2019年7月26日
今回は、Pマーク(プライバシーマーク)の新規取得や、取得後の運用の際に必ず必要となる「法令・国が定める指針その他の規範」について詳しくお話しさせて頂きます。
Pマーク(プライバシーマーク)の要求事項
Pマーク(プライバシーマーク)の要求事項は下記のように記されています。
「事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない」
この要求事項の概要としては、事業者は、個人情報保護方針で「法令、国が定める指針その他の規範を遵守する」と宣言したように、個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守しなければなしません。
したがって、事業者の自らの業務に関連のある範囲で、個人情報の取扱いに関する法令、国が定める指針その他の規範の制定・改廃状況に注意し、常に最新版を維持・参照する手順を定め、それを実施している必要があります。
つまり、「自社が関連する法規制を明確にし、従業者が参照できるようにしなさい」ということです。
そのためにはまず、「自社にどのような法規制が関連しているのか?」ということを明確にしなくてはなりません。
明確にする対象は「法律」だけではない?
ここで、明確にする対象が「法律」だけでよいと思った方、残念ながらそれでは審査で指摘を受けてしまします。
要求事項は「法令、国が定める指針その他の規範」となっています。
つまり「法令」だけではないのです。「国が定める指針」や「その他の規範」も特定の対象なのです。
つまり、「法令」「管轄省庁のガイドライン」「加盟団体の指針やガイドライン」「地方自治体の条例」4つの特定が必要になるのです。
この4つの中から、自社が関連するものを特定しなければならいのです。
世の中には想像以上に法律、ガイドライン等がありますから、しんどいですよね。
ここで審査の着眼点として下記の法令は必ず必須とされています
・「個人情報の保護に関する法律」(平成15年5月)
・「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
・「雇用管理分野における個人情報保護に関するガイドライン」
・「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項」
特定漏れがあった方は今すぐ、法令一覧に特定しましょう!
事業ごとに当てはまる法令やガイドラインの特定
次は事業ごとに当てはまる法令やガイドラインの特定ですね。
業界や事業により、適用される法令や、ガイドラインは様々です。
例えば、派遣事業でしたら、「派遣元事業主が講ずべき措置に関する指針」があげられます。
メルマガ等の配信事業でしたら「特定電子メールの送信の適正化等に関する法律」が、ネット販売、通信販売の事業では「特定商取引に関する法律」が当てはまります。
また、事業所が置かれている都道府県、市町村によって当てはまる法令は異なってきます。
例えば、東京都新宿と大阪府大阪市に事業所を置かれている会社ですと東京都の条例にある「東京都個人情報の保護に関する条例」と大阪府の「大阪府個人情報保護条例」と大阪市の「大阪市個人情報保護条例」の三つを洗い出して管理しなければなりません。
ですので、自分の会社の事業や事業所が置かれている都道府県、市町村に合わせて、必要な法令等をピックアップしておきましょう!
一度法令を特定すれば終わり、ではない?
さて、特定が終わればその結果を台帳等にまとめ、従業者が閲覧できるようにするだけです。
しかしPマーク(プライバシーマーク)では一度法令を特定すれば終わり!ではないのです。
もう一度要求事項の確認してみましょう。
「事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない」
最後の文言に注目です。そう、維持しなければいけません。
つまり、法令を見直して改正されていたら、最新版に更新しなければいけないのです。
ではどのようにして法令を見直していけばよいか?
基本的には、特定された法令に関して一ずつ見直していく必要があります。
Pマーク(プライバシーマーク)認証機関のJIPDEC(ジプデック)がガイドラインや指針に関してHPにて公表していることもありますが、事業者が置かれている都道府県、市町村の条例に関しては各ホームページで確認するのが必要になってきます。
先ほども話した通り、事業者ごとに参照すべき法令も異なってくるため、必要に応じて業界の関連法令を確認できるようにしておく必要があります。
基本的には年に一回、見直し月を定め、法令やガイドラインが改正されていないかどうかを確認します。
改正されていたら直近の改正日を記録として残しておくのが良いでしょう。
弊社では、
・特定した法令の名称
・法令の発行元・参照場所となるURL
・直近の改正日
上記三つの項目で法令を記録・管理しております。
そうすることで、見たい法令のサイトにすぐにアクセスができ、改正日もすぐに確認できます。
また、よく「法令を遵守している= Pマーク(プライバシーマーク)を取得できる」と認識されている方がいますが、それは大きな間違いです。
確かにPマーク(プライバシーマーク)の要求事項であるJISQ(ジスキュー)15001:2006は個人情報保護法の影響を受けている面もありますし、Pマーク(プライバシーマーク)取得に必要な法令に含まれていますが、個人情報保護法とPマーク(プライバシーマーク)異なるものです。気を付けましょう!
まとめ
最後に法令の見直しはとても大変ですが、Pマーク(プライバシーマーク)を運用していくためだけでなく、会社運営においても重要な事項です。
できるだけ定期的な見直しをしていくことおすすめします。
\ お問い合わせフォームはこちら /
WEBお問い合わせ
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