Tatecs ISOコンサルティング ISO認証取得・維持支援 タテックス有限会社 舘 喜久男

プライバシーマーク

最終更新:

tatecs

- view
管理者のみ編集可

プライバシーマークとは        | サイトマップ

プライバシーマークは、1998年より運用されている個人情報の保護体制に対する第三者認証制度です。個人情報保護体制の基準への適合性を評価し、一般財団法人日本情報経済社会推進協会 (JIPDEC) が使用を許諾します。個人情報の英訳である「Personal Information」の頭文字であるPとIをモチーフとしてデザインされた登録商標は、Pマークと通称されています。
 2006年、2017年と改訂があり、登録組織は移行期間に新しい規格に乗り換えることを求められます。
 令和2年(2020年) 改正個人情報保護法に対応したプライバシーマークの審査は、2022年4月から行われる予定です。詳しくは、JIPDEC ホームページに開示されています。

個人情報漏洩事件一覧(最近)

毎日発生しているいくつかの事例を見てみましょう。

年月日 組織名 件数・人数 漏洩原因 漏洩内容・詳細・二次被害(悪用)など
2021/10/7 Coinbase 最小6,000名 サイバー攻撃 フィッシング詐欺が発生
2021/10/4 株式会社新生銀行 約8,000名 データ誤提供 ウェブ解析や広告媒体事業の委託先にデータを提供する際にミスが発生
2021/9/29 株式会社スピック 15,674名 サイバー攻撃 サイバー攻撃が発生、ユーザー1万5,674名の情報が流出
2021/9/24 ロゴヴィスタ株式会社 約12万8,000件 サイバー攻撃 サイバー攻撃を受け、顧客メールアドレス約12万8,000件流出
2021/9/15 トヨタ自動車株式会社 5,797件 目的外使用 個人情報を同意を得ず同社提供のウェブサイトに会員登録

個人情報保護マネジメントシステム(PMS)の必要性

 個人情報保護法が平成17年4月に完全施行されました。これに伴い、個人情報取扱い事業者は、個人情報保護法が規定する義務を負います。個人情報保護法の核となるのは「本人の権利保護」と個人情報を守るための「安全管理義務」の履行です。
 最近では、個人情報の漏えい事件が毎日のように報道され、各企業は個人情報保護対策を迫られています。
 個人情報保護対策の一つとして、プライバシーマーク制度の付与認定(JIS Q 15001に準拠したマネジメントシステムの構築)を目指す企業が多くなってきています。
 既に付与認定企業は、2021年10月現在で約16,700社となっており、特に情報サービス・調査業は全付与認定企業の約半分を占め、付与認定が企業間取引の前提条件となっている例もあります。

プライバシーマーク取得のメリット

1.個人情報保護法の順守

プライバシーマーク認定取得は、JIS Q 15001という明確な基準があり、目標が明確に定められるので何をどこまでやっていいのかが明確なため無駄なコストを抑えられます。 JIS Q 15001はマネジメントシステムの構築による法律順守を提案しているので、自社の業務に適合したスリムな仕組みづくりが可能になります。

2.対外的信頼の確保

プライバシーマーク制度は、1998年に開始され、2006年、2017年にJIS規格が改訂されました。開始当初は企業にとって、個人情報保護はそれ程大きな関心事ではなかったのですが、少しずつ社会に浸透していき、現在では一般の方も広く知るようになりました。  そしてプライバシーマーク取得が個人情報保護がしっかりとマネジメントされた組織であるとの信頼を確立しました。

