2020年5月15日
「テレワーク中にコロナになったら?コロナで考えるA.3.3.7について」
「A.3.3.7緊急事態への準備」の項番を「テレワーク期間にもし自分がコロナウイルスに感染してしまったら?」という事例にからめてご説明したいと思います!
Pマーク(プライバシーマーク)の「A.3.3.7緊急事態への準備」の項番で規格要求として求められているのは下記の内容になります。
JIS Q 15001(プライバシーマーク):2017年度版要求事項 引用
“組織は、緊急事態を特定するための手順、及び、特定した緊急事態にどのように対応するかの手順を確立し、実施し、かつ、維持しなければならない。
組織は、個人情報保護リスクを考慮し、その影響を最小限とするための手順を確立し、かつ、維持しなければならない。
また、組織は、緊急事態が発生した場合に備え、次の事項を含む対応手順を確立し、かつ、維持しなければならない。
a)漏えい、滅失又はき損が発生した個人情報の内容を本人に速やかに通知するか、又は本人が容易に知り得る状態に置くこと。
b)二次被害の防止、類似事案の発生の回避などの観点から、可能な限り事実関係、発生原因及び対応策を、遅延なく公表すること。
c)事実関係、発生原因及び対応策を関係機関に直ちに報告すること”
JISQ15001:2017要求事項 引用
簡単に、Pマーク(プライバシーマーク)の「A.3.3.7緊急事態への準備」とはどのような内容なのかを説明致しますと「個人情報に関する事故を起こしてしまった時の手順を整えておくこと」ということです。
個人情報に関する事故を起こしてしまった時に、その影響を最小限にするための手順を定めなければなりません。
「手順」とはどういった内容なのか、今回は3つのポイントでご説明していきます!
1つ目は、「事故を発生させてしまった個人情報の内容を本人に通知することについて」
まず、緊急事態(漏えい等の事故)が発生した個人情報の内容を本人にすぐに知らせる、本人が知れる状態にすることが求められています。
コロナウイルスに感染した場合で考えてみましょう。
例えば、私が友人のAさんと外食に行ったとします。
そして、翌日私がコロナに感染していたことが発覚しました。
その時に、友人のAさんに「自分はコロナに感染してしまっていたのでもしかしたらAさんに移してしまっているかもしれない」ということを伝えなければならないということです。
正直、自分がコロナウイルスに感染していたなんて言いにくいですよね。
個人情報に関する事故を起こしてしまった場合でも同様です。
あなたの個人情報を漏洩させてしまいました!なんて本人に伝えたらどんなことを言われるか、、、など考えたらその事実や内容を隠してしまいたくなることもあるかと思います。
ですが、それはいけないことです。
そのため漏洩等の事故を起こしてしまった場合は、かならずその本人に内容をすぐに知らせる、本人が知れる状態にすることが求められます。
2つ目は、「二次被害、類似の事例の発生の防止、対応策について」
事故が起こったしまった場合、二次被害の防止、類似の事例が発生することを回避するためにできる限り、事故の発生してしまった原因と対応策を速やかに公表することが求められています。
例えば、もしコロナウイルスに感染していることが発覚してしまった場合、どこに行って何をしたのか、誰とあったのか、どこから感染してしまったのか?ということを突き詰める必要があります。
そうすることで、感染源が、あるビルということであればそのビルを消毒し、感染者を増やさないようにすることも可能ですし、関わった人には早急に検査に行ってもらえれば、新たな感染の拡大を防ぐことにつなげることができます。
そういった観点から、個人情報に関する事故を起こしてしまった場合も被害を拡大させないよう、また同様の事故を起こさないように、原因はなんなのか?を考え、その上で、対応策をとる必要があります。
ここではそのための手順を事前に整えておくことが求められています。
3つ目は、「事故の発生を報告することについて」
1つ目と何が違うのか?と思う方もいらっしゃるかもしれないです。
1つ目のポイントは、「漏洩させてしまった個人情報の持ち主」に対してその事実を通知しないといけないということでしたが、こちらは本人以外の、社内や社外に事故が発生したことを報告しないといけないということです。
まとめ
事故が起こった際には社内、社外どちらも誰に、どこに報告をするのかを前もって決めておく必要があります。
社内であれば、会社の社長や個人情報保護管理者等へ、社外であれば、警察や個人情報についてのお問い合わせの管轄でもある個人情報保護委員会等、関係各所への報告する必要があります。
Pマーク(プライバシーマーク)を取得していたら、JIPDEC(日本情報経済社会推進協会)への事故報告もしなければいけません!
弊社ではもしコロナウイルスに感染していることが発覚してしまったらその場合の対応方法のフローがございます。
だれに連絡して、その後の対応はどうするのか等を明確にすることで、慌てることなくすぐに対応することができます。
いかがでしたでしょうか?
今回は「テレワーク期間にもし自分がコロナウイルスに感染してしまったら?」をテーマに、Pマーク(プライバシーマーク)の「A.3.3.7緊急事態への準備」についてお話させて頂きました!
皆様もコロナウイルスにはお気をつけくださいませ!
Pマーク認証パートナーは、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。
■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム
■とにかくうちの場合はどうすればいいの?という方
無料ZOOM相談予約
最後までお読みいただき、ありがとうございました。
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!相談予約は
こちらから
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