    |
Pマーク認証取得支援
関西ISOシニアコンサルタントネットワーク
ISO14001・ISO9001・ISO22000・ISO27001・Pマーク認証・安全衛生支援・社内セミナ
Pマーク支援 プライバシーマーク認証支援
| この頁を印刷する |
| 頁の責任者:西村明吉 | 問合せ⇒ |
|
|
|
Pマーク認証取得支援 |
|||||||||
| MEICO 認証の支援のサイトマップ ISOコンサルタントTOP 無断転載禁ず | ||||||||||
関西ISOシニアコンサルタントネットワーク |
パンフレット | |||||||||
ISO14001・ISO9001・ISO22000・ISO27001・Pマーク認証・安全衛生支援・社内セミナ |
||||||||||
Pマーク支援 プライバシーマーク認証支援 |
||||||||||
| (情報関係の経験豊富なベテランコンサルタント) | ||||||||||
|
|
|||||||||
| ■JIS Q 15001 プライバシーマーク | ||||
最近テレビでも個人情報の流出の事件が多数報道されています。個人情報がインターネット等でどんどん流通すると、こういう事件や事故がますます増加します。ところが日本企業で個人情報保護に対応している中小企業はごく僅かです。お粗末な状況です。そこで世界をはじめ、国内でも法律制定やJIS規格制定され認証を取得ラッシュが続いています。そこで取引先からISO同様に認証取得の要請が委託先に出されています。プライバシーマーク認証を取得しない企業は、取引の対象から除外される日も遠くありません。 |
||||
| ■個人情報保護と情報セキュリテイー対応について | ||||
| 1・個人情報保護 | ||||
| プライバシーマーク:JISQ15001(個人情報保護法H17年4次施行 | ||||
| http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/ | ||||
| (そもそもOECDのプライバシーマーク制度の発行がきっかけ) | ||||
認証
取得:約990社(2002年4月〜)東京が多いが関西にも拡大しつつある |
||||
| 審査認証機関4機関 | ||||
| JIS規格は3頁くらいのものでISOとかなり似ている | ||||
今後急速に
取得が進む |
||||
| 目下審査体制が整わず審査は6カ月待ち | ||||
個人情報を扱う企業、特に商売上の場合は、
取得は不可欠となる |
||||
審査員や経営
コンサルタントは少なく逼迫状態、慎重に選ぶことをお勧めします |
||||
| http://privacymark.jp/ プライバシーマーク制度(JIPTEC) 下記はJIPTECからのそのまま引用 | ||||
| プライバシーマーク制度とは http://www.pangkal.com/p_mark/pmark1.html | ||||
| 2・情報セキュリテー(個人情報だけでなく情報全体が対象) | ||||
| 情報セキュリテイーマネジメント:ISMS | ||||
| 認証基準以外に付属書「詳細管理表」 | ||||
| (日本の制度・基準だが英国の制度やBS7799と整合) | ||||
| (日本企業約400社は、すごい勢いで、BS7799の認証をとっている) | ||||
認証
取得:約561社(2002年8月〜) |
||||
ISMS審査認証機関14機関
|
||||
| どちらもISOのマネジメントシステムの方式に準拠している。将来的にはISO化されるかもしれません。 | ||||
■JIS Q 15001 プライバシーマーク認証
取得支援 |
||||
・これだけ良心的な
支援は他社では、あまりありません |
||||
| ・他社とあい見積もりされて比較下さい | ||||
| ・当社は先生を同行し訪問し説明申し上げます | ||||
| ・期間:7カ月(但し構築完了後、審査申請から認証までは、運用が必要なのと、 | ||||
| 審査が混んでいますので更に数ヶ月かかります) | ||||
| ・費用:118万円(JISQ15001教育・監査員育成含む)+旅費は別途請求(原則日帰り) | ||||
