PowerPoint プレゼンテーション

JIS Q 15001 2006年版
プライバシーマークへの更新について
平成**年**月**日
株式会社 *****
個人情報保護教育責任者
1.プライバシーマーク制度とは?
個人情報保護に関する日本工業規格JIS Q 15001 2006 (2006年度版)に適合した、個人情報
保護マネジメントシステム(PMS)を整備し、個人情報の取り扱いを適切に行っている企業を評
価・認定しその証としてプライバシーマークの使用を許諾する制度
【当社】
プライバシーマーク取得(200*/6)
JISQ15001:1999
個人情報保護法
(2005/4施行)
JISQ15001:2006
法規制
新JISプライバシーマークへ更新
(~200*/*)
1
2.マネジメントシステム
国際規約ISO Guide72(2001年)に規定されたマネジメントシステムを作成する基準
Plan(計画)
体制整備
(方針・目標設定・ルール・責任権限)
Action(見直し)
Do(実行)
確認した事項を見直して
計画のインプットにする
計画のアウトプット通りに運用
Check(確認)
計画時に決められた通りに実行しているか?
決めたルールは有効か?
PDCAサイクルをスパイラル的に継続していくことにより、
事業者の管理能力を高める。
2
JISQ15001:2006におけるPDCAサイクル
P(計画)
D(実施)
3.2個人情報保護方針
3.3 計画
3.3.1 個人情報の特定~
3.3.7 緊急事態への準備
スパイラルアップで
継続的改善
A(見直し)
3.9 事業者の代表者による見直し
3.4.1 運用手順
3.4.2 取得、 利用及び提供に関する原則
3.4.2.1 利用目的の特定~
3.4.2.8 提供に関する措置
3.4.3 適正管理
3.4.3.1 正確性の確保~
3.4.3.4 委託先の監督
3.4.4 個人情報に関する本人の権利
3.4.4.1 個人情報に関する権利 ~
3.4.4.7 開示対象個人情報の利用
又は提供の拒否権
3.4.5 教育
3.5 個人情報保護マネジメントシステ
ム文書
3.5.1 文書の範囲~3.5.3 記録の管理
3.6 苦情及び相談への対応
C(点検)
3.7点検
3.7.1 運用の確認~3.7.2 監査
3.8 是正処置及び予防処置
3
3.個人情報保護マネジメントシステムの重要性・利点
1.「個人情報保護法」遵守の有効な指針
2.一段高いレベルの個人情報保護水準を確立
=対外的なアピール(適切な個人情報保護を実現している)企業として社会的認知
3.「会社法」「日本版SOX法」の法令順守・内部統制のための体制整備
4
4.個人情報マネジメントシステム違反の影響
…莫大な損害に繋がる恐れ
社会問題化
数十万、数百万人規模の被害者
具体例
個人情報漏洩事故裁判例 (平成14 年7月最高裁判
決)
京都の宇治市から、住民基本台帳約21 万8 千件分が
盗まれ、名簿業者に転売された。犯人は、市からシステム
開発業務を請け負った企業の再々委託先(孫請)アルバ
イト従業員だったが、被害者のうち3 人は「プライバシーを
侵害された」として、市に対して損害賠償請求訴訟を提訴。
最高裁まで争ったが、一人当たりの賠償金15000 円で
市の敗訴が決定。
万が一この中の1 万人が訴えたら?
→15000 円×1 万人=1 億5000 万円の賠償金!
漏えいした企業は・・・
多額の損害賠償責任
社会的信用失墜
当社は・・・
プライバシーマークを取得し、PMSを構築し、継続的に回していくことで個人情報
の漏えいは一切行いません。
PMS違反は就業規則に基づき懲戒処分とします。
5
5.個人情報マネジメントシステムへの取り組み
個人情報とは?
