2009年02月20日

最近の指摘事項の傾向と対策(24) 「3.4.3.4 委託先の監督」(3)

本日も「3.4.3.4 委託先の監督」に関する指摘事項の傾向と対策です。
(ガイドラインP. 49)

本日は「委託先の監督」の<運用>の続きです。

<運用>
前回は委託先を漏れなく特定しましょうという点を述べました。
今回は、特定した委託先に対して実施すべきことを述べます。
・まずは、前回確立した「委託先選定基準」に基づいて各委託先を評価します。
 --> 成果物、委託先評価票 x 委託先の数
・次は、各委託先に対して安全管理に関する契約を締結します。
 --> 成果物、安全管理に関する契約書 x 委託先の数
・データセンターは、個人情報に関する個別契約を結んでくれない可能性が高いです。
 これは経済産業省のガイドラインによって、「倉庫業、データセンター(ハウジング、ホスティング)等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合に、その情報中に含まれる個人情報は、事業の用に供しない」ことになっているためです。
 その場合は、何らかの形で守秘義務契約か非開示契約を締結するか残存リスクとして管理するなどの方策が必要と考えられます。
・ところで、委託先とは当然「d) 個人情報の取扱状況に関する委託者への報告の内容及び頻度」も契約によって規定しなくてはなりません。
 これはJISが新しくなってから新設された項目なので、審査員は特に注意してチェックします。
 この条項が契約書に含まれていることを再度確認しましょう。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 17:08| Comment(0) | TrackBack(0) | 日記

2009年02月06日

最近の指摘事項の傾向と対策(23) 「3.4.3.4 委託先の監督」(2)

本日は「3.4.3.4 委託先の監督」に関する指摘事項の傾向と対策です。
(ガイドラインP. 49)

<運用>
・まず「委託先選定基準」を社内で確立する必要があります。
・選定基準は、全業者一律でなくてもよくて(逆に評価基準がひとつしかないと不適合になる可能性が大)委託する業種単位に作成するとよいでしょう。
・これは、例えば、大量の顧客情報を委託するコールセンター業者と倉庫のように場所しか提供していない業者と同じ基準では評価できないだろう、という考えからです。
・一般的には評価表などのようなものを策定し、それに基づくアンケートのような調査票を作成して委託先に送って返答してもらうという形を取り、合格した業者だけを利用するということになります。
・次に、委託先が漏れなく特定されている必要があります。
・そのためには「委託先管理台帳」のようなもので委託先を一覧化するのがよいでしょう。
・次の委託先は漏れやすいので確実に「委託先管理台帳」に記載されているようにします。
 - 名刺印刷業者(自社の社員の名刺です!)
 - データセンター(ハウジング、ホスティング、レンタルサーバー業者)
 - インターネット接続業者
 - 産廃業者
 - 会計事務所
 - 清掃事業者
 - ビル管理会社
 - 警備会社
 - 機器メンテナンス会社等

と、今日はここまでです。

次は、委託先との契約の締結とそれに派生する様々な面倒くさい点です。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 20:47| Comment(2) | TrackBack(0) | 日記

2009年01月23日

最近の指摘事項の傾向と対策(22) 「3.4.3.4 委託先の監督」(1)

本日は「3.4.3.4 委託先の監督」に関する指摘事項の傾向と対策です。
(ガイドラインP. 49)

いよいよこの項目ですね。

ここは個人情報の特定、リスクなどの認識、分析及び対策の次くらいに厄介なところですね。

そういうわけで、これも2回に分けて書きます。今日は前編。

<文書作成>
・文書としてはガイドラインに書いてあることを規定すればいいはずです。
・指摘されやすいのは
 - 「委託先選定基準を定める手順はあるが見直し(定期/臨時)の手順が定められていない。」
 - 「委託先選定基準により委託先を再評価する具体的な時期(●月など)が明確でない。」
- 「a)〜g)の内容が盛り込んだ契約書を個人情報の保有期間にわたって保存する手順を定め締結する手順が定められていない。」
 などです。
・この契約書を申請時に提出していない場合は、「現地にて確認」ということになります。

ガイドラインをよく読んで、漏れがないように規定すれば文書の方は大きな問題はないと思います。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 18:10| Comment(0) | TrackBack(0) | 日記

2009年01月20日

「プライバシーマーク取得講座」〜最低限、これだけはおさえておきたい準備作業のポイント〜

本日は弊社主催のセミナーのご案内です。

日時:2009年2月19日(木)14:20〜16:30 (14:00受付開始)
対象者:プライバシーマーク取得を検討している企業の方
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
※インターネット申込み特典として事前予約時の参加費は無料といたします。
会場:東京国際フォーラム ガラス棟G408会議室
東京都千代田区丸の内3-5-1各線有楽町駅よりスグ

お申込みは以下のリンクから。(下部に申し込みフォームがあります。)
http://www.optima-solutions.jp/seminar/090219.html
(満席になり次第受付を終了します。)

内容は以下の通りです。
第1部
 なぜ御社は、Pマークを求められるのか?
 ・Pマークとは何なのか?メリットは何か?Pマーク基本の「き」。
 ・Pマーク取得に掛かる料金、期間とは?
 講師:弊社代表取締役・中 康二

第2部
 これなら、わかる!プライバシーマーク取得のツボ
 ・Pマーク取得までの一連の作業内容を、順を追ってご説明。
 講師:弊社シニアコンサルタント・遠藤 朝永

無料診断&質疑応答
 ・不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。

では当日有楽町で会いましょう。
posted by endo at 15:01| Comment(0) | TrackBack(0) | 日記

2009年01月19日

最近の指摘事項の傾向と対策(21) 「3.4.3.3 従業者の監督」

本日は「3.4.3.3 従業者の監督」に関する指摘事項の傾向と対策です。
(ガイドラインP. 47)

<文書作成>
・「個人情報保護マネジメントシステムに違反した場合の措置に関する規定が整備されていること」というのがガイドラインにありますが、これは例えば、「当社は、個人情報保護マネジメントシステムに違反した従業者を就業規則に基づいて処分する」などとしておけばいいでしょう。
・その他はガイドラインに書いてあることに基づいて規定すればいいでしょう。

<運用>
・全社員から個人情報の非開示契約を締結していることを示すことができればいいでしょう。

<まとめ>
・この要求事項に関する審査は上記の通りで、ガイドラインさえ見て対処していれば、引っ掛け的なことはないと思います。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 11:22| Comment(0) | TrackBack(0) | 日記

2009年01月09日

「プライバシーマーク取得講座」〜セキュリティ対策におカネをかけずにマークを取得する方法〜

本日は弊社主催のセミナーのご案内です。

日時:2009年2月9日(月)14:20〜16:30 (14:00受付開始)
対象者:プライバシーマーク取得を検討している企業の方
参加費:1社2名様まで 事前予約5,000円 当日申込8,000円
※インターネット申込み特典として事前予約時の参加費は無料といたします。
会場:ベルサール神田 会議室ルーム5
東京都千代田区神田美土代町7 各線神田駅より徒歩6分

お申込みは以下のリンクから。(下部に申し込みフォームがあります。)
http://www.optima-solutions.jp/seminar/090209.html
(満席になり次第受付を終了します。)

内容は以下の通りです。
第1部
 なぜ御社は、Pマークを求められるのか?
 ・Pマークとは何なのか?メリットは何か?Pマーク基本の「き」。
 講師:弊社代表取締役・中 康二

第2部
 これなら、わかる!プライバシーマーク取得のツボ
 ・Pマーク取得までの一連の作業内容を、順を追ってご説明。
 講師:弊社シニアコンサルタント・遠藤 朝永

無料診断&質疑応答
 ・不明点、疑問点など、個人情報、プライバシーマークに関するご質問に何でもお答えいたします。

では当日お待ちしております。
posted by endo at 11:00| Comment(2) | TrackBack(1) | 日記

2009年01月08日

最近の指摘事項の傾向と対策(20) 「3.4.3.2 安全管理措置」(2)

本日は「3.4.3.2 安全管理措置」に関する指摘事項の傾向と対策の運用面です。
(ガイドラインP. 44)

<運用>
・運用の審査については、審査員の技量や考え方によるところが大きいので、傾向らしい傾向はありませんが、少なくとも次の点は確認しておきたいです。
・webからの入力フォームのssl化。
・ウィルス対策ソフトのインストール及び最新に保つこと。
・パッチ(Windows Updateなど)が最新のものも適用されていること。
・パスワードが定期的に更新されていること。
・授受票の実績があること。
・バックアップが取られていること。
・バックアップを格納した媒体は、本体とは別の場所に保管されているのが望ましい。

<コメント>
・前述したように安全管理措置に関する指摘内容は、審査員の意見に大きく左右されます。(この是非はここでは語りません)
・また、安全管理措置に関する指摘は、他の部分の指摘(例えば個人情報の特定漏れ)などと比べると、審査後の改善がとても簡単なことが多いです。
・そのようなことから、安全管理措置についてはあまり無理せず、可能な範囲の実施に留めておき、審査員に指摘された部分だけ改善する、という作戦で望まれる事業者もあるようです。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 13:30| Comment(0) | TrackBack(0) | 日記

2009年01月05日

最近の指摘事項の傾向と対策(19) 「3.4.3.2 安全管理措置」(1)

本日は「3.4.3.2 安全管理措置」に関する指摘事項の傾向と対策です。
(ガイドラインP. 44)

さて、安全管理措置です。
Pマークでもこれが一番情報セキュリティらしいところですね。

安全管理措置の部分は、事業者としては一番気になるところですが、審査的には事業者が思うほど細かくなく、指摘されても比較的対策が簡単なことが多いです。

それでもやることはたくさんあります。

この「3.4.3.2 安全管理措置」については「文書作成」と「運用」を分けて書きます。
今回は文書作成。

<文書作成>
・既に自社に情報セキュリティ関係の規程がある場合は、それを使うか拡張するといいでしょう。
・優れたサンプルとして、社団法人コンピュータソフトウェア協会の個人情報保護安全対策管理規程(雛型)があります。これを参考にするといいでしょう。
http://www.csaj.jp/pmark/hinagata.html
・この雛形はわかりやすく簡潔でとてもよい雛形だと思います。(ただし、様式類は自分で考えて作らないといけない。)
・この雛形でも中小の規模には実施するのがやや難しいところがあると思いますので、自社ではそこまでやりたくないという部分は単純化して書き換えるといいでしょう。
・安全管理については、必ずしもガイドラインにあるものを全て規定する必要はありません。最低何を規定しないといけないかというと、上記の雛形にある項目だと思ってほぼ間違いありません。

現地審査での指摘事項の傾向については次回書きます。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 17:37| Comment(0) | TrackBack(0) | 日記

2008年12月28日

最近の指摘事項の傾向と対策(18) 「3.4.3.1 正確性の確保」

本日は「3.4.3.1 正確性の確保」に関する指摘事項の傾向と対策です。
(ガイドラインP. 43)

ようやくここまで来ました。
3.4.2関係(取得、利用及び提供に関する原則)が終わると一山超えた感がありますね。

「正確性の確保」は、審査的には比較的気楽です。

<文書作成>
・ここは、ガイドラインにある3項目を文書化してしまえばいいでしょう。例えば、
 1 誤入力チェック
個人情報の入力に際しては、2度視認するなどして誤入力を予防する。
 2. 保存期間
個人情報の保存期間については、3.3.1-2の手順において個人情報の内容及び利用目的を特定する際に実施し、「個人情報管理台帳」に明確にする。
 3. バックアップ
個人情報のバックアップについては「安全管理細則」の手順に従って実行する。

<運用>
上記3つが実施されていればいいでしょう。具体的には
 1 誤入力チェックを規定に従って行っていること
 2. 保存期間
   個人情報の保存期間が「個人情報管理台帳」等に明確に記述されていること。
   保存期間は「無限」とか「半永久」とか「未定」などは不明確とみなされるので避けるべき。
   「退職後5年」、「退会後6ヵ月」、「契約終了後1年」、「最後の取引後1年」などが望ましい。
   法定保管(保存)期間があるものは当然、それを網羅する形で定める必要があります。
 3. バックアップ
   バックアップが実施されていること。(必ずしも全ての個人情報についてバックアップが必要ということではない)
   バックアップを記録した媒体が、本体とは同じ場所に保管されていないことが望ましい。そこまでする気がなければ、残存リスクとして管理すればいいでしょう。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 16:34| Comment(0) | TrackBack(0) | 日記

2008年12月17日

最近の指摘事項の傾向と対策(17) 「3.4.2.8 提供に関する措置」

本日は「3.4.2.8 提供に関する措置」に関する指摘事項の傾向と対策です。
(ガイドラインP. 41)

<概要>
まず、第三者提供がある局面を洗い出します。次の場合は、第三者提供になる可能性が高いです。
・給与振込みサービスで社員の個人情報を提供する
・業務受託等で、クライアント企業に自社または協力会社の社員の個人情報(スキルシートなど)を渡す(特にシステム開発系)
・クレジットカード等で決済する場合で決済会社に購入者の個人情報を渡す
・健康保険組合に社員の情報を渡す
・webやパンフレットに社員の写真を掲載する
・社員の出張や旅行に際して、旅行代理店に社員情報を渡す
こう考えると、「当社は第三者提供を行わない」と断言できる会社は意外と少ないかもしれません。

<文書作成>
・ここは、ガイドラインにある手順を全て記述してしまうのがいいでしょう。
※「手順」という場合、「誰が」、「何を」、「どのタイミングで」行うかという要素が含まれていれば大方問題ないようです。
※「承認手順」という場合、上記「手順」に加えて、「どの様式で」、「誰が」、「誰の」承認を得るのかが明確になっていれば大方問題ないようです。

<運用>
・実運用としては、第三者提供する局面が出てきたら、「3.4.2.4 本人から直接書面によって取得する場合の措置」で定めた明示文書に第三者提供に関する内容を加筆して、本人から同意を取り直すことになるのだろうと思います。(本人から直接書面で取得した個人情報の場合)
・本人から直接書面で取得したのではない個人情報を第三者に提供する場合、何らかの形で自社が同意を取るか、上流で同意が取れていることを自社が確かめる必要が出てくると考えられます。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 21:22| Comment(0) | TrackBack(0) | 日記