正しい食生活・健康・自然食品・伝統食品・食育・食養・ナチュラル・オーガニック他情報を提供します。

特定非営利活動法人全日本健康自然食品協会

特定非営利活動法人 全日本健康自然食品協会

リンク | サイトマップ

 HOME > これまでの会報 > 会報連載記事 > 個人情報の保護法の施行に伴う対策についてvol.6

会報連載記事

個人情報の保護法の施行に伴う対策について(6)

株式会社 創健社 環境管理責任者 福永 安里

個人情報を適正に管理するためには、以下のような事柄が必要(あくまでも概要ですので念のため)ですが、最初にすることは個人情報の特定と言うことになります。(既に前号までに記載していることは省略していますので、個人情報保護方針の策定などは省いています。)

1.個人情報の特定

(1) 個人情報の調査
組織が保有する個人情報を特定するために、顧客情報や社員情報、その他利害関係者情報などをそれらが保管されている可能性のある媒体をシラミ潰しに調べて個人情報を洗い出します。
調査する媒体
a)電子媒体:共通サーバー、個人デスクトップPC、携帯電話、ノートパソコン、フロッピーディスク、CD、DVD、フラッシュメモリーなど
b)紙媒体(紙、ファイル):キャビネット、個人机、手帳(個人)、外部(情報提供した場合)

(2) リスクアセスメント
(1)で調査した個人情報についてリスク分析を行います。
a)リスク内容は、
 機密性(公開、社外秘、秘密、機密)、
 完全性(情報が不完全な場合に情報主体又は事業への影響が小、中、大)、
 可用性(個人情報が利用できない事態になってもしばらく許容できる、短時間なら許容できる。1分も許容できない)を評価し、その最大値を個人情報の資産価値(重要性)とします。
b)脅威の内容を調査し、その大きさ(影響度)を評価します。
c)脆弱性の状態を調査し、その程度を評価します。
d)a)〜c)の結果によりリスク(不正アクセス・不正利用・紛失・盗難・損傷・改竄・漏洩・流出など)の内容を明らかにします。

資産価値が低くても脅威及び脆弱性が高ければ保護対策が必要であるとみなし、リスク受容基準を超えるリスクは対策(管理策)が必要であると判定します。

(3) リスクの認識
特定されたリスク、とりわけリスク受容基準を超えた対策(管理策)の必要なリスクに対しては、教育により全社員にその認識をさせます。

2.法的及びその他の規範

個人情報に関するその他の規範には何があるかを網羅的に調査し、個人情報に関係するものを特定しますが、前月号をご覧下さい。

3.社内規定

次に事業内容及び実情に応じて、個人情報の保護がより効果的に実施できるように、社内規定の作成若しくは改訂をします。
a) 各部門及び階層における個人情報を保護するための責任・権限に関する規定
b) 個人情報の収集・利用・管理に関する規程
c) 情報主体からの個人情報に関する開示・訂正・削除に関する規程
d) 個人情報保護の教育に関する規程
e) 個人情報保護の内部監査に移管する規定
f) 内部規定の違反に対する罰則の規定など

4.教育

それらの規定を遵守するために全社員を対象に、個人情報に関する次のような教育を実施します。
a) 個人情報の重要性に対する自覚
b) 遵守の利点と逸脱したときに予想される結果
c) 個人情報を管理する役割と責任
d) 社内規定及び関連法令
e) 最近の技術情報
f) 技能講習
g) その他

5.苦情及び相談

個人情報に関する苦情及び相談があった場合の対応、並びに個人情報の管理に不具合があった場合の対応を決めておきます。
(1) 緊急事態への対応
(2) 苦情への対応
(3) 相談への対応
(4) 是正処置(再発防止)
(5) 予防処置(未然防止)

6.内部監査

個人情報を管理し、保護するために、
 a) マニュアルや規定がJISQ15001の要求事項に合致しているか
 b) 実施運用状況がマニュアルや規定に合致しているか
 c) 関連法令に合致(遵守)しているか
を判定するために内部監査を実施します。

(1) 監査の計画
 内部監査は、全社員・全業務・全部門を対象に実施
(2) 監査員
 監査員教育を履修し、監査が実施できる能力を認められたもの
(3) 監査の準備
 チェックリストを用意する
(4) 監査の実施
 インタビュー、状況の観察、記録の点検、文書レビュー、データ分析、外部からの情報、サーバー及びウェブの点検
(5) 監査のまとめ
 関係者全員を集めてクロージングミーティングを開き、指摘事項の内容確認及び是正処置の取扱を決定するとともに、監査全体の所見を述べる。
(6) 監査の報告
 管理者に報告するとともにトップに報告する。
(7) 指摘事項の是正処置
 是正処置が必要な指摘事項は、処置をする。

7.代表者による見直し

組織の代表者は、個人情報が適切に管理され保護されるために、マニュアルや規定(帳票様式を含む)を定期的に点検、見直しします。
この結果は、記録紙、処置事項は実施に移すとともに、社内関係者に周知し、指示をします。

★以上T〜Zまでが構築、実施、維持できればPマークの認証を申請し、審査を受けるという手順になります。実務的にはマニュアル及び手順書の作成が作業として入ってきますし、個人情報の特定方法も様々なやり方があると思われますので、あくまでもひとつの例だと言うことでご承知いただきたく存じます。

要領を得ない文章内容で、ご理解しづらい面が多々あったこととは存じますが、今回をもちまして「個人情報の保護法の施行に伴う対策について」は終了させていただきます。

長い間ありがとうございました。

トップへ