|
|
|
| プライバシーマークについて 4/6 |
JIS Q 15001:2006 |
|
プライバシーマーク取得のプロセス・手順
プライバシーマークを取得するためには、まずは、JISに基づくマネジメントシステムの要素(JISで要求される必要な事項)を文書化しなければなりません。また、認証を受けるためには、文書を整備するのみでなく、文書化したルールに基づいた運用実績を積んで、マネジメントサイクルとして機能している必要があります。
これら個人情報保護のための一貫した行動が「個人情報保護マネジメントシステム」(以下「PMS」)であり、文書化されたものを「マネジメントシステム文書」(以下「PMS文書」)と言います。
充分な時間をかけて綿密な準備が必要となります。
マネジメントシステムの構築手順は概ね次の通りです。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
1、経営者(経営層)の意思表明
個人情報保護対策は、幾人かの優秀な社員が取り組めば完成するというものではありません。全ての社員がその必要性を認識し、全社体制で取り組む必要が有ります。
また、これまでの業務の進め方にメスを入れたり、場合によっては、就業規則の変更も必要となったりします。
経営者が、個人情報の不適切な取扱が企業の存続にも影響し得ることを認識し、全社をあげて取り組む決意を全社員に向けて表明します。
2、プロジェクトチームの発足
個人情報を扱う部門のキーマンをメンバーとしたプロジェクトチームを編成します。
- (1)個人情報保護管理者(必須)
-
個人情報保護の推進の総責任者です。
経営者から個人情報保護に関する全権委譲を受け、対外的に責任を果たせる人材が必要です。
- (2)各業務の代表者
- 実際に個人情報を収集して利用している業務担当部門を代表する者で、業務の流れを把握している必要があります。
- (3)情報システム担当責任者
-
自社の情報システムの状況を把握できる人材で、情報システム上の個人情報管理やシステム面でのセキュリティーなどの対策に関する責任者です。
- (4)教育担当責任者
-
個人情報保護は、社員全員がその必要性を認識し、必要な知識を持ち合わせておかなければなりません。ルールを定めても、それが有効に機能するためには、従業員への教育は不可欠です。
- (5)監査責任者(必須)
-
プロジェクトの推進を客観的に把握するともに、運営段階において定期的な監査を行なう立場の責任者です。客観性を担保するため、直接的に同プロジェクトに関わるより、少し距離ある位置に置く事が望ましいでしょう。
- (6)専任事務局員
-
各種情報を収集したり、部門間の調整を図ったり、文書を作成したり等々、様々な作業が必要となります。上記責任者の指示の元で、具体的な作業を行なう人材です。
日常業務の傍らで推進しようとしても、必ずと言っていいほど失敗しますので、必須と認識する方がいいと思います。
- (7)コンサルタント
-
客観性、網羅性、効率性など考えたとき、個人情報保護に関する専門的な知識を持ち合わせた外部コンサルタントの活用が望ましいと思います。
(絶対要件ではありませんが、JISQ15001を認証基準にしているとは言うものの、審査機関独自の基準に基づく審査が行われるために、審査の実態を知っていなければ、相当な労力を要することになると思われます。)
|
(2)(3)(4)の担当者は、企業の規模や扱う個人情報の量、それぞれの職務内容に応じて兼任することも構わないでしょう。
また、それぞれに責任者の元にワーキング・グループを設けて、推進するのも効果的です。
3、個人情報の特定
従業員個人が保有するものを含めて、企業内に存在するあらゆる個人情報を洗い出し、その収集目的を再定義し、管理対象とする個人情報を絞り込みます。
不要な情報は廃棄しましょう。
4、リスクの分析、リスク応じた対策案の検討
漏洩、紛失、改ざんなどの危険性とそれによって受ける企業の損失(社会的信用の低下、業務停止等の実損等)を把握し、リスクに応じた安全管理方法を検討します。
5、個人情報保護方針の策定
経営者の宣言文という位置付けのものですが、企業経営における経営方針に相当するもので、PMSの核として全従業員に周知を徹底するとともに、対外的に広く公開するものです。
6、PMS文書(基本規程、詳細規程、運用マニュアル等)の作成
現状の業務手順を把握した上で、必要な業務改善なども配慮し、規定や運用マニュアルを作成します。
他の法令や規定(個人情報保護法はもとより、各省庁や業界団体が提供するガイドライン等)との関連や、情報システムのセキュリティー技術に関する対応など考慮したとき、コンサルタント会社が提供する雛形を活用することは大変有効ですが、コンサルタント会社に丸投げにしたり、雛形をそのまま適用させようとすると、形は整っても、企業の実情にそぐわない内容となり、実際の運用において様々な障害が発生すること予想されます。
あくまでも参考として活用し、自社の実情に沿ったPMS文書を策定する必要があります。
7、PMS文書に基づく実施体制の再構築
PMS文書に基づいた運用がきちんと遂行される体制を整えるため、組織の改編やセキュリティー上の整備、Webページの対応、場合によっては建築物の改装、入退室認証システムの導入などの大掛かりな対応も必要となります。また、従業員への周知も大切な作業となります。
8、運用
マネジメントシステムは規定類を作って終りではありません。実際に運用できることが不可欠であり、申請前に、一通り運用して問題のないことを確認しておく必要があります。
この運用には、当然に、”内部監査”や”代表者による見直し”も含まれていなければならず、少なくとも、一ヶ月間以上の運用後、内部監査を通じて、PMSに基づいた運用が確かであることを確認するとともに、代表者の見直しなどを通じて、問題点を是正しておきます。
9、申請
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
通常、これらの作業を進めるためには、事業所の規模、対象とする個人情報の質と量、プロジェクトチームの稼動状況によっても異なりますが、4ヶ月〜半年の期間を見込んでおく必要があります。
==========================
プライバシーマークに関する詳細は
(財)日本情報処理開発協会
プライバシーマーク事務局のホームページをご覧下さい。
http://privacymark.jp/
==========================
|
|
|
