの個人情報を提供していました。

もちろんこの提供にサザエさんは同意していましたが、カタログ通販に興味がないので、第三者提供をやめように要求しました。もちろんこれに対しても三河屋さんは応じました。

サザエさんは買い物にいくとふと三河屋さんは高いと気付き、定期訪問を解約することにしました。そこで三河屋さんに保有している個人情報の消去を要求しました。

少し長くなりましたが、上記の内容に例外がありますが基本的には三河屋さんはすぐに対応しようということです。

 

3.4.4.2開示等の求めに応じる手続きには本人に負担がないように手続きを設定しないといけないと記載されています。これもサザエさんと三河屋さんとの関係で説明すると以下のようになります。

 

開示等の申し出先:三河屋さん(青年)と規定されているので三河屋さん(青年)にサザエさんは連絡しないといけません、三河屋さんの他の店員に伝えても意味がありません。

開示に必要な書式やそのほかの開示等の求め方式として「開示等請求書」を三河屋さんは規定しました。サザエさんは開示等を請求するためには「開示等請求書」に必要事項を記載して三河屋さん(青年)に提出する必要があります。

これ以外では三河屋さんに受け付けてもらえません。もしもサザエさんの気が弱くてマスオさんが代理人として開示等を請求してきたときのために、委任状と委任されている人が本人であるかを免許証やパスポートなどで確認すること規定する必要が三河屋さんにはあります。

また三河屋さんは開示等を要求されて時に無料で対応することがお得意さんのためになる思ったため、無料で規定しました。

 

 

3.4.4.3開示対象個人情報に関する事項の周知などには取得している個人情報の内、開示するものは本人にJISQ15001:2006の3.4.4.3のa)~f)項が知れる状態にしないといけないということです。つまりこれもサザエさんと三河屋さんで説明すると以下のようになります。

 

三河屋さんはサザエさんの開示する個人情報に関しては、以下のことをサザエさんが知れるようにしないといけません。

事業者名:三河屋、個人情報保護管理者:営業担当、営業部、電話番号、すべての開示対象個人情報の利用目的:商品の配達のため、開示対象個人情報の取扱いに関する苦情の申し出先:三河屋さんの電話番号、認定個人情報保護団体の苦情の申し出先、3.4.4.2開示等の求めに応じる手続きで定めた内容。

上記をチラシに記載してサザエさんのお宅に配達時にお持ちしたり、お店先において置くことで本人ことサザエさんが知る得る状態にしました。

 

 

3.4.4.4開示対象個人情報の利用目的の通知~3.4.4.7開示対象個人情報の利用又は提供の拒否に関しては比較的簡単であるため、サザエさん、三河屋さんの出番も不必要だと思います。

何より彼らも疲れていると思うので、休ませてあげてください。

 

 

さーて次回のサザエさんは

・カツオ現地審査の指摘を1ヶ月に解決

・タラちゃん内部監査責任者に任命

・波平、代表者による見直しで「バカもの」を連呼

の3本だったりするかもしれません。

 

次回もまた見てくださいね。じゃんっけんっぽんっ・・・パー

 

このブログはISO総研とISO総合研究所の提供でお送りいたしました。

Pマーク(プライバシーマーク)の現地審査について

SAYA072162920_TP_V

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの花井です。

 

Pマーク(プライバシーマーク)取得、更新をしていく中で必ず通らなければならない「現地審査」。本日は現地審査から不適合の指摘および改善、その後の手続きについて、特に不適合の指摘および改善に焦点をあてていきたいと思います。

その前にそもそも現地審査とは何をするものなのか。大きく分けて4つあります。

 

①代表者へのインタビュー

└代表者へのインタビューで今現在代表者として感じている、個人情報に対するリスクの確認やPMS(個人情報保護マネジメントシステム)の運用における代表者による見直しでどのようなことを行ったかを確認します。

 

②運用状況の確認

└担当者へヒヤリングを行います。

  • 事業概要、業務フローの説明、個人情報の特定について、リスクの認識、分析、対策、
  • 個人情報を取得、利用、本人へのアクセス、第三者に提供する場合の措置
  • 委託時の措置(委託先選定基準、委託契約)
  • 本人からの要求に対する対応
  • 教育
  • 運用の確認、監査
  • 是正及び予防措置
  • 事業者の代表者による見直し

 

③現場での運用状況確認

└実際に現場の立ち合いを行って確認します。

  • 個人情報保護方針の周知状況
  • 物理的安全管理措置

・建物、室、サーバー室等の入退館(室)管理

・盗難等の防止

・機器・装置の物理的な保護

  • 技術的安全管理措置

・アクセス時の識別と認証(アクセス認証、デフォルト設定の変更状況、ID、パス

ワード等の発行・更新・廃棄)

