成功する中小企業の人材育成 ここがポイント

名南経営コンサルティング 山田亮太 公式ブログ


今月は、GDPR(General Data Protection Regulation:EU一般データ保護規則)への
対応について、ご説明します。

GDPRは、EU域内における個人データ保護に関する法律です。2016427日に採択され、
2年間の移行期間を経て、2018525日より施行しました。

GDPRでは、EU域内から域外へ個人データを移転することを原則禁止しており、違反した
場合は、高額の制裁金(最大2,000万ユーロ(約26億円)か、世界での年間総売上高4%のいずれか
高い方)が科されます。

EU域内から域外へ個人データを移転するには、以下に示す一定の条件を満たす必要があります。

①十分な個人データ保護の保障

  (欧州委員会が十分な個人データ保護水準であると認定した国)

②BCR(Binding Corporate Rules:拘束的企業準則)の締結

  (企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認)

③SCC(Standard Contractual Clauses:標準契約条項)の締結

 (データ移転元とデータ移転先との間で、欧州委員会が認めた雛形条項による契約の締結)

④明確な本人の同意


なお、上記①に該当する国・地域は以下の通りです。

・アルゼンチン共和国

・アンドラ公国

・イスラエル国

・ウルグアイ東方共和国

・英国王室属領ガーンジー

・英国王室属領ジャージー

・英国王室属領マン島

・カナダ

・スイス連邦

・デンマーク王国自治領フェロー諸島

・ニュージーランド

・アメリカ合衆国(プライバシーシールドに基づく)

・日本(※2019123日付けで認定)

 

日本は、先月EUから十分性認定を受けました。そのため、個人情報保護委員会が定める
「補完的ルール」を遵守することを前提として、EU域内から日本へ個人データを移転する
ことができます。

これにより、プライバシーマーク取得事業者は、当該「補完的ルール」への対応状況について、
プライバシーマーク更新審査で確認されることになりました。

来月以降は、この「補完的ルール」について、ポイントを絞って解説して参ります。
 


 今月も「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」の一つである、各部門及び階層における運用の確認(A.3.7.1 運用の確認)
について、ご説明します。

 

JIS Q 15001:2017(附属書A)では、各部門及び階層における運用の確認に関して、
以下の通り定めています。

===========================================

<運用の確認(A.3.7.1)>

組織は、個人情報保護マネジメントシステムが適切に運用されていることが組織の各部門及び
階層において定期的に、及び適宜に確認されるための手順を確立し、実施し、かつ、維持しな
ければならない。

………中略………

個人情報保護管理者は、トップマネジメントによる個人情報保護マネジメントシステムの見直
しに資するため、定期的に、及び適宜にトップマネジメントにその状況を報告しなければなら
ない。

===========================================

運用の確認(A.3.7.1)は、セキュリティエリアへの入退室記録やサーバーへのアクセスログ等、
(自社で取り決めた)日常のPMS運用状況を確認することで、問題を早期に発見し是正処置を適切
なタイミングで実施することを目的とした要求事項です。


JIS Q 15001:2006
からの変更点としては、各部門及び階層における運用の確認結果について、
『定期的に、及び適宜にトップマネジメントへ報告すること』が追加されました。

 

そのため、運用の確認結果をトップマネジメントへ報告する基準及び頻度を明確にした上で、
自社PMS規程の手順を見直す必要があります。




JISQ15001:2017の改正に伴い、プライバシーマークの取得事業者さまより、
多くのご相談を頂いております。

そこで、名古屋開場ですが、今年も以下無料セミナーを開催致します。

http://www.meinan.net/seminar/25185/

日程は、
  2019年1月29日(火) 14:30~16:00
  2019年2月 7日(木) 10:00~11:30
  2019年3月13日(水) 14:30~16:00
  2019年4月24日(水) 14:30~16:00
よりお選び頂くことができます。

講師は、JIPDEC認定審査機関である、中部産業連盟の現役審査員がつとめます
ので、具体的に、いつから、何を、どのように対応しなければならないのか
分かりやすく解説いたします。

1月の日程がだいぶ埋まり始めました。参加費無料ですので、お気軽に上記お申込
フォームよりお申込くださいませ。

また、Pマークの改訂を自力でご対応される予定の企業様向けに、集合講座も企画
致しました。

コンサルティング費用の捻出までは難しい・・・、という企業様は、是非こちらにご参加
頂くと、ご担当者様の負担は軽減できるかと思います。

http://www.meinan.net/seminar/25195/
http://www.meinan.net/seminar/25197/

昨年、東京・大阪で大好評だった集合講座を、さらにバージョンアップしております。
名古屋開催ですが、どうぞご参加をご検討ください。




このページのトップヘ