「生存する個人に関する情報であって、当該情報に含まれる氏名、生
年月日その他の記述により特定の個人を識別することができるもの」
個人情報に該当する例
住所録、アドレス帳、名刺など
個人情報に該当しない例
死者の情報(遺族に関係しないもの)、アンケートの統計情報
留守時の伝言メモ 、 電話帳、 書籍(著者名が記載)など
6
5-1(1).体制の整備(役割と責任)
・経営最高責任者として個人情報保護に関する全責任と権限
・個人情報保護方針の制定及び維持
・個人情報保護各規定の制定・改廃の承認
・PMS実施にあたっての資源の用意
・個人情報保護管理者、監査責任者の指名
・PMSの見直し(原則、毎年4月に定期見直し)
・指摘事項を確認し、是正処置及び予防処置を承認
・緊急事態発生時に指揮をとり早期解決を図る
社長
****
個人情報保護監査責任者
****
・教育責任者、苦情処理責任者の指名
・PMSの実施及び運用に関して責任と権限を定める
・PMSの見直し及び改善、実施状況の確認
・社長への運用状況の報告
・PMS年間計画の立案
・PMS文書化、体系的整理、閲覧しやすいよう管理
・事故発生時の対応手順を定める
個人情報保護管理者
****
・「教育年間計画書」の作成
・PMS全体像の教育
・役割と責任に応じた教育内容、実施方法を
定める
・教育を円滑に行うための体制の整備
・「教育実施報告書」を作成し、社長に報告
・教育実施報告書の保管・管理
個人情報保護教育責任者
****
・「監査年間計画書」の作成
・監査実施の監査チームを編成、実施
・「監査報告書」を作成し、社長に報告
・監査報告書の保管・管理
・監査方法及び「監査チェックシート」を定める
・監査で指摘した是正・改善事項につき、
その実施結果をフォローアップする
苦情処理責任者
****
・開示請求、苦情・相談の窓口対応体制の確立
・開示請求、苦情・相談対応を円滑に行う体制
の整備
・開示請求、苦情処理の手順を定める
****部
部門責任者
***
****部
部門責任者
***
****部
部門責任者
***
****部
部門責任者
***
・所属部門に関わる個人情報の管理
・所属部門内のPMS運用状況の監督、記録の確認
・安全対策全般の監督
****部
***部門担当者
****部
***部門担当者
****部
***部門担当者
****部
部門担当者
・所属部門の個人情報保護に関する活動の実行
7
5-1(2).緊急時対応
レ
ベ
ル
A
本人、当社・取引先企業に大きな被害を与える事故
・社外へ流出し多数の顧客に影響
・滅失して多数の顧客のサービス不可(復旧まで長期)
・毀損して多数の顧客サービス不可(復旧まで長期)
・今後、影響範囲が特定できず今後被害が拡大する
恐れのあるもの
レ
ベ
ル
B
本人や取引先企業に被害は与えなかったが、社内
対応に相当を要する事故
・社外へ流出し特定の顧客に影響有り(回収可能)
・滅失して特定の顧客のサービス不可(復旧可能)
・毀損して特定の顧客サービス不可(復旧可能)
・今後、影響範囲が特定でき今後被害が拡大する
恐れのないもの
レ
ベ
ル
C
①最優先
発
見
し
た
従
業
員
個人情報
事故
報告書
上記に相当する事態が発生したが事前に検知し、
外部顧客、取引先への被害がない(未然防止)
(レベルCは個人情報管理者までとするが、個人情報保
護管理者を中心にPMS是正・予防・見直しへ活用する)
①個人情報
保護管理者
(**)
①
が
不
在
①
が
不
在
②部門
責任者
①
②
が
不
在
社長
(**)
③個人情報
苦情処理
責任者
(**)
①
②
が
不
在
①
②
③
が
不
在
8
5-2.個人情報保護に関する規程等の整備
個人情報保護方針
当社は、昭和56年の設立以来、お客様の声を第一に考え、常にご満足いただける
システムのご提供を心がけることを経営理念とし、すべてのお客様からの信頼を得る
とともに、当社への期待に応えるべく事業活動を進めていきます。個人情報は、厳正
に管理すべき本人の大切な財産であることを認識し、当社では、本人の個人情報を
以下の基本方針に従って取り扱います。・・・
【ホームページ】
個人情報保護管理規定
個人情報保護基本規程
個人情報の取扱手順書
各規程および手順書
各種書式
【PMSキャビネット】【サーバのPマークフォルダ】
【PMSキャビネット】【サーバのPマークフォルダ】
個人情報管理台帳、リスク分析など約30種
【PMSキャビネット】【サーバのPマークフォルダ】
