カテゴリ:誰でも簡単【個人情報保護】( 46 )

2006年 06月 16日
個人情報保護JIS改正に関する説明会
昨日は大阪で開催されたJIPDEC主催の「個人情報保護JIS改正に関する説明会」に参加してきました。

旧規格であるJISQ15001:1999(旧jis)から、新しく制定された2006年度版であるJISQ15001:2006(新jis)への移行に伴う変更事項のポイントについての説明会でした。

全体としては、審査基準が大幅に変わるのではなく、審査基準に古くてわかりにくかった規格の内容が追いついたような印象です。JISQ15001:1999(旧jis)は、個人情報保護法施行から5年近く前の1999年に制定されているので、後から制定された法律とのギャップは否めませんでした。
個人情報保護法の施行移行、プライバシーマークの認定の基準は、個人情報保護法及びガイドラインと、旧jisで定められた基準の、それぞれ高い方を根拠として、審査されてきたように思います。
旧jisに書かれていないことであっても、個人情報保護法の基準を満たさないと、法律違反となりますし、反対に、個人情報保護法の基準を満たしていても、旧jisの基準を満たさないと、プライバシーマークの認定基準を満たしたことにならない、というわけです。

ですから、実際にプライバシーマークの認定を受けるためには、旧jisの文書と、個人情報保護法及びガイドラインといった複数の文書と格闘しながら、規定やルールを決めていかなくてはいけないかったのです。

そのため、個人情報保護法との整合性を持つように、規格の見直しが図られたというわけです。
新jisの基準を満たせば、個人情報保護法も満たすことができるように見直しされたといえます。

また、個人情報保護法との整合性だけでなく、今回の見直しでは、マネジメントシステムとしての仕組みも強化されています。ISOのマネジメントシステムに近づいたといえるでしょう。

こちらの部分は、取得済み企業の現在の取り組み状況によって、対応が分かれるポイントではないかと思います。PDCAサイクルをきちんとまわしていく事を強く求められるようになっていますので、運用が形骸化している企業は、更新時に苦労するかもしれませんね。

いずれにしても、旧jisから新jisへの変更点は少なくありませんので、規定文書や、仕組みの見直し等は必須です。早めの対応が大事ですね。


ちなみに、昨日の説明会では、これまでご支援させていただいた企業の担当者の方々も数多く参加されていました。
久しぶりにお会いできたこともそうですが、皆さん説明会に参加され積極的に取り組んでいらっしゃることが、とても嬉しく思いました。
[PR]

by office-izutani | 2006-06-16 18:44 | 誰でも簡単【個人情報保護】
2006年 05月 30日
他社はどこまでやっているの?「個人情報保護法に関する取組み状況の実態調査」
プライバシーマークの認定機関である(財)日本情報処理開発協会が、「個人情報保護法に関する取組み状況の実態調査」の報告書を発表しています。

経営者や個人情報保護管理者の方々の多くは、

 「他社はどれだけの取り組みをしているのかな?」

 「当社は競合他社と比べて遅れてないかな?」

といった事を気にされているのではないでしょうか。

世の中の企業が個人情報保護に対して、どのような取り組みをしているのか、この報告書を参考にして、自社の取り組みを見直すきっかけにしてはいかがでしょうか。

ちなみに、報告書の内容を少し見てみると、

[社内整備について]
1・個人情報保護に冠する社内規程を整備して運用している企業は56%

2.社内規定は「他の社内規定と独立して」整備している企業は、うち76%

3.個人情報保護に冠する方針(ポリシー)を策定し公表している企業が59%

4.個人情報保護管理者として、全社的に責任を持つ管理者を設置している企業が54%

5.個人情報保護管理者が「何らかの業務と兼務している」企業は、うち82%

6.社内規定がが適切に運用しているかを定期的に点検している企業は60%

7.社内規定の見直しを何らかの頻度で行っている企業は52%

8.社内規定の整備・見直しを「委員会」を設置して推進している企業は44%


他にも、参考になるデータがありますので、個人情報保護に取り組む経営者や管理者の皆さんにはダウンロードしてご一読されるのをお勧めします。
[PR]

by office-izutani | 2006-05-30 18:01 | 誰でも簡単【個人情報保護】
2006年 02月 21日
個人情報保護法に基づく個人データの安全管理措置の徹底に係る
個人情報の取扱いの安全性確保に関し、平成18年2月20日、経済産業省より「個人情報保護法に基づく個人データの安全管理措置の徹底に係る注意喚起」が公表されました。

個人情報保護法施行後、1年が経とうとしていますが、個人データを格納したデータベースへの不正アクセスによる個人情報がが流出する事件が相次いでいます。これに対し、「経済産業分野における個人情報保護ガイドライン」で示されている個人データの安全管理措置について、更に重点的に点検と対策を実施する以下のような項目を挙げて、注意喚起しているとの事です。

