Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.5内部規程、3.3.6計画書 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.24(金)

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.5内部規程、3.3.6計画書

特集 特集

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column15.html

こんにちは。今回はシリーズとなっている、JISQ15001:2006の要求事項解釈の続きです。

今回対象とする要求事項は、3.3.5内部規程、3.3.6計画書です。順番だと、本当は3.3.4資源、役割、責任および権限になりますが、第12回目のコラムで解説済みですので割愛させてもらいます。

さて、本題に戻りますが、まず、3.3.5内部規程の要求事項です。本要求事項は非常にシンプルで、以下a)〜o)を規定化することを要求しています。

a)個人情報を特定する手順に関する規定
b)法令、国が定める指針その他の規範の特定、参照および維持に関する規定
c)個人情報に関するリスクの認識、分析及び対策の手順に関する規定
d)事業者の各部門および階層における個人情報を保護するための権限、および
責任に関する規定
e)緊急事態への準備および対応に関する規定
f)個人情報の取得、利用および提供に関する規定
g)個人情報の適正管理に関する規定
h)本人からの開示等の求めへの対応に関する規定
i)教育に関する規定
j)個人情報保護マネジメントシステム文書の管理に関する規定
k)苦情および相談への対応に関する規定
l)点検に関する規定
m)是正処置および予防処置に関する規定
n)代表者による見直しに関する規定
o)内部規程の違反に関する罰則の規定

「規定化」と言っていますので、これらa)〜o)は文書にしないといけませんね。名称については特に制限がなく、「○○規程」、「○○手順書」、「○○細則」どのようなものでも構いません。また、必ずしも分冊にする義務はなく、一冊の規程の中にそれぞれの項目が含まれている状態でも構いません。

a)〜o)のうち、a)〜n)はJISQ15001の要求事項に関連しているため、個々の要求事項を文書化していけば、自動的に文書化されます。ただし、o)については該当する要求事項がないため、うっかり文書化することを忘れないように注意しましょう。

o)は罰則の規定ですから、自社のルールや法を犯した人を罰するための社内ルールを作成することになります。内容としては、以下のものが含まれると思われます。

・罰則に該当する事象の説明
⇒どのような事象を罰則規程により処置するのかの説明
・罰則に該当する(該当すると思われる)事象の情報を集める一時窓口を決定する。
⇒罰則に該当する事象は、いつ、誰が発見するかわかりません。これらの情報を集約する窓口を決めておきましょう。
・詳細を調査する手順
⇒集められた情報が事実なのか、影響範囲はどれくらいなのか、原因は何かなど、詳細を調査する手順を作ります。この際“誰が担当するのか”をはっきり決めるのがポイントです。
・罰則処置を決定する手順
⇒就業規則に則って決めるのが多いと思います。その際、就業規則の何条によって決定するのか、参照先を明確にしておきましょう。
・使用する様式
⇒一連の情報をどの様式に記入するのか、明確にしておきます。

 続きまして、3.3.6計画書の要求事項です…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column15.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  8. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  9. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×