成功する中小企業の人材育成 ここがポイント

名南経営コンサルティング 山田亮太 公式ブログ


今月より、プライバシーマーク取得事業者様向けに、審査対応のポイントを
連載いたします。

【現地審査前のチェックポイント】

 ○プライバシーマーク更新審査に向けて

■マイナンバーやストレスチェック結果など、個人情報の特定に漏れは

ありませんか?

JIS Q15001:2006では、事業活動に利用する、すべての個人情報を把握できる

手順を確立し、すべてを抜け漏れ無く台帳等を用いて管理すること、

これらの台帳等を定期的に見直し、更新することを「3.3.1個人情報の特定」

として求めています。そのため、更新審査においては、個人情報を管理する

台帳等が最新の状態になっているか、重点的に確認されます。

一方で、「どういう観点で見直せばよいか分からない」「きちんと更新した

つもりが、一部の個人情報の特定が漏れていた」という声をよく耳にします。

そこで、今回は、個人情報を管理する台帳等を見直すポイントを、2点お伝えします。

 
事業環境の変化は発生していないか?

以下に示すような環境変化が発生した場合、新たな個人情報を取得

(又は、廃棄)している可能性があります。

  ・新事業、新商品、新サービスの開始(拡大)

  ・既存事業、商品、サービスの廃止(縮小)

  ・新システム(クラウドサービス等)の導入

・企業合併(グループ化)、分社、事業所移転

  ・自社の事業分野に関わる新たな法律の制定や法改正の発生

新事業、新商品、新サービスを開始した場合、業務フローに基づき、

新規で取得する個人情報の有無を業務担当者へ確認しましょう。

新規で取得する個人情報がある場合には、個人情報を管理する

台等に追加する必要があります。

また、新社屋にて防犯カメラを設置する際などは、第三者だけでなく、

自社の従業者が映っている防犯カメラの映像も個人情報にあたるため、

個人情報を管理する台帳等へ追加登録する必要があります。

加えて、番号法制定に基づくマイナンバー、労働安全衛生法改正に伴う

(従業員50名以上の事業者が対象)ストレスチェックの結果等、

自社の取得状況に合わせて、個人情報を管理する台帳等の更新が必要です。



■『個人識別符号』を保有していないか?

改正個人情報保護法の全面施行以降は、『個人識別符号』も

3.3.1個人情報の特定」の対象になります。個人識別符号とは、

免許証番号、旅券番号、生体情報(指紋、静脈)など、各個人に

割り当てられた文字、番号、記号等をさします。パソコンの指紋認証、

静脈による入退室管理等を実施していて、自社でその個人識別符号を

管理している場合は、定期見直しの際に台帳等に追加する必要があります。

 

これらの観点に留意し、改めて個人情報を管理する台帳等の見直しを進めてみて下さい。



昨日、プライバシーマーク認証取得事業者が遵守すべき規格である、
JISQ15001:2006の改訂案、JISQ15001:2017の意見受付広告
が公表されました。
→http://www.jisc.go.jp/app/jis/general/GnrOpinionReceptionNoticeList?show

意見受付広告期間が2017年9月17日のため、9月末~10月中旬頃には、
正式にリリースされる見込みと考えてよいでしょう。

この規格は、企業が個人情報の管理体制を整備するとともに、各種法令が求める
要件もカバーしているため、コンプライアンス遵守活動にも繋がるものです。

現時点でのJISQ15001:2017を見ますと、

①今年の5月末より施行された、改正個人情報保護法の内容が全て網羅
②規格の構成がISOの構成に近い形となり、他のマネジメントシステムとの連動が可能
③要求事項の解説内容が実務内容に近づき具体的

になっています。

改正個人情報保護法の施行により、すべての事業者が保護法を遵守しなければなりません。
これから社内の仕組みを構築する企業様は、JISQ15001:2017をベースにして、社内ルール
を検討すると良いでしょう。



改正個人情報保護法が平成27年9月9日付けで公布されましたが、
この全面施行日は平成29年5月30日、つまり、今からちょうど2ヵ月後
よりスタートします。

改正法は、すべての事業者が対象(今までは5000人分以上の個人情報
を持っていなければ、対象外)のため、今まで個人情報保護法を意識して
いなかった企業様も、5月30日以降は最低限以下の取組みは必要です。

 ①個人情報(お客様・社員・採用選考者)を預かるとき
   →利用目的(何の目的でその個人情報を使うか)を通知しましょう。
     所定の用紙等に個人情報を記載してもらうのであれば、同一書面内に、
     「ご記載頂いた個人情報は、○○の目的でのみ利用します」等の文言を
    入れておきましょう。

 ②面接等で要配慮個人情報(病歴等)を聞いたり、預かるとき
   →上記同様、利用目的を伝え、本人の「同意」を事前に得ることが必要です。
     口頭でも良いですが、言った・言わないのトラブルにならないよう、同意取得
     書面を用意し、サインをしてもらうと良いでしょう。

 ③社内規程・就業規則・秘密保持契約書
   →個人情報保護規定等を設けている企業様は、個人情報保護法の内容・条項
     が変わっているため、見直しが必要です。同様に、秘密保持契約書等へ個人
     情報保護法の条項等を明記している際は、修正して運用する必要があります。

 ④個人情報の安全管理を徹底
   →個人情報はシュレッダーで廃棄する、個人情報を保存しているPCは必要最低限
     にし、ウィルス対策をきちんとする等、自社にできる対策を検討し、実施しましょう。

 ⑤第三者提供
   →預かった個人情報を、他の企業と共有・提供したりする際は、今回の改正法で厳しく
      取り締まられることになりました。事前に改正法の内容をきちんと確認しておきましょう。

これから、業種別のガイドラインが整備されていくようです。個人情報保護法の本文は少し
読みづらいので、自社が該当するガイドラインをしっかりと確認しておく必要があります。。




このページのトップヘ