2014年08月06日

個人情報の識別性、誰から見て?

本日、平成26年度 プライバシーマーク付与事業者向け研修会に申し込みました。
http://privacymark.jp/seminar/2014member/index.html

「個人情報に関する法制度改正に向けた動き」といった議題もあり、少し期待しています。

申し込みフォームであらかじめ質問ができるようになっていたので、何か聞きたいことがあったな、と思いを巡らせていたら、ありました。

個人情報の識別性です。

個人情報保護法で個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)(個人情報保護法第2条1項)」となっています。

で、問題はこの場合の「識別することができる」とは、誰から見て「識別することができる」ことを指しているのか。

例えば、A社が自社が持つ個人データを匿名化し、B社に第三者提供する場合、すなわち、B社では特定の個人を識別できない「ユニーク番号、年齢、性別、嗜好」といった項目をA社がB社に第三者提供する場合、これは「B社において特定の個人を識別できないので第三者提供の制限は及ばない」と考えて良いのか、それとも、「それでもA社においてはユニーク番号によって特定の個人を識別できるわけであるから、B社で特定の個人を識別できるか否かにかかわらず、第三者提供の制限の要件を受け、あらかじめ本人の同意が必要である」のか、どちらなのか。

といったことを質問欄に書いたら、文字数オーバーでエラーに成った。(200文字以内だって。もう。)少し文字を省略して、何とか入れましたが。

弁護士の森亮二先生は、後者であるとおっしゃっているようです。
http://www.chubu.meti.go.jp/technology_jyoho/download/20130913/20130913moribengosi.pdf

もしかしたら、法律の専門家の分野では明確な結論が出ていることかもしれませんが、それでも前者であると捉えてマーケティングしている会社は実際にあるようです。

今回の法改正で、この部分がより明確になることを期待します。
posted by endo at 13:36| Comment(0) | TrackBack(0) | 日記

2014年06月26日

取引先と交換した名刺を使って広告メールや販促用のメルマガを送ることについて、本人の同意が必要か?

取引先と交換した名刺を使って広告メールや販促用のメルマガを送ることについて、本人の同意が必要か?

プライバシーマークの付与事業者専用サイトに明確に記述があります。
http://member.privacymark.jp/info/pms/34/post-21.php (Pマーク認定業者専用)
(引用)「(略)本人の事前の同意は不要です。この場合、取得の状況から、利用目的が明らかである範囲に含まれると考えて構いませんので、プライバシーマーク上でも問題ございません。 」

いまだに、勉強不足の審査員は「名刺交換した相手にメールマガジンを送る場合はあらかじめ同意が必要」などというので困ります。

ところで、この付与事業者専用サイトですが、言うまでもなくPマーク認定事業者しかアクセスできません。

なぜ、このような有益な情報を認定事業者にしか公開しないのかはわかりません。

また、このサイト、ログインIDとパスワードが認定業者に送られているはずなのですが、十分に活用されているとは思えません。
とてもいい情報なので、より利便性を高めて、より多くの関係者に利用してもらえるといいと思います。
posted by endo at 12:29| Comment(0) | TrackBack(0) | 日記

2014年04月07日

最近の法令等の更新状況

年度も改まったことですので、この2年の間で更新された主な法令やガイドライン等を挙げておきます。

ここに上げているのは、主なものだけです。
すべての事業者がこれを網羅しなくてはいけないわけではありませんし、逆にこれが全てというわけでもありません。

・JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―
最終改訂:2014年1月14日
http://privacymark.jp/reference/pdf/guideline_V2.0_140114.pdf

・労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(※派遣事業をしている会社)
http://law.e-gov.go.jp/htmldata/S60/S60HO088.html
最終改訂:2013年11月27日

・職業安定法(※有料職業紹介事業をしている会社)
最終改訂:2013年11月27日
http://law.e-gov.go.jp/htmldata/S22/S22HO141.html

・電気通信事業における個人情報保護に関するガイドライン(※電気通信事業者/デ協に申請する会社)
最終改訂:2013年9月9日
http://www.soumu.go.jp/main_content/000254517.pdf

・電気通信事業における個人情報保護に関するガイドラインの解説(※電気通信事業者/デ協に申請する会社)
最終改訂:2013年9月9日
http://www.soumu.go.jp/main_content/000254565.pdf