3.業務委託先の選定条件

プライバシーマーク取得、又はISO27001認証取得の有無が委託先を選定する際の基準とする企業や行政(入札条件)も多くなりました。

令和2年 改正個人情報保護法とJIPDECの構築・運用指針と審査基準

令和2年 改正個人情報保護法の概要

  1. 個人の権利の在り方
    ・利用停止・消去等の個人の請求権などの要件を緩和
    ・保有個人データの開示方法は、電磁的記録の提供を含め本人が指示できるようにする
    ・個人データの授受に関する第三者提供記録について、本人が開示請求できる
    ・6ヶ月以内に消去する短期保存データについて、保有個人データに含める
    ・オプトアウト規定により第三者に提供できる個人データの範囲を限定
  2. 事業者の守るべき責務の在り方
    ・委員会への報告及び本人への通知を義務化
    ・不適正な方法により個人情報を利用してはならない
  3. 事業者による自主的な取組を促す仕組みの在り方
    ・企業の特定分野(部門)を対象とする団体を認定できるようにする
  4. データ利活用に関する施策の在り方
    ・「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和
  5. ペナルティの在り方
    ・虚偽報告等の法定刑を引き上げ
    命令違反:6月以下の懲役又は30万円以下の罰金
    → 1年以下の懲役又は100万円以下の罰金
    虚偽報告等:30万円以下の罰金 → 50万円以下の罰金
  6. 法の域外適用・越境移転の在り方
    ・日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする

    令和2年 改正個人情報保護法についての概要、法令全文などは、個人情報保護委員会 のホームページに公開されています。
      こちらです。 令和2年 改正個人情報保護法について

JIPDEC 構築・運用指針と審査基準(2022年4月1日~)は

2020年に改正された個人情報保護法に対応したPマークの構築・運用指針と審査基準(2022年4月1日~)JIPDECのホームページに公開されていますので参照下さい。

 構築・運用指針と審査基準

JIS Q 15001:2017の概要

1.JIS Q 27001(情報セキュリティマネジメントシステム)をベースとして、個人情報保護マネジメントシステムの要求事項が規定されている。(ISOマネジメントシステムとの一致性が向上した。)
2.規格本文には、個人情報についての具体的な取扱いについての要求事項はなく、附属書A(規定)管理目的及び管理策に規定されている。
3.リスクアセスメントの結果に基づくリスク対応で、附属書Aと比較して必要な管理策(安全管理措置)が漏れていないか確認するように要求されている。また、Pマーク付与適格性審査基準(新審査基準)は、附属書Aの項番の配列で策定されており、附属書Aは、実質的な要求事項となる。

附属書A(規定)管理目的及び管理策

旧規格(JIS Q 15001:2006)をベースとして、最新の個人情報保護法に整合した個人情報の具体的な取扱いなどについて規定

附属書B(参考)管理策に関する補足

附属書Aの各管理策についての解説

附属書C(参考)安全管理措置に関する管理目的及び管理策

JIS Q 27002(情報セキュリティ管理策の実践のための規範)をベースとした安全管理措置についての包括的なリスト

附属書D(参考)新旧対応表

旧規格(JIS Q 15001:2006)との比較表

プライバシーマーク規格の要求事項(主要)

4 組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 個人情報保護マネジメントシステムの適用範囲の決定
4.4 個人情報保護マネジメントシステム
5 リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.2.1 内部向け個人情報保護方針
5.2.2 外部向け個人情報保護方針
5.3 組織の役割,責任及び権限
6 計画
6.1 リスク及び機会に対処する活動
6.1.1 一般
6.1.2 個人情報保護リスクアセスメント
6.1.3 個人情報保護リスク対応
6.2 個人情報保護目的及びそれを達成するための計画策定
7 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化した情報
7.5.1 一般
7.5.2 作成及び更新
7.5.3 文書化した情報の管理
8 運用
8.1 運用の計画及び管理
8.2 個人情報保護リスクアセスメント
8.3 個人情報保護リスク対応
9パフォーマンス評価
9.1 監視,測定,分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
10 改善
10.1 不適合及び是正処置
10.2 継続的改善
附属書A (規定) 管理目的及び管理策

TATECSの JIS Q 15001:2017支援

タテックスでは、JIS Q 15001:2017のコンサル支援を実施いたします。 支援項目について担当までお問合せください。コンサル内容を協議し、決定し、費用のお見積りいたします。

プライバシーマーク(JISQ15001)認定コンサルティング・サービス

プライバシーマーク(Pマーク)の取得をカスタムオーダーで強力に支援いたします!

