JIPDECのプライバシーマーク事務局によると青森県、岩手県、宮城県、福島県、茨城県に本社のある事業所で、平成23年10月末日までに有効期間の満了を迎える対象事業者については、申請期限を迎えた後も有効期間の満了日まで申請を受け付るそうです。
東北地方太平洋沖地震により被災された付与事業者の皆様へ
〜更新申請期間の取扱いについて〜
http://privacymark.jp/news/2011/0325/index.html
実際はそこに本社がなくても、支社や関連企業がその地域にあったりしてプライバシーマークどころではない会社はたくさんあるでしょう。
その場合、どうすべきか。
とりあえず、自分の会社の審査機関に電話してみることをお勧めします。
悪い結果にはならないはずです。
|
2011年03月28日
2010年11月10日
JIPDEC - 個人情報の取扱いの再確認について(注意喚起)-
プライバシーマーク事務局が、「個人情報の取扱いの再確認について(注意喚起)」の文書を発行しました。
要するに、各自治体の条例も意識して遵守しなさいということのようです。
最近、審査の現場では、JISの「3.3.2 法令、国が定める指針その他の規範」において、地方にある拠点の条例は特定しなくてもいい旨のコメントをされる審査員もいて、これは最近の審査の傾向でした。
少しルーズになりすぎたということでしょうか。
再度揺り戻して、拠点所在地の地方自治体の条例は特定するべきと考えた方がよさそうですね。
http://privacymark.jp/reference/pdf/kojinjoho_manage101109.pdf
ただ、派遣社員が勤務している場所の条例までは特定しなくてもいいと思います。
要するに、各自治体の条例も意識して遵守しなさいということのようです。
最近、審査の現場では、JISの「3.3.2 法令、国が定める指針その他の規範」において、地方にある拠点の条例は特定しなくてもいい旨のコメントをされる審査員もいて、これは最近の審査の傾向でした。
少しルーズになりすぎたということでしょうか。
再度揺り戻して、拠点所在地の地方自治体の条例は特定するべきと考えた方がよさそうですね。
http://privacymark.jp/reference/pdf/kojinjoho_manage101109.pdf
ただ、派遣社員が勤務している場所の条例までは特定しなくてもいいと思います。
2010年09月29日
(セミナー案内)「プライバシーマーク取得って大変なの?」〜6か月でPマークを取得するコツ〜
本日は弊社主催のPマーク セミナーのご案内です。
参加費は5,000円(当日申込8,000円)のところ、インターネットで事前申込みいただければ無料です。
日時:2010年10月12日(火)14時受付開始(〜16時半)
対象者:対象者:プライバシーマーク取得を検討している企業の方
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
※インターネット申込み特典として事前予約時の参加費は無料といたします。
会場:東京国際フォーラム
お申込みは以下のリンクから。
http://www.optima-solutions.jp/seminar/index.html
(満席になり次第受付を終了します。)
内容は以下の通りです。
第1部 6か月でPマークを取得するコツ
・Pマークとは何なのか?・素早く、あまりお金をかけずに、手間も節約して取る方法とは。
講師:弊社代表取締役 中 康二(なか こうじ)
第2部 これなら、わかる!プライバシーマーク取得のツボ
・Pマーク取得までの一連の作業内容を、順を追ってご説明。
講師:弊社シニアコンサルタント・遠藤 朝永
無料診断
質問表にチェックするだけで、御社の現状がよく分かる。
質疑応答
不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。
最近の指摘事項の傾向や自力取得(自社取得)との比較にも触れられればと思っています。
お申し込みをお待ちしております。
http://www.optima-solutions.jp/seminar/index.html
参加費は5,000円(当日申込8,000円)のところ、インターネットで事前申込みいただければ無料です。
日時:2010年10月12日(火)14時受付開始(〜16時半)
対象者:対象者:プライバシーマーク取得を検討している企業の方
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
※インターネット申込み特典として事前予約時の参加費は無料といたします。
会場:東京国際フォーラム
お申込みは以下のリンクから。
http://www.optima-solutions.jp/seminar/index.html
(満席になり次第受付を終了します。)
内容は以下の通りです。
第1部 6か月でPマークを取得するコツ
・Pマークとは何なのか?・素早く、あまりお金をかけずに、手間も節約して取る方法とは。
講師:弊社代表取締役 中 康二(なか こうじ)
第2部 これなら、わかる!プライバシーマーク取得のツボ
・Pマーク取得までの一連の作業内容を、順を追ってご説明。
講師:弊社シニアコンサルタント・遠藤 朝永
無料診断
質問表にチェックするだけで、御社の現状がよく分かる。
質疑応答
不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。
最近の指摘事項の傾向や自力取得(自社取得)との比較にも触れられればと思っています。
お申し込みをお待ちしております。
