ある日Pマーク担当になった人のために 第1回「個人情報保護の基本中の基本」

2016/04/13
情報保護のイメージ画像

読者のみなさま、初めまして。

当社はISOコンサルティングを主に行っており、プライバシーマークなども手掛けております。

 

そんな中、この記事を寄稿するにあたり、こちらは情報システムの担当者の方を対象にされているサイトということで、せっかくですから情報システムの担当者の方に向けて、当社がよくお聞きする相談事などを解決するお手伝いになるような情報を提供させていただきたいと考えております。

さて、今回のテーマはある日Pマーク担当になった人のために、という内容です。

 

実際にプライバシーマークのご支援をさせていただく際に、ご担当者として紹介されることが多いのが情報システムの担当者の方です。

ところが、プライバシーマークの認定基準の内容を見てみると、実はあまり情報システム担当の方に身近な話ではなく、なにからとりかかってよいものかわからない、というご相談を受けます。

個人情報保護の話は今でもいろいろなサイトに掲載されていますが、こちらのコラムでは、プライバシーマーク認定に絞って、個人情報保護の話を掲載していこうと思います。

 

個人情報保護のポイント

まず、個人情報保護は、個人情報を取得するところから、どのように取り扱い、保管し、最終的に返却、廃棄するのかの流れを把握したうえで、その際に実施すべき対策を盛り込んでいきます。

 

個人情報取得時

個人情報を取得する際に必要なことは、本人に同意を取ることです。

その際の同意は、本人に明示的な同意でなければなりません。

では、明示的な同意とはどのような方法でしょうか。

次のような方法が考えられます。

●署名、捺印
●同意ボタンを押す、チェックボックスをクリックする(Webサイトなどの場合)
●同意の上申し込み、などのみなし同意の条件を決めておく

上記のような方法で、証拠が残るものについては、記録として残しておくことがプライバシーマーク対応におけるポイントになります。

また、同意を交わす際に提示する文面にも次のような内容を含める必要があります。

a) 事業者の氏名又は名称
b) 個人情報保護管理者(若しくはその代理人)の氏名又は役職、所属及び連絡先
c) 利用目的
d) 個人情報を第三者に提供することが予定される場合の事項

●第三者に提供する目的
●提供する個人情報の項目
●提供の手段又は方法
●当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
●個人情報の取扱いに関する契約がある場合はその旨

e) 個人情報の取扱いの委託を行なうことが予定される場合には、その旨
f) 個人情報の開示等に応じる旨及び受付窓口
g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
h) 本人が容易に認識できない方法によって個人情報を取得する場合にはその旨

上記の文面を、本人が個人情報を入力、送付等する前に提示できるようにしておくことが必要となります。

また、この際に同意しておくべきものとして、次のような内容もあります。

●外部提供する場合、その旨等
●その個人情報を使って本人にアクセスする場合、その旨等

 

個人情報の取り扱い時

個人情報は、前述の同意をした目的以上の利用をすることが許されません。

しかし、当初取得した目的と、利用したい理由が変わる可能性もあります。

その際に、本人にまた新たな目的で取得することの同意を得るための方法を用意しておく必要があります。

さらに、目的外の利用をさせないために、次の対策も必要となります。

【対策一例】

●アクセスする担当者を限定する
●担当者以外のアクセスをできないように制限する
●従業員に対し機密保持の誓約書を交わす
●アクセスのログを取得し、分析する
●外部委託先がある場合、機密保持契約、事前評価等する

 

個人情報の保管時

個人情報の保管の際に求められることは、当然セキュリティ対策です。

しかし、セキュリティ対策については、プライバシーマークではあまり触れられておらず、

●安全管理の措置を講じること
●正確性を保つこと

くらいしか認定基準上は記載されていません。

この際に参照すべきなのが、認定基準です。

あくまで対策は合理的であることが求められるため、すべての対策が実施できるとは限りません。

その場合には、適切な理由があれば、対策をしないことも許可されます。

 

個人情報の廃棄、返却

個人情報を廃棄、返却する際には、廃棄、返却した記録を取ることが求められます。

その際に、廃棄業者を使用した場合は廃棄業者から廃棄証明の提出を求めることが必要です。

また、返却した場合は、返却したことを相手にもきちんとわかるように、返却記録などを相手にも提出することが望まれます。

これらの個人情報保護策が基本となります。

次回は、Pマーク認定の審査を受ける際のポイントを解説します。

佐々木秀林

情報セキュリティアドミニストレータ(2003年取得)

中堅コンサルティング会社に在籍、主にISO9001(QMS)、ISO14001(EMS)を支援する傍ら、ISO27001(ISMS)、JISQ15001(Pマーク)、ISO20000(ITSMS)などのコンサルティング事業を新たに立ち上げる。

実績としては、
・ISMS+QMSの同時認証取得(当時国内初)
・ISMS+Pマークの統合マネジメントシステム構築(当時国内初)
・ISMS+QMSの統合マネジメントシステム構築および認証取得(当時国内初)
・QMS+ITSMSの統合マネジメントシステム構築及び認証取得(国内第一号の認定授与)
・QMS+ISMS+ITSMSの統合マネジメントシステム構築及び認証取得(当時国内初)

特にマネジメントシステムの統合や、既存システムの改善を得意としている。

また、QMS(品質マネジメントシステム)をベースとした知識に基づき、業務の標準化、効率化及び経営改善などにも取り組んでいる。

 

所属:株式会社リアライフ

関連記事

情シス求人

  1. 登録されている記事はございません。
ページ上部へ戻る