正しい食生活・健康・自然食品・伝統食品・食育・食養・ナチュラル・オーガニック他情報を提供します。

特定非営利活動法人全日本健康自然食品協会

特定非営利活動法人 全日本健康自然食品協会

リンク | サイトマップ

 HOME > これまでの会報 > 会報連載記事 > 個人情報の保護法の施行に伴う対策についてvol.3

会報連載記事

個人情報の保護法の施行に伴う対策について(3)

株式会社 創健社 環境管理責任者 福永 安里

前回までは、個人情報保護法そのものを見てきましたが、今月はこの法律を守るための手段を考えてみたいと思います。この法律をクリアするためのひとつの手段が「プライバシーマーク」通称「Pマーク」の認証取得ということになります。ただし、必ずしもPマークを取得しないと、法律違反になるということではありません。Pマークを取得していると、個人情報保護法をクリアしているという認知を得やすいということです。

1.プライバシーマーク制度とは

JISQ15001:1999「個人情報保護に関するコンプライアンス・プログラムの要求事項」に適合したCP(コンプライアンスプログラム:個人情報保護に関わるすべての社内活動)を整備し、個人情報の取扱を適切に行っている事業者を第三者機関である「財団法人 日本情報処理開発協会(JIPDEC)」が評価認定する制度のことです。

その証としてこのようなプライバシーマークというロゴの使用を許可するのがプライバシーマーク制度で1998年より制度化されています。
個人情報の運用に関し、一般に個人情報保護法よりプライバシーマーク制度の方が、基準が高いのが特徴です。

2.JISQ15001「個人情報保護に関するコンプライアンス・プログラムの要求事項」とは

文字通りJIS(日本工業規格)でISO9001やISO14001の日本語版JISQ9001、JISQ14001等と同様のマネジメントシステム規格です。ただし、9000,140001等と異なりISOの規格ではなく、日本の独自規格です。(規格構造はISO14001によく似ています)

中身は1.適用範囲 2.引用規格 3.定義となっていてCPの要求事項は4.項からです。概略は次の通りです。(「〜しなければならない。」と書かれているので要求事項と呼ばれています)

4.1 一般要求事項
事業者はCPを策定、実施、維持、改善しなければならない(以下〜と表記。)

4.2 個人情報保護方針
事業者の代表者はa)〜d)の事項を含む個人情報保護方針を定め、実行、維持。方針を文書化し、全従業員に周知、一般の人が入手可能な措置を講じ〜
a)適切な個人情報の収集、利用及び提供
b)不正アクセス、紛失、破壊、改ざん及び漏洩などの予防並びに是正
c)法令及びその他の規範を順守
d)CPの継続的改善

4.3 計画
個人情報を特定するための手順を確立・維持〜。個人情報に関するリスクを認識〜
法令及びその他の規範を特定し、参照できる手順の確立、維持〜
・個人情報を保護するための内部規定を策定、維持〜
・内部規定を遵守するために必要な教育、監査などの計画を立案、文書化、維持〜

4.4 実施及び運用
体制及び責任:CPを効果的に実施するための役割、責任、及び権限を定め文書化し全従業員に周知〜
収集の原則:個人情報の収集は目的を明確に定め、必要限度内で行わ〜。
収集方法の制限:適法、かつ公正な手段によって収集〜
特定の機微な個人情報の収集の禁止:思想、宗教、人種、保健医療などの内容を含む個人情報の収集、利用又は提供は行ってはならない
情報主体から直接収集する場合の措置:個人情報を直接収集する場合は、収集目的や取扱についての内容を書面などによって通知し、承諾を得〜。
情報主体以外から間接的に収集する場合の措置:いくつかの場合を除き直接収集する場合と同様に内容を書面などによって通知し、承諾を得〜
個人情報の利用及び提供に関する措置:目的範囲内の利用及び提供。範囲外の利用及び提供を行う場合は書面等による通知、承諾を得〜
個人情報の適正管理義務:必要な範囲内において、正確、かつ最新の状態で管理。リスクに対して合理的な安全対策を講じる。個人情報を預託する場合は契約によって保護水準を担保〜。
個人情報に関する情報主体の権利:本人の求めに応じ開示、訂正、削除及び利用又は提供の停止を〜
教育:事業者は関連する各部門及び階層においてその従業員に、次の事項を自覚させる手段を確立、維持〜
 a)CPに適合することの重要性及び利点
 b)CPに適合するための役割及び責任。
 c)CPに違反した際に予想される結果
苦情及び相談:個人情報及びCPに関して、情報主体からの苦情及び相談を受付対応〜
CP文書:書面などでCPの基本となる要素を記述〜

4.5 監査
事業者は、CPが規格要求事項と合致していること、及び運用状況を定期的に監査〜
監査責任者は、監査を指揮し、監査報告書を作成し、代表者に報告〜
代表者は、監査報告書を管理し、保管〜

4.6 事業者の代表者による見直し
代表者は、監査報告書及びその他の経営環境などに照らして、適切な個人情報の保護を維持するために、定期的にCPを見直〜。
となっています。

従って、この規格要求事項を満足すれば、個人情報保護法をクリアできると仕組みになっています。次回はこの要求事項を満たす具体的な手順について述べてみたいと思います。

次号へつづく