-
プライバシーマーク制度とは、
財団法人 日本情報処理開発協会(JIPDEC)が、事業者が取り扱う個人情報について、日本工業規格「JIS Q 15001:2006 個人情報保護マネジメントシステム―要求事項」に適合して、適切な保護の体制を整備しているかを審査して認定を付与する制度です。
認定した証として『プライバシーマーク』使用が認められます。
-
プライバシーマーク取得をする利点とは、
-
☆:個人情報を大切に取り扱う組織体制になります。
消費者は、個人情報に関して非常に敏感になっております。もし個人情報が漏えいした場合、『認識が甘かった』『知らなかった』という言い訳では、お客様は納得していただけません。
☆:いろいろな安全管理対策の実施により、個人情報が外部に漏れる危険性が格段に少なくなります。
☆:第三者機関から認証を得ることで、お客様への信頼度が向上することになり、取引の拡大・売上の増加につながります。お取引様やお客様によっては、プライバシーマーク取得は必須条件になっております。
☆:ホームページや名刺などに、プライバシーマークを使用することができ、強力な営業支援となります。
☆:転ばぬ先の丈夫な杖になります。後から、ちゃんとしておけばよかった。と後悔させないルール作りが企業を救い成長へと導きます。
-
プライバシーマーク取得をする手順は?
-
プライバシーマークを取得するには、プライバシーマークの申請書を作成しなければなりません。
しかしこの申請書は簡単に作成できるものではありません。申請書のなかには、JIS Q 15001:2006に準拠した規程を作成して、個人情報が洗い出され適切な保護と安全管理対策を実施しているという内容の申請書を作成しなければなりません。
その後審査員が現地に赴き、申請書どおり正しく運用されているかどうか審査が行われます。この書類審査と現地審査をパスして初めてプライバシーマークの付与となります。
それには以下の様な手順とスケジュールで行います。
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
キックオフ
体制構築
事前勉強会
個人情報の調査
リスクの分析と
対策検討
規程類の作成
安全管理対策の
立案と実施
従業者への教育
運用開始
監査の実施
見直しの実施
Pマーク申請
:経営者によるPマーク取得の宣言を従業者に向かって行います。
:Pマーク取得及び本運用時における体制構築を行います。
:Pマーク取得メンバーに対して基本の勉強会を行います。
:社内に存在している個人情報を全て洗い出します。
:洗い出された個人情報を元に、ライフサイクル毎の局面におけるリスクを洗い出し、対策を決定します。
:JIS Q 15001:2006に則った規定や手順書や台帳等をお客様の業務に合うように作成・修正を行います。
:洗い出されたリスクからリスクの低減・移転・回避・受容するために適切な安全管理対策を立案し実施します。
:全ての従業者に対して、上記で作成した規程や手順について教育を行います。
:作成した規程や手順、安全管理対策に基づいて、実際に運用していただきます。
:作成した規程や安全管理対策などが正しく運用されているかを、監査します。
:不適合な規程箇所や不十分なリスク対策を元に改善策を施します。
:規程文書や手順書類・教育実施結果・監査結果などを申請書として提出します。
-
-
プライバシーマーク取得を取得するまでの期間は?
-
キックオフ宣言を行ってから、Pマーク申請までに平均4ヶ月~6ヶ月かかります。
その後書類審査と現地審査に2ヶ月ほどかかっております。(なお審査期間は、申請の混雑状況によって変動します。)
-
プライバシーマークと個人情報保護法との違いは?
-
プライバシーマークの取得には、日本工業規格であるJIS Q 15001:2006 を用いた審査制度です。このJIS Q 15001:2006 は、個人情報保護に関する管理の仕組みとなっています。JIS Q 15001 は2006年の改正に伴い、現在の個人情報保護法とほぼ同じ内容になりました。いやむしろJIS Q 15001:2006 は、個人情報保護法よりも厳しい内容となっております。
主な違い
個人情報保護法で述べる個人情報取扱事業者は、事業所全体で過去半年間に継続的に5000件以上の個人データを保有している事業者を対象として個人情報取扱義務を課しています。しかしプライバシーマーク取得事業者は、全て個人情報保護法にある個人情報取扱義務を課しています。
またプライバシーマークの取得には、プライバシーポリシーの制定、個人情報保護マネジメントシステムの文書化、記録の取得、内部での監査などの違いがあります。
-
プライバシーマーク取得に当たって事前に知っておくべき事項は?
- プライバシマークの付与申請は、法人登記単位です。子会社は別申請となります。
- プライバシマークの付与の有効期間は2年です。2年毎に更新を行わなければなりません。
- プライバシマークは申請後、書類審査、現地審査を経て付与可否が決定されます。申請書類作成までは上記の手順で行います。新規申請後の詳細手順は、こちらになります。
- JIS Q 15001:2006個人情報保護マネジメントシステム-要求事項に準拠した個人情報保護マネジメントシステム(PMS)を定めていること。《上記手順の中で作成していきます。》
- 個人情報保護マネジメントシステム(PMS)に基づき実施可能な体制が整備されて個人情報の適切な取扱が行われていること。《上記手順の中で行っていきます。》
- 個人情報保護マネジメントシステム(PMS)が2006年版JISに対応していること。
- 欠格事項に該当しないこと。(欠格事項とは)
-
安全管理対策って?
-
安全管理対策は、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」によりますと、以下の4つがあり会社の規模や実施可能な費用の範囲で対応を行わなければなりません。
何も高額な対策を行う必要はありません。企業毎の実情に応じた対策手段はいくらでもあります。
- 人的安全管理対策:
従業者に対する内部規程等の周知・教育・訓練を実施します。また従業者との非開示契約の締結及び業務委託先との非開示契約の締結を行います。
- 組織的安全管理対策:
安全管理について従業者との責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認します。
1)個人データの安全管理措置を講じるための組織体制の整備
2)個人データの安全管理措置を定める規定等の整備と規程にあった運用
3)個人データの取扱状況を一覧できる手段の整備
4)個人データの安全管理措置も評価、見直し及び改善
5)事故又は違反への対応
- 物理的安全管理対策:
建物や部屋の入退室(館)の管理、個人データの盗難の防止を行います。施錠等による盗難防止や災害などからの保護を行います。
1)入退室(館)管理の実施
2)盗難等の防止
3)機器・装置等の物理的な保護
- 技術的安全管理対策:
個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等を行います。
1)個人データへのアクセスにおける識別と認証
2)個人データへのアクセス制御
3)個人データへのアクセス権限
4)個人データへのアクセスと記録
5)個人データを取り扱う情報システムについての不正ソフトウェア対策
6)個人データの移送・送信時の対策
7)個人データを取り扱う情報システムの動作確認時の対策
8)個人データを取り扱う情報システムの監視
- 規程類って?
- JIS Q 15001:2006 個人情報保護マネジメントシステム―要求事項」及びその他法令や各省庁からの通達やガイドラインを統合して、企業に適したオリジナルな規程や手順書・台帳などを作成します。費用がかかる安全管理対策とは異なり文書の整備と運用は、最も重要なところです。
-
