Google    ビジネスサポートプランニング: 2009 Google+

東大阪在住。印刷系・通販系が得意です。半年で取得するPマーク導入支援、SNS・懸賞サイトを使った、ローコストSEO対策・コンバージョンアップ、会社を変えるISO9001、効果的なSPツール・プレミアムグッズ・景品等の解説をブログでおこなっています。 現在はお仕事の依頼を受け付けておりません。

analytics

このブログを検索

2009年12月30日水曜日

プライバシーマーク 事業の用に供する個人情報とは何か。

事業の用に供する個人情報と規格では出てきます。

事業の用に供する個人情報とは以下のものが該当します。
1-会社が商品やサービスを提供する際に取扱う個人情報
2-従業者の採用や雇用管理で取り扱う個人情報
3-個人情報保護マネジメントシステムを運用する事により取扱う個人情報

以上のものが該当します。

これに該当しない個人情報は、事業の用に供する個人情報とはなりません。
該当するものは全て事業の用に供する個人情報となります。



2009年12月27日日曜日

プライバシーマークの審査員の質

審査機関にも違いがあれば、審査員にも特徴があります。
しかしながら、現在の審査員は審査員とは言い難い人も多くいるのが現実です。

カッとする。
言い合いになる。
冷静で無い。
客観的ではない。
相手の話を聞かない。
自分の持論を押し付ける。
過去の審査にさかのぼり、やっぱりあれがダメという。
一回目の指摘と、二回目の指摘に矛盾がある。
なんて事も多くあります。

言い負かすだけの知識を身につけるか、全て従うかのどちらかになります。
全てに従っていると、期間内に取得をすることが出来ません。

言い負かすだけの知識を身につけるにも難しいところがあります。
PMS対応の為に社員を契約で雇うと言うのも一つの手です。




2009年12月26日土曜日

プライバシーマーク 重箱の隅をつつく審査

審査機関により、大きく認証に対する意識が違います。
それは、同じプライバシーマークの付与を受けている会社のHP等を見ても、個人情報に関する事の取扱いの違いで判ります。

大きな違いは、業界団体の審査機関と、地域の審査機関の違いです。
業界団体の審査機関であれば、業界団体のガイドラインがベースになりますので、比較的安易に認証付与が出来る傾向にあります。

地域の審査機関の場合、一から作り上げる必要がある為、審査機関によっては、重箱の隅をつつくような審査が行われます。

業界団体の審査機関の審査を受けるには、正会員になる等、別途会費が発生します。
プライバシーマークを取らないのであれば、加入する必要はないのですが、プライバシーマークを取るのであれば、業界団体に属し、そこの審査を受ける方法もあります。

2009年12月23日水曜日

プライバシーマーク 12-4 計画書 現地審査でチェックされる事項

審査項目
事業の代表者の承認を受けて教育計画を作成している。


現地審査の着眼点
定めた手順に従い実施している。

運用確認のエビデンス
教育計画書



審査項目
作成した教育計画の内容が適切である。


現地審査の着眼点
研修名、研修日時、場所、講師、受講対象者、参加予定者数、研修の概要など、実施可能なように具体的に記述している。

運用確認のエビデンス
教育計画書



審査項目
事業の代表者の承認を受けて監査計画を作成している。


現地審査の着眼点
定めた手順に従い実施している

運用確認のエビデンス
監査計画書



審査項目
作成した教育計画の内容が適切である。


現地審査の着眼点
監査テーマ、監査対象、監査目的、監査範囲、手続き、スケジュールなど実施可能なように具体的に記述している。

運用確認のエビデンス
監査計画書

プライバシーマーク審査機関一覧

一般社団法人情報サービス産業協会
[JISA]
〒104-0028
東京都中央区八重洲2丁目8番1号
日東紡ビル9階
TEL :03-6214-1125
FAX :03-6214-1126

一般社団法人日本マーケティング・リサーチ協会
[JMRA]
〒101-0044
東京都千代田区鍛冶町一丁目9番9号
石川LKビル2階
TEL :0120-039-551/03-3256-3101
FAX :03-3256-3105

社団法人全国学習塾協会
[JJA]
〒171-0031
東京都豊島区目白三丁目5番11号
TEL :03-5996-8511
FAX :03-5996-9585

14 一般財団法人医療情報システム開発センター
[MEDIS-DC]
〒162-0825
東京都新宿区神楽坂一丁目1番地
三幸ビル2階
TEL :03-3267-1925
FAX :03-3267-1926

社団法人全日本冠婚葬祭互助協会
[全互協]
〒105-0004
東京都港区新橋1-18-16
日本生命新橋ビル9階
TEL :03-3596-0061
FAX :03-3596-8030

社団法人日本グラフィックサービス工業会
[JaGra]
〒103-0001
東京都中央区日本橋小伝馬町7番16号
TEL :03-3667-2271
FAX :03-3661-9006

社団法人日本情報システム・ユーザー協会
[JUAS]
〒103-0012
東京都中央区日本橋堀留町一丁目10番11号
井門堀留ビル5階
TEL :03-3249-4103
FAX :03-3249-6130

財団法人くまもとテクノ産業財団
[KPJC]
〒861-2202
熊本県上益城郡益城町田原2081番地10
TEL :096-289-5522
FAX :096-289-5212

社団法人中部産業連盟
[中産連]
〒461-8580
愛知県名古屋市東区白壁三丁目12-13
中産連ビル7F
TEL :052-931-7701
FAX :052-931-7702

財団法人関西情報・産業活性化センター
[KIIS]
〒530-0001
大阪府大阪市北区梅田一丁目3番1-800
大阪駅前第1ビル8F
TEL :06-6346-2545
FAX :06-6346-2662

財団法人日本データ通信協会
[デ協]
〒170-8585
東京都豊島区巣鴨二丁目11番1号
巣鴨室町ビル7階
TEL :03-5907-3809
FAX :03-3910-8088

社団法人コンピュータソフトウェア協会
[CSAJ]
〒107-0052
東京都港区赤坂1-9-15
日本自転車会館1号館5F
TEL :03-3560-8444
FAX :03-3560-8445

特定非営利活動法人みちのく情報セキュリティ推進機構
[TPJC]
〒980-0012
宮城県仙台市青葉区錦町一丁目5番1号 N-ovalビル
TEL :022-393-8088
FAX :022-393-8090

社団法人日本印刷産業連合会
[日印産連]
〒104-0041
東京都中央区新富1-16-8
日本印刷会館内
TEL :03-3553-6065
FAX :03-3553-6091

財団法人放送セキュリティセンター
[SARC]
〒107-0052
東京都港区赤坂二丁目21番25号
TEL :03-3585-6494
FAX :03-3585-6271
一般社団法人北海道IT推進協会
[DPJC]
〒060-0002
北海道札幌市中央区北二条西三丁目1番地
札幌ビルディング
TEL :011-590-1109
FAX :011-207-1367

特定非営利活動法人中四国マネジメントシステム推進機構
[中四国MS機構]
〒732-0821
広島県広島市南区大須賀17番5号
シャンボール広交204号室
TEL :082-236-3115
FAX :082-236-3116

一般社団法人モバイル・コンテンツ・フォーラム
[MCF]
〒150-0011
東京都渋谷区東三丁目22番8号
TEL :03-5468-5091
FAX :03-5468-1237


認定機関自体はかなり数が少ないです。
どこを選ぶか、という事も出来ません。協会員や賛助会員になっていないと受け付けてくれない認定団体もあります。

会員になっていない場合は、本社のある地域を担当している組織に依頼する事になります。

2009年12月22日火曜日

プライバシーマーク 12-3 計画書 書類審査でチェックされる事項

審査項目
事業の代表者の承認を受けて教育計画を策定するように規定している。


文書審査の着眼点
●教育計画書を確実に作成できるように手順を明確に記述している。
●教育計画書を事業の代表者(又は権限の委任を受けた管理者)が承認している。



審査項目
事業の代表者の承認を受けて監査計画を策定するように規定している。


文書審査の着眼点
●監査計画書を確実に作成できるように手順を明確に記述している。
●監査計画書を事業の代表者(又は権限の委任を受けた管理者)が承認している。。


2009年12月21日月曜日

プライバシーマーク 12-2 計画書 監査計画書

監査計画書は個人情報保護マネジメントシステムの監査を実施する計画です。
監査の内容は、3.7.2監査の章で具体的に説明します。
ここでは、監査計画書について記述します。

マネジメントシステムは基本的にPDCAを廻すという認識がある為、必ず監査が必要になります。
監査はCのチェック(Check)になります。
このPDCAは基本的に一年を一区切りとして廻します。
この為、年間計画で、いつ監査をおこなうかを決める必要があります。

規格は一年に一回以上の内部監査実施を求めています。


年間監査計画書
年間監査計画書

個別監査計画書
個別監査計画書

ひな型はグーグルドライブにアップしてあります。
必要な方は自由にダウンロードしてください。

https://drive.google.com/file/d/0B1QrXfNRLBiwSjloVGtfdi1PR2M/view?usp=sharing


2009年12月20日日曜日

プライバシーマーク 12-1 計画書 教育計画書

教育計画書は、個人情報保護マネジメントシステムを従業者に教育する上での計画です。
個人情報保護マネジメントシステムは全従業者を対象にしている為、取締役、正社員、パート、アルバイト、派遣社員等にも必要です。
※ただし、派遣社員の場合は雇用関係の問題がある為、派遣元と協議する必要があります。

教育計画書は実施可能な程度で具体的な記述を求められています。
また記述の方法は、年間計画書でも個別計画書でもどちらでも構いません。
また全従業者を対象としていますが、個人情報に関わりのある業務従事者と全く関わりの無い業務従事者とで教育の内容を同一にする必要はありません。
関わりのある従業者にはより詳しく教育をおこない、関わりの無い従業者には概略の教育をおこなう。
それを計画書に落とし込めば簡単に作成できます。

尚、規格では、一年に1回以上の教育実施を要求しています。

年間計画書
年間計画書

個別計画書
個別計画書

ひな型はグーグルドライブにアップしてありますのでご自由にダウンロードしてください。
https://drive.google.com/file/d/0B1QrXfNRLBiwUDM0bERSbjZiYkk/view?usp=sharing

プライバシーマーク 事業で取り扱う個人情報って何があるだろう

事業で取り扱う個人情報、これは事業内容により大きく変わります。
BtoBの仕事であれば、名刺、請求書、納品書、納品先、挨拶状、社員の情報
BtoBでも個人情報の委託を受けて作業(加工・発送等)を行う場合は、それらも増えます。
BtoCの場合は、顧客情報がプラスされます。
更に決済等も行っていれば、クレジットカードの情報や銀行等の情報も取り扱うことになります。

個人情報を洗い出す時には、事業のフローと実際の帳票を全て洗い直す必要があります。
その際、統一できる文書があれば統一してしまうのも一つの手法です。

文書ばかりを増やすのが目的ではありません。
如何に個人情報を護るかが主目的です。
文書を増やして、個人情報の拡散、取扱者の増加等が起これば、リスクが増えますよね。

事業で取り扱う個人情報を洗い出す時は、漏れなく行う為にも、時間をかける必要があります。


2009年12月19日土曜日

プライバシーマーク認証はリスクマネジメントです。

プライバシーマークの認証付与は、リスクマネジメントシステムです。

これはプライバシーマークの目的が、個人情報の流出を起こさせない事になっている為です。
それだけ現在個人情報に対する流出・漏洩等の事故が多いと言うことでもあります。

現在の審査機関は、個人情報を流出させないためのシステム作りという観点から審査を行っています。
この為、予防措置はあっても、是正処置は無いと考えてシステム作りを行わなければなりません。
この意味は、事前に潰せるリスクは徹底的に潰すと言うことになります。

ISOと同じようにとらえて取り組まれると、そのあたりに違和感を覚えるかもしれません。

ただし、PDCAのスタイルはとっていますので、PDCAのサイクルを回さなければなりません。

一年ごとの見直しにより、PDCAを回します。
この一年のうちに、計画し、行った事をチェックし、出来ていない事が無いか、変更が無かったか(組織・業態・業種・業務内容・システム・人事・装置・事務所等)、システムとしてひずみが無いか、資金的・人的に残存リスクに対応できるのか、出来ないのか等々のチェックを行い、処置を行う、そして新たに計画を立てるを繰り返していきます。

この点は、ISOに比べると最初に徹底的にリスクを潰すので次年次以降は、運用は楽になります。

プライバシーマークをISOと一緒に捉えない事です。

出来ればISOの認証を取るより先にプライバシーマークを取った方が良いかもしれません。



プライバシーマーク 12 計画書

規格の3.3.6は、計画書について記述されています。
規格の文面からも判る様に、計画書は教育と監査だけで必要になる物ではありません。
規格には

個人情報保護マネジメントシステムを確実に実施する為に必要な教育、監査等の計画を~~

とありますので、個人情報保護マネジメントシステムを確実に運用する為に、目標等を定める物に関しては計画書が必要になります。

少なくとも、最低限教育計画書と監査計画書は必須です。

また、計画書は事業の代表者の承認(立案からしても良い)が必要です。
個人情報保護管理者が事業の代表者の承認を得ず計画の立案から実行をおこなっている事業体が見受けられますが、不適合です。
不適合になる理由は、事業の何であれ、事業に関わる計画は事業の代表者が全体を見つつ、諸般の事情を勘案しておこなう経営判断の一つです。
個人情報保護マネジメントシステムも経営判断の一つです。
この為、事業の代表者の承認が必要になります。