| ※価格交渉には応じます | ||||
| ・支払い:3分割払い | ||||
| ・文書作成(当方がやります)〜指導取得まで支援します。 | ||||
| ・訪問回数標準12〜15回 (午後1時〜5時) | ||||
| (訪問時間を少なくする努力はしますが、日によって長くなる場合があります) | ||||
| ・構築完了後の支援もさせて戴きます(料金は別途で、15万円年2回訪問) | ||||
| ■個人情報保護法 | ||||
| JIS Q 15001が準拠した、OECD8原則とは... | ||||
| @収集制限の原則 :適法かつ公正・適正な手段をもって同意を得て収集すること | ||||
| Aデータ内容の原則 :利用目的に沿ったもので、間違った不完全なものであってはならない | ||||
| B目的明確化の原則:データの利用は収集目的を明確にし、収集目的に矛盾がないこと | ||||
| C利用制限の原則 :個人データは目的外の使用を制限、本人の同意・法律の規定による場合は除く | ||||
| 以上、@〜Cは個人情報保護規定 | ||||
| D安全保護の原則 :個人データの紛失、不当アクセスによる破壊・改ざん・開示等 | ||||
| 危険に対する保護(セキュリティの整備)がされること | ||||
| E公開の原則 :個人データの運用・政策は公開され、データ管理者を識別できること | ||||
| 1.マネジメントシステムの確立の為には、JIS Q 15001に準拠して | ||||
| 2.法律(個人情報保護法)に違反しないことPCマークを取得し、維持・改善に努めます。 | ||||
| 個人情報利用の制限ではなく、個人情報を保護し、安全に正しく流通させることが根底にあります。 | ||||
| 既に欧米では定着している考え方が、個人情報の流失・漏洩という社会問題が背景となり | ||||
| 本来の目的とは、異なった企業リスクを回避することだけに視点が注がれているようです。 | ||||
| 世界基準 | ||||
| @OECE8原則 | ||||
| 「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事勧告」1980.9.23 | ||||
| AEU指令 | ||||
| 「個人データ処理に関わる個人の保護及び当該データの自由な移動に関する欧州議会及び | ||||
| 理事会の指令」1995年 | ||||
| B米国商務省 | ||||
| 「Safe Harbor Privacy Principles」1999年 | ||||
| これらの基準をもとにして、個人情報の「流通」と「保護」が目的とされ、日本では、「個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001)」がつくられました。 | ||||
| 日本での基準 @JIS Q 15001(1999年3月20日制定) |
■個人プライバシーマーク認証取得支援(Pマーク認証取得支援)の説明
| ※ 個人情報保護方針】書類、運用ポイント 1.書類作成ポイント @「個人情報保護の理念」を明確にすること。 「個人情報保護の理念」には「何のために個人情報保護を行うか」という経営者の考えとなります。経営理念との整合性を取ねことが大切です。簡単と言えば、会社パンフレット、ホームページで最初に記述していることを含めてください。また、個人情報を取扱う業務が特定でくる企業はその業務を含めてください。 例: 当社は、グローバルなインターネット情報社会の中で、○○事業と○○事業において様々な企業情報や多数の個人情報を取得・管理し事業を行っています。 これらの事業活動を行う企業責任として、個人情報保護マネジメントシステム(PMS)を確立し、実施し、維持し、かつ改善し、確実な管理体制と安全な管理手順のもと個人情報全般の運用、取り扱いを行う必要があります。 さらに、個人情報保護法などの法遵守は当社の基本的企業理念であり、お客様の信頼と支持がさらなる企業発展の最大要因と捉え、個人情報を適正に管理し、お客様のご要望に沿って利用することが使命と認識しております。 