プライバシーマーク(個人情報保護)

プライバシーマーク(個人情報保護マネジメントシステム)

個人情報流出事件、住基ネットの本格稼動、個人情報保護法の施行等、個人情報保護に対する関心が非常に高まっています。電子データ化された個人情報は流出の危険性が高く、加工・編集も容易で、いったん流出すると流出は止まらず、回収もほぼ不可能です。個人情報の保護は、いまや企業の社会的責任となり、企業の存続をも脅かしかねない重大な関心事になりつつあります。

プライバシーマークとは

プライバシーマーク制度は、一般財団法人日本情報経済社会推進協会(JIPDEC)が、JISQ15001規格(個人情報保護マネジメントシステム-要求事項)を基準に、民間事業者の個人情報保護に関する管理体制を審査し、規格に準拠していると認定された事業者に対してその証しとして、プライバシーマークの使用を認める制度です。
プライバシーマークの認定は、個人情報保護法の規定を包含するJISQ15001規格に基づいて第三者が客観的に評価する制度であり、法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステム(PMS)を確立し、運用していることをアピールする有効なツールとして活用することができます。

個人情報保護マネジメントシステム(PMS)

個人情報保護マネジメントシステム(PMS)とは、「Plan(計画)、Do(実施)、Check(点検)、Act(処置)」というPDCAサイクルを継続的に実行することにより、組織が目標を達成するしくみのことです。このPDCAサイクルを回すことによって継続的改善を果たすことを目的に要求事項は構成されています。
JISQ15001規格ではISO9001(品質マネジメントシステム)やISO14001(環境マネジメントシステム)といった、他のマネジメントシステムと共通した考え方を取り入れています。

プライバシーマーク取得までの流れ

ステップ 項 目 概 要
第1段階 1 規格要求事項解説・リスク調査 ・JISQ15001規格要求事項の理解
・個人情報の洗い出し
・リスクの識別
・リスクの評価
・安全管理策の決定
・残存リスク管理策の決定
2 マネジメントシステム構築 ・個人情報保護運営体制の整備
・個人情報保護方針の設定
・個人情報保護マニュアルの作成
・各種規定文書の作成、整備
・個人情報に関する相談窓口の設置
第2段階 3 マネジメントシステム運用 ・全従業員教育
・内部監査員養成
・内部監査
・記録の整備
・代表者による見直し
・是正処置、システム改善
4 審査対応 ・審査申請
・文書審査
・現地審査
・是正処置、システム改善

テクノソフトの取得支援の特徴

  1. 業態に合った適切な個人情報の取扱いができる体制作りを目指します。
  2. 個人情報の取扱いに関連するリスク分析 及び 評価をどのように実施すれば良いか、また業態に合った運営体制確立に向けてのアドバイスを行ないます。
  3. 個人情報を業務上活用することを前提とした、取扱い要領・ルール等を明確にした上で、他のマネジメントシステム(ISO9001/14001/27001等)と整合した効率的なマネジメントシステムの確立を目指すアドバイスを行ないます。
  4. 主だった規定文書類は参考としてサンプル文書を活用し、作業の負荷軽減を図るとともに、無理・無駄のないマネジメントシステムの構築を支援いたします。

JIS規格と個人情報保護法との比較

JISQ15001規格は個人情報保護法よりも組織が対応すべき事項について、より厳しい内容が要求されています。ただし、個人情報保護法の規定するすべての事項を網羅しているわけではないため、JISQ15001規格が規定していない法令や規範を考慮した個人情報保護マネジメントシステムの構築が必要になります。

JIS Q 15001 : 2006 個人情報保護法
1 適用範囲
2 用語及び定義 第2条(定義)
3 要求事項
3.1 一般要求事項
3.2 個人情報保護方針
3.3 計画
3.3.1 個人情報の特定
3.3.2 法令,国が定める指針その他の規範
3.3.3 リスクなどの認識,分析及び対策
3.3.4 資源,役割,責任及び権限
3.3.5 内部規程
3.3.6 計画書
3.3.7 緊急事態への準備
3.4 実施及び運用
3.4.1 運用手順
3.4.2 取得,利用及び提供に関する原則
3.4.2.1 利用目的の特定 第15条(利用目的の特定)
3.4.2.2 適正な取得 第17条(適正な取得)
3.4.2.3 特定の機微な個人情報の取得,利用及び提供の制限
3.4.2.4 本人から直接書面によって取得する場合の措置 第18条(取得に際しての利用目的の通知等)第2項、第3項
3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置 第18条(取得に際しての利用目的の通知等)第1項
3.4.2.6 利用に関する措置 第16条(利用目的による制限)
3.4.2.7 本人にアクセスする場合の措置
3.4.2.8 提供に関する措置 第23条(第三者提供の制限)
3.4.3 適正管理
3.4.3.1 正確性の確保 第19条(データ内容の正確性の確保)
3.4.3.2 安全管理措置 第20条(安全管理措置)
3.4.3.3 従業者の監督 第21条(従業者の監督)
3.4.3.4 委託先の監督 第22条(委託先の監督)
3.4.4 個人情報に関する本人の権利
3.4.4.1 個人情報に関する権利 第2条(定義)第5項
3.4.4.2 開示等の求めに応じる手続 第29条(開示等の求めに応じる手続き)
第30条(手数料)
3.4.4.3 開示対象個人情報に関する事項の周知など 第24条(保有個人データに関する事項の公示等)第1項
3.4.4.4 開示対象個人情報の利用目的の通知 第24条(保有個人データに関する事項の公示等)第2項、第3項
第28条(理由の説明)
3.4.4.5 開示対象個人情報の開示 第25条(開示)
第28条(理由の説明)
3.4.4.6 開示対象個人情報の訂正,追加又は削除 第26条(訂正等)
第28条(理由の説明)
3.4.4.7 開示対象個人情報の利用又は提供の拒否権 第27条(利用停止等)第2項
第28条(理由の説明)
3.4.5 教育
3.5 個人情報保護マネジメントシステム文書
3.5.1 文書の範囲
3.5.2 文書管理
3.5.3 記録の管理
3.6 苦情及び相談への対応 第31条(個人情報取扱事業者による苦情の処理)
3.7 点検
3.7.1 運用の確認
3.7.2 監査
3.8 是正処置及び予防処置
3.9 事業者の代表者による見直し
無料見積もりはこちらまで