・アクセス制御、アクセス権限の管理、アクセスの記録

・不正ソフトウェア対策(ウィルス対策ソフトウェア、セキュリティパッチ等)

・移送・通信時の対策(授受確認、取得時・移送時の暗号化、クロスサイトスクリプ

ティングやSQLインジェクションなどへの対策)

・情報システムの動作確認時の対策

 

④統括

└まとめ、指摘事項等

 

①~③を確認したのち④の総括で是正が必要な箇所に「指摘」を受けますが、この「指摘」事項への改善対応の報告は、「プライバシーマーク付与適格性審査の実施基準(PMK220)」2.9.2の規定により改善の指摘を送付(否認の決定)の日から3ヶ月以内に行わなければならず、「再指摘事項」がある場合は、否認の決定をすることになりますが、実際には「再審査指摘」を受けた場合は、1ヶ月以内に改善報告書を再提出するように運用しなければならないのです。

 

しかも、6か月以内で指摘事項の改善を完了させなければならないというルールがもうけられています。

 

この期限が設けられたことにより、何が大きく変わるかというと、現地審査後にあまり時間をかけられないということです。つまり、指摘事項が多ければ多いほど、作業が重くなってしまうというわけです。

 

ここからは不適合の指摘および改善に焦点です。

 

指摘事項の数(指摘数)は、できるだけ少なくしたいのが本音です。 そのためにも、指摘事項の傾向やポイントをおさえ、指摘を少なくし、早く楽に対応できるようにしたいですよね。

 

指摘数は、地域によっても多少の違いがあります。主要な都市で比較すると、指摘数の多い順に、東京、大阪、愛知と並びます。同じ規格をもとに審査をしているはずなのに、違いが出てくるのは、もちろん審査員さん個人の見解による違いもありますが、やはり地域別の傾向があるということだと思います。

 

どういうところに差が出てくるのかと言いますと、一つの例としては言葉の表現の違いが指摘事項となるかどうかです。 具体的に例を出すと、「監査員」と「監査人」の違いについての指摘が過去にありました。

 

どのように指摘されたのかというと、『「監査員」と「監査人」を使い分けているのなら、違いを分かりやすく定義しなさい』というような指摘です。

 

上記の指摘は、実際に東京で出された指摘なのですが、これが、愛知や大阪では、現地審査の時に、「記載ミスです」の一言で見逃してもらえることがあります。

 

また、指摘事項にも流行りがあります。少し前までは、ウェブページに関する指摘がかなりの確率でありました。 その中でも最も多いのが、「暗号化措置を講じなさい」という指摘です。

 

具体例を言うと、ウェブページのお問い合わせ画面がSSL化されていないという指摘です。

 

これはSSL化されていなかったら必ず言われていました。

 

ネットワークからハッキングなどによる情報漏えいもあるようなので、厳しくなってきている部分です。

 

指摘事項はゼロにすることは、ほぼ不可能です。

 

審査員さんも仕事で指摘を出すために審査しに来ますので(笑) なので、指摘事項をどのように対応していくかが重要な部分になってきます。

 

手間をかけないことを重視するのか、早くに終わらせることを重視するのか、今後の運用も考えて改善することを重視するのか。

 

指摘事項の改善には正解は何通りもあります。 他社の事例は参考程度にして、今後自社に合った運用ができるような改善をするのが、もちろんベストな方法ではありますが、書類作成の手間や、運用の手間も考えなければいけません。

 

通常業務に影響が出ないように、なおかつPマーク(プライバシーマーク)の運用が滞らないように、日々改善を続けていかなければいけませんね。

Pマーク(プライバシーマーク)とホームページ(HP)のレイアウト

PAK153130659_TP_V

毎度毎度

こんにちは!

 

最近、気になる女の子に振られHeart Breakなコンサルタント

ISO総合研究所コンサルタントの立松 夏樹です。

 

今回もプライバシーマーク(Pマーク)のお話しをいたします。

 

タイトルは「Pマーク(プライバシーマーク):Pマーク(プライバシーマーク)とホームページ(HP)のレイアウト」です。

 

タイトルだけ見ると「なんで、プライバシーマーク(Pマーク)とホームページ(HP)が結びつくのか?」とお思いの方も多数いらっしゃるかと思います。今回は、この話を分かりやすくするために有名マンガに例えて見せていければなと思います。

 

CATUION!!

CATUION!!

CATUION!!

・・

・・・

進撃のプライバシーマーク(Pマーク) 調査兵団がコンサルタントだったら・・・

 

指摘型巨人「オオオォオオォォ…ホームページニシテキニコ…ア・ル・ヨォ…」

 

エ〇ン「ハァ?!何言ってるかわかんねぇんだよ!!! くたばれぇぇぇぇ!!!」

 

ミ〇サ「待って!! エレン!! 闇雲に飛び込んでは危険よ!!!」

 

エレ〇「うっせぇぇぇ!!! 俺はとにかくこの指摘を片付けるッッ!!