http://www.optima-solutions.jp/seminar/index.html
2010年09月21日
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」、ダウンロード開始
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン第二版 [単行本]」が業界で話題になりましたが、PDF版のダウンロードが始まりました。
無料ですが、単行本との違いはJISの引用がないことです。
私としては、JIS規格票を買うのであれば、単行本を買わなくてもこちらのPDFがあれば十分だと思います。
逆に単行本があれば、JIS規格票を買わなくても済むかもしれません。特にコンサルを起用する企業は、単行本1冊あれば事足りるでしょう。
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」(PDF:1831KB)
http://privacymark.jp/reference/pdf/guideline_V2.0_100917.pdf
[単行本]
http://www.amazon.co.jp/dp/4542305376/
無料ですが、単行本との違いはJISの引用がないことです。
私としては、JIS規格票を買うのであれば、単行本を買わなくてもこちらのPDFがあれば十分だと思います。
逆に単行本があれば、JIS規格票を買わなくても済むかもしれません。特にコンサルを起用する企業は、単行本1冊あれば事足りるでしょう。
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」(PDF:1831KB)
http://privacymark.jp/reference/pdf/guideline_V2.0_100917.pdf
[単行本]
http://www.amazon.co.jp/dp/4542305376/
2010年09月06日
オプティマ・ソリューションズ株式会社がプライバシーマーク認定
正直、今さら感があるのですが、当社(オプティマ・ソリューションズ株式会社)がプライバシーマーク認定されました。
認定番号:22000095(01)
http://www.csaj.jp/pmark/Ninteikigyo_list.html
長年にわたるPマーク・コンサルティング業務では定評があるものの、やはり自社が取得していないのはいかがなものかということで、このたび申請して認定を受けました。
これからもよろしくお願いいたします。
認定番号:22000095(01)
http://www.csaj.jp/pmark/Ninteikigyo_list.html
長年にわたるPマーク・コンサルティング業務では定評があるものの、やはり自社が取得していないのはいかがなものかということで、このたび申請して認定を受けました。
これからもよろしくお願いいたします。
2010年09月02日
(セミナー案内) 「プライバシーマーク取得って大変なの?」 〜6か月でPマークを取得するコツ〜
本日は弊社主催のPマーク セミナーのご案内です。
参加費は5,000円(当日申込8,000円)のところ、インターネットで事前申込みいただければ無料です。
日時:2010年9月14日(火)14時受付開始(〜16時半)
対象者:対象者:プライバシーマーク取得を検討している企業の方
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
※インターネット申込み特典として事前予約時の参加費は無料といたします。
会場:東京国際フォーラム
お申込みは以下のリンクから。
http://www.optima-solutions.jp/seminar/index.html
(満席になり次第受付を終了します。)
内容は以下の通りです。
第1部 6か月でPマークを取得するコツ
・Pマークとは何なのか?・素早く、あまりお金をかけずに、手間も節約して取る方法とは。
講師:弊社代表取締役 中 康二(なか こうじ)
第2部 これなら、わかる!プライバシーマーク取得のツボ
・Pマーク取得までの一連の作業内容を、順を追ってご説明。
講師:弊社シニアコンサルタント・遠藤 朝永
無料診断
質問表にチェックするだけで、御社の現状がよく分かる。
質疑応答
不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。
最近の指摘事項の傾向や自力取得(自社取得)との比較にも触れられればと思っています。
お申し込みをお待ちしております。
http://www.optima-solutions.jp/seminar/index.html
参加費は5,000円(当日申込8,000円)のところ、インターネットで事前申込みいただければ無料です。
日時:2010年9月14日(火)14時受付開始(〜16時半)
対象者:対象者:プライバシーマーク取得を検討している企業の方
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
※インターネット申込み特典として事前予約時の参加費は無料といたします。
会場:東京国際フォーラム
お申込みは以下のリンクから。
http://www.optima-solutions.jp/seminar/index.html
(満席になり次第受付を終了します。)
内容は以下の通りです。
第1部 6か月でPマークを取得するコツ
・Pマークとは何なのか?・素早く、あまりお金をかけずに、手間も節約して取る方法とは。
講師:弊社代表取締役 中 康二(なか こうじ)
第2部 これなら、わかる!プライバシーマーク取得のツボ
・Pマーク取得までの一連の作業内容を、順を追ってご説明。
講師:弊社シニアコンサルタント・遠藤 朝永
無料診断
質問表にチェックするだけで、御社の現状がよく分かる。
質疑応答
不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。
最近の指摘事項の傾向や自力取得(自社取得)との比較にも触れられればと思っています。
お申し込みをお待ちしております。
http://www.optima-solutions.jp/seminar/index.html
2010年08月31日
プライバシーマーク事務局が「平成21年度 消費者相談受付対応概要」を公表
プライバシーマーク事務局が、平成19年から平成21年までに受付けた個人情報に係る苦情・相談等(以下「相談」)の概要を発表しました。
相談件数について、平成21年度は前年の約1.5倍とのこと。
(プライバシーマーク(ロゴ)の不正使用に関する情報提供が増加)
この要約だけを見ても具体的にどのような相談があったのかはわかりませんが、プライバシーマーク事務局は「事業者における留意点等も紹介した『相談事例集』を後日公表する予定」としているので、そちらに期待したいと思います。
また、「個人情報に係る苦情・相談等」ということですので、審査に関する苦情・相談等は(内容から見て)、含まれていないのではないかと思われます。
プライバシーマーク事務局は、最近特に、情報公開について積極的にされていますので、これからも注目していきたいと思います。
(プライバシーマーク事務局)
http://privacymark.jp/
((平成21年度)「消費者相談受付対応概要」について)
http://privacymark.jp/reference/pdf/H21SoudanGaiyou_100830.pdf
相談件数について、平成21年度は前年の約1.5倍とのこと。
(プライバシーマーク(ロゴ)の不正使用に関する情報提供が増加)
この要約だけを見ても具体的にどのような相談があったのかはわかりませんが、プライバシーマーク事務局は「事業者における留意点等も紹介した『相談事例集』を後日公表する予定」としているので、そちらに期待したいと思います。
また、「個人情報に係る苦情・相談等」ということですので、審査に関する苦情・相談等は(内容から見て)、含まれていないのではないかと思われます。
プライバシーマーク事務局は、最近特に、情報公開について積極的にされていますので、これからも注目していきたいと思います。
(プライバシーマーク事務局)
http://privacymark.jp/
((平成21年度)「消費者相談受付対応概要」について)
http://privacymark.jp/reference/pdf/H21SoudanGaiyou_100830.pdf
2010年08月26日
最近の指摘事項の傾向と対策(36)「3.7 点検」の「3.7.1 運用の確認」
本日は「3.7 点検」の「3.7.1 運用の確認」に関する指摘事項の傾向と対策です。
(ガイドラインP. 63)
JISの「3.7 点検」には大きくふたつの要求があります。
ひとつは、「3.7.1 運用の確認」で、これは日常的な運用確認で、主に現場で行われるでしょう。
もうひとつは、「3.7.2 監査」で、これは定期的(最低年に1度)行うものであり、監査責任者が指揮します。
今日はその内の「3.7 点検」の方です。
<文書作成>
・ガイドラインには次の3点は点検の記録を残せと言っていますから、それは規定する必要があるでしょう。
a)最終退出時の社内点検(施錠確認等)の記録を残し、定期的に確認すること
b)最初に出社した人と最後に退社した人の記録を残し、定期的に確認すること
c)個人情報を格納した情報システムへのアクセスログを取得し、定期的に確認すること
・審査員によっては、これに加えて、ファイル交換ソフトウェア(Winny やShare など)をインストールしていないことも、点検して記録を残すように指摘する方もいます。
・ついでに、ウィルス対策ソフトやスクリーンセーバの設定状況やパスワードの変更状況を確認するようにすると一層安心できますね。(面倒ですが。)
・会社として何をどの頻度で点検するのかを定めておき、点検時期に点検漏れが生じないようにチェックリストのようなものを用意しておくといいでしょう。
・上記点検項目のa)とb)は、会社に最初入室者と最後退室者を記録するようなものを用意し、社員に記入させるようにし、毎月1度、個人情報保護管理者がその用紙に確認印を押すようにすればいいでしょう。
・上記点検項目のc)ですが、これはすべての個人情報について実施を求めているものではありません。ファイルサーバなどを用いて情報を共有しているのであれば、そのファイルサーバのアクセスログを点検するといった程度でいいでしょう。
・アクセスログですが、Pマークのためだけにわざわざ高価なログ取得システムを導入する必要はありません。もちろん、重要な情報を保有していて、何かあった場合に会社に大きなダメージがあると考えられるのであれば、Pマークの審査とは関係なく、会社のリスク管理の一環として導入するのは有益でしょう。会社によっては例えばWindowsのイベントビューアで確認するので十分ということもあるかもしれません。
・最近のLANディスクにはアクセスログをとる機能のあるものもあるので、それを利用する手もあります。ただ、どのくらいの期間のログが残るのかという点は考慮するべきでしょう。
