Pマーク(プライバシーマーク)における「内部監査」について

_shared_img_thumb_GREEN_I20140125_TP_V

 

いつもご愛読いただき、ありがとうございます。ISO総合研究所、コンサルタントの南です。

 

最近、気温の寒暖差が激しいですね。夜はちょうど良かったのに朝は寒すぎて、

布団の中で震える日々が続いております(笑)

そうそう、先日ですね、弊社で毎月実施している新卒のイベント、

 

「天下一大会」の“東京新卒VS大阪新卒のプレゼン対決”

 

に向けての打合せをするために、最近、板橋区引っ越した同期の新卒男子の家に、他の新卒者と一緒にお邪魔させていただきました!!

 

※天下一大会とは毎月一回、新卒同士で戦う壮絶なバトルの日です!ISO総合研究所の名物と言っても過言ではないです!しかし、イベントの名前はどこかの漫画からクレームが来そうなネーミングですね!(笑)

 

いやあ~、職業柄でしょうかね、間取りとか、何処に何を置くかよりも、エントランスの鍵の閉め方や、靴箱に鍵がかかっている、災害時の避難経路はあるのか、消化器は置いてあるか、などのセキュリティーが気になってしょうがなかったです。知らず知らずのうちに内部監査をするような視点で新居を見て回っていました。(笑)

 

ということで今回はPマーク(プライバシーマーク)における内部監査のお話をさせていただこうと思います。(かなり無理矢理ですね...(笑))

 

 

まず、内部監査ってなんでしょう...??

 

内部監査とは、組織の内部の者による監査のことをいいます。

組織体が経営する上での目標の効果的な達成に役に立つことを目的として、合法性と合理性の観点から公正かつ独立の立場で、ガバナンス・プロセス、リスク・マネジメントおよびコントロールに関連する経営諸活動の遂行状況を、内部監査人としての規律を遵守する態度をもって評価し、これに基づいて客観的意見を述べ、助言・勧告を行う保証(アシュアランス)業務、および特定の経営諸活動の支援を行うアドバイザリー業務です。内部監査は、取締役(会計参与設置会社にあっては、取締役及び会計参与)の職務の執行を監査する監査役監査(又は監査委員会による監査)、計算書類及びその附属明細書、臨時計算書類並びに連結計算書類を監査する会計監査人監査と合わせて、三様監査と呼ばれることがあります。

※一般社団法人日本内部監査協会の「内部監査基準」参照

 

これを簡単に言いますと、ルールをしっかり守れているのかを社内にいる人がチェックしていくということです。

 

Pマーク(プライバシーマーク)の運用で言うと「PDCAサイクル(ピーディーシーエーサイクル)」の「C」にあたるのが内部監査です!

※PDCAサイクル(ピーディーシーエーサイクル)とはPがプランつまり計画、Dがデューつまり実行、Cがチェックつまり点検、Aがアクションつまり行動になります!!!

 

Pマーク(プライバシーマーク)の内部監査を行うにあたって、大きく分けて以下3点の監査を行っていかなければなりません。

 

 

  • Pマーク(プライバシーマーク)の文書に対する監査

チェックするのは、社内で作った文書が規格(JISQ15001(ジスキュー15001))の要求を満たしているかどうかです。

 

  • 個人情報保護管理者に対しての監査

個人情報保護管理者が作ったルール通りに運用をできているか

 

  • 現場に対しての監査

実際に現場で決めたルールを守っているか、各拠点、各部署の単位でチェックをしていきます!!

 

よくある例としては、入退室の記録の書き忘れや社内携帯にパスワードをかけていない、スクリーンセーバーをかけ忘れている、また掛けているが、バブルで設定しているなどなどです。ちなみになぜスクリーンセーバーの設定がバブルだとダメかというと、バブルだとスクリーンセーバーがかかっても透けてしまってパソコンの画面の内容が丸見えなんですよ(笑)

実際、わたしたちのお客様でも現地審査で審査員に指摘として出されてしまったお客様がいます(笑)

気になる方はぜひ一度設定してスクリーンセーバーがかかるまで放置してみてください(笑)

ちなみにどうしてもスクリーンセーバーをかけたくない方には、離席時に「Ctr(コントロール)」と「L(エル)」のキーを押していただくと、画面がロック画面になるという裏技が有ります!!ぜひぜひお試しくださいませ!!(笑)

 

 

Pマークを取るためには、上記の内容の内部監査を最低でも1年に1度は行わなければいけないです!

 

 

また、内部監査をする際の注意点ですが、監査員は自分が所属している部署の内部監査を実施してはいけません!!理由としては自分の部署を自分で見てしまうと、客観的な目で見れなくて、公平な判断が出来ないからです!!!分かりやすくいうならば、遊園地に行って、周りにいる子供と自分の子を比べて、「うちの子が一番かわいい」と思ってしまう父親、母親のようなものです(笑)客観性、公平性を失っていますね(笑)かく言うわたしも子供が出来たらそうなっていくのでしょうが…(笑)

 

 

ざっくりですが内部監査につきましては以上となります!!!!

拙い文章ですが最後まで読んでいただきありがとうございました!!!!!

「Pマーク(プライバシーマーク)の新規認証の審査の1日」

SAYA072162920_TP_V

いつもご愛読ありがとうございます。

 

今回はPマークの新規取得において、担当者が一番心配されている点についてお話したいと思います。

お客様のほとんどは口を揃えて、「○○が一番心配だった。」「○○の対策をどうするかでずっと悩んでいた。」と言います。

その「○○」とは・・・「現地審査」です。

 

「現地審査」とは、審査員がPマーク取得申請企業に実際に出向いて、実務をチェックする工程です。現地審査を初めて受けられる人にとっては、何が起こるのか分からないので大変不安ですよね。では、実際、どんな風に流れていくのか、1日の流れを紹介したいと思います。現地審査の前日から、Pマーク担当者Aさんの1日のスケジュールを見ていきましょう。

 

【審査前日】○月×日

09:00 明日は審査だ。審査に使う書類を印刷しよう。

10:30 書類の印刷終了。やはり書類の数多いな…。さーて、どこにどの書類があるか当日テンパらないように付箋を貼っていこう。

12:00 付箋だらけになってしまった。書類も多いし、付箋も多いし、テーブルがごちゃごちゃだ。審査でしっかり見る書類と、ほとんど見られない書類が分かれば、書類も付箋も少なく済むのになぁ。とりあえず昼食取って休憩しよ。

13:00 さて、次は「同意書」や「委託先の契約書」とかの書類を総務部のキャビネットから集めよう。

14:00 やっと集まった。意外と大変だったな。でもなんか足りなさそうだな…

14:05 とりあえずテーブルの上がやばい(笑) 綺麗にファイリングしよう。

14:30 完成!さーて、次は全書類のチェックだ!