9
5-3.個人情報のライフサイクル
取得
個人情報を取得する
利用・提供
個人情報を使う、他者へ渡す
保管
個人情報を保管する
廃棄
個人情報を廃棄する
名刺
※全てのタイミングで記録の保存が重要になる
10
5-3(1).個人情報の取得
担当者
個人情報取得
申請書
・事業者名
・個人情報保護管理者名
・利用目的
・第三者提供,委託の有無
・開示・訂正・削除等の手続き
部門責任者 保護管理者
本人
承認
個人情報利用
目的等通知書
同意
個人情報利用
目的等諾否通知
利用目的
の範囲内
で利用
個人情報
の取得
11
《個人情報取得時の留意事項》
禁止事項(機微な個人情報)
a)思想、信条及び宗教に関する事項
b)人種、民族、門地、本籍地、身体・精神障害、犯罪歴その他社会的差別の原因となる事項。
c)勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項
d)集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項
e)保健医療又は性生活に関する事項
利用目的を通知・同意不要
a) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
b) 当社の権利又は正当な利益を害するおそれがある場合
c)国の機関又は地方公共団体が法令の定める事務の遂行への協力
d)取得の状況からみて利用目的が明らかであると認められる場合
など
※但し、「個人情報取得申請書」により。部門責任者へ報告し、個人情報保護管理者の承認が必要
12
5-3(2) .個人情報の目的外利用
【原則】個人情報の目的外利用はできない。但し、目的外利用が必要となった場合は・・・
担当者
目的外利用
申請書
本人
部門責任者 保護管理者
・・利用目的【変更】
承認
個人情報利用
目的等通知書
同意
個人情報利用
目的等諾否通知
利用目的
外の利用
【例外】本人への通知・同意が不要な場合
①法令により
②人の生命,身体,財産等の権利の保護
③公衆衛生、児童の健全な育成
④国・自治体の法に基づく業務への協力
「目的外利用申請書」により、
部門責任者へ報告し、
個人情報保護管理者の承認が必要
13
5-3(3) .本人へのアクセス
【原則】事前の同意なしに本人にアクセスできない。但し、アクセスが必要となった場合は・・・
担当者
アクセス
利用申請書
部門責任者 保護管理者
承認
・・利用目的【変更】
本人
個人情報利用
目的等通知書
同意
個人情報利用
目的等諾否通知
アクセス
【例外】本人への通知・同意が不要な場合
①委託(利用目的範囲内)
②事業継承(継承元にて同意)
③共同利用(共同利用者にて同意)
など
「アクセス利用申請書」により、
部門責任者へ報告し、
個人情報保護管理者の承認が必要
14
5-3(4) .提供
【原則】事前の同意なしに第三者提供できない。但し、第三者提供が必要となった場合は・・・
担当者
第三者
提供申請書
本人
部門責任者 保護管理者
・・第三者提供【変更】
承認
個人情報利用
目的等通知書
同意
提供
第三者
【例外】本人への通知・同意が不要な場合
①通知同等の措置を取っている
②法人・団体の役員・株主の公表された情報
③委託(利用目的範囲内)
④事業継承(継承元にて同意)
⑤共同利用(共同利用者にて同意)
など
個人情報利用
目的等諾否通知
「第三者提供申請書」により、
部門責任者へ報告し、
個人情報保護管理者の承認が必要
15
5-3(5) .開示
開示手続きはホームページに記載、「個人情報開示等請求書」にて受け付ける。
苦情処理責任者
個人情報開示等請求書
・運転免許証
・健康保険証
・年金手帳
・パスポート
のいずれかのコピー
・手数料1,000円
開示要求
個人情報に
関する受付票
保護管理者
本人
速やかに
開示
同意
【例外】
・開示
・利用目的通知
・訂正・追加・削除
・利用・提供停止
について規定されている。
「個人情報に関する受付票」に記載し、
個人情報保護管理者の承認を受ける
16
5-3(6) .個人情報の保管と廃棄
■保管
正確性
個人情報は、その利用目的達成のために必要な範囲内で、正確で最新の
内容に保つように努力しなければならない。
安全性
保有する個人情報への次のリスクに対して、合理的な安全対策を講ずる。
不正アクセス、紛失、破壊、改ざん、漏えい
■廃棄=不要な個人情報はリスクである!
