Pマーク審査基準改定対応コース
2022年1月19日に、個人情報保護法の改正を踏まえた「個人情報保護マネジメントシステム構築・運用指針」(以下、「構築・運用指針」)が公表されました。
(参照) 構築・運用指針と審査基準(2022年4月1日~)/JIPDEC
2022年4月以降に申請した事業者は、新指針・改正法に基づいて審査が行われています。そのため、2022年4月以降に申請を行う事業者様は、新しい審査基準への対応が必須となります。
- 構築・運用指針とは
-
プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針(以下、「構築・運用指針」という。)は、プライバシーマーク制度が、JIS ならびに個人情報保護法へ対応した個人情報保護マネジメントシステムの考え方および具体的な対応などを、事業者様にお示しするものです。
付与事業者様におかれましては、「構築・運用指針」に基づいて、個人情報保護マネジメントシステムの構築・運用をお願いいたします。
(JIPDEC/「審査基準と解説」より)
何をしなければならないのか
①「構築・運用指針」に合わせた社内ルールの追加・修正
プライバシーマークを取得している企業は、2022年1月19日に公表された「構築・運用指針」に合わせて、自社ルールの追加・修正を検討しなければなりません。
ルール変更に伴い、自社文書等の「用語・単語の修正を行う」「新しくルール化した事項を明文化する」などの対応が必要となります。
新たな「構築・運用指針」では、例として、以下の点の変更があり、今までの運用を変更する部分も多くなります。
- 組織の状況やマネジメントシステムの適用範囲への明確な認識が求められる
- リスクアセスメント及びリスク対応の要求事項の一部が変更される
- マネジメントレビューで報告する内容が変更される
②2022年4月施行の改正個人情報保護法への準拠
「構築・運用指針」準拠には、2022年4月施行の改正個人情報保護法への対応も含まれています。
個人情報の改正により企業が対応しなければならないポイントの例として以下が挙げられます。
- 「仮名加工情報」の定義の新設
- 「個人関連情報の第三者提供の制限等」の新設
- 個人情報漏えい時に個人情報保護委員会への報告を義務化
③プライバシーポリシーの改定
2022年4月施行の改正個人情報保護法への対応において、一部プライバシーポリシー等の内容を更新する必要があります。 特に対応項目としては以下のようなものが挙げられます。
- 実施している安全管理措置に関する記載の追加
- 共同利用を行っている場合は、記載項目の一部追加
- 利用目的の記載の詳細化
コンサルティングの流れ
| 実施事項 | 詳細 |
|---|---|
| 既存文書の査読 | 現状の個人情報保護規程及び付随する文書をコンサルタントが確認します。 |
| ルール化する項目の検討 |
|
| 個人情報の取扱いに関するルールの作成、及び修正 |
|
| 運用 |
|
コンサルティング料金
| 事前ヒアリング+文書修正+文書説明(Web会議) | |
|---|---|
| コンサルティング費用 | 40万円(税抜) |
- 文書修正完了まで1~2ヶ月を予定しております。
- 新指針への対応において、文書化する範囲はお客様のご状況を踏まえ都度ご相談させていただきます。
- 文書説明においては、コンサルタントが、2~3時間のお打合せ(Web会議)で、文書の修正箇所をご説明します。
- 審査における新指針に対する審査機関の解釈は適宜変更されます。そのため、指摘事項が出る場合がございます。
- 関東圏・関西圏以外での訪問説明をご希望の場合、別途、交通費を申し受ける場合がございます。
- 情報セキュリティ倶楽部の加入企業様は、上記料金表から10万円(税別)が減額になります。
- LRM株式会社の文書フォーマットに載せ替える場合は、別途10万円(税抜)を申し受けます。
改正個人情報保護法FAQ
Q.個人情報保護法の改正対応への必要性はどのように判断すればいいでしょうか?
個人情報をデータベース化して事業に用いている事業者(個人情報取扱事業者)は対応が必要となります。
該当するデータベースについては、電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)などが挙げられます。
Q.仮名加工情報とは何ですか?
他の情報と照合しない限り、個人を識別できない情報のことを指します。
従来存在していた匿名加工情報よりも条件を緩和したものとなっています。
顧客データの氏名等を削除または仮ID等に置き換えて仮名加工情報とし、①識別行為をしない②内部での分析・利用という条件下であれば、情報の利活用が可能となりました。
Q.保有個人データとなる個人データの対象に関してどのような変更がされましたか?
保存期間に関わらず、保有個人データとみなされるようになりました。
従来は保存期間が6ヶ月に満たない個人データは、保有個人データに当たらないとされていました。
しかし、改正により、上記保存期間の要件がなくなったため、個人データを業務において取り扱っている事業者は保有個人データに関する義務を負う必要があります。
Q.オプトアウトで取得した個人データは利用できなくなりますか?
オプトアウトとは、本人の求めに応じて第三者提供を停止することを条件として、本人の事前の同意なく第三者提供をすることを指します。
今回の改正により、オプトアウトにより取得した個人データについて、利用は可能ですが、さらなる第三者提供はできなくなりました。
第三者提供できる個人データの範囲から対象外となったのは、下記2点です。
- 不正取得された個人データ
- オプトアウト規定により提供された個人データ
Q.個人関連情報にはどのような規制が設けられていますか?
個人情報関連情報とは、個人に関する情報のうち、個人情報や匿名加工情報、仮名加工情報に該当しないものを指し、Webサイトを閲覧した際のCookieや位置情報などが挙げられます。
提供元では個人データに該当しないものの、提供先において個人データとなることが想定される個人関連情報の第三者提供について、本人同意が得られていること等の確認が義務付けられました。
![プライバシーマーク(Pマーク)取得支援コンサルティング|LRM株式会社へのお問合せはTEL:[tel_free_consul] / 受付時間 10:00~18:00(平日)](https://www.lrm.jp/privacy-mark/wp-content/themes/lrm_basic/images/cfTel.png)
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/privacy-mark/wp-content/themes/lrm_basic/images/f_tel.png){kind=small}