2012年11月01日

理解度確認テストの合格点は何点以上でないといけないのか?

プライバシーマークの認証基準であるJIS Q 15001では、従業者に対する教育を求めています。

また、ガイドライン( http://privacymark.jp/reference/pdf/guideline_V2.0_120907.pdf#page=135 )では、受講者の理解度を確認することを求めています。

したがって、教育後、テストを実施することが一般的です。
(アンケートという方法もありますが、理解されたかどうかの判断が難しいところです。
明らかに、「理解しましたか?」という設問では、理解したことを確認できないでしょう。)

さて、この理解度テスト、何点以上を合格点とするか?
何点以下なら再試験とするか?

テストの作り方にもよりますが、私は合格点という考え方はナンセンスだと思います。

というのは、業務上理解しておいて欲しい事項は全て理解してもらわなければならず、テストが99点でも、間違った1点を放置していいことにはならないからです。

じゃぁ、100点でなかった人は全員、補講や追試が必要なのか?

そこまでの要求はありません。

例えば、テストを採点して、正解と一緒に本人に戻し、理解したらそのテストを返してもらう方法もあるでしょう。

あまりにもナメた解答だったら、採点して本人に返し、もう一度同じテストをやらせて、少しまともになったら正解と一緒に本人に戻し、理解したらそのテストを返してもらうという方法もあるでしょう。
(まじめに答えている人と同じ扱いでは不公平ですよね。)

もちろん、正解になるまで次に進めないい設計のe-learningも有効です。

上記のいずれの方法でも審査で問題になることはないはずです。

結局、必要なことを理解してもらうことが重要ということですかね。
posted by endo at 22:54| Comment(0) | TrackBack(0) | 日記

2012年10月31日

個人情報の入力画面で同意を得る内容は「個人情報保護方針」ではない

プライバシーマークの認定を受けている会社は、ウェブサイトなどで個人情報を取得する場合、その個人情報の利用目的などを明示して本人から同意を得る必要があります。

この明示する内容を「個人情報保護方針」としている会社が意外と多く、プライバシーマーク的には正しくないです。(サイトの作り方により例外はあります。)

理由は、ウェブサイトで個人情報を取得する場合は、JISの「3.4.2.4 本人から直接書面によって取得する場合の措置」に従って、同箇条のa)〜h)を示す必要があり、この内容は個人情報の取得の状況ごとに異なるからです。(例えば、お問い合わせ用の画面の利用目的とスタッフ募集用の画面の利用目的は異なるでしょう。)

一方で、「個人情報保護方針」は、1法人1文書ですので、全体的なことしか記述されていません。

したがって、「個人情報保護方針」内容を示しても、JIS 3.4.2.4のa)〜h)を示したことにはなりません。

同様に、その会社で扱っている全ての個人情報の利用目的を示したページを示して同意を得ているケースも正しくありません。

なぜなら、個人情報を取得する場合に示す利用目的は、「その個人情報」の利用目的だからです。例えば、お問い合せフォームであれば「お問い合わせに適切に対応するため」というのがそこで示されるべき利用目的でしょう。その利用目的の他に「採用業務を適切に遂行するため」とか「伝票の印刷・発送サービス等の情報処理サービスを受託業務として行うため」などということも書かれてあって、それにも同意しなくてはならないとしたら合理的ではないでしょう。

プライバシーマークの認定を受けた直後は正しくできていたのかもしれませんが、サイトを改修したり、会社が合併したり、担当者が変わったりしてうまくフォローできていないのかもしれません。

プライバシーマークの更新認定の際にはしっかり確認され、正しくできていなければ指摘を受けますので、心配な方は今一度ご確認されることをお勧めします。
posted by endo at 12:08| Comment(0) | TrackBack(0) | 日記

2012年10月24日

個人情報管理台帳の「件数」

プライバシーマークの認定基準であるJIS Q 15001:2006の「3.3.1 個人情報の特定」では、
「事業者は,自らの事業の用に供するすべての個人情報を特定するための手順を確立し,かつ,維持しなければならない。」
としていて、具体的には個人情報の一覧表、いわゆる「個人情報管理台帳」(以下「台帳」)のようなものを整備することを要求しています。

この台帳の項目に何が必要かというのは「JIS Q 151:26をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」http://privacymark.jp/reference/pdf/guideline_V2.0_120907.pdf
のP. 36が参考になります。

その必須項目のひとつに「件数」があります。

同ページの注意書きには「※ 件数は概数でよい。台帳管理の主旨は、1件残らず漏れなく管理していることの証明ではなく、組織内での個人情報の取扱状況を把握することにある」とあります。

つまり、正確な件数を把握するのではなく、むしろどれだけの数の個人情報が社内にある、または流れているのかを把握して欲しいということです。

これはすなわち、件数が多いものは、少ないものよりも注意を払う必要があるだろうし、個人情報の件数規模を把握することはリスク対策にも影響するだろうという理由からでしょう。

そこで、最近の審査では、件数を単に「○○件」と表記するのではなく、「○○件/年」、「○○件/月」、「○○件/累計」などと表記することを求められることが多くなってきています。
(この場合も、大体の平均で結構です。)

通常1年以上保管するものについては「累計」表記でいいでしょう。

一方で、例えば1回500人位を対象とするキャンペーンを年に4回実施し、個人情報はキャンペーン終了から1ヵ月以内に消去するのであれば、「2000件/年」などの表記の方が正しく規模を把握できるでしょう。

あるいは、毎月10人程度の応募があって、その際の個人情報は2週間程度でで消去するのであれば、「10件/月」の方がわかりやすいかもしれません。

次回、個人情報管理台帳の見直しをするときは、この点も考慮するといいかもしれません。

どのような表記がベストか困ったら、ご契約されているコンサルタントに尋ねるか、弊社までご連絡ください。(^^)v

http://www.optima-solutions.jp/inquiry/index.html
posted by endo at 13:11| Comment(0) | TrackBack(0) | 日記

2012年10月17日

最近の法令や指針等の改正状況

プライバシーマークの更新審査のために、個人情報に関する法令や指針のガイドラインの改正状況をリストします。

すべての事業者がここにある法令等をすべてリストアップしなくてはいけないわけではありません。

例えば、派遣業をしていない会社であれば、派遣関係の法令や指針はリストアップする必要はありません。

法令等のリストは、長くなれば長くなるほどメンテナンスが困難になるので、関係ないものは載せないようにしましょう。

その一方で、リストアップしてある法令の最終改訂日が古いと、更新審査で指摘になりますので、このあたりは審査前に確認しておきたいところです。

最近改訂されているものを新しい順から並べておきます。
ご参考まで。他にも気になるものがありましたらぜひ教えてください。

・JIS Q 151:26をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―
最終改訂:2012年9月5日
http://privacymark.jp/reference/pdf/guideline_V2.0_120907.pdf

・特定商取引に関する法律
最終改訂:2012年8月22日
http://law.e-gov.go.jp/htmldata/S51/S51HO057.html

・雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項について
最終改訂:2012年6月11日
http://www.mhlw.go.jp/topics/bukyoku/seisaku/kojin/dl/161029kenkou.pdf

・雇用管理分野における個人情報保護に関するガイドライン(廃止:「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に対する指針」)
最終改訂:2012年5月14日
http://www.mhlw.go.jp/seisakunitsuite/bunya/koyou_roudou/roudouzenpan/privacy/dl/h24_357.pdf

・労働者派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備等に関する法律
最終改訂:2012年4月6日
http://law.e-gov.go.jp/htmldata/S60/S60HO088.html

・不正アクセス行為の禁止等に関する法律
最終改訂:2012年3月31日
http://law.e-gov.go.jp/htmldata/H11/H11HO128.html

・特定電子メールの送信の適正化等に関する法律
最終改訂:2011年6月24日
http://law.e-gov.go.jp/htmldata/H14/H14HO026.html
posted by endo at 10:09| Comment(0) | TrackBack(0) | 日記

2012年10月05日

「審査基準が変更になりましたので、対応をお願いします」

プライバシーマークの更新申請をすると、近ごろ文書審査で上記のようなコメントがついてくることがあります。

「何だよ勝手に審査基準変えるなよ。2年前は問題なかったじゃないか」と言いたくなります。

これは最近JIPDECが「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン【第2版】」(以下「ガイドライン」といいます。)
http://privacymark.jp/reference/pdf/guideline_V2.0_120907.pdf
を厳密に適用した審査に移行したためです。

このガイドライン自体は2年以上前からあったのですが、審査基準を急に変えると混乱が生じるので、それを避けたため今頃の移行となったと思われます。

さて、どのようなポイントが変更になったか、以下に簡単にまとめます。

ガイドラインのページ番号を参照しながら挙げていきます。

P. 59 「4 審査の項目とその着眼点」
2.
本人以外から個人情報を取得する場合(受託による取得を含む)、
提供元又は委託元が個人情報を適正に取り扱っていることを確認するよう規定していること。

P. 24 「4 審査の項目とその着眼点」
2(3)
リスク対策は事業者の代表者の承認を得て決定していること。

P. 81 「4 審査の項目とその着眼点」
5(1)
定めた手順に従い、共同利用者との間で必要事項について取り決めていること。

P. 87 「4 審査の項目とその着眼点」
7(1)
定めた手順に従い、共同利用者との間で必要事項について取り決めていること。

P. 112 「4 審査の項目とその着眼点」
7(1)
ビデオ及びオンラインによる従業者のモニタリングを実施する場合、
その措置の実施について規定していること。

文書審査については、上記の点を見直すだけで、かなり指摘が減るでしょう。

また、上記のそれぞれの「現地審査の項目」と「審査の着眼点」を確認するのも有益です。

ご契約されているコンサルタントに、これを見せて「どう対応したらいいのか教えて」とリクエストするのもいいでしょう。

あるいは、弊社までご連絡ください。(^^)v

http://www.optima-solutions.jp/inquiry/index.html
posted by endo at 18:33| Comment(0) | TrackBack(0) | 日記

2011年03月28日

青森県、岩手県、宮城県、福島県、茨城県に本社のある事業所のPマーク更新申請期限を緩和

JIPDECのプライバシーマーク事務局によると青森県、岩手県、宮城県、福島県、茨城県に本社のある事業所で、平成23年10月末日までに有効期間の満了を迎える対象事業者については、申請期限を迎えた後も有効期間の満了日まで申請を受け付るそうです。

東北地方太平洋沖地震により被災された付与事業者の皆様へ
〜更新申請期間の取扱いについて〜
http://privacymark.jp/news/2011/0325/index.html

実際はそこに本社がなくても、支社や関連企業がその地域にあったりしてプライバシーマークどころではない会社はたくさんあるでしょう。

その場合、どうすべきか。

とりあえず、自分の会社の審査機関に電話してみることをお勧めします。
悪い結果にはならないはずです。
posted by endo at 15:56| Comment(0) | TrackBack(0) | 日記

2010年11月10日

JIPDEC - 個人情報の取扱いの再確認について(注意喚起)-

プライバシーマーク事務局が、「個人情報の取扱いの再確認について(注意喚起)」の文書を発行しました。

要するに、各自治体の条例も意識して遵守しなさいということのようです。

最近、審査の現場では、JISの「3.3.2 法令、国が定める指針その他の規範」において、地方にある拠点の条例は特定しなくてもいい旨のコメントをされる審査員もいて、これは最近の審査の傾向でした。

少しルーズになりすぎたということでしょうか。
再度揺り戻して、拠点所在地の地方自治体の条例は特定するべきと考えた方がよさそうですね。

http://privacymark.jp/reference/pdf/kojinjoho_manage101109.pdf

ただ、派遣社員が勤務している場所の条例までは特定しなくてもいいと思います。
posted by endo at 13:14| Comment(0) | TrackBack(0) | 日記

2010年09月29日

(セミナー案内)「プライバシーマーク取得って大変なの?」〜6か月でPマークを取得するコツ〜

本日は弊社主催のPマーク セミナーのご案内です。

参加費は5,000円(当日申込8,000円)のところ、インターネットで事前申込みいただければ無料です。

日時:2010年10月12日(火)14時受付開始(〜16時半)
対象者:対象者:プライバシーマーク取得を検討している企業の方
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
※インターネット申込み特典として事前予約時の参加費は無料といたします。
会場:東京国際フォーラム

お申込みは以下のリンクから。
http://www.optima-solutions.jp/seminar/index.html
(満席になり次第受付を終了します。)

内容は以下の通りです。

第1部 6か月でPマークを取得するコツ
 ・Pマークとは何なのか?・素早く、あまりお金をかけずに、手間も節約して取る方法とは。
 講師:弊社代表取締役 中 康二(なか こうじ)

第2部 これなら、わかる!プライバシーマーク取得のツボ
 ・Pマーク取得までの一連の作業内容を、順を追ってご説明。
 講師:弊社シニアコンサルタント・遠藤 朝永

無料診断
 質問表にチェックするだけで、御社の現状がよく分かる。

質疑応答
 不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。

最近の指摘事項の傾向や自力取得(自社取得)との比較にも触れられればと思っています。

お申し込みをお待ちしております。
http://www.optima-solutions.jp/seminar/index.html
posted by endo at 16:55| Comment(0) | TrackBack(0) | 日記

2010年09月21日

「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」、ダウンロード開始

「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン第二版 [単行本]」が業界で話題になりましたが、PDF版のダウンロードが始まりました。

無料ですが、単行本との違いはJISの引用がないことです。

私としては、JIS規格票を買うのであれば、単行本を買わなくてもこちらのPDFがあれば十分だと思います。

逆に単行本があれば、JIS規格票を買わなくても済むかもしれません。特にコンサルを起用する企業は、単行本1冊あれば事足りるでしょう。

「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」(PDF:1831KB)
http://privacymark.jp/reference/pdf/guideline_V2.0_100917.pdf

[単行本]
http://www.amazon.co.jp/dp/4542305376/
posted by endo at 07:34| Comment(0) | TrackBack(0) | 日記

2010年09月06日

オプティマ・ソリューションズ株式会社がプライバシーマーク認定

正直、今さら感があるのですが、当社(オプティマ・ソリューションズ株式会社)がプライバシーマーク認定されました。
認定番号:22000095(01)
http://www.csaj.jp/pmark/Ninteikigyo_list.html

長年にわたるPマーク・コンサルティング業務では定評があるものの、やはり自社が取得していないのはいかがなものかということで、このたび申請して認定を受けました。

これからもよろしくお願いいたします。
posted by endo at 09:49| Comment(0) | TrackBack(0) | 日記