ISOマネジメント研究所では、ISO9001,ISO14001,ISO27001,ISO45001,Pマーク等の第三者
認証の取得・維持のための支援をしています。2001年9月に創業し、中小企業をメインに支援
企業は1000社以上あります。お客様のリピート契約率は、約8割です。単なる認証取得および
維持だけにとどまらず、組織や従業員にとって役に立つ仕組みづくりを支援いたします。
プライバシーマークの審査基準(プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針)が改定されました。
2023年9月に改正されたJIS Q 15001:2023(個人情報保護マネジメントシステム-要求事項)の内容を踏まえ、改定されました。
適用開始は、2024年10月1日からなり、それまでは、現行版(2022年4月28日改定版)が審査基準となります。
・プライバシーマーク審査基準改定
https://privacymark.jp/news/system/2023/1225.html
Pマーク(プライバシーマーク)審査基準対応版!!
改正個人情報保護法にも対応!!
プライバシーマークの構築・運用指針及び改正個人情報保護法に対応したサンプル文書(雛形)を有料にて、ワードファイルで提供中です。
サンプル文書中にある規定文書及び様式は提供しておりませんが、JISQ15001:2017にも完全対応しています。
一部の見本を以下に表示します。
・個人情報保護マニュアル(抜粋)
※上記見本には、一部の記載のみですが、実際の提供商品には、目次の項目すべてが記載されています。
※外部及び内部課題の特定におけるサンプル様式(内容例記載)をマニュアル購入者に進呈中です。
提供価格:27,500円(税込)
購入方法:
1.本ホームページのお問い合わせにて、購入のご連絡をお願い致します。
「個人情報保護マニュアル」購入と明記下さい。
2.メールが届き、確認次第、ご入金口座をお知らせ致します。
3.メールに添付した御請求書に記載のある口座に、ご入金をお願い
致します。※なお、振り込み手数料については、ご負担頂けますようお願い致します。
4.ご入金が確認でき次第、Eメールにて納品致します。
※また、納品したファイルが開けない、破損している場合は、その旨をご連絡下さい。
交換致します。その他ご質問等は、本ホームページのお問い合わせにてお願い致します。
注意事項:
1.本商品(個人情報保護マニュアル)を転売する等の商用利用※を禁止致します。
※商用利用とは、顧客等へのコンサルツールの利用も含みます。
2.本商品(個人情報保護マニュアル)にあるサンプル文例は、
あくまでもサンプルですので、実際の文面は、必ず自社にあったものをお書きください。
3.個人(顧問を含む)やコンサルタント事業者様、士業様には、
ご購入は、ご遠慮頂いております。
Pマーク内部監査チェックリストのサンプル雛形(適合監査と運用監査※)を編集可能なエクセルデータで提供しています。※運用監査は管理部門がサンプルとして記載があります。
Pマーク内部監査チェックリスト(抜粋)
提供価格:22,000円(税込)
提供するファイルには、現行版の審査基準に対応したすべての項目が入っております。
購入方法:
1.本ホームページのお問い合わせにて、「Pマーク内部監査チェックリスト購入」と
明記の上、購入のご連絡をお願い致します。
2.メールが届き、確認次第、ご入金口座をお知らせ致します。
3.メールに添付した御請求書に記載のある口座に、ご入金をお願い致します。
※なお、振り込み手数料については、ご負担頂けますようお願い致します。
4.ご入金が確認でき次第、Eメールにて納品致します。
※また、納品したファイルが開けない、破損している場合は、その旨をご連絡下さい。
交換致します。
その他ご質問等は、本ホームページのお問い合わせにてお願い致します。
注意事項:
1.本商品(Pマーク内部監査チェックリスト)を転売する等の商用利用を禁止致します。
2.本商品(Pマーク内部監査チェックリスト)は、あくまでもサンプルですので、実際のチェック
事項は、必ず自社にあったものをお書きください。
3.個人(顧問を含む)やコンサルタント事業者様、士業様には、ご購入は、ご遠慮頂いて
おります。
改正個人情報保護法では、個人情報の漏えい、滅失(紛失)、毀損(改ざん)が発生し、以下に該当した場合に、法令で求められている対応を取ることが必要です。
・要配慮個人情報の漏えい等
・経済的な損失を伴うこととなるおそれのあるようなデータ
の漏えい等
・不正の目的をもって行われたおそれがある漏えい等
(不正アクセス)
・1000人分を超える漏えい等
漏えい等とは、漏えい、滅失(紛失)、毀損(改ざん)をいいます。以下、具体的な手順を示します。
なお、プライバシーマークでの審査機関(JIPDEC等)への報告は、各審査機関のフローに基づき実施が必要です。原則、1名分の氏名が漏えい(紛失)した場合でも報告が必要です。
個人情報漏えい等発生時の報告及び通知の仕方(例)
| 個人情報保護委員会等への報告 | 本人への通知 | |
| 実施者 | 個人情報管理責任者 | 個人情報管理責任者もしくは該当部門の責任者 |
| 報告・通知期限 | ①速報 知った後速やかに(概ね3〜5日) ②確報 知った後30日以内(但し、不正アクセスの場合は60日以内) | 知った後速やかに(但し、本人への通知を行うことで生じる弊害等を勘案して判断) |
| 報告・通知の内容 | ①概要 ②漏えい等が発生し、又は発生したおそれがある個人データの項目 ③漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数 ④原因 ⑤二次被害又はそのおそれの有無及びその内容 ⑥本人への対応の実施状況 ⑦公表の実施状況 ⑧再発防止のための措置 ⑨その他参考となる事項 | ①概要 ②漏えい等が発生し、又は発生したおそれがある個人データの項目 ③原因 ④二次被害又はそのおそれの有無及びその内容 ⑤その他参考となる事項 |
| 報告・通知の方法 | メール | 郵送もしくはメール |
