2007年11月02日

最近の指摘事項の傾向と対策(9) 「3.4.2.1 利用目的の特定」

本日は「3.4.2.1 利用目的の特定」に関する指摘事項の傾向と対策です。
(ガイドラインP. 32)

順番的には「3.4.1 運用手順」を取り上げるはずですが、この要求事項については文書としても運用としても特にすることがないので割愛します。

さて、「利用目的の特定」です。

<文書作成>
・「個人情報の取得に当たっては、利用目的をできる限り特定し、その目的の達成に必要な限度において行わなければならない」という一文が規定されていること。
・「利用目的の特定に関する手順」を定めなくてはなりません。この方法のひとつは次のような例があります。
 1)個人情報を取得する場合は、特定した利用目的とともに取得申請書等によってあらかじめ個人情報保護管理者から承認を得ること
 2)個人情報保護管理者は、承認に当たって、特定された利用目的が適切かどうか確認の上、個人情報管理台帳に利用目的とともに登録する。

<運用>
・個人情報管理台帳に「利用目的」欄があることは必須です。
・その「利用目的」が十分具体的であることが重要です。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 20:35| Comment(0) | TrackBack(0) | 日記

2007年10月17日

最近の指摘事項の傾向と対策(8) 「3.3.7 緊急事態への準備」

本日は「3.3.7 緊急事態への準備」に関する指摘事項の傾向と対策です。
(ガイドラインP. 30)

これは2006年版JISで新たに登場した要求事項とはいえ、1999年版でPマークを取得していた事業者さんも、何らかの形で緊急事態への対応の規程はあったことと思います。

例えば、「インシデント対応規程」とか「事故対応規程」などという文書でです。

ただ、2006年版になって規定しなくてはいけない事項が明確になったので、その点が網羅されているかどうか確認しなくてはなりません。

これからPマークを取る方は、JISのこの要求事項に書かれていることを網羅した文書を作ればいいだけです。

<文書作成>
・まず、緊急事態、あるいはその可能性があることを見つけた場合の措置を定めるべきでしょう。
・具体的には、連絡経路を確立することが重要だと思います。その点では連絡網を作成するのもひとつの方法かと思います。
・次は、起きた事象に対して、誰が中心となってどのようにその事態を収束させるか、というあたりを規定します。
・次は、事故の影響を受けた個人情報の内容を本人に速やかに通知するか本人が容易に知り得る状態に置く手順を定める必要があります。これも、責任者を決めて、その人が全員に書面で通知するとか自社webページにその旨文章を掲示するなどの手順を記述すればよいはずです。
・次は、二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及び対応策を、遅滞なく公表する手順を定めるということですが、責任者を決めて自社webページに公表するということでしょう。注意したいのは、必ず全てについて公表しなくてはならないわけではないということです。事故の種類によっては公表しない方が二次被害の防止になるということも考えられます。ですので、そこら辺の判断のできる人が判断した上で実施するという内容になるはずです。
・事実関係、発生原因及び対応策を関係機関に直ちに報告する手順を定めます。ここで忘れてはならないのは審査を受けた機関(JIPDECなど)に連絡すると明記されていることです。
・「緊急事態報告書」と呼ばれるような様式を用意して運営する方が審査上便利です。

<運用>
・緊急事態は日常的にあるものではありませんが、不幸にして起きた場合は、上記手順に従って対処し、記録を残すとともに「3.8 是正処置及び予防処置」や「3.9 事業者の代表者による見直し」へのインプットとするとよいでしょう。
・事故が起きたからといって必ずしもPマークが取れなくなったり、更新できなくなるということはありませんので、起きてしまったらJIPDECなど関係機関に報告するべきです。もしかしたら認定が遅れてしまうかもしれません。しかし、隠すことにもリスクが伴います。Pマーク取得準備中は特に事故を起こしたくないですね。取得時期が会社の運営に大きく左右する場合は特に。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 18:09| Comment(0) | TrackBack(0) | 日記

2007年10月10日

最近の指摘事項の傾向と対策(7) 「3.3.6 計画書」

本日は「3.3.6 計画書」に関する指摘事項の傾向と対策です。
(ガイドラインP. 29)

ここもあまり引っ掛けはないと思います。

<文書作成>
・教育計画書を作成するよう規定する。そしてその計画書について代表者から承認を得るよう規定する。それだけです。通常は「個人情報教育規程」のような文書に記述されると思います。
・監査計画書を作成するよう規定する。そしてその計画書について代表者から承認を得るよう規定する。それだけです。通常は「個人情報監査規程」のような文書に記述されると思います。
・上記それぞれの「計画書」ですが、審査員は「年間教育計画」のようなものをイメージしているようです。ですので、私は「教育責任者は、毎年○月に年間教育計画を策定して代表者の承認を得る」とか「監査責任者は、毎年○月に年間監査計画を策定して代表者の承認を得る」のように規定します。このふたつが文書化されていればここは問題ないはずです。

