中小零細企業の個人情報保護対策とプライバシーマーク付与認定取得支援。関西一円(京都、大阪、滋賀、兵庫、奈良)で活動展開!

officeta.comのタイトルイメージ

  • ウェブ全体
  • 本サイト内
Powered by Yahoo! JAPAN
メニューライン 会社案内 お問い合せ サイトマップ トップページ  
トップページ >> プライバシーマークについて:効果的・効率的な取得 >>

お金をかければ良い個人情報保護マネジメントシステムが出来るというものではありません。

 プライバシーマークについて(JIS Q 15001:2006)   6/6

 プライバシーマーク付与認定基準「JIS Q 15001」の改定について
2018/2/2更新 2017/12/22 2017/9/24

 改正個人情報保護法が施行されて、プライバシーマークの認定基準であるJISQ15001も改定されることは公表されておりましたが、 それが、いつになるのかと気になっていたところですが、ついに、ドラフト版がJISQ15001:2017が正式に公開されました。
 https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS%20Q%2015001:2017

 これによりますと、改訂JISQ15001:2017は、国際規格ISOとの整合化を図り、ISOマネジメントのシステムの上位構造(HLS)、 共通テキスト(要求事項)に基づく内容となりました。  https://www.jsa.or.jp/dev/iso_mngment03/

 規格要求事項(箇条4〜10)の部分は、JISQ27001(SIO27001)の情報セキュリティマネジメントシステムを個人情報保護マネジメントシステムに読み替えた程度の違いしかありません。

 これまでのJISQ15001の中で示されていた個人情報の取り扱いに関する具体的な取り組みは、「附属書A」の管理目的及び管理策の中で示されています。
 また、「附属書B」があって、「附属書A」を補完する形で「〜が望ましい。」との表現で示されていますが、 「個人情報保護マネジメントシステム実施のためのガイドライン」に書かれていたような内容で、今後のPマーク付与認定の審査基準になっていくものと思います。
 附属書A、附属書Bを、どのように取り組むかが、PMS構築の重要な要素になります。

 その”審査基準”が「プライバシーマーク付与適格性審査基準」として発表されました。
 今後、これをもとにした審査が行われると考えて差し支えないでしょう。
 https://privacymark.jp/system/guideline/pdf/pm_shinsakijun.pdf
 記載内容は、「附属書A」に対応して、「審査項目」「確認方法・エビデンス」が書かれており、具体的に何を実施すべきかが細かく書かれています。
 規格本文の箇条4〜10の要求事項に関係なく、審査基準が事実上の要求事項となっています。
 例えば、規格本文で要求されていなくとも、この”審査基準”に書かれていることが実施しなければ不適合となってしまうわけです。一方で、規格本文での要求が”審査基準”内に明記されていないもののあったります。


 また、「附属書C」では、”安全管理処置に関する管理目的及び管理策”が示されています。
 この内容は、JISQ27001(ISO27701)の附属書Aの管理目的・管理策を個人情報保護マネジメントシステムに当てはめたものとなっており、事実上、ISMSと同じだと言えます。
 しかし、”審査基準”には、”安全管理措置を決定するための参考”と明言していますので、あまり気にすることはないようです。

 今回のJIS Q 15001 の改定における「規格要求事項 箇条4〜10」、及び、「附属書C」は、ただ、国際規格に体裁を合わせるための付け加えたに過ぎず、「附属書A」が”主文”という感じです。
 プライバシーマーク付与認定基準「JIS Q 15001」と言うのは過ちで、プライバシーマーク付与認定基準は、「JIS Q 15001 附属書A」に基づく「プライバシーマーク付与適格性審査基準」であるということをしっかり認識する必要があります。


 これにより、個人情報保護マネジメントシステム(PMS)と情報セキュリティマネジメントシステム(ISMS)との統合が極めて容易となることは間違いないと思います。 と、思っていましたが、Pマークは、やっぱり、Pマークの路線で進めることを余儀なくされそうです。

 ただ、プライバシーマーク制度は、日本国内規格(JIS規格)に基づくもので、でJIPDECプライバシーマーク推進センターが審査基準を定めることになりますから、国際規格の元での審査基準との乖離が気になります。 との懸念が、当たってしましました。

 今後の審査方針等が示されるものと思いますが、旧15001:2006に基づいて、個人情報保護マネジメントシステム(PMS)を構築されていた方については、大幅な改定作業が必要になるかも知れません。
 おそらく、『あまり、大きな変更をしなくとも、旧審査基準と新審査基準の差を埋める程度で、新規格への移行が可能になります。』ということで、Pマーク離れを食い止めようとの活動が展開されていくものと思います。
 一方で、既に、ISMSを認証取得した事業者では、「個人情報取扱規程」なるものを追加する程度で、Pマーク付与認定が受けやすくなるかも?知れません。

 御社においてPマークは役立っていますか? 