ただし、個人情報保護管理者が業務の委任を事業の代表者から受けている場合は、この限りではありません。

この場合、適正な手続きによって委任されていることが条件になります。



2009年12月18日金曜日

プライバシーマーク 11-18 内部規程 現地審査でチェックされる事項

審査項目
取締役会の決議を経過する等、一定の手続きを定めている。


現地審査の着眼点
内部規程は経営責任を明確にする為、取締役会等、代表取締役等が出席する会議体の決議を経る等の一定の手続きを経過して定めている。


運用確認のエビデンス
  • 一定の手続きを経て定められたことを示す記録



審査項目
a)~o)を含む規程を従業者が参照できる。


現地審査の着眼点
従業者がどこに何があるか判別でき、容易に参照できる環境にある。

※規程集として1冊にまとめる必要はない。
※紙媒体でなくても良い。
※規程は従業者が必要な範囲で参照出来ればよい。個人情報に関わらない業務従事者に手順書レベルの規程は必要ではない。

運用確認のエビデンス
  • 従業者が参照できる環境にある。又は措置が取られている。



審査項目
文書化した内部規程を維持している。


現地審査の着眼点
この項目は3.5.2文書管理で審査します。



審査項目
必要に応じて内部規程を改正している。


現地審査の着眼点
この項目は3.5.2文書管理及び3.7.2監査で審査します。

プライバシーマーク 社長が個人情報保護方針を作る。

事業の代表者が個人情報保護方針を作る事になっています。
事業規模にもよりますが、大抵は、社長。大きい企業になりますと代表権を持っている人、取締役会とも解釈できます。

個人情報保護方針には以下の事を記述して文書化を行わなければなりません。
1-何のために個人情報の保護活動を行うのか。
事業内容を絡めて、個人情報保護の為に取り組む姿勢や基本的な考え方を記述します。

2-個人情報保護の為にどういった内容の活動を行うのか。
a-個人情報の取得や利用及び提供。
b-個人情報に関連する法令、国が定める指針、その他の規範を守る事。これには事業上の事業内容により関わってくる法令等もありますので、事業の内容により対象になる法令が変わってきます。また、業界団体のガイドライン等も含まれます(加入していなくても、対象となります)。
c-個人情報が漏洩、滅失、毀損、消失させないための防止策と是正。
d-個人情報の苦情や相談に対応する事。
e-PMS(個人情報保護マネジメントシステム)の継続的改善に関する事。
以上の事をコミットメント(宣言し、責任を持って実行する事)します。

コミットメントした文書に対して、いつ、だれが責任を持つのかを明記します。
日付と社長の名前が入ります。

もちろん、誰かに指示して作らせても構いませんが、必ず目を通し、コミットする必要があります。
基本的に、トップマネジメントが作る事になっていますので、内容を知らないではダメです。

他社の個人情報保護方針を見るとよく判ると思いますが、冒頭部は、会社がPマークを何故必要とするか、うちの会社はこうなんだっと言う想いが込められる部分があります。

ですから、冒頭部分だけでも社長は、実務をする人と十分に話し合ってコンセンサスをとる必要があります。



2009年12月17日木曜日

プライバシーマーク 現地審査

書類審査が終われば現地審査になります。

現地審査では実際にどのように運用されているかの確認が行われます。

ここでも、JIS Q 15001に対する不適合等が指摘される可能性がありますが、指摘された方が改善が楽になるので、指摘されたからといって、恐れる必要はありません。

指摘された事項を是正して報告書を提出します。

この後、審査機関により認定の通知が行われれば、マークの使用料を払い込みPマーク付与契約の成立になり認定したと公表されます。



プライバシーマーク 11-17 内部規程 書類審査でチェックされる事項

審査項目
a)~o)に該当する具体的な手順書レベルの規程がある。


文書審査の着眼点
規格と同様の象徴的な文言で書かれていないこと。具体的な手順書レベルまで落としこんだ規程を作成している。



審査項目
文書化した内部規程の維持について規程し、記述している。


文書審査の着眼点
※この項目は3.5.2 文書管理で審査します。



審査項目
内部規程の改正について規程し、記述している。


文書審査の着眼点
※この項目は3.5.2文書管理及び3.7.2監査で審査します。

2009年12月16日水曜日

プライバシーマーク 書類審査を待つ

書類を作成し提出したら、書類審査を待ちます。

書類審査は、認定機関の込み具合により変わってきますので一ヶ月から二カ月ほどと思ってください。

その後、書類審査について、合否が審査機関から伝えられます。

また是正処置を施すように指摘されます。

指摘された事項についてはJIS Q 15001の要求事項が欠落している、不十分、よく判らない等ありますので、指摘事項に従い修正を行い再提出します。

その間も修正箇所が出てくると思いますので、書類審査期間中だからといって、運用を止めるような事をしてはなりません。



プライバシーマーク 11-16 規程 o) 内部規程の違反に関する罰則の規程 

個人情報の取扱いについて、PMSの定めに違反した場合の罰則処置をルール化します。
実際の罰則規程は、現在就業規則等で既に定められている規則を適応する事も可能です。
既にある規則を適用する場合には、内部規程の違反に関する罰則の規程の中で適用する規則を明示します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。


2009年12月15日火曜日

プライバシーマーク 11-15 規程 n) 代表者による見直しに関する規程

規格の3.9にある『事業者の代表者による見直し』にのっとった規程です。
詳細は後ほど3.9のところで述べるとして、ここでは規程(ルール)作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。

社長による見直しは、不適合の改善を行うことのみではなく、PMSをより良いものにしていくために行うもので、PMSのフレームワークを根本的に見直す事です。
根本的に見直す為に、手順をルール化する必要があります。

社長による見直しには、次のインプット事項が含まれなければなりません。

  • 監査及びPMS運用状況に関する報告
  • 苦情を含む外部からの意見
  • 前回の見直しの結果に対するフォローアップ
  • 個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
  • 社会情勢の変化、国民の認識の変化、技術の進歩等の諸環境の変化
  • 事業者の事業領域の変化
  • 内外から寄せられた改善のための提案。

プライバシーマーク 一回目のマネジメントレビュー終了後、審査機関に書類を提出

マネジメントレビューが済んだら、審査機関に書類を提出します。

申請書類は

プライバシーマーク付与認定申請チェック表(紙媒体で提出) 様式2006-0

プライバシーマーク付与申請書(代表者印の捺印があること) 様式2006-1新規

会社概要 様式2006-2

取扱う個人情報の概要 様式2006-3

認定を受けようとする事業所の所在地及び業務内容 様式2006-4

個人情報保護体制 様式2006-5

(JIS Q 15001に準拠した)個人情報保護マネジメントシステム(PMS)文書の一覧 様式2006-6

JIS要求事項との対応表 様式2006-7

教育実施記録(全ての従業者に実施した教育実施記録) 様式2006-8

監査実施記録(全ての部門に実施した監査実施記録) 様式2006-9

事業者の代表者による見直し実施記録 様式2006-10

登記事項証明書(「履歴事項全部証明書」あるいは「現在事項全部証明書」)等、申請事業者の実在を証する公的書類
(申請の日前3ヶ月以内に発行のもの。コピー不可)

定款、寄付行為その他これに準ずる規程類

会社パンフレット(ある場合)

個人情報保護マネジメントシステム(PMS)文書一式(様式2006-6に記載の文書全て)

JIS要求事項との対応表(様式2006-7)の「使用する様式」欄に記載した全ての様式>
(記入されていない様式見本)


これらの書類が必要になります。

ダウンロード先:財団法人日本情報処理開発協会 プライバシーマーク事務局




2009年12月14日月曜日

プライバシーマーク 内部監査とマネジメントレビュー

内部監査の結果を基に、第一回のマネジメントレビュー(経営者による見直し)を行います。

マネジメントレビュー(経営者による見直し)は、JIS Q 15001で要求されている最低限のインプットのほか、会社で必要な事を経営者に報告報告し、経営者が判断し、経営者が指示を出します。

ここで経営者がどんな判断をしていいか判らないっという事にならないように頑張ってください。

サポートとして、よく判っている人にアドバイスをもらい、判断すると言うのもありです。

経営者はトップセールスマンである為、なかなかPMSの仕組み作りには参加できない場合も多くあります。

それを補うために、個人情報保護管理者が居ますので、専門知識の解説は個人情報保護管理者に求めるのも良いでしょう。

逆に言えば、個人情報保護管理者は経営者に判りやすい様に報告する義務があります。



プライバシーマーク 11-14 規程 m) 是正処置及び予防処置に関する規程

規格の3.8にある『是正処置及び予防処置』にのっとった規程です。
詳細は後ほど3.8のところで述べるとして、ここでは規程(ルール)作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。


不適合は、外部機関の指摘、緊急事態の発生、点検の結果(運用の確認の結果、監査の結果)、外部からの苦情、内部からの苦情等により発見されます。
不適合に対しての、是正処置及び予防処置の手順を決めます。
是正処置は発生した不適合に対応する事です。
予防処置は、発生した不適合の事項を踏まえ、類似の不適合が他の個所、部署、部門にも発生する可能性がある場合、必要に応じて事前に処置する事です。


是正処置・予防処置ともに再発を防止する為に、次の事項を含ませる必要性があります。

  • 不適合の内容を確認する・不適合の原因を特定し、是正処置及び予防処置を立案する
  • 期限を定めて、立案された処置を実施する
  • 実施された是正処置及び予防処置の結果を記録する
  • 実施された是正処置及び予防処置の有効性をレヴューする。
上記の四点を項目立てすると以下の様になります。

  • 不適合の発見・内容
  • 不適合の原因追求
  • 不適合に対する対策案
  • 対策案の実施
  • 対策の結果
  • 対策の評価
  • 報告

2009年12月13日日曜日

プライバシーマーク 運用開始後の手直し。

本格的な運用(規程類が一通り揃った状態)を開始して、実際の手順と大きくかい離するような場合は、手順の見直し、マネジメントシステムを見直し行います。

一部の従業者だけではなく、実際に作業を行う人たちに、今あるマネジメントシステムの評価をさせ、修正を加えます。又は、内部監査を実施して、乖離点を洗い出します。

最初の段階では、修正が必要ではない事はありません。ゴロゴロと修正点が出てきます。

末端の人達がどのように動かしているか、事務局の人間で把握しきれていない事が発生するからです。

また、教育を施した結果、これまで個人情報ではないと思っていた情報が個人情報であったと判明する場合もあります。

組織が大きくなれば大きくなるほど、そのような現象は増えますので、一定期間マネジメントシステムを回してから、修正を行います。

修正を行ったら、文書管理規程にのっとり、規程類を再発行してください。



プライバシーマーク 11-13 規程 l) 点検に関する規程

規格の3.7にある『点検』にのっとった規程です。
詳細は後ほど3.7のところで述べるとして、ここでは規程(ルール)作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。

規程には
  • 3.7.1 運用の点検
  • 3.7.2 監査

この2項目があります。

ボリューム的に分冊する必要が無く、一つの規程に収めることが可能です。



3.7 点検の概略

点検とは、運用の確認と監査です。

運用の確認とは、各部門や各階層において日常的に個人情報の取扱い状況について確認を実施する事です。
日常の確認により、ルールに対し不適合な事項や、是正・改善の必要がある事項について対処する活動になります。
また抽出した残存リスクが顕在化していないかを確認する事も含まれます。
運用の確認により、不適合の早期発見に繋がるルール作りを行います。

監査とは、PMSの整備状況、PMSに基づく体制の整備状況、運用状況、是正・改善、見直しを行った結果によりPMS文書にJISとの不整合の発生の有無、これらについて定期的か必要に応じて点検し評価を行います。
決めるルールには次のことを含む必要があります。

  • 目的
  • 対象
  • 期間(時期)
  • 実施体制
  • 監査担当者の責務と権限・倫理・守秘義務
  • 計画(基本計画・個別計画・社長による計画の承認)
  • 被監査部門への通知の手続き
  • 実施の手続き
  • 監査報告書(提出先、報告会)
  • フォローアップ
  • 監査記録の方法・内容・保管


監査には第1者監査(内部監査)、第2者監査(関係団体の監査)、第3者監査(審査機関等の監査)があります。


2009年12月12日土曜日

プライバシーマーク 運用の注意点。

最初の教育が済んだ時点で、既に運用は始まっています。

決められたルールを規定化する際にも、新規で決めたルール以外は、既存のルールを規定化するだけなので、運用が始まっていると認識してください。


決められたルールで個人情報保護の仕組みを動かしていきます。

ここで、実際に行われる手順とルールに乖離があると、マネジメントシステムは形だけのお荷物になります。

出来る限り乖離を無くしていきます。飾ったルールを作ってはダメです。

個人情報を取り扱っていると言う意識は大切ですが、その為に業務に影響を及ぼすようでは、本末転倒になってしまいます。

出来るだけ、個人情報保護の仕組みや手順は、実際の業務の仕組みに組み込むようにします。

業務自体はルーチンワークで行っている感覚にまで、落とし込む必要性があります。

個人情報保護マネジメントシステムで決まっているから、ルールで決められているから、という理由で、それまで即日出荷で来ていたものが、二日後になってしまうと言うのでは、ユーザーは離れてしまういます。

