Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.2 法令、国が定める指針その他の規範 | ScanNetSecurity
2024.05.08(水)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.2 法令、国が定める指針その他の規範

プライバシーマークやISO27001などの認証取得のコンサルティング業務の
一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

特集 特集
プライバシーマークやISO27001などの認証取得のコンサルティング業務の
一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column11.html

こんにちは。今回は前回に引き続き、JISQ15001:2006の要求事項を読み解いてみたいと思います。

今回対象とする要求事項は、「3.3.2 法令、国が定める指針その他の規範」です。本要求事項の主旨は、「自社が関連する法規制を明確にし、従業者が参照できるようにしなさい」ということになります。

個人情報保護方針においても、法令遵守を盛り込む必要があるように、Pマーク取得事業者は、関連法規制を遵守しなければなりません。そのためには、まず自社にどのような法規制が関連しているのか、これを明確にしなければなりません。

ここで、明確にする対象を、「法律」だけで良いと思った方、残念ながらそれでは審査の際に指摘を受けてしまうかもしれません。

この要求事項のタイトルをよく見てみましょう。「法令、国が定める指針その他の規範」となっています。

本要求事項で言われているのは法令だけではありません、「国が定める指針」や「その他の規範」も特定の対象になるのです。それらの分類としては、以下のようになると思います。

・法律
・管轄省庁のガイドライン
・加盟団体の指針やガイドライン
・地方自治体の条例

非常に幅が広がりましたね。これらの中から、自社が関連するものを特定しなければならないのです。世の中には想像以上に法律、ガイドライン等がありますから、考えただけでも気が遠くなる作業だと思います。ただ、世の中には便利なWebサイトがあるもので、以下のものを使ってみると効率良く作業ができると思います。

■法令データ提供システム
http://law.e-gov.go.jp/cgi-bin/idxsearch.cgi

このWebサイトは法律を検索することができます。
例えば、キーワードを“個人情報”として検索してみると、条文の中に“個人情報”という文言が含まれている法律がピックアップされます。
その結果からさらに、自社に関連するものを絞り込めば効率的ですね。

■国民生活政策 - 個人情報の保護
http://www5.cao.go.jp/seikatsu/kojin/index.html

このWebサイトからは、個人情報保護法や省庁ガイドラインを見ることができます。これをもとに自社が関連するガイドラインを特定すれば、効率的ですね。

探せば他にも効率良く作業を進めるためのWebサイトがあると思います。ただでさえ大変な作業ですから、このような方法を使って少しでも効率良く実施することをお勧めします。

もし、Pマークの取得にあたり、外部のコンサルタントの力を借りている場合であれば、きっと“お約束”とされているものが含まれているサンプルがあることでしょう。そちらを使えば、あっという間に終わってしまうでしょうね。

このコラム上でも、ぱっと思いつくものを挙げてみましょう。

・個人情報の保護に関する法律
・労働安全衛生法
・職業安定法
・不正アクセス禁止法
・個人情報の保護に関する法律施行令
・雇用管理に関する個人情報の適正な取扱を確保するために事業者が講ずべき
措置に関する指針
・雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項
について
・個人情報の保護に関する法律についての経済産業分野を対象とするガイドラ
イン
・企業年金等に関する個人情報の取扱い準則
・JISQ15001:2006
・確定拠出年金法 等など

●電気通信事業者であれば
「電気通信法」、「電気通信事業における個人情報保護に関するガイドライン」など
●医療法人であれば
「刑法」、「看護師法」、「医療情報システムの安全管理に関するガイドライン」など
●独立行政法人であれば、
「独立行政法人等の保有する個人情報保護に関する法律」など
●行政機関であれば、
「行政機関の保有する個人情報の保護に関する法律」、「国家公務員法」など
●金融分野であれば
「金融分野における個人情報の保護に関するガイドライン」など
他にも、
●JISAに加盟していれば
「情報サービス産業 個人情報保護ガイドライン」
●日本マーケティングリサーチ協会に加盟していれば
「マーケティング・リサーチ産業 個人情報保護ガイドライン」

等など、本当に数多くの 法令、国が定める指針その他の規範が存在します。

独力で特定される場合には、本作業に使える時間も限られているでしょうから、上記のWebサイトを活用しながら特定し、最終的には審査員に過不足をジャッジしてもらいましょう。ここで指摘を受けたとしても、不足分の追記で済みますから、基本的にそれ程大変な作業ではないはずです…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column11.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

JPRS、PowerDNS Recursor の DoS 攻撃が可能になる脆弱性に注意喚起 画像

JPRS、PowerDNS Recursor の DoS 攻撃が可能になる脆弱性に注意喚起
データスコープ社製の顔認証カメラに脆弱性 画像

データスコープ社製の顔認証カメラに脆弱性
Windows カーネルドライバの IOCTL 処理にアクセス制御不備の脆弱性 画像

Windows カーネルドライバの IOCTL 処理にアクセス制御不備の脆弱性
TvRock にサービス運用妨害(DoS)と CSRF の脆弱性 画像

TvRock にサービス運用妨害(DoS)と CSRF の脆弱性
NETGEAR 製ルータにバッファオーバーフローの脆弱性 画像

NETGEAR 製ルータにバッファオーバーフローの脆弱性
RoamWiFi R10 に複数の脆弱性 画像

RoamWiFi R10 に複数の脆弱性

インシデント・事故 記事一覧へ

法人間決済サービスの UPSIDER で利用可能枠やメールアドレス情報が記載されたメール誤送信 画像

法人間決済サービスの UPSIDER で利用可能枠やメールアドレス情報が記載されたメール誤送信
護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分 画像

護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分
「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に 画像

「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に
メディキットホームページに不正アクセス、閲覧障害に 画像

メディキットホームページに不正アクセス、閲覧障害に
セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性 画像

セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ 画像

ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

調査・レポート・白書・ガイドライン 記事一覧へ

Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」 画像

Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」
ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート(2024.1Q)」公表 画像

ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート(2024.1Q)」公表
社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査 画像

社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査
国立国会図書館 調査及び立法考査局「令和 6 年能登半島地震への対応」総括、ソーシャルメディアの功罪も 画像

国立国会図書館 調査及び立法考査局「令和 6 年能登半島地震への対応」総括、ソーシャルメディアの功罪も
「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢 画像

「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢
日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版 画像

日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

研修・セミナー・カンファレンス 記事一覧へ

脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説 画像

脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説
ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向 画像

ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向
SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感 画像

SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感
トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催 画像

トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催
札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料 画像

札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談 画像

スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

製品・サービス・業界動向 記事一覧へ

経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視 画像

経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視
外務省、偽情報の拡散を含む情報操作への対応を公表 画像

外務省、偽情報の拡散を含む情報操作への対応を公表
「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応 画像

「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応
KELA、生成 AI セキュリティソリューション「AiFort」提供開始 画像

KELA、生成 AI セキュリティソリューション「AiFort」提供開始
NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供 画像

NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供
脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供 画像

脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×