2009年01月23日

最近の指摘事項の傾向と対策(22) 「3.4.3.4 委託先の監督」(1)

本日は「3.4.3.4 委託先の監督」に関する指摘事項の傾向と対策です。
(ガイドラインP. 49)

いよいよこの項目ですね。

ここは個人情報の特定、リスクなどの認識、分析及び対策の次くらいに厄介なところですね。

そういうわけで、これも2回に分けて書きます。今日は前編。

<文書作成>
・文書としてはガイドラインに書いてあることを規定すればいいはずです。
・指摘されやすいのは
 - 「委託先選定基準を定める手順はあるが見直し(定期/臨時)の手順が定められていない。」
 - 「委託先選定基準により委託先を再評価する具体的な時期(●月など)が明確でない。」
- 「a)〜g)の内容が盛り込んだ契約書を個人情報の保有期間にわたって保存する手順を定め締結する手順が定められていない。」
 などです。
・この契約書を申請時に提出していない場合は、「現地にて確認」ということになります。

ガイドラインをよく読んで、漏れがないように規定すれば文書の方は大きな問題はないと思います。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 18:10| Comment(0) | TrackBack(0) | 日記

2009年01月20日

「プライバシーマーク取得講座」〜最低限、これだけはおさえておきたい準備作業のポイント〜

本日は弊社主催のセミナーのご案内です。

日時:2009年2月19日(木)14:20〜16:30 (14:00受付開始)
対象者:プライバシーマーク取得を検討している企業の方
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
※インターネット申込み特典として事前予約時の参加費は無料といたします。
会場:東京国際フォーラム ガラス棟G408会議室
東京都千代田区丸の内3-5-1各線有楽町駅よりスグ

お申込みは以下のリンクから。(下部に申し込みフォームがあります。)
http://www.optima-solutions.jp/seminar/090219.html
(満席になり次第受付を終了します。)

内容は以下の通りです。
第1部
 なぜ御社は、Pマークを求められるのか?
 ・Pマークとは何なのか?メリットは何か?Pマーク基本の「き」。
 ・Pマーク取得に掛かる料金、期間とは?
 講師:弊社代表取締役・中 康二

第2部
 これなら、わかる!プライバシーマーク取得のツボ
 ・Pマーク取得までの一連の作業内容を、順を追ってご説明。
 講師:弊社シニアコンサルタント・遠藤 朝永

無料診断&質疑応答
 ・不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。

では当日有楽町で会いましょう。
posted by endo at 15:01| Comment(0) | TrackBack(0) | 日記

2009年01月19日

最近の指摘事項の傾向と対策(21) 「3.4.3.3 従業者の監督」

本日は「3.4.3.3 従業者の監督」に関する指摘事項の傾向と対策です。
(ガイドラインP. 47)

<文書作成>
・「個人情報保護マネジメントシステムに違反した場合の措置に関する規定が整備されていること」というのがガイドラインにありますが、これは例えば、「当社は、個人情報保護マネジメントシステムに違反した従業者を就業規則に基づいて処分する」などとしておけばいいでしょう。
・その他はガイドラインに書いてあることに基づいて規定すればいいでしょう。

<運用>
・全社員から個人情報の非開示契約を締結していることを示すことができればいいでしょう。

<まとめ>
・この要求事項に関する審査は上記の通りで、ガイドラインさえ見て対処していれば、引っ掛け的なことはないと思います。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 11:22| Comment(0) | TrackBack(0) | 日記

2009年01月09日

「プライバシーマーク取得講座」〜セキュリティ対策におカネをかけずにマークを取得する方法〜

本日は弊社主催のセミナーのご案内です。

日時:2009年2月9日(月)14:20〜16:30 (14:00受付開始)
対象者:プライバシーマーク取得を検討している企業の方
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
※インターネット申込み特典として事前予約時の参加費は無料といたします。
会場:ベルサール神田 会議室ルーム5
東京都千代田区神田美土代町7 各線神田駅より徒歩6分

お申込みは以下のリンクから。(下部に申し込みフォームがあります。)
http://www.optima-solutions.jp/seminar/090209.html
(満席になり次第受付を終了します。)

内容は以下の通りです。
第1部
 なぜ御社は、Pマークを求められるのか?
 ・Pマークとは何なのか?メリットは何か?Pマーク基本の「き」。
 講師:弊社代表取締役・中 康二

第2部
 これなら、わかる!プライバシーマーク取得のツボ
 ・Pマーク取得までの一連の作業内容を、順を追ってご説明。
 講師:弊社シニアコンサルタント・遠藤 朝永

無料診断&質疑応答
 ・不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。

では当日お待ちしております。
posted by endo at 11:00| Comment(2) | TrackBack(1) | 日記

2009年01月08日

最近の指摘事項の傾向と対策(20) 「3.4.3.2 安全管理措置」(2)

本日は「3.4.3.2 安全管理措置」に関する指摘事項の傾向と対策の運用面です。
(ガイドラインP. 44)

<運用>
・運用の審査については、審査員の技量や考え方によるところが大きいので、傾向らしい傾向はありませんが、少なくとも次の点は確認しておきたいです。
・webからの入力フォームのssl化。
・ウィルス対策ソフトのインストール及び最新に保つこと。
・パッチ(Windows Updateなど)が最新のものも適用されていること。
・パスワードが定期的に更新されていること。
・授受票の実績があること。
・バックアップが取られていること。
・バックアップを格納した媒体は、本体とは別の場所に保管されているのが望ましい。

<コメント>
・前述したように安全管理措置に関する指摘内容は、審査員の意見に大きく左右されます。(この是非はここでは語りません)
・また、安全管理措置に関する指摘は、他の部分の指摘(例えば個人情報の特定漏れ)などと比べると、審査後の改善がとても簡単なことが多いです。
・そのようなことから、安全管理措置についてはあまり無理せず、可能な範囲の実施に留めておき、審査員に指摘された部分だけ改善する、という作戦で望まれる事業者もあるようです。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 13:30| Comment(0) | TrackBack(0) | 日記

2009年01月05日

最近の指摘事項の傾向と対策(19) 「3.4.3.2 安全管理措置」(1)

本日は「3.4.3.2 安全管理措置」に関する指摘事項の傾向と対策です。
(ガイドラインP. 44)

さて、安全管理措置です。
Pマークでもこれが一番情報セキュリティらしいところですね。

安全管理措置の部分は、事業者としては一番気になるところですが、審査的には事業者が思うほど細かくなく、指摘されても比較的対策が簡単なことが多いです。

それでもやることはたくさんあります。

この「3.4.3.2 安全管理措置」については「文書作成」と「運用」を分けて書きます。
今回は文書作成。

<文書作成>
・既に自社に情報セキュリティ関係の規程がある場合は、それを使うか拡張するといいでしょう。
・優れたサンプルとして、社団法人コンピュータソフトウェア協会の個人情報保護安全対策管理規程(雛型)があります。これを参考にするといいでしょう。
http://www.csaj.jp/pmark/hinagata.html
・この雛形はわかりやすく簡潔でとてもよい雛形だと思います。(ただし、様式類は自分で考えて作らないといけない。)
・この雛形でも中小の規模には実施するのがやや難しいところがあると思いますので、自社ではそこまでやりたくないという部分は単純化して書き換えるといいでしょう。
・安全管理については、必ずしもガイドラインにあるものを全て規定する必要はありません。最低何を規定しないといけないかというと、上記の雛形にある項目だと思ってほぼ間違いありません。

現地審査での指摘事項の傾向については次回書きます。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 17:37| Comment(0) | TrackBack(0) | 日記

2008年12月28日

最近の指摘事項の傾向と対策(18) 「3.4.3.1 正確性の確保」

本日は「3.4.3.1 正確性の確保」に関する指摘事項の傾向と対策です。
(ガイドラインP. 43)

ようやくここまで来ました。
3.4.2関係(取得、利用及び提供に関する原則)が終わると一山超えた感がありますね。

「正確性の確保」は、審査的には比較的気楽です。

<文書作成>
・ここは、ガイドラインにある3項目を文書化してしまえばいいでしょう。例えば、
 1 誤入力チェック
個人情報の入力に際しては、2度視認するなどして誤入力を予防する。
 2. 保存期間
個人情報の保存期間については、3.3.1-2の手順において個人情報の内容及び利用目的を特定する際に実施し、「個人情報管理台帳」に明確にする。
 3. バックアップ
個人情報のバックアップについては「安全管理細則」の手順に従って実行する。

<運用>
上記3つが実施されていればいいでしょう。具体的には
 1 誤入力チェックを規定に従って行っていること
 2. 保存期間
   個人情報の保存期間が「個人情報管理台帳」等に明確に記述されていること。
   保存期間は「無限」とか「半永久」とか「未定」などは不明確とみなされるので避けるべき。
   「退職後5年」、「退会後6ヵ月」、「契約終了後1年」、「最後の取引後1年」などが望ましい。
   法定保管(保存)期間があるものは当然、それを網羅する形で定める必要があります。
 3. バックアップ
   バックアップが実施されていること。(必ずしも全ての個人情報についてバックアップが必要ということではない)
   バックアップを記録した媒体が、本体とは同じ場所に保管されていないことが望ましい。そこまでする気がなければ、残存リスクとして管理すればいいでしょう。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 16:34| Comment(0) | TrackBack(0) | 日記

2008年12月17日

最近の指摘事項の傾向と対策(17) 「3.4.2.8 提供に関する措置」

本日は「3.4.2.8 提供に関する措置」に関する指摘事項の傾向と対策です。
(ガイドラインP. 41)

<概要>
まず、第三者提供がある局面を洗い出します。次の場合は、第三者提供になる可能性が高いです。
・給与振込みサービスで社員の個人情報を提供する
・業務受託等で、クライアント企業に自社または協力会社の社員の個人情報(スキルシートなど)を渡す(特にシステム開発系)
・クレジットカード等で決済する場合で決済会社に購入者の個人情報を渡す
・健康保険組合に社員の情報を渡す
・webやパンフレットに社員の写真を掲載する
・社員の出張や旅行に際して、旅行代理店に社員情報を渡す
こう考えると、「当社は第三者提供を行わない」と断言できる会社は意外と少ないかもしれません。

<文書作成>
・ここは、ガイドラインにある手順を全て記述してしまうのがいいでしょう。
※「手順」という場合、「誰が」、「何を」、「どのタイミングで」行うかという要素が含まれていれば大方問題ないようです。
※「承認手順」という場合、上記「手順」に加えて、「どの様式で」、「誰が」、「誰の」承認を得るのかが明確になっていれば大方問題ないようです。

<運用>
・実運用としては、第三者提供する局面が出てきたら、「3.4.2.4 本人から直接書面によって取得する場合の措置」で定めた明示文書に第三者提供に関する内容を加筆して、本人から同意を取り直すことになるのだろうと思います。(本人から直接書面で取得した個人情報の場合)
・本人から直接書面で取得したのではない個人情報を第三者に提供する場合、何らかの形で自社が同意を取るか、上流で同意が取れていることを自社が確かめる必要が出てくると考えられます。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 21:22| Comment(0) | TrackBack(0) | 日記

2008年12月05日

最近の指摘事項の傾向と対策(16) 「3.4.2.7 本人にアクセスする場合の措置」

本日は「3.4.2.7 本人にアクセスする場合の措置」に関する指摘事項の傾向と対策です。
(ガイドラインP. 39)

<概要>
この要求事項が問題になるのは主に、
・個人情報の取扱いを委託された場合で、その委託内容に本人へのアクセスが含まれる場合
・公開情報(webや販売名簿)等を用いて本人にアクセスする(電話や電子メール等でコンタクトする)場合
・本人が電話を掛けてきたことによって取得した個人情報を元に本人に折り返しコンタクトする場合
などでしょう。

・自社が3.4.2.4の手順で本人から同意を得ている個人情報については、ここはあまり注意を払わなくていいはずです。
 (3.4.2.7のただし書きa))

