2010年09月02日

(セミナー案内) 「プライバシーマーク取得って大変なの?」 〜6か月でPマークを取得するコツ〜

本日は弊社主催のPマーク セミナーのご案内です。

参加費は5,000円(当日申込8,000円)のところ、インターネットで事前申込みいただければ無料です。

日時:2010年9月14日(火)14時受付開始(〜16時半)
対象者:対象者:プライバシーマーク取得を検討している企業の方
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
※インターネット申込み特典として事前予約時の参加費は無料といたします。
会場:東京国際フォーラム

お申込みは以下のリンクから。
http://www.optima-solutions.jp/seminar/index.html
(満席になり次第受付を終了します。)

内容は以下の通りです。

第1部 6か月でPマークを取得するコツ
 ・Pマークとは何なのか?・素早く、あまりお金をかけずに、手間も節約して取る方法とは。
 講師:弊社代表取締役 中 康二(なか こうじ)

第2部 これなら、わかる!プライバシーマーク取得のツボ
 ・Pマーク取得までの一連の作業内容を、順を追ってご説明。
 講師:弊社シニアコンサルタント・遠藤 朝永

無料診断
 質問表にチェックするだけで、御社の現状がよく分かる。

質疑応答
 不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。

最近の指摘事項の傾向や自力取得(自社取得)との比較にも触れられればと思っています。

お申し込みをお待ちしております。
http://www.optima-solutions.jp/seminar/index.html
posted by endo at 12:36| Comment(0) | TrackBack(0) | 日記

2010年08月31日

プライバシーマーク事務局が「平成21年度 消費者相談受付対応概要」を公表

プライバシーマーク事務局が、平成19年から平成21年までに受付けた個人情報に係る苦情・相談等(以下「相談」)の概要を発表しました。

相談件数について、平成21年度は前年の約1.5倍とのこと。
(プライバシーマーク(ロゴ)の不正使用に関する情報提供が増加)

この要約だけを見ても具体的にどのような相談があったのかはわかりませんが、プライバシーマーク事務局は「事業者における留意点等も紹介した『相談事例集』を後日公表する予定」としているので、そちらに期待したいと思います。

また、「個人情報に係る苦情・相談等」ということですので、審査に関する苦情・相談等は(内容から見て)、含まれていないのではないかと思われます。

プライバシーマーク事務局は、最近特に、情報公開について積極的にされていますので、これからも注目していきたいと思います。

(プライバシーマーク事務局)
http://privacymark.jp/

((平成21年度)「消費者相談受付対応概要」について)
http://privacymark.jp/reference/pdf/H21SoudanGaiyou_100830.pdf
posted by endo at 12:49| Comment(0) | TrackBack(0) | 日記

2010年08月26日

最近の指摘事項の傾向と対策(36)「3.7 点検」の「3.7.1 運用の確認」

本日は「3.7 点検」の「3.7.1 運用の確認」に関する指摘事項の傾向と対策です。
(ガイドラインP. 63)

JISの「3.7 点検」には大きくふたつの要求があります。
ひとつは、「3.7.1 運用の確認」で、これは日常的な運用確認で、主に現場で行われるでしょう。

もうひとつは、「3.7.2 監査」で、これは定期的(最低年に1度)行うものであり、監査責任者が指揮します。

今日はその内の「3.7 点検」の方です。

<文書作成>
・ガイドラインには次の3点は点検の記録を残せと言っていますから、それは規定する必要があるでしょう。
 a)最終退出時の社内点検(施錠確認等)の記録を残し、定期的に確認すること
 b)最初に出社した人と最後に退社した人の記録を残し、定期的に確認すること
 c)個人情報を格納した情報システムへのアクセスログを取得し、定期的に確認すること
・審査員によっては、これに加えて、ファイル交換ソフトウェア(Winny やShare など)をインストールしていないことも、点検して記録を残すように指摘する方もいます。
・ついでに、ウィルス対策ソフトやスクリーンセーバの設定状況やパスワードの変更状況を確認するようにすると一層安心できますね。(面倒ですが。)
・会社として何をどの頻度で点検するのかを定めておき、点検時期に点検漏れが生じないようにチェックリストのようなものを用意しておくといいでしょう。
・上記点検項目のa)とb)は、会社に最初入室者と最後退室者を記録するようなものを用意し、社員に記入させるようにし、毎月1度、個人情報保護管理者がその用紙に確認印を押すようにすればいいでしょう。
・上記点検項目のc)ですが、これはすべての個人情報について実施を求めているものではありません。ファイルサーバなどを用いて情報を共有しているのであれば、そのファイルサーバのアクセスログを点検するといった程度でいいでしょう。
・アクセスログですが、Pマークのためだけにわざわざ高価なログ取得システムを導入する必要はありません。もちろん、重要な情報を保有していて、何かあった場合に会社に大きなダメージがあると考えられるのであれば、Pマークの審査とは関係なく、会社のリスク管理の一環として導入するのは有益でしょう。会社によっては例えばWindowsのイベントビューアで確認するので十分ということもあるかもしれません。
・最近のLANディスクにはアクセスログをとる機能のあるものもあるので、それを利用する手もあります。ただ、どのくらいの期間のログが残るのかという点は考慮するべきでしょう。
・アクセスログの点検の記録はどのように残すのか。アクセスログをすべて印刷する必要はもちろんありません。いつ、どのサーバのアクセスログを点検したのか、その際にどのような異状があったのかなどの所見を書いてサインかハンコを押すようにしておけばいいでしょう。
・どのくらいの頻度で点検するべきか。実施可能な頻度となると思いますが、月に1度とか3ヵ月に1度とかといったかんじでしょうか。毎月できるのであれば、毎月する方がいいでしょう。なぜなら、3ヵ月に1度というのは、どうしても作業として忘れがちだからです。