AJISQ15001の3.2a)〜f)の項目を含めること。 規格が要求している事項をそのままの言葉で記述してください。 B制定日、改訂を含めること。 個人情報保護方針がいつ制定され、いつ改訂されたかをわかるようにすることは大切です。 C個人情報保護方針及び個人情報の取り扱いに関するお問い合わせ先を含めること。 例: ■個人情報保護方針及び個人情報の取り扱いに関するお問い合わせ先 〒×××−×××× ×××市×××区××町××-×× 株式会社●●● 苦情・相談窓口 電話: FAX: E-mail: |
| 2.運用ポイント @従業者及び一般の人が入手可能な措置を講じること。 例:ホームページ、社内掲示、パンフレット、ポケットガイド等 Aウェブに掲載している場合、トップページからワンクリックで表示すること。 以上 |
| ・ | 6,2 活動スケジュールの確認 | ・ |
| ・「6.プライバシーマーク(PMS)取得のスケジュールの例」を参照。 | ||
| 6.3 個人情報保護方針の策定 | ||
| ・社長が制定した「個人情報保護方針」は、従業員一人一人が理解し、日常の業務に反映されなければなりません。 | ||
| ・また、個人情報保護方針」は、一般の人にも公開しなければなりません。 | ||
| 個人情報保護方針(例) | ||
| 当社では、個人情報保護に関するお客様とのお約束を遵守し、お客様の情報を正確 かつ安全に取り扱うために厳重な管理体制を構築することにより、お客様からの信頼 に応えなければならないと深く認識しています。 |
||
| そこで、以下の方針に基づいてお客様の個人情報の保護を確実に実行いたします。 | ||
| @事業の内容及び規模を考慮した個人情報の取得、利用、提供にあたり、適法かつ 公正な手段により個人情報の取得を行い、取得した個人情報は利用目的の範囲内 において、適切に取り扱います。 |
||
| A個人情報の保護を厳格に実施し、個人情報に関する法令、国が定める指針及び その他の規範を遵守いたします。 |
||
| B個人情報の漏洩、滅失、き損及び改ざんなどを防止するため、安全管理処置を講じ ます。また、これらの事態の発生を察知した際には迅速な是正処置を講じます。 |
||
| C自己の個人情報について、苦情・相談・開示・訂正・利用停止等を求める権利を 尊重し、これらの要求がある場合には、遅滞なく合理的な範囲内でこれに対応します。 |
||
| Dの方針を実行するため、個人情報保護法令遵守の仕組みを策定し、これを弊社 従業員その他関係者に周知徹底させ、継続的な見直しと改善を行います。 |
||
| 2008年○月○日 制定 | ||
| 株式会社○○○○ | ||
| 代表取締役 ○○○○ | ||
| ・ | ||
| ・ | ||
| ・ | ・ | ・ | |
| 6.4 関連法令の調査の例 | |||
| @個人情報の保護に関する法律 | |||
| A民間部門における電子計算機処理に係る個人情報保護に関するガイドライン | |||
| B個人情報の保護に関する法律についての経済産業分野を対象とるガイドライン | |||
| C個人情報の保護に関する条例(○○県) | |||
| D個人情報の保護に関する条例(○○市) | |||
| 6.5 個人情報の棚卸し | |||
| @個人情報棚卸シートの作成 | |||
| ・個人情報台帳を作成するための記入シートであり、それぞれの個人情報の流れの中で、どのようなライフサイクルをたどっているかを確認する。 | |||
| A個人情報台帳の作成 | |||
| ・詳細は、「Q&A」の部分を参照。 | |||
| 6.6 リスクアセスメント | |||
| ・リスク分析表の作成 | |||
| ・個人情報台帳に登録された個人情報に対して、ライフサイクル(@取得・入手、 | |||
| A移送・送信、B利用・加工、C保管・バックアップ、D消去・廃棄)における「想定されるリスク」を記述する。 | |||
| ・リスク分析表は、類似業務毎に作成する。 | |||
| 6.7 リスク対応 | |||