・不正アクセス行為の禁止等に関する法律
最終改訂:2013年5月31日
http://law.e-gov.go.jp/htmldata/H11/H11HO128.html

・職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が
均等待遇、労働条件等の明示、求職者等の個人情報の取扱い、職業紹介事業者
の責務、募集内容の的確な表示等に関して適切に対処するための指針(※有料職業紹介事業をしている会社)
最終改訂:2012年9月10日
http://www.mhlw.go.jp/bunya/koyou/dl/h241218-03.pdf

・特定商取引に関する法律(※通信販売(ネット含む)をしている会社)
最終改訂:2012年8月22日
http://law.e-gov.go.jp/htmldata/S51/S51HO057.html

・派遣元事業主が講ずべき措置に関する指針(※派遣業をしている会社)
http://www.mhlw.go.jp/general/seido/anteikyoku/jukyu/haken/youryou/dl/8shishin.pdf
最終改訂:2012年8月10日

・雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項
最終改訂:2012年6月11日
http://www.mhlw.go.jp/topics/bukyoku/seisaku/kojin/dl/161029kenkou.pdf

・雇用管理分野における個人情報保護に関するガイドライン(廃止:「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に対する指針」)
最終改訂:2012年5月14日
http://www.mhlw.go.jp/seisakunitsuite/bunya/koyou_roudou/roudouzenpan/privacy/dl/h24_357.pdf

*** スマホアプリを開発・配布している会社が追加を検討した方がよいガイドライン ***
* ・モバイルコンテンツ関連事業者のための個人情報保護ガイドライン 第2版(MCF)
* 最終改訂:2013年12月12日
* http://www.mcf.or.jp/privacymark/pdf/guideline_for_mobilecontent.pdf
*
* ・スマートフォン プライバシー イニシアティブ −利用者情報の適正な取扱いとリテラシー向上による新時代イノベーション−(総務省)
* 最終改訂:2012年8月7日
* http://www.soumu.go.jp/main_content/000171225.pdf
*
* ・スマートフォン プライバシー イニシアティブU 〜アプリケーションの第三者検証の在り方〜(総務省)
* http://www.soumu.go.jp/main_content/000236366.pdf
* 最終改訂:2013年7月
**********************************************************************************

ちなみに、地方の条例は、その自治体から直接業務を受託しているのでない限り、特定する必要はありません。
逆に、自治体等から個人情報の取扱を含む業務を受託している場合は、その自治体に関する条例を特定しなくてはなりません。
http://privacymark.jp/reference/pdf/kojinjoho_manage101109.pdf
posted by endo at 13:37| Comment(0) | TrackBack(0) | 日記

2013年11月13日

リスク分析に関する指摘

リスク分析に関して、時々このような指摘を受ける事業者があります。

-------------------------------------------------------------------
(1)認識しているリスクは“紛失”、“漏えい”、“盗難”等であり、具体的でない。各局面における具体的なリスクを特定すること。
(2)認識しているリスクは“紛失”、“漏えい”、“盗難”等であり、下記のような情報セキュリティ以外のリスクを認識していない。情報セキュリティ以外のリスクを認識し、リスク分析を実施すること。
-------------------------------------------------------------------

(1)は、リスクが具体的でないということです。
例えば、紛失と言っても「カバンを交通機関内で置き忘れる」のか「車上荒らしに合う」のか「飲み屋に忘れる」のか、どうなんだ、ということですね。

(2)は、リスクには情報セキュリティ以外のものもあって、例えば関連する法令、国が定める指針その他の規範に対する違反関係のリスクもあるでしょ、ということです。
「関連する法令、国が定める指針その他の規範に対する違反関係のリスク」に何があるのか、例を挙げてみましょう。
@ 従業者が目的外利用をする。
A 本人から取得する場合、所定事項の明示や同意を得ずに取得する。(直接書面の場合)
B 利用目的を本人に通知、又は公表せずに個人情報を取得する。(直接書面以外の場合)
C 委託元が違法に取得した個人情報を当社が預かって処理することで結果として当社が法令違反に問われる
D 広告メールを送信する旨同意を得ていないのにメルマガを送る(特電法違反)
などが考えられるでしょう。

このような指摘が出るのはリスク分析ツールのようなものを使って、自動的にリスク分析表のような帳票を出力しているケースに多いようです。

すべてのリスク分析ツールを否定するつもりはありません。リスク分析ツールのメリットとデメリットについてはいずれ取り上げたいと思いますが、リスク分析をツールで自動化すると上記のような指摘に対応するために、ツールそのもの、またはそれに食わせるデータを見直差ないといけないので、場合によってはかえってコストがかかることがあります。
posted by endo at 18:00| Comment(0) | TrackBack(0) | 日記

2013年11月07日

Pマーク更新のコンサル (2)

(つづき)
お客さん曰く「『Pマークの面倒な作業 全て請け負います』の文句に釣られてしまいました。」とのことでした。

前回の審査結果を見てみると、何と、更新であるにもかかわらず、すべての規程が入れ替えさせられていました。

もちろん、お客さんの希望で、現行規程類を全面的に見直したいということはあるでしょう。

しかし、これまで問題なく運用していたのに、コンサル都合で規程類を入れ替えるとはどういうことでしょう。

そのコンサルタントは、自分の会社が用意した規程でないとコンサル出来ないんでしょうか。
お客さんが現在運用している規程を読み解くことが出来ないんでしょうか。

通常、プライバシーマークの更新サポートでは、以下の点がポイントだと思っています。
1) お客さんの工数をできるだけ少なくする
2) 最近の指摘事項の動向を元に上記1)を踏まえながら、規程、記録類の見直しを行う(法令等の一覧も最新にしてあげる)
3) 現地審査後の指摘事項対応を素早く最小工数で実施する
4) お客さんの個別の要望があればそれを再優先に考える

なので、有無をいわさず規程を入れ替えさせるなんて信じられませんでした。

しかも、現地審査の際に審査員に「前のがよかったですね」と言われて、前のフォーマットに戻さざるを得なかったり。

しかもしかも、それはお客さんがやってコンサルタントはほとんど助言もしなかったというじゃありませんか。

たまたま、このコンサルタントが、たまたまこのお客さんに限って、このような質のサービスになってしまっただけなのかもしれません。

そのコンサルタントも、それなりのお考えがあってのことなのだろうと信じます。

ただ、この前の記事でも書きましたが、自分の会社にあったコンサルタントを選ぶというのは難しいなと思いました。
posted by endo at 17:44| Comment(0) | TrackBack(0) | 日記

2013年10月31日

Pマーク更新のコンサル

プライバシーマークを取得すると、更新時期にいろいろなコンサルティング会社から営業のコンタクトがたくさんあります。

プライバシーマークコンサルタントの私としては、事業者が自社に一番合ったサービスを選ぶのがベストだと思いますし、もしかしたらそれは必ずしも私ではないかもしれません。

一方で、コンサルティング会社選びは時に困難です。
というのも、実際に受けてみなければ自社に合ったコンサルティングかどうかわからないからです。
コンサルティング会社選定にあたっては、1)金額、2)信用が大きな要素になるでしょう。
1)はわかりやすいですが、2)は難しいですね。これについては、
@知人の意見や紹介
Aネット上のクチコミ
Bホームページ上の情報やダイレクトメールの情報
C営業の人の人柄
などが重要な要素になりそうですね。

コンサルタントを選定する担当者も大変だろうなと思います。

さて、先日、ある事業者さんのプライバシーマーク更新サポートに行ってきました。

このお客さんは、2年前の更新コンサルティング会社があまりにひどかったので、今回は当社にご依頼されたということでした。

このお客さん曰く「『Pマークの面倒な作業 全て請け負います』の文句に釣られてしまいました。」とのことでした。

前回の審査結果を見てみると…。

つづく
posted by endo at 10:31| Comment(0) | TrackBack(0) | 日記

2012年12月04日

「派遣元事業主が講ずべき措置に関する指針」が改正されています。

とは言っても、派遣登録(一般派遣、特定派遣)している会社でなければ関係ありません。

プライバシーマークの認定を受けている会社は、個人情報に関する法令を特定する必要があります。
その参考として最近の法令の改正状況を以前に書きました。
http://endo-endo.sblo.jp/article/59291973.html

その後改正が明らかになったものがありました。

「派遣元事業主が講ずべき措置に関する指針」です。

なぜか、「厚生労働分野における個人情報の適切な取扱いのためのガイドライン等」のページには最新のものがリンクされていません。
http://www.mhlw.go.jp/topics/bukyoku/seisaku/kojin/

ただ、調べてみると2012年8月10日に改正されていることがわかります。
http://wwwhourei.mhlw.go.jp/hourei/new/update/kai78h.pdf

