Ｐマーク取得作業

　リスク分析やその管理策はどのレベルまで行えば良いのですかと時々尋ねられます。

 

基本的な考え方は、個人情報を有する本人が漏えい、滅失、き損などの事故・事件が起きた場合の影響をできるだけ少なくできるようにすることです。

特に、企業からの視点ではなく、情報を有する本人の視点から考えることが重要です。たとえ事故事件が発生してもその影響をできるだけ少なくするようにすることです。

 

　全てのリスクを取り除くことは困難ですので、発生した場合の影響が大きいと思われるリスクから重点的に行う事が必要です。

 

　また、実際身近に起こりそうなリスクを発生させないようにすることも大切です。

たとえば電子メールやＦＡＸなどの誤送信を発生させないようにすることです。このことは結構発生しやすいことですので、原則２人で確認し合うとか、送信後に相手先に確認するなどが必要でしょう。

 

　最近は、従業者や委託先からの漏えいによる事故・事故が多くなっています。誓約書や委託契約書などの書面による対策も必要でしょう。

 

　ですから、各企業が重要と思われるリスクを中心に、実行可能な管理策を立てることが大切です。

 

 

●１回目（１ヶ月目）業務内容確認、個人情報の特定

　　　業務内容を確認しながら、個人情報の特定を行います。特に、複製した個人情報や個人のパソコンやＵＳＢメモリーなどの個人情報にも注意を払います。

 

●２回目（１ヶ月目）個人情報保護管理台帳の作成（１回目）

　　　個人情報を特定し個人情報管理台帳の作成に入ります。ここでは、特に何に利用するのか、どのように保管されるのか、委託されるのか、提供されるのかなどが大切です。

 

●３回目（２ヶ月目）個人情報保護管理台帳（２回目）・リスク分析・管理策の作成（１回目）

　　　前回に引き続き管理台帳を作成し、引き続きリスク分析及びその管理策を策定します。管理策には安全管理対策だけでなく、利用外目的に対する管理策、委託先からの漏えいに対する管理策なども講じる必要があります

 

●４回目（２ヶ月目）リスク分析・管理策の作成（２回目） 　

　　前回に引き続き、リスク分析およびその管理策を講じます。これらの管理策は、規程文書とリンクする必要があります。

 

●５回目（２ヶ月目）規定類および様式の作成（１回目）

　　　　２００６年版で特に重要な「取得・利用・提供」の同意、「開示等の権利」への対応について作成します。これは、個人情報管理台帳ともリンクします。

 

●６回目（３ヶ月目）規定類および様式の作成（２回目）

　　　最近特に厳密に審査される「委託先の監督」及び安全管理対策について作成します。リスク分析ともリンクします。

 

●７回目（３ヶ月目）規定類および様式の作成（３回目）

　　　苦情、文書、点検、是正措置及び見直しなどについて、最新の審査状況を踏まえ、作成します。

 

●８回目（５ヶ月目）監査および申請書の作成

　　　内部監査結果についての支援及びＪＩＰＤＥＣ提出の申請書についての確認をします。内部監査結果に対する是正措置作成およびマネジメントレビューについても支援します。

 

●９回目（６ヶ月目）書類審査結果対応、実地審査事前チェック

　　　書類審査指摘事項について貴社に適する方法で支援します。また、実施審査を前に、記録類の確認や安全管理対策などの事前確認を行い、実地審査に備えます。

 

●１０回目（９ヶ月目）実施審査結果対応

　　　 　現地審査の結果に対し、貴社に最も適した是正措置を講じられるように支援いたします。

 

 

　名刺も個人情報として取り扱わなければなりません。以前は、それほど重要視されていませんでいたが、最近は、しっかり管理するように変わってきています。

 

　ただ、本人から同意をとるほどの必要性は、一般的には必要ないでしょう。

 

　また、名刺を委託している委託先とは、個人情報に関する委託策契約を締結するようになりつつあります。

 

　明らかに名刺に対する取扱い方は、変化しています。

 

 

個人情報の取得・プロセスリスク分析は、次のように行います。

 

　◆個人情報を取得、利用する場合は正規の手続きを通じて行います。

 

　◆個人情報を取得するときは、本人から合意を得ることが必要です。 （本人から直接取得する場合）

 

　◆取引先から個人情報を取得する場合は、正しくルールで取得したか（同意など）を、確認する必要があります。

 

　　　不正に取得した個人情報を利用してはいけません。

 

　◆取得した個人情報は目的外利用を禁止します。

 

　◆個人情報のリスク分析を通じ、プロセスおよびリスクを分析し、管理策を策定します。

 

　プライバシーマーク運用の基本となる規程文書は、分冊にしなけらばならないのかと聞かれることがあります。

 

　分冊でも全て一緒にしても、どちらでもかまいません。

　大きな組織で管理部門が異なる時は、分冊の方がよいでしょう。

　一方、小さな組織でそれほど管理部門が分散していない時は全ての規程類をまとめた方が良いでしょう。

　規程文書の管理はまとまっている方が管理しやすくなるでしょう。

 