<文書作成>
・まず、本人にアクセスすることについての承認手順を様式も含めて定める
・明示事項は、3.4.2.4 のa)〜f)に示す事項 + 「取得方法」です。
・例によってただし書きb)〜f)を適用する場合の承認手順を様式も含めて定める。

<運用>
・現地審査で問題になるのは、「委託元が個人情報保護法及びガイドライン等に沿って適切に個人情報を取扱っていることを確認した記録を見せよ」と審査員に求められた場合です。
・個人的には、このような確認をするのは意味がないと思います。
  - 第一に、日本にある全ての個人も企業もすべての法律や国の指針を守るのは当たり前であり、そのようなことをなぜ確認しなくてはならないのか。それなら、委託元が消防法をちゃんと守っているかどうかはなぜ確認しなくていいのか。など様々な疑問が生まれてきます。
- 第二に、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&Aにも「不正取得を疑わせるようなものでない限り、積極的に確認する必要はありません。」との記述があります。
- 第三に、お客様に「この個人情報は違法に取得していませんよね?」などと聞けるでしょうか?そんなことを聞いたらお客様に「明日から来なくていい」と言われるかもしれません。
・そうは言っても審査は審査なので対応しなくてはなりません。対処方法は業態(個人情報の取得形態)によって様々だと思います。
  - 方法1
契約書や規約契約に「甲(客)は、個人情報の取扱いに関する法令、国が定める指針に従って取扱っている個人情報のみを乙(当社)に委託する」などの文言を基本契約書に入れるか利用規約に謳う
  - 方法2
個人情報のお預かり票(授受票)に、その個人情報が違法なものではない旨のチェック欄を用意し、個人情報を預かった営業担当が口頭で確認してチェックを入れるようにする。
  - 方法3
クライアントがほぼ決まっていて変動が少ないようであれば、各クライアントの個人情報保護方針を印刷して取っておく。個人情報保護方針には大抵「個人情報に関する法律を遵守します」という記述があるはずなので、それをある種の規約契約とみなすわけです。
・すべてのクライアントについて上記3つのいずれかの方法で遵法性を確認している記録を揃えておけばOK
・結果的に、すべてのクライアントの一覧を作成し、それぞれどのように遵法性を確認しているか記録しておけば安心でしょう。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 15:03| Comment(0) | TrackBack(0) | 日記

2008年09月05日

Pマーク更新セミナー開催

いつも当blogをご覧頂き誠にありがとうございます。

blogの更新が遅くて申し訳ありません。

Pマークの新JISへの以降申請の期限も間近です。

そこで今日は、大変好評を頂いている弊社のPマーク更新セミナーのご紹介です。

これをご覧頂いた方は無料でご招待します。

新JISに更新に更新するに当たって、どこから手を付けたらいいのかから審査における注意点までご説明します。

概要は以下の通りです。

2008年9月11日(木)
14:20〜16:30 (14:00受付開始)
対象者 :プライバシーマーク更新を控えた企業の方
参加費 :1社2名様まで 事前申込3,000円 当日5,000円(税込)
      本FAXでお申し込みの方は、無料ご招待いたします!
会 場 :東京国際フォーラム ガラス棟 G605会議室
(東京都千代田区丸の内3-5-1各線有楽町駅よりスグ)

お申し込みはこのPDFを印刷してFAXにてお申し込みください。
FAXは03-3984-8586です。
席に限りがございます。できるだけお早めにお申し込みください。

[PDF]-->【新JIS対応】プライバシーマーク更新セミナーお申し込み用紙
posted by endo at 23:23| Comment(0) | TrackBack(0) | 日記

2008年07月08日

最近の指摘事項の傾向と対策(15) 「3.4.2.6 利用に関する措置」

本日は「3.4.2.6 利用に関する措置」に関する指摘事項の傾向と対策です。
(ガイドラインP. 38)

