JISQ15001

全社的な運営

◆プライバシーマークは、社長自らが先頭に立って運用するマネジメントシステムです。

 

Plan⇒Do⇒Check⇒Act のスパイラル曲線に沿って改善、改善を繰返しながら、より良い、価値あるシステムを構築しなければ、導入した意味が薄れたものになってしまいます。

 

ですから、少ない経営資源の配分が重要になります。そして、この実現には全従業者の協力が必要不可欠です。

 

正しく、プライバシーマークのシステム導入は、経営戦略の一環です。

 

 

保護法の遵守方法?

 2005年4月1日から全面施行された個人情報保護法を遵守する最も効率的、効果的な方法は、プライバシーマークを認証取得することです。

 

 個人情報保護法は、遵守すべき事項を記載してありますが、どのように実施するかはわかりません。その具体的な実施方法は、プライバシーマークの要求事項を記載してあるJISQ15001:2006に記載さてています。

 この規格は、個人情報保護法をほぼ全面的にカバーしており、プライバシーマークを運用することにより、個人情報保護法を遵守できるようになっています。

 

 経済産業省から出されている「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
 (http://www.meti.go.jp/policy/it_policy/privacy/070330guideline.pdf)  

には、JISQ15001:2006の要求事項の実施が、個人情報保護法の体制の整備として適切かつ有効である旨が記載されています。

 

JISQ15001理解のポイント

1.個人情報の「取得・利用・提供」時の同意

 

  個人情報を当初の取得時の利用目的の範囲を越えて、利用したり、第三者提供する時は、原則として本人からの同意が必要です。

 事前にWeb上や会社案内等で利用目的を明示して、本人から同意を取る必要があります。

 

2.リスクアセスメントの重視

 

  個人情報を特定して、リスク分析を行い、その管理策を講じますが、リスク分析では、個人情報のライフサイクル(取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄)に沿って脅威を洗い出す必要があります。

 業務プロセスの作成は必ずしも必要ではありませんが、業務の流れを把握しておかないと、個人情報の特定時に漏れを生じることになりかねません。

 

3.「本人からの開示等の権利」への対応

 

  本人から、本人自身の個人情報の開示、訂正、利用停止等の要求があった場合、遅滞なく対応しなければなりません。

 もし、本人の要求に応えることができない場合は、その理由を本人に連絡しなければなりません。

 

4.安全管理対策

 

  入退室管理、盗難防止策、パスワード管理、アクセス制御、アクセスログ管理、不正ソフトウェア対策、個人情報の授受管理及び機器の持出管理などが重視されます。

 ISO27001の要求事項までは要求されませんが、リスクアセスメント結果に沿った対策が必要です。

 

5.委託先の監督、委託元の管理

 

  近頃、委託先からの個人情報漏えいが多発しているためか、委託先の監督はかなり重要です。

 旧JISでは、「委託処理に関する措置」と呼んでましたが、新JISでは、「委託先の監督」とかなり重視していることが伺えます。

 委託先との個人情報に関する契約書の締結は必須で、その中に損害賠償や委託先からの管理報告の内容や頻度まで記載する必要があります。

 

  さらに、委託元に対しても、本人から同意を得て正当に取得した個人情報かを確認する必要があります。

 

6.是正措置及びマネジメントレビューの一連の対応

 

  是正措置は、内部監査に対してだけではなく、外部機関による審査、リスクアセスメント結果、緊急事態の発生、苦情、運用の確認などに対しても行う必要があります。

 ここで発見された不適合に対しては、是正措置あるいは予防措置を講じることになります。

 

 これらの結果をマネジメントレビューに繋げて、一連のPDCAサイクルを実現することになります。

 

 

  

プライバシーポリシーとは?

 プライバシーポリシーとは、企業のプライバシー保護に対する理念を宣言したものです。通常は社内はもちろんWebや会社案内書などを通じ社外へも公表しています。  

 

 内容は、あくまでも具体的な手順や方法等ではなく、規程文書の上位に位置づけられます。

 

 個人情報の取得、利用および提供に関すること。

 

 リスク分析の管理策を講じること 

 

 法令や国が定める指針そのたに規範を遵守すること

 

 苦情および相談に応じること

 

 以上のことを継続的に改善すること

 

 などを記載します。

 

プライバシーポリシーの改定が発生した場合は、その旨を記載する必要があります。

 

 

プライバシーマーク規格?

 JISQ15001:2006は、前回のJISQ15001:1999の改訂版として2006年5月に発表されました。特徴としては、次のことが挙げられます。

 

 ①2005年4月から施行されました個人情報保護法を全面的にカバーし、さらに全般的にもうワンランク高い要求をしています。

 

 語彙も個人情報保護法に合わされています。

 

 ②JISQ15001:1999であいまいだった部分、暗黙の了解のような部分を明確にしたことです。そのため、要求事項も、大まかに言えばおよそ3倍位に増えています。

 

 また、JIPDEC発表のガイドラインでは具体的な実施手順を要求しています。

 

▲ TOP