2019年7月8日
今回はPマーク(プライバシーマーク)の規格要求事項である「3.3.2 法令、国が定める指針その他の規範」についてお話しさせていただきます。
Pマーク新規取得、更新の流れ
Pマーク(プライバシーマーク)を新規取得、更新するまでの流れは下記の通りです。
①個人情報の洗い出し
②法令一覧の見直し
③リスク分析の見直し
④委託先の評価
⑤従業員の個人情報保護教育
⑥監査
⑦代表者による見直し
今回は②法令一覧の見直しに関してのお話です。
「法令、国が定める指針その他の規範」について
まず「法令、国が定める指針その他の規範」とはなんでしょうか。
Pマーク(プライバシーマーク)の規格であるJIS Q 15001には、「事業者は,個人情報の取扱いに関する法令,国が定める指針その他の規範を特定し参照できる手順を確立し,かつ,維持しなければならない。」といった記述があります。
「法令」
法律や地方自治体が定める条例など
「国が定める指針」
法律ではないが、国が定めて、事業者が遵守しなければならない通達や指針など
「その他の規範」
国や事業者が所属する業界団体などが定めるガイドラインなど
これらのことが該当します。
個人情報保護方針においても、法令遵守を盛り込む必要があるように、Pマーク(プライバシーマーク)取得事業者は、関連法規制を遵守しなければなりません。
そのためには、まず自社にどのような法規制が関連しているのか、これを明確にしなければなりません。
要求事項で言われているのは法令だけではありません。
「国が定める指針」や「その他の規範」も特定の対象になります。
事業者が独自に法令を特定
規格では、個人情報を取り扱うに当たって参照し、守らなければならない法令等を事業者が独自に特定することを求めています。
つまり、事業者が自らの業務に関連のある範囲で参照すべき法令等を特定するということです。
例えば、保険事業をしていれば、「保険法」が当てはまりますし、印刷系の事業をしている、かつJIS Q 15001に準じているのであれば、「印刷産業のための個人情報保護の手引き」が必要になります。
また、派遣系の事業をしていれば、「派遣元事業主が講ずべき措置に関する指針」や、「職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が均等待遇、労働条件等の明示、求職者の個人情報の取り扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対処するための指針」など、これらに準ずる法令が適用されます。
事業に応じて必要な法令を特定しましょう。
法律や条令の変更にも対応しましょう
法令等の特定をした後は、「参照できる手順を確立し,かつ,維持しなければならない。」という要求事項があります。
法律や条令は変わりますよね??
条例が変更されたとすると、参照するものも変更しなければなりません。
ですからここでは「特定をして、常に最新版が見られるような手順を決めてください。」 ということが求められているということです。
例えば、「管理者は毎年●●月に必要に応じ見直しを行い、制定・改版状況を確認し、最新版を維持管理する。制定・廃止状況に応じて法令を管理している帳票に反映し、代表者に承認を得る」こちらが手順になります。
最近ではマイナンバー制度が施行されたので「番号法及び特定個人情報ガイドライン」を新しく追記する必要があります。見直しはきちんとできていますか??
なぜこの順番なのか?
「3.3.2 法令、国が定める指針その他の規範」は、なぜ個人情報の特定の後、リスク分析の前に置かれているのでしょう?
それは個人情報の特定の結果によって遵守すべき法令や指針が異なり、また個人情報取扱上のリスクの一つとして法令違反が挙げられる場合があります。
従って、時系列として個人情報の特定の後でリスク分析の前になります。
例えば、お問い合わせフォームで個人情報を聞くような場合を想定します。
規格では 「3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置」に基づけばよく、利用目的が本人に対して通知または公表されていれば、同意を得ることは不要です。
ところが、自社の主務官庁や所属する業界団体が発行するガイドラインなどにおいて、お問い合わせフォームでの個人情報の取得においては、HP上で利用目的を通知 し、HP上で同意を得ることを求めていた場合、それに従うことが必要です。
もし、あらかじめこれらのガイドラインの内容を理解しておくことができなければ同意を得ない、という大きなリスクを抱えることになります。
このように、個人情報に関わるリスク分析を実施する上では、事業者が遵守すべき「法令、国が定める指針その他の規範」を特定し、その内容を理解しておくことが重要になります。
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