2019年8月6日
今回は、「Pマーク(プライバシーマーク)の取得及び運用する際に必ず必要となる記録類」について詳しくお話しさせて頂きます。
記録とは、
①個人情報の特定
②法令、国が定める指針その他の規範
③リスクなどの認識、分析及び対策
④委託先の記録
⑤教育
⑥監査
⑦事業者の代表者の見直し
の7つのことを言います。では、細かく見てみましょう。
①個人情報の特定とは?
簡単にいうと、事業で使用している個人情報を特定することです。
多くの会社で使用されているのが、「個人情報管理台帳」というもので、事業で使用された個人情報を特定したものを台帳にしたものです。個人情報を整理、管理するためのものでもあります。
例えば、採用の際に取得する「履歴書」や「職務経歴書」などが挙げられます。
その項目の「利用目的」「保管場所」「保管方法(鍵付きキャビネットなど)」「管理者」「利用期限」「件数(概算)」を台帳に記入していきます。紙で使用するものだけでなくデータで管理しているものもここに記載しておきましょう。
②法令、国が定める指針その他の規範とは?
ここでは、事業者の自らの業務に関わる範囲の個人情報に関する法令を特定しなければなりません。
そして、改正されればその最新版を維持していきます。
「その他の規範」とは、業界のガイドラインや顧客の要求のことを言いますので、ここには法令のみを特定していくものではありません。
③リスクなどの認識、分析及び対策
ここでは、①個人情報の特定(個人情報管理台帳)との関連性が必要とされます。
①で特定された個人情報の各局面のリスク(漏えい、き損、法令の違反など)を認識し、リスクを起こさない為の対策をしていきます。
リスクを漏れなく洗い出すためには、個人情報の取得から廃棄までの流れに基づいて、対策を講じいくことが必要です。
取得から廃棄について分かりにくい方は、自身のお仕事の流れを想像してみてください。
人材派遣業界の方の場合、1つの例として挙げます。
まず、登録しに来られた方の履歴書をいただく(取得)
→それを自社サーバーに打ち込む(入力)
→履歴書は鍵付きのキャビネットに保管しておく(保管)
→その方のデータを派遣先の企業にメールで送る(送信)
→辞めることになった方の履歴書はシュレッダーで廃棄する(廃棄)
という一連の流れとなる。
この、取得から廃棄までで起こるであろうリスクを考えないといけない。
だが、対策をするにも費用面、業務効率が犠牲となることがあるだろう。
その際には、無理に対策をするのではなく、現状で講じるべき対策を講じた上で未対応の部分を「残存リスク」として把握し、対策していかなければいけません(対策不可能なことまでは対策はしなくてよい)。
④委託先の監督
ここでは、個人情報の取扱いを委託する場合は、十分な個人情報の保護基準を満たしている者を選定しなければいけません。
ですが、人材派遣契約は個人情報の取扱いの委託には含まれず、要求事項の対象外なのです。
また、清掃事業者、機器のメンテナンス事業者、警備会社等との契約も個人情報の取扱いがない限りは対象外に当たります。
ただし、個人情報に触れる可能性かある委託先に関しては、立ち入る範囲を定めたり、守秘義務を盛り込んだ契約を交わしたりすることが望ましいですね。
⑤教育
教育は、すべての従業員に実施しなければいけません。
直接に個人情報の取扱いをしていない部署であっても、実施義務があります。
教育では集合教育、eラーニングなど事業者にとってやりやすい方法で行えばよいです。
教育は少なくとも年1回、必ず実施しなければいけませんのでお忘れなく。
⑥監査
監査とは、“個人情報マネジメントシステムと適合したマニュアルが作成できているか”、“このマニュアルに乗っ取った運用ができているか”を確認するものです。
全部門の監査が必要ですので少し大変な作業となりますね。
この監査の責任者でもある個人情報保護監査責任者になれるのは、客観的な立場にあるものを内部の中から指名した人です。
なので、個人情報保護責任者、代表者(社長)はなることが出来ません。
そして、客観的なという観点から自分が所属している部署監査を行うこともできません。ここは間違いやすいので注意しておきましょう。
そして監査も少なくとも年1回必ず実施しなければいけないのでお忘れなく。
⑦事業者の代表者の見直し
事業者の代表者は定期的にマネジメントシステムを見直さなければいけない。
監査で出た指摘の確認や、外部からの苦情への対応についても言及することがある。
検討結果次第では、今後の事業計画への影響も考えられるため、経営判断が求められることがある場合もあります。
なので、ただ日々を改善するというものとは次元が異なること知っていていただきたいです。
最後に
いかがでしたか。
7つの記録の要素、1つ1つ並べてみるとつながっているものが多々ありますので、「整合性」が求められます。
記録を作成する際は「整合性」を確認しながら作成していくと良いですね。
今回は以上で「Pマーク(プライバシーマーク):Pマーク(プライバシーマーク)の取得及び運用する際に必ず必要となる記録類」のお話を終わらせていただきます。
\ お問い合わせフォームはこちら /
WEBお問い合わせ
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