eラーニングマガジンに関するお問合せ、ご質問等は下記までご連絡ください。
eラーニングマガジン編集部

elmag2@nextet.net

特集4 個人情報保護とプライバシーマーク取得の知識(3)

審査で「不適合」とされがちなケース
 他のマネジメントシステム同様に、プライバシーマーク制度の審査は落とすためのものではありません。審査の過程で問題が発見された場合には、なにが問題だったのかが示され、それに対応することによって、短時間で的確にその問題に対処できるのです。
 ただ、審査で「不適格」とされがちなケースとして、権限と責任が不明瞭な組織、情報システムセキュリティが不十分、全従業員の意思統一が不十分、教育・監査の実施計画が不十分、Plan→Do→Check→Action(PDCA)が不十分、コンプライアンス運用の記録証拠が不十分といったケースがあります。
 まず、個人情報を保護するための権限と責任は明確かつ的確でなければなりません。これらが的確でない組織づくりをしていたような場合には、個人情報保護組織が未整備であるとして「不適合」とされてしまいます。また、従業員全員に対する教育手順や、教育・監査の定期的実施計画が不十分である(教育、監査の規定および計画が不十分)ということや、個人情報の秘密の保持、外部からの侵入防止や外部への漏洩防止などの安全上の措置が不十分である(情報システムの物理的および技術的セキュリティが不十分)ということも、不適合なものとして指摘されることの多いケースです。
 苦情窓口がない、あってもそれを外部からわかる状態にしていない。また、問題発生時の連絡体制、処理手順が不明確である(苦情窓口の設置および処理手順が不明確)というのもありがちなケースですし、外部委託業者の選定基準が不十分である。外部委託における契約書に個人情報保護に関する項目がない(外部委託選定基準の策定および個人情報保護に関する契約が不十分)というのもよく見られるケースです。
 そのほかにもよく見られるありがちなケースとして、全社的な取組み姿勢が不十分、記録・証拠が不十分、PDCA が不十分というようなものがあります。
 こうした審査による「不適合」を回避するために、個人情報の取り扱い手順や、文書や記録ないしは安全対策に注意が必要になります。また、個人情報リスクとして、(1) 不正アクセス、(2) 漏洩、(3) 紛失、(4) 破壊、(5) 改ざんの 5種類があり、個別の情報に対してリスクを評価し、物理的、論理的な対処を行い、安全性と正確性を確保しなければなりません。


個人情報保護マネジメントシステム
 現在、わが国では JISQ15001 の要求事項に適合することによるプライバシーマーク制度が「個人情報の保護」にあたっています。この一方で、近い将来、個人情報保護に関する「ISOマネジメント標準化」が実現すれば、プライバシーマーク制度が統合されることが予測されます。この新たなISO標準は、ISO9001(品質マネジメントシステム)やISO14001(環境マネジメントシステム)の普及状況を考え、これらと区別して「個人情報保護マネジメントシステム」と呼び、経営システムの一環としてとらえたほうが合理的でしょう。
 なお、ISOとプライバシーマーク同時取得の効果として、環境経営や顧客満足の重視の経営、信頼される経営を実施することにより、(1) 顧客満足の向上、(2) 業務の改善、(3) 社員の意識改革、(4) 組織力の発揮、(5) 品質・生産性の向上、(6) 企業体質の改善、(7) リスクの軽減、(8) コスト削減、(9) 売上・利益増加などを期待することができます。
 
JIS規格や業界ガイドラインとの関係
 「JISQ15001 個人情報に関するコンプライアンス・プログラムの要求事項」には、コンプライアンス・プログラムが備えていなければならない基本的なことが定義されています。また、各業界団体は、当時の通商産業省の告示した「民間部門における電子計算機処理に係わる個人情報保護ガイドライン」に従った業界固有のガイドラインを策定しているケースがあります。こうした業界では、コンプライアンス・プログラムは、JISQ15001の要求事項と業界固有のガイドラインがそれぞれ求める条件の両方を同時に満足しているものでなければならないということに注意する必要があります。 平成 12年 8月の時点で以下の団体が個人情報保護に係わるガイドラインを策定しておりますので、これらのいずれかの業界に属しておられる方は、この内容にも注意するようにしてください。

業界ガイドライン策定団体
平成12年8月28日現在
旧通産省 の 個人情報保護のガイドライン に基づいて、「業界ガイドライン」を策定している団体は以下のとおりです。
【50音順】 (JIPDECのホームページから団体名を抜粋したもの)
1. 結婚情報サービス協議会
2. サイバービジネス協議会
3. (社)情報サービス産業協会
4. (社)全国学習塾協会
5. (社)全国信販協会
6. 電気事業連合会
7. 電子商取引実証推進協議会
8. 電子ネットワーク協議会
9. (社)日本クレジット産業協会
10. 日本クレジットカード協会
11. 日本コンパクトディスクレンタル商業組合
12. (社)日本ダイレクト・メール協会
13. 日本チェーンストア協会
14. (社)日本通信販売協会
15. (社)日本熱供給事業協会
16. 日本百貨店協会
17. (社)日本マーケティングリサーチ協会


 次回は、プライバシーマーク取得計画の立案とコンプライアンス・プログラム文書作成について説明します。

 
back
 
 

この記事の感想をお寄せください

お名前:
 (省略可)
メールアドレス:
 (省略可)
コメント:


Copyright©2005 Next Education Think.All Rights Reserved.
掲載の文章・画像の無断使用・無断転載を禁止します。
特集1:米国のHRDトレンドと2005年の日本での課題 〜2004年度ASTD Industry Reportからの考察〜
   
特集2:現場の事例で学ぶマネジメント連載 ヒューマン・マネジメントのテクニック2
   
特集3:eラーニングコース体験談 トランスアジア ビジネス英語コースシリーズ
   
特集4:組織の緊急課題への取り組みを支援する連載 個人情報保護とプライバシーマーク取得の知識(3)
(2)