成功する中小企業の人材育成 ここがポイント

名南経営コンサルティング 山田亮太 公式ブログ


JIS Q 15001:2006個人情報保護マネジメントシステム-要求事項」の改正について、
日本規格協会が
20171220日に正式公示する予定です。

 

改正後の新規格は、日本規格協会のホームページにて、予約注文(価格:4,000円(税抜))
することができます。

現時点では、和文冊子のみの先行予約受付けとなっておりますが、
1220日以降には、
PDF版の発売も始まるようです。

 

新規格(JIS Q 15001:2017)の内容を少しでも早く把握されたい方は、下記URL(日本規格
協会ホームページ)より注文方法についてご確認下さいませ。

https://webdesk.jsa.or.jp/books/W11M0390/?post_type=other&page_id=b_j_15001

  

規格改正によるプライバシーマーク制度への影響や審査方針等も、近日中に公表される予定です。


規格改訂に伴う文書改訂は、すべてのプライバシーマーク取得事業者におきましては必須対応事項です。

弊社におきましても、コンサルティングサービスを提供しておりますので、どのようなことでも、まずは
お気軽にお問合せくださいませ。
(TEL:052-589-2784)(https://www.meinan.net/contact/?t=con


【現地審査前のチェックポイント】

 ○プライバシーマーク更新審査に向けて

■取り扱う個人情報のリスク認識に漏れはありませんか?

 

更新審査においては、各々の個人情報に対して、適切なリスク分析がなされているかを、
重点的に確認されます。

リスク分析を行うにあたり、取扱う個人情報の業務フローを作成すると良いでしょう。


例えば、採用選考に伴い、履歴書を取り扱う場合、

  1. 『取得・入力』…各支店で履歴書を本人から手渡しで受領し、面接を実施する。

  2. 『移送・送信』…合格者の履歴書を支店から本社に送る。

  3. 『利用・加工』…本社面接時に、必要部数履歴書のコピーをとり面接を行う。その

    後、履歴書原本とコピーを総務に提出する。

  4. 『保管・バックアップ』…最終選考結果合格の場合、総務側で履歴書原本を保管する。

  5. 『消去・廃棄』…総務に提出された履歴書のコピーは即座に廃棄する。加えて、不

    合格者の履歴書原本は、早々に、郵送にて返却する。また、保管されている合格者の
    履歴書原本は、保管期限到来後廃棄する。

といった業務フローになるのが一般的です。

上記のフローにおいても、「履歴書」として取扱いがスタートした情報が、
最終的には「履歴書+履歴書のコピー」に増えていることが分かります。この「履歴書のコピー」
に対してもリスク分析を実施した上で、しっかりと管理・監督する必要があります。
このように、業務フローを作成することで、情報の動きや、新たに発生した情報を、抜け漏れなく
確認することが出来ます。

今後、リスク分析の際には、業務フローを整理した上で、リスク認識の漏れがないかどうか確認
してみて下さい。


今月より、プライバシーマーク取得事業者様向けに、審査対応のポイントを
連載いたします。

【現地審査前のチェックポイント】

 ○プライバシーマーク更新審査に向けて

■マイナンバーやストレスチェック結果など、個人情報の特定に漏れは

ありませんか?

JIS Q15001:2006では、事業活動に利用する、すべての個人情報を把握できる

手順を確立し、すべてを抜け漏れ無く台帳等を用いて管理すること、

これらの台帳等を定期的に見直し、更新することを「3.3.1個人情報の特定」

として求めています。そのため、更新審査においては、個人情報を管理する

台帳等が最新の状態になっているか、重点的に確認されます。

一方で、「どういう観点で見直せばよいか分からない」「きちんと更新した

つもりが、一部の個人情報の特定が漏れていた」という声をよく耳にします。

そこで、今回は、個人情報を管理する台帳等を見直すポイントを、2点お伝えします。

 
事業環境の変化は発生していないか?

以下に示すような環境変化が発生した場合、新たな個人情報を取得

(又は、廃棄)している可能性があります。

  ・新事業、新商品、新サービスの開始(拡大)

  ・既存事業、商品、サービスの廃止(縮小)

  ・新システム(クラウドサービス等)の導入

・企業合併(グループ化)、分社、事業所移転

  ・自社の事業分野に関わる新たな法律の制定や法改正の発生

新事業、新商品、新サービスを開始した場合、業務フローに基づき、

新規で取得する個人情報の有無を業務担当者へ確認しましょう。

新規で取得する個人情報がある場合には、個人情報を管理する

台等に追加する必要があります。

また、新社屋にて防犯カメラを設置する際などは、第三者だけでなく、

自社の従業者が映っている防犯カメラの映像も個人情報にあたるため、

個人情報を管理する台帳等へ追加登録する必要があります。

加えて、番号法制定に基づくマイナンバー、労働安全衛生法改正に伴う

(従業員50名以上の事業者が対象)ストレスチェックの結果等、

自社の取得状況に合わせて、個人情報を管理する台帳等の更新が必要です。



■『個人識別符号』を保有していないか?

改正個人情報保護法の全面施行以降は、『個人識別符号』も

3.3.1個人情報の特定」の対象になります。個人識別符号とは、

免許証番号、旅券番号、生体情報(指紋、静脈)など、各個人に

割り当てられた文字、番号、記号等をさします。パソコンの指紋認証、

静脈による入退室管理等を実施していて、自社でその個人識別符号を

管理している場合は、定期見直しの際に台帳等に追加する必要があります。

 

これらの観点に留意し、改めて個人情報を管理する台帳等の見直しを進めてみて下さい。

このページのトップヘ