14:40 やばい。さっそく書類が足りない。印刷ミスもある…

16:30 チェック終了。・・・さて、やるか(不足分の書類回収、書類修正、再印刷など)

17:00 退社時間迫ってる。誰か手伝ってくれ。

18:00 んー終わらない。

19:00 よし、ここまできた。最終チェックだ!

20:00 やっと終わったー。早く帰ろう。明日は審査だ。

 

 

 

【審査当日】○月△日

08:30 出社

09:00 審査で使う会議室に、昨日チェックした書類を持ってこよう。

09:30 審査の参加者に点呼をかけよう。弊社の代表取締役、個人情報保護監査責任者がいればいいんだっけ。

09:50 審査員到着。2人来た。審査員のうち、1人がメイン、もう一人がサブということらしい。

10:00 審査開始。最初に秘密保持契約を結んだ。

10:10 トップインタビュー開始。弊社の代表取締役とメインの審査員が会話。

内容は、

①Pマーク取得の目的

②いつ頃からPマーク取得を考え始めたのか

③事業内容の概要

④各事業の売上の比率

10:30 トップインタビュー終了。代表者は退出。

10:35 ここからが私の出番!

10:50 約15分 採用の形態と採用業務のフローについて、メインの審査員に詳しく聞かれた。「不採用時の履歴書は返却か廃棄するのか」そこまで聞かれるんだな。

11:10 約20分 給与管理や社会保険関係などの経理・総務業務のフローに詳しく聞かれた。タイムカードなのか固定給なのか、社労士や税理士をどこのフローから使っているのか 質問攻め。経理に詳しい人じゃないと答えられないな。

12:00 約1時間 弊社サービスの業務フローについて詳しく聞かれた。個人情報をどこから受け取るのか、どういう書類やデータに置き換わりながら業務が流れていくのか、情報をどのプロセスで委託するのか、廃棄はどうしているのか、何年保管するか決まっているのかなど、質問攻め。よくそんなポンポン質問が出てくるなぁ。喋りすぎて喉が渇く。事務の人を呼んでコーヒー追加。

12:05 お昼休憩。審査員とは別の場所で昼食をとる。

13:00 午後の部開始!作成した書類のチェック!

14:20 午前中にヒアリングしたことと、作成した書類の整合性について順を追って、サブの審査員に確認された。午後は基本的にサブの審査員が担当するのか。メインの審査員もサブの審査員をフォローするような形で質問をしてきた。不足分や、修正する箇所を「指摘」として何個も出された。何か月もの時間を要して頑張って作り上げた書類も、こんなにたくさんの指摘が出るんだなぁ。

14:30 小休憩。昼食後は眠くなるなー。コーヒー飲もう。

14:40 審査再開!

15:30 まだまだ書類の整合性について確認される。書類しか見てないなぁ。御役所っぽい。

16:00 2回目の小休憩。審査ってこんなにも長いのか… コーヒー必須だな。

16:10 書類の確認が終わり、今後は社内を実際に見て回るそうだ。

16:20 オフィスにあるパソコンを数台見られて、「スクリーンセーバーが設定されているか」、「パスワードの桁数は、社内のルール通りなっているか」、「Windows Updateは手動更新ではなく自動更新になっているか」など、確認した。

16:40 サーバールームに移動して、システム関係のことをヒアリングされた。バックアップの方法や頻度、各パソコンやサーバーに対するアクセスログをどう管理し、点検しているのかなど。システム責任者が同席していてよかったー。

16:50 社内を一通り見て、再度会議室に戻る。実務のチェックはあまり重視しないのかな?1時間もかからず終わったぞ。

17:20 最後の総括。審査員から「今回の指摘は○○です。」と10~20個言われた。後日、正式指摘文書として、詳しい指摘内容が書かれた書類が届くそうだ。

17:30 審査員が退出。ふー。やっと終わった。それにしても長い1日だった…

 

【合計】

・書類作成時間                  :250時間

・前日準備                         :10時間

・当日の審査時間              :6時間(休憩を除く)

・審査員から受けた質問    :???個(数え切れない…)

・指摘数                            :18個

・飲んだコーヒー              :5杯

・精神の疲れ                     :250%(午前中でもうしんどい…)

 

「急に担当になったけれど、こんなに大変な仕事はやりたくない。」

という方はISO総合研究所までお問い合わせください。

審査自体の時間は短縮できませんが、「審査の前日準備10時間」と「精神の疲れ250%」を限りなく「0」に近づけることは可能です。

 

ISO総合研究所のコンサルタントがお伺いして、無料でご相談に乗らせて頂きます。

一人で悩んでいないで、まずはお気軽にお問い合わせください。

 

Pマーク(プライバシーマーク)3.3.3  リスクなどの認識、分析及び対策

MAX85_searchsa20140531_TP_V

いつもご愛読ありがとうございます。

ISO総合研究所Pマーク(プライバシーマーク)コンサルタントの佐久間悠矢です。

今回はPマーク(プライバシーマーク)を取得するにあたって、必要となってくる

「3.3.3リスクなどの認識、分析及び対策」についてお話させて頂きます。

 

 

まず、この「3.3.3 リスクなどの認識、分析及び対策」では何を求められているのか?

以下、要求事項を載せさせていただきます。

「事業者は、3.3.1によって特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。

事業者は、3.3.1によって特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。」

 

 

なんだか難しくいろいろと書かれていますね。。。

読んでみると、二つ書かれています。

  • 個人情報を特定したら、取得した時の目的以外で利用しないように、取扱の手順を切れてください。
  • 個人情報を特定したら、その個人情報の取り扱うそれぞれの局面でのリスクを認識し、分析し、対策を立ててください。

 

では、それぞれ説明していきます。

まず①に関して、

こちらは利用目的の特定(3.4.2.1)及び利用に関する措置(3.4.2.6)で行っていれば問題ありません。

そして、②に関して、

こちらでは、特定した個人情報に対して取り扱うそれぞれの局面でのリスクの認識、分析及び対策を求められています。

では、取り扱うそれぞれの局面とは具体的にどんな局面か?