| ・リスク分析表における当該個人情報の「想定されるリスク」に対して、「リスクを軽減するための対策」をリスク分析表に記述する。 | |||
| ・それらの「リスクを軽減するための対策」の具体的手順を内部規程に記述する必要がある。リスク分析表の「関連規定・項番」の欄に、具体的手順を記述した内部規程の名称、記述箇所を示す項番を明記する。 | |||
| 6.8 残留リスクの確認 | |||
| ・リスク分析表における当該個人情報に対する「リスクを軽減するための対策」を講じても、なお残留リスクがあれば、それをリスク分析表の「残存するリスク」の欄に記述する。 | |||
| ・また、それらの残存リスクに対する管理をリスク分析表に記述する。 | |||
| ・ | |||
| 6.9 文書化 | ・ | ||
| @JISQ15001の規格に対応するPMSマニュアル(個人情報保護規定の名称でもよい)を作成する。 | |||
| APMS(JISQ15001)の規格では、以下の内部規程(手順書)を作成することを要求している。 | |||
| ・ | 文書番号 | 内部規程の名称と記述内容の例 | |
| A-001 | 個人情報を特定する手順に関する規定 | ||
| ・会社が取扱っている個人情報を棚卸して、個人情報台帳を作成する。 個人情報として、従業員の個人データ、顧客の個人データ、顧客から預った個人データなどが、書類・記憶媒体・電子データ(コンピュータ内)として存在している。個々の個人情報は、管理責任者をきめて管理する。 | |||
| B-001 | 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定 | ||
| ・個人情報保護に関する法令等を特定し、参照できるようにする。 | |||
| C-001 | 個人情報に関するリスクの認識、分析及び対策の手順に関する規定 | ||
| ・会社が取扱っている個人情報に対するリスク(脅威)を特定し、対策を行う。リスクとして、個人情報の紛失による漏えい、個人情報の盗難による漏えい、コンピュータへの不正アクセス・ウイルス感染による個人情報の盗難・漏えい・破壊などがある。 | |||
| D-001 | 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定 | ||
| ・会社が取扱っている個人情報を保護するために、役割分担を定める。 重要な役割を担当する人として、管理責任者、監査責任者、内部監査員、 各部門の実務責任者、苦情窓口担当者、教育担当者などが挙げられる。 特に、管理責任者は個人情報保護の運営では中心になる人である。 | |||
| E-001 | 緊急事態(個人情報が漏えい、滅失又はき損をした場合)への準備及び対応に関する規定 | ||
| ・万一、個人情報が漏洩した場合を想定し、対応のやり方を定めておく。 | |||
| F-001 | 個人情報の取得、利用及び提供に関する規定 | ||
| ・会社が個人情報を取得し、利用し、他社に提供する場合のルールを定め、全員が守っていく。 | |||
| G-001 | 個人情報の適正管理に関する規定 | ||
| ・会社が取扱っている個人情報を保護するために、安全対策を定め、全員が守っていく。安全対策として、入退社チェックリスト、個人情報の保管、ウイルス対策、不正アクセス対策などがある。 | |||
| H-001 | 本人からの開示等の求めへの対応に関する規定 | ||
| ・会社が取扱っている個人情報のなかで、本人から個人情報(氏名、住所など)の開示を求められたときの対応を定めておく。 | |||
| I-001 | 教育に関する規定 | ||
| ・会社が取扱っている個人情報を保護するために、全員が教育を受ける。 教育の内容として、個人情報を保護することの重要性、個人情報を保護するための社内体制・役割分担、内部規程に違反した場合(社内ルールを守らなかった場合)の罰則についてなどがある。 | |||
| J-001 | 個人情報保護マネジメントシステム文書の管理に関する規定 | ||
| ・個人情報を保護するための仕組(マネジメントシステム)に必要な内部規程(社内ルール)、及び記録について定める。全員がルールを守り、報告(記録)する義務を定めておく。 | |||