放置
しない
不要になった個人情報は、何も産み出さないにもかかわらず、漏えいリスク
だけが大きくなる。
パソコンやキャビネットを定期的にチェックし、不要な個人情報がないか確認
確実に
消去
確実に個人情報を消去しなければ、廃棄された紙や媒体から情報漏えいに
つながる可能性がある。
書類・媒体→シュレッダーで廃棄
サーバ・PC→廃棄業者に依頼(廃棄証明をもらう)
17
6-1.物理的安全管理措置
~オフィスの管理~
入退室チェックシート
Security
外来者の応対は、
原則、このエリアで完結
業務エリア
受付
来訪者記録シート
ロッカー
ルーム
サーバ室入退室記録簿
Security
サーバ
ルーム
18
6-1.物理的安全管理措置
~機器・備品の管理~
【デスクトップPC 】
パスワード
スクリーンセーバ設定
【モバイルPC 】
※個人情報保護管理者の承認
なしで持ち出し厳禁
・パスワード・USB認証などを利用
ファイル類は鍵付キャビネットへ
名刺管理
クリアデスク
19
6-2.技術的安全管理措置
SSL暗号化
・ファイアーウォール
・DMZ
パスワード付き
ZIPファイル
鍵付きキャビネット保管
承認なしの持ち出し禁止
操作ログ収集
・スクリーンセーバ設定
・ログオンパスワード管理
=アクセス権限管理台帳で管理
※年2回のパスワード変更
・OSパッチ
・ウィルスパターンファイル更新
・Winnyなどのファイル共有ソフト厳禁
●その他、個人情報の
取り扱いの留意点は…
メール:宛先確認
FAX:宛先確認
郵便:書留郵便
書類:手元から離さない
20
7.人的安全管理措置
社長
マネジメントレビューにより是正・予防・見直しの決定
個人情報保護管理者
規程・計画・教育・運用点検・監査等よりPMSのPDCAサイクルを管理
個人情報保護監査責任者 年間監査計画に基づき、監査チームを組織し、PMS運用の監査を実施
個人情報保護教育責任者 年間教育計画、管理者からの指示により教育を実施
部門責任者
教育に基づき、個人情報保護への意識づけとルール遵守を徹底
●雇用契約時の「機密保持契約」締結
損害が生じた場合は会社に対する損害賠償義務を負う。
●損害賠償義務は退職後も存続する
→これは、「個人情報」のみならず、「発明考案」「営業機密事項」にも適用
21
8.プライバシーマーク取得までのスケジュール
①社内体制整備
②キックオフ
Plan
Plan/Do
Do/Check
Do/Action
7~8月
9~10月
12~2月
3月
●
●
③現状調査・分析
④事務局教育
⑤PMS作成
⑥社内教育
⑦試行期間
⑧内部監査
⑨監査結果改善
~マネジメントレビュー
⑩申請準備
⑪認証取得申請
⑫審査(書類)
⑬本審査(現地審査)
●
●マネジメントレビュー
●
●
●
●
☆ 認証取得 ☆
22