ユーザーにとって個人情報を大切にしてくれる会社だから仕方が無い、手に取るのが遅くなっても仕方が無いっという感覚はまだありません。

あ~この会社は個人情報も大切に取り扱ってくれているんだ。しかも仕事が早い。

良い会社だね。

どうせ同じ値段で同じサービスなら、個人情報大切にしてくれる会社がいいよねという評価になります。

そこに同列にある会社との差別化が出来ますので、業務に支障をきたすようなマネジメントシステムでは、お話しになりません。







プライバシーマーク 11-12 規程 k) 苦情及び相談への対応に関する規程

規格の3.6にある『苦情及び相談への対応』にのっとった規程です。
詳細は後ほど3.6のところで述べるとして、ここでは規程(ルール)作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。


会社は該当する本人からの、個人情報に対する苦情及び相談に対しては、迅速に対応する必要があります。

開示等への求めへの対応と同様に、初期段階で的確に対応しなかったがために、事案をこじらせる原因にもなります。
ルールを決める際は、初期対応を十分考慮して決めるようにしましょう。

また、本人からの苦情は、PMSの不適合を発見するはじめの一歩になる場合もありますし、不適合までいかなくても、PMSを見直す際の重要な意見になる場合があります。
重要度により、社長に報告する事を決める必要があります。


2009年12月11日金曜日

プライバシーマーク 個人情報保護マネジメントシステムの運用

内部規定も一通り出来たので、実際にマネジメントシステムの運用に入ります。

運用する為には、従業者へ対する教育が前提となります。

まずは自社の個人情報保護マネジメントシステムの教育を行いましょう。

教育担当者は、個人情報保護マネジメントシステム(個人情報保護の仕組み)を作った人たち(事務局)で行うのが、一般的です。

理由は、これまで内部規程を作ってきて、仕組みをよく理解しているという点です。

仕組みをよく理解しているので教える事が出来ます。

また、教えているうちに、不具合等が発見しやすくなります。

教育する項目は

個人情報保護方針
個人情報保護マニュアル
各種規程
その他、それぞれの部署で必要とされる事です。

近年特にコンプライアンス違反による個人情報流出事故が多い為、

個人情報を流出したらどうなるか、という問題を真っ先に教育するのがよいでしょう。

故意にしろ任意にしろ流出してしまった情報は、回収できるとは限りません。

第三者に渡った時点で悪用される可能性が大きくなります。

会社への損害、流出っせてしまった人への懲罰など、脅すという側面も必要です。

特に個人消費者を相手にしている、商売の方は、特に留意しなければなりません。

個人の情報、商売柄機微な情報に属する可能性がある場合は、取り扱いに関しては何度も何度も見直す必要性があります。

また、従業者の個人情報を取り扱う部門も特に留意して個人情報の教育を行う必要があります。



プライバシーマーク 11-11 規程 j) 個人情報保護マネジメントシステム文書の管理に関する規程

規格の3.5にある『個人情報保護マネジメントシステム文書』にのっとった規程です。
詳細は後ほど3.5のところで述べるとして、ここでは規程(ルール)作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。

規格の
3.5.1 文書の範囲
3.5.2 文書管理
3.5.3 記録の管理

これらが対象になります。

個人情報保護マネジメントシステム(PMS)の内容をルール決めした文書、運用によって発生した記録類を適正に管理する為のルールを決めるのが、文書管理規程になります。

最低限文書化しなければならない物は、「個人情報保護方針」「内部規程」「計画書」「記録類」になります。

特に記録については、PMSの運用を開始すると様々なタイミングで記録をつける事により、監査の際の証拠(エビデンス)を確保する必要性があります。

文書管理の手順については既にほかのマネジメントシステムなどで文書管理規程があれば、改めて制定する必要は無く、流用する事が出来ます。


2009年12月10日木曜日

プライバシーマーク 11-10 規程 i) 教育に関する規程

規格の3.4.5にある『教育』にのっとった規程です。
詳細は後ほど3.4.5のところで述べるとして、ここでは規程(ルール)作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。


規程には3.4.5 a)~c)の内容を含めて記述しなければなりません。
規格の3.4.5 a)~c) をまる写しにする必要があります。

  • 個人情報保護マネジメントシステムの仕組みに適合する重要性とメリット
  • 個人情報保護マネジメントシステムの仕組みに適合する為の役割と責任
  • 個人情報保護マネジメントシステムの仕組みに違反した場合に想定される結果

またこの内容は、教育で使う資料やレジュメ、教育計画書等にも記述します。

教育については、内部統制、内部の不正アクセス、不正持ち出しをおこさせないための処置ですから、この部分を怠ると、個人情報が流出し、社会の注目を集め、莫大な資金と労力を使う事になります。

この他に
  • 項目
  • 目的
  • 時期
  • 期間
  • 対象
  • 内容
  • 方法
  • 場所
  • 体制
  • 通知手続き
  • 受講者の管理方法
  • 効果の確認
  • 実施記録の内容
  • 保管の方法
これらの項目も必要になります。

2009年12月9日水曜日

プライバシーマーク 11-9 規程 h) 本人からの開示等の求めへの対応に関する規程

規格の3.4.4にある『個人情報に関する本人の権利』にのっとった規程です。
詳細は後ほど3.4.4のところで述べるとして、ここでは規程(ルール)作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。

また、3.4.4には
3.3.4.1 個人情報に関する権利
3.3.4.2 開示等の求めに応じる手続き
3.3.4.3 開示対象個人情報に関する周知など
3.3.4.4 開示対象個人情報の利用目的の通知
3.3.4.5 開示対象個人情報の開示
3.4.4.6 開示対象個人情報の訂正、追加または削除
3.4.4.7 開示対象個人情報の利用又は提供の拒否権

このように規格項目が多岐にわたっていますが、一つの規程にまとめる事が出来ます。


開示対象個人情報は、当該本人に開示等を求める権利が認められています。
この為に、当該本人等からの開示等の求めに、どのように対応するかを詳細にルールを決める必要があります。

個人情報でのトラブルは、当該本人等からの開示等の求めに的確に応じ無かった事が原因で起きる場合が多々あります。
この為、このルール決め(規程化)は、本人等からの求めに的確に対応出来るように作ります。

本人等からの求めにより開示等に対応する場合は、成りすまし等による個人情報の漏洩を防止するルール決めも必要になります。
本人確認を適切にかつ、適正に実施する手順のルールを、自社に合った内容で作る必要があります。


2009年12月8日火曜日

プライバシーマーク 11-8 規程 g) 個人情報の適正管理に関する規程

規格の3.4.3にある『適正管理』にのっとった規程です。
詳細は後ほど3.4.3のところで述べるとして、ここでは規程(ルール)作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。

また、3.4.3には
3.4.3.1 正確性の確保
3.4.3.2 安全管理措置
3.4.3.3 従業者の監督
3.4.3.4 委託先の監督

このように規格項目が多岐にわたり、なお且つ、それぞれの項目にボリュームがあります。
これらの項目を一つにまとめることは至難の業になります。
また安全管理措置では、様々な安全管理措置が求められます。
要求されている安全管理措置を一つにまとめると、関係の無い部署にまで分厚い安全管理処置に関する規定が配布されてしまい、効果が発揮できませんので、ある程度分冊して作る必要性があります。


3.4.3では、個人情報を適正に管理を行う為のルールを決めます。
適正に管理を行うという行為には、個人情報の「正確性の確保」と「安全性を確保する」ルールが必要になります。

個人情報の正確性の確保を行う為には、・データ処理システムの運用、・データ更新手続き、・処理結果の確認等、実際に個人情報を取扱う担当者のミスを防止する為のルール作りになります。

安全性を確保する為には、合理的な安全対策に関してルールを決める必要があります。
具体的な安全対策の措置は、経済産業省の発行している「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」に法第20条関連として、記載されている措置、JIPDECが発行する「個人情報保護マネジメントプログラム実施のためのガイドライン」に記載されている措置を参考にして、自社にあった対策をルール化します。

少なくとも、入退室の管理、個人情報盗難防止処置、アクセス制限、不正ソフト対策、システムの監視、個人情報の保管・破棄・バックアップ等の個人情報の管理、委託先の選定基準・委託先との契約基準等の委託先の監督。
これらのルールが必要になります。

2009年12月7日月曜日

プライバシーマーク 11-7 規程 f) 個人情報の取得、利用及び提供に関する規程

規格の3.4.2にある『取得、』利用、提供に関する原則』にのっとった規程です。
詳細は後ほど3.4.2のところで述べるとして、ここでは規程(ルール)作りについて説明します。


規程は、
  • まる写しにするのではなく、具体的な手順を定める事。
  • 社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
  • 従業者が、どこに何があり、簡単に参照できる事。
  • 発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。

また、3.4.2には

3.4.2.1 利用目的の特定
3.4.2.2 適正な取得
3.4.2.3 特定の機微な個人情報の取得の制限
3.4.2.4 本人から直接書面によって取得する場合の措置
3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置
3.4.2.6 利用に関する措置
3.4.2.7 本人にアクセスする場合の措置
3.4.2.8 提供に関する措置

このように規格項目が多岐にわたり、なお且つ、それぞれの項目にボリュームがあります。

規程 個人情報の取得、利用及び提供に関する規程はこれらを含んだ規程を作る為、一つにまとめる事は容易ではありません。

規程を作る場合は
  • 個人情報の種類
  • 業務フロー
  • 規格項目別
これらに分けてつくったり、これらを統合して作ります。

これは、組織に合わせて作るしかなく、雛型等に合わせて作っても、その雛型が組織に会ってない場合、規程が機能しなくなります。

規程が機能しなくなると、個人情報の流出等の個人情報事故に繋がる場合が多くあります。
規程はルールですから、組織に合わせたルールを作ります。ルールに合わせた組織を作ると破綻します。
破綻すると、規程はただの飾り物にしかなりません。
個人情報事故が発生すると、企業にとって多大な金銭的負担と信用の失墜が起こり、最悪の場合再起不能になります。
そうならない為にも、規程作りは『組織に合わせた規程作り』をしましょう。





2009年12月6日日曜日

それでも、ISOは役に立たない、無駄、不要だ

色々とISOについて述べてきましたが、それでもISOは役に立たない、無駄だ、不要だ、やる必要がない。

そう考えていらっしゃる経営者や経営陣も多いかと思います。

会社の経営は順調、右肩上がりの成長をしている、不良もない、クレームも起きていない、今のままでも問題なし!!であれば、ISOやコンサルタントは必要ないですね。

すでに良いシステムが会社の中にあるのでしょう。

会社の経営はまずい、このところ年々左肩下がり、不良や返品が多発している、顧客からのクレームが多い、今のままじゃダメだ、でもISOはやりたくない!!コンサルタントなんて入れたくない!!

そういう経営者や、社長さんもいらっしゃいますよね。

そこまでなぜISOを毛嫌いするか判りませんが信念が御有りなのでしょう。

コンサルタントに過去カモにされてしまった事があるのかもしれません。

その当時の情報量や社会的情勢が悪徳コンサルタントを生み出していたのかもしれません。

(今も似たような時代ですが)


そういった方々にはもう、これしかありません。




金運アップグッズです。



コンサルタントを入れないとすると、もうこれしか残っていません。

風水術や金運グッズで会社自体の運勢を上げるしか、この不景気を乗り越える方法が思いつきません。

美味い情報はタダでは出ません。

ネットや書籍で公開されている情報は、呼び水的要素の大きい情報です。

それだけやっても、上手く行くはずがありません。

まして経営改善は、会社会社で対応が異なります。

重点を置くところが異なります。

後は、金運を上げるように頑張るしかないです。

プライバシーマーク 11-6 規程 e) 緊急事態(個人情報が漏洩、滅失又は毀損した場合)への準備及び対応に関する規程

規格の3.3.7にある緊急事態への準備にのっとった規程です。
詳細は後ほど3.3.7のところで述べるとして、ここでは規程(ルール)作りについて説明します。

JISQ15001の規格には

  • 漏洩、消失、毀損等が起きてしまった個人情報の内容を該当者に速やかに通知するか、該当者が容易に知る事のできるような処置を取る事。
  • 二次被害、三次被害等の防止や類似の事件の発生を回避する為に、漏洩、焼失、毀損等の事実関係や発生原因、対応策等を遅れる事無く公表する事。
  • 漏洩、消失、毀損等の事実関係や発生原因、対応策を関係機関にすぐに報告を行う事。
これらについてルール化するように求めています。

規程は、
  • まる写しにするのではなく、具体的な手順を定める事。
  • 社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
  • 従業者が、どこに何があり、簡単に参照できる事。
  • 発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。



2009年12月5日土曜日

ISOの文書のひな型・サンプル・例に関して

ISOの文書のひな型や例、サンプルを担当者が欲しいと思ってしまうのは、何を書いたらいいか判らない。

規程や手順書、マニュアルなどどう書いていいか判らない。

品質目標をどう書いていいか判らない。

ネットで探す、書店で参考書を探す。

当社でもひな型は用意しています。

この方法を使えば、かなりの近道ですが、それを如何に自分たちの組織に合わせて作り直すかが問題となります。

この時点で、「まる写し」をしてしまうと、お荷物や厄介物のISOになる可能性が大きくあります。

こうなってしまうのは、コンサルタントや事務局の説明不足が原因と考えられます。

品質目標の具体例が欲しい。

何故具体例が欲しいか?