上記の手順を含めた以下のようなサンプル文書を有償提供しています。
購入特典として、個人情報保護委員会等の外部機関へ報告を行う際に、必要となる「サンプル報告書」を進呈致します。
事故緊急時対応規定(抜粋)
提供価格:16,500円(税込)
購入方法:
1.本ホームページのお問い合わせにて、「事故緊急時対応
規定」と明記の上、購入のご連絡をお願い致します。
2.メールが届き、確認次第、ご入金口座をお知らせ致します。
3.メールに添付した御請求書に記載のある口座に、ご入金を
お願い致します。
※なお、振り込み手数料については、ご負担頂けますよう
お願い致します。
4.ご入金が確認でき次第、Eメールにて納品致します。
※また、納品したファイルが開けない、破損している場合は、その旨
をご連絡下さい。交換致します。
その他ご質問等は、本ホームページのお問い合わせにてお願い致し
ます。
注意事項:
1.本商品(事故緊急時対応規定)を転売する等の
商用利用を禁止致します。
2.本商品(事故緊急時対応規定)は、
あくまでもサンプルですので、実際のチェック事項は、
必ず自社にあったものをお書きください。
3.個人(顧問を含む)やコンサルタント事業者様、士業様には、
ご購入は、ご遠慮頂いております。
改正個人情報保護法における改正事項の一つに、保有個人データに関する公表事項ついて追加となっている事項があります。
上記の赤字事項が該当するものです。
これらは、実務的には、自社ホームページでのプライバシーポリシー等で明確にすることが一般的です。具体的にどのような文言を示したらよいか、以下、通則ガイドラインに示されている文言を記載します。
(基本方針の策定)
事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定
(個人データの取扱いに係る規律の整備)
事例)取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人データの取扱規程を策定
(組織的安全管理措置)
事例1)個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者及び当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備
事例2)個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施
(人的安全管理措置)
事例1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施
事例2)個人データについての秘密保持に関する事項を就業規則に記載
(物理的安全管理措置)
事例1)個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施
事例2)個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施
(技術的安全管理措置)
事例1)アクセス制御を実施して、担当者及び取り扱う個人情報データベース等の範囲を限定
事例2)個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入
(外的環境の把握)
事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施
参照:
個人情報の保護に関する法律についてのガイドライン(通則編)
この他、本人への開示を行う方法が、書面から本人が請求した方法(電子ファイルでの提供等)に変更となり、第三者提供した場合の記録の開示も対象となりますので、このことの記載があるプライバシーポリシー(個人情報の取り扱い)は見直す必要があります。
実際に、プライバシーポリシー(個人情報の取り扱い)は、Pマークの審査では、よく指摘を受ける項目です。
プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針との整合性も確認しながら、ホームページに掲載するプライバシーポリシー(個人情報の取り扱い)を整備する必要があります。
新しくプライバシーマークの構築・運用指針が公表されましたが、注意が必要な箇所として「J.1.1 組織及びその状況の理解」があります。
指針の内容としては、「個人情報保護マネジメントシステムに影響を与えるような外部及び内部の課題を特定すること」とあり、留意事項には、新たにこんな記載があります。
“個人情報保護マネジメントシステムに影響を与えるような課題の把握とは、個人情報の取扱いに関する法令、国が定める指針その他の規範、個人情報マネジメントシステムの確立、実施、維持及び継続的改善に必要な資源(人員・組織基盤・資金)、セキュリティ対策等の観点から、現状のみならず、将来実施するであろう事業を踏まえて洗い出すことを求めている”
洗い出すことを求めていますから、個人情報の洗い出しをする際に、様式を用いて行ったように、いくつかの観点を通した分析結果を残すことが必要だと考えられます。
ここでは、記録の要求は明示的にはありませんが、実質的には、記録を残すことを求めていると思われます。
また、この外部及び内部の課題の把握は、あとに出てくる「J.3.1.2リスク及び機会に対処する活動」と密接な関係がありますので、この箇所との紐付けも必要となります。
実際に、どのようなことを外部及び内部の課題として特定するのか、組織としての取り組み方は、どうするのか、部門毎に行ってみるのか、事務局主導で行うのか等、決めかねる組織もあるかと思います。
少しでも具体的に理解し、運用の手助けになるように外部及び内部の課題の特定におけるサンプル様式(内容例記載)を「個人情報保護マニュアル」の購入者に、進呈中です。
ISOとは何かをマンガでわかりやすくしました。
ご希望の方にさしあげます。
お問い合わせページよりお申し込みください。
10,000円(税別)で販売中(お問い合わせからお申し込みください)
無料進呈中!
お問い合わせページよりお申し込みください。