| K-001 | 苦情及び相談への対応に関する規定 | ||
| ・会社が取扱っている個人情報への問合せ、及び当社の個人情報保護の運営(活動)に関する苦情への対応を定めておく。苦情・相談窓口を設ける。 | |||
| L-001 | 点検に関する規定 | ||
| ・会社の個人情報保護に関する運営情況(社内ルールに沿って、適切に運営されているか、全員が社内ルールを守っているか)について、社内の内部監査員が定期的に点検(内部監査)を行う。ルールが守られていない場合には、内部監査員は改善(是正処理)を命じることになる。 | |||
| M-001 | 是正処置及び予防処置に関する規定 | ||
| ・社内ルールを守っていなかった場合(紛失・盗難・ウイルス感染・不正アクセス等が発生した場合)の是正処理(再発防止対策)の手順、及び発生する恐れがある場合、前もって対策を行う予防処置の手順を定めておく。 | |||
| N-001 | 代表者による見直しに関する規定 | ||
| ・社長は、会社の個人情報保護の運営は適切に行われているか、また個人情報が漏えいする心配がないかを定期的に見直しを行う。不十分であれば、 社長から改善命令が出される。 | |||
| O-001 | 内部規程の違反に関する罰則規定 | ||
| ・個人情報保護のために、全員が社内ルール(内部規程)を順守する義務があり、全員がそのために誓約書を会社に提出する。内部規程に違反した場合には、社内の罰則規定によって処罰されることを全員が理解しておく。 | |||
| ・ | |||
| ・ | |||
| ・ | B記録様式 | ・ | |
| ・PMSマニュアル及び内部規程に関連する記録様式を作成する。 | |||
| 6.10 教育 | |||
| ・教育計画は、全員教育、内部監査員教育及び情報処理専門家教育の実施計画を作成 | |||
| ・全員教育では、個人情報保護方針、PMSマニュアル、内部規程、記録様式の理解をさせる。 | |||
| 6.11 運用開始 | |||
| ・経営者はPMSの関連文書等を承認して、全員教育後に運用開始宣言を行う。 | |||
| ・運用宣言後には、必要な記録をとる。 | |||
| 6.12 内部監査 | |||
| @内部監査員の養成 | |||
| ・他のマネジメントシステムと同様、内部監査員養成セミナを実施する。 | |||
| A内部監査の実施 | |||
| ・内部監査計画を作成し、内部監査チーム編成する。 | |||
| ・内部監査用チェックリスト作成し、内部監査を行う。 | |||
| ・内部監査で不適合があれば、内部監査員は是正処置要求書を発行する。 | |||
| ・内部監査のリーダーは、内部監査報告書を発行する。 | |||
| 6.13 マネジメントレビュー(事業者の代表者による見直し)の実施 | |||
| ・経営者は、内部監査結果等の資料を参考にマネジメントレビューを行う。 | |||
| 6.14 審査申請書資料の作成 | |||
| ・審査機関(Pマークでは指定機関と呼ぶ)が指定する必要な資料を作成する。 | |||
| ・ | ・ | ・ | |
| 6.15 審査申請 | |||
| ・審査機関に必要な資料を送り、審査料金を支払う(銀行振り込み)。 | |||
| 6.16 審査待ち | |||
| ・審査機関の事情によって、審査が開始される。 | |||
| 6.17 審査 | |||
| ・文書審査 | |||
| ・実地審査 | |||
| 6.18 プライバシーマーク取得の許諾 | |||
| ・審査に合格するれば、Pマーク使用許諾の連絡がある。 | |||
| 7.Q&A(運営に関するもの:全員教育のテキストから) | |||
| Q:「個人情報」とは、何ですか。 | |||
| A:「個人情報」とは、生存する個人に関する情報であって、これに含まれる氏名、生年月日その他の記述等により、特定の個人を認識できることができるものをいいます。 | |||
| Q:当社に関連する「個人情報」とは、どのようなものがありますか。 | |||