俺は、この世から指摘を一匹も残らず駆逐してやる!!!うぉぉぉぉ!!」

 

リヴァ〇「馬鹿が・・・何の指摘か分からず考えもなしに飛び込みやがって

駆逐より指摘内容を確認するのが先だろう」

 

指摘型巨人「オトイアワセブントコジンジョウホウホゴホウシンニノッテナイトコロガアルヨ・・」

 

※この場面では、審査完了後にホームページ(HP)関連の指摘が2個降りてきたようです。

早急に片づけたいですね。しかし、この〇レンのように何も分からずに駆逐しようと

するのは良くないですね。まずは、〇ヴァイ兵長のようにどのような指摘内容かを確認するのがいいです。

 

エ〇ン「ッと。確かに考えもなしに飛び込むのは危険すぎるな・・・つっても

どんな指摘かが分かんねえよ」

 

ミ〇サ「無思考は危険よ。エ〇ン。巨人の声に耳を傾けるのよ。ホームページ(HP)のお問合せ文言と個人情報保護方針に関する指摘のようね。」

 

※上のミ〇サのように

指摘内容の把握には、審査後、審査機関から返ってくる指摘文書の確認が必要になります。今回はホームページ(HP)のお問合せ文言と個人情報保護方針に関する指摘のようですね。

 

指摘型巨人「オトイアワセブンノリヨウモクテキガフテキゴウ・・・

コジンジョウホウホゴホウシンノトイアワセマドクチガカイテナイ・・・」

ミ〇サ「問合せ文言の利用目的と個人情報保護方針の問合せ窓口が書いていないことが

今回の指摘内容なのね。」

 

※指摘内容の把握はとても重要で、この指摘改善の内容を見誤り、間違った改善の対応をしてしまうと再指摘をもらう可能性があります。といっても、実際の指摘文書はこんな片言では書いてないですが(笑)

 

エ〇ン「さすがだな!ミ〇サ!そうなったら早速改善だッ!!」

 

リヴァ〇「馬鹿が・・・改善の仕方も分からずにやりやがって。

この指摘の改善方法は、利用目的をお問い合わせに回答のための利用目的に

するのと個人情報保護方針の問合せ窓口を記載する必要があるんだよ

 

※さすがリヴァ〇兵長!その通りです!!

今回の指摘の改善方法は、ホームページ(HP)に記載されているお問合せ文言にお問い合わせの回答するためという内容で利用目的を記載するのが正解です。

お問い合わせをもらったらどうするかを考えていくと利用目的が見えてくるかと思います。

そうです。お問い合わせは回答するためにあり、いただいた個人情報はそのことに回答をするために利用するのです。

ここの部分を会社での個人情報の取り扱いにおける利用目的と勘違いして載せてしまうパターン(例えば、利用目的を通常業務で使用するため・サービスの宣伝で使用するため等)があり、いままでもお手伝いさせていただいている会社さんに見受けられる事象になります。また、個人情報保護方針の開示等に対する問合せ先を掲載するのはガイドライン3.2項個人情報保護方針のc項に該当します。(苦情及び相談への対応に関すること)

問合せをしたいのに、窓口が載ってなければどこに連絡すれば分からないですよね。

だから問合せの窓口を載せるのです。

 

…こうして、指摘の改善対応に費やすこと幾星霜…

エ〇ン「おっしゃぁぁ!!対応が終わったぞ!!これで指摘は完了だぜ!!」

 

リヴァ〇「先走り過ぎだ、馬鹿が だがまぁこれで指摘は完了するだろう・・・」

 

エ〇ン「よかったわね。エ〇ン。」

 

こうして 、無事に指摘は完了されたと判断されプライバシーマーク(Pマーク)の認証に至るのであった。

 

このように、プライバシーマーク(Pマーク)とホームページ(HP)は関係ないように見えて、実は大いに関係があることが分かりましたね。といっても、会社のホームページ(HP)の対応においては、自社で実施しているのであればすぐできるかもしれませんが、外注の場合、完了まである程度、お日にちを頂く可能性がございます。弊社、ISO総合研究所はプライバシーマーク(Pマーク)やISO(アイエスオー)のコンサルだけでなく、関連会社にて会社のホームページ(HP)の運用代行も実施しております。毎度毎度の営業で聞き飽きたかとは思いますが、ご興味がございましたら弊社、ISO総合研究所までお問合わせをお願いいたします。

 

末筆ではございますが拙い内容で恐縮ではございますが、以上とさせていただきます。

ギャル的にPマーク(プライバシーマーク)における受託の場合に気をつけることは?