※本ページに書かれてプライバシーマークに関する情報は、JISQ15001:2006に基づくものです。今後、動向を見て、ホームページの修正など検討していきます。

お金をかけない効率的・効果的なプライバシーマーク取得について

 個人情報保護法プライバシーマーク(Pマーク)関する記事を掲載して以来、いまだに、多くの方から様々なお問合せをいただいております。

 ご相談の内容は、ある行為が合法か違法か?と言った内容から、利用目的の公開方法、リスクをどのように考えるかなどと多岐に渡っていますが、その中でも多いのが中小零細企業の方々からの「安くプライバシーマークを取得する方法」「プライバシーマークを取得するには幾ら必要か?」「あるコンサルタント業者から見積りを受けたが妥当か?」などいった取得費用に関するご相談です。

 個人情報を扱う業務の性質や業務の数、個人情報の量、事業所の数などによって、その取り組みは随分異なってきますし、コンサルタント業者の指導方法やその作業に関わる方の人数などによっても大きく違ってきますので、一概に、高いか安いかについてお応えすることは難しいのが現実です。
 最近は、プライバシーマークの取得支援をする会社も増えてきましたので、その料金は以前に較べて随分安くなってきているのは事実ですが、それでも、やはり決心のいる金額であることには間違いありません。

 ここでは、そうした費用を少しでも安く抑えるためのヒントをお話ししたいと思います。

 費用を安くに抑えるには、基本的に自社で取り組むことです。
 最近は、プライバシーマークに関する書籍も多く出版されています。内容を見れば、基本的にはこれで大丈夫であろうと思えるものもあります。ぜひ、参考にされるといいでしょう。
 しかし、自社の事業内容や事業規模などと照らして、果たしてこれで充分か?これで審査は大丈夫だろうか?などと心配は絶えないものです。そんな場合に、コンサルタントを適切に活用するのがいいでしょう。何もかもコンサルタント任せとせずに、適切に作業分担・役割分担することです。
 そこで、単に費用を軽減するだけでなく、自社に浸透した効果的・効率的なシステム構築という観点からも、次のような手順をお勧めしております。

1、プロジェクトを立上げ、責任者を任命する。
 個人情報保護のシステムを構築する作業は片手間ではなかなか難しいものがあります。会社として、しっかりと意思表明をし、責任者・担当者を定めて推進する必要があります。
 ただ、小規模な会社において専任の担当者を置くことは困難ですから、担当者は日常の業務を抱える中での関わっていく必要がありますが、「日常業務の暇な時間で・・」などと言っていては決して作業は捗りません。「毎日○○時から○時間を作業にあたる」など、けじめをつけた活動が必要になります。
 そのためには、経営者や他従業員の理解と、担当する者の覚悟も必要です。

2、個人情報保護やプライバシーマーク(Pマーク)に関する情報を収集する。
 まずは、個人情報保護の全体像を把握することが必要です。
 今、個人情報保護への関心の高まりとともに、こうした情報は巷にあふれておりますので、コンサルタントの指導を仰ぐ前に、市販の書籍を読んだり、セミナーや講演に参加したり、インターネットで調べるなど、自らその努力をすることです。
 少なくとも、プロジェクトの責任者となられた方は、個人情報保護法JISQ15001について充分な知識を有するよう、会社として勉強の機会(書籍の購入やセミナー等への参加など)を提供できるようにしなければなりません。

3、コンサルタント会社を選定する。
 自社で個人情報保護システムを構築すると言っても、個人情報保護活動が網羅する範囲は広範囲で多岐に渡っていますので、相応の知識と経験がなければ自社担当者だけで完全なマネジメントシステムを構築することは困難です。
 どうしても、部分的であってもコンサルタントのアドバイスを受けることが必要になるものと思います。そこで、コンサルタント費用を安く抑えために、次のような条件でコンサルタント会社を選定します。
@必要な時に必要な範囲で関わってくれる。
 コンサルタント会社としては、その都度の依頼に対応することなど決して効率は良くありませんので、一括で請け負いたいものです。当然に対業務あたりの単価は向上しますが、全体で見たときには大きなコスト低減に繋がります。
 事前相談として○回、PMS文書作成段階で○回、安全管理対策の指導に○回、申請前に○回、それ以外は1回つき○○円と言ったような契約などが考えられます。
 最近は、このように申請までに10回程度の訪問指導を基本プログラムとして提案するコンサルタントが多いようですが、その間にも、メールや電話などで、きめ細かな対応をしてくれるコンサルタント会社を見つけ出すことが必用です。
APMS文書の雛型(サンプル)を提供してくれる。
 PMSの構築を全くの白紙から考え、作成していく作業は結構大変です。
 そのため、その雛型となるサンプル文書の提供を受け、自社の実体に合わせて手を加えていくことで、要求された事項について漏れなく、効率的かつ効果的なPMSを構築する。というのが一般的です。
 コンサルティングの中で、雛型の提供があるかについて事前に確認しておきましょう。 ちなみに「雛型文書だけを購入したい。」との問合せが当社にもありますが、通常、こうした雛型を提供することは、自社のノウハウを暴露するものであり、また、コンサルティング業務の範囲を縮小させるものに繋がりますので、一般に雛型だけを提供してくれる会社は少ないものです。
 ただ、冒頭にも書きましたが、最近は、多くの参考書籍が出版されており、規定の見本などを掲載しているものも多くなりましたので、これを雛形として進めていくことも可能です。
B自社の状況をしっかりと把握することに努めてくれる。
 この見極めは難しいものがありますが、一つには同業種の支援経験があるかを聞いてみるのといいでしょう。
 Webショップ経営、人材派遣、小売店、不動産関係、医療関係・・・それぞれの業界における法規制や慣習、他業種とは異なる特徴ある個人情報の扱いなどについて理解していただくことが必要です。
 その上で、自社の組織、業務の進め方などについてしっかり把握することに努めていただけるかどうかを見極める必要があり、契約前のやり取りの中で担当コンサルタントの経験や人柄などの印象を掴むことです。
 大手コンサルの場合は営業とコンサルタントが異なることも多いので、セールストークには注意が必要です。また、新規に参入するコンサルタントは、取り合えずは勉強として廉価で一生懸命取り組んでくれますが、試行錯誤を繰り返したり、重要なポイントを見落としたりなどして、かえって費用が嵩んだり時間がかかると言ったこともありますので、きちんと見極めることが大切です。

