Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

Pマーク(プライバシーマーク)で要求される法令について

2019年7月26日

今回は、Pマーク(プライバシーマーク)の新規取得や、取得後の運用の際に必ず必要となる「法令・国が定める指針その他の規範」について詳しくお話しさせて頂きます。

Pマーク(プライバシーマーク)の要求事項

Pマーク(プライバシーマーク)の要求事項は下記のように記されています。
「事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない」

この要求事項の概要としては、事業者は、個人情報保護方針で「法令、国が定める指針その他の規範を遵守する」と宣言したように、個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守しなければなしません。

したがって、事業者の自らの業務に関連のある範囲で、個人情報の取扱いに関する法令、国が定める指針その他の規範の制定・改廃状況に注意し、常に最新版を維持・参照する手順を定め、それを実施している必要があります。

つまり、「自社が関連する法規制を明確にし、従業者が参照できるようにしなさい」ということです。
そのためにはまず、「自社にどのような法規制が関連しているのか?」ということを明確にしなくてはなりません。

明確にする対象は「法律」だけではない?

ここで、明確にする対象が「法律」だけでよいと思った方、残念ながらそれでは審査で指摘を受けてしまします。

要求事項は「法令、国が定める指針その他の規範」となっています。
つまり「法令」だけではないのです。「国が定める指針」や「その他の規範」も特定の対象なのです。

つまり、「法令」「管轄省庁のガイドライン」「加盟団体の指針やガイドライン」「地方自治体の条例」4つの特定が必要になるのです。

この4つの中から、自社が関連するものを特定しなければならいのです。
世の中には想像以上に法律、ガイドライン等がありますから、しんどいですよね。

ここで審査の着眼点として下記の法令は必ず必須とされています

・「個人情報の保護に関する法律」(平成15年5月)
・「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
・「雇用管理分野における個人情報保護に関するガイドライン」
・「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項」

特定漏れがあった方は今すぐ、法令一覧に特定しましょう!

事業ごとに当てはまる法令やガイドラインの特定

次は事業ごとに当てはまる法令やガイドラインの特定ですね。

業界や事業により、適用される法令や、ガイドラインは様々です。

例えば、派遣事業でしたら、「派遣元事業主が講ずべき措置に関する指針」があげられます。
メルマガ等の配信事業でしたら「特定電子メールの送信の適正化等に関する法律」が、ネット販売、通信販売の事業では「特定商取引に関する法律」が当てはまります。

また、事業所が置かれている都道府県、市町村によって当てはまる法令は異なってきます。

例えば、東京都新宿と大阪府大阪市に事業所を置かれている会社ですと東京都の条例にある「東京都個人情報の保護に関する条例」と大阪府の「大阪府個人情報保護条例」と大阪市の「大阪市個人情報保護条例」の三つを洗い出して管理しなければなりません。

ですので、自分の会社の事業や事業所が置かれている都道府県、市町村に合わせて、必要な法令等をピックアップしておきましょう!

一度法令を特定すれば終わり、ではない?

さて、特定が終わればその結果を台帳等にまとめ、従業者が閲覧できるようにするだけです。

しかしPマーク(プライバシーマーク)では一度法令を特定すれば終わり!ではないのです。

もう一度要求事項の確認してみましょう。
「事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない」

最後の文言に注目です。そう、維持しなければいけません。
つまり、法令を見直して改正されていたら、最新版に更新しなければいけないのです。

ではどのようにして法令を見直していけばよいか?
基本的には、特定された法令に関して一ずつ見直していく必要があります。

Pマーク(プライバシーマーク)認証機関のJIPDEC(ジプデック)がガイドラインや指針に関してHPにて公表していることもありますが、事業者が置かれている都道府県、市町村の条例に関しては各ホームページで確認するのが必要になってきます。

先ほども話した通り、事業者ごとに参照すべき法令も異なってくるため、必要に応じて業界の関連法令を確認できるようにしておく必要があります。

基本的には年に一回、見直し月を定め、法令やガイドラインが改正されていないかどうかを確認します。
改正されていたら直近の改正日を記録として残しておくのが良いでしょう。

弊社では、

・特定した法令の名称
・法令の発行元・参照場所となるURL
・直近の改正日

上記三つの項目で法令を記録・管理しております。
そうすることで、見たい法令のサイトにすぐにアクセスができ、改正日もすぐに確認できます。

また、よく「法令を遵守している= Pマーク(プライバシーマーク)を取得できる」と認識されている方がいますが、それは大きな間違いです。

確かにPマーク(プライバシーマーク)の要求事項であるJISQ(ジスキュー)15001:2006は個人情報保護法の影響を受けている面もありますし、Pマーク(プライバシーマーク)取得に必要な法令に含まれていますが、個人情報保護法とPマーク(プライバシーマーク)異なるものです。気を付けましょう!

まとめ

最後に法令の見直しはとても大変ですが、Pマーク(プライバシーマーク)を運用していくためだけでなく、会社運営においても重要な事項です。
できるだけ定期的な見直しをしていくことおすすめします。

\ お問い合わせフォームはこちら /
WEBお問い合わせ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。