成功する中小企業の人材育成 ここがポイント

名南経営コンサルティング 山田亮太 公式ブログ


今月は、『プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針』(以下、“『構築・運用指針』”という)の「J.1.5個人情報保護マネジメントシステム(4.4)」についてご説明します。本項「4.4 個人情報保護マネジメントシステム」では、「事業者は、『構築・運用指針』に従って、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、継続的に改善しなければならない。」と定めています。つまり、プライバシーマーク取得事業者は、『構築・運用指針』を遵守し、個人情報保護マネジメントシステムの確立・維持等を通して、『構築・運用指針』で求める全ての要求事項を適切に運用することが求められます。逆に考えれば、他の全ての要求事項を満たすことが出来れば、本項も満たされることを示しています。このため、本要求事項に従い別途実施する必要のある事項は特にありませんが、長期にわたりプライバシーマークを運用している事業者様においては、本項が示す“継続的に改善”という点にご留意いただくと良いでしょう。様々な社会的な“変化”がこれまで以上に大きな時代となってきた中、経営環境や技術、システムなどが非常に速いスピードで変化しています。これにより、数年前に作成した個人情報保護のための社内ルールが陳腐化し、実態にそぐわなくなるケースが発生することは多くなっているでしょう。このため、現場(実態の運用)に遅れを取ることがないよう、如何にマネジメントシステムを継続的に見直し続けることが出来るかが重要なポイントとなります。必要に応じて社内ルールの効果性を検証し、ルールの見直しを含めた継続的な改善を検討することが出来る、ミーティングや委員会等の場の設置をご検討いただくと良いでしょう。 


今月は、『プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針』(以下、“『構築・運用指針』”という)の「J.1.4個人情報保護マネジメントシステムの適用範囲の決定(4.3)」についてご説明します。JIS Q 15001:2017の「4.3 個人情報保護マネジメントシステムの適用範囲の決定」では、「プライバシーマーク取得事業者は、個人情報保護マネジメントシステムの適用範囲を定めるために、その境界及び適用可能性を決定しなければならない」と定めており、他のISO規格と同様に、適用範囲の設定を求めています。一方、『構築・運用指針』では、「プライバシーマーク取得事業者は、自らの事業の用に供している全ての個人情報の取扱いを個人情報保護マネジメントシステムの適用範囲として定め、その旨を文書化すること」を求めており、自社で取り扱うすべての個人情報の取扱いをマネジメントシステムの適用範囲とすることとされています。つまり、全拠点、全事業をマネジメントシステムの対象としなければならないことを示しています。また、ここでいう「自らの事業の用に供している」個人情報とは、一般社会通念上、事業と認められるものをいい、営利事業で取り扱う個人情報のみを対象とするものではないとされています。具体的には、(1)事業者が商品やサービスを提供する業務において取り扱う個人情報(2)従業者の採用や雇用管理で取り扱う個人情報(3)主となる事業以外で取り扱う個人情報(ボランティア等を含む)(4)PMSを運用することによって取り扱う個人情報などの個人情報を指します。新事業所の展開、新サービス展開などを行った場合には、適用範囲から漏れることが無いよう注意しましょう。また、全ての事業における個人情報を管理対象としなければならないことを念頭に置き、会社全体としてのマネジメントシステムの確立と共に、必要に応じて事業ごとの個別のルール設定などの柔軟な対応が検討できると良いでしょう。 


今月は、『プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針』
(以下、“『構築・運用指針』”という)の「J.1.3 法令、国が定める指針その他の規範(4.2)」
についてご説明します。

 

『構築・運用指針』では、「プライバシーマーク取得事業者は、個人情報の取扱いに関する
法令、国が定める指針その他の規範(以下、「法令等」という。)を特定し、参照する手順を
内部規程として文書化すること」を求めています。そのため、自社が遵守すべき法令等を洗い出し、
その内容を関係者がすぐに確認できるよう、台帳等に整理しておく必要があります。

 

具体的には、

・個人情報保護法

・個人情報保護法ガイドライン

・補完的ルール

・番号法

・関係省庁ガイドライン

・地方公共団体の個人情報保護条例

・認定個人情報保護団体の指針

・雇用や事業に関連する法令等

の中から、自社に関係のあるものをピックアップします。ピックアップする際には、
以下の3点に留意すると良いでしょう。

 

①新事業・新サービスを始めていないか?

新事業や新サービスを開始した際には、開始した事業やサービス特有の遵守すべき法令が
存在することがあります。そのため、事前に該当する法令の存否を確認すると良いでしょう。

 

②事業エリアが拡大していないか?

前述の通り、遵守すべき法令等の対象には、地方公共団体が公布する条例も含まれます。
そのため、特に公共事業を市町村から受託しているような場合において、顧客となる市町村の
エリアが拡大している際には、当該地域の個人情報保護に関する条例を予め確認しておく必要
があります。

 

③最新の内容を参照できるようになっているか?

    特定した法令等は、法令等の遵守を確実にするために、常に最新版を管理しなければなりません。
 年間を通して多くの法令等が改正されるため、各種Webサイトを閲覧するなどして、定期的及び
 適宜に情報収集を行い、最新の法令等を参照できる状態を保つように心掛けましょう。

 

このページのトップヘ