トップページ > お役立ち情報

お役立ち情報

事業者の個人情報保護のためのマネジメントシステムのありかた、安全管理についての基本的な考え方、その他いろいろなお役立ち情報をお知らせします。

マネジメントシステムについて

マネジメントシステムとは、組織の方針、手段およびプロセスを管理し、継続的に改善するための実績のあるフレームワークです。

プライバシーマーク(Pマーク)とは、事業者が取得している個人情報について適切な管理マネジメントシステムを持っている事業者を認定する制度で、国内で、12,361事業者が認定されています。(平成24年1月9日JIPDEC発表)

2005年4月の個人情報保護法が全面的に施行されたことに伴い、1999年制定のJISQ15001:1999「個人情報保護に関するコンプライアンス・プログラムの要求事項」がJISQ15001:2006「個人情報保護に関するマネジメントシステム-要求事項」として改正され、2006年5月に制定された新基準に基づいて運用されます。

JISQ15001:2006「個人情報保護に関するマネジメントシステム-要求事項」では、1.適用範囲~3.9.事業者の代表者による見直しについての要求事項を定め、解説には、それぞれの要求事項に対して説明していますが、事業者が具体的にどのような対応をすればよいのか、わかりづらいものがあります。

もう少し具体的に要求事項について知りたいという方は、「JISQ15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン」(ISBN978-4-542-30534-2)という本を参照されるとよいでしょう。

プライバシーマークの新規、更新申請時は、上記のJISQ15001:2006「個人情報保護に関するマネジメントシステム-要求事項」をもとに、日本情報処理開発協会(JIPDEC)が定めた審査基準を使用し、事業者の規模、事業内容等に応じて審査員が審査を行います。関西では、財団法人関西情報・産業活性化センター(KIIS)が、審査機関に認定され、審査を行っております。

安全管理について

安全管理策をどのように構築するかについては、各事業者の規模、事業内容等により、異なりますが、プライバシーマークを取得する場合には、日本情報処理開発協会(JIPDEC)が定めた審査基準にある安全管理策は構築する必要があります。もちろん、安全管理策については、各事業者によって、方法は異なっても問題はありません。事業者の身の丈にあった安全管理策とするのがよいでしょう。

安全管理策については、経済産業省のガイドラインを参考にすることができます。

詳細な内容については、是非BBPにお問合わせください。ご支援させていただきます。

ちょっと一言

雇用管理に関する指針等が改正されました(2012.7.1)
 「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」が、「雇用管理分野における個人情報保護に関するガイドライン」(平成24年5月14日改正)に全面改正されました。
これによって「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項」(平成24年6月11日改正)も改正されています。

保護管理者が交代して運用ができなくなった(2010.5.28)
プライバシーマークは取得した。運用も順調だ。更新審査も乗り切った。
という状態のとき、えてしてあるのが担当者の交代です。特に個人情報保護管理者が交代すると何かと問題が生じます。JISQ15001、規程の理解が出来ていないと、元の木阿弥。取得したとき、更新したときの経験が全く引き継がれず、結果、運用が全く出来なくなってしまいます。結構このような状態の企業を見かけます。

 引き継ぎは、十分に時間をかけて、マネジメントシステムのPDCAが途切れないようにしましょう。
どうしても時間をかけられない、というような場合は、お手伝いいたします。皆様の規程を確認し、運用に対する助言をさせていただきます。

お客様の入館証を紛失(2010.2.21)
 お客様の仕事の関係で、お客様に入館するために「入館証」を作成している場合がよくありますが、これについて個人情報として特定しているでしょうか?そもそも、「入館証」を作成するためには、お客様に従業員の個人情報を提供する必要がありますが、これを第三者提供として理解されていますか?よく、聞きます。「従業員個人情報はあくまで、個人的に従業員がお客様に渡しているので、当社としては把握しておりません」・・・・・・・この考えはどうでしょうか。

 もし「入館証」を従業員が紛失して、悪用された場合、「当社は、あくまで個人情報はお客様には従業員が個人的にお渡しして「入館証」を作成しているものであり、当社は一切、当問題については関与いたしません」と言えるでしょうか。

 個人情報として特定し、リスク分析をして対策を取る必要がありますね。そのためにも従業員の個人情報を第三者提供していると理解する必要があります。

開示対象個人情報に関する事項の周知(2010.2.21)
 時々見かけますが、「当社は、システム開発の会社で、取り扱う個人情報は従業員の個人情報だけです。従業員には同意書によって必要なことは知らせていますので、開示対象個人情報に関する事項の周知は行っておりません」
従業員の個人情報しか取り扱っていない場合でしかも事前に同意を得ている場合は、開示対象個人情報に関する事項の周知は必要ないのでしょうか?

 答は、同意書は個人情報を取得する時の対応であり、開示対象個人情報に関する事項の周知は、別途必要になります。日本規格協会発行の「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン」に、”3.4.2.4や3.4.2.6~3.4.2.8により、本人に明示又は通知している場合であっても、開示対象個人情報である限りは、この要求事項に沿ってa)~f)の事項を本人の知り得る状態に置いておく必要がある”と記載されています。

個人情報保護方針は企業の顔(2009.10.19)
 企業のホームページで個人情報保護方針をよく見ますが、ゴチャゴチャ色々なことを掲載しているものがあります。利用目的や開示対象個人情報についてとか、その他とにかく盛り込めるものは盛り込もうとしているものがあります。
 個人情報保護方針は企業の顔です。必要な事項を簡潔に掲載して、スマートな方針にしたいものですね。

身の丈に合った規定(2009.10.15)
 実際よく見かけますが、従業員数が10名に満たない事業者でありながら、PMS規定がやたら分厚く、中を見ると、とにかく何々規定、何々規定といった規定がぎっしりと詰まっています。
 ちょっと待ってください。何で、こんなに規定が沢山あるのですか?どうやらコンサルさんが持ってきた規定を修正して事業者の規定にしているようです。
 これってどうなんでしょう。こんな分厚い規定を従業員の方が見て分かりますか。軽自動車で良いところにベンツを持ってきたようなものです。せいぜい規定は一つか二つに収めて、わかりやすいものにすべきではないでしょうか。
 身の丈に合った規定を作成し、その規定に従った運用、これが大切ですね。あまり重たいもの(規定)だと、運用ができなくなります。