どうやって作ったらいいか判らない。

どうやって設定したらいいか判らない。

これであっているかどうか不安。

そういう場合は、事務局に聞くか、コンサルタントに聞きましょう。

そして、答は自分たちで出来る事を見つけ出す事です。

無理難題な設定をしてもそれは、品質方針に合ってない場合もありますし、達成がどう見ても不可能なお題目になりかねない場合があります。

また、すでにISOが重荷やお荷物になっている可能性もあります。

重荷やお荷物になっているのであれば、見直しが必要です。

プライバシーマーク 11-5 規程 d) 事業者の各部門及び階層における個人情報を保護する為の権限及び責任に関する規程

PMSを運用するにあたり、全てにおいて社長が関わり合えればいいのですが、そうもいきません。
そこで、PMSに於ける責任と権限をある程度個人情報保護管理責任者に委任します。

個人情報保護管理者の管理下で、個人情報の取扱いを担当する組織(会社)の各階層(社長・個人情報保護責任者・個人情報保護監査責任者・相談窓口担当者・その他部長・課長・係長・主任等)と各部門での責任と権限を明文化し、ルール化します。

支社や営業所等がある場合は、本社だけではなく、支社や営業所においても同様に規定する必要があります。

具体的な組織体制は以下のようになります。

社長

|---―監査責任者―----監査チーム
|                    |
|                    |
個人情報保護責任者         |
|                    |
|―推進チーム       内部監査員


部門責任者


部署責任者(必要であれば)


これはあくまで大まかであり、必要であれば、さらに細分化する事もあります。


具体的に、それぞれの役職の責任と権限を明文化します。

社長の責任と権限とは・・・

個人情報保護責任者の責任と権限とは・・・

個人情報保護監査責任者の責任と権限とは・・・


PMSの体制図や役職は、規程に明記するのは当然ですが、社内で掲示する等して、誰が何の役職かを全ての従業者に把握させる必要があります。

現地審査の時に、審査員から従業者へのインタビューで質問される場合がありますので、従業者に把握できるようにしておきます。




2009年12月4日金曜日

プライバシーマーク 11-4 規程 c) 個人情報に関するリスクの認識、分析及び対策の手順に関する規程

把握した個人情報に関するリスクを認識し、分析し、対策を立てる手順を規格では要求しています。

具体的には
リスクの認識、分析及び対策を確実に実施できる手順を明確に決める。
  • 個人情報のリスクをライフサイクル毎に洗い出す。
  • リスクの分析をする。
  • 分析に基づき対策を立てる。
  • 残存リスクを把握する。
業務の流れを明らかにし、取り扱いの局面でのリスクを具体的に認識する事。
対策や残存リスクを分析表等の帳票に反映させ、運用している事。
リスクと対策に関連性がある事。
適正な扱いからの分析対策を行う事。
コンプライアンス違反もリスクとして認識する事。
リスク対策について代表者の承認を得る手順を決める。
対策を規定化(ルール化)している事。
具体的な時期を決めて、定期又は随時の見直しを行う手順を明確にしている事。
決めた手順に従って実施ている事。

これらの事を規程に盛り込みます。

リスクの洗い出し等の具体的な手法については、

こちらで述べておりますので参考にしてください。



2009年12月3日木曜日

プライバシーマーク 11-3 規程 b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規程

プライバシーマーク 07 法令、国が定める指針その他の規範を特定する b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規程で特定した法令、指針、その他の規範を規定化(ルール化)します。

ここでは、
  • 法令等を特定する手順(法令の特定の仕方)を決める。
  • 特定した法令等を管理者が承認する手順を決める。
  • 承認の記録を取る。
  • 法令等の更新の手順を決める。
  • 最新版を参照できるように管理する。
  • 法令などを参照する方法を決める。

これらの具体的な方法や、記録様式等を決めます。


特定する規範などは、業界によって異なります。

プライバシーマーク 07 法令、国が定める指針その他の規範を特定する b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規程であげた法令等は各業界共通の必須・準必須の事項です。

  • 個人情報保護に関する法律
  • 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(経済産業省)
  • 雇用管理分野における個人情報保護に関するガイドライン(厚生労働省)
  • 雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項(厚生労働省)

  • 雇用管理に関する個人情報の適正な扱いを確保する為に事業者が講じるべき処置
  • 職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が。均等待遇、労働条件の明示、求職者等の個人情報の取扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対応するための指針
  • 業界に適用される法令内に個人情報に関する条文がある法令
  • 自社業界の自主指針
  • 所在地がある都道府県の個人所法保護条例
  • 所在地がある市区町村の個人情報保護条例
  • 監督省庁の個人情報保護方針
  • JIPDEC個人情報保護方針
通販業界は、プライバシーマーク 07-3 (例) 通販事業の法令その他の指針、ガイドライン等を参考にしてください。


2009年12月2日水曜日

プライバシーマーク 11-2 規程 a)個人情報を特定する手順に関する規程

個人情報を特定する詳細手順を規程します。



上記の項目で実施した手順を参考にするとともに、新たに取得する個人情報を特定する場合についても漏れが無いように手順を定める必要性があります。


規程とはルールですので、実際に行った個人情報を特定した手段について明文化します。

以下の項目をどのような手法で、特定したかをルール化します。
  • 個人情報を特定するものを決める。
  • 特定する方法を定めている(台帳等、特定で使用する様式を定めている事を含む)
  • PMSの構築時や新規に取得する個人情報、発生した個人情報について、特定するタイミングを決める。
  • 特定した個人情報を管理者が承認する手順を決める。
  • 個人情報を管理する台帳などの作成について手順を決める。
  • 台帳に登録する事。
  • 個人情報を把握できる台帳を作る事。
  • 台帳には次の事を最低限記録する事。1)個人情報の項目 2)利用目的 3)保管場所 4)保管方法 5)アクセスの権限を有するもの 6)利用期限 7)件数
  • 個人情報の取り扱い期限が来た場合や変更があった場合の手順を決める。
  • 具体的な時期を決めて台帳の見直しを行う手順を決める。
  • 決めた事を実施している。
個人情報の特定では、これらの内容について、手順を定めます。

尚、個人情報調査票や台帳は、他の規程で使用しますので、作成する際には以下の事を含めると便利です。

  • 個人情報の名称
  • 個人情報の利用目的
  • 個人情報に含まれている情報項目の内容
  • 個人情報の取得先
  • 個人情報の形態(紙媒体、電子媒体等)
  • 社内利用部署
  • 個人情報の入手及び入手形態(直接、間接)
  • 個人情報の持つ価値、重要性等
  • 個人情報の取り扱い区分(委託有無等)
  • 第三者提供(提供先名)
  • 共同利用(共同利用先名)
  • 取扱い責任者
  • アクセス権限
  • 個人情報の取り扱い件数(変動する場合は慨数)及び保管期間
  • 個人情報の保管方法、場所、保管状態(サーバ、キャビネット、書庫、施錠、保管区域等)
  • 個人情報の外部への処理委託(委託、再委託、契約等)
  • 個人情報の返却、廃棄管理(返却、廃棄、消去及びその方法)
  • 開示対象個人情報か否か


https://drive.google.com/file/d/0B1QrXfNRLBiwQjdXZDZUSm1aRlE/edit?usp=sharing

個人情報調査票のひな型は、上記のURL(グーグルドライブ)からダウンロードできます。
著作権フリーです。



2009年12月1日火曜日

プライバシーマーク 11-1 作成必須の内部規程。

JIS Q 15001で求められている内部規程は
a) 個人情報を特定する手順に関する規程
b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規程
c) 個人情報に関するリスクの認識、分析及び対策の手順に関する規程
d) 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規程
e) 緊急事態(個人情報が漏洩、滅失又は毀損をした場合)への準備及び対応に関する規程
f) 個人情報の取得、利用及び提供に関する規程
g) 個人情報の適正管理に関する規程
h) 本人からの開示等の求めへの対応に関する規程
i) 教育に関する規程
j) 個人情報保護マネジメントシステム文書の管理に関する規程
k) 苦情及び相談への対応に関する規程
l) 点検に関する規程
m) 是正処置及び予防処置に関する規程
n) 代表者による見直しに関する規程
o) 内部規程の違反に関する罰則の規程

この他に
文書管理規程
記録管理規程
この二つは、「手順を確立し、実施し、かつ、維持しなければならない」と規程にありますので規程を作成します。


以上の規程は、JIS Q 15001で作るように規程されています。
これらの規程には、基本規程(共通的な規程)と詳細規程(担当部署に依存する規程)があります。
担当部署に依存する詳細規程は、当該担当部署に協力を要請して規定させなければなりません。当該担当部署に協力を要請する事は、PMSの実効性を高めるため、現場の実情を反映させる必要性がある為です。

当該部署に協力を要請する際には、事前に該当部署に対して、個人情報保護方針、基本規程を十分に説明し、理解を求める必要があります。

当該部署により規定された規程は、PMS策定チームにより個人情報保護方針、基本規程との整合性を十分に検証、確認を行い、不整合がある場合には、担当部署と協議を行い改善する必要性があります。

詳細規程を担当部署を巻き込んで作成する事により、PMS策定過程において、関係各部署に個人情報保護方針、基本規程を周知できる大きな効果があります。

詳細規程については、既存の規程(賞罰など)を参照として適用する事も可能です。
また、a)~o)の規程以外にも、社長や組織が実情に合わせて必要とする事項は規程化する事が必要です。

業界団体のガイドライン、事業を規定した業法等の法令や国が定める指針も参考にする必要があります。
業法等の法令はJISに優先する為に、規程に反映させる必要性があります。

作った内部規程は、詳細規程を含め、JIS Q 15001の要求事項に適合している事を評価しなければなりません。

内部規程が、JIS Q 15001の要求事項に反していると、その後の運用が規程通りに実施されたとしても、意味をなさない物になってしまいます。

作った内部規程は、事業者の組織において決裁権限を有する者(社長、取締役会、役員等)によって承認を得なければなりません。




2009年11月30日月曜日

プライバシーマーク 11 内部規程(ルール)を作る

これまでに実施すると決めた事を内部規程としてルール化します。

PMSは自社のマネジメントシステムの為、会社の事業、業種、規模、ISO等のマネジメントシステムとの整合性を確保をしなければなりません。
この為に、PMSは実効性があり、組織の身の丈にあったものにしなければなりません。
そうしないと、PMSの運用に無理が生じてしまいます。
内部規程は、雛型の販売がされています。
雛型を購入し、参考にするのは構いませんが、そのまま自社のPMSに導入する事はお勧めが出来ません。
何故なら、その雛型が、どんな規模の会社でも、どんな業種の会社でも合うとは限らないからです。
例えば、10人規模の会社でPMSを構築運用する場合と、300人規模の会社でPMSを構築する場合では、必要にな規程も内容も全く違ってきます。
参考にする程度で活用してください。


また、内部規程はルールです。
内部規程(ルール)を先に作り、内部規程(ルール)に合わせて組織を作るのではなく、組織の実態に合わせて内部規程(ルール)を作ります。
内部規程は、ルールですので、会社にとって最も運用しやすい構成で作成する事が、PMSを運用する上で重要になります。

PMSを実施するにあたり、JIS Q 15001の規格の定めにより、最低限規程化する必要があります。

全ての従業者が内部規程を遵守し、個人情報保護を実現する為には、具体的な手順や手段を詳細に規定する必要があります。
従業者の判断に任せる様な曖昧な記述は、ルールの破綻を呼び込む事になるので注意してください。

必要であれば、規程の附則として手順書等を作成し、各部署により、細かく手順を定める必要があります。


また規格では、どこに何があり、容易に参照できるものとしていますので、配慮が必要になります。



2009年11月29日日曜日

ISOは無駄ですよね

ISOは無駄と考えていらっしゃる方も多くいます。

何故無駄と判断するか?

それは、
ISOは機能しない。
ISOはめんどくさい。
ISOに時間がとられ過ぎる。
ISOをやると書類が多くなる。
ISOをやっても不良が減らない。
ISOをやっても売り上げが伸びない。
ISOをやってもコストダウンにならない。
ISOをやっても顧客との関係がうまくいかない。
ISOはお飾り。
ISOをやっている会社を知っているが、いい話を聞かない。
ISOをやっている会社の社長や社員からは愚痴しか聞こえない。

これらの考えは、正論です。
全くISOは無駄ですよね。
でもこれって、業績の良い企業でISOをやっている会社の経営者の話からは聞こえてこないのですよ。

上手く機能していない話ばかりを聞けば、周りもISOなんてやってもなぁという考えになってしまいます。

実際にうまくいっている会社の社長や社員はISOについて話そうとしません。
上手くいっている。
業績が上がった。
ブラックボックスが無くなった。
顧客との関係が変化した。
不良が減った。
社内のコミュニケーションが円滑になった。
外注管理が見違えるようになった。
コストダウンがうまくいった。
経営の改善が出来た。

こんな話をしてしまうと、ライバル会社に話が漏れてしまって、じゃあうちもISO取り入れてみようとなってしまいます。

上手く行っていても、話を合わせて、上手く行って居ない振りをしてしまう。

だってライバル会社を強くしたくないから。

当然コンサルタントに対する風当たりも強く、何故高い金を払わなければいけないのかとなります。

高いコンサルタントにはそれなりの理由があり、安いコンサルタントにもそれなりの理由があります。

ISOは不要という考えは、周りの状況、コンサルタントの質、実際に取り組んで効果が出ない。

それは仕方ない考え方です。

ただし、今のままの会社の経営状態で今後も存続出来るのか?

他に手段があるのか?

今のままでいいのか?

ISOよりも経営コンサルタントの方がいいのか?

そもそもコンサルタントなんて効果が出るのか?