 

bsYUKA863_kaugirl15175149
いつもご愛読ありがとうございます。
もう気分は夏全開!ISO総合研究所コンサルタントの松本です。

さて、今回は「Pマーク(プライバシーマーク)における受託の場合に気をつけることは?」という議題について、ギャル的に考えていきたいと思います。

 

 

そもそも「受託」って何?という方のために、簡単に説明したいと思います。

 

※「受託」とは、逆に頼まれて、業務を引き受けることです。委託を受けること。

 

その他にも、「預託」、「委託」「提供」という言葉があります。

※「預託」とは、他社(者)に自らが保有する個人情報を、預けることです。

※「委託」とは、預けた(預託した)個人情報の情報処理などの業務を、自分に代わって頼みゆだねることです。

※「提供」とは、自分の持っている情報をほかの人の役に立てるよう差し出すことです。

 

 

では、「受託」「預託」「委託」「提供」の意味が分かったところで、本題に移ります。

 

 

例えば、A社から、「この個人情報をデータ化してほしい。」とB社が依頼されたとします。

 

依頼された仕事ができたら、A会社に返す。とします。

 

この場合、B社は「受託」になり、A会社は「委託」になります。

 

この場合、B社は覚書を締結しないといけないのでしょうか?

 

みなさんは、どちらだと思いますか?

 

実は、B社は必ずしも覚書の締結をしなくてもPマーク(プライバシーマーク)上では問題ないのです。

 

JISの要求事項では、クライアントが適法、かつ公正な手段により個人情報を取得しているかどうかを確認するように要求されておりますが、確認する基準は自社で決めることができます。
なので、クライアントとすべて契約書を結ぶ必要はないのです。自社でルールが決めれます。
仮に、もし、B社が個人情報を漏洩してしまった時、この場合A社の責任になります。

A社はB社を委託先として監視する必要があるためです。

 

しかしB社としては、A社からの信頼関係は壊れてしまうかもしれないです。

 

もちろんB社から、覚書を締結しましょう!というのも有りです。

 

 

では、力関係もあり、A社に覚書を締結しましょう!と言えないこともありますよね?

 

その場合、どうすればいいかと言うと、、、

 

個人情報を適法、かつ公正な手段により取得しているか確認する事が不可能な場合もあります。
その場合は、B社がA社に個人情報を適法、かつ公正な手段により取得しているか確認する努力をすればいいのです。

確認する努力の例としては、、、
・ホームページを見て、個人情報保護法が掲載されているか?
・Pマーク(プライバシーマーク)を取得しているか?等
方法は自社でルールを決めたらいいので、絶対ということはありません。

 

とにかく、個人情報の取得元が、ちゃんと個人情報を取得しているかの確認をすればいいんです!

 

 

Pマーク(プライバシーマーク)の規格であるJIS Q 15001的に言うと、下記のように、超難しくなりまーす。

 

 

適正な取得(要求事項3.4.2.2)について

 

JIPDECガイドラインは、本人以外から個人情報を取得する場合(受託による取得を含む)、提供元又は委託元が個人情報を適正に取り扱っていることを確認するよう規定していること、並びに、定めた手順に従い、提供元又は委託元の個人情報の取扱いについて確認していることを求めている。

(JIPDECガイドライン第二部3.4.2.2) また、JIPDECガイドラインは、個人情報を取得する場合、定めた手順に従い、事業者内部において個人情報保護管理者の承認を得ることも求めている。

 

そこで、プライバシーマーク付与を受けようとする事業者は、引き続き、これらの求めを踏まえ、個人情報を適正に取得することが求められる。

 

取得時の具体的な手順としては、METIガイドラインを参考に、取得前に、取得する個人情報の件数や取得項目のほか、取得する個人情報の利用目的からみた取得項目の適切性、提供元又は委託元の個人情報保護の状況(例えば、個人情報保護方針や個人情報の取扱い、個人情報保護体制(個人情報保護管理者含む)の公表状況、提供元の法の遵守状況(オプトアウト、利用目的、開示手続、問合わせ・苦情の受付窓口を公表していることなど) )等について確認し、承認を得ることが考えられる。特に、データベース事業者等の提供者から、広告、DM送付の目的で個人情報を取得する場合は、JIPDECガイドラインが従前より求めているとおり、取得前に承認手続きを通じた確認を行なうよう注意することが必要である。

 

委託元から個人情報を取得する場合には、通常、取得する個人情報は受託業務の範囲内であることが明らかであると考えられるが、この場合も、事業者は、取得の経緯を示す書面(事業者と委託元との間の契約書や覚書、委託元のウェブサイト等)を確認することが求められる。なお、事業者は、提供元又は委託元との取引の可否について、万一問題が発生した場合に自社が経営上被るリスクの観点から判断することが求められる点に留意することが必要である。

 

 

って感じで、受託されている会社は是非参考にしてみてくださいね~!

 

 

ではでは、これでギャル的な考え方は以上になります。

 

グッバイ~!