Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.2 法令、国が定める指針その他の規範 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.23(土)

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.2 法令、国が定める指針その他の規範

特集 特集

プライバシーマークやISO27001などの認証取得のコンサルティング業務の
一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column11.html

こんにちは。今回は前回に引き続き、JISQ15001:2006の要求事項を読み解いてみたいと思います。

今回対象とする要求事項は、「3.3.2 法令、国が定める指針その他の規範」です。本要求事項の主旨は、「自社が関連する法規制を明確にし、従業者が参照できるようにしなさい」ということになります。

個人情報保護方針においても、法令遵守を盛り込む必要があるように、Pマーク取得事業者は、関連法規制を遵守しなければなりません。そのためには、まず自社にどのような法規制が関連しているのか、これを明確にしなければなりません。

ここで、明確にする対象を、「法律」だけで良いと思った方、残念ながらそれでは審査の際に指摘を受けてしまうかもしれません。

この要求事項のタイトルをよく見てみましょう。「法令、国が定める指針その他の規範」となっています。

本要求事項で言われているのは法令だけではありません、「国が定める指針」や「その他の規範」も特定の対象になるのです。それらの分類としては、以下のようになると思います。

・法律
・管轄省庁のガイドライン
・加盟団体の指針やガイドライン
・地方自治体の条例

非常に幅が広がりましたね。これらの中から、自社が関連するものを特定しなければならないのです。世の中には想像以上に法律、ガイドライン等がありますから、考えただけでも気が遠くなる作業だと思います。ただ、世の中には便利なWebサイトがあるもので、以下のものを使ってみると効率良く作業ができると思います。

■法令データ提供システム
http://law.e-gov.go.jp/cgi-bin/idxsearch.cgi

このWebサイトは法律を検索することができます。
例えば、キーワードを“個人情報”として検索してみると、条文の中に“個人情報”という文言が含まれている法律がピックアップされます。
その結果からさらに、自社に関連するものを絞り込めば効率的ですね。

■国民生活政策 - 個人情報の保護
http://www5.cao.go.jp/seikatsu/kojin/index.html

このWebサイトからは、個人情報保護法や省庁ガイドラインを見ることができます。これをもとに自社が関連するガイドラインを特定すれば、効率的ですね。

探せば他にも効率良く作業を進めるためのWebサイトがあると思います。ただでさえ大変な作業ですから、このような方法を使って少しでも効率良く実施することをお勧めします。

もし、Pマークの取得にあたり、外部のコンサルタントの力を借りている場合であれば、きっと“お約束”とされているものが含まれているサンプルがあることでしょう。そちらを使えば、あっという間に終わってしまうでしょうね。

このコラム上でも、ぱっと思いつくものを挙げてみましょう。

・個人情報の保護に関する法律
・労働安全衛生法
・職業安定法
・不正アクセス禁止法
・個人情報の保護に関する法律施行令
・雇用管理に関する個人情報の適正な取扱を確保するために事業者が講ずべき
措置に関する指針
・雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項
について
・個人情報の保護に関する法律についての経済産業分野を対象とするガイドラ
イン
・企業年金等に関する個人情報の取扱い準則
・JISQ15001:2006
・確定拠出年金法 等など

●電気通信事業者であれば
「電気通信法」、「電気通信事業における個人情報保護に関するガイドライン」など
●医療法人であれば
「刑法」、「看護師法」、「医療情報システムの安全管理に関するガイドライン」など
●独立行政法人であれば、
「独立行政法人等の保有する個人情報保護に関する法律」など
●行政機関であれば、
「行政機関の保有する個人情報の保護に関する法律」、「国家公務員法」など
●金融分野であれば
「金融分野における個人情報の保護に関するガイドライン」など
他にも、
●JISAに加盟していれば
「情報サービス産業 個人情報保護ガイドライン」
●日本マーケティングリサーチ協会に加盟していれば
「マーケティング・リサーチ産業 個人情報保護ガイドライン」

等など、本当に数多くの 法令、国が定める指針その他の規範が存在します。

独力で特定される場合には、本作業に使える時間も限られているでしょうから、上記のWebサイトを活用しながら特定し、最終的には審査員に過不足をジャッジしてもらいましょう。ここで指摘を受けたとしても、不足分の追記で済みますから、基本的にそれ程大変な作業ではないはずです…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column11.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. ISMS認証とは何か■第1回■

  7. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  10. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×