| A:「個人情報台帳」にまとめたものがあります。 | |||
| Q:内部規程に違反した場合には、罰則規定が適用されることになっていますが、 | |||
| 当社の「罰則規定」とは、どのような内容ですか。 | |||
| A:当社も、JISQ15001規格の要求事項により、「内部規程の違反に関する罰則規定」を作っています。 | |||
| 個人情報保護方針、内部規程(社内ルール)に違反した場合の罰則について適用する。規定の内容をよく読んで理解しておいてください。 | |||
| Q:当社で「個人情報」を取得、利用及び提供する場合、どのようなことに注意すればいいですか。 | |||
| A:新規に「個人情報」を取得する場合には、利用目的をはっきり本人に伝え、本人の同意が必要です。また、その利用目的で取得した「個人情報」は他の目的で利用してはいけません。他の目的で利用する場合には、改めて本人の同意が必要です。 | |||
| また、取得した「個人情報」を第三者に提供する場合(業務委託で他社に提供する場合)も、あらかじめ取得のときに本人に伝えて、同意を得る必要があります。 | |||
| しかし、デパートで商品を買って自宅に届けて欲しいとの本人の希望があれば、本人の同意がなくでもデパートは「個人情報」を宅配業者に提供することができます。 | |||
| Q:当社が取得している「個人情報」の管理について、どのようなことに注意すればいいですか。 | |||
| A:当社が管理している「個人情報」は、紛失・盗難・滅失(破壊)、き損(改ざん)から保護するために、組織的・人的対策(役割分担、内部規程)、物理的対策(セキュリティ区域管理)、技術的対策(ウイルス対策、不正サクセス対策)を行っています。 | |||
| また、個人情報が漏えいした場合を想定し、緊急事態への準備をしています。万一、個人情報が漏えいなどの事件が発生した場合、被害を最小限に留める対策を準備しています。 | |||
| さらに、苦情相談窓口担当者を決めて、本人から苦情や相談に乗るようにしています。本人から本人の「個人情報」を当社の「個人情報台帳」から削除して欲しいとの申し入れがあれば、当社としては削除を拒否することはできません。また、本人の「個人情報」の内容について開示して欲しい(見せて欲しい)という申し出があれば、本人であることを確認して、開示しなければなりません。 | |||
| Q:日常業務において、個人情報保護の観点から、私たち一人一人はどのようなことを注意しなければなりませんか。 | |||
| A:まず、基本的には、当社の「個人情報保護方針」の内容について理解することです。 | |||
| また、「個人情報保護に関する法律」を順守することです。日常業務において、疑問点があれば、部門の実務責任者または管理責任者に問合せし、適切な指示に従ってください。内部規程(社内ルール)や記録様式に関する改善提案や、情報セキュリティ上の対策についても「コミュニケーションシート」を発行して、管理責任者に連絡してください。 | |||
| 月末には、部門の実務責任者が、部門内の運営上の問題点、意見を聞いて「PMS運用状況報告書」を作成しますので、一人一人が意見を出し合ってください。そうすることによって、使い勝手のよい「個人情報保護マネジメントシステム(PMS)」に改善されていきます。 | |||
| 8.Q&A (PMS構築に関するもの) | |||
| Q:プライバシーマーク取得にどれだけの期間が必要ですか。 | |||
| A:キックオフから審査申請まで、7ヶ月を標準としています。 | |||
| しかし、審査機関の事情によって、いつ審査が行われるかわかりません。 | |||
| Q:プライバシーマークを取得する場合、取得する会社として、一番の苦労はどのようなものですか。 | |||
| A:プライバシーマーク(JISQ15001個人情報保護マネジメントシステム)は、ISO27001情報セキュリティマネジメントシステム、ISO14001環境マネジメントシステムと同じものと考えられます。 | |||
| ISO27001では、個人情報や企業機密情報などを情報資産として棚卸しを行います。 | |||