・アクセスログの点検の記録はどのように残すのか。アクセスログをすべて印刷する必要はもちろんありません。いつ、どのサーバのアクセスログを点検したのか、その際にどのような異状があったのかなどの所見を書いてサインかハンコを押すようにしておけばいいでしょう。
・どのくらいの頻度で点検するべきか。実施可能な頻度となると思いますが、月に1度とか3ヵ月に1度とかといったかんじでしょうか。毎月できるのであれば、毎月する方がいいでしょう。なぜなら、3ヵ月に1度というのは、どうしても作業として忘れがちだからです。
<運用>
・上記の通り定めた様式に、サインやハンコなどで点検したことが分かる記録が必要です。
・特に、アクセスログは「点検は毎月してますが、点検した旨の記録は取っていません」ということがありがちです。上述の通り、「点検しました。異常なし。(ハンコ)」などの記録を残すことをお勧めします。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
(ガイドラインP. 63)
JISの「3.7 点検」には大きくふたつの要求があります。
ひとつは、「3.7.1 運用の確認」で、これは日常的な運用確認で、主に現場で行われるでしょう。
もうひとつは、「3.7.2 監査」で、これは定期的(最低年に1度)行うものであり、監査責任者が指揮します。
今日はその内の「3.7 点検」の方です。
<文書作成>
・ガイドラインには次の3点は点検の記録を残せと言っていますから、それは規定する必要があるでしょう。
a)最終退出時の社内点検(施錠確認等)の記録を残し、定期的に確認すること
b)最初に出社した人と最後に退社した人の記録を残し、定期的に確認すること
c)個人情報を格納した情報システムへのアクセスログを取得し、定期的に確認すること
・審査員によっては、これに加えて、ファイル交換ソフトウェア(Winny やShare など)をインストールしていないことも、点検して記録を残すように指摘する方もいます。
・ついでに、ウィルス対策ソフトやスクリーンセーバの設定状況やパスワードの変更状況を確認するようにすると一層安心できますね。(面倒ですが。)
・会社として何をどの頻度で点検するのかを定めておき、点検時期に点検漏れが生じないようにチェックリストのようなものを用意しておくといいでしょう。
・上記点検項目のa)とb)は、会社に最初入室者と最後退室者を記録するようなものを用意し、社員に記入させるようにし、毎月1度、個人情報保護管理者がその用紙に確認印を押すようにすればいいでしょう。
・上記点検項目のc)ですが、これはすべての個人情報について実施を求めているものではありません。ファイルサーバなどを用いて情報を共有しているのであれば、そのファイルサーバのアクセスログを点検するといった程度でいいでしょう。
・アクセスログですが、Pマークのためだけにわざわざ高価なログ取得システムを導入する必要はありません。もちろん、重要な情報を保有していて、何かあった場合に会社に大きなダメージがあると考えられるのであれば、Pマークの審査とは関係なく、会社のリスク管理の一環として導入するのは有益でしょう。会社によっては例えばWindowsのイベントビューアで確認するので十分ということもあるかもしれません。
・最近のLANディスクにはアクセスログをとる機能のあるものもあるので、それを利用する手もあります。ただ、どのくらいの期間のログが残るのかという点は考慮するべきでしょう。
・アクセスログの点検の記録はどのように残すのか。アクセスログをすべて印刷する必要はもちろんありません。いつ、どのサーバのアクセスログを点検したのか、その際にどのような異状があったのかなどの所見を書いてサインかハンコを押すようにしておけばいいでしょう。
・どのくらいの頻度で点検するべきか。実施可能な頻度となると思いますが、月に1度とか3ヵ月に1度とかといったかんじでしょうか。毎月できるのであれば、毎月する方がいいでしょう。なぜなら、3ヵ月に1度というのは、どうしても作業として忘れがちだからです。
<運用>
・上記の通り定めた様式に、サインやハンコなどで点検したことが分かる記録が必要です。
・特に、アクセスログは「点検は毎月してますが、点検した旨の記録は取っていません」ということがありがちです。上述の通り、「点検しました。異常なし。(ハンコ)」などの記録を残すことをお勧めします。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
2009年09月08日
プライバシーマーク取得事業者の事故の報告について
JIPDECのプライバシーマーク事務局が「FAQ:個人情報の取扱いにおける事故等の報告について(平成21年9月3日)」を発表しました。
http://privacymark.jp/privacy_mark/faq/accident_report.html
事故の報告について、制度上様々な混乱があってのことだと推察します。
プライバシーマーク認定事業者としては、事故の報告は、できれば避けたいものです。
しかし、プライバシーマーク事務局は、事故に対して欠格事項を定めている以上、認定事業者から報告してもらわないといけません。
(そもそもこの「欠格事項」の必要性は何なのかという話は、また別の大きな主題ですが。)
この事故の指定機関(JIPDEC等)への報告の根拠は、「プライバシーマーク制度設置及び運営要領」(平成20年8月8日改訂施行)の第19条の2「プライバシーマーク付与を受けた事業者は、個人情報の取扱いにおける事故等が発生した場合には、速やかに指定機関に報告しなければならない」にあります。
しかし、混乱の元凶は、この「事故等」の定義が、この「運営要領」にないことだと思います。
「事故等」? 「等」とは?
