このエントリーをはてなブックマークに追加 LINEで送る

「Pマーク規格をわかりやすく解読する」シリーズの4回目は、引き続き「A.3.3 計画」について見て行きたいと思います。

※今回利用する「Pマーク規格」とは、JIS Q 15001:2017を指します。
※用語の定義は、JIS Q 15001:2017によります。

「A.3.3 計画」については少々長くなりますので、前編、中編、後編に分けて解説しています。

今回は「A.3.3.3 リスクアセスメント及びリスク対策」から「A.3.3.4 資源、役割、責任及び権限」に関するお話になりますが、A.3.3.1やA.3.3.2に関する内容をご希望の方は、前編をご確認ください。

A.3.3.3 リスクアセスメント及びリスク対策

ここでは、“A.3.3.1【個人情報の特定】”で特定した個人情報に対し、

  1. 利用目的の範囲内で取り扱うために、必要な対策をとる手順を確立すること
  2. 個人情報の取扱いについてリスク管理を行っていくこと

以上の2点が求められています。

1.では、目的外利用を行わないようにすることが求められていますが、ここでの目的外利用とは、組織内部の目的外利用だけでなく、情報漏えいなどによって目的外利用されることも含まれます。個人情報を使用する際に、利用目的の範囲内であるかどうかを確認するといった目的外利用を行わないための対策手順を作っていきましょう。

2.では、“A.3.1.1【個人情報の特定】”で特定した個人情報の取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄といった、個人情報の取扱いの一連の流れの各局面における「リスクの特定」、「リスクの分析」、「リスクの対策」を考えていくことが必要です。

例えば、『携帯電話』だとどうでしょう。

業務で取り扱っている個人情報を含んだ携帯電話から、個人情報を目的外利用するといった「リスクの特定」、法令などに対して違反するといった「リスクの分析」、目的外利用を行わないように社内教育を徹底するといった「リスクの対策」を行います。

対策を考える際は、対応すべき優先順位をもとに、現状取ることのできる最善の対策と、未対応部分となった残留リスクを継続して管理していく対策をしっかりと考慮しましょう。

「現状取ることのできる最善の対策」とは、経済面や技術面など、組織の持つ資源を使って実施することのできる対応のことです。「残存リスクを継続して管理していく対策」とは、現状で対応しきれなかったリスクを放置せず、組織が運用の中でリスクを把握するためのルール作りなどといった対応のことです。

また、”A.3.3.4【資源、役割、責任及び権限】”でも触れますが、トップマネジメントによって、社会情勢の変化など、日々変わりゆくリスクを認識し、しっかりと対策を取ることのできる人に管理、運用の権限を与えることも一つのリスク管理です。

A.3.3.4 資源、役割、責任及び権限

トップマネジメントには、個人情報保護マネジメントシステムを運用するために必要なヒト、モノ、カネの分配を行う責任があります。

JIS Q 15001:2006では、「不可欠な資源を用意」することが書かれていましたが、JISQ 15001:2017では、「個人情報マネジメントシステムの確立、実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない」と定めています。

管理策で最低限求められている責任及び権限は、

  • 個人情報保護管理者
  • 個人情報保護監査責任者

となっています。

個人情報保護管理者と個人情報保護監査責任者を決める際、以下はNG行為となりますので注意しましょう。

  • 個人情報保護管理者と個人情報保護監査責任者を兼任する
  • 社長、会社法上の監査役が個人情報保護監査責任者になる

また、個人情報保護管理者、個人情報保護監査責任者だけでなく、個人情報マネジメントシステムの運用に必要な人員を考慮し、組織の体制を整備していかなければなりません。

具体的には、以下のような人員が考えられます。

  • システム管理者
    • 社内システムなどを管理する責任者です。
    • Pマークの申請時に社内システムに一番詳しい人として求められます。
  • 事務取扱担当者
    • 社内でマイナンバーを取扱う人です。
    • 「特定個人情報取扱責任者」、「マイナンバー取扱責任者」なども事務取扱担当者に該当します。
  • 相談窓口責任者
    • 組織の相談窓口への苦情・相談及び開示請求に対応する責任者です。
  • 内部監査員
    • 個人情報保護監査責任者をサポートします。
このエントリーをはてなブックマークに追加 LINEで送る