大きく分けて6つの局面があります。

 

  • 取得・入力

個人情報を本人から手渡しで取得、宅配便で取得、FAXで取得、電子メールで取得、WEBサイトからの取得、取得した情報を紙媒体へ記入する、入力業務を委託する等があげられます。

  • 移送・送信

社内での持ち運び、社外での持ち運び、配送業者を利用し個人情報を郵送する、電子メールを送信する、USBメモリなどの外部媒体を利用して送信する、ネットワークを経由して送信する、FAXで送信する等があげられます。

  • 利用・加工

紙媒体に記録された情報を利用する、閲覧する、利用加工業務を委託する、サーバーやパソコンに格納された個人情報を利用する、連絡する等があげられます。

  • 委託・提供

○○○に委託する、第三者に提供する等があげられます。

  • 保管・バックアップ

キャビネットに保管する、パソコンに保管する、社内サーバーに保管する、社外サーバーに保管する、クラウドに保管する、外部媒体に保管する、媒体内に保管する(携帯電話、スマートフォン、ipad等)等があげられます。

  • 廃棄・消去

紙媒体を廃棄する、溶解処理業者に廃棄してもらう。パソコンに格納された個人情報を消去する、社内サーバーに格納された個人情報を消去する、外部媒体に格納された個人情報を消去する、リース機器を返還する等があげられます。

このように特定した個人情報それぞれに対して、「1、取得・入力」から「2、廃棄・消去」までのリスク分析を行わなければなりません。

例として名刺について考えてみましょう。

(名刺の場合)

  • 取引先の方から手渡しで名刺を取得する。(取得。入力)
  • 取得した名刺を事務所へ持ち帰る。(移送・送信)
  • 名刺を閲覧する。(利用・加工)
  • 無し。(名刺を委託業者へ委託しない。)(委託・提供)
  • 鍵付きのキャビネットにて保管する。(保管・バックアップ)
  • シュレッダーにて廃棄する。(廃棄・消去)

実際にリスク分性を行うと上記のようになります。

これはあくまで例なので実際にはもっとそれぞれの局面でリスクが発生すると思います。

 

 

 

例として名刺のリスク分析を行いましたが、これを特定したすべての個人情報に対して行うと思うと結構面倒くさいですよね。。。

そこで1つポイントを紹介すると、

この項目「3.3.3 リスクなどの認識、分析及び対策」ではリスクなどの認識、分析及び対策を把握する場合、ライフサイクルが同じものはグルーピングが可能であるということです。

つまり、先ほどの名刺の例と全く同じ「1、取得・入力」から「2、廃棄・消去」までのリスク分析結果となる個人情報Aがあるとします。この個人情報Aは以下のように名刺と同時にリスク分析を行ってもよいですよ!ということになります。

(名刺、個人情報Aの場合)

  • 取引先の方から手渡しで名刺を取得する。(取得。入力)
  • 取得した名刺を事務所へ持ち帰る。(移送・送信)
  • 名刺を閲覧する。(利用・加工)
  • 無し。(名刺を委託業者へ委託しない。)(委託・提供)
  • 鍵付きのキャビネットにて保管する。(保管・バックアップ)
  • シュレッダーにて廃棄する。(廃棄・消去)

 

これによって、ずいぶんと対応が楽になるのではないでしょうか?

弊社ではこのようなアドバイスはもちろん実際のPマーク(プライバシーマーク)の運用から審査時に必要な資料作成までお手伝いさせて頂いております。

Pマークの取得・運用にお困りの方、是非無駄な工数をかけずに取得・運用していきましょう!

Pマーク(プライバシーマーク)の現地審査を受けた後に行う指摘改善について

_shared_img_thumb_SEPsts_TP_V

ISO総合研究所 コンサルタントの平墳です。

 

今回はPマーク(プライバシーマーク)の現地審査を受けた後に行う指摘改善についてお伝えしたいと思います

 

指摘改善とは、規程で定められたルールが現場で実際に運用されているのか、個人情報が適切に扱われているのかを見られる現地審査で確認し、現場で特定されていない個人情報が見つかったり、現場が個人情報を取りあつかうのに適切な環境でなかったときなどに、指摘が出されそれに対応するというものです。

 

どのように指摘が届くのかというとまず審査機関から「プライバシーマーク付与申請審査

の指摘事項について」という書類が届きます。

 

 

この書類には、どのような点が不備だったのか等が記載してあります。

これを「指摘事項」と言います。

指摘事項数は現地審査次第ですが、少なくても5箇所弱。多くて20~30箇所、またそれ以上の指摘をもらう場合があります。

 

 

しかし、「指摘事項」が出たからといって、プライバシーマークが取得できないということはありません。

 

 

申請事業者は3ヶ月以内にこの指摘事項に対して、改善報告書を提出し「指摘事項」を改善してなくせばいいのです。

 

提出された改善報告書が適切だと認められれば、審査員から改善を認める旨の連絡が入ります。

 

 

そもそも指摘事項はなぜでるのでしょうか?

Pマーク(プライバシーマーク)の審査のために絶対必要だからでしょうか?

Pマーク(プライバシーマーク)の審査に落とすためでしょうか?

 

 

指摘事項を出すのは、「現地審査員がきちんとその企業の審査をしてきました。」という証拠になるのです。

 

審査員は実際に企業に訪問し、実態を確認した上で、Pマーク(プライバシーマーク)の水準を担保できると判断する必要があります。

 

 

 

指摘が出てそれを改善するまでをPマーク(プライバシーマーク)が付与認定されるまでの流れでご説明させて頂きます。

 

 

  1. 弊社はPマーク(プライバシーマーク)の取り組みをしています。その実態を確認してください!というまずは申請を審査機関へ提出します。これが申請書です。

 

  1. 申請書を受け取った審査機関は、申請に必要な書類や必要事項が明記されているか確認をします。これが形式審査です。

 

  1. 申請に必要な書類が確認でき、申請が受理されるといよいよ現地審査の日程が決まります。

 

  1. その後、事前に審査機関がJISQ15001(ジスキュー15001)要求事項で最低限のルールを作成するように求めています。そのルールがきちんとかかれているかを文書審査で確認を実施します。

 

  1. いよいよ現地審査にて、Pマーク(プライバシーマーク)のために実施してきた活動内容を1日かけて確認をしていきます。

 

  1. 現地審査員が指摘事項を企業に出します。

 

  1. 企業が指摘された内容を修正します。

 

  1. 現地審査員が改善された内容をもとに「審査会」と呼ばれるPマーク(プライバシーマーク)の付与認定を行う場所で報告をします。

 

  1. 審査会でPマーク(プライバシーマーク)付与が確定し、Pマーク(プライバシーマーク)が発行されます。

 

現地審査に来た審査員が指摘事項をあげる目的がどこかわかりましたか?

 

上記の8番がポイントです。

 

 

現地審査に来た審査員は現地審査終了後に

「私がこのように監査を実施して、改善していただき、Pマーク(プライバシーマーク)を付与できるだけの水準を確保しましたのでPマーク(プライバシーマーク)の付与をお願いします。」

と報告をするために必要なのです。

 

しかしその指摘事項には、審査員個人の思いや経験、考えが反映されてしまうことも珍しくありません。実際に指摘改善の作業をお手伝いしていると

 

「要求事項のどこにかいてあるのかと思うくらいおかしな指摘」

というものも多く見受けられます。

 

 

「審査員の言うことはすべて正しいから必ず実施しなければならない」と思っている企業の方も多いですが、納得行かない部分は納得いくまで審査員に聞いていただいて大丈夫です。それでもやはり審査員によって言っていることは違ってきますので、なんでそう思うか等も聞いていただいたほうがよいかと思います。

 

 

 

例を挙げるときりがありませんが、その他にもたくさん、審査員の個人の見解ではないのか?とうものが多くあります。

 

現審査後に指摘事項は必ずでます。指摘が出ないように完璧に記録を作成しよう、運用をしようとするのは労力の無駄です。

 

 

現地審査員はPマーク(プライバシーマーク)の審査に落とすためではなく、あくまで企業のことを考えて、「もっとこうしたほうがよりいいですよ」と提案をしてくださいます。

 

しかし、それが時には行き過ぎた場合もあります。現地審査員の言っていることが絶対ではない場合はあります。指摘事項は必ずでます。出てから対応するのも労力を減らす1つの方法です。さらに、現地審査のときに指摘事項としてあがりそうな項目で、納得ができそうにない場合は、「それは要求事項で必ず実施しないといけないのでしょうか?」「審査員の方のお考えなのでしょうか?」と聞いてしまうのも手です!