と考えてしまいます。
例えば、名刺入れを廊下に落として5秒後に拾ったのは、「事故等」なのか。
「等」に含まれるかもしれませんよね、定義がない以上。
「良識で判断できるでしょう」と言われればそうかもしれませんが、そもそも客観的に判断できない規定なら大した意味はないと思います。
そこで、プライバシーマーク事務局はFAQという形で、この条項を補っているのでしょう。
しかし、このFAQが、この「運営要領」の規定を支える根拠となり得るとの規定はないので、「FAQに従うと同意はしていないので、FAQに従う義務はないと考える」と主張する人も出てくるかもしれません。
しかも、このFAQでも、依然として「事故等」を定義していません。
ちなみに、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、「漏えい等(漏えい、滅失又はき損)の事故」と表記していますので、こちらは比較的具体的です。しかも、このガイドラインのこの部分は義務規定ではないということを考慮すれば、この程度の具体性でも十分かもしれません。
ですので、プライバシーマーク事務局にはぜひ、「事故等」を定義するか、経済産業省のガイドラインに合わせた表記をするなどして、一層の秩序をもたらしてほしいと思います。
個人的には、プライバシーマーク事務局の働きにはとても感謝しています。
今後も大きな期待を寄せていていますのでよろしくお願いします!
※これは法律や契約の解釈についての主張ではありません。当方は法律の専門家ではありませんので、法律や契約の解釈や正当性については法律の専門家にお尋ねください。
http://privacymark.jp/privacy_mark/faq/accident_report.html
事故の報告について、制度上様々な混乱があってのことだと推察します。
プライバシーマーク認定事業者としては、事故の報告は、できれば避けたいものです。
しかし、プライバシーマーク事務局は、事故に対して欠格事項を定めている以上、認定事業者から報告してもらわないといけません。
(そもそもこの「欠格事項」の必要性は何なのかという話は、また別の大きな主題ですが。)
この事故の指定機関(JIPDEC等)への報告の根拠は、「プライバシーマーク制度設置及び運営要領」(平成20年8月8日改訂施行)の第19条の2「プライバシーマーク付与を受けた事業者は、個人情報の取扱いにおける事故等が発生した場合には、速やかに指定機関に報告しなければならない」にあります。
しかし、混乱の元凶は、この「事故等」の定義が、この「運営要領」にないことだと思います。
「事故等」? 「等」とは?
と考えてしまいます。
例えば、名刺入れを廊下に落として5秒後に拾ったのは、「事故等」なのか。
「等」に含まれるかもしれませんよね、定義がない以上。
「良識で判断できるでしょう」と言われればそうかもしれませんが、そもそも客観的に判断できない規定なら大した意味はないと思います。
そこで、プライバシーマーク事務局はFAQという形で、この条項を補っているのでしょう。
しかし、このFAQが、この「運営要領」の規定を支える根拠となり得るとの規定はないので、「FAQに従うと同意はしていないので、FAQに従う義務はないと考える」と主張する人も出てくるかもしれません。
しかも、このFAQでも、依然として「事故等」を定義していません。
ちなみに、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、「漏えい等(漏えい、滅失又はき損)の事故」と表記していますので、こちらは比較的具体的です。しかも、このガイドラインのこの部分は義務規定ではないということを考慮すれば、この程度の具体性でも十分かもしれません。
ですので、プライバシーマーク事務局にはぜひ、「事故等」を定義するか、経済産業省のガイドラインに合わせた表記をするなどして、一層の秩序をもたらしてほしいと思います。
個人的には、プライバシーマーク事務局の働きにはとても感謝しています。
今後も大きな期待を寄せていていますのでよろしくお願いします!
