このエントリーをはてなブックマークに追加 LINEで送る

「Pマーク規格をわかりやすく解読する」シリーズの3回目は、「A.3.3 計画」について見て行きたいと思います。

※今回利用する「Pマーク規格」とは、JIS Q 15001:2017を指します。
※用語の定義は、JIS Q 15001:2017によります。

なお、「A.3.3 計画」については少々長くなりますので、前編、中編、後編に分けて解説していこうと思います。

A.3.3.1 個人情報の特定

ここでは、組織内の業務で取り扱っている個人情報、つまり、保護する個人情報を具体的に把握することが求められます。

最低でも、具体的に把握するために、

  • 項目
  • 利用目的
  • 保管場所
  • 保管方法
  • アクセス権を有する者
  • 利用期限
  • 保管期間

などを取りまとめて台帳に記載することが求められています。

「利用期限」とは個人情報の利用の期限であり、「保管期間」とは個人情報を保管する期間のことです。「年末調整が終わるまで利用」、「保管期間は5年」などと定める必要があります。

なお、組織の中で取り扱う個人情報は、個人情報データベース等で管理される場合、すべて「個人データ」として取り扱われることになります。規格中に「個人データ」という言葉が出てきたら「組織の取り扱っている個人情報」と置き換えて読んでいただけるとよりわかりやすくなります。

個人情報は、原則として生存する人の情報であり、死者の情報は含まれません。しかし、例えば『遺族などといった死者の情報に関わりのある人が、死者の情報が流出することで命の危険にさらされる』といった場合などは、死者の情報であっても個人情報と同様に取り扱うことが望ましいです。

A.3.3.2 法令、国が定める指針その他の規範

ここでは、組織の事業に関わりのある法令、国が定める指針その他の規範を遵守していくことが求められています。

そのために、まずはこれら法令を特定することが求められています。

JIS Q 15001:2006からの変更は特にありませんが、個人情報保護法が改正されたことにより、国の体制が大きく変わりました。

個人情報保護法の改正前は、個人情報取扱事業者に対する監督権限は、各分野の主務大臣が持っていましたが、改正後、個人情報保護委員会にそれらの監督権限が移され、一元化されました。

これにより、各分野の主務大臣がそれぞれガイドラインを出していた際に発生していた「政府発行のガイドライン一覧に掲載漏れが起こる」といったような問題は解消されました。

また、最新の法令やガイドラインなどは、個人情報保護委員会が公表している情報を確認することで得ることが出来るようになりました。

特定する法令等は、個人情報に関するものだけでなく、組織の業務に関わりのある法令等も特定する必要があります。

このエントリーをはてなブックマークに追加 LINEで送る

Pマーク規格をわかりやすく解読する【A.3.3 計画(前編)】

カテゴリー: 規格解説

「Pマーク規格をわかりやすく解読する」シリーズの3回目は、「A.3.3 計画」について見て行きたいと思います。

※今回利用する「Pマーク規格」とは、JIS Q 15001:2017を指します。
※用語の定義は、JIS Q 15001:2017によります。

なお、「A.3.3 計画」については少々長くなりますので、前編、中編、後編に分けて解説していこうと思います。

A.3.3.1 個人情報の特定

ここでは、組織内の業務で取り扱っている個人情報、つまり、保護する個人情報を具体的に把握することが求められます。

最低でも、具体的に把握するために、

  • 項目
  • 利用目的
  • 保管場所
  • 保管方法
  • アクセス権を有する者
  • 利用期限
  • 保管期間

などを取りまとめて台帳に記載することが求められています。

「利用期限」とは個人情報の利用の期限であり、「保管期間」とは個人情報を保管する期間のことです。「年末調整が終わるまで利用」、「保管期間は5年」などと定める必要があります。

なお、組織の中で取り扱う個人情報は、個人情報データベース等で管理される場合、すべて「個人データ」として取り扱われることになります。規格中に「個人データ」という言葉が出てきたら「組織の取り扱っている個人情報」と置き換えて読んでいただけるとよりわかりやすくなります。

個人情報は、原則として生存する人の情報であり、死者の情報は含まれません。しかし、例えば『遺族などといった死者の情報に関わりのある人が、死者の情報が流出することで命の危険にさらされる』といった場合などは、死者の情報であっても個人情報と同様に取り扱うことが望ましいです。

A.3.3.2 法令、国が定める指針その他の規範

ここでは、組織の事業に関わりのある法令、国が定める指針その他の規範を遵守していくことが求められています。

そのために、まずはこれら法令を特定することが求められています。

JIS Q 15001:2006からの変更は特にありませんが、個人情報保護法が改正されたことにより、国の体制が大きく変わりました。

個人情報保護法の改正前は、個人情報取扱事業者に対する監督権限は、各分野の主務大臣が持っていましたが、改正後、個人情報保護委員会にそれらの監督権限が移され、一元化されました。

これにより、各分野の主務大臣がそれぞれガイドラインを出していた際に発生していた「政府発行のガイドライン一覧に掲載漏れが起こる」といったような問題は解消されました。

また、最新の法令やガイドラインなどは、個人情報保護委員会が公表している情報を確認することで得ることが出来るようになりました。

特定する法令等は、個人情報に関するものだけでなく、組織の業務に関わりのある法令等も特定する必要があります。

Author: hakuta
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする