2010年08月26日

最近の指摘事項の傾向と対策(36)「3.7 点検」の「3.7.1 運用の確認」

本日は「3.7 点検」の「3.7.1 運用の確認」に関する指摘事項の傾向と対策です。
(ガイドラインP. 63)

JISの「3.7 点検」には大きくふたつの要求があります。
ひとつは、「3.7.1 運用の確認」で、これは日常的な運用確認で、主に現場で行われるでしょう。

もうひとつは、「3.7.2 監査」で、これは定期的(最低年に1度)行うものであり、監査責任者が指揮します。

今日はその内の「3.7 点検」の方です。

<文書作成>
・ガイドラインには次の3点は点検の記録を残せと言っていますから、それは規定する必要があるでしょう。
 a)最終退出時の社内点検(施錠確認等)の記録を残し、定期的に確認すること
 b)最初に出社した人と最後に退社した人の記録を残し、定期的に確認すること
 c)個人情報を格納した情報システムへのアクセスログを取得し、定期的に確認すること
・審査員によっては、これに加えて、ファイル交換ソフトウェア(Winny やShare など)をインストールしていないことも、点検して記録を残すように指摘する方もいます。
・ついでに、ウィルス対策ソフトやスクリーンセーバの設定状況やパスワードの変更状況を確認するようにすると一層安心できますね。(面倒ですが。)
・会社として何をどの頻度で点検するのかを定めておき、点検時期に点検漏れが生じないようにチェックリストのようなものを用意しておくといいでしょう。
・上記点検項目のa)とb)は、会社に最初入室者と最後退室者を記録するようなものを用意し、社員に記入させるようにし、毎月1度、個人情報保護管理者がその用紙に確認印を押すようにすればいいでしょう。
・上記点検項目のc)ですが、これはすべての個人情報について実施を求めているものではありません。ファイルサーバなどを用いて情報を共有しているのであれば、そのファイルサーバのアクセスログを点検するといった程度でいいでしょう。
・アクセスログですが、Pマークのためだけにわざわざ高価なログ取得システムを導入する必要はありません。もちろん、重要な情報を保有していて、何かあった場合に会社に大きなダメージがあると考えられるのであれば、Pマークの審査とは関係なく、会社のリスク管理の一環として導入するのは有益でしょう。会社によっては例えばWindowsのイベントビューアで確認するので十分ということもあるかもしれません。
・最近のLANディスクにはアクセスログをとる機能のあるものもあるので、それを利用する手もあります。ただ、どのくらいの期間のログが残るのかという点は考慮するべきでしょう。
・アクセスログの点検の記録はどのように残すのか。アクセスログをすべて印刷する必要はもちろんありません。いつ、どのサーバのアクセスログを点検したのか、その際にどのような異状があったのかなどの所見を書いてサインかハンコを押すようにしておけばいいでしょう。
・どのくらいの頻度で点検するべきか。実施可能な頻度となると思いますが、月に1度とか3ヵ月に1度とかといったかんじでしょうか。毎月できるのであれば、毎月する方がいいでしょう。なぜなら、3ヵ月に1度というのは、どうしても作業として忘れがちだからです。

<運用>
・上記の通り定めた様式に、サインやハンコなどで点検したことが分かる記録が必要です。
・特に、アクセスログは「点検は毎月してますが、点検した旨の記録は取っていません」ということがありがちです。上述の通り、「点検しました。異常なし。(ハンコ)」などの記録を残すことをお勧めします。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 17:48| Comment(0) | TrackBack(0) | 日記

2009年09月08日

プライバシーマーク取得事業者の事故の報告について

JIPDECのプライバシーマーク事務局が「FAQ:個人情報の取扱いにおける事故等の報告について(平成21年9月3日)」を発表しました。
http://privacymark.jp/privacy_mark/faq/accident_report.html

事故の報告について、制度上様々な混乱があってのことだと推察します。

プライバシーマーク認定事業者としては、事故の報告は、できれば避けたいものです。

しかし、プライバシーマーク事務局は、事故に対して欠格事項を定めている以上、認定事業者から報告してもらわないといけません。

(そもそもこの「欠格事項」の必要性は何なのかという話は、また別の大きな主題ですが。)

この事故の指定機関(JIPDEC等)への報告の根拠は、「プライバシーマーク制度設置及び運営要領」(平成20年8月8日改訂施行)の第19条の2「プライバシーマーク付与を受けた事業者は、個人情報の取扱いにおける事故等が発生した場合には、速やかに指定機関に報告しなければならない」にあります。

しかし、混乱の元凶は、この「事故等」の定義が、この「運営要領」にないことだと思います。

「事故等」?  「等」とは?
と考えてしまいます。

例えば、名刺入れを廊下に落として5秒後に拾ったのは、「事故等」なのか。
「等」に含まれるかもしれませんよね、定義がない以上。

「良識で判断できるでしょう」と言われればそうかもしれませんが、そもそも客観的に判断できない規定なら大した意味はないと思います。

そこで、プライバシーマーク事務局はFAQという形で、この条項を補っているのでしょう。

しかし、このFAQが、この「運営要領」の規定を支える根拠となり得るとの規定はないので、「FAQに従うと同意はしていないので、FAQに従う義務はないと考える」と主張する人も出てくるかもしれません。

しかも、このFAQでも、依然として「事故等」を定義していません。

ちなみに、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、「漏えい等(漏えい、滅失又はき損)の事故」と表記していますので、こちらは比較的具体的です。しかも、このガイドラインのこの部分は義務規定ではないということを考慮すれば、この程度の具体性でも十分かもしれません。

ですので、プライバシーマーク事務局にはぜひ、「事故等」を定義するか、経済産業省のガイドラインに合わせた表記をするなどして、一層の秩序をもたらしてほしいと思います。

個人的には、プライバシーマーク事務局の働きにはとても感謝しています。

今後も大きな期待を寄せていていますのでよろしくお願いします!

※これは法律や契約の解釈についての主張ではありません。当方は法律の専門家ではありませんので、法律や契約の解釈や正当性については法律の専門家にお尋ねください。
posted by endo at 12:34| Comment(1) | TrackBack(0) | 日記

2009年08月19日

最近の指摘事項の傾向と対策(35)「3.6 苦情及び相談への対応」

本日は「3.6 苦情及び相談への対応」に関する指摘事項の傾向と対策です。
(ガイドラインP. 62)

プライバシーマーク事務局は、苦情及び相談についてかなり注意をおいています。
したがって、審査員も、苦情や相談が来た時にちゃんと対応できるのか見るようです。
実際、事業者側できちんと苦情対応しないと、お客さんがJIPDECプライバシーマーク事務局に苦情を申し立てることがあり、そうするとJIPDECから事業者に説明を求められたりして面倒です。
実務的な点でも、ある程度体制は整えておいた方がよさそうです。

<文書作成>
・基本的にはガイドラインに書いてあることを規定すればいいのですが、ここはやはり苦情や相談が来たときのための記録用の様式を用意しておくと審査もスムーズでしょう。
・匿名の場合でも受け付けるように規定しておくことをお勧めします。
 (相談は匿名でもあり得ますよね。「御社の個人情報保護体制は大丈夫なんでしょうか」など)
・記録用の様式には、回答案を記入し、個人情報保護管理者の承認を得てから本人に回答することが明確にわかるような様式にするとよいでしょう。
・苦情や相談の内容及び対応結果を代表者に報告するようにガイドラインは求めています。
 この部分も様式に含めておくといいでしょう。
 (JISにはないのにガイドラインでは要求している。)

<運用>
・現地審査までに苦情や相談がなければ、「ありませんでした」と答えればいいでしょう。
・ただし、審査員からの「苦情や相談が来た場合の手順を説明してください」という質問には答えられるようにしておいた方がいいですね。
・その場合、規程を見せながら説明するよりも、上述の記録用の様式を見せながらステップ・バイ・ステップで説明するといいでしょう。
・そうすれば、視覚的に手順がわかりますので。
 (言い換えると、そのくらいわかりやすい様式にするとよいということですね。)
・私の場合「苦情相談対応記録票」というようなものを用意して、そこを順番に埋めてゆけばよいようにしています。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 15:44| Comment(0) | TrackBack(0) | 日記

2009年08月18日

最近の指摘事項の傾向と対策(34)「3.5.2 文書管理」と「3.5.3 記録の管理」

本日は「3.5.2 文書管理」と「3.5.3 記録の管理」に関する指摘事項の傾向と対策です。
(ガイドラインP. 60-61)

まず、「文書」とは何か。

というのも、JIS Q 15001には、「文書」と「記録」という単語が使われていますが、それをこの規格自体には明確に定義されておらず、慣れないと混乱する可能性があるからです。

<定義>
文書:情報及びそれを保持する媒体。(JIS Q 9000:2006)
情報:意味のあるデータ。(JIS Q 9000:2006)
記録:達成した結果を記述した、又は実施した活動の証拠を提供する文書。(JIS Q 9000:2006)

したがって、「個人情報保護マネジメントシステム文書」といった場合、(a)個人情報保護マネジメントシステムを運用するために必要な明文化したルール群と、(b)それを運用する上で生じた活動の記録、の両方を含むと考えられます。

しかし、「個人情報保護マネジメントシステム文書」は、狭義には、(b)を除いた(a)、すなわち、記録を除いた明文化されたルール群を指すこともあります。

「3.5.2 文書管理」では、この狭義の「個人情報保護マネジメントシステム文書」の管理について要求しています。
(なので、わざわざ「この規格が要求するすべての文書(記録を除く。)」などと表現しているのです。)

そして(b)の管理については、次の「3.5.3 記録の管理」で要求しています。

「3.5.2 文書管理」で対象となるのは、いわゆる「○○規程」とか「○○細則」とか「○○マニュアル」といった類のものになるでしょう。

これらは、定期・不定期に見直され、改訂されます。

「3.5.3 記録の管理」で対象となるのは、例えば「入退館管理記録」とか「教育理解度テスト」とか「監査実施記録」とか「アクセスログ点検記録」などなど、自社のプライバシーマークに関する制度を実施する上で生じるあらゆる記録がこれに含まれます。

記録は通常改訂されません。というのも、記録の内容を改訂したら偽装になるからです。

記録を作成しやすいように、通常は「○○チェックリスト」や「○○申請書」などという定型様式を用意することもあります。

私たちはよくこれを「様式」とか「様式類」と言いますが、「様式」という単語はJIS Q 15001には定義されていません。

これを会社の就業規則になぞらえてみると、
「就業規則」= 狭義の「個人情報保護マネジメントシステム文書」
書き込み用の中身空白の「交通費清算用紙」=「様式類」
書き込んで提出された「交通費清算用紙」=「記録」
と考えることができるでしょう。

さて、審査の傾向と対策についてですが、「3.5.2 文書管理」の要求事項を満たすため「文書管理台帳」というようなものを作成し、そこに文書の発行・改訂日、改訂の内容と版数が書かれていれば問題ないでしょう。

この「文書管理台帳」に「記録」を含めるかどうかということですが、含める方が印象が良いようです。

審査員は、PMSの規程類と記録類の全体像を眺められる方が審査しやすいからでしょう。

「記録」については、「文書管理台帳」に含めるにしろ含めないにしろ、それぞれについて「保管期間」、「保管場所」、「保管責任者」くらいは定義しておいた方が良いでしょう。

また、この記録について、個人情報が含まれるものについては、「3.3.1 個人情報の特定」の要求事項に従って特定する必要があるでしょう。つまり、「個人情報管理台帳」とか「個人情報一覧表」に載せるということです。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 11:30| Comment(0) | TrackBack(0) | 日記

2009年08月13日

「プライバシーマーク運用・更新セミナー」〜次の更新までに何をすればいいのかを教えます〜

本日は弊社主催のPマーク セミナーのご案内です。

事前予約いただきますと割引があります。

日時:2009年9月3日(木)14:20〜16:30 (14:00受付開始)
対象者:プライバシーマーク取得済み事業者(JIS Q 15001:2006準拠)のご担当者様
参加費:1社2名様まで 事前予約8,000円 当日申込10,000円
会場:東京国際フォーラム ガラス棟G408会議室

お申込みは以下のリンクから。
http://www.optima-solutions.jp/seminar/090903.html
(満席になり次第受付を終了します。)

内容は以下の通りです。

第1部 プライバシーマーク運用・更新のポイント!
  ・プライバシーマーク更新・更新のポイントをまとめて、分かりやすくご説明いたします。
  講師:弊社代表取締役 中 康二(なか こうじ)
第2部 プライバシーマーク更新をスムーズに乗り切るには?
  ・リスク管理表・審査対応を中心に、実務的な更新のノウハウを教えます!
  講師:遠藤 朝永
無料診断&質疑応答
  ・不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。

特定の機微な情報(センシティブ情報)の取扱いに関しても触れたいと思います。

お申し込みをお待ちしております。
posted by endo at 17:17| Comment(0) | TrackBack(0) | 日記

2009年08月12日

最近の指摘事項の傾向と対策(33)「3.5.1 文書の範囲」

本日は「3.5.1 文書の範囲」に関する指摘事項の傾向と対策です。
(ガイドラインP. 59)

<文書作成>
・以下の文書が、自社のプライバシーマークに関する制度においてはどういう規程や様式に該当するのかを定めるとよいでしょう。
 a) 個人情報保護方針
 b) 内部規程
 c) 計画書
 d) この規格が要求する記録及び事業者が個人情報保護マネジメントシステムを実施する上で必要と判断した記録
・一般的には「文書管理台帳」というものを用意して、そこに自社の規程類や様式類を定めます。

<運用>
・この項目についての審査は、次の「3.5.2 文書管理」と「3.5.3 記録の管理」で見ると思って良いでしょう。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 10:24| Comment(0) | TrackBack(0) | 日記

2009年08月05日

最近の指摘事項の傾向と対策(32)「3.4.5 教育」

本日は「3.4.5 教育」に関する指摘事項の傾向と対策です。
(ガイドラインP. 58)

<文書作成>
・ガイドラインの通りに規定すればいいでしょう。
・特に理解度を確認する旨手順が定められている必要があります。


<運用>
・プライバシーマークでは、毎年、個人情報保護に関する教育研修をする必要があります。
・運用においては何と言っても、全従業者が教育を受けたことを示す記録が重要です。
・教育は全従業者同一の内容でなくても構いません。
 社外取締役には、教育資料を配布するだけということになるかもしれません。
 パートやアルバイトの方には、A4の紙に注意事項をまとめたものを配布して、理解してもらった上で非開示に関する誓約書にサインしてもらうなどの手順でもいいでしょう。
・全従業者の一覧を作成し、そこに「理解度テストの点数」、「誓約書の提出」、「個人情報提供の同意書」の欄を設けると、網羅性を確保でき便利です。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 16:20| Comment(0) | TrackBack(0) | 日記

2009年07月08日

「プライバシーマーク運用・更新セミナー」〜より容易に運用できるマネジメントシステムを実現する方法〜

本日は弊社主催のPマーク セミナーのご案内です。

事前予約いただきますと割引があります。

日時:2009年7月16日(木)14:20〜16:30 (14:00受付開始)
対象者:プライバシーマーク取得済み事業者(JIS Q 15001:2006準拠)のご担当者様
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
会場:東京国際フォーラム ガラス棟G405会議室
   東京都千代田区丸の内3-5-1各線有楽町駅よりスグ

お申込みは以下のリンクから。(下部に申し込みフォームがあります。)
http://www.optima-solutions.jp/seminar/090716.html
(満席になり次第受付を終了します。)

内容は以下の通りです。
第1部 プライバシーマーク運用・更新のポイント!
  ・プライバシーマーク更新・更新のポイントをまとめて、分かりやすくご説明いたします。
  講師:弊社代表取締役 中 康二(なか こうじ)
第2部 プライバシーマーク更新をスムーズに乗り切るには?
  ・リスク管理表・審査対応を中心に、実務的な更新のノウハウを教えます!
  講師:遠藤 朝永
無料診断&質疑応答
  ・不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。

効率のよいリスク分析の方法(リスク分析表)やその雛形もご提供します。

お申し込みをお待ちしております。
posted by endo at 15:34| Comment(0) | TrackBack(0) | 日記

2009年07月07日

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正案に対する意見公募について

ご存知の通り、2009年6月30日に表題の件が公示されました。
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595109052&OBJCD=&GROUP=

そこでその「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン改正案」にざっと目を通してみました。

印象としては、
1. 事例が拡充した
2. 消費者保護に関する諸団体からの要望が盛り込まれているみたい

1.については言うまでもありませんね。特に法第16条第3項第1号関連の事例は「しつこい」くらいです。さまざまな機関や団体が、「個人情報保護法を理由に情報提供を拒まれる」という問題に直面したんだろうな、ということが推測されます。

2. 例えば「消費者等、本人の権利利益保護の観点から…本人からの求めに一層対応していくことが望ましい」などというよくわからない表現が今回から導入されていて、これらは恐らく消費者センターなどに寄せられた苦情を考慮したものだと思われます。それにしても「一層」とはどういうことだ? これまでまじめに取り組んできた会社もそうでない会社も一律に、今までどおりでは十分ではなく、さらに何かしろと? このような表現が入り込むと、あまりガイドにならない「ガイドライン」になるのではないでしょうか。

まだ気が早いですが、これが発効したとして、プライバシーマークの審査において予想されることを考えてみました。

今回改正案として挙げられている修正箇所のほとんどは、プライバシーマークを取得している事業者にとってはすでに行っていること、あるいはその内容をより詳細に説明しているだけだろう思います。なのでこれが審査に大きく影響はしないと思いますが、いくつか追加で指摘されそうな項目を挙げると、

・個人情報の取扱いを委託する場合は、単に委託するということだけでなく、委託する事務の内容を明らかにすること(2-2-3-4.委託先の監督B P. 39)

・開示対象個人情報の開示の求めが合った場合は、個人情報の取得元又は取得方法(取得源の種類等)を、可能な限り具体的に明記するよう規定すること(2-2-5-2.保有個人データの開示 P. 51)

・「個人情報保護を推進する上での考え方や方針」の中に「個人データの委託を行うこと」と「委託する事務の内容」が盛り込まれていないので、盛り込むこと。(5.個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格 (イ) P. 63)

・「個人情報保護を推進する上での考え方や方針」の中に、個人情報の取得元又は取得方法(取得源の種類等)を可能な限り具体的に明記したり、本人から求めがあった場合には、ダイレクトメールの発送停止等自主的に利用停止に応じたりするなど、事業活動の特性、規模、実態を考慮して、本人からの求めに対応していくことが盛り込まれていないので、盛り込むこと。(5.個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格 (オ) P. 63)

いずれにしても、大したことにはならないでしょう。プライバシーマークを取得しようとしている事業者は、指摘事項に対して粛々と改善するだけですね。
posted by endo at 14:09| Comment(0) | TrackBack(0) | 日記

最近の指摘事項の傾向と対策(31)「3.4.4.6 開示対象個人情報の訂正,追加又は削除」と「3.4.4.7 開示対象個人情報の利用又は提供の拒否権」

本日は「3.4.4.6 開示対象個人情報の訂正,追加又は削除」と「3.4.4.7 開示対象個人情報の利用又は提供の拒否権」に関する指摘事項の傾向と対策です。
(ガイドラインP. 56-57)

<文書作成>
・ガイドラインの通りに規定すればいいでしょう。
・例によって本人への回答内容(求めに応じない場合を含む)に関する承認手順と、ただし書きを適用する場合の承認手順が定められていること。

<運用>
・審査でこの運用について尋ねられることは恐らく99%ないでしょう。
・もしかしたら、理解を確かめるために「本人から個人情報の利用停止を求められた場合の社内手順を教えてください」と聞かれるかもしれませんが、それに答えられれば十分以上だと思います。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 11:05| Comment(0) | TrackBack(0) | 日記

2009年06月22日

エコポイントの交換商品等の提供事業者の個人情報の取得

今日は少しプライバシーマーク審査の現場から離れてエコポイントについて

このエコポイントというのは、グリーン家電を購入した人が、「エコポイント事務局」に申請すると、「エコポイント交換商品」の中からポイント相当の商品やサービスをもらえるということですね。

6月19日(金)に、この「エコポイント交換商品」が発表されました。
http://headlines.yahoo.co.jp/hl?a=20090619-00000011-fsi-bus_all

この「エコポイント交換商品」を提供する会社の立場から、個人情報の取得について何が必要だろうかと考えてみました。

さて、この商品提供事業者(エコポイント交換商品を提供する会社)には、「エコポイント事務局」から、申請者(ポイント交換をしたい人)の住所と氏名が提供され、それによってその人に商品やサービスが提供されることになるようです。
http://eco-points.jp/EP/whats/index.html
http://www.env.go.jp/policy/ep_kaden/090612a.html

ということは、商品提供事業者は、「エコポイント事務局」から個人情報の第三者提供を受けているということですよね。

(商品提供事業者と「エコポイント事務局」との契約等は見ていないので詳細はわかりませんが、恐らく個人情報の取扱いの委託というよりは第三者提供となるでしょう。)

そうすると、商品提供事業者は、個人情報保護法第18条第1項に基づいて「個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない」ことになります。(JIS Q 15001では3.4.2.5に該当)

そこで、この第18条第1項に基づいて「公表」している会社があるかどうか、2、3見てみました。

(ここに挙げているのは、遵法意識が高いだろうと勝手に判断した会社です。特に他意があるわけではありません。)

■ 東日本旅客鉄道株式会社
http://www.jreast.co.jp/site/privacy.html

「(1)お客さまから取得した個人情報の利用目的」と「(2)株主さまから取得した個人情報の利用目的」しか掲載がありません。「エコポイント事務局」からの取得については記載がありませんね。

■ 伊藤忠商事株式会社
http://www.itochu.co.jp/main/privacy.html

こちらも「お客様からご提供いただいた個人情報」についてしか述べていません。
「エコポイント事務局」からの取得については記載がありませんね。

■ 三井住友カード株式会社
http://www.smbc-card.com/mem/company/pop/privacy.html#name1

「・ポイント付与やカード付帯保険等の付帯サービスの提供」が近い感じがしますが、これは「クレジットカード関連事業における」の範囲に限られています。

この会社が提供する商品は、「三井住友VISAギフトカード」ですので、正確にはこれに該当しないと思います。

利用目的は「公表」しなくても「通知」でもいいわけですから、商品の発送時に個人情報の利用目的を通知しても良いのだろうと思います。

それに、実際の商品の交換は7月1日からということですので、まだ少し時間があります。

通知、公表するとしたら、どんな文言がいいんでしょうね。

「エコポイントの活用によるグリーン家電普及促進事業において当社が提供する交換商品等の提供、アフターサービス及び係る管理を適切に行うため」というのはどうでしょうか。

もっとも、個人情報保護法第18条第4項第4号の「取得の状況からみて利用目的が明らかであると認められる場合」に該当するので、通知も公表もしない、という判断もあり得るかもしれません。

さて、これまで法律に絡めて述べてきましたが、すべて興味本位の雑談です。
当方は弁護士ではありませんので、詳しくお知りになりたい方は、弁護士先生へお尋ねください。
posted by endo at 14:05| Comment(0) | TrackBack(1) | 日記

2009年06月17日

最近の指摘事項の傾向と対策(30)「3.4.4.5 開示対象個人情報の開示」

本日は「3.4.4.5 開示対象個人情報の開示」に関する指摘事項の傾向と対策です。
(ガイドラインP. 55)

<文書作成>
・ガイドラインの通りに規定すればいいでしょう。
・特に、
 - 本人への回答内容(求めに応じない場合を含む)に関する承認手順が定められていること。
これは、例えば、回答案を苦情担当者が作成して個人情報保護管理者が承認するという形で問題ないでしょう。もちろん、そのための様式も定めたほうがいいでしょう。
 - 同様に、ただし書きを適用する場合の承認手順が定められていること。
例えば、先に挙げた様式で、この承認手順も兼ねられるようだと良いと思います。

<運用>
・「開示の求めはありましたか?」と審査員に聞かれたら、「ありません」と答えてお終いでしょう。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 15:03| Comment(0) | TrackBack(0) | 日記

2009年04月17日

最近の指摘事項の傾向と対策(29)「3.4.4.4 開示対象個人情報の利用目的の通知」

本日は「3.4.4.4 開示対象個人情報の利用目的の通知」に関する指摘事項の傾向と対策です。
(ガイドラインP. 54)

<文書作成>
・ガイドラインの通りに規定すればいいでしょう。
・特に、
 - 本人への回答内容(求めに応じない場合を含む)に関する承認手順が定められていること。
これは、例えば、回答案を苦情担当者が作成して個人情報保護管理者が承認するという形で問題ないでしょう。もちろん、そのための様式も定めたほうがいいでしょう。
 - 同様に、ただし書きを適用する場合の承認手順が定められていること。
例えば、先に挙げた様式で、この承認手順も兼ねられるようだと良いと思います。

<運用>
・「利用目的の通知の求めはありましたか?」と審査員に聞かれたら、「ありません」と答えてお終いでしょう。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 17:44| Comment(0) | TrackBack(0) | 日記

2009年03月25日

「開示等」について

プライバシーマークの基準となるJIS Q 15001には「開示等」に関する要求にかなりのスペースが割かれています。

これは個人情報保護法の要件を取り込んだものでしょう。

このJISの3.4.4関係は、実際の業務にはほとんど関係がないので、JISを読んでもピンと来ない人が多いのではないでしょうか。

例えば、「開示」と言われても、「弊社では会員さんから自身の個人情報について問い合わせがあったら、そのつど本人確認をした上で答えていますよ。これも『開示等の求め』で対応しないといけないんですか?」などと言う質問もたびたび受けます。

この例の答えは、「もちろん、その必要はありません」。

理由は、他でもないこの事例の場合、特定された利用目的の達成の範囲内での個人情報の利用と考えられるからです。

では、どういう時に「開示等」というような面倒くさい手続きになるのか?

例によって、私なりに大胆に分類してしまうと、
・自社の業務の一環で(または自社の都合で)本人に個人情報を開示したり、訂正したりするものは、特定された利用目的の達成の範囲内で行っている限り、「開示等」の流れに入れる必要はないでしょう。
・一方で、会社としては開示したくない、利用停止したくないものだけれど、法律にのっとって正式に申し込まれたら応じなくてはならないだろう、というものは「開示等」の手続きで応じることになるでしょう。

これでも良くわからなかったら、かかりつけのコンサルタントに聞いてみてください。(^_^;)

さて、「開示等」ですが大きく分けて「利用目的の通知」、「開示」、「訂正等」、「利用停止等」の4つの分類に分かれます。更に「訂正等」、「利用停止等」は次の通り細分化されます。

「開示等」
  ・「利用目的の通知」
  ・「開示」
  ・「訂正等」
    -「訂正」
    -「追加」
    -「削除」
  ・「利用停止等」
    -「利用の停止」
    -「消去」
    -「第三者への提供の停止」

「開示等」というと「個人情報を本人に教える」のようにも聞こえますが、「開示」(「等」なし)だけでなく「利用目的の通知」、「訂正」、「追加」、「削除」、「利用の停止」、「消去」、「第三者への提供の停止」も全部「開示等」です。

次回からはこれを踏まえて進めていきたいと思います。
posted by endo at 15:02| Comment(0) | TrackBack(0) | 日記

2009年03月19日

最近の指摘事項の傾向と対策(27)「3.4.4.3 開示対象個人情報に関する事項の周知など」

本日は「3.4.4.3 開示対象個人情報に関する事項の周知など」に関する指摘事項の傾向と対策です。
(ガイドラインP. 53)

この要求事項に対応する方法はいくつもあります。

ここでのキーワードは、「本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」でしょう。

ここで本人に知らしめる意味の大きさ順に並べてみるとこのようになります。

「明示」 ≒ 「通知」 > 「本人が容易に知り得る状態」 > 「公表」 > 「本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」

つまり、「明示」は「本人が容易に知り得る状態」よりも、本人に知らしめる意味が大きい(包摂する)ということです。
例えば、「公表」していれば、「本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」 以上のことを行っていると考えてもいいだろうということです。

もう少し説明すると、自社のウェブを持っている会社の場合、実務的には、上記のそれぞれは以下の手順で実施可能だと思います。

「明示」:必要事項を明記した契約書その他の書面を相手方である本人に手渡す。ウェブの入力フォームにおいては、個人情報を入力するところ又はその前に、必要事項が本人に明確に示されるようにする。

「通知」:必要事項を口頭で本人に知らせる、必要事項が記載された文書を本人に渡す、又は郵送する、Eメールで送る。

「本人が容易に知り得る状態」:自社のウェブ画面中のトップページから1回程度の操作で到達できる場所への掲載等を継続的に行う。

「公表」:自社のウェブ画面中のトップページから1回程度の操作で到達できる場所への掲載(実務レベルでは「本人が容易に知り得る状態」も「公表」もほぼ同じと考えても問題ないと思います。違いはウェブへの「継続的」な掲載が必要かどうかだけです。)

「本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」 :問い合わせ窓口を設け、問い合わせがあれば、口頭又は文章で回答できるよう体制を構築しておく(つまり、迅速に回答できるよう文書を用意しておいて、問い合わせがあったらそれを本人に送るなどでもよいと考えられる。)

したがって、「本人が容易に知り得る状態」と「本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」は、文言は似ているけれど、要求の程度はずいぶん違います。

なぜここでこれを取り上げたかというと、このふたつを混同している人が、審査員の中にもいるようだからです。

この3.4.4.3の名称に「周知」などという単語が使われているので、つい「公表」しなくてはならないと考えがちですが、そうしなくても「本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」でもいいのです。

もちろん、先ほど説明したように「公表」は「本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」よりも包摂すると考えられるので、「公表」してもいいです。

審査員の中には、この事項(3.4.4.3のa)〜f))をウェブに公表しなさいという人がごくたまにいて困ります。

もちろん、やりますよ、やれと言われれば。Pマークの審査員先生は神様より偉いですからね。(笑)

前置きが長くなりましたが、本題です。

<文書作成>
・単純に3.4.4.3ののa)〜f)の事項を定める手順を定めます。
 例えば、「当社における開示対象個人情報について」などと題した文書を作って、担当者がそこに3.4.4.3のa)〜f)の事項を明文化し、その内容を個人情報保護管理者が承認する、とルール化するのもひとつでしょう。
・次に、その「当社における開示対象個人情報について」という文書を、本人から求めがあった場合に本人に遅滞なく送付するか、口頭で答えられるように準備を整えておくということでいいでしょう。

<運用>
・審査員からの次の質問に答えられれば大体問題ないでしょう。
 - 「本人から『御社のすべての開示対象個人情報の利用目的を教えてください』と求められたらどうしますか?」
 - 「本人から『私が識別される開示対象個人情報の開示を求めたいのですがその手続きを教えてください』と求められたらどうしますか?」
・いずれの答えも、「本人に(上記で定めた)『当社における開示対象個人情報について』を迅速に送付します」で問題ないはずです。
・「この内容をウェブに掲載しなさい」という審査員がいたら、その審査員はJIS以上のことを要求しています。
 (一部指定機関では、ウェブに掲載することを求めているところもあります。)

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 19:04| Comment(0) | TrackBack(0) | 日記

2009年03月12日

最近の指摘事項の傾向と対策(26)「3.4.4.2 開示等の求めに応じる手続」

本日は「3.4.4.2 開示等の求めに応じる手続」に関する指摘事項の傾向と対策です。
(ガイドラインP. 52)

この要求事項自体は単純です。

<文書作成>
・単純に次の事項に応じる手順を定めるだけでいいでしょう。
 a) 開示等の求めの申し出先
 b) 開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式
 c) 開示等の求めをする者が,本人又は代理人であることの確認の方法
 d) 3.4.4.4 又は3.4.4.5 による場合の手数料(定めた場合に限る。)の徴収方法

<運用>
・この要求事項についての具体的な運用の審査はないと思われます。
・「3.4.4.3 開示対象個人情報に関する事項の周知など」の審査項目ができていれば、ここもOKという判断になるでしょう。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 14:54| Comment(0) | TrackBack(0) | 日記

2009年03月03日

最近の指摘事項の傾向と対策(25)「3.4.4.1 個人情報に関する権利」

本日は「3.4.4.1 個人情報に関する権利」に関する指摘事項の傾向と対策です。
(ガイドラインP. 51)

この3.4.4関係は、日常的にはほぼ運用はない割には、審査員はいろいろ聞いてきます。

日常的に頻繁にはないとしても、もしこれに関する事象が発生した場合、プライバシーマーク認定事業者として相応しい対応をしてもらわないと、JIPDECもいろいろ苦労しますからね。

<文書作成>
・ガイドラインに「ただし書きが適用される場合の承認手順が定められていること」とありますので、社内申請用紙を定め、起票者と承認者を決め、承認手順を定めるのがベストです。
(参考:http://endo-endo.sblo.jp/article/7307629.html

<運用>
・開示対象個人情報が特定されている必要があります。
・これは単純に個人情報管理台帳や個人情報一覧表など3.3.1で特定した一覧のようなものがあるでしょうから、そこに「開示対象」などという欄を設け、開示対象個人情報かそうでないかを識別するフラグのようなものを設定すればいいでしょう。(例えば、開示対象個人情報に該当する場合は○、該当しない場合は×など。)

<補足>
開示対象個人情報とは何か:
正確なところは、JISの3.4.4.1にある通りであり、それを少しでも言い換えると正確性を欠いてしまいます。
しかし、この定義はあまりにもわかりにくいです。

そこで、例によって大胆に私なりに言い換えると、「開示対象個人情報は次のふたつの条件の両方を満たす個人情報」となります。

1) データベース状になっているもの
2) 自社に管理権のあるもの


1)は、個人情報保護法で言うところの「個人情報データベース等」に該当するものです。

JISでは「電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理,分類し,目次,索引,符合などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情」と表現しています。

つまり、データベース状になっているものです。ただ、電子的なものに限らず、五十音順とかアルファベット順になっていて簡単に検索できるようになっていれば、紙なども含むということです。

2)は、JISでは「事業者が,本人から求められる開示,内容の訂正,追加又は削除,利用の停止,消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの」と表現しています。

この時点で頭がボーっとしてきます。

一言で言えば、本人から以下のように求められた時に、自社の判断でそれに応じるかどうかを決定できるかどうか、ひとつでも自社の判断で決定できないのであれば、この要件を満たさない(開示対象個人情報には該当しない)ということです。
・「私の個人情報の利用目的を教えてください」
・「私の個人情報を開示してください」
・「私の個人情報を訂正/追加/削除してください」
・「私の個人情報を消去して二度と使わないでください」

この2)を満たすものの例としては、自社の社員の個人情報、あるいは自社製品を購入した購入者名簿があるでしょう。

この2)を満たさないものの典型的なものは、受託している情報に含まれる個人情報でしょう。例えば、データ入力会社にしてみれば、クライアント会社から委託業務の一環で預かったアンケート書類(データ入力の元となるもの)について、そのアンケートに答えた本人から「私の個人情報を開示してください」と求められても、自社の判断では決められませんよね。それについてはその本人が提供したところに問い合わせてもらうか何かしてもらわないといけません。

ですから、会社によっては一層大胆に、「受託情報に含まれる個人情報は『開示対象個人情報』ではなく、それ以外はすべて『開示対象個人情報』である」と括ってしまうところもあります。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 17:58| Comment(0) | TrackBack(0) | 日記

2009年02月24日

委託とは? 第三者提供とは?

この話題は以前も取り上げました。

ここでもう一度わかりやすく整理しようと思います。

「委託」:正確には「個人情報の取扱いの全部又は一部を委託する」となります。
この公的な定義がなかなかないのですが、個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A81番85番が一番近いかと思います。

こうあります。
「委託は、本来自己の業務である個人データの取扱いを他者に依頼すること」

第三者提供は、実務的に要約すると「自分以外の第三者に個人情報を渡すこと。ただし個人情報の取扱いを委託する場合は除く」と言えるでしょう。

次に委託と第三者提供の主要な違いをいくつか取り上げます。

■ 本人の同意
委託:△(必要と言えば必要)
   3.4.2.4のe)の要求事項にあるように、委託する場合はその旨明示することになっていますが、「委託する予定があります」という記述に何か大きな意味があるとは思えません。事実上は同意はないと言ってもいいのではないでしょうか。

第三者提供:○(必要)
  次の6項目を明示し、同意を得る必要があります。
  @第三者に提供する目的
  A提供する個人情報の項目
  B提供の手段又は方法
  C当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
  D個人情報の取扱いに関する契約がある場合はその旨
  E取得方法

■ 監督義務
委託:○(監督義務有り)
  事業者は、3.4.3.4の要求事項に従って、委託先を適切に監督しなくてはいけません。

  言い換えると、委託先で漏えい事故等があった場合、委託元は監督責任を問われる可能性があるということです。

第三者提供:×(監督責任無し)
  要求事項に従って第三者提供した提供先を監督する義務はありません。

  すなわち、提供先で漏えい事故等があった場合、筋論としては、提供元に責任はないと言えるでしょう。なぜなら、本人には第三者提供する旨、あらかじめ本人の同意を得ているわけで、提供されることがいやだったら同意しない機会も与えられていたはずだからです。その点においては本人の自己責任という部分も生じてくるでしょう。

■ 具体的業務
委託:以下の業務は、実務的には委託先の監督の世界で扱われるでしょう。
- 社員の名刺作成の委託
- データセンター(ハウジング、ホスティング、レンタルサーバー業者)の利用
- 産廃業者の利用
- 会計事務所への会計処理の委託
- 清掃事業者への清掃委託
- ビル管理会社へのビル管理の委託
- 警備会社への警備の委託

第三者提供:以下の業務は、実務的には第三者提供の世界で扱われるでしょう。
- 給与振込みサービスで社員の個人情報を金融機関等に提供する
- 業務受託等で、委託元(クライアント)に自社または協力会社の社員の個人情報を渡す
- クレジットカード情報等を決済会社に渡す
- 健康保険組合に社員の情報を渡す
- webやパンフレットに社員の写真を掲載する
- 人材紹介会社が求職者の情報を求人企業に渡す

変更履歴:2015年2月23日、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A」のリンク先を最新のものに更新しました。
posted by endo at 18:14| Comment(0) | TrackBack(0) | 日記

2009年02月20日

最近の指摘事項の傾向と対策(24) 「3.4.3.4 委託先の監督」(3)

本日も「3.4.3.4 委託先の監督」に関する指摘事項の傾向と対策です。
(ガイドラインP. 49)

本日は「委託先の監督」の<運用>の続きです。

<運用>
前回は委託先を漏れなく特定しましょうという点を述べました。
今回は、特定した委託先に対して実施すべきことを述べます。
・まずは、前回確立した「委託先選定基準」に基づいて各委託先を評価します。
 --> 成果物、委託先評価票 x 委託先の数
・次は、各委託先に対して安全管理に関する契約を締結します。
 --> 成果物、安全管理に関する契約書 x 委託先の数
・データセンターは、個人情報に関する個別契約を結んでくれない可能性が高いです。
 これは経済産業省のガイドラインによって、「倉庫業、データセンター(ハウジング、ホスティング)等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合に、その情報中に含まれる個人情報は、事業の用に供しない」ことになっているためです。
 その場合は、何らかの形で守秘義務契約か非開示契約を締結するか残存リスクとして管理するなどの方策が必要と考えられます。
・ところで、委託先とは当然「d) 個人情報の取扱状況に関する委託者への報告の内容及び頻度」も契約によって規定しなくてはなりません。
 これはJISが新しくなってから新設された項目なので、審査員は特に注意してチェックします。
 この条項が契約書に含まれていることを再度確認しましょう。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 17:08| Comment(0) | TrackBack(0) | 日記

2009年02月06日

最近の指摘事項の傾向と対策(23) 「3.4.3.4 委託先の監督」(2)

本日は「3.4.3.4 委託先の監督」に関する指摘事項の傾向と対策です。
(ガイドラインP. 49)

<運用>
・まず「委託先選定基準」を社内で確立する必要があります。
・選定基準は、全業者一律でなくてもよくて(逆に評価基準がひとつしかないと不適合になる可能性が大)委託する業種単位に作成するとよいでしょう。
・これは、例えば、大量の顧客情報を委託するコールセンター業者と倉庫のように場所しか提供していない業者と同じ基準では評価できないだろう、という考えからです。
・一般的には評価表などのようなものを策定し、それに基づくアンケートのような調査票を作成して委託先に送って返答してもらうという形を取り、合格した業者だけを利用するということになります。
・次に、委託先が漏れなく特定されている必要があります。
・そのためには「委託先管理台帳」のようなもので委託先を一覧化するのがよいでしょう。
・次の委託先は漏れやすいので確実に「委託先管理台帳」に記載されているようにします。
 - 名刺印刷業者(自社の社員の名刺です!)
 - データセンター(ハウジング、ホスティング、レンタルサーバー業者)
 - インターネット接続業者
 - 産廃業者
 - 会計事務所
 - 清掃事業者
 - ビル管理会社
 - 警備会社
 - 機器メンテナンス会社等

と、今日はここまでです。

次は、委託先との契約の締結とそれに派生する様々な面倒くさい点です。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 20:47| Comment(2) | TrackBack(0) | 日記