JISQ15001理解のポイント

1.個人情報の「取得・利用・提供」時の同意

 

  個人情報を当初の取得時の利用目的の範囲を越えて、利用したり、第三者提供する時は、原則として本人からの同意が必要です。

 事前にWeb上や会社案内等で利用目的を明示して、本人から同意を取る必要があります。

 

2.リスクアセスメントの重視

 

  個人情報を特定して、リスク分析を行い、その管理策を講じますが、リスク分析では、個人情報のライフサイクル(取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄)に沿って脅威を洗い出す必要があります。

 業務プロセスの作成は必ずしも必要ではありませんが、業務の流れを把握しておかないと、個人情報の特定時に漏れを生じることになりかねません。

 

3.「本人からの開示等の権利」への対応

 

  本人から、本人自身の個人情報の開示、訂正、利用停止等の要求があった場合、遅滞なく対応しなければなりません。

 もし、本人の要求に応えることができない場合は、その理由を本人に連絡しなければなりません。

 

4.安全管理対策

 

  入退室管理、盗難防止策、パスワード管理、アクセス制御、アクセスログ管理、不正ソフトウェア対策、個人情報の授受管理及び機器の持出管理などが重視されます。

 ISO27001の要求事項までは要求されませんが、リスクアセスメント結果に沿った対策が必要です。

 

5.委託先の監督、委託元の管理

 

  近頃、委託先からの個人情報漏えいが多発しているためか、委託先の監督はかなり重要です。

 旧JISでは、「委託処理に関する措置」と呼んでましたが、新JISでは、「委託先の監督」とかなり重視していることが伺えます。

 委託先との個人情報に関する契約書の締結は必須で、その中に損害賠償や委託先からの管理報告の内容や頻度まで記載する必要があります。

 

  さらに、委託元に対しても、本人から同意を得て正当に取得した個人情報かを確認する必要があります。

 

6.是正措置及びマネジメントレビューの一連の対応

 

  是正措置は、内部監査に対してだけではなく、外部機関による審査、リスクアセスメント結果、緊急事態の発生、苦情、運用の確認などに対しても行う必要があります。

 ここで発見された不適合に対しては、是正措置あるいは予防措置を講じることになります。

 

 これらの結果をマネジメントレビューに繋げて、一連のPDCAサイクルを実現することになります。

 

 

  

▲ TOP