会社を食い散らす存在ではないのか?

でも、今のままではジリ貧だ。

どうしよう?

そういう時にISOは役に立ちます。

まずはコンサルタントに話を聞いてみて下さい。

そこで無駄だと思うか、やってみようと言う気になるか。

コンサルタントの話を聞く場合にも注意点はありますから、そこを注意して話を聞いてみて下さい。

それから判断しても遅くは無いと思います。

プライバシーマーク 10-1 各規程を作る前に作る規程 記録管理規程

JIS Q 15001が要求している記録は

個人情報の特定
法令、国が定める指針及びその他の規範の特定
個人情報のリスクの認識、評価及び対策
目標及び計画書
利用目的の特定
開示対象個人情報に関する開示等の求めへの対応
教育実施
苦情及び相談への対応
監査報告書
是正処置及び予防処置
代表者による見直し

の記録が要求されています。

この他に組織が必要とした記録です。

最低限これらの記録を取りますが、

実際に必要になってくる記録は細分化されます。

教育訓練実施記録票
個人情報調査票
委託先評価票
内部監査員資格認定台帳
苦情相談受付記録票
教育・訓練計画表
個人情報保護管理台帳
文書管理台帳
外部文書台帳
ライフサイクルに基づく分析表
教育・訓練計画進捗管理表
文書プリントアウト申請書
個人情報開示請求書
個人情報訂正等請求書
個人情報収集・利用・提供・管理内容通知書並びに同意書
クライアントPC設定台帳
入退室記録台帳
内部監査年間計画書兼進捗管理表
施錠解錠管理簿
鍵管理簿
新規(新種)個人情報収集申請書
個人情報訂正・変更・確認票
受注票
アンケートはがき
FAX注文書
利用者の声
個人情報外部記録媒体記録許可台帳
サーバーログ記録
社内アクセスログ記録
PC・USB持ち出し申請書
内部監査計画書
内部監査報告書
予防処置計画書件報告書
クライアントPC定期検査記録
貸与品回収リスト
得意先台帳

等など。

これらの記録についての使用の仕方、管理の方法、保管場所、管理者、保管期間等を定めます。

記録については客観的証拠となる為に、改ざん出来ないルール作りを盛り込む必要があります。

検索を容易にするように決める必要性もあります。




2009年11月28日土曜日

ISOは経営的にやる余裕がないって本当?

良く経営陣や社長をやっているらっしゃる方で「ISOはやる意味がない」「経営的にISOをやる余裕がない」「不景気で、そんな余裕がない」「何の役にたつんだ?」

こう考えている経営陣や社長さんも多くあると思います。

確かに今は余計な出費は手控えたい。

ISOなんて、わけのわからないコンサルタントに回す金があるなら、経営コンサルタントに頼むよ。

でもちょっと待ってください、その経営コンサルタントは、経営を改善する為に何をするのか、どんなツールを使うのか考えた事があるでしょうか?

経営コンサルタントにもよりますが、多くはISO9001の考え方をもとにしています。

PDCAを回しましょう。

業務を見えるようにしよう。

社員の教育をしましょう。

顧客との関係はどうなっていますか?

等など・・・。

ISO9001でやりましょうと言っている事です。

経営コンサルタントもツールとしてISO9001を使っています。

それプラス、その会社に必要な事(ISO9001で書いていない事や軽く流しているところ、文書化しろ、記録を取れと言っていない所)を指導します。

それならば、同じやるのであれば、ISO9001やっても良いのではないでしょうか?

売上が下がり、仕事も暇になってきた。余分な金は避けたい。

そんな時こそチャンスです。

そんな時に徹底した組織固めをする時です。

今の仕事を一度、分解して、点検して、再構築する。

良いところは残し悪いところは削る。

取り入れるところはとりいれる。

経営を改善する為に、徹底的に検証しましょう。

何が経営を悪くしているのか、どこの手順がまずいのか、合理化や自動化できないか。

チェックする人間のスキルはどうなのか?

クライアントとの関係はどうなっているのか?

業務でブラックボックスになっていないか?

なんで不良が多いのだろう。

なんで返品が多いのだろう。

何故この仕事はとれなかったのか。

何故社員のモチベーションが低いのか?

何故会社が活性化しないのか?
会議で自主的に発言しないのは何故なんだ?自分の意見が無いのか?言っても無駄だと思っているのか?言っても上司にまた潰されると思っているのか?

現状直面している問題があるのであれば、解決しなければならない。

しかしもう色々と手は尽くしている。

ならば、ISOをツールとして使ってみましょう。

良いコンサルタントに出合えれば、会社は劇的に改善します。

プライバシーマーク 10 各規程を作る前に作る規程 文書管理規程

内部規程を作る前にまず、文書管理規程を作ります。

何故文書管理規程を先に持ってくるかといいますと、文書化しなければならないものの共通ルールだからです。

それぞれの内部規程を作ってもバラバラでは二度手間。

それを防止する為に、文書化の共通ルールを先に作ります。

記録については別途記録管理規程を作ります。

文書管理規程で決める事は、文書体系と文書の管理方法。

文書体系は
個人情報保護方針
個人情報保護マニュアル
各規程
各記録様式
引用文書
外部文書
計画書・リスト

に分かれます。

これは組織で必要な部分と必要でない部分、統合してしまう部分があります。

文書の管理方法のルール作りは、

文書の作成・改定について定めます。

最新版の管理の方法と配布方法について定めます。

旧版の回収方法について定めます。

改定内容と版数が正しいくなるようにルールを決めます。

文書の使用時の注意や保管方法を決めます。


台帳やリストについても同様にルールを決めます。






2009年11月27日金曜日

プライバシーマーク 09-03 資源、役割、責任及び権限 現地審査でチェックされる事項 d) 事業者の各部門及び階層における個人情報を保護する為の権限及び責任に関する規程

審査項目
各担当の役割・権限を明確に定めている。


現地審査の着眼点
従業者にとって、各担当の役割、責任及び権限が明確である。


運用確認のエビデンス
  • 各担当者の役割、責任及び権限が確認できる文書。
  • 各担当者に任命している者を確認できる文書。


審査項目
個人情報保護管理者と個人情報保護監査責任者が同一人物でない。


現地審査の着眼点
個人情報保護管理者と個人情報保護監査責任者を同一人物が兼任していない。
兼任の場合不適合となる。理由:兼任の場合、マネジメントシステムが機能しない為。


運用確認のエビデンス
  • 各担当者の役割、責任及び権限が確認できる文書。
  • 各担当者に任命している者を確認できる文書。



審査項目
個人情報保護管理者は、代表者によって内部から指名している。

現地審査の着眼点
個人情報保護管理者は、代表者により内部から指名している。


運用確認のエビデンス
  • 各担当者の役割、責任及び権限が確認できる文書。
  • 各担当者に任命している者を確認できる文書。


審査項目
会社法上の監査役がPMS運用体制の一部を占めていない。

現地審査の着眼点
会社法上の監査役がPMS運用体制の一部を占めていない。
※会社法上の監査役がPMS運用体制の一部の役割(個人情報保護責任者、個人情報保護監査責任者等)を担当した場合、代表者の監督下に入る為、会社法第335条違反になる。
この場合、コーポレートガバナンスが出来ていないことになり、マネジメントシステム以前の問題になる。
当然ながら、法令上の罰則対象にもなり、PMS上も不適合となる。


運用確認のエビデンス
  • 各担当者の役割、責任及び権限が確認できる文書。
  • 各担当者に任命している者を確認できる文書。
  • 登記事項証明書


審査項目
各担当者の役割と権限を周知させている。

現地審査の着眼点
各担当者の役割と権限を周知させている。
※体制図等を作成する場合、その役割が誰を示すのか社内的に理解できれば、氏名を記入する必要はない。


運用確認のエビデンス
  • 各担当者の役割、責任及び権限が確認できる文書。
  • 各担当者に任命している者を確認できる文書。


審査項目
個人情報保護管理者は、個人情報保護マネジメントシステムの見直し及び改善の基礎とする為に、事業の代表者に個人情報保護マネジメントシステムの運用状況を報告している。

現地審査の着眼点
個人情報保護管理者が個人情報保護マネジメントシステムの見直し及び改善の基礎とする為に、事業の代表者に個人情報保護マネジメントシステムの運用状況を報告している。
※この項目については、3.9事業者の代表者による見直しで審査されます。

2009年11月26日木曜日

プライバシーマーク 09-02 資源、役割、責任及び権限 文書審査でチェックされる事項 d) 事業者の各部門及び階層における個人情報を保護する為の権限及び責任に関する規程

審査項目
各担当の役割・権限を明確に定め文書化している。


文書審査の着眼点
各担当者の役割・権限を明確に定め、文書化している。
体制整備状況(教育責任者、問合せ対応責任者、システム担当者、部門毎の個人情報管理者、委員会、事務局など)に応じて、各担当者の責任及び権限を明確にしている。


審査項目
個人情報保護管理者は個人情報保護マネジメントシステムの見直し及び改善の基礎として事業の代表者に個人情報マネジメントシステムの運用状況を報告しなければならない旨を規定している。


文書審査の着眼点
個人情報保護マネジメントシステムの見直し及び改善の基礎として、事業の代表者に、個人情報保護マネジメントシステムの運用状況を報告しなければならない事を個人情報保護管理者の義務として記述している。


2009年11月25日水曜日

プライバシーマーク 09-01 資源、役割、責任及び権限 d) 事業者の各部門及び階層における個人情報を保護する為の権限及び責任に関する規程

規格では3.3.4 資源、役割、責任及び権限です。
個人情報保護マネジメントシステムを構築運用するにあたり、体制の整備をおこないます。
所謂、人・物・金・情報です。
これらを整える事により組織内での個人情報保護のための体制作りが出来るようになります。

規格の性質上次の担当者は必要だと考えられています。

  • 個人情報保護管理者
  • 個人情報保護監査責任者
  • 教育担当者
  • 監査員
  • 問合せ担当者
  • 苦情及び相談担当者
  • 開示等の担当者

組織が大きければ、部門ごとに担当者を置くのも一つの手段です。
また兼任も認められていますので、改めて人を用意する必要はありません。
しかし、個人情報保護管理者は個人情報保護監査責任者の兼任は認められていません。
また、事業所の人数が少なく、やむを得ない場合を除き、個人方法保護管理者は監査員についても兼務できません。


監査役や会計参与について
会社法上の監査役が個人情報保護マネジメントシステムの運用上の一員になる事は、常に代表者の監督下に入る為、会社法第335条に違反する事になります。
委員会設置における監査委員(会社法第400条4項)、会計参与(会社法333条第3項第1号)も同様です。尚会計参与は会社法第324条により役員に含まれるため従業者です。
法律上の制限があるからという理由で、監査役や会計参与が個人情報マネジメントシステムに関与しないという事は誤りで、会社の取締役会と同様に委員会、監査報告会、マネジメントレビュー会議等に出席し、監査役の立場から意見陳述を述べる事は、適法性監査の点から望ましいことです。
監査役や、会計参与にはオブザーバー的な役割が求められます。
社外取締役を個人情報保護マネジメントシステムの運営上の一員に任命した場合は、当該事業の業務執行者のになる為、社外取締役ではなくなります(社内取締役が増員され、社外取締役が減員される)。

権限の委任について
JISQ15001では、事業の代表者や個人情報保護管理者に、承認を得る事が多くあります。
これはすべてが全て、代表者や個人情報保護管理者本人の承認を得なければならないという事ではありません。
事業に於いて、10,000円の決裁権と1,000,000円の決裁権は違ってきます。
PMSでも、案件により、代表者や管理者の権限を委任された人が承認をする事が出来ます。
ただしこの場合、明確に権限の委任について明記をしておく必要があります。
これはあくまで、組織の内側の問題であり、対外的にはすべて、組織の代表者の署名をしなければなりません。
したがって、「組織の代表者が知らない」では、お話になりません。







2009年11月24日火曜日

プライバシーマーク 08-8 個人情報のリスクの認識 分析及び対策 現地審査でチェックされる事項 c)個人情報に関するリスクの認識、分析及び対策の手順に関する規程

審査項目
目的外利用を行わない為、必要な対策を講じる手順を確立し、かつ、維持するように規定している。


●目的外利用を行わないための手順を実施している。

現地審査の着眼点
利用目的の特定3.4.2.1、利用に関する措置3.4.2.6に盛り込んでいる。



審査項目
洗い出された個人情報について、ライフサイクルに応じてリスクを洗い出し、リスク分析を実施し、リスクに応じた対策を講じ、残存リスクを把握する手順が明白である。


●定めた手順に従って、リスクを認識し、分析し、対策を講じる。

現地審査の着眼点
定めた手順に従い実施している。

運用確認のエビデンス
リスク分析表等、リスクの認識、分析及び対策を実施した記録


●個人情報毎のライフサイクルに従って、リスクを認識し、分析し、対策を講じ、残存リスクを把握している。

現地審査の着眼点

  1. 個人情報を取り扱う業務の流れが明らかになっており、取り扱いの局面におけるリスクを具体的に認識している。
  2. 立案した安全対策や把握した残存リスクをリスク分析表などに反映させ、かつ運用面で確認できる。
  3. 認識したリスクと、対策の関連付けが明確である。(明確でなければ見直しが出来ない。)
  4. 個人情報は取得および利用面での適正な取り扱いが求められる。情報資産を守るという観点からだけの、リスク認識、分析及び対策になっていない。
  5. 個人情報の漏洩、滅失、毀損の他に、法令・国が定める指針等に対する違反等も必要に応じてリスクとして認識している。

運用確認のエビデンス
リスクの認識、分析及び対策を実施した記録


●リスク対策は事業者の代表者の決定している。

現地審査の着眼点
定めた手順に実施している。


●講じることとした対策は規程に反映させている。

現地審査の着眼点
講じることとした対策は規程化されている。

運用確認のエビデンス
リスク分析表、リスクの認識、分析及び対策を実施した記録と規程との対応



審査項目
定期的な見直し、及び必要に応じた随時の見直しの手順が明確である。

●定めた手順に従いリスクの見直しを実施している。

現地審査の着眼点
定めた手順に従い実施している。
リスクの見直しを定期的及び随時実施している。

注意:リスク分析表などを形式的に見直すのではなく、認識したリスク、対策、残存リスクが適切である事を確認する事が重要です。
例えば、事務所移転などを行っている場合、事務所移転と言うリスクが発生しているのでその時点で、リスクの見直しを臨時に行っていないと、審査で不適合になります。

運用確認のエビデンス
リスク分析表、リスクの認識、分析及び対策を実施した記録及びその更新履歴

2009年11月23日月曜日

ISOの取り組みは審査の為なのか、改善の為なのか

ISOは審査の為と改善の為?