<運用>
・「教育計画書」と「監査計画書」が存在していて、申請者、代表者の証跡があることが重要です。
・Pマークの新規申請の場合でも、それぞれの計画書は現地審査前までに代表者の承認のあるものを用意しておくことをお勧めします。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 21:57| Comment(0) | TrackBack(0) | 日記

2007年09月26日

最近の指摘事項の傾向と対策(6) 「3.3.5 内部規程」

本日は「3.3.5 内部規程」に関する指摘事項の傾向と対策です。
(ガイドラインP. 28)

<文書作成>
・次のa)〜o)に関する規定が文書化されていれば問題ありません。
その際、a)〜o)をそれぞれ別の文書として規定する必要はありません。
極端な話「個人情報管理マニュアル」として70ページの規程を1冊つくり、そこにa)〜o)の内容を盛り込んでも構いませんし、すでに他のマネジメントシステム(ISO9000やISO2700など)で文書化されているものについては、そちらを適用する形でも問題ありません。

他のマネジメントシステムの文書を適用する場合、その文書がJISQ15001の要求事項を網羅しているかどうか、一度確認する必要があると思います。

足りない部分があれば、その文書に加筆する必要があるかもしれません。

a) 個人情報を特定する手順に関する規定
b) 法令,国が定める指針その他の規範の特定,参照及び維持に関する規定
c) 個人情報に関するリスクの認識,分析及び対策の手順に関する規定
d) 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
e) 緊急事態(個人情報が漏えい,滅失又はき損をした場合)への準備及び対応に関する規定
f) 個人情報の取得,利用及び提供に関する規定
g) 個人情報の適正管理に関する規定
h) 本人からの開示等の求めへの対応に関する規定
i) 教育に関する規定
j) 個人情報保護マネジメントシステム文書の管理に関する規定
k) 苦情及び相談への対応に関する規定
l) 点検に関する規定
m) 是正処置及び予防処置に関する規定
n) 代表者による見直しに関する規定
o) 内部規程の違反に関する罰則の規定

<運用>
・特に引っ掛けのような指摘はないでしょう。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 14:15| Comment(0) | TrackBack(0) | 日記

2007年09月03日

ISO20000(ITサービス)認証取得セミナー 無料ご招待

内部統制やJ-SOX法関係で注目されているISO20000認証(ITSMS)のセミナーを実施します。

このblogの読者に限って無料でご招待いたします。

こちらの「お申込書」にご記入の上、以下の番号にFAXしてください。
お申込書(PDF):ここをクリック
FAX:03-3984-8586

<概要>
 日 :2007年9月6日 (木)
時 間:14:20〜16:30 (14:00受付開始)
対象者:ISO20000認証取得をご検討の企業の方、
     情報システムの責任者・担当者の方
参加費:1社2名様まで 事前申込3,000円 当日5,000円
会 場:東京国際フォーラム ガラス棟 G508会議室
東京都千代田区丸の内3-5-1各線有楽町駅よりスグ
定 員:16名様先着限定

コメント欄に「endoのblog見た」とご記入ください。参加費無料とさせていただきます。

また、ご来場者全員に「ITSMSユーザーズガイド」(JIPDEC発行)を差し上げます。

ITSMS_UsersGuide.JPG

では会場でお会いしましょう。
posted by endo at 20:54| Comment(0) | TrackBack(0) | 日記

2007年08月28日

最近の指摘事項の傾向と対策(5) 「3.3.4 資源,役割,責任及び権限」

本日は「3.3.4 資源,役割,責任及び権限」に関する指摘事項の傾向と対策です。
(ガイドラインP. 27)

これは比較的簡単です。

<文書作成>
ガイドラインの通りに文書を作成すればいいだけです。

「1. 各担当者の役割・権限が明確に定められ、文書化されていること。」という点については、体制組織図とそれに対応する職務権限を記述するのがわかりやすくておすすめです。

