プライバシーマーク・Ｐマーク取得への道

ご覧いただき誠にありがとうございます。

１３回目の今回は、運用状況の監査についてご説明します。

“プライバシーマーク・Pマーク取得への道　その３”で選出しました監査責任者がここでは主役となります。

監査責任者は「個人情報保護マネジメントシステム」運用開始後、一定期間（最低４週間）経過した時点で、個人情報保護の状況について監査します。

監査責任者は、自分の所属している部署・部門について監査をしてはいけないことになっています。その部署・部門については、別の部署・部門の方を監査員に任命していただき、監査を行うことになります。

監査が終了しましたら、監査責任者は、監査の結果を報告書にまとめ、経営者に報告します。

一般的には以上が監査となりますが、プライバシーマーク・Pマークを取得するにはそれでは不十分です。
プライバシーマーク・Pマークの取得をコンサルタントに依頼する場合、運用の監査以外に必要な監査について質問してみてはいかがでしょうか？それを答えられるコンサルタントであれば安心して依頼ができると思います。

ご覧いただき誠にありがとうございます。

今回は、プライバシーマーク・Pマークの取得支援の際、良く頂くご質問についてお答えしようと思います。

一番多いのは、設備投資に関してです。

「プライバシーマーク・Pマークを取得するのにどのくらいお金をかけて設備投資すれば良いの？」と良く聞かれます。
答えはありません。

どういった設備投資をするかは、“プライバシーマーク・Pマーク取得への道　その８”で特定したリスク分析の結果によって決まります。
しかし、会社には予算というものがあります。予算がなければプライバシーマーク・Pマークの取得を諦めなければならないかというとそうではありません。予算がなければ、導入計画（予算計画）をたて、設備導入までの間代替対策を講じれば良いのです。
また、無理（高額）な設備投資ではプライバシーマーク・Pマークの運用に支障をきたします。
設備投資の場合、皆さんで話し合い、できそうなことから手をつけるようにしてください。
できなさそうな設備投資は、リスク分析による対策に無理があるということです。

ご覧いただき誠にありがとうございます。

１２回目の今回は、いよいよ「個人情報保護マネジメントシステム」の運用になります。

“プライバシーマーク・Pマーク取得への道　その１０”で策定しました内部規程に従って運用を開始します。
最低でも４週間は運用しましょう。

ご覧いただき誠にありがとうございます。

今回は、先日さいたま市北消防署で発生した個人情報漏えい事故について触れたいと思います。

さいたま市北消防署において行政情報が、ファイル共有ソフト「Winny」を通じて外部へ流出した可能性があることが、3月4日に判明しました。

以前から「Winny」による個人情報の漏えい事故が頻繁に報道されているにも関わらず、未だ「Winny」での個人情報漏えいが後を絶たない。

「Winny」の対策としては、使用しないのが一番有効的な手段である。
しかし、どうしても「Winny」を使用したいのであれば、ウイルス対策ソフトを導入し、ウイルス定義ファイルは常に最新のものにしてください。

ご覧いただき誠にありがとうございます。

１１回目の今回は、「個人情報保護マネジメントシステム」を周知させるための教育の実施について触れたいと思います。

“プライバシーマーク・Pマーク取得への道　その４”で策定したスケジュールに基づき、個人情報保護の教育を実施します。

その内容については、「JIS Q 15001：2006 3.4.5 教育」a)〜c)の事項を理解させる必要があるそうです。

教育実施後は、教育の効果の確認を行うとともに教育実施の記録をとり、次回以降の教育に反映する資料として残します。

ご覧いただき誠にありがとうございます。

１０回目の今回は、「個人情報保護マネジメントシステム」を構成する内部規程の策定について触れたいと思います。

内部規程の策定の目的は、“プライバシーマーク・Pマーク取得への道　その１”〜“プライバシーマーク・Pマーク取得への道　その９”で決定したことを文書化することです。

「個人情報保護マネジメントシステム」は自社の業務や規模と整合性があり、かつ身の丈にあった、実効性のあるものでなくてはなりません。
それに加え、最低限「JIS Q 15001：2006 3.3.5 内部規程」のa)〜o)の規定必要となります。

結局は、「個人情報保護マネジメントシステム」を策定するためには、「JIS Q 15001：2006」の理解が必要と言うことになります。
「個人情報保護マネジメントシステム」を策定される方は頑張ってください。

ご覧いただき誠にありがとうございます。

９回目の今回は、必要な資源の確保について触れたいと思います。

“プライバシーマーク・Pマーク取得への道　その８”の実施により、プライバシーマーク・Pマークの取得に必要な「個人情報保護マネジメントシステム」の構築のために必要な資源が自ずと明らかになってきます。
それに対し、個人情報保護管理者がその資源導入の計画を立て、経営者に提出します。

経営者は、提出された資源導入の計画に対し、導入の判断をしなくてはなりません。
すぐに導入できるものに対しては、早急に個人情報保護管理者等に導入の指示をします。
コスト面で導入が困難なものに対しては、個人情報保護管理者等に導入までの間代替措置を図るよう指示します。

導入が完了次第、運用を開始してください。

ご覧いただき誠にありがとうございます。

８回目の今回は、“プライバシーマーク・Pマーク取得への道　その６”で特定した個人情報のリスク分析についてです。

特定した個人情報のライフサイクル（「取得・入力」、「移送・送信」、「利用・加工」、「保管・バックアップ」、「消去・廃棄」）を明確にし、その局面ごとにリスクを想定します。

リスクには、個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えい等があります（詳細は「JIS」を確認してください）。

そして、想定したリスクに対し対策を講じる必要があります。
その対策は個人情報のライフサイクルに関連するものでなくてはいけません。

こうして講じたリスク対策をまとめることで、、“プライバシーマーク・Pマーク取得への道　その１０”で触れる「内部規程」ができあがります。

ご覧いただき誠にありがとうございます。

７回目の今回は、事業における個人情報の取り扱いに関する法令、国が定める指針等の確認について触れたいと思います。

御社の事業で、個人情報の取扱いに関する法令、国が定める指針等がある場合は、「個人上情報保護マネジメントシステム」の基となる「JIS Q 15001:2006（以下「JIS」といいます。）」よりも優先されなくてはいけないからです。
「個人上情報保護マネジメントシステム」を策定する前に、まずは個人情報の取扱いに関する法令、国が定める指針等の有無を、個人情報保護に関する内閣府、所属する業界団体、及び(財)日本情報処理開発協会のホームページ等で調査することをおすすめします。

それ以外にも所属している業界のガイドラインがあればJISと併せて「個人情報保護マネジメントシステム」に盛り込む必要があるが、ガイドラインがJISの要求事項より下回っている場合、もちろんのことJISを優先させる必要があります。

ご覧いただき誠にありがとうございます。

６回目の今回は、自社内で取扱っている個人情報の洗い出し（特定）について触れたいと思います。

個人情報の特定作業は、「個人情報保護マネジメントシステム」において保護するもの、つまり保護対象を明確にすることが目的です。

この作業に当たっては、個人情報の利用目的、件数、取得先、保管状況（紙媒体、電子媒体等）、保管期間、保管場所などについて調査し、まとめると良いでしょう。