 

指摘改善でお困りがございましたら、当社までご連絡ください。「やらなくてもよい方法」をたくさん他社事例でもっています。それが本当に必要かどうか一緒に判断していきましょう。

PMS(個人情報保護マネジメントシステム)における「PDCAサイクル」について

00_PP36_PP_TP_V
いつもご愛読いただきありがとうございます。
ISO総合研究所、Pマーク(プライバシーマーク)コンサルタントの花井です。

本日はPMS(個人情報保護マネジメントシステム)における「PDCAサイクル」についてお話しいたします。

プライバシーマーク審査機関から発行されているガイドラインの冒頭にPMS(個人情報保護マネジメントシステム)についての説明が書かれています。

「個人情報保護マネジメント規格であるJIS Q 15001:2006は、マネジメントシステム規格を作成する場合の国際規約であるISOGuide 72:2001(マネジメントシステム規格の正当性及び作成に関する指針)に従って作成されています。ISOの品質マネジメントシステムや環境マネジメントシステムと共通のマネジメントシステム原則を採用しています。

マネジメントシステム原則の主旨は、方針を作成し、それに基づいて計画を作成し(Plan)、実施し(Do)、点検し(Check)、見直し(Act)を行うという、いわゆるPDCAサイクルをスパイラル的に継続することにより、事業者の管理能力を高めていくことにある。この仕組みを採用することで、事業者は個人情報の保護レベルを維持または向上させていくことが期待される。」

PDCAサイクルを繰り返し継続させていくことで個人情報保護のレベルをあげていこうということが書かれています。

ここで、そもそもPDCAサイクルとはなんなのか振り返っていきましょう。

「Plan=計画」

目標を設定し、目標達成のために何をするべきか仮説を立て、プランニングすることです。

何をするのか・誰に対してするのか・なぜするのか・どのくらいの量を行うのか・いつまでに行うのか…など基本の5W1Hを更に詳しく分解して考えていきます。

「Do=実行」

計画をもとに実行することです。

計画したことを意識し、結果が分かるように、時間を測る・数を数えるなど数字を付けることが大切です。

「Check=評価」

計画に沿った実行が出来ていたのかを検証することです。

実行した結果が、良かったのか悪かったのかを判断します。その時に、実行で述べた数字を付けておくと具体的根拠ができるので検証の正確性が増します。

「Action=改善」

検証結果で見えた、課題の解決策を考え改善することです。

実行した結果、この計画を続けるか・止めるか・改善して実行するかなどを、この段階で考えます。この時に、次のサイクルの「Plan」を意識して考えることが重要なポイントです。

一般的なPDCAサイクルを回すことを求められ、そのことを意識して仕事に望んでいる方は沢山いると思います。

しかし、なかなか上手く回せている人がいないのが現状です。

その理由として考えられるのは、以下のようなものがあります。

①PとDはあるけどCとAがない(その行動がPDCAだと思い込んでいる)

これは、多くの人が陥っている状態だと思います。

まず、結果を分析してPlanに移るのではなく「こうなったらいいな」という願望で計画を立てて、Doします。

その結果が期待と乖離している状態だった場合、その差を埋めるための施策を自らの経験から思いつき、それを実行に移すのです。

要するに、結果を分析して適切な行動を取るというのではなく、単なる“作戦の変更”に過ぎない場合があります。

②改善を急ぎすぎる

「走りながら考える」を掲げることも多い、ベンチャー企業などによく見られるパターンかもしれません。

Doをしても、Checkに十分な時間が取れず、Planがしっかり立てられないことがあります。

成果を急ぎすぎるあまり、いろんな変更を実行しすぎるためにしっかりとPDCAのサイクルを回すことができなくなります。

それを続けていくうちに、複雑に様々な要因が絡まって分析ができなくなり、せっかく効果があってもノウハウになりにくいという悪い点も出てきます。

③計画倒れしてしまう

②とは真逆と言ってもいいのですが、分析と計画に時間を費やしすぎてしまい、実行に移すことなく終わってしまうというパターンです。

Planだけが繰り返され、本当に正しいものを突き止めるまでに時間がかかりすぎて、その間に市場やトレンドが変化してしまうということが考えられます。

正しいと確信した上で実行に移したとしても、間違っている可能性も十分にあります。1度で正解に辿り着ければそれほど嬉しいことはありませんが、「間違って当たり前」という意識でいることも重要なポイントです。

これが一般的なPDCAサイクルです。

では、具体的にプライバシーマークの要求事項とPDCAサイクルはどのように対応しているかを見ていきましょう。

・計画(Plan)
3.2 個人情報保護方針
3.3 計画

・実施(Do)
3.4 実施及び運用
3.5 個人情報保護マネジメントシステム文書
3.6 苦情及び相談への対応

・確認(Check)
3.7 点検
3.8 是正処置及び予防処置

・見直し(Act)
3.9 事業者の代表者による見直し

上記のように運用内容は、このPDCAサイクルに沿ったもので構成されています。このサイクルにより、よりその事業者の個人情報保護のレベルの向上が図れるようJIS規格で要求されており、要求に沿った形で運用を進めることで事業者の管理能力を高めていくようになっています。(スパイラルアップ)

やり方がわからない、もっと詳しく知りたいなどがございましたら、ぜひISO総合研究所にお尋ねください。

Pマーク(プライバシーマーク)の申請書を作りましょう。

-shared-img-thumb-SEP_355215221321_TP_V

みなさん、こんにちは。

ISO総合研究所Pマーク(プライバシーマーク)コンサルタントの馬場です。

 

 

残暑が続き、私たちコンサルタントもまだまだ汗をかきながらお客様先へ移動しております。皆さまはどうお過ごしでしょうか?

 

 

本日は、審査機関に審査をしてもらう前に提出しなければいけない「申請書」についてお話させて頂きます。

 

申請書を出すにはルールがあります!

有効期限の4か月前までには申請書を審査機関へ送らなければいけません!