審査の為にISOの業務を行う。ISOがうまく機能していない会社のほとんどが、意識してか、意識せずしてか、審査の為のISO対応になってます。

看板だけ欲しい会社であれば、これでも構いませんね。

本来の業務とISOの業務と完全に区別してしまう。

そのかわり、実際にISOの業務を行う人たちは大変です。

余分な書類や記録を作らなければなりますから。

その為に、余計な残業や労力を使う事になります。

会社がその残業代を負担したり、労力に報いる事が出来るか?

そこは会社の判断です。

あくまで看板として割り切るなら、これでも構いませんが、

本来の業務への負荷を考えると、コンサルタントや便利屋にISOの業務を外注するのが一番効果的でしょう。

審査対応だけなので、受ける方も気持ちが楽です。

ただこの場合は、取得の際のコンサル費用に、年間顧問契約を結ばないとやってくれないでしょうね。

取得の際のコンサル費用が半年で150万円、半年で終わらない場合は追加として、月30万、認証取得後の年間顧問契約料が月20万円x12カ月位かな。

サーベランスや審査の前月は別途50万円。

プラス、経費の実費(作成者や審査、承認の確認印、管理文書や非管理文書の判、プリントアウトする紙代、表示や識別のための材料、教育の為の資料等など)。

看板の為にこれだけ出せるのであれば、本来の業務とISOの業務の二重構造にしても問題は無いでしょう。

社員の負担は一気に減ります。

結構それくらいは軽く出せるよと言う会社は、多そう。

人一人雇うよりは安いですね。

あくまで看板の為にISOを取りたいと言う方向けですね。


改善のためにISOを行うのであれば、ISOをツールとして使うので、会社の業務をISOに合わせるのでなく、ISOを会社の業務に合わせる事になります。

当然本来の業務とISOの業務の2重構造にはならない為、会社の業務改善のためにISOが有効に働きます。

当然削るところは削り、肉を加えるところは肉を加えると言う事になります。

会社の経営改善は、各業務の改善である為、時間がかかり、従業者に理解してもらう為にも、時間がかかります。

しかし、会社全体の本気度が違う為、事務局や内部監査員のスキルの向上は計り知れません。

また改善のために、自分たちが何をやらなければならないかが、日常の仕事の中でも出てくるため、日常の業務が実はISOの業務だったと言う事になります。

後はうまく舵を取りPDCAを回して、徐々に会社のステージを上げていけばいいだけです。

ただし時間はかかります。

一度会社の業務を分解し、見直して、再構築する作業になります。

必要なものは残し、新たに付け加えるものは付け加え、削れるところは削る。

ISOの理解の為に、社員の招集も行わなければなりません。

その為に時間も取られてしまいます。

期間も1年以上はかかってしまうパターンが多くなります。

それだけの労力がどうしてもかかってしまいます。

費用はそれだけ濃密になると、半年で200万位はかかってしまいます。

それでも、年間顧問契約料もなけれな、サーベランスや審査前の特別料金もありません。

ただし、年間顧問契約は導入して数年は結んだ方がいいです。

定期的に外部のチェックやトレーニングを受ける事により、外部の視点での問題点等が洗いだせます。

また、ISOは経営改善の手段・ツールですので、2か月に一度や3カ月に一度、又は1カ月に一度など手を入れたほうが良いです。

取るまでも大変ですが、取った後、放っておいては意味がありません。

メンテナンスをしなければなりません。

この場合の年間顧問契約料は年間120万位かな。

そこまで一緒になって経営改善につきあってくれるコンサルタントを見つける方が大変ですが。

プライバシーマーク 08-7 個人情報のリスクの認識 分析及び対策 規程に盛り込む最低限必要事項 c)個人情報に関するリスクの認識、分析及び対策の手順に関する規程

審査項目
目的外利用を行わない為、必要な対策を講じる手順を確立し、かつ、維持するように規定している。


●目的外利用を行わないための手順を実施している。

文書審査の着眼点
利用目的の特定3.4.2.1、利用に関する措置3.4.2.6に盛り込んでいる。



審査項目
洗い出された個人情報について、ライフサイクルに応じてリスクを洗い出し、リスク分析を実施し、リスクに応じた対策を講じ、残存リスクを把握する手順が明白である。


●定めた手順に従って、リスクを認識し、分析し、対策を講じる。

文書審査の着眼点
リスクの認識、分析及び対策を確実に実施できるよう手順を明確に記述している。
手順は以下の4点を明確に記述している。

  1. 3.3.1により特定した個人情報のリスクをライフサイクル毎に洗い出す。
  2. リスクの分析を実施する。
  3. リスク分析について対策を講じる。
  4. 残存リスクを把握する。


●リスク対策は事業者の代表者の決定している。

文書審査の着眼点
講じることとしたリスク対策について、事業の代表者又は事業の代表者の権限を委任されている者の承認を得て決定する手順を定めている。



審査項目
定期的な見直し、及び必要に応じた随時の見直しの手順が明確である。

●定めた手順に従いリスクの見直しを実施している。

文書審査の着眼点
具体的な時期を定めた定期的な、又は必要に応じて随時の見直しを確実に実施するように手順を明確に記述している。




2009年11月22日日曜日

社長や経営陣がISOの遂行に責任を持つ。

社長や経営陣がISOの遂行に責任を持つ。

社長や経営陣がISOに無関心では、ISOでの経営改善は全く機能しません。

社長や経営陣が、ISOがお荷物や無用の長物、無駄、役に立たない、本業とは別物、関心が無いでは、機能しません。

社長や経営陣がそのように考えていたり、公言していたら、それは部下や社員にも伝わります。

聞いたり、その事実を知った社員は、「何故社長や経営陣がそう思っているISOをやらなければならないのか」となってしまい、管理責任者、事務局、担当者は、手抜きをしたり、やる気を起こさなかったりします。

社長や経営者が、必要だからやる。重要だからやる。もうこれしか残ってないからやる。

固い決意が必要です。

また、会社の方向性と現在のシステムが乖離する様な事があれば、会社の方向性に合わせてシステムを変えなければなりません。

プライバシーマーク 08-6 規程への関連付けとリスク対策の周知

個人情報のライフサイクル毎に講じたリスク対策は、社内への周知と関連規程に反映を行い、リスクと関連付けた上で、誰もがいつでも参照できる状態にします。

リスク対策を社内へ周知徹底を繰り返す事により、従業者の意識も高まります。
これは定期的に教育する事にもつながります。
特に人的な残存リスクについては、教育が重要になります。

リスク対策を規程に反映するメリットとしては、

  • 作業の度にリスク対策を読む事になる。
  • 対策を意識付けする事が出来る。
  • 内部監査に反映させやすい。


デメリットとしては、

  • リスクの変更がある度に、規程など関連文書の変更が強いられる。

デメリットはありますが、細かく対応する事により、個人情報の流出や遺失、人的リスクに対する予防処置になります。


2009年11月21日土曜日

ISO文書は自分たちの都合の良い様に作る。

ISOの文書は独自で作る。

事務局や担当者にとって、文書作りは苦労するものです。

どう作っていいか判らない。

そこで、市販の規程集や参考書、文書のサンプルが豊富なコンサルに頼んだりする場合が多くあります。

ここが、ISOがお荷物になる部分です。

自社に合ってない文書を使ったり、コピーしたりして使うと、自社の現状にあっていないもの、過度に重厚になってしまうもの、現場がそれに合わせると多大な負荷がかかるものになってしまいます。

そうすると、余計な規程や記録を作らなければいかなくなります。

必要のない規程や記録を作ってしまうので、マネジメントシステムが会社の負荷になり、お荷物となってしまうのです。

作らなければならない規程や記録は、会社によってそれぞれです。

必要な規程や記録は、ISO9001:2008で要求している文書以外に作る必要があります。

必要のない文書は作る必要がありません。

その為には何をしなければならないか。

会社の現状を見直してください。

プライバシーマーク 08-5 残存リスクの把握と管理

全ての個人情報のリスクを確認し、対策を実行したとしても、リスクはまだ無くなりません。
現状で可能な限りの対策を講じた上でも、まだ未対応の部分が残ります。


未対応な部分が残存リスクとなります。
残存リスクを把握し管理します。

どのような管理を行うかは自由ですが、個人情報毎にまとめて管理する方法が一番最適と考えられます。

残存リスクの特徴として、「技術的な残存リスク」、「人的な残存リスク」、「物理的な残存リスク」が存在します。

「技術的な残存リスク」と「物理的な残存リスク」は、技術の進歩や資金の投入で解決する場合がありますが、「人的な残存リスク」は、人に由来してしまいます。

この「人的残存リスク」が、個人情報の持ち出しや流出に繋がる可能性が大きくあります。




2009年11月20日金曜日

プライバシーマーク 08-4 リスクの変動に対する定期的な見直しを行うために明文化する。

PMSプロジェクトチームは策定したリスク対策について、想定リスクとリスク対策を一つとして管理します。
この個人情報のリスク対策と想定リスクはこれだと言うふうにです。

また個人情報のライフサイクル毎にリスクを認識し、どのようなリスク対策講じたのかという観点で、ライフサイクル毎に、誰が、いつ、何をする事により、どのようなリスクが発生するのか、その対策は何なのかを明確にしておきます。

これを関連付ける事により、リスクの変化に対応する事が出来ます。
リスクは常に変動するものであるとの考えを持ってください。何故変化をするかと言いますと、業務内容の変化、業務環境の変化、人員の変化、業務フローの変化等、会社の業績を上げるために、常に会社は変化をしています。
いつまでも同じというわけではありません。

その為にリスクの変動に対する定期的な見直しを行うために関連付けを明確に明文化する必要性があるのです。



2009年11月19日木曜日

プライバシーマーク 08-3 取り得る最良の措置とは

プライバシーマーク 08-2 個人情報のリスクの認識及び対策 リスクの認識 c) 個人情報に関するリスクの認識、分析及び対策の手順に関する規程 では、合理的な対策と言う言葉が出てきまました。
合理的な対策とは、
個人情報の取扱いに関するリスクが明確に認識・分析・評価され、なお且つさまざまな予防処置が検討され、その中で取り得る最良の措置を講じる事です。
このように解説させていただきました。

この中で、取り得る最良の措置について少し補足します。

取り得る最良の措置とは、
現段階において、検討した様々な対策の中で、費用・構築の容易さ、運用の容易さ、効果等の観点から総合的に検討して、社長が最適と判断した対策が取りえる最良の措置です。

しかし安易に、決めるのではなく、いくつかの候補を上げて検討する必要があります。
これがレビューにもなり、エビデンスにもなる為、記録として保存しておいた方が無難です。
(ただしこれは、必須ではありませんが、審査員によっては審査の時に役立ちます)

またリスク対策は、一つだけとは限らず、複数の対策を組み合わせて対応できるものもあり、技術的対策、物理的対策、人的管理対策等から多角的に検討する必要があります。


2009年11月18日水曜日

プライバシーマーク 08-2 個人情報のリスクの認識 分析及び対策 リスク対策 c) 個人情報に関するリスクの認識、分析及び対策の手順に関する規程

それぞれの個人情報を洗い出して、認識したリスクについて、リスクのもとになる脅威(原因)、発生の可能性(脆弱性)、発生した場合の影響を分析して評価を行い、その結果に応じた合理的な対策を検討する事になります。


プライバシーマーク 08-1 個人情報のリスクの認識及び対策 リスクの認識 c)個人情報に関するリスクの認識、分析及び対策の手順に関する規程の帳票の右側を使います。

評価に応じて、対策を立てます。

人的対策・物理的対策・技術的対策がありますが、資金的な兼ね合いから、最適な対策(組み合わせた対策でもよい)を立案します。

規格にある「合理的な対策」とは、個人情報の取扱いに関するリスクが明確に認識・分析・評価され、なお且つさまざまな予防処置が検討され、その中で取り得る最良の措置を講じる事です。

金さえかければ、色々な措置を講じる事が出来ますが、金をかける事により、本業が傾く事になりかねない場合や、予算が計上できないと言うことでいつまでも実行できないようなリスク対策は意味がありません。

評価したリスクについて、現状で出来る限りのリスク対策を行います。
極端な例を出すと、入退室について網膜認証を行うには莫大な設備費用がかかります。
しかし、網膜認証システムを導入すると、経常利益が全部なくなってしまう。
会社の経営が立ち行かない。
ここまではしなくていいのです。

しかし、ベストの対策が講じられないと、リスクは存在します。
これを残存リスクと言います。

残存リスクも把握しておく事により、次の対策を行う事が出来ます。

リスクは常に変化するものなので、見直しが必要になります。


2009年11月17日火曜日

プライバシーマーク 08-1 個人情報のリスクの認識 分析及び対策 リスクの認識 c)個人情報に関するリスクの認識、分析及び対策の手順に関する規程

個人情報のリスクの認識を行います。
対応規格:規格3.3.3 リスク等の認識、分析及び対策
規格 3.3.1 個人情報の特定で保護対象とした個人情報について、想定できる全てのリスクを管理する事が求められています。

06-1、06-2で特定した、個人情報を業務フロー等を使い、業務の内容と実際に存在する個人情報の取扱われる「個人情報の流」を明確にします。
個人情報が会社に入ってから、会社から出るまで(廃棄されるまで)のライフサイクルを明確化し、ライフサイクルの局面ごとにリスクを洗いだします。

個人情報のライフサイクルの各局面とは、以下になります。
1-取得・入力
2-移送・送信
3-利用・加工
4-保管・バックアップ
5-消去・廃棄

個人情報のライフサイクルは、取得・入力⇒送信・移送⇒利用・加工⇒保管・バックアップ⇒消去・廃棄の流れになります。

JIS Q 15001の規格では、リスクは以下の事が想定されています。
1-漏洩(外に漏れる事)
2-滅失(無くなる事)
3-毀損(壊れる事、正確性が無くなる事)
4-目的外利用
5-関連する法律、国が定める指針その他の規範に違反する事
6-想定される経済的な不利益や社会的な信用の失墜の発生
7-本人への影響の発生
これらをリスクと捉えます。

また、認識するとは、いつ、だれが、どこで、どんなときに、何を行い、どのような事をするか、どんなリスクが発生するかを明確にします。

また、法令違反によるリスク、コンプライアンス違反によるリスクも考慮に入れなければなりません。

案外見逃してしまうのが、本人の同意を得ないで取得、利用がおこなわれている事が多くあります。
目的外の取得・利用にあたりますので、リスクとして認識する事が必要です。


個人情報ごとにこのような帳票を作ると便利です。



一部抜粋して拡大しました。
一つの個人情報で、ライフサイクル毎にリスクが発生します。
ライフサイクルのリスクを認識する事が、大事なのですが、慣れるまでは時間がかかる為、数人でリスクの認識を行う必要があります。

この帳票は、グーグルドライブで公開していますので、ご自由にお使いください。


2009年11月16日月曜日

プライバシーマーク 07-3 (例) 通販事業の法令その他の指針、ガイドライン等

PMSの作り方 03 法令、国が定める指針その他の規範を特定します」では、全体的なものでしたが、プライバシーマークの導入が必要な通販業界に絞った法令等です。

保険通販には、更に保険業法等に関連する法令、指針、ガイドラインが必要になります。
オークション等で古物を扱う場合は、古物営業法、警察庁、警視庁等が関連してきます。
アダルト関連を扱う場合には、風俗営業法、警察庁、警視庁等が関連してきます。


法令・ガイドライン


業界団体ガイドライン


業界団体


関連省庁


その他団体

あくまで例です。
自社にとって必要のない物が含まれている場合がありますので、取捨選択してください。




2009年11月15日日曜日

ISOは目的を明確に持つ。

ISOは目的を明確に持つ。

ISOの導入を考えたり、導入している会社さんで、ISOの目的が明確になっている会社がどれだけあるでしょうか?

なんに為にISOをやっているのか、なんの為にISOを導入するのか。

何をするにしても、目的が明確になっていないと、イメージが出来なく、ぼんやりとなんだかISOをやるっぽいよ。何のために?となりかねません。

目的が明確になっていれば、何をどう、どのレベルで管理するのか、チェックするのかがはっきりします。

規程やマニュアルや手順書等のルールをどこまで細かくするのか、詳細にするのか、何を改善するのかが明確になります。

プライバシーマーク 07-2 法令、国が定める指針その他の規範を特定する 現地審査でチェックされる事項 

審査項目
個人情報の取り扱いに関する法令、国が定める指針その他の規範を特定し、参照し、維持する手順を定めている。

●参照すべき法令、国が定める指針その他の規範を、定めた手順に従い実施している。

運用確認のエビデンス
特定された法令等が明確になっていることが確認できる記録


●特定した法令、国が定める指針その他の規範について管理者の承認を定めた手順に従い実施している。

運用確認のエビデンス
特定した法令、国が定める指針その他の規範について管理者の承認が確認できる記録。


●参照すべき法令、国が定める指針その他の規範を定めた手順に従い、必要に応じて、更新し、最新版を参照できるように管理している。

運用確認のエビデンス
参照すべき法令等を特定した記録の更新履歴記録


●特定している法令、国が定める指針その他の規範が適切である。
事業者によって参照すべき法令は異なる。事業者は必要に応じて業界の関連法令やガイドライン等を特定している。
次の項目は必須。

  • 個人情報保護に関する法律
  • 個人情報保護に関する法律についての経済産業分野を対象とするガイドライン
  • 雇用管理分野における個人情報保護に関するガイドライン
  • 雇用管理に関する個人情報のうち、健康情報を取り扱うにあたっての留意事項

運用確認のエビデンス
特定された法令等が明確になっている記録


●特定している法令、国が定める指針その他の規範が必要に応じて参照できる。
①法令等をそのまま内部規程の一部として、位置づけ、文書体系をとり、規程等に取り入れている場合、従業者全員が法令などを参照できるようにしている。
②法令等が改定された時、その内容を内部規程に反映するように管理している場合は、内部規程を改訂する立場の者が参照できるようになっている。
その様な場合は、法令等の改定内容を、関連する規程等の文書にも確実に反映している。

運用確認のエビデンス
組織内での参照方法

2009年11月14日土曜日

ISOは必要最低限のことしか書かれていない。

ISOは必要最低限のことしか書かれていない。

ISO9001:2008の規格には必要最低限のことしか書かれていません。

また、自社に適用しない項目もあります。

あくまで、指針であり、ISO9001の規格を忠実に実行しても経営改善には繋がりません。

抜けている事が多いのです。

例えば、顧客からのクレーム。

規格では7.2.3顧客とのコミュニケーションでc)苦情を含む顧客からのフィードバックとあり、これについて、効果的な方法を明確に実施し、実施しなければならない。

具体的に何をどうするのか?しかも管理については書かれていません。

クライアントからのクレームは会社にとって重要ですが、「フィードバック」で終わってしまっています。

会社にとって、顧客からの苦情やクレームを営業から報告されただけでは、意味がありません。

また、営業からのフィードバックが、本当に行われているかの疑問もあります。

ここでやらなければいけないのが、肉付けです。

クレームが起きたとき
①どうやって報告させるか。営業が抱えていないか。
②報告されたクレーム内容の重要度を誰が判断するか。
③判断したクレーム内容の重要度によりどう対処するのか。
④クレームに対する原因の追及を行うか、行わないか。
⑤クレームの原因は根本的な原因を追及出来ているか。
⑥クレームに対する報告書は発行するのか、口頭で説明するのか。
⑦是正処置を行うのか、行わないのか。
⑧是正処置を行った結果の確認はいつ行うのか。
⑨報告書には是正処置の確認まで必要なのか。
⑩クレームの管理はどうするのか。文書で残すのか。
⑪クレームに対して統計は取るのか。

ざっと数えるだけで、クレーム一つとっても是正処置に関する事まで出てきます。

それらをどこまで行うかは、会社で決めなくてはなりません。

フィードバックという言葉を真に受ければ、ここまでする必要もありませんが、実際にクレームに対して対処したり、それを会社の糧とするのであれば、徹底的に行う必要があります。

そこで会社や営業に対する信頼感が出たり、逆に失ってしまったり。

本当に役立てるのであれば、肉付けを行わなくてはなりません。

また、それを行うには、労力と時間、各工程業務を行っている人たちの意識変化が必要になります。

プライバシーマーク 07-1 法令、国が定める指針その他の規範を特定する 規程に盛り込む最低限必要事項 b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規程

審査項目
個人情報の取り扱いに関する法令、国が定める指針その他の規範を特定し、参照し、維持する手順を定めている。

●参照すべき法令、国が定める指針その他の規範を、定めた手順に従い特定している。

文書審査の着眼点
法令等を特定する手順を定める。


●特定した法令、国が定める指針その他の規範について管理者の承認を得ている。

文書審査の着眼点
特定した法令、国が定める指針その他の規範について管理者の承認を得ている。


●参照すべき法令、国が定める指針その他の規範を必要に応じて、更新している。

文書審査の着眼点
参照すべき法令、国が定める指針その他の規範を更新する手順を記述している。


●特定している法令、国が定める指針その他の規範が必要に応じて参照できる。

文書審査の着眼点
特定した法令などを組織内で参照する方法を定めている。

2009年11月13日金曜日

プライバシーマーク 07 法令、国が定める指針その他の規範を特定する b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規程

PMSプロジェクトチームは、事業の用に供する個人情報の取扱いに関する法令、国が定める指針その他の関連規範の有無について確認します。

自社の事業に関連する法令、国が定める指針その他の関連規範がある場合は、JIS Q 15001に優先して適用します。この為に法令、国が定める指針その他の関連規範を明確にする必要があります。

JIS Q 15001が法律を超えて適用される事はありません。

その他の規範は業界団体のガイドライン等を指します。
業界団体のガイドラインとJIS Q 15001で要求レベルの高い方を優先します。



  • 個人情報保護に関する法律
  • 個人情報保護に関する法律施行令
  • 雇用管理に関する個人情報の適正な扱いを確保する為に事業者が講じるべき処置
  • 雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項
  • 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
  • 職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が。均等待遇、労働条件の明示、求職者等の個人情報の取扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対応するための指針
  • 業界に適用される法令内に個人情報に関する条文がある法令
  • 自社業界の自主指針
  • 所在地がある都道府県の個人所法保護条例
  • 所在地がある市区町村の個人情報保護条例
  • 監督省庁の個人情報保護方針
  • JIPDEC個人情報保護方針

等があります。

これらが主要な法令、国が定める指針その他の規範になります。

この他に業界に適用されている法令や条例、方針等があります。



2009年11月12日木曜日

プライバシーマーク 06-4 個人情報の特定 個人情報を特定する手順 現地審査でチェックされる事項 a)個人情報を特定する手順に関する規程

審査項目
全ての個人情報を特定する手順が明確である。

●定めた手順に従い、個人情報を特定している

現地審査の着眼点

  • 定めた手順どおりに個人情報を特定している
  • 個人情報の特定に漏れが無い。
運用確認のエビデンス
個人情報を管理する台帳等



●管理者の承認を得ている

現地審査の着眼点

  • 定めた手順に従い、管理者の承認を得ている。

運用確認のエビデンス
個人情報を管理する台帳等

●個人情報を特定した台帳などを作成している。

現地審査の着眼点
・主要な個人情報を台帳登録している。
・台帳などで管理対象の個人情報を全て把握できる。
・台帳に以下の項目が最低限含まれている。

  • 個人情報の項目
  • 利用目的
  • 保管場所
  • 保管方法
  • アクセス権限を有する者
  • 利用期限
  • 件数(概数)
運用確認のエビデンス
個人情報を管理する台帳等



審査項目
個人情報を管理する台帳等の更新及び定期的な見直しに関する手順を定めている。

●定めた手順に従い個人情報を管理する台帳などの更新及び定期的な見直しを実施している。

現地審査の着眼点
定めた手順に従い実施している。特に、新しく発生した個人情報、取り扱いが変更や終了した個人情報を随時台帳に更新している。
(個人情報の更新、定期的な見直しに合わせて、個人情報の棚卸を行った方がよい)

運用確認のエビデンス
個人情報を管理する台帳等

2009年11月11日水曜日

プライバシーマーク 06-3 個人情報の特定 個人情報を特定する手順 規程に盛り込む最低限必要事項 a)個人情報を特定する手順に関する規程

個人情報の特定に於いて、最低限規程に盛り込む項目は、審査でチェックされる項目です。
これが抜けていると、書類審査で不適合になります。

ここでは、判りやすいように、個人情報保護法で対応している条文も記しています。


対象になる個人情報保護法
個人情報保護法第2条第三項 個人情報取扱事業者の定義
施行令第2条 取り扱う個人情報の量及び利用方法からみて個人の権利利益を害する恐れが少ない者(※ただし、PMSでは、この条文は当てはまりません)


審査項目
全ての個人情報を特定する手順が明確である。

●定めた手順に従い個人情報を特定している事。
文書審査の着眼点
  • 個人情報を特定するものを定めている。
  • 個人情報を特定する方法を定めている。これには個人情報を特定する為に使用する台帳等の様式を定めている事を含む。
  • PMSの構築時や新規の種類の個人情報の取り扱いが発生した時等、個人情報を特定する作業が必要になるタイミングを明確にしている。