その現物は以下のリンクにあります。
http://www.mhlw.go.jp/general/seido/anteikyoku/jukyu/haken/youryou/dl/8shishin.pdf

非常に見つけにくいです。
posted by endo at 13:05| Comment(0) | TrackBack(0) | 日記

2012年11月19日

リスク分析、残存リスクはどこまで書くか

プライバシーマークの認証基準であるJIS Q 15001の解説で「残存リスク」について以下の通り説明があります。

「すべてのリスクをゼロにすることは不可能であるから,現状で取り得る対策を講じた上で,未対応部分を残存リスクとして把握し,管理しなければならない。」

また、ガイドライン( http://privacymark.jp/reference/pdf/guideline_V2.0_160104.pdf#page=41 )では、「洗い出された個人情報について、ライフサイクルに応じてリスクを洗い出し、リスク分析を実施し、リスクに応じた対策を講じ、残存リスクを把握する手順が明確であること。」を求めています。

さて、どこまで残存リスクとして把握する必要があるのでしょう?

ガイドラインの40ページにヒントがあります。
http://privacymark.jp/reference/pdf/guideline_V2.0_160104.pdf#page=40
「...現状で取り得る対策を講じた上で、当面必要と考えられる未対応部分を残存リスクとして把握し管理することが必要である(事業者にとって対策不可能なことまで残存リスクとして把握し管理する必要はない)。」

つまり、「当面必要と考えられる未対応部分」が残存リスクとなります。
さらに、もともと会社にとって対策不可能なことは含めなくてよいとしています。

例えば、以下のようなリスクに対する未対応については、もともと会社にとって対策不可能なことなので、残存リスクに含める必要はないでしょう。
・悪意をもった社員による規定違反
・うっかりして紛失する
・それでもミスを犯す
・地震による建物崩壊
・テロリストによる爆破
・未知のセキュリティホールを利用した新手のハッカーによる攻撃
・予期できない障害により故障する

では、どのようなものが残存リスクになりうるのか。

これは各社で考えるべきでしょうがいくらか例を挙げたいと思います。

例1)「有効なアクセスログ取得手段がないので現在はアクセスログの点検は行わない」
最近ですと、本格的なファイルサーバーを社内に導入せず、ネットワークドライブやNAS(ネットワーク接続ストレージ)を利用している会社もあります。

そのような場合、機器にアクセスログ取得の機能が備わっていなかったり、あまり役立つほどの機能でなかったりすることがあります。

そのような場合は、この際「当社ではアクセスログの点検はやらない。その際のリスクは会社でのむ」と判断して、残存リスク欄に上記のように記入することができるでしょう。

例2)「バックアップは本体装置と同じ場所に保管しているため災害の際は同時に使用不可となる可能性がある」

火災などの災害を考えると、バックアップ媒体は本体とは別の場所に保管するのがベストでしょう。

しかし、夜間自動でバックアップするなど、バックアップに人手が介入しない運用の場合、バックアップ媒体を日々別の場所に移動するのは人的コストがかかり過ぎ、その割に確保できる安全性に大きな違いがないというケースが考えられます。

そのような場合は、この際「バックアップ媒体が一緒に燃えたら燃えたでまた紙伝票から打ち直せばいい。だからバックアップ媒体は本体と同じ場所でよい」と判断して、残存リスク欄に上記のように記入することができるでしょう。

他にも、委託先から契約書の締結を断られた、とか、情報システムのアクセス範囲を部署ごとに絞ることができないなど、「当面必要と考えられる未対応部分」というのはいくらかあるかもしれません。

それらを残存リスクとして記述するといいでしょう。

以前、残存リスク欄に空欄があると、「残存リスクがないはずはないでしょう。ヒューマンエラーはどうなんですか?」など言って指摘事項とする審査員もいくらかいましたが、このガイドラインによって残存リスクの範囲が明確になったので、このような指摘をすることはなくなりました。

むしろ、「対策しようがない残存リスクは削除しなさい。そうしないと本当の残存リスクが見えないでしょ」と指摘されるケースが増えています。
※ガイドラインのリンク先を更新しました。2016年7月21日
posted by endo at 11:35| Comment(0) | TrackBack(0) | 日記

2012年11月01日

理解度確認テストの合格点は何点以上でないといけないのか?

プライバシーマークの認証基準であるJIS Q 15001では、従業者に対する教育を求めています。

また、ガイドライン( http://privacymark.jp/reference/pdf/guideline_V2.0_120907.pdf#page=135 )では、受講者の理解度を確認することを求めています。

したがって、教育後、テストを実施することが一般的です。
(アンケートという方法もありますが、理解されたかどうかの判断が難しいところです。
明らかに、「理解しましたか?」という設問では、理解したことを確認できないでしょう。)

さて、この理解度テスト、何点以上を合格点とするか?
何点以下なら再試験とするか?

テストの作り方にもよりますが、私は合格点という考え方はナンセンスだと思います。

というのは、業務上理解しておいて欲しい事項は全て理解してもらわなければならず、テストが99点でも、間違った1点を放置していいことにはならないからです。

じゃぁ、100点でなかった人は全員、補講や追試が必要なのか?

そこまでの要求はありません。

例えば、テストを採点して、正解と一緒に本人に戻し、理解したらそのテストを返してもらう方法もあるでしょう。

あまりにもナメた解答だったら、採点して本人に返し、もう一度同じテストをやらせて、少しまともになったら正解と一緒に本人に戻し、理解したらそのテストを返してもらうという方法もあるでしょう。
(まじめに答えている人と同じ扱いでは不公平ですよね。)

もちろん、正解になるまで次に進めないい設計のe-learningも有効です。

上記のいずれの方法でも審査で問題になることはないはずです。

結局、必要なことを理解してもらうことが重要ということですかね。
posted by endo at 22:54| Comment(0) | TrackBack(0) | 日記

2012年10月31日

個人情報の入力画面で同意を得る内容は「個人情報保護方針」ではない

プライバシーマークの認定を受けている会社は、ウェブサイトなどで個人情報を取得する場合、その個人情報の利用目的などを明示して本人から同意を得る必要があります。

この明示する内容を「個人情報保護方針」としている会社が意外と多く、プライバシーマーク的には正しくないです。(サイトの作り方により例外はあります。)

理由は、ウェブサイトで個人情報を取得する場合は、JISの「3.4.2.4 本人から直接書面によって取得する場合の措置」に従って、同箇条のa)〜h)を示す必要があり、この内容は個人情報の取得の状況ごとに異なるからです。(例えば、お問い合わせ用の画面の利用目的とスタッフ募集用の画面の利用目的は異なるでしょう。)

一方で、「個人情報保護方針」は、1法人1文書ですので、全体的なことしか記述されていません。

したがって、「個人情報保護方針」内容を示しても、JIS 3.4.2.4のa)〜h)を示したことにはなりません。

同様に、その会社で扱っている全ての個人情報の利用目的を示したページを示して同意を得ているケースも正しくありません。

なぜなら、個人情報を取得する場合に示す利用目的は、「その個人情報」の利用目的だからです。例えば、お問い合せフォームであれば「お問い合わせに適切に対応するため」というのがそこで示されるべき利用目的でしょう。その利用目的の他に「採用業務を適切に遂行するため」とか「伝票の印刷・発送サービス等の情報処理サービスを受託業務として行うため」などということも書かれてあって、それにも同意しなくてはならないとしたら合理的ではないでしょう。

プライバシーマークの認定を受けた直後は正しくできていたのかもしれませんが、サイトを改修したり、会社が合併したり、担当者が変わったりしてうまくフォローできていないのかもしれません。

プライバシーマークの更新認定の際にはしっかり確認され、正しくできていなければ指摘を受けますので、心配な方は今一度ご確認されることをお勧めします。
posted by endo at 12:08| Comment(0) | TrackBack(0) | 日記

2012年10月24日

個人情報管理台帳の「件数」

プライバシーマークの認定基準であるJIS Q 15001:2006の「3.3.1 個人情報の特定」では、
「事業者は,自らの事業の用に供するすべての個人情報を特定するための手順を確立し,かつ,維持しなければならない。」
としていて、具体的には個人情報の一覧表、いわゆる「個人情報管理台帳」(以下「台帳」)のようなものを整備することを要求しています。

この台帳の項目に何が必要かというのは「JIS Q 151:26をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」http://privacymark.jp/reference/pdf/guideline_V2.0_120907.pdf
のP. 36が参考になります。

その必須項目のひとつに「件数」があります。

同ページの注意書きには「※ 件数は概数でよい。台帳管理の主旨は、1件残らず漏れなく管理していることの証明ではなく、組織内での個人情報の取扱状況を把握することにある」とあります。

つまり、正確な件数を把握するのではなく、むしろどれだけの数の個人情報が社内にある、または流れているのかを把握して欲しいということです。

これはすなわち、件数が多いものは、少ないものよりも注意を払う必要があるだろうし、個人情報の件数規模を把握することはリスク対策にも影響するだろうという理由からでしょう。

そこで、最近の審査では、件数を単に「○○件」と表記するのではなく、「○○件/年」、「○○件/月」、「○○件/累計」などと表記することを求められることが多くなってきています。
(この場合も、大体の平均で結構です。)

通常1年以上保管するものについては「累計」表記でいいでしょう。

一方で、例えば1回500人位を対象とするキャンペーンを年に4回実施し、個人情報はキャンペーン終了から1ヵ月以内に消去するのであれば、「2000件/年」などの表記の方が正しく規模を把握できるでしょう。

あるいは、毎月10人程度の応募があって、その際の個人情報は2週間程度でで消去するのであれば、「10件/月」の方がわかりやすいかもしれません。

次回、個人情報管理台帳の見直しをするときは、この点も考慮するといいかもしれません。

どのような表記がベストか困ったら、ご契約されているコンサルタントに尋ねるか、弊社までご連絡ください。(^^)v

http://www.optima-solutions.jp/inquiry/index.html
posted by endo at 13:11| Comment(0) | TrackBack(0) | 日記

2012年10月17日

最近の法令や指針等の改正状況

プライバシーマークの更新審査のために、個人情報に関する法令や指針のガイドラインの改正状況をリストします。

すべての事業者がここにある法令等をすべてリストアップしなくてはいけないわけではありません。

例えば、派遣業をしていない会社であれば、派遣関係の法令や指針はリストアップする必要はありません。

法令等のリストは、長くなれば長くなるほどメンテナンスが困難になるので、関係ないものは載せないようにしましょう。

その一方で、リストアップしてある法令の最終改訂日が古いと、更新審査で指摘になりますので、このあたりは審査前に確認しておきたいところです。

最近改訂されているものを新しい順から並べておきます。
ご参考まで。他にも気になるものがありましたらぜひ教えてください。

・JIS Q 151:26をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―
最終改訂:2012年9月5日
http://privacymark.jp/reference/pdf/guideline_V2.0_120907.pdf

・特定商取引に関する法律
最終改訂:2012年8月22日
http://law.e-gov.go.jp/htmldata/S51/S51HO057.html

・雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項について
最終改訂:2012年6月11日
http://www.mhlw.go.jp/topics/bukyoku/seisaku/kojin/dl/161029kenkou.pdf

・雇用管理分野における個人情報保護に関するガイドライン(廃止:「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に対する指針」)
最終改訂:2012年5月14日
http://www.mhlw.go.jp/seisakunitsuite/bunya/koyou_roudou/roudouzenpan/privacy/dl/h24_357.pdf

・労働者派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備等に関する法律
最終改訂:2012年4月6日
http://law.e-gov.go.jp/htmldata/S60/S60HO088.html

・不正アクセス行為の禁止等に関する法律
最終改訂:2012年3月31日
http://law.e-gov.go.jp/htmldata/H11/H11HO128.html

・特定電子メールの送信の適正化等に関する法律
最終改訂:2011年6月24日
http://law.e-gov.go.jp/htmldata/H14/H14HO026.html
posted by endo at 10:09| Comment(0) | TrackBack(0) | 日記

2012年10月05日

「審査基準が変更になりましたので、対応をお願いします」

プライバシーマークの更新申請をすると、近ごろ文書審査で上記のようなコメントがついてくることがあります。

「何だよ勝手に審査基準変えるなよ。2年前は問題なかったじゃないか」と言いたくなります。

これは最近JIPDECが「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン【第2版】」(以下「ガイドライン」といいます。)
http://privacymark.jp/reference/pdf/guideline_V2.0_120907.pdf
を厳密に適用した審査に移行したためです。

このガイドライン自体は2年以上前からあったのですが、審査基準を急に変えると混乱が生じるので、それを避けたため今頃の移行となったと思われます。

さて、どのようなポイントが変更になったか、以下に簡単にまとめます。

ガイドラインのページ番号を参照しながら挙げていきます。

P. 59 「4 審査の項目とその着眼点」
2.
本人以外から個人情報を取得する場合(受託による取得を含む)、
提供元又は委託元が個人情報を適正に取り扱っていることを確認するよう規定していること。

P. 24 「4 審査の項目とその着眼点」
2(3)
リスク対策は事業者の代表者の承認を得て決定していること。

P. 81 「4 審査の項目とその着眼点」
5(1)
定めた手順に従い、共同利用者との間で必要事項について取り決めていること。

P. 87 「4 審査の項目とその着眼点」
7(1)
定めた手順に従い、共同利用者との間で必要事項について取り決めていること。

P. 112 「4 審査の項目とその着眼点」
7(1)
ビデオ及びオンラインによる従業者のモニタリングを実施する場合、
その措置の実施について規定していること。

文書審査については、上記の点を見直すだけで、かなり指摘が減るでしょう。

また、上記のそれぞれの「現地審査の項目」と「審査の着眼点」を確認するのも有益です。

ご契約されているコンサルタントに、これを見せて「どう対応したらいいのか教えて」とリクエストするのもいいでしょう。

あるいは、弊社までご連絡ください。(^^)v

http://www.optima-solutions.jp/inquiry/index.html
posted by endo at 18:33| Comment(0) | TrackBack(0) | 日記

2011年03月28日

青森県、岩手県、宮城県、福島県、茨城県に本社のある事業所のPマーク更新申請期限を緩和

JIPDECのプライバシーマーク事務局によると青森県、岩手県、宮城県、福島県、茨城県に本社のある事業所で、平成23年10月末日までに有効期間の満了を迎える対象事業者については、申請期限を迎えた後も有効期間の満了日まで申請を受け付るそうです。

東北地方太平洋沖地震により被災された付与事業者の皆様へ
〜更新申請期間の取扱いについて〜
http://privacymark.jp/news/2011/0325/index.html

実際はそこに本社がなくても、支社や関連企業がその地域にあったりしてプライバシーマークどころではない会社はたくさんあるでしょう。

その場合、どうすべきか。

とりあえず、自分の会社の審査機関に電話してみることをお勧めします。
悪い結果にはならないはずです。
posted by endo at 15:56| Comment(0) | TrackBack(0) | 日記

2010年11月10日

JIPDEC - 個人情報の取扱いの再確認について(注意喚起)-

プライバシーマーク事務局が、「個人情報の取扱いの再確認について(注意喚起)」の文書を発行しました。

要するに、各自治体の条例も意識して遵守しなさいということのようです。

最近、審査の現場では、JISの「3.3.2 法令、国が定める指針その他の規範」において、地方にある拠点の条例は特定しなくてもいい旨のコメントをされる審査員もいて、これは最近の審査の傾向でした。

少しルーズになりすぎたということでしょうか。
再度揺り戻して、拠点所在地の地方自治体の条例は特定するべきと考えた方がよさそうですね。

http://privacymark.jp/reference/pdf/kojinjoho_manage101109.pdf

ただ、派遣社員が勤務している場所の条例までは特定しなくてもいいと思います。
posted by endo at 13:14| Comment(0) | TrackBack(0) | 日記

2010年09月29日

(セミナー案内)「プライバシーマーク取得って大変なの?」〜6か月でPマークを取得するコツ〜

本日は弊社主催のPマーク セミナーのご案内です。

参加費は5,000円(当日申込8,000円)のところ、インターネットで事前申込みいただければ無料です。

日時:2010年10月12日(火)14時受付開始(〜16時半)
対象者:対象者:プライバシーマーク取得を検討している企業の方
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
※インターネット申込み特典として事前予約時の参加費は無料といたします。
会場:東京国際フォーラム

お申込みは以下のリンクから。
http://www.optima-solutions.jp/seminar/index.html
(満席になり次第受付を終了します。)

内容は以下の通りです。

第1部 6か月でPマークを取得するコツ
 ・Pマークとは何なのか?・素早く、あまりお金をかけずに、手間も節約して取る方法とは。
 講師:弊社代表取締役 中 康二(なか こうじ)

第2部 これなら、わかる!プライバシーマーク取得のツボ
 ・Pマーク取得までの一連の作業内容を、順を追ってご説明。
 講師:弊社シニアコンサルタント・遠藤 朝永

無料診断
 質問表にチェックするだけで、御社の現状がよく分かる。

質疑応答
 不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。

最近の指摘事項の傾向や自力取得(自社取得)との比較にも触れられればと思っています。

お申し込みをお待ちしております。
http://www.optima-solutions.jp/seminar/index.html
posted by endo at 16:55| Comment(0) | TrackBack(0) | 日記

2010年09月21日

「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」、ダウンロード開始

「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン第二版 [単行本]」が業界で話題になりましたが、PDF版のダウンロードが始まりました。

無料ですが、単行本との違いはJISの引用がないことです。

私としては、JIS規格票を買うのであれば、単行本を買わなくてもこちらのPDFがあれば十分だと思います。

逆に単行本があれば、JIS規格票を買わなくても済むかもしれません。特にコンサルを起用する企業は、単行本1冊あれば事足りるでしょう。

「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」(PDF:1831KB)
http://privacymark.jp/reference/pdf/guideline_V2.0_100917.pdf

[単行本]
http://www.amazon.co.jp/dp/4542305376/
posted by endo at 07:34| Comment(0) | TrackBack(0) | 日記

2010年09月06日

オプティマ・ソリューションズ株式会社がプライバシーマーク認定

正直、今さら感があるのですが、当社(オプティマ・ソリューションズ株式会社)がプライバシーマーク認定されました。
認定番号:22000095(01)
http://www.csaj.jp/pmark/Ninteikigyo_list.html

長年にわたるPマーク・コンサルティング業務では定評があるものの、やはり自社が取得していないのはいかがなものかということで、このたび申請して認定を受けました。

これからもよろしくお願いいたします。
posted by endo at 09:49| Comment(0) | TrackBack(0) | 日記

2010年09月02日

(セミナー案内) 「プライバシーマーク取得って大変なの?」 〜6か月でPマークを取得するコツ〜

本日は弊社主催のPマーク セミナーのご案内です。

参加費は5,000円(当日申込8,000円)のところ、インターネットで事前申込みいただければ無料です。

日時:2010年9月14日(火)14時受付開始(〜16時半)
対象者:対象者:プライバシーマーク取得を検討している企業の方
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
※インターネット申込み特典として事前予約時の参加費は無料といたします。
会場:東京国際フォーラム

お申込みは以下のリンクから。
http://www.optima-solutions.jp/seminar/index.html
(満席になり次第受付を終了します。)

内容は以下の通りです。

第1部 6か月でPマークを取得するコツ
 ・Pマークとは何なのか?・素早く、あまりお金をかけずに、手間も節約して取る方法とは。
 講師:弊社代表取締役 中 康二(なか こうじ)

第2部 これなら、わかる!プライバシーマーク取得のツボ
 ・Pマーク取得までの一連の作業内容を、順を追ってご説明。
 講師:弊社シニアコンサルタント・遠藤 朝永

無料診断
 質問表にチェックするだけで、御社の現状がよく分かる。

質疑応答
 不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。

最近の指摘事項の傾向や自力取得(自社取得)との比較にも触れられればと思っています。

お申し込みをお待ちしております。
http://www.optima-solutions.jp/seminar/index.html
posted by endo at 12:36| Comment(0) | TrackBack(0) | 日記

2010年08月31日

プライバシーマーク事務局が「平成21年度 消費者相談受付対応概要」を公表

プライバシーマーク事務局が、平成19年から平成21年までに受付けた個人情報に係る苦情・相談等(以下「相談」)の概要を発表しました。

相談件数について、平成21年度は前年の約1.5倍とのこと。
(プライバシーマーク(ロゴ)の不正使用に関する情報提供が増加)

この要約だけを見ても具体的にどのような相談があったのかはわかりませんが、プライバシーマーク事務局は「事業者における留意点等も紹介した『相談事例集』を後日公表する予定」としているので、そちらに期待したいと思います。

また、「個人情報に係る苦情・相談等」ということですので、審査に関する苦情・相談等は(内容から見て)、含まれていないのではないかと思われます。

プライバシーマーク事務局は、最近特に、情報公開について積極的にされていますので、これからも注目していきたいと思います。

(プライバシーマーク事務局)
http://privacymark.jp/

((平成21年度)「消費者相談受付対応概要」について)
http://privacymark.jp/reference/pdf/H21SoudanGaiyou_100830.pdf
posted by endo at 12:49| Comment(0) | TrackBack(0) | 日記