たとえば、平成28年9月9日が有効期限であれば、その4か月前なので、

<平成28年5月9日>までには送らなければいけないということになります。

 

「遅れてしまった!」という方でもまだ大丈夫です。

「延長申請書」と言うものが存在します。もし、遅れてしまったら延長申請書を書いて

審査機関に送ってください。

 

 

早速、申請書を作ってみましょう。

まず、どの審査機関で審査をしてもらうか決めましょう。

その審査機関のHPにいきPマーク(プライバシーマーク)申請書をダウンロードしましょう。(この際、新規の申請か更新の申請か確認しておいてくださいね。)

 

①御社の情報を記入しましょう。

登録番号は、JIPTEC(ジプテック)のHPにある、プライバシーマーク付与事業者情報

の付与事業者に掲載されているので、そこから抜粋しましょう。

所在地は、登記上の本店の住所を記入しなければいけません。ここは間違えやすいので気をつけるようにしてください。代表者のお名前と役職は間違えないようにしましょう!

 

※注意ポイント1

また、新規取得の場合と更新取得場合とで書式が違いますので注意しましょう!

 

②申請担当者の情報を記入しましょう。

申請を担当する方(審査機関とのやりとりはこの方が行うようになります。)

の名前、役職、住所など記入していきます。

 

 

③会社概要を記入しましょう。

※注意ポイント2

従業者数を記入する欄があるのですが、役員数は登記上の人数を記入しなければいけません。ここも、きちんと確認してから記入していきましょう。

HPを持っている会社であれば、トップページのURLを記載してください。

それと、保護方針を記載しているURL、お問い合わせページ(個人情報を入力するぺージ)のURLも記載してください。

 

 

④個人情報を取扱う業務を記入しましょう。

ここでは御社で個人情報を取扱う業務・種類(従業員情報など)・件数(概数)・取得方法・委託の有無・保管方法を記入してください。

※こちらはあくまでも概要です。すべてを洗い出さなくても良いです。

 

 

⑤事業所の所在地を記入しましょう。

御社の事業所の所在地と、その事業所で取り扱っている個人情報を洗い出しましょう。

 

 

⑥個人情報保護体制を記入しましょう。

ここでは、誰が何の担当をしているか決めなければいけません。

※個人情報保護監査責任者には、代表者・個人情報管理者はなれません。

社内体制には、教育の担当者・お問い合わせ窓口の担当者も記入しましょう。

最近では、マイナンバーの取扱いの責任者・事務取扱いの担当者も特定しなければいけなくなってきているようですので、マイナンバーの取扱いがあれば、ここも記載しておくようにしましょう。

 

 

⑦文書を洗い出しましょう。

ここでは、御社で使う様式や、規程類を洗い出しましょう。

※制定日と改正日の記載も忘れないようにしてください。

 

 

⑧要求事項と対応表を作成しましょう。

各要求事項に使用する様式を記入していきましょう。

ここは知識がないと少し難しいかもしれません。

※⑦で洗い出した様式はすべてここに洗い出して記入してください。

整合性を合わせましょう。

 

 

⑨教育の実施について記入しましょう。

教育をいつ行ったか、テキストは何か等、左に記載されている項目に答えていくように

右側を埋めていってください。

※教育は全従業員対象に行ってくださいね。

 

 

⑩内部監査の実施について記入しましょう。

こちらも「⑨教育」と同じように右側を埋めていきましょう。

※個人情報保護管理者は、JIS Q 15001(ジスキューイチマンゴセンイチ)への適合状況の監査も行ってください。

 

 

⑪代表者による見直しについて記入しましょう。

代表者による見直しについて記入していきましょう。

内部監査で指摘になった報告や、これからどういう事業展開を行っていきたいか、代表の思いを記入していくところですので、どんどん記入していってください。

※こちらも質問内容が□で記載されているので、その質問に答えていくように記入していただければよいです。

 

 

⑫変更はあったか記入しましょう。

前回の認定時から変化のあった事業の報告をしましょう。

ですので、新規で申請される会社の申請書には⑫は存在しませんので、ご安心を。

例えば、新たに開拓した事業や、取りやめになった事業など、変化の概要を記入してください。特に何もなければ、「無」にチェックしていただければ良いです。

 

 

これで申請書は完成です!

それでは審査機関へ申請書を送付しましょう。

ここでご準備して頂くものがあります。

①登記簿謄本(3ヶ月以内に取得したもの)※原本

②定款 ※写しでも可

③代表者印

④担当者印(シャチハタ可)

⑤会社パンフレット(あれば)

も一緒に送付していただかないといけません。

こちらもお忘れなくご準備お願いします!

 

これで、Pマークの申請は大丈夫です!

面倒だと思われたら私たちISO総合研究所がお手伝いさせていただきますので

お気軽にお問い合わせください!

 

Pマーク(プライバシーマーク)認証成功事例!

N934_akusyuwomotomerubijinesuman_TP_V

 

いつもご愛読ありがとうございます。ISO総合研究所コンサルタントの下です。

今回は「Pマーク(プライバシーマーク)認証成功事例」について、お伝えさせて頂きます。実際に新規認証された企業の代表者様の声をまとめさせていただきました。

 

————————————————————————————————————————-取引先からの要求で今後の取引条件としてPマークの取得が必要になりました。

急に必要になった為何をしたら良いか分からずWEBで取得を支援している企業が無いか調べました。

ですが、どこにお願いしていいのかさっぱり分かりませんでした。価格的に一番手頃だったISO総合研究所に話を聞いたところ価格は一律で作業も事務局として手伝ってくれるので自社の項数が0になるとの事でした。楽に運用ができるならとISO総合研究所にお願いすることにしました。

 

 

自社ではPマークに関する知識は無かったためコンサルタントさんに相談しながら運用を開始していくことになりました。

当社は従業者10人以下でPマーク取得に担当者を付けることが出来ない為、社長の私が普段の業務をしながらPマークの業務をする必要がありました。只でさえ人手が足りず忙しいのにプライバシーマークの業務に手が回るか非常に心配しておりました。

ですが、毎回の打合せのヒアリングで規定の作成や、運用記録の作成を手伝ってくれるので大変助かりました。自社で運用することや確認が必要な事は訪問後のメールにて指示を残してくれるので何をするのか明確になっていました。また取得までのスケジュールを共有して進められたため安心して進めることが出来ました。

 

 

まずは個人情報の洗い出しから。個人情報と言っても何が個人情報に該当するのか?