<文書作成>
・順番にここまで読んできた方は、このガイドラインの1〜6をどのように記述すればいいか、大体見当がつくでしょう。
・内容としては3.4.2.4の手順をほぼそのまま使えばいいと思います。
・細かい違いとしては、利用目的変更時、必要項目の「明示」ではなく、「通知」であること。これは取得時は本人が契約等によって記入・入力しているのでその場で明示できるのに対して、利用目的の変更はその場に本人がいないことを想定しているためでしょう。
・従って、「通知して同意」は、例えば、本人にその旨葉書を送って同意の意思を示すチェックボックスにチェックしてもらって送り返してもらう、または、Eメールに本人に通知してwebに誘導して同意ボタンを押してもらう、または、次回ログオン時に利用目的の変更に関して同意してもらって初めてサービス利用が可能になるどの方法が考えられるでしょう。
・上記の旨、手順を規定する必要があります。

<運用>
・現地審査でこの点で指摘になるケースはまれです。目的外利用をしないのは大前提だからです。
・正当な業務であるにもかかわらず目的外利用に当たるようである場合、恐らく利用目的の特定に問題があるのでしょう。したがって、そちらを修正することになるのだと思います。
・また、利用目的の変更はそれほど頻繁にあることは想定していないということもあるでしょう。
・言い換えると、利用目的については、最初の特定の段階で賢く行なうべきだとも言えると思います。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 12:54| Comment(0) | TrackBack(0) | 日記

2008年06月16日

最近の指摘事項の傾向と対策(14) パート2「3.4.2.5 個人情報を3.4.2.4 以外の方法によって取得した場合の措置」

本日も「3.4.2.5 個人情報を3.4.2.4 以外の方法によって取得した場合の措置」に関する指摘事項の傾向と対策です。
(ガイドラインP. 36)

今回は運用について。

<運用>
・基本的には「3.4.2.4 本人から直接書面によって取得する場合の措置」http://endo-endo.sblo.jp/article/11876584.htmlと同じですが、異なるのは次の点です。
・この種の個人情報については、取得に当たって本人の同意はなくてもいいのですが、利用目的を公表しておく必要があります。
・これはつまり、自社のウェブ画面中のトップページから1回程度の操作で到達できる場所への掲載しておけばいいわけです。(参考:http://www.33i.co.jp/privacy.html の下部「当社における個人情報の取扱いについて」)
・審査員によっては「個人情報を間接的に取得した場合、提供者(当社への個人情報の直接の提供者や委託元)が、法令や国が定める指針等に違反していないことを確認しなければならない」という指摘をする人がいます。これに対する具体的な策とはもちろん、提供先とその旨覚書等で合意を確立しておくことでしょうが、委託元(つまりお客様)にこれを要求するのは難しいというケースが多いでしょう。その場合は、個人情報の提供者の会社の個人情報保護方針を印刷しておき、その中の「当社は個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守します」のような文言でその確認とするとよいでしょう。
・審査の準備としては、個人情報の提供元の一覧を作っておき、それぞれの個人情報保護方針のリンクを示しておくのがいいでしょう。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 12:47| Comment(0) | TrackBack(0) | 日記

Pマーク更新セミナー無事終了

先週(6月13日(金))のプライバシーマーク更新セミナー無事終了いたしました。

13日の金曜日にもかかわらず、多くの方にご参加いただきました。

第二部は私が担当させていただきましたが、時間以上にお伝えしたいことが多いため、ついつい早口になってしまいました。

プライバシーマークセミナーは定期的に行なっておりますので、今回を逃した方、ぜひ次回ご参加ください。
http://www.optima-solutions.jp/seminar/index.html

以下は、今回ご参加の方のお声です。大変ありがとうございました。

・リスク分析は審査時に指摘されやすい所なので詳細な説明で大変参考になりまし
た。
(ソフトウェア開発・業務部門マネージャー)    

・非常にわかりやすいご説明ありがとうございました。
(人材紹介業・総合企画室リーダー)

・更新する際のイメージができました。
(情報処理産業・管理部)

・ありがとうございました。
(コンピュータソフト開発・相談役)

・大変参考になりました。規定についてはx月に見直し、x月に再度見直しましたが、今回の内容を持ち帰り、申請(x月末予定)までに整備したいと思います。
(アウトソーシング業・品質管理部)

・分かりやすい説明をありがとうございました。
(事務代行・アウトソーシングサービス・IT部門)

・様式の例が出ていたので参考になりました。(すでに更新申請が終わり、改善申請期間中なので、参考にさせていただきます。)
(新規事業のコンサル・ビジネスプロデュース事業・アソシエイツ)

・第2部の時間を長くして、解説してほしかったです。
(商社・総務・法務リスク・CSR)

・もう少し長めにゆっくりとお願いしたい。
(IT事業(運用・保守・開発)・係長)

ご感想ありがとうございました。
posted by endo at 11:41| Comment(0) | TrackBack(0) | 日記

2008年06月02日

Pマーク更新セミナー開催

いつも当blogをご覧頂き誠にありがとうございます。

blogの更新が遅くて申し訳ありません。

なかなか文章で伝えるのは難しいものです。

そこで今日は、大変好評を頂いている弊社のPマーク更新セミナーのご紹介です。

これをご覧頂いた方は無料でご招待します。

新JISに更新に更新するに当たって、どこから手を付けたらいいのか
から
審査における注意点までご説明します。

概要は以下の通りです。

2008年6月13日(金) 14:20〜16:30 (14:00受付開始)
対象者: プライバシーマーク更新を控えた企業の方
参加費: 無料(本来は1社あたり事前申込3,000円・当日5,000円(1社2名様まで)のところ)
会 場: 東京国際フォーラム ガラス棟 G404会議室
(東京都千代田区丸の内3-5-1各線有楽町駅よりスグ)

お申し込みはこのPDFを印刷してFAXにてお申し込みください。
FAXは03-3984-8586です。
席に限りがございます。できるだけお早めにお申し込みください。

[PDF]-->【新JIS対応】プライバシーマーク更新セミナーお申し込み用紙
posted by endo at 20:04| Comment(0) | TrackBack(0) | 日記

2008年05月07日

最近の指摘事項の傾向と対策(13) パート1「3.4.2.5 個人情報を3.4.2.4 以外の方法によって取得した場合の措置」

本日は「3.4.2.5 個人情報を3.4.2.4 以外の方法によって取得した場合の措置」に関する指摘事項の傾向と対策です。
(ガイドラインP. 36)

これもすべきことが多いので何度かに分けて書きます。
まずは文書について。

<文書作成>
・第一に、新規の種類の個人情報を取得する場合、その承認手順を定める必要があります。
 この承認手順としては「個人情報取得申請書」のような書式をつくって、担当者はあらかじめこれによって個人情報保護管理者の承認を得なくてはならないと規定します。
・次に、ただし書きを適用する場合の承認手順を定める必要があります。
 この点が、書類審査において指摘されるケースが非常に高いようです。
 いろいろな方法がありますが例えば、「例外事項取扱申請書」のようなものを作って、担当者はあらかじめこれによって個人情報保護管理者の承認を得た上でただし書きを適用するなどの方法があると思います。
・利用目的の公表の手順も明確に定めておくべきでしょう。
 ひとつの例として、個人情報保護管理者が「個人情報取得申請書」を承認したら、その利用目的が自社のwebを通じて公表されていることを確認し、未公表の場合は、関係者を通じて、その利用目的をwebに掲載するという手順を規定するという方法があります。

<その他>
・この要求事項に該当する個人情報の例を挙げておきます。
 (漏れがちなものがあるので。)
 - 問合せの電話で本人から得た個人情報。
 - 窓口のやり取りを当社の社員が書き取った個人情報。
 - 防犯ビデオの映像情報。(特定の個人を識別できる場合)
 - 業務委託の一環で預かった個人情報。
 - 電話帳、四季報、官報、ウェブサイトなどの公開情報から個人情報を抽出し、入手した個人情報。
 - 名簿業者から購入した個人情報。
 - 人材紹介会社を通じて取得した就職希望者の個人情報。
 など。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 18:59| Comment(0) | TrackBack(0) | 日記

2008年03月05日

最近の指摘事項の傾向と対策(12) パート2「3.4.2.4 本人から直接書面によって取得する場合の措置」

本日は「3.4.2.4 本人から直接書面によって取得する場合の措置」に関する指摘事項の傾向と対策パート2です。
(ガイドラインP. 35)

今日は運用について。

<運用>
・ここでは、直接書面によって取得しているものをすべて整理して、このa)〜h)が明示され、同意が取られているか確認しておく必要があるでしょう。
・直接書面によって取得しているものには、以下のものが含まれます。
 - 採用希望者の情報(履歴書等)
 - 従業員の情報(採用された人の情報(履歴書等))
 - 協力会社の技術者の情報(職務経歴書等)
 - 派遣社員の情報
 - キャンペーンや商品説明会等におけるアンケート用紙によるアンケート情報
 - お申込用紙による利用者の情報
 - webでのお問合せフォーム(採用希望者用も含む)
 - webでの入会または登録フォーム
・webでの申込みについてはこのa)〜h)を明示し、「同意」と示されたボタンをクリックしてもらうか、同意のチェックボックスにチェックを入れるなどの工夫をするなどが求められます。
 (参考url:https://ssl.33i.co.jp/inquiry/
 (参考url:https://web.jipdec.jp/privacymark/mail001/
・審査員によっては、「同意」のボタンがあるなら「同意しない」のボタンも無いとダメだという人がいるようです。
・間違えやすいのは、このa)〜h)はJISで言う「個人情報保護方針」や会社全体の個人情報の取扱いに関する公表事項ではないということです。この明示事項に会社の「個人情報保護方針」を示すという間違いをしている会社がたくさんあります。気をつけましょう。
・紙で同意を得る場合、例えば「以下の【当個人情報の取扱いについて】にご同意いただいた方のみご回答下さい」といった記述を入れ、欄外の【当個人情報の取扱いについて】のところでこのa)〜h)を記述することにより、回答してもらった場合は同意したことにするという方法があります。この方法は「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&Aの38番を参考にしています。
http://www.meti.go.jp/policy/it_policy/privacy/080229kaiseiq-a.pdf
・これも審査員によっては同意を得る方法としては不十分で、同意のチェックボックスにチェックを記入してもらう方法にしなさいという人がいるようです。同意のチェックボックスにチェックを記入してもらう様式を作るのは簡単ですが、チェックを記入し忘れた紙をもらった場合のことを考えると非常に面倒くさいです。
・ちなみに「ご回答いただいた場合は、以下の【当個人情報の取扱いについて】にご同意いただいたものとみなします」は、先ほどのQ&Aの38番を考えると難しいと思います。
・一方で、「以下の【当個人情報の取扱いについて】にご同意の上ご回答ください」で審査上OKだったケースもあります。ここら辺は、どういう個人情報をどういう目的で取得しているのかプラス審査員のさじ加減なのかもしれません。
・総合すると、賢い個人情報保護管理者は、本人から直接書面によって取得するもの(様式名やurl)の一覧を作成して、それぞれがこの要求事項を満たしているかどうか定期的に確認するということでしょう。また、個人情報を取得するwebフォームや様式を作る場合は、必ずひと言声をかけてもらう(そして申請書により申請してもらう)というのがいいでしょう。法的なリスクを回避することからもお勧めします。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 10:59| Comment(0) | TrackBack(0) | 日記

2008年02月27日

最近の指摘事項の傾向と対策(12) パート1「3.4.2.4 本人から直接書面によって取得する場合の措置」

本日は「3.4.2.4 本人から直接書面によって取得する場合の措置」に関する指摘事項の傾向と対策です。
(ガイドラインP. 35)

これはすべきことが多いので何度かに分けて書きます。
まずは文書について。

<文書作成>
・第一に、新規の種類の個人情報を取得する場合、その承認手順を定める必要があります。
 この承認手順としては「個人情報取得申請書」のような書式をつくって、担当者はあらかじめこれによって個人情報保護管理者の承認を得なくてはならないと規定します。
・次に、ただし書きを適用する場合の承認手順を定める必要があります。
 この点が、書類審査において指摘されるケースが非常に高いようです。
 いろいろな方法がありますが例えば、「例外事項取扱申請書」のようなものを作って、担当者はあらかじめこれによって個人情報保護管理者の承認を得た上でただし書きを適用するなどの方法があると思います。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 16:21| Comment(0) | TrackBack(0) | 日記