　また、規程文書内にJISQ15001:2006の要求事項をそのまま記載していいか・・・という質問も時々受けます。

 

　これは、一概にいえません。現状、少なくても表立って不適合にする審査員はいないようです。

しかし、口頭で規程文書から要求事項の記載を外すように厳しく述べる審査員がいるのも事実です。

 

　ISO14001を取得しているある企業が、このJISQ15001:2006要求事項の記載されている規程文書を見て「すごく使いやすい」と言ったことがありました。

 

　各企業の判断で作成すれば良いのではないでしょうか。

 

 

　プライバシーマーク取得を開始する時は、全従業者を招集してキックオフというイベントを行うことをお勧めいたします。

　これは、代表者より「プライバシーマークを取得する」ことを全従業者に宣言することにより、全従業者がプライバシーマーク取得に対する意識を高め、協力してもらう必要があるからです。

　現地審査員が現場の審査を行った時、従業者が「プライバシーマークなんて関係ない」といった態度をとれば、当然現地審査員への心象は悪くなります。それよりも、プライバシーマークの運用は困難になります。

　全従業者に対する啓蒙活動を初期段階から行うことが大切です。

　プライバシーマークの管理策（情報セキュリティ）は、リスク管理の脅威、リスクを分析した結果を考慮して策定します。つまり、リスクの高い項目から管理策を策定します。

 

　たとえば、個人情報の取得・入力時に「誤って間違った内容を入力する。」というリスクがある場合なら、「入力後、チェックリストで入力した者と別の人がチェックする。」という形で策定します。

 

　この場合、その管理策が規定文書に記載されている必要があります。もし、なければ規定文書にその管理策を追加します。

 

　管理策は、安全管理対策だけではなく、JISQ15001:2006の要求事項全般から講じる必要があります。例えば、「目的外利用をしない。」、「毎月部会でプライバシーマークの点検を行う。」、「委託先契約に基づき毎月末に委託先を訪問し安全管理策を確認する。」などです。

 

　また、管理策は、経済産業省から出されている「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
　（http://www.meti.go.jp/policy/it_policy/privacy/080229kaisei-guideline.pdf）

　およびJIPDECから出されている「JIS Q 15001：2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」
（http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf）

 

　をベースにしながら、実現可能性を考慮しつつ、作成することが大切です。

 

　JISQ15001:2006では、事前にプライバシーマークに関する教育計画書を作成し、その教育を少なくとも年１回以上受講することを要求しています。

 

  新入社員や派遣社員等が自社の職場に加わった時にも、プライバシーマークの教育を行う必要があります。

　教育は、その職場に従事している人全員が受けなければなりません。

 

　さらに、理解度テストやヒヤリングなどで測定し、受講者は、一定水準以上に理解している必要があります。

　もし、一定水準に達していなければ、その補講を行うなり、再度受講するなど行い、一定水準に達成するようにします。

 

　JISQ15001:2006では、事前にプライバシーマークに関する監査計画書を作成し、その内部監査を少なくとも年１回以上実施することを求めています。

 

　内部監査責任者は、その内部監査を統括し、代表者より任命されます。個人情報保護管理者との兼任はできません。あくまでも、独立性、公平性が要求されます。

 

　内部監査責任者は、内部監査員を指名して内部監査を行います。この場合、内部監査員が属する部署を内部監査することはできません。

　公平性の維持のためです。

 

　ＩＳＯ２７００１は１年に１回、サーベランスと称し外部審査機関を通して維持審査を行いますが、プライバシーマークでは外部審査機関を動員してまで行う必要はありません。

 

　プライバシーマークの内部監査を実施する時に、内部監査員が事前に作成します。

 

　内容は、内部監査対象部門で監査が重要と思われる項目を中心に監査項目を抽出します。

 

　営業部門なら個人情報の洗出し・リスク管理の実施状況、委託元からの個人情報の授受記録状況、クリアデスク状況、総務部門なら履歴書の保管状況、鍵管理の記録状況などの確認、情報システム部門ならＩＤ・パスワードの変更状況確認などです。

 

　内部監査はあくまでもサンプリングですので、規定文書に記載されている項目全てを監査することはできません。各部門毎で重要な内容、代表的な内容を抽出し、チェックシートに記入することです。

 

　内部監査時は、主にチェックリストに沿いながら内部監査を実施することになります。

 

　実施中不適合が発生した場合は、その記録状況・実施状況を後で検証できるように記述します。

 

　その内容に基づき是正措置を講じることになります。

 

そもそも情報の漏えい、滅失、き損が起きるのは、所有しているからです。ですから、個人情報は必要がなければ、廃棄するのが望ましい訳です。

 

ですからできるだけ保管期間は、できるだけ短く、本当に必要な個人情報だけ保管するように心がけるべきでしょう。

 

そう考えると、『永年保管』という考えは、ごく限られた個人情報にならざるを得ません。例えば、定款、会社登記簿などです。

　他に、商法などの法規上決められた内容により、保管する期限を設定することです。

 

個人情報は、各企業の『所有物』ではなく、情報主体である本人からの『預かり物』と考えるべきでしょう。