  • プライバシーマークの認定取得は自分達の会社で取り組みたい。
    -認定取得の費用を抑えたい。
    -忙しくてしょうがないけど、ビジネスのためにはPマークも取らなければならない。
    -しかし、社内にはこれを推進できる人材がいない。なんとかならないかなぁ。
    こうしたニーズに対応し、タテックスではサービスメニューの中から任意に回数を設定していくことが可能なサービスを提供いたします。

餅は餅屋に頼み、我々は本業に専念してサービス料を稼ぎ出した方が得だ。だから、

  • マニュアルもコンサルタントに作成しておいてほしい、
  • 最低限の個人情報の洗い出し作業は自分たちでやるのはしょうがないか。。。

その様なご要望にお応えして、認定取得に取り組む際の重要なポイントをお客様とのご相談により、カスタムメニューにしてガッチリ伝授します。
勿論、コンサルタントの質はISOを7年以上経験したベテランで、本来のマネジメントシステムに精通した者がしっかりとした品質で、ご指導させて頂きます。
この機会にぜひ、弊社のサービスをご検討ください。

認定取得活動プラン

訪問回 コンサルティング実施内容(各2~3時間) A B C
1回目 顔合わせ、プロジェクト説明、支援プラン、訪問日程確定、現状把握、導入研修、個人情報保護方針・個人情報保護マニュアル作成 、詳細規定の作成説明
2回目 マニュアル完成、規定、帳票作成
業務フロー分析・個人情報一覧表・リスク対策の作成
3回目 PMS詳細規定、帳票の策定①
・委託先管理、・媒体管理、・入退室管理、・アクセス権、
・従業員情報管理、・通知文、・ウェブサイト、・教育 など
4回目 PMS詳細規定、帳票の策定②
・前回の詳細規定、帳票の最終仕上げ支援
運用をするための知識、教育・記録類の作成の解説
5回目 内部監査員養成研修 (修了証を発行)
6回目 内部監査実施、是正処置支援 (当社で代行可)
内部監査報告書の作成支援  (当社で代行可)
マネジメント・レビュー実施支援 (当社で代行可)
7回目 申請書類作成支援、
現地調査前の準備(社長・部門長模擬インタビュー)
8回目 書類審査、現地調査の指摘事項対応
(必要があれば訪問、メール・電話対応含む)

プライバシーマークの支援プラン(例)

A 「自主システム構築支援例」
希望・進捗により3回のコンサルティングを決め取得を支援します。
マニュアル提供、審査実績のある文書でスムーズな取り組みます。
コンサルティング後はメール相談で、質問、疑問などにお答え致します。
B 「自主構築+内部監査代行支援例」
Aプランでシステム構築をした後、内部監査を弊社に依頼することで報告書を作成致します。
マネジメントレビューも実施支援、記録作成を完全に支援します。
C 「構築・運用フル支援例」
上記の8ステップを全てフルに行ない合格までサポート致します。

(注記)

  • 上記のサービス料は別途消費税が必要です。
  • 交通費は実費負担を願います。
  • マニュアル作成代行など個別相談を承ります。お気軽にお問合せください。
  • 従業員数によって工数は変化します。
    プライバシーマークやシステム構築、運用及び維持に影響を与えるため、お問い合わせください。お見積りさせていただきます。貴社の営業所・支店名・従業員数・業務の種類をお知らせください。

⇒⇒⇒⇒⇒ お問合せ・御見積りは こちらまで


OECD 8原則

1980年10月、プライバシーの保護及び個人データの越境流通に関する OECD勧告が公表され、そこで個人情報の保護に関する8原則が示された。以下に示すこの8原則は個人情報保護という場合に必ず引用されるもので、以後、世界の全ての個人情報保護に関する法令等はこれに準拠しているといっても過言ではない。当然、個人情報保護法も JISQ15001もこれに準拠した内容になっている。

①収集制限の原則(Collection Limitation Principle)
②正確性の原則(Data Quality Principle)
③収集目的特定の原則(Purpose Specification Principle)
④目的内利用の原則(Use Limitation Principle)
⑤安全対策の原則(Security Safeguards Principle)
⑥公開の原則(Openness Principle)
⑦本人関与の原則(Individual Participation Principle)
⑧責任の原則(Accountability Principle)

個人情報保護マネジメントシステム-PMSシステム構築ステップ

(個人情報保護マネジメントシステム 以下、「PMS」という。)は、以下の手順で構築し、運用することができる。

準備 ステップ1:個人情報保護方針を定め文書化する
ステップ2:PMS策定のための組織を作る
ステップ3:PMS策定の作業計画をたてる
構築 ステップ4:個人情報保護方針を組織内に周知する
ステップ5:個人情報を特定する
ステップ6:法令、国が定める指針その他の規範を特定する
ステップ7:個人情報のリスクを認識し、分析し対策を検討する
ステップ8:必要な資源を確保する
ステップ9:PMSの内部規程を策定する
運用 ステップ10:PMSを周知するための教育を実施する
ステップ11:PMSの運用を開始する
ステップ12:PMSの運用状況を点検し改善する
ステップ13:PMSの見直しを実施する

  詳細は→PMSシステム構築ステップ

PMSでの内部規程(例)

 a) 個人情報を特定する手順に関する規定
 b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
 c) 個人情報に関するリスクの認識、分析及び対策の手順に関する規定
 d) 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
 e) 緊急事態(個人情報が漏えい、滅失又はき損をした場合)への準備及び対応に関する規定
 f) 個人情報の取得、利用及び提供に関する規定
 g) 個人情報の適正管理に関する規定
 h) 本人からの開示等の求めへの対応に関する規定
 i) 教育に関する規定
 j) 個人情報保護マネジメントシステム文書の管理に関する規定
 k) 苦情及び相談への対応に関する規定
 1) 点検に関する規定
 m) 是正処置及び予防処置に関する規定
 n) 代表者による見直しに関する規定
 o) 内部規程の違反に関する罰則の規定

認定取得活動スケジュール(例)

本ケースでは申請まで約3~6ヶ月を標準期間として想定しています。 1訪問時間は2~4時間程度です。

活動月 活動項目 実施内容
1ヶ月目 準備期間 目標、メンバー、日程、教育
リスク分析 個人情報洗い出し、リスク分析
2ヶ月目 文書作成 マニュアル、規程、手順書、様式
教育・訓練資料など
3ヶ月目 教育 教育訓練を実施
4ヶ月目 運用 システム運用開始
5ヶ月目 内部監査 内部監査
MR マネジメントレビュー
6ヶ月目 申請
書類審査
現地審査
現地審査指摘事項
マークの付与

プライバシーマーク取得後は管理力が格段に向上していることを実感できるはずです。 このまま、2年後の更新を視野に日々PDCAを回し続ければより管理能力と信頼が増すことでしょう。

認定取得までにPDCAサイクルを1回転させる

  • Plan(計画) 社内体制の構築、社内規程の整備、セキュリティの導入等、個人情報保護に必要な会社の取り組みについての計画を立案する。
  • Do(実施) 計画に基づいて個人情報保護のための取り組みを実行する。(安全管理措置の例
  • Check(監視、点検) 監査やセルフチェックにより、会社の個人情報保護に関する現状を分析し、問題点を発見すること、また発見された問題点を改善する。
  • ACT(見直し) 監査の結果、社会情勢の変化、経営環境の変化、セキュリティ技術の向上等に応じて、自社の個人情報保護への取り組みを見直し、改善する。

プライバシーマーク、本当の試練は現地審査後の是正処置なんです。。。

 上記のように新規認定支援コンサルティングを受けた場合であったり、コンサルタントを入れずに独力で現地審査まで進んだが、ものすごい量の指摘をされてしまった。 そして、現地審査後の長い長い戦いが始まった。。。是正処置に何ヶ月も、半年以上苦しんでいる企業は多いと思います。

  • 審査員の言っていることが判らない。
  • 何をどう対応すればいいのか見当がつかない。
  • ちゃんと答えを返しているのに審査員が頑として認めない。
  • 一回で通過する対策もあるのだが、何回やってもダメで打つ手がない。
  • また今月も回答の締め切り日、納期が近づいている。。。どうしよう。。。困った。
     どうですか。これは経験した人でなければ判りません。 こういった事態に陥った場合でも当社は支援致します。 お気軽にお声がけください。必ず合格するようにこの場面から挽回する指導を致します。 こういう場合こそ、コンサルタントをうまく使う場面かもしれません。

   お問合せは、ここをクリック→お問合せ

御見積り・ご相談等は信頼と実績のタテックスまでお問合せください。

お問合せは、ここをクリック
  ↓










記事メニュー
目安箱バナー