Pマーク規格をわかりやすく解読する【A.3.3 計画(中編)】

カテゴリー: 規格解説

「Pマーク規格をわかりやすく解読する」シリーズの4回目は、引き続き「A.3.3 計画」について見て行きたいと思います。

※今回利用する「Pマーク規格」とは、JIS Q 15001:2017を指します。
※用語の定義は、JIS Q 15001:2017によります。

「A.3.3 計画」については少々長くなりますので、前編、中編、後編に分けて解説しています。

今回は「A.3.3.3 リスクアセスメント及びリスク対策」から「A.3.3.4 資源、役割、責任及び権限」に関するお話になりますが、A.3.3.1やA.3.3.2に関する内容をご希望の方は、前編をご確認ください。

A.3.3.3 リスクアセスメント及びリスク対策

ここでは、“A.3.3.1【個人情報の特定】”で特定した個人情報に対し、

  1. 利用目的の範囲内で取り扱うために、必要な対策をとる手順を確立すること
  2. 個人情報の取扱いについてリスク管理を行っていくこと

以上の2点が求められています。

1.では、目的外利用を行わないようにすることが求められていますが、ここでの目的外利用とは、組織内部の目的外利用だけでなく、情報漏えいなどによって目的外利用されることも含まれます。個人情報を使用する際に、利用目的の範囲内であるかどうかを確認するといった目的外利用を行わないための対策手順を作っていきましょう。

2.では、“A.3.1.1【個人情報の特定】”で特定した個人情報の取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄といった、個人情報の取扱いの一連の流れの各局面における「リスクの特定」、「リスクの分析」、「リスクの対策」を考えていくことが必要です。

例えば、『携帯電話』だとどうでしょう。

業務で取り扱っている個人情報を含んだ携帯電話から、個人情報を目的外利用するといった「リスクの特定」、法令などに対して違反するといった「リスクの分析」、目的外利用を行わないように社内教育を徹底するといった「リスクの対策」を行います。

対策を考える際は、対応すべき優先順位をもとに、現状取ることのできる最善の対策と、未対応部分となった残留リスクを継続して管理していく対策をしっかりと考慮しましょう。

「現状取ることのできる最善の対策」とは、経済面や技術面など、組織の持つ資源を使って実施することのできる対応のことです。「残存リスクを継続して管理していく対策」とは、現状で対応しきれなかったリスクを放置せず、組織が運用の中でリスクを把握するためのルール作りなどといった対応のことです。

また、”A.3.3.4【資源、役割、責任及び権限】”でも触れますが、トップマネジメントによって、社会情勢の変化など、日々変わりゆくリスクを認識し、しっかりと対策を取ることのできる人に管理、運用の権限を与えることも一つのリスク管理です。

A.3.3.4 資源、役割、責任及び権限

トップマネジメントには、個人情報保護マネジメントシステムを運用するために必要なヒト、モノ、カネの分配を行う責任があります。

JIS Q 15001:2006では、「不可欠な資源を用意」することが書かれていましたが、JISQ 15001:2017では、「個人情報マネジメントシステムの確立、実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない」と定めています。

管理策で最低限求められている責任及び権限は、

  • 個人情報保護管理者
  • 個人情報保護監査責任者

となっています。

個人情報保護管理者と個人情報保護監査責任者を決める際、以下はNG行為となりますので注意しましょう。

  • 個人情報保護管理者と個人情報保護監査責任者を兼任する
  • 社長、会社法上の監査役が個人情報保護監査責任者になる

また、個人情報保護管理者、個人情報保護監査責任者だけでなく、個人情報マネジメントシステムの運用に必要な人員を考慮し、組織の体制を整備していかなければなりません。

具体的には、以下のような人員が考えられます。

  • システム管理者
    • 社内システムなどを管理する責任者です。
    • Pマークの申請時に社内システムに一番詳しい人として求められます。
  • 事務取扱担当者
    • 社内でマイナンバーを取扱う人です。
    • 「特定個人情報取扱責任者」、「マイナンバー取扱責任者」なども事務取扱担当者に該当します。
  • 相談窓口責任者
    • 組織の相談窓口への苦情・相談及び開示請求に対応する責任者です。
  • 内部監査員
    • 個人情報保護監査責任者をサポートします。
Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする