お役立ち情報
事業者の個人情報保護のためのマネジメントシステムのありかた、安全管理についての基本的な考え方、その他いろいろなお役立ち情報をお知らせします。
マネジメントシステムについて
マネジメントシステムとは、組織の方針、手段およびプロセスを管理し、継続的に改善するための実績のあるフレームワークです。
プライバシーマーク(Pマーク)とは、事業者が取得している個人情報について適切な管理マネジメントシステムを持っている事業者を認定する制度で、国内で、11,045事業者が認定されています。(平成21年12月31日JIPDEC発表)
2005年4月の個人情報保護法が全面的に施行されたことに伴い、1999年制定のJISQ15001:1999「個人情報保護に関するコンプライアンス・プログラムの要求事項」がJISQ15001:2006「個人情報保護に関するマネジメントシステム-要求事項」として改正され、2006年5月に制定された新基準に基づいて運用されます。
JISQ15001:2006「個人情報保護に関するマネジメントシステム-要求事項」では、1.適用範囲~3.9.事業者の代表者による見直しについての要求事項を定め、解説には、それぞれの要求事項に対して説明していますが、事業者が具体的にどのような対応をすればよいのか、わかりづらいものがあります。
もう少し具体的に要求事項について知りたいという方は、「JISQ15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン」(ISBN978-4-542-30534-2)という本を参照されるとよいでしょう。
プライバシーマークの新規、更新申請時は、上記のJISQ15001:2006「個人情報保護に関するマネジメントシステム-要求事項」をもとに、日本情報処理開発協会(JIPDEC)が定めた審査基準を使用し、事業者の規模、事業内容等に応じて審査員が審査を行います。関西では、財団法人関西情報・産業活性化センター(KIIS)が、審査機関に認定され、審査を行っております。
安全管理について
安全管理策をどのように構築するかについては、各事業者の規模、事業内容等により、異なりますが、プライバシーマークを取得する場合には、日本情報処理開発協会(JIPDEC)が定めた審査基準にある安全管理策は構築する必要があります。もちろん、安全管理策については、各事業者によって、方法は異なっても問題はありません。事業者の身の丈にあった安全管理策とするのがよいでしょう。
安全管理策については、経済産業省のガイドラインを参考にすることができます。
詳細な内容については、是非SIPにお問合わせください。ご支援させていただきます。
ちょっと一言
●個人情報保護方針は企業の顔(2009.10.19)
企業のホームページで個人情報保護方針をよく見ますが、ゴチャゴチャ色々なことを掲載しているものがあります。利用目的や開示対象個人情報についてとか、その他とにかく盛り込めるものは盛り込もうとしているものがあります。
個人情報保護方針は企業の顔です。必要な事項を簡潔に掲載して、スマートな方針にしたいものですね。
●身の丈に合った規定(2009.10.15)
実際よく見かけますが、従業員数が10名に満たない事業者でありながら、PMS規定がやたら分厚く、中を見ると、とにかく何々規定、何々規定といった規定がぎっしりと詰まっています。
ちょっと待ってください。何で、こんなに規定が沢山あるのですか?どうやらコンサルさんが持ってきた規定を修正して事業者の規定にしているようです。
これってどうなんでしょう。こんな分厚い規定を従業員の方が見て分かりますか。軽自動車で良いところにベンツを持ってきたようなものです。せいぜい規定は一つか二つに収めて、わかりやすいものにすべきではないでしょうか。
身の丈に合った規定を作成し、その規定に従った運用、これが大切ですね。あまり重たいもの(規定)だと、運用ができなくなります。