最近の指摘事項の傾向と対策(12) パート1「3.4.2.4 本人から直接書面によって取得する場合の措置」

本日は「3.4.2.4 本人から直接書面によって取得する場合の措置」に関する指摘事項の傾向と対策です。
(ガイドラインP. 35)

これはすべきことが多いので何度かに分けて書きます。
まずは文書について。

<文書作成>
・第一に、新規の種類の個人情報を取得する場合、その承認手順を定める必要があります。
 この承認手順としては「個人情報取得申請書」のような書式をつくって、担当者はあらかじめこれによって個人情報保護管理者の承認を得なくてはならないと規定します。
・次に、ただし書きを適用する場合の承認手順を定める必要があります。
 この点が、書類審査において指摘されるケースが非常に高いようです。
 いろいろな方法がありますが例えば、「例外事項取扱申請書」のようなものを作って、担当者はあらかじめこれによって個人情報保護管理者の承認を得た上でただし書きを適用するなどの方法があると思います。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 16:12| Comment(0) | TrackBack(0) | 日記

2007年11月28日

最近の指摘事項の傾向と対策(11) 「3.4.2.3 特定の機微な個人情報の取得、利用及び提供の制限」

本日は「3.4.2.3 特定の機微な個人情報の取得、利用及び提供の制限」に関する指摘事項の傾向と対策です。
(ガイドラインP. 34)

<文書作成>
・「原則として特定の機微な個人情報を取得、利用、提供しないとい」旨規定されていること。
・「例外的に機微な個人情報の取得、利用、提供する場合は、3.4.2.3 に定めるただし書きに限る」旨規定されていること。
・ただし書きにより例外的に機微な個人情報を取得、利用、提供する場合の承認手順を定める必要があります。
 この承認手順ですが、ひとつの方法として「機微個人情報取得申請書」のようなものを策定して、これで承認を得なければ機微情報を取得してはいけないと規定するというものがあります。

このガイドラインには「承認手順を定められていること」という事項がたくさんあり、書類審査ではこの点で「×」をもらう傾向が高いです。

これに対する最も確実な対策は、「承認手順を定められていること」という事項については、「○○申請書」のようなものを策定して、作成者、承認者欄を設けるとともに、規程文書でも「〜のただし書きを適用する場合、担当者は、『○○申請書』によってあらかじめ個人情報保護管理者から承認を得ること」と記述します。

<運用>
・社員情報については健康診断の情報が社内には必ずあるはずです。これは本来は「法令に基づく場合」なので本人の明示的な同意は不要なはずなのですが、ある審査員に法令に基づく利用しかしない旨明示して同意を得なさいと言われたことがあります。

ですので、社員からは入社時に利用目的として次の事項を明示して同意を得るようにしています。
「適正な健康管理のため。(健康診断の結果等の労働者の健康情報については、法令に基づく場合を除いて、取得、利用又は提供を行いません。)」

この内容は、実際は「3.4.2.4 本人から直接書面によって取得する場合の措置」で用意する明示・同意の文書と統合すると便利です。

その他、特定の機微な個人情報の運用がある場合は、本人から明示的な同意を得ておく必要があります。

(免許証のコピーを取る会社は気をつけましょう。)

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 20:13| Comment(0) | TrackBack(0) | 日記

2007年11月12日

最近の指摘事項の傾向と対策(10) 「3.4.2.2 適正な取得」

本日は「3.4.2.2 適正な取得」に関する指摘事項の傾向と対策です。
(ガイドラインP. 33)

この要求事項自体は特に大きな問題になることはありません。

ただ、この要求事項は「3.4.2.5 個人情報を3.4.2.4 以外の方法によって取得した場合の措置」とかなり関係してきます。その点については3.4.2.5の回で述べたいと思います。

<文書作成>
・「個人情報の取得は、適法、かつ、公正な手段によって行わなければならない」という一文がどこかに規定されていれば問題ないでしょう。

<運用>
・特に違法な個人情報の取扱いがなければ問題ないはずです。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 17:08| Comment(0) | TrackBack(0) | 日記