その職務権限を記述する場合、JIPDECへの申請様式「個人情報保護体制(様式2006-5)」にできるだけ合わせると便利です。

(新規申請書類一式)
http://privacymark.jp/application/new/doc/new2006.doc


<運用>
ガイドラインのポイントを自分でチェックして問題なければ大丈夫です。
ここでは審査上重箱の隅をつつくようなところはありません。

体制組織を確立する上で、誰を個人情報保護管理者にして誰を個人情報保護監査責任者にするのか、どのくらい兼任が可能かというのが問題になることがあります。

大体次のように考えてもらえばと思います。

△ 代表者 = 個人情報保護管理者
  (2、3人の会社であれば仕方がないでしょうが、そうでなければ別の人にするように言われることが多いです。)
× 代表者 = 個人情報保護監査責任者
× 個人情報保護管理者 = 個人情報保護監査責任者

私は2名の会社のPマーク取得コンサルをしたことがあります。

その時は、
代表者 = 社長
個人情報保護管理者 = 社長
個人情報保護監査責任者 = 社員
で実施し何の問題もありませんでした。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 11:50| Comment(0) | TrackBack(0) | 日記

2007年08月20日

最近の指摘事項の傾向と対策(4) 「3.3.3 リスクなどの認識,分析及び対策」

本日は「3.3.3 リスクなどの認識,分析及び対策」に関する指摘事項の傾向と対策です。
(ガイドラインP. 26)

これはなかなか手ごわいです。

<文書作成>
まず、「1 目的外利用を行わないため、必要な対策を講じる手順を確立し,かつ,維持するよう規定し」なくてはなりません。

これは私なら次の規定で網羅します。

a. 個人情報を新しい形態で利用する場合は、その利用目的とともに、あらかじめ個人情報保護管理者の承認を得なくてはならない。個人情報保護管理者は、その利用形態が目的外利用に当たらないことを確認した上で承認する。

b. 新しい種類の個人情報を取得する場合は、利用目的をできる限り特定し、あらかじめ個人情報保護管理者の承認を得なくてはならない。個人情報保護管理者は、承認したら台帳にその利用目的を記載する。

c. 利用目的が定められていない個人情報は利用してはならない。

次は、「2 洗い出された個人情報について、ライフサイクルに応じてリスクを洗い出し、リスク分析を実施し、リスクに応じた対策を講じ、残存リスクを把握する手順が明確で」なくてはなりません。

これが一番頭が痛いところで、各社工夫のしどころかと思います。
うまくやれば、単純で効率的にできますし、下手をすれば手間ばかり掛かって実行しづらいものになって後悔します。

これについては、このblogで具体的に語るには少々ボリュームがありすぎます。

興味をお持ちでしたら弊社のセミナー等にご出席いただくか、電話等でお問い合わせいただければと思います。

とはいえ、JIPDECさんが用意している、とても参考になる資料があります。
「プライバシーマーク制度説明会資料(平成18年11月〜平成19年3月開催)」
http://privacymark.jp/seminar/documents/pdf/system_seminar_H18.pdf
これのパワポのカードナンバーで15番、「リスク分析とその対策(例)」(仮に「リスク分析表」と言います)です。

極端に言えば、特定した個人情報ごとにこれを作成するよう規定すればいいのです。

したがって、この「リスク分析表」を誰がどのタイミングで作成し、誰から承認を得るのかを規定する必要があります。

もうひとつは、「3 定期的な見直し、及び必要に応じた随時の見直しの手順が明確であること。」ですが、これはまず「個人情報保護管理者は、毎年●月に全社的にリスク分析を見直してすべての『リスク分析表』を最新の状態にする」という旨と「個人情報保護管理者が認めたときは、同様に全社的にリスク分析を見直してすべての『リスク分析表』を最新の状態にする」という旨のルールを設ければいいでしょう。

リスクの分析にスコアリングを行っている例がありますが、これはあまり意味がないので私はあまりお勧めしません。
(スコアリングを勧める審査員も私の知る限りほぼ皆無です。)

<運用>
・まず、すべての個人情報について「局面ごと」にリスクが分析されているかがポイントです。
 各個人情報ごと(取扱いが同じものはグルーピング可)に先程の「リスク分析表」が記述されていること。
 そうすれば大きな問題にならないはずです。
・新JISでは、この「リスク分析とその対策」で言う「関連規程」がポイントです。
 つまり、「想定されるリスク」に対して「選択したリスク対策」を考えますが、それからさらに踏み込んで、「関連規程」に「そのリスク対策を、どの文書(規程)のどの項番に記述したか」を記述することが求められます。でないと、「リスクと対策との関連が明確でない」という趣旨の指摘事項を頂戴します。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 16:35| Comment(0) | TrackBack(0) | 日記

2007年08月09日

最近の指摘事項の傾向と対策(3) 「3.3.2 法令,国が定める指針その他の規範」

本日は「3.3.2 法令,国が定める指針その他の規範」に関する指摘事項の傾向と対策です。
(ガイドラインP. 24)

<文書作成>
・これは誰が法令等を特定し、どのように定期的に見直すのかの手順が書かれている必要があります。

<運用>
・法規等の台帳を作成したら、日付と作成者承認者のハンコが押されているべきです。
・法規等においては、事業所があるすべての都道府県や市区町村の個人情報に関する条例を洗い出す必要があります。
・法令等は、法令自体の最終更新年月日も合わせて記述しておく必要があります。これは最新版を参照していることを確実にするためです。
・経済産業省のガイドラインだけではなく、社員情報の管理として厚生労働省のガイドラインも含めるべきです。
・その他、業態独特の法律等は挙げておきたいものです。
 (Eコマース等をしているのであれば「特定商取引に関する法律」など)
・特定の量が少なすぎると「特定漏れがある」として指摘が出ます。
・特定の量が多すぎると「維持管理できない。実際に即したものにすること」などの指摘が出ます。

以下に法規等の特定の例を挙げます。

個人情報保護に関する法律
個人情報の保護に関する法律施行令
個人情報の保護に関する基本方針
東京都個人情報の保護に関する条例
新宿区個人情報の保護に関する条例
不正アクセス行為の禁止等に関する法律
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
JIS Q 15001
情報システム安全対策基準(通産省)
コンピュータ不正アクセス対策基準(通産省)
コンピュータウイルス対策基準(通産省)
雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針について(厚労省)
雇用管理に関する個人情報のうち健康情報を取扱うに当たっての留意事項について(厚労省)
個人情報保護に関するコンプライアンス・プログラムの作成指針
プライバシーマーク付与申請指針
プライバシーマーク制度パンフレット
JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―
特定商取引に関する法律
特定商取引に関する法律施行令
特定商取引に関する法律施行規則
特定商取引に関する法律等の施行について

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 18:25| Comment(0) | TrackBack(0) | 日記

2007年07月31日

最近の指摘事項の傾向と対策(2) 「3.3.1 個人情報の特定」

本日は「3.3.1 個人情報の特定」に関する指摘事項の傾向と対策です。
(ガイドラインP. 24)

<文書作成>
・どのように個人情報の管理台帳を作成し、承認するか、その手順が明確である必要があります。
・次の3点が網羅されて規定化されていれば大丈夫でしょう。
 1) まず、PMS導入時の個人情報の調査の手順。ここで個人情報の台帳整備を行います。
 2) 次に、定期的(年に1度)の台帳の見直しの手順
 3) さらに、新しい種類の個人情報を取得する場合に、台帳に登録される仕組み。通常は、新しい種類の個人情報を取得する場合にはあらかじめ申請し、承認を得るようにします。
 台帳には、日付と作成者と承認者の証跡が残るようにする(つまり、ハンコ欄を設ける)のが審査対応的には望ましいです。
 台帳にはどのような項目を入れるべきかというのが時々問題になりますが、少なくとも、JISのP. 14「3.2.1 個人情報の特定(本体の3.3.1)」に列挙されている項目とガイドラインのP. 9「ステップ5:個人情報を特定する」で列挙されている項目は網羅しておくべきでしょう。

<運用>
・台帳が作成されていて、日付と作成者承認者のハンコが押されているべきです。
・「PMSの運用の記録に関する個人情報の特定に漏れがある」という指摘を受けることが極めて多いです。
 この対策としては、個人情報の管理台帳に、教育記録、誓約書、同意書、最終退出記録、お客様入館記録(来客記録)、監査報告書など、考えられるものをすべて載せておくことです。
 審査員は、個人情報の特定の漏れについては、その会社の本業に関する個人情報の漏れは見つけにくいので、どうしてもPMSの運用の記録をチェックしがちです。ですので、審査対策としては(変な話ですが)本業の個人情報以上に注意を置いて細かく挙げることをお勧めします。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 18:54| Comment(0) | TrackBack(0) | 日記

2007年07月26日

最近の指摘事項の傾向と対策(1) 「3.2 個人情報保護方針」

新JISで審査を受けた事業者様が私のクライアント様でもかなりの数になってきましたので、私の独断と偏見に基づいて、最近の審査の傾向と対策をお知らせしたいと思います。

「傾向と対策」なので、内容はある程度JISを理解している方、特に会社で個人情報保護管理者またはその方の実務を担当している方向けに書くつもりです。

文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf

ガイドラインを見て容易にわかることは省きます。

さて、本日は、「3.2 個人情報保護方針」
(ガイドラインP. 23)

<文書作成>
・内容については、要求事項通り、a)〜f)のすべての事項が正しく記述されていれば問題ありません。
・個人情報保護方針に制定日と最終改訂年月日が記述されている必要があります。
 一度も改訂していないのであれば、「制定日:xx年xx月xx日」と記述します。
 そうでないと、「日付が制定日なのか改訂日なのか不明」という指摘を受ける可能性があります。

<運用>
・社内で承認された個人情報保護方針とwebやオフィス内で公表している個人情報保護方針が同一文言である必要があります。
 「webには問合せ先があるのに、オフィスでの掲示には問合せ先が記述されていない」という指摘を受けたことがあります。
 オフィスには社員しかいないし、問合せ先なんて書かなくてもわかるので、なくてもいいと思うのですが、そこは審査員。しっかり自分の仕事をしていきます。
posted by endo at 10:53| Comment(0) | TrackBack(0) | 日記

2007年07月11日

ISMS認証取得セミナー開催(当blog読者特別無料ご招待)

前回満足度100%を記録した「ISMS認証取得セミナー」をもう一度行います。

以下の申込書をダウンロードしてFAXにてお申し込みください。
FAX番号:03-3984-8586

「ビジネス飛躍への第一歩 ISMS認証取得セミナー申込書」(PDF)
http://optima-solutions.jp/misc/200718_seminar.pdf
(本申込書に"endoのblogを見た"とご記入ください。参加費を無料とさせていただきます。)

概要は以下の通りです。

2007年7月18日(水)
14:20〜16:30(14:00 受付開始)
対象者:ISO27001の認証取得をご検討されている企業様
情報セキュリティの体制構築をご検討されている方
情報システム管理者、情報セキュリティ担当者
参加費:1社2名様まで 事前申込3,000円 当日5,000円(当blog読者は無料 上記参照)
会 場:ベルサール神田 3 階 Room5
東京都千代田区神田美土代町7 住友不動産神田ビル
定 員:20名様限定
(座席に限りがございます。お早めにお申込み下さい)

内容は、

<第1部> 単価アップ・成約率向上のISMS 認証取得
 ISMS の導入により、もっとも困難な人的セキュリティの向上を実現!
 今さらきけない、情報セキュリティの基本の「き」
 講師:弊社コンサルタント 柄澤 明久

<第2部> 審査機関、BSI ジャパンが語る、ISMS 審査の実態
 「審査における不適合は、怖がる必要はないんです。なぜなら・・・」
 講師:ビーエスーアイジャパン株式会社
 マネージャー・鎌苅 隆志氏

ISMS認証はプライバシーマーク同様、情報セキュリティーに関するマネジメントシステムを構築する上でとても有効です。

また、近年のJ-SOX法や内部統制に関連して注目を集めています。

ISMS認証とプライバシーマーク、どちらを取るべきか?
また、その違いとは?
どのようにしたら審査を無事切り抜けることができるのか?

そのような疑問をお持ちの方はぜひお申し込みください。

本セミナーのお申し込みは、席が埋まり次第締め切らせていただきます。あらかじめご了承ください。

では、会場でお会いしましょう。
posted by endo at 10:14| Comment(0) | TrackBack(2) | 日記

2007年06月29日

「黙示の同意」アリ?

JISが2006年版になって、個人情報を利用して本人にアクセスする場合、例外を除いて本人の同意が必要となりました。(3.4.2.7 本人にアクセスする場合の措置)

そしてJISの解説によると、「回答が無い場合に黙示の同意があったものとみなすことは原則として不適切である」としています。

ですので、「黙示の同意」というのはもう完全になくなったのかと思っていたら、そうでないことがわかりました。

先日、NPO 日本システム監査人協会主催の「個人情報保護マネジメントシステム構築のための実務者養成セミナー」に参加したのですが、財)日本情報処理開発協会プライバシーマーク推進センター副センター長の関本様のお話の中で、「本人が心理的負担や経済的負担を感じることなく明示的に回答できる措置を講じている場合は、同意があったとみなすことができる」とおっしゃってました。(配布資料にも明記されています。)

私はこのような話を聞いたのは初めてで、しかも話されているのがJIPDECの偉い方でしたので、お話の後、ずうずうしくも、それはどこに書いてあるのか、と直接聞きに行きました。

そうして示してくださったのが、「個人情報保護マネジメントシステム要求事項の解説―JIS Q 15001:2006」(日本規格協会)という本です。

もちろん、この本は私も持っていましたが、JISの本文と解説を焼きなおしているだけだと思っていました。

しかし、この本のP. 97にありますね。
引用します。
「よって本人が明示的に意思表示しようと思えば、心理的及び経済的に大きな負担もなく容易に意思表示できたにもかかわらず、同意の意思が示されなかったような場合については、黙示の同意があるとみなすことができると考えられる。」

この部分で関本さんは、次のような趣旨の解説をしていらっしゃいました。

心理的負担とは、例えば、同意しない意を表明するにあたって、返信用のはがき等にわざわざ自分の名前を書いて訂正箇所を示して送り返すのは面倒だ。また、自分の個人情報をはがきのような誰にでも見れるもので送るのはいやだ。というものが考えられる。

そこで、あらかじめその人の氏名を印刷しておき、返送の際は、外から中身が見えないような保護シールで覆うようにするなどが考えられる。

経済的負担とは、返信の切手代等が考えられる。

そこで、返信者が切手代を負担しなくていいような方法で返信できるようにすることが考えられる。

この情報は大いに役に立ちました。

何といっても、あの関本さんの発言ですからね。

そう考えると、例えばメルマガ発信も、安心してとは言わないまでも、それなりの根拠を持って実施することができそうですね。

それにしても、Pマークの審査員が、JISにも、JIPDECのガイドラインにもない、この本にしかない情報で審査していたというのは私には驚きでした。

今日は忘れないように、メモ書きでした。

「個人情報保護マネジメントシステム構築のための実務者養成セミナー」
http://www.saaj.or.jp/kenkyu/kojinjouhou_jitsumu2007tokyo.html


「個人情報保護マネジメントシステム要求事項の解説―JIS Q 15001:2006」(日本規格協会)
http://www.amazon.co.jp/%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1%E4%BF%9D%E8%AD%B7%E3%83%9E%E3%83%8D%E3%82%B8%E3%83%A1%E3%83%B3%E3%83%88%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E8%A6%81%E6%B1%82%E4%BA%8B%E9%A0%85%E3%81%AE%E8%A7%A3%E8%AA%AC%E2%80%95JIS-Q-15001-%E9%88%B4%E6%9C%A8-%E6%AD%A3%E6%9C%9D/dp/4542306011
posted by endo at 20:02| Comment(0) | TrackBack(0) | 日記

2007年06月12日

国民生活審議会第18回個人情報保護部会の資料が出ました

国民生活審議会は、消費生活関係を中心テーマとする、内閣総理大臣または関係各大臣の諮問に応じて開かれる審議機関です。

これは、個人上保護法の施行状況のフォローアップを行う機関でもあります。

その国民生活審議会が、第18回個人情報保護部会の資料を発表しました。

個人情報取扱事業者は、現在のままでいいのか?
(現在、個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれの日においても5,000 を超えない者は、個人情報取扱事業者から除外されている。)

過剰反応を反映して、法律の見直しはあるのか?

現在、不適切な取扱があった場合だけ、事業者は利用停止などに応じればよいようになっているが、それは法律として適切なのか?

など、同法について様々な意見がありましたが、どうやら法律の文言の見直しまでは求めないようです。

一番上位レベルのルールでも、「個人情報の保護に関する基本方針」(閣議決定)の見直しに留まるようです。

過剰反応も、概ね落ち着いてきたということですね。

一国民としては、過小反応にどう対処するか、悪質な業者(スパムメーラーなど)にどこまで効果的な手を打てるか、ということが気がかりですね。

平成19年6月11日 : 国民生活審議会第18回個人情報保護部会の資料を掲載しました。 (国民生活審議会)
http://www5.cao.go.jp/seikatsu/kojin/index.html
posted by endo at 14:37| Comment(0) | TrackBack(0) | 日記

2007年05月28日

情報処理推進機構(IPA)が最新の情報セキュリティ対策に関する文書を公開

情報処理技術者試験などを実施しているIPAですが、情報セキュリティについても積極的に活動しています。

そのIPAが、最新の情報セキュリティ対策に関する文書を公開しました。

大きく分けて以下の3つの文書です。
・小規模企業のための情報セキュリティ対策
・大企業・中堅企業の情報システムのセキュリティ対策 〜脅威と対策〜
・電子メールのセキュリティ“電子メールの安全性を高める技術の利用法”

これがものすごい量のページ数です。

図入りでとても親切に解説してあります。

しかし、これだけの文書を読むのはなかなか気合がいります。

情報セキュリティ関連の試験を受ける人、またはそういう人への入門書として最適ではないかと思います。

「電子メールのセキュリティ対策」など、最新の情報セキュリティ対策に関する文書を公開(IPA)
http://www.ipa.go.jp/about/press/20070523.html
posted by endo at 08:59| Comment(0) | TrackBack(0) | 日記

2007年05月18日

またしてもPマーク取得事業者から流出?

報道によると、山口市と長崎県対馬市、愛媛県愛南町の業務を請け負っていた情報処理会社の元社員のパソコンから、ファイル交換ソフト「ウィニー」を通じ、住民の個人情報がインターネット上に流出していたことが分かったそうです。

流出状況は池の通り:
山口市:合併前の旧秋穂町の住民計約7,000人分の課税業務用の氏名、住所、納税額、金融機関の口座番号
対馬市:1132人分、
愛南町:住民基本台帳情報など少なくとも約4万2000件の情報

これらはシステム統合の作業を請け負っていた「麻生情報システム」の社員の個人パソコンから流出したとのこと。

「麻生情報システム」さんを調べてみると、Pマーク取得事業者さんではないですか。しかも更新も一度経験しておられる、どちらかと言えばベテランです。

ここもJIPDECから何らかの処分の発表がされることになるのでしょうか?
(認定取り消しにはならないでしょう。欠格レベル3か4というところ?)

原因はまだはっきりわからないので何とも言えませんが、個人的には、やはりJISで求められる教育、監査の重要性を感じました。

Pマーク取得は、取得だけではなく、運用もまじめに考えないと、このような事件は後を絶たないでしょうね。

トップと個人情報保護管理者様の意気込みに依存するところが大きいかと思います。

この多忙な日常の業務に追われている中、なかなか注意を払いにくい点ですし、考えたくない領域ですが。


参考リンク:

MSN毎日インタラクティブ「住民情報:大量流出…委託元社員から 西日本3市1町」
http://www.mainichi-msn.co.jp/shakai/wadai/news/20070517k0000m040178000c.html
(ところで、毎日の記者さん、「ウィニー」は感染しませんよ)

麻生情報システム
http://www.aso-group.co.jp/ais/

JIPDEC「欠格性判断基準の設定と運用方法」
http://privacymark.jp/news/20060331/disqualification_criterion.html#section3
posted by endo at 11:02| Comment(0) | TrackBack(1) | 日記

2007年05月07日

法規等の一覧を見直しましたか?

JISの「3.3.2 法令、国が定める指針その他の規範」では、「事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない。」としています。

そのため、個人情報保護マネジメントシステムでは、法規等の一覧を作ってそこにurlを記載して運用しているケースが多いと思います。(実際に法規等を印刷して配布しているところは最近見ませんね。)

そして、ゴールデンウィークも明けた今、法規等の一覧を見直す良い機会ではないでしょうか。
理由はふたつあります。

理由1. 個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインが新しくなった。
理由2. JIPDECプライバシーマーク事務局のホームページが刷新された。

理由1.はみなさんご存知の通りです。ご存じない方はこちらをどうぞ。
http://blog.optima-solutions.jp/archives/50655391.html

これにともなって、urlが変わりますし、「最終改定日」も変わりますので、みなさんの法規等の一覧にそれを反映してください。

理由2.については、別に大したことが無いように思えますが、これに伴って参照文献のurlが変わってしまった!
例えば「個人情報保護に関するコンプライアンス・プログラムの作成指針」や「プライバシーマーク付与申請指針」や「個人情報保護マネジメントシステム実施のためのガイドライン」など。
ですので、それらが法規等の一覧に入っていたら、それぞれ正しいurlに書き換えましょう。

それから、昔は教科書のようによく参照した「プライバシーマーク制度における監査ガイドライン」がJIPDECのwebから消えました。
ですので、みなさんの法規等の一覧にそれが入っていたら、削除しましょう。

上記ふたつに加えて、新しい年度の始まりでもありますので、皆さんの会社の法規等の一覧を全部見直すことをお勧めします。
みなさんの会社に関係のある法律が改正されているかもしれません。

よく観てみたらurlがリンク切れ状態だったなんてことも。。。
posted by endo at 21:26| Comment(0) | TrackBack(0) | 日記

2007年04月10日

JIPDECプライバシーマーク事務局のホームページが刷新

ようやくプライバシーマーク事務局のホームページが刷新されました。

これまでは何となく手作り風のつくりで、非常にマイナーなイメージでしたが、今度はかなりまともになりました。

「そもそもプライバシーマークとは何か」の説明さえなかったこれまでのホームページから比べると格段の向上です。

FAQもあります。(コンテンツはこれからというところでしょう。)