4、PMS文書を作成する。
 上記の条件でコンサルタント会社の選定が終えれば、提供された雛型(サンプル文書)、あるいは、市販書籍を参考に自社PMS文書を作成します。
 注意が必要なのは、雛形はあくまでもPMS文書の構成や書式の参考であるということです。
 仮に雛形通りのPMSを構築しても、そのPMS通りの運用が困難であれば、Pマークを申請しても審査の段階で露見してしまうでしょうし、仮に運良く取得できても、その後に何らかの事故を起こした場合に、PSMに基く運用ができていないとなれば資格の剥奪や会社名の公開など、その代償はPマークを取得しない場合より大きなものになってしまいます。
 如何に自社のシステムに対応させるかを真剣に考える必要があります。
 この段階において、適切なタイミングによるコンサルタントのアドバイスを受けることが必要です。
 「この通りにやっていればいいんですよ。」なんて指導するコンサルタントもおりますが、それで上手くプライバシーマークを取得できても、きちんと運用できていなければ、更新時につじつま合わせに翻弄することになってしまい、結果として過大な労力を割くことになってしまいます。
 残念なことに、Pマーク取得企業の個人情報漏洩も結構多く発生していることから、事故報告が厳格化され、それに基づく措置も厳しくなっておりますので、”Pマークの付与認定さえ得られれば良い”などと安易な考えは禁物です。
<参考>
・個人情報の取扱いにおける事故等の報告について
http://privacymark.jp/privacy_mark/about/accident.html
・プライバシーマーク制度における欠格性の判断基準の設定と運用について
http://privacymark.jp/news/20060331/disqualification_criterion.html

5、安全管理対策を実施する。
 個人情報の安全管理対策を実施します。入退室管理・施錠管理の整備、重要な書類の鍵付き書庫への保管、パソコン等の盗難防止、ネットワークへの不正アクセス対策、アクセスログの取得・監視、自然災害対策等々。扱う個人情報の性質や重要性、組織の規模や形態に応じた安全管理対策を実施します。
 果たして、どのレベルまで対策すればいいかと皆さんが悩むところです。お金をかければいいと言うものでもありませんんので、ここはコンサルタントのアドバイスを受けるといいでしょう。

6、申請前監査の実施
 Pマーク申請においてはPMSに基いた一連の運用が確実に実施できていることが必要です。少なくとも、この監査だけでも外部コンサルタントに依頼することをお勧めします。このとき、現地審査時の注意事項などについても指導を受けておきましょう。

7、申請・審査
 一定期間の運用を終え、社内にPMSに基く運用が確認できればPマークの申請を行います。審査時に指摘された事項などについては、コンサルトントに説明し、適切な処置についてのアドバイスを受けるといいでしょう。

8、監査
 プライバシーマークの維持には、少なくとも年一回は監査が必要です。
 PMSに基いた運用が出来ていなければ、先に述べたようにプライバシーマーク取得は意味が無いばかりか、万一の場合には大きな代償を負うことになります。
 客観的な立場から監査できるように、コンサルタント会社に依頼することをお勧めします。

 いい関係で長くお付き合いできるコンサルタントにめぐり会えるか否かが個人情報保護対策における大きな要素であると言えるでしょう。
 幾つかのコンサルタント会社に遠慮なく相談してみましょう。


 ←前のページへ  
トップページ | 会社案内 | お問い合せ | サイトマップ | リンク集 | プライバシーポリシー