<運用>
・上記の通り定めた様式に、サインやハンコなどで点検したことが分かる記録が必要です。
・特に、アクセスログは「点検は毎月してますが、点検した旨の記録は取っていません」ということがありがちです。上述の通り、「点検しました。異常なし。(ハンコ)」などの記録を残すことをお勧めします。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 17:48| Comment(0) | TrackBack(0) | 日記

2009年09月08日

プライバシーマーク取得事業者の事故の報告について

JIPDECのプライバシーマーク事務局が「FAQ:個人情報の取扱いにおける事故等の報告について(平成21年9月3日)」を発表しました。
http://privacymark.jp/privacy_mark/faq/accident_report.html

事故の報告について、制度上様々な混乱があってのことだと推察します。

プライバシーマーク認定事業者としては、事故の報告は、できれば避けたいものです。

しかし、プライバシーマーク事務局は、事故に対して欠格事項を定めている以上、認定事業者から報告してもらわないといけません。

(そもそもこの「欠格事項」の必要性は何なのかという話は、また別の大きな主題ですが。)

この事故の指定機関(JIPDEC等)への報告の根拠は、「プライバシーマーク制度設置及び運営要領」(平成20年8月8日改訂施行)の第19条の2「プライバシーマーク付与を受けた事業者は、個人情報の取扱いにおける事故等が発生した場合には、速やかに指定機関に報告しなければならない」にあります。

しかし、混乱の元凶は、この「事故等」の定義が、この「運営要領」にないことだと思います。

「事故等」?  「等」とは?
と考えてしまいます。

例えば、名刺入れを廊下に落として5秒後に拾ったのは、「事故等」なのか。
「等」に含まれるかもしれませんよね、定義がない以上。

「良識で判断できるでしょう」と言われればそうかもしれませんが、そもそも客観的に判断できない規定なら大した意味はないと思います。

そこで、プライバシーマーク事務局はFAQという形で、この条項を補っているのでしょう。

しかし、このFAQが、この「運営要領」の規定を支える根拠となり得るとの規定はないので、「FAQに従うと同意はしていないので、FAQに従う義務はないと考える」と主張する人も出てくるかもしれません。

しかも、このFAQでも、依然として「事故等」を定義していません。

ちなみに、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、「漏えい等(漏えい、滅失又はき損)の事故」と表記していますので、こちらは比較的具体的です。しかも、このガイドラインのこの部分は義務規定ではないということを考慮すれば、この程度の具体性でも十分かもしれません。

ですので、プライバシーマーク事務局にはぜひ、「事故等」を定義するか、経済産業省のガイドラインに合わせた表記をするなどして、一層の秩序をもたらしてほしいと思います。

個人的には、プライバシーマーク事務局の働きにはとても感謝しています。

今後も大きな期待を寄せていていますのでよろしくお願いします!

※これは法律や契約の解釈についての主張ではありません。当方は法律の専門家ではありませんので、法律や契約の解釈や正当性については法律の専門家にお尋ねください。
posted by endo at 12:34| Comment(1) | TrackBack(0) | 日記

2009年08月19日

最近の指摘事項の傾向と対策(35)「3.6 苦情及び相談への対応」

本日は「3.6 苦情及び相談への対応」に関する指摘事項の傾向と対策です。
(ガイドラインP. 62)

プライバシーマーク事務局は、苦情及び相談についてかなり注意をおいています。
したがって、審査員も、苦情や相談が来た時にちゃんと対応できるのか見るようです。
実際、事業者側できちんと苦情対応しないと、お客さんがJIPDECプライバシーマーク事務局に苦情を申し立てることがあり、そうするとJIPDECから事業者に説明を求められたりして面倒です。
実務的な点でも、ある程度体制は整えておいた方がよさそうです。

<文書作成>
・基本的にはガイドラインに書いてあることを規定すればいいのですが、ここはやはり苦情や相談が来たときのための記録用の様式を用意しておくと審査もスムーズでしょう。
・匿名の場合でも受け付けるように規定しておくことをお勧めします。
 (相談は匿名でもあり得ますよね。「御社の個人情報保護体制は大丈夫なんでしょうか」など)
・記録用の様式には、回答案を記入し、個人情報保護管理者の承認を得てから本人に回答することが明確にわかるような様式にするとよいでしょう。
・苦情や相談の内容及び対応結果を代表者に報告するようにガイドラインは求めています。
 この部分も様式に含めておくといいでしょう。
 (JISにはないのにガイドラインでは要求している。)

<運用>
・現地審査までに苦情や相談がなければ、「ありませんでした」と答えればいいでしょう。
・ただし、審査員からの「苦情や相談が来た場合の手順を説明してください」という質問には答えられるようにしておいた方がいいですね。
・その場合、規程を見せながら説明するよりも、上述の記録用の様式を見せながらステップ・バイ・ステップで説明するといいでしょう。
・そうすれば、視覚的に手順がわかりますので。
 (言い換えると、そのくらいわかりやすい様式にするとよいということですね。)
・私の場合「苦情相談対応記録票」というようなものを用意して、そこを順番に埋めてゆけばよいようにしています。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 15:44| Comment(0) | TrackBack(0) | 日記

2009年08月18日

最近の指摘事項の傾向と対策(34)「3.5.2 文書管理」と「3.5.3 記録の管理」

本日は「3.5.2 文書管理」と「3.5.3 記録の管理」に関する指摘事項の傾向と対策です。
(ガイドラインP. 60-61)

まず、「文書」とは何か。

というのも、JIS Q 15001には、「文書」と「記録」という単語が使われていますが、それをこの規格自体には明確に定義されておらず、慣れないと混乱する可能性があるからです。

<定義>
文書:情報及びそれを保持する媒体。(JIS Q 9000:2006)
情報:意味のあるデータ。(JIS Q 9000:2006)
記録:達成した結果を記述した、又は実施した活動の証拠を提供する文書。(JIS Q 9000:2006)

したがって、「個人情報保護マネジメントシステム文書」といった場合、(a)個人情報保護マネジメントシステムを運用するために必要な明文化したルール群と、(b)それを運用する上で生じた活動の記録、の両方を含むと考えられます。

しかし、「個人情報保護マネジメントシステム文書」は、狭義には、(b)を除いた(a)、すなわち、記録を除いた明文化されたルール群を指すこともあります。

「3.5.2 文書管理」では、この狭義の「個人情報保護マネジメントシステム文書」の管理について要求しています。
(なので、わざわざ「この規格が要求するすべての文書(記録を除く。)」などと表現しているのです。)

そして(b)の管理については、次の「3.5.3 記録の管理」で要求しています。

「3.5.2 文書管理」で対象となるのは、いわゆる「○○規程」とか「○○細則」とか「○○マニュアル」といった類のものになるでしょう。

これらは、定期・不定期に見直され、改訂されます。

「3.5.3 記録の管理」で対象となるのは、例えば「入退館管理記録」とか「教育理解度テスト」とか「監査実施記録」とか「アクセスログ点検記録」などなど、自社のプライバシーマークに関する制度を実施する上で生じるあらゆる記録がこれに含まれます。

記録は通常改訂されません。というのも、記録の内容を改訂したら偽装になるからです。

記録を作成しやすいように、通常は「○○チェックリスト」や「○○申請書」などという定型様式を用意することもあります。

私たちはよくこれを「様式」とか「様式類」と言いますが、「様式」という単語はJIS Q 15001には定義されていません。

これを会社の就業規則になぞらえてみると、
「就業規則」= 狭義の「個人情報保護マネジメントシステム文書」
書き込み用の中身空白の「交通費清算用紙」=「様式類」
書き込んで提出された「交通費清算用紙」=「記録」
と考えることができるでしょう。

さて、審査の傾向と対策についてですが、「3.5.2 文書管理」の要求事項を満たすため「文書管理台帳」というようなものを作成し、そこに文書の発行・改訂日、改訂の内容と版数が書かれていれば問題ないでしょう。

この「文書管理台帳」に「記録」を含めるかどうかということですが、含める方が印象が良いようです。

審査員は、PMSの規程類と記録類の全体像を眺められる方が審査しやすいからでしょう。

「記録」については、「文書管理台帳」に含めるにしろ含めないにしろ、それぞれについて「保管期間」、「保管場所」、「保管責任者」くらいは定義しておいた方が良いでしょう。

また、この記録について、個人情報が含まれるものについては、「3.3.1 個人情報の特定」の要求事項に従って特定する必要があるでしょう。つまり、「個人情報管理台帳」とか「個人情報一覧表」に載せるということです。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 11:30| Comment(0) | TrackBack(0) | 日記

2009年08月13日

「プライバシーマーク運用・更新セミナー」〜次の更新までに何をすればいいのかを教えます〜

本日は弊社主催のPマーク セミナーのご案内です。

事前予約いただきますと割引があります。

日時:2009年9月3日(木)14:20〜16:30 (14:00受付開始)
対象者:プライバシーマーク取得済み事業者(JIS Q 15001:2006準拠)のご担当者様
参加費:1社2名様まで 事前予約8,000円 当日申込10,000円
会場:東京国際フォーラム ガラス棟G408会議室

お申込みは以下のリンクから。
http://www.optima-solutions.jp/seminar/090903.html
(満席になり次第受付を終了します。)

内容は以下の通りです。

第1部 プライバシーマーク運用・更新のポイント!
  ・プライバシーマーク更新・更新のポイントをまとめて、分かりやすくご説明いたします。
  講師:弊社代表取締役 中 康二(なか こうじ)
第2部 プライバシーマーク更新をスムーズに乗り切るには?
  ・リスク管理表・審査対応を中心に、実務的な更新のノウハウを教えます!
  講師:遠藤 朝永
無料診断&質疑応答
  ・不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。

特定の機微な情報(センシティブ情報)の取扱いに関しても触れたいと思います。

お申し込みをお待ちしております。
posted by endo at 17:17| Comment(0) | TrackBack(0) | 日記

2009年08月12日

最近の指摘事項の傾向と対策(33)「3.5.1 文書の範囲」

本日は「3.5.1 文書の範囲」に関する指摘事項の傾向と対策です。
(ガイドラインP. 59)

<文書作成>
・以下の文書が、自社のプライバシーマークに関する制度においてはどういう規程や様式に該当するのかを定めるとよいでしょう。
 a) 個人情報保護方針
 b) 内部規程
 c) 計画書
 d) この規格が要求する記録及び事業者が個人情報保護マネジメントシステムを実施する上で必要と判断した記録
・一般的には「文書管理台帳」というものを用意して、そこに自社の規程類や様式類を定めます。

<運用>
・この項目についての審査は、次の「3.5.2 文書管理」と「3.5.3 記録の管理」で見ると思って良いでしょう。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 10:24| Comment(0) | TrackBack(0) | 日記

2009年08月05日

最近の指摘事項の傾向と対策(32)「3.4.5 教育」

本日は「3.4.5 教育」に関する指摘事項の傾向と対策です。
(ガイドラインP. 58)

<文書作成>
・ガイドラインの通りに規定すればいいでしょう。
・特に理解度を確認する旨手順が定められている必要があります。


<運用>
・プライバシーマークでは、毎年、個人情報保護に関する教育研修をする必要があります。
・運用においては何と言っても、全従業者が教育を受けたことを示す記録が重要です。
・教育は全従業者同一の内容でなくても構いません。
 社外取締役には、教育資料を配布するだけということになるかもしれません。
 パートやアルバイトの方には、A4の紙に注意事項をまとめたものを配布して、理解してもらった上で非開示に関する誓約書にサインしてもらうなどの手順でもいいでしょう。
・全従業者の一覧を作成し、そこに「理解度テストの点数」、「誓約書の提出」、「個人情報提供の同意書」の欄を設けると、網羅性を確保でき便利です。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 16:20| Comment(0) | TrackBack(0) | 日記

2009年07月08日

「プライバシーマーク運用・更新セミナー」〜より容易に運用できるマネジメントシステムを実現する方法〜

本日は弊社主催のPマーク セミナーのご案内です。

事前予約いただきますと割引があります。

日時:2009年7月16日(木)14:20〜16:30 (14:00受付開始)
対象者:プライバシーマーク取得済み事業者(JIS Q 15001:2006準拠)のご担当者様
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
会場:東京国際フォーラム ガラス棟G405会議室
   東京都千代田区丸の内3-5-1各線有楽町駅よりスグ

お申込みは以下のリンクから。(下部に申し込みフォームがあります。)
http://www.optima-solutions.jp/seminar/090716.html
(満席になり次第受付を終了します。)

内容は以下の通りです。
第1部 プライバシーマーク運用・更新のポイント!
  ・プライバシーマーク更新・更新のポイントをまとめて、分かりやすくご説明いたします。
  講師:弊社代表取締役 中 康二(なか こうじ)
第2部 プライバシーマーク更新をスムーズに乗り切るには?
  ・リスク管理表・審査対応を中心に、実務的な更新のノウハウを教えます!
  講師:遠藤 朝永
無料診断&質疑応答
  ・不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。

効率のよいリスク分析の方法(リスク分析表)やその雛形もご提供します。

お申し込みをお待ちしております。
posted by endo at 15:34| Comment(0) | TrackBack(0) | 日記