今後の拡張に期待したいと思います。

<JIPDECプライバシーマーク事務局>
http://privacymark.jp/
posted by endo at 13:20| Comment(0) | TrackBack(1) | 日記

2007年03月29日

大日本印刷株式会社からの個人情報漏えい事故に関してJIPDECが陳謝

JIPDECが「大日本印刷株式会社からの個人情報漏洩事故について」という文書を発表しました。

そこでは、今回の大日本印刷株式会社に対する処分について賛否両論の意見があったと言っています。

当然でしょうね。私の身の回りにも賛否両論の意見がありました。

それはそれとして、今後のJIPDECの対応も興味深いです。

まず、「制度の信頼確保に全力を尽くす」としています。その中には認定事業者の啓発の他、審査業務と審査員の質向上も謳われています。もっともなことです。ということは、今後の審査は認定事業者が事故を起こさないように厳しく審査するということでしょうか。

もうひとつは、「制度の改革を検討する」としてます。これはJIPDECが認定事業者をより監視・監督できるように見直す、大規模事業者の審査の方法を見直す、それから内部監査担当者の監査知識・能力を客観的に評価する仕組みを見直すということです。

この最後の「内部監査担当者の監査知識・能力を客観的に評価する仕組み」というのが一番興味を引きました。

これはもしかすると、ある種の認定制度や試験制度を設けるということでしょうか?

制度の見直しといえば、「認定機関が審査をするのではなく、審査登録機関が審査して認定機関が認定する」という方向には向かっていかないのでしょうか?

成り行きが注目されます。

いずれにしても、JIPDECがここまで責任を感じているとは思いませんでした。

審査機関・認定機関がどこまで介入するのかということについては、「認証(特にISO900xとかISMSとか)とチャールズ1世」というblogが興味深い見解を残しておられます。

「大日本印刷株式会社からの個人情報漏洩事故について」(JIPDEC)
http://privacymark.jp/dainihon_rouei_seimei070327.pdf

「不二家のISO9001剥奪は不思議」(「認証(特にISO900xとかISMSとか)とチャールズ1世」)
http://latency.cocolog-nifty.com/rout/2007/03/p_5fb0.html
posted by endo at 12:02| Comment(0) | TrackBack(1) | 日記

2007年03月25日

個人情報の事故で大日本印刷株式会社に「要請」処分

業界を震撼させた大日本印刷事件ですが、JIPDECが態度を示して「要請」処分を発表しました。

これは「認定取消」の次に重い処分。

大体予想通りの処分ですね。

この処分を見て「Pマークって簡単に取り消されないから意外と安心」と思う人もいるかもしれません。

そもそもPマークは、PDCAを回すマネジメントシステムという自己改善システムであり、事故が起きないことを約束するものではありません。

とはいえ、大日本印刷さんのレピュテーションダメージは小さくないでしょうね。

最近、委託先での事件が目に付きます。

誰だって大日本印刷さんなら、他のどの会社より信用するでしょう。何といっても業界トップなんですから。

でも、その大日本印刷さんが使っている委託先をそこまで信用するとは限りません。

ということは、Pマーク取得事業者は、当然行っている(はず)の委託先管理について、本当に真面目に実施しないと、自分が痛い目にあうかもしれない、そのように考えさせられる出来事でした。

<個人情報の事故で大日本印刷株式会社に「要請」処分>(JIPDEC)
http://privacymark.jp/HP_dainihonnjikokouhyou070323.pdf
posted by endo at 22:33| Comment(0) | TrackBack(1) | 日記

2007年03月09日

プライバシーマーク制度説明会資料がダウンロードできます

JIPDECが行ったプライバシーマーク制度の説明会資料がダウンロードできるようになっています。

説明会に出席された方も、出席されなかった方も、Pマークに関係のある方は手に入れておきたい資料です。

通り一遍のことしか書いてありませんが、包括的でそれなりに役に立ちます。

PMS実施のためのステップも、説明会当時はStep 4、6、8が抜けていましたが今回は入っています。

あと、なぜか「リスク分析とその対策(例)」が90度回転して縦軸と横軸が入れ替わっています。(どっちにしても同じことですが。でも、それならなぜ?)

でも、こういうのがどんどん入手可能になると、事業者も作業をより進めやすくなっていいですね。

「『プライバシーマーク制度説明会』の資料はこちらから入手できます。」(JIPDEC)
http://privacymark.jp/ref/0308/Pseidoseminar_H18.pdf
posted by endo at 18:22| Comment(0) | TrackBack(0) | 日記