個人情報とは氏名とその他の情報があれば特定が必要との事でした。自社の事でも一つずつ洗い出して行くのは困難でしたがコンサルタントさんにお手伝いしていただいて業務のフローから洗い出していくことで業務の都度発生する個人情報を改めて認識していくことが出来ました。また、社内で顧客情報や顧客リストと呼んでいても別の名称でも取り扱っていたり、社内で統一されていない名称があることも認識できました。

 

 

次にリスクの分析。リスクの分析と言うと難しく聞こえますが、特定した個人情報の取り扱いの流れの中でどのようなリスクがあるか、どのようなリスク対策があるか洗い出していくものです。今まで社内のルールとして運用していたことを文章にしていくと曖昧なルールで運用していたことが分かりました。具体的にリスク対策を書き出していくと改めてルールの見直しや現状どんな対策をしているかを確認することが出来ました。

新規認証の際にもPマークの一通りの運用が必要で個人情報に関する従業者への教育や自社で行う内部監査等Pマークに必要な取り組みを計画して進めていきました。

 

 

コンサルタントさんとの打ち合わせが進むにつれて現地審査に近づいてきます。最近の現地審査は厳しくなっているとの話を聞いていたため取得が難しいのではないかと心配でした。ですが、基本的には審査を受ければ取得は出来るとの事でした。

審査に通らない、審査に落ちる内容としては下記で、

①従業者の人数を誤魔化す等虚偽の申請。

②審査に必要な書類を提出しない、申請料を振り込まない等の申請の意思がないと見なされる時。

それ以外の内容であれば審査は通るとの事でした。

指摘事項が多く出てもしっかりと是正を行い対応していけば必ず通るとの事である程度心の準備をして現地審査に臨むことが出来ました。

 

実際に審査では指摘事項が多く出ましたが審査員の方が運用のアドバイスや改善のアドバイスをしてくれましたので指摘が出るからと言って悪いことではないと感じました。新規認証なので不十分な部分はありましたが現地審査を通して記録や規定を完成させていくイメージです。

指摘事項に対しては改善して書類を提出しないといけないのですが、これがまた一苦労でした。指摘事項の文書の意味合いが良くわからなかったり、対応方法が合っているのか分からなかったりしましたが、コンサルタントさんと相談をしながら書類を修正して進めていきました。そして提出と再指摘を審査機関と何度か繰り返しながらやっと指摘改善を終わらせられました。

 

 

審査機関とのやり取りが終わりPマークを取得できた時は非常に嬉しく、コンサルタントさんにも感謝しました。ですが、Pマークは取得後2年に1度更新が必要なのでここからは運用がスタートします。現状は運用中ですのでコンサルタントさんと打合せをしながら運用を進めています。

最初は何もわからない状態から始めましたがプロに相談して進めることで私の負担が大分減りました。自社の業務をしながらPマークの業務をするのは楽なものでは無いと感じました。専門的な知識が必要になるのでプロに任せてしまった方が早いし楽です。

今後もプロの力を借りながら運用し、更新申請をしていきたいと思っています。

———————————————————————————————————————-

 

いかがだったでしょうか。

今回ご紹介させて頂きました実際にPマークの新規取得をお手伝いさせて頂きましたお客様の声ですが新規取得以外にも現状運用中のお客様のお手伝いもさせて頂いております。

PマークやISOでお困りのことがございましたら弊社までお気軽にお問い合わせください!

 

 

Pマークに要求される教育、内部監査について!

AKANE072160504_TP_V
はじめまして、ISO総合研究所東京支社業務責任者 コンサルタント岡本優梨亜と申します。

今回はPマークの運用にあたって必要な教育と内部監査についてお話させていただきます。

Pマークの教育と内部監査に関して下記の要求事項があります。

4.4.5
教育
事業者は,従業者に,定期的に適切な教育を行わなければならない。事業者は,関連する各部門及び階
層において,その従業者に,次の事項を理解させる手順を確立し,維持しなければならない。
a) 個人情報保護マネジメントシステムに適合することの重要性及び利点。
b) 個人情報保護マネジメントシステムに適合するための役割及び責任。
c) 個人情報保護マネジメントシステムに違反した際に予想される結果。

4.7.2
内部監査
事業者は,自ら定めた個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マ
ネジメントシステムの運用状況を定期的に監査しなければならない。
監査責任者は,監査を指揮し,監査報告書を作成し,事業者の代表者に報告しなければならない。監査
員の選定及び監査の実施においては,監査の客観性及び公平性を確保しなければならない。
事業者は,監査の計画及び実施,結果の報告並びにこれに伴う記録の保持に関する責任と権限を定める
手順を確立し,実施し,維持しなければならない。
4.8
是正処置及び予防処置
事業者は,不適合に対する是正処置及び予防処置を確実に実施するための責任と権限を定める手順を確
立し,実施し,維持しなければならない。その手順には,次の事項を含めなければならない。
a) 不適合の内容を確認する。
b) 不適合の原因を特定し,是正処置及び予防処置を立案する。
c) 期限を定め,立案された適切な処置を実施する。
d) 実施された是正処置及び予防処置の結果を記録する。
e) 実施された是正処置及び予防処置の有効性をレビューする。
4.9
事業者の代表者による見直し
11
Q 15001

2006
事業者の代表者は,個人情報の適切な保護を維持するために,定期的に個人情報保護マネジメントシス
テムを見直さなければならない。
事業者の代表者による見直しにおいては,次の事項が考慮されなければならない。
a) 内部監査及び個人情報保護マネジメントシステムの運用状況に関する報告。
b) 苦情を含む外部からの意見。
c) 前回までの見直しの結果に対するフォローアップ。
d) 個人情報の取扱いに関する法令,国の定める指針及びその他の規範の改正状況。
e) 社会情勢の変化,一般の認識の変化,技術の進歩などの諸環境の変化。
f) 改善のための提案。

Pマークの教育で伝えたいことは以下3つです。

a) 個人情報保護マネジメントシステムに適合することの重要性及び利点。
b) 個人情報保護マネジメントシステムに適合するための役割及び責任。
c) 個人情報保護マネジメントシステムに違反した際に予想される結果。

といわれても難しいと思うので
簡単に説明すると下記の通りです。

a) 個人情報保護マネジメントシステムに適合することの重要性及び利点。
└個人情報は本人のものです。
b) 個人情報保護マネジメントシステムに適合するための役割及び責任。
└個人情報を使う場合には何に使うのか本人に許可を得ておく必要があります。
c) 個人情報保護マネジメントシステムに違反した際に予想される結果。
└何に使うか決めたもの以外のことに使う場合は改めて許可が必要です。

Pマークを取得している以上、個人情報はどんなものなのだろうかなど
考えるいい機会が要求事項上の教育だと思います。
一年に一度Pマークはどのようなものか、何が個人情報なのか
しっかり考えてみてください。

続いて内部監査です。
内部監査で最近一番よく指摘されるのが、スクリーンセイバーの設定やパスワードが安易なものになっている、また定期的に変更されていない等設定が出来ていないことがとっても多いです。
安全管理規程に基づきスクリーンセイバーの設定、何分で設定が必要なのか、パスワードが何桁になっているのか、また英数混合必要なのか、設定をしなおしましょう。

また完璧に運用を行っている会社なんてめったにありません。
でもそれは悪いことではありません。
まずは気づくこと、直していくこと、また実行していくことがとっても大切です。

a) 不適合の内容を確認する。
b) 不適合の原因を特定し,是正処置及び予防処置を立案する。
c) 期限を定め,立案された適切な処置を実施する。
d) 実施された是正処置及び予防処置の結果を記録する。
e) 実施された是正処置及び予防処置の有効性をレビューする

要求事項にもこう記されています。
予防処置を立案することは難しい言葉に聞こえますが、全然難しくありません。
考えて行動するだけです。
また、このようなことがあったと記録することもとっても大切です。
そして見返していき、去年はこれが出来てなかったな~と一年に一度振り返ってみると
よりよいPマーク運用ができるかと思います。
これからもPマーク更新するにあたり、昨年よりよい運用を心がけましょう。

Pマーク(プライバシーマーク)の申請書に必要な情報って何??