●管理者の承認を得ている事。
文書審査の着眼点

  • 特定した個人情報について管理者の承認を得る手順を定めている。


●個人情報を特定した台帳を作成している事。
文書審査の着眼点

  • 個人情報を管理する台帳などの作成手順を記述している。


審査項目
個人情報を管理する台帳等の更新及び定期的な見直しに関する手順を定めている。

●定めた手順に従い、個人情報を管理する台帳等の更新及び定期的な見直しを実施している事。
文書審査の着眼点

  • 個人情報の取り扱いが変更、終了した時に台帳を更新する手順を定めている。
  • 具体的な時期を定めて定期的に台帳を見直す手順を定めている。






     

2009年11月10日火曜日

プライバシーマーク 06-2 個人情報の特定 個人情報を整理する。 a)個人情報を特定する手順に関する規程

洗い出し、特定した個人情報は、個人情報毎に以下の事を台帳にまとめます。
ただし、事業に使っている個人情報を洗い出します。
事業に使っていない個人情報は省きます(法人では、ほとんど事業に使っていない個人情報は無いです)。

  1. 個人情報の項目
  2. 個人情報の利用目的
  3. 入手経路(直接、間接)
  4. 社内での取扱い経路(取扱う部署)
  5. 保管(一時的な保管も含む)場所
  6. 保管方法(データ、紙等)
  7. アクセス権を有する者
  8. 個人情報の利用期限
  9. 件数
  10. 保管期間
  11. 廃棄方法



これらを一時的に台帳にまとめます。台帳化する事により、リスクの認識・分析・対策を行いやすくなります。

あとにも使いますが、台帳の例と調査書の例です。
そのまま使われても構いません。
グーグルドライブで公開していますので、必要な方はご自由に使ってください。
使いやすいように改変可です。
改変された場合は、連絡を頂けると助かります。
今後の参考にしたいので。

https://drive.google.com/folderview?id=0B1QrXfNRLBiwZmlaVXBmUlBqYlk&usp=sharing



2009年11月9日月曜日

プライバシーマーク 06-1 個人情報の特定 個人情報を洗い出す。 a)個人情報を特定する手順に関する規程

自社が、事業の為に使っている個人情報を洗い出し特定します。

事業の為に使っている個人情報とは、

①商品やサービス等仕事で使っている個人情報
②従業者の個人情報
③採用等での個人情報
④PMS(プライバシーマークマネジメントシステム)を運用する事により使用するようになった個人情報

これらがあります。

これらを項目ごとに洗い出します。

方法としては、
1)会社で使っている帳票(記入済み)をすべて集める。
2)個人情報が記載してある帳票と記載していない帳票を分別する。
3)データ化されている個人情報のプリントアウトを行う。
4)業務のフロー図を作成し、いつ、どの部門で、誰が、何を、どのように扱っているかを帳票と合せて記入していく。


個人情報と特定する際に、個人情報調査票など統一フォーマットで調査を行うと漏れが無く、台帳化を行いやすいです。

台帳の例と調査書の例です。

https://drive.google.com/folderview?id=0B1QrXfNRLBiwZmlaVXBmUlBqYlk&usp=sharing

そのまま使われても構いません。
グーグルドライブで公開していますので、必要な方はご自由に使ってください。
使いやすいように改変可です。
改変された場合は、連絡を頂けると助かります。
今後の参考にしたいので。


個人情報調査票を使う事により、次のライフサイクルに基づく分析が行いやすくなります。


この作業を各部門で行います。
一部門で完結できるものもあれば、複数部門で取り扱う個人情報も出てきますので、その際はインプットとアウトプットを把握します。

後は洗い出された個人情報のリスト化を行います。





2009年11月8日日曜日

ISO9001を導入しているのに不適合製品が減らない。

とある方からメールで質問を受けました。

原因のわからない不良品・不適合の不適合報告書はどう書けばいいのか。

原因の判らない、特定できない、複数の要因等、色々あるのですが、メールを頂いた方からの、原因が判らないは、原因を突き止めていない事がメールをやり取りさせていただいて、判りました。

こう言った現象が起こった。

原因はこれだ。

これで報告書を出したそうですが、現象に対する直接的な原因で、何故その原因要素が起きたのか、さらに、その奥にある原因は何なのかを突き止めていないだけの話でした。

何度かのメールのやり取りで、なるほどっと理解していただけたので、今後メールを頂いた方の会社の該当部署は、一味違ったISO9001を実践されるのではないかとちょっと期待したりしています。

原因が判らない、特定できないと言う不良品(不適合品)はほとんどないと言っても過言ではありません。

原因があるから、不良品(不適合品)が起きるのです。

原因が無ければ、不良品(不適合品)は起きません。

機械的な原因もあれば、人為的な原因もあれば、クライアントのご機嫌次第という原因もあります。

何かしらの原因があるから、不良品・不適合品になります。

真の原因を突き止める訓練が必要になります。

プライバシーマーク 05 個人情報保護方針を組織内に周知する

PMSプロジェクトチームは、スケジュールが出来上がり、社長が定めた個人情報保護方針を社内に個人情報保護方針の周知を行います。

社内に周知する場合、役員や正社員だけでなく、全ての従業者に周知しなければなりません。
全ての従業者には、契約社員、派遣社員、パート、アルバイトまで含みます。
期間労働者・季節労働者等事業に関わりのある全ての人の事を指します(個人情報を取扱う人たちだけではありません)。
派遣社員の場合、派遣先との関係がある為、派遣先と打ち合わせる必要があります。

また、個人情報に直接従事しない従業者であっても、組織の方針を理解させる必要があります。

周知の方法は、基本的に社長が全従業者に対して、告知を行い周知を行うのが最も効果的です(トップダウン方式)。
また、個人情報保護方針を書いた紙を貼りだす、メールで配信する、個人情報を書いた紙を各自に配布する等の方法があります。

全従業者に対する周知する場合、次の事に留意する必要があります。
1-個人情報を保護する事の重要性
2-個人情報を保護する事の利点
3-個人情報が漏洩等が起こった場合の予想される結果

これらを説明し、全従業員に周知理解させる必要性があります。
PMSを構築する際の教育でも要求されています。
これを説明するのは、社長とPMSプロジェクトチームの役目です。







2009年11月7日土曜日

不適合製品が減らない

ISO9001を導入しているのに不適合製品が減らない。

何故???

理由は簡単。

1-導入当初で、今まで隠れていた不適合製品が出て来たから。
2-不適合製品になった根本的な原因を追及して対策案を立てていないから。

この二種類です。

1の場合はいいことなのですが、2の場合は小手先だけの対策案になっています。

小手先だけの対策では、同じ不適合製品の発生、同種の不適合製品の発生は繰り返しておきます。

いくらその場その場で小手先の対策をしても、また不適合製品は発生します。

根本的な原因を探ってください。

原因が判らなければ、メールやコメントで書き込んでください。

お答えします。

ただし一回のやり取りでは、終わりません。

これが、根本的な原因を探る為の考え方(ヒントかな?)になります。

プライバシーマーク 04 認証付与までのスケジュールを決める

事務局は、プライバシーマークを取得する為のスケジュールを組みます。

これは大まかで構いませんが、少なくとも何年何月何日までには、審査機関に書類を出すぞ!!っと目標を決めます。

何日までにするというのが無いと、ダラダラとなってしまい、いつまでたっても終わりません。

目安として、認証取得用の書類提出までに掛かる時間は、およそ4カ月から半年です。

専従者を設けたり、コンサルタントを活用してかかる目安です。

コンサルタントによっては2カ月や3ヶ月で認証書類提出まで出来るコンサルタントもいます。
書類等のひな型を用意してくれたり、記録等の様式を用意してくれたりします。

網かけ文字などになっているところや、色つきの文字になっているところを、自社の会社名に変えて下さいというものです。

当社でも書類の作り方等の指導は行いますが、まず、会社の身の丈に合ったマネジメントシステムを作るように指導しています。

会社規模10人の会社が、会社規模500人の会社のひな型使ったところで、運用できるはずがありません。

会社に合ったマネジメントシステム作りが必要になってきます。

事務局のメンバーは内部監査員も兼任するので、外部の内部監査員養成講座をこの時点で申し込んでください。

プライバシーマークの内部監査員養成講座は、口座数が少ないためです。

コンサルタントを入れる場合はコンサルタントに相談してください。

コンサルタント会社で内部監査員養成講座を行っている場合もあります。



2009年11月6日金曜日

プライバシーマーク 03-1個人情報保護方針 ひな型

個人情報保護方針を作ると言っても、どういったものを作ればいいか、全く皆目見当がつかない場合もあるかと思います。
その様な場合は他の会社の個人情報保護方針を参考にしましょう。

それでもっという場合は、下記のものを参考にされても良いかと思います。


個人情報保護方針

当社は、*****業を営むにあたり、お客様個人情報を取得し、利用させていただいております。当社では社会的責任を十分に認識し、個人情報に関するリスクに対し、合理的管理策を構築し継続的に維持向上させていく為に、個人情報保護方針を定め、個人情報保護マネジメントシステムを構築し、運用する事を宣言します。

1-個人情報の取得に際しては、利用目的を明確に定め、明示し、利用目的の達成に必要な範囲内で取得させていただきます。また、利用目的の範囲内での利用を確実にするために、従業者の教育を徹底して行います。
2-個人情報に関する法令、国が定める指針その他の規範等を遵守し、個人情報保護に努めます。
3-取り扱う個人情報に関するリスクを十分に分析・認識し個人情報の漏えい、滅失又は毀損の防止を行います。また、迅速な是正処置が行える体制を構築し、これらのリスクを察知した場合、事態が発生した場合には、迅速に合理的な是正処置を講じます。
4-個人情報に関するご意見・苦情及びご相談につきましては、取得時に提示する書面・ホームページ等に苦情及び相談窓口を明示し、迅速な対応が可能な体制を構築し運用いたします。
5-本方針を頂点とした個人情報保護マネジメントシステムは技術動向、社会情勢、皆様から寄せられるご意見、苦情等の内容を十分鑑み、計画・運用・点検・見直しを継続的に行い、改善して参ります。
6-本方針は当社の従業者及び採用応募者の個人情報、上記*****業に関する個人情報以外の当社の取り扱う全ての個人情報に関しても適用いたします。

****年**月**日
会社名
代表取締役*****社判


個人情報に対するお問い合わせは
会社の住所
会社名
個人情報の担当者
連絡方法
対応時間





2009年11月5日木曜日

プライバシーマーク 03 個人情報保護方針策定

まず、プライバシーマークを作ろうと思ったら、キックオフ宣言をします。
これは、朝礼などで、「やるぞ!!」っと言えば十分です。
文書などに残す必要はありませんし、体制が全く整っていなく、社長の意志でキックオフ宣言は出来ます。

キックオフ宣言をしたら、適任者と思う人を事務局に任命します。
必要であれば、事務局に推進チームを作らせます。

個人情報保護責任者と個人情報保護監査責任者は取締役又はそれに近い人を選びます。
社長に何でもモノが言える立場の人を選択します。

あとは事務局と、個人情報保護責任者と個人情報保護監査責任者に進めさせます。
PMSにおける社長の代行として、個人情報保護責任者に権限と責任を委任すると進めやすいです。
この為、個人情報保護責任者には、日頃から社長と意思疎通が出来ている人が適任です。


そして、社長は個人情報保護方針を作ります。
(個人情報保護責任者や事務局に作らせても構いませんが、最終的に承認をしてください。知らぬ存ぜぬは通用しません。)


事業規模にもよりますが、大抵は、社長。大きい企業になりますと代表権を持っている人、取締役会とも解釈できます。

個人情報保護方針には以下の事を記述して文書化を行わなければなりません。
1-何のために個人情報の保護活動を行うのか。
事業内容を絡めて、個人情報保護の為に取り組む姿勢や基本的な考え方を記述します。

2-個人情報保護の為にどういった内容の活動を行うのか。
a-個人情報の取得や利用及び提供。
b-個人情報に関連する法令、国が定める指針、その他の規範を守る事。これには事業上の事業内容により関わってくる法令等もありますので、事業の内容により対象になる法令が変わってきます。また、業界団体のガイドライン等も含まれます(加入していなくても、対象となります)。
c-個人情報が漏洩、滅失、毀損、消失させないための防止策と是正。
d-個人情報の苦情や相談に対応する事。
e-PMS(個人情報保護マネジメントシステム)の継続的改善に関する事。
以上の事をコミットメント(宣言し、責任を持って実行する事)します。

コミットメントした文書に対して、いつ、だれが責任を持つのかを明記します。
日付と社長の名前が入ります。

もちろん、誰かに指示して作らせても構いませんが、必ず目を通し、コミットする必要があります。
基本的に、トップマネジメントが作る事になっていますので、内容を知らないではダメです。

他社の個人情報保護方針を見るとよく判ると思いますが、冒頭部は、会社がPマークを何故必要とするか、うちの会社はこうなんだっと言う想いが込められる部分があります。

ですから、冒頭部分だけでも社長は、実務をする人と十分に話し合ってコンセンサスをとる必要があります。


参考までに雛型です。プライバシーマーク 個人情報保護方針のひな型


これを作ったら、社員に周知させる為、社員が集まる場所に掲示するか、社内の複数の場所に掲示します。
またプリントで配っても構いません。

周知徹底する事が必要です。


あとは事務局に任せましょう。
社長は随時、進捗状況の確認を行い、遅れているようであれば叱咤激励しましょう。
また、事務局とコミュニケーションや慰労等も忘れない様にして、事務局がやる気を出せる環境を整える事も社長の仕事です。




バイナリーオプション BinaryFX

人気の投稿