Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.22(金)

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう

特集 特集

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column09.html

こんにちは。今回からシリーズとして、JISQ15001要求事項の解説をやっていきたいと思います。
初回は「要求事項番号3.2 個人情報保護方針」です。

解説に入る前に、要求事項そのもののおさらいをしておきましょう。Pマークを取るためには個人情報保護の規程を作る必要があります。その規程は、JISQ15001というJIS規格で要求されている内容を含む必要があります。従って、Pマークを取るためにはJISQ15001の内容を理解し、規格が要求していることを自社規程に含めなければなりません。

さて、規格要求事項番号の3.2番は、「個人情報保護方針」というタイトルです。

その名の通り、ここでは自社の個人情報保護方針を作ることを要求しています。そして要求事項を実現するにあたり、気をつけるポイントは3つあります。

まず1つ目として、方針にはJISQ15001で要求されている以下6つの内容を含める必要があります。

1.事業の内容及び規模を考慮した適切な個人情報の取得、利用、提供を行う旨
2.関連法規制を遵守する旨
3.個人情報の漏えい、滅失、き損の防止と是正に取り組む旨
4.苦情、相談に対応する旨
5.個人情報保護マネジメントシステムを継続的に改善する旨
6.代表者の氏名

これら1.〜6.について、具体的にどのような文言で書けばよいのかと悩むようであれば、既にPマークを取得している他社の方針を参考にしてみるのもよいでしょう。

続いて、2つ目のポイントは、方針を作るのは事業者の代表者のお仕事ということです。規格の本文を読んでみると、「事業者の代表者は〜」と始まっていることもあり、方針は事業者の代表者の考え方・意向を反映させることを要求しています。

3つ目のポイントは、完成した方針の社内・社外への公表です。せっかく作った方針を、たんすの肥やしにしてしまっては意味がありません。JISQ15001でも、以下のように公表することを要求しています。“従業者に周知させるとともに、一般の人が入手可能な措置を講じなければならない”皆様は方針をどのように公表しますか?社内への周知であれば、以下のような手段が考えられますね。

・社内の壁に貼る
・グループウェアに掲示する
・カードにして、社員証ケースに入れる
・毎朝唱和する
・入社時教育のカリキュラムに方針の解説を組み込む

一般への公表であれば、以下のような手段でしょうか。

・ホームページに掲載する(大部分の企業がこれですね)
・壁に貼る(個人相手の商売をしていれば、この手もよいかもしれません)
・依頼があった時にすぐ発送できるようにしておく
(HPがなければ、これもよいかもしれません)

個人情報保護方針についての要求事項は、以上になります。
ポイントをまとめると、以下のようになります。

・JISQ15001で明記されている6つの項目を含める必要がある
・事業者の代表者が作る必要がある
・社内と一般へ公表する

その他の注意事項ですが…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column09.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. ISMS認証とは何か■第1回■

  7. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  10. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×