※これは法律や契約の解釈についての主張ではありません。当方は法律の専門家ではありませんので、法律や契約の解釈や正当性については法律の専門家にお尋ねください。
2009年08月19日
最近の指摘事項の傾向と対策(35)「3.6 苦情及び相談への対応」
本日は「3.6 苦情及び相談への対応」に関する指摘事項の傾向と対策です。
(ガイドラインP. 62)
プライバシーマーク事務局は、苦情及び相談についてかなり注意をおいています。
したがって、審査員も、苦情や相談が来た時にちゃんと対応できるのか見るようです。
実際、事業者側できちんと苦情対応しないと、お客さんがJIPDECのプライバシーマーク事務局に苦情を申し立てることがあり、そうするとJIPDECから事業者に説明を求められたりして面倒です。
実務的な点でも、ある程度体制は整えておいた方がよさそうです。
<文書作成>
・基本的にはガイドラインに書いてあることを規定すればいいのですが、ここはやはり苦情や相談が来たときのための記録用の様式を用意しておくと審査もスムーズでしょう。
・匿名の場合でも受け付けるように規定しておくことをお勧めします。
(相談は匿名でもあり得ますよね。「御社の個人情報保護体制は大丈夫なんでしょうか」など)
・記録用の様式には、回答案を記入し、個人情報保護管理者の承認を得てから本人に回答することが明確にわかるような様式にするとよいでしょう。
・苦情や相談の内容及び対応結果を代表者に報告するようにガイドラインは求めています。
この部分も様式に含めておくといいでしょう。
(JISにはないのにガイドラインでは要求している。)
<運用>
・現地審査までに苦情や相談がなければ、「ありませんでした」と答えればいいでしょう。
・ただし、審査員からの「苦情や相談が来た場合の手順を説明してください」という質問には答えられるようにしておいた方がいいですね。
・その場合、規程を見せながら説明するよりも、上述の記録用の様式を見せながらステップ・バイ・ステップで説明するといいでしょう。
・そうすれば、視覚的に手順がわかりますので。
(言い換えると、そのくらいわかりやすい様式にするとよいということですね。)
・私の場合「苦情相談対応記録票」というようなものを用意して、そこを順番に埋めてゆけばよいようにしています。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
(ガイドラインP. 62)
プライバシーマーク事務局は、苦情及び相談についてかなり注意をおいています。
したがって、審査員も、苦情や相談が来た時にちゃんと対応できるのか見るようです。
実際、事業者側できちんと苦情対応しないと、お客さんがJIPDECのプライバシーマーク事務局に苦情を申し立てることがあり、そうするとJIPDECから事業者に説明を求められたりして面倒です。
実務的な点でも、ある程度体制は整えておいた方がよさそうです。
<文書作成>
・基本的にはガイドラインに書いてあることを規定すればいいのですが、ここはやはり苦情や相談が来たときのための記録用の様式を用意しておくと審査もスムーズでしょう。
・匿名の場合でも受け付けるように規定しておくことをお勧めします。
(相談は匿名でもあり得ますよね。「御社の個人情報保護体制は大丈夫なんでしょうか」など)
・記録用の様式には、回答案を記入し、個人情報保護管理者の承認を得てから本人に回答することが明確にわかるような様式にするとよいでしょう。
・苦情や相談の内容及び対応結果を代表者に報告するようにガイドラインは求めています。
この部分も様式に含めておくといいでしょう。
(JISにはないのにガイドラインでは要求している。)
<運用>
・現地審査までに苦情や相談がなければ、「ありませんでした」と答えればいいでしょう。
・ただし、審査員からの「苦情や相談が来た場合の手順を説明してください」という質問には答えられるようにしておいた方がいいですね。
・その場合、規程を見せながら説明するよりも、上述の記録用の様式を見せながらステップ・バイ・ステップで説明するといいでしょう。
・そうすれば、視覚的に手順がわかりますので。
(言い換えると、そのくらいわかりやすい様式にするとよいということですね。)
・私の場合「苦情相談対応記録票」というようなものを用意して、そこを順番に埋めてゆけばよいようにしています。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
|
|