N112_sukejyurucyouseicyu_TP_V

いつもご愛読いただき、誠にありがとうございます。ISO総合研究所コンサルタントの一山です。今回はPマーク(プライバシーマーク)の新規取得時や更新時に必ず必要となる「申請書」についてのお話をさせて頂きます。

 

まず、「申請書」を書く意味なのですが、Pマーク(プライバシーマーク)を新規取得・更新するためです。

それ以外の理由で申請書を作成している人は見たことがありません。笑

逆に言えば、新規取得・更新をする際には必ず必要なものとなります。

ではその内容はどのようなものを記載すれば良いのでしょうか。

ある審査機関の申請書に記載する内容を確認していきます。

 

0 プライバシーマーク付与適格性審査申請チェック表

1 プライバシーマーク付与適格性審査申請書

2 会社概要

3 個人情報を取扱う業務の概要

4 すべての事業所の所在地及び業務内容

5 個人情報保護体制

6 個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧

7 JISQ15001要求事項との対応表

8 教育実施サマリー

9 監査実施サマリー

10 事業者の代表者による見直し実施サマリー

(11  2006年版JISによる前回認定時から変更のあった事業の報告)

 

Pマーク(プライバシーマーク)の申請書のページごとの表題はこのようなものがつけられております。

タイトルで内容が分かるようなものもありますが、実際に記入する内容はどのようなものなのかを、本ブログでは簡単ではありますが、

説明していきますので、最後までお付き合いをよろしくお願い致します。

 

 

『0 プライバシーマーク付与適格性審査申請チェック表』

申請するために必要な書類がそろっているかのチェックシートとなっているので、そのチェックに印を入れるのと、申請事業者名や申請担当者名の記載が必要となります。

申請担当者名の後ろに、印鑑を押す印はついていないのですが、シャチハタ印でも構わないので捺印をしてください。

もう一つ忘れがちなのが、申請日の日付を記入することです。それも忘れずに記入しましょう。

 

 

『1 プライバシーマーク付与適格性審査申請書』

申請事業者の名称をフリガナ付きで記載する欄や、英語での名称を記載する欄があります。

新規の場合は記載欄がありませんが、更新の場合はPマーク(プライバシーマーク)の登録番号を記載する欄もあります。

所在地を記載する欄には、登記簿上の本店の住所を記載しなければなりません。

代表者の役職を記載する欄では、「代表取締役社長」や「代表取締役」の違いなどにも気を付けましょう。代表者氏名の右隣りに捺印する欄がありますが、そちらは実印でお願い致します。

下部には申請担当者の連絡先を記載する欄がありますが、そちらは申請後の審査機関との連絡の際に使用される電話番号やメールアドレスとなるので、連絡がすぐ取れるものにしておきましょう。

 

 

『2 会社概要』

名前の通り、会社の概要を記載する欄です。売上高ら事業の内容、従業員数を記載する欄があります。役員の数は登記簿上の登録と同じもので申請しなければいけないので、ご注意ください。

会社のHPのURLや、個人情報保護方針を載せているページのURL、個人情報の入力を行うページのURLが必要となってきます。

同一の個人情報保護マネジメントシステムをベースとするグループがある場合に、記載する欄もあります。

 

 

『3 個人情報を取扱う業務の概要』

こちらは、個人情報を取り扱う業務の一覧を記載する欄です。業務内容に、その個人情報を取り扱う件数、その個人情報をどのような方法で入手するか、外部委託の有無、その個人情報の保管の状況を記載する欄があります。

個人情報の件数は概数で大丈夫ですが、個人情報を取り扱う業務は漏れなく全て記載しましょう。

 

 

『4 すべての事業所の所在地及び業務内容』

支店などの全ての事業所を記載するページです。事業所の名称とその所在地、個人情報を取り扱う業務の内容の記載が必要です。

 

 

『5 個人情報保護体制』

Pマーク(プライバシーマーク)を運用するにあたって、Pマーク(プライバシーマーク)に関係する業務を誰が担当するのかを記載するページとなっております。

担当者を決めなければいけないものは、個人情報保護管理者(基本的に、申請した後に審査機関とやり取りを行う窓口になります)、個人情報保護監査責任者(基本的に監査を統括するリーダーとなり、監査員の指名などを行います)、個人情報保護マネジメントシステム(PMS)に係わる社内実施(推進)体制の欄には教育を行う方などを記載、個人情報保護マネジメントシステム(PMS)に係わる消費者相談窓口(苦情・相談等の窓口の責任者)、個人情報保護マネジメントシステム(PMS)に係わる養育を行う担当者の役職や開催回数、個人情報保護マネジメントシステム(PMS)に係わる監査の実施体制や行う回数などを記載します。

記載する内容が少し多いのですが、その点は弊社にお任せ頂ければすべて作成いたしますので、よろしくお願いいたします。笑

 

 

『6 個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧』

Pマーク(プライバシーマーク)を運用するにあたって使用する規定や様式の一覧をこのページに記載します。

規定や様式の名前と制定日と最新の改正日を記載することとなります。使用している様式が多ければ多いほど内容も多くなってしまいます。必要な規定や様式を残し、できる限り書類を少なくした状態にしてから記載することをオススメします。

 

 

『7 JISQ15001要求事項との対応表』

JISQ15001(ジスキュー15001)というPマーク(プライバシーマーク)の要求事項となるものに沿って記載していく部分となっております。まずはそのJISQ15001(ジスキュー15001)の要求事項を記載していき、それに対応するPMS(プライバシーマークシステム)の規定と名称と項番を上位規程から記載し、その要求事項に対応する様式を記載する部分となっています。

6の個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧に載っていない様式が混ざる、誤字脱字でそうなってしますこともあるので、

様式名は特に確認しなければならない部分となっています。

 

 

『8 教育実施サマリー』

実施した教育の記録を記載するページです。

いつ、どのような方法で教育を実施し、何人が教育を受けたのかを記載するページとなっております。

更新の場合は2年分の教育の記録が必要となります。

 

 

『9 監査実施サマリー』

内部監査を行わなければならないのですが、それによって指摘された内容を記載し、それに対応する是正処置はどのようなものを行ったかを記載するページとなっております。

こちらも、更新の場合は2年分の監査の記録が必要となります。

 

 

『10 事業者の代表者による見直し実施サマリー』

代表者に報告を行い、それに対してどのような指示を受けたか記載するページです。

指示に基づいての処置の実施状況を記載する欄もあります。

こちら更新では2年分の記録が必要となります。

 

 

『11  2006年版JISによる前回認定時から変更のあった事業の報告』

こちらは新規の申請の場合はありませんが、更新の場合は記入欄があります。

変更がなければ変更なしにチェックをし、変更がある場合はその旨を記載します。

新規事業を開始している場合、個人情報の取り扱いに大きな変化があった場合、取りやめた事業がある場合、合併などがある場合はここに内容を記載しなければなりません。

 

 

 

…長々と書いてしまいましたね。

これだけの情報が必要なんですね。

これだけの内容を確認するのも一苦労ですが、

実際に申請書を作成するのは、本業をこなされながらの兼務となりますので、

もっと大変な手間になると思います。

 

 

弊社ではこれらの書類作成業務もお手伝いさせて頂きますので、

「ブログ見たよ!」で、1本、お電話を頂ければ幸いです。笑

弊社のサービスは他にもございますので、

お電話をして頂ければ、ご説明をさせて頂きます!!

 

最後までお読みいただき、誠にありがとうございます。

Pマーク(プライバシーマーク):サザエさんと三川屋さんに学ぶ開示等に関して

ISUMI151101140I9A6167_TP_V

お世話になっております。ISO総合研究所のコンサルタントの大山です。
いつもご愛読ありがとうございます。

 

 

Pマーク(プライバシーマーク)を運用していくために、少し厄介なことを感じるものがあると思います。

何を隠そう、私もJISQ15001:2006(ジスキュー15001:2006)のガイドラインの3.4.4の個人情報に関する本人の権利の開示等を重い腰、いや手を上げてブログを作成していくところです。ただ闇雲に開示等に関して書き連ねても面白みがないので、例を交えながら書いていきます。

 

 

JISQ15001:2006の開示に関しては3.4.4個人情報に関する本人の権利から幕を開けるのです。

これは個人情報の主つまり本人、サザエさんであれば(名前:フグ田サザエ、年齢:24歳、誕生日:4月3日、出身校:あわび女子学園、住所:東京都世田谷区桜新町あさひが丘)などの個人情報の権利をのび太が持っているということです。

3.4.4.1個人情報に関する権利は企業が管理している個人情報に関して、個人から要求されたことに対して応じる権利がある場合に、例外もあるけど速やかに対応しようねということが書かれています。

ただこれでも、よくわかりませんね。

これはつまり、サザエさんの裏の勝手口からよく出入りしている三河屋さん(酒屋の若造さん)との関係で説明すると以下のようになります。

サザエさんの個人情報(  名前:フグ田サザエ、住所:東京都世田谷区桜新町あさひが丘3丁目、電話番号、口座情報など)を三河屋さん(酒屋の若造さん)に預けていることになっています。

もちろん三河屋さんはお得意さんの情報を一覧化して管理しています。そこでサザエさんは思いました。

私の個人情報をどこまで、三河屋さんは知っているのかしらとそこで、三河屋さんに何を知っているか開示を求めました。サザエさんの身長や体重がもし三河屋さんが握っていたら嫌ですもんね。

開示を求めたところ問題がありました。

いたずら電話が多かったので電話番号が変えていたので、個人情報の内容の訂正を三河屋さんに要求しました。

もちろんここまでの開示、内容の訂正に関して三河屋さんは快く対応しました。また後日、サザエさんはFAXを購入したのでFAX番号を追加することを求めました。ただ、磯野家はありがちなことで、ものが壊れやすいです。

そうカツオ君のおかげでFAXが壊れたので、FAX番号を削除してと要求しました。そしてしばらくは個人情報に関して何もなかったのですが、三河屋さんは商いの素質が高かったのでDMを送るようになりました。

するとDMに関してはサザエさんは不快に感じたので、DM発送に関しての個人情報に利用停止を要求しました。これに対して三河屋さんは紳士的に対応しました。

三河屋さんは天性の商いの才能を活かして、カタログ通販業者にサザエさんの個人情報を提供していました。

もちろんこの提供にサザエさんは同意していましたが、カタログ通販に興味がないので、第三者提供をやめように要求しました。もちろんこれに対しても三河屋さんは応じました。

サザエさんは買い物にいくとふと三河屋さんは高いと気付き、定期訪問を解約することにしました。そこで三河屋さんに保有している個人情報の消去を要求しました。

少し長くなりましたが、上記の内容に例外がありますが基本的には三河屋さんはすぐに対応しようということです。

 

3.4.4.2開示等の求めに応じる手続きには本人に負担がないように手続きを設定しないといけないと記載されています。これもサザエさんと三河屋さんとの関係で説明すると以下のようになります。

 

開示等の申し出先:三河屋さん(青年)と規定されているので三河屋さん(青年)にサザエさんは連絡しないといけません、三河屋さんの他の店員に伝えても意味がありません。

開示に必要な書式やそのほかの開示等の求め方式として「開示等請求書」を三河屋さんは規定しました。サザエさんは開示等を請求するためには「開示等請求書」に必要事項を記載して三河屋さん(青年)に提出する必要があります。

これ以外では三河屋さんに受け付けてもらえません。もしもサザエさんの気が弱くてマスオさんが代理人として開示等を請求してきたときのために、委任状と委任されている人が本人であるかを免許証やパスポートなどで確認すること規定する必要が三河屋さんにはあります。

また三河屋さんは開示等を要求されて時に無料で対応することがお得意さんのためになる思ったため、無料で規定しました。

 

 

3.4.4.3開示対象個人情報に関する事項の周知などには取得している個人情報の内、開示するものは本人にJISQ15001:2006の3.4.4.3のa)~f)項が知れる状態にしないといけないということです。つまりこれもサザエさんと三河屋さんで説明すると以下のようになります。

 

三河屋さんはサザエさんの開示する個人情報に関しては、以下のことをサザエさんが知れるようにしないといけません。

事業者名:三河屋、個人情報保護管理者:営業担当、営業部、電話番号、すべての開示対象個人情報の利用目的:商品の配達のため、開示対象個人情報の取扱いに関する苦情の申し出先:三河屋さんの電話番号、認定個人情報保護団体の苦情の申し出先、3.4.4.2開示等の求めに応じる手続きで定めた内容。

上記をチラシに記載してサザエさんのお宅に配達時にお持ちしたり、お店先において置くことで本人ことサザエさんが知る得る状態にしました。

 

 

3.4.4.4開示対象個人情報の利用目的の通知~3.4.4.7開示対象個人情報の利用又は提供の拒否に関しては比較的簡単であるため、サザエさん、三河屋さんの出番も不必要だと思います。

何より彼らも疲れていると思うので、休ませてあげてください。

 

 

さーて次回のサザエさんは

・カツオ現地審査の指摘を1ヶ月に解決

・タラちゃん内部監査責任者に任命

・波平、代表者による見直しで「バカもの」を連呼

の3本だったりするかもしれません。

 

次回もまた見てくださいね。じゃんっけんっぽんっ・・・パー

 

このブログはISO総研とISO総合研究所の提供でお送りいたしました。