 1 データベースへの不正アクセスの除去
 2 ウィルス感染による個人データの流出対策
 3 パソコンの紛失・盗難による個人データの流出対策

個人情報を取り扱う企業のシステム管理者は要チェックです。
[PR]

by office-izutani | 2006-02-21 16:50 | 誰でも簡単【個人情報保護】
2006年 02月 08日
プライバシーマーク認定事業者数3000社を超える。
プライバシーマークの認定事業者数が3,000社を超えました。2ヶ月強で500社の認定ということですから、相変わらずのハイペースでの増加です。

このままのペースでいけば、今年中には5000社近くまで増えるかもしれません。やっとプライバシーマークも定着してきたという感じでしょうか。これからは、プライバシーマークを取得していて当たり前という時代が来るかもしれません。

d0061982_1732583.gif

[PR]

by office-izutani | 2006-02-08 17:21 | 誰でも簡単【個人情報保護】
2006年 01月 13日
個人情報、漏えい従業員にも罰則?
個人情報保護法の処罰の対象を従業員個人に広げる事が検討されています。

個人情報、漏えい従業員にも罰則…法改正の自民原案 : 政治 : YOMIURI ONLINE(読売新聞)
個人情報、漏えい従業員にも罰則

現在の個人情報保護法法では、不正な漏えいなどの事件が起こった場合、処罰の対象が企業の代表者らに限られていました。
 このため、
〈1〉5000人超の個人情報を扱う企業と委託先の従業員や元従業員が、業務で知り得た個人データの内容をみだりに他人に知らせたり、不当な目的に利用してはならない
〈2〉従業員らが不正な利益を図る目的で第三者にデータを提供した場合は、1年以下の懲役または50万円以下の罰金に処する


との条項を追加し、従業員を法律上処罰することができるようにするといった内容です。
[PR]

by office-izutani | 2006-01-13 15:12 | 誰でも簡単【個人情報保護】
2005年 12月 28日
誰でもわかる!簡単【個人情報保護法】41 プライバシーマークの広がり
少し更新の間隔があいてしまいました。
年末の忙しい時期に、難しい話をするのもなんなので、「ガイドライン」解説はお休みして、少しプライバシーマークの動向でも見てみましょう。

プライバシーマークの取得事業者は、12月26日時点で2687社となっています。ちょうど先月の今頃、2500社を超えたという話をしていましたから、認定社数の伸びは衰える気配がありません。

取得している事業者を見てみると
 印刷・出版業(289社)
 生活関連サービス業(21社)
 その他の事業サービス業(305社)
 各種製造業(34社)
 情報サービス・調査業(1370社)
 労働者派遣業(85社)
 運輸・通信(103社)
 広告業(78社)
 医療業・社会福祉・介護事業(40社)
 卸売業・小売業(105社)
 専門サービス業(94社)
 教育(10社)
 金融・保険・不動産業(60社)
 学習塾(31社)
 その他(59社)
となっています。

やはり、日本情報処理開発協会が運営している制度だけあって、情報系の企業が約半数を占めています。以前は、その次に印刷業や、人材派遣業、学習塾などの割合が多かったのですが、現在では幅広い業界での取得が進んでいるようです。

意外と取得が進んでいないように見えるのが、小売業や運送業といった、一般の人々の情報を取り扱う業界です。ポイントカードを作ったり、宅配便の伝票記入などで、住所などの個人情報の提供を行う場面が多い業界で、取得が進めば、プライバシーマークの認知度も更に上がるかもしれません。

そう思いながら、有名な企業のホームページをチェックしていると、プライバシーマーク取得に既に取り組まれていることを発表している企業がありました。
物流業界最大手の日本通運です。
2005年の6月に既に申請していると発表されていますので、もう認定も近いのではないでしょうか。

このような大手企業の取得が、ライバル企業を刺激し、業界全体に一気に取得が進むことも考えられます。個人への配送を行う物流業の企業は、対策を迫られるかもしれませんね。

最後に、日本通運の取組みで気が付いた点を一つ。
個人情報保護についてのページに「個人情報相談窓口」の連絡先が記載されています。そちらの電話番号が、フリーダイヤルの専用番号を使われているのです。その番号の選び方に、担当の方の真面目に取り組む姿勢とユーモアを感じます。
[PR]

by office-izutani | 2005-12-28 11:40 | 誰でも簡単【個人情報保護】
2005年 12月 20日
誰でもわかる!簡単【個人情報保護法】40 ~ガイドライン解説24:保有個人データの利用停止~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の24回目です。
今回は、保有個人データの利用停止について見ていきます。

個人情報保護法では、保有個人データの利用停止以下のように定めています。
少し長いのですが、引用します。

法第27条第1項
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第16条の規定に違反して取り扱われているという理由又は第17条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

法第27条第2項
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第23条第1項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

法第27条第3項
個人情報取扱事業者は、第1項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

少しわかりにくいのですが、内容はそれほど難しいくありません。

簡単にまとめると、
個人情報取扱事業者は、本人から、以下の理由により保有個人データの利用停止等を求められた場合には応じなければならない。
 
 ・同意のない目的外利用
 ・不正な取得
 ・同意のない第三者提供

但し、本人が申し出た利用停止等の理由が正しく無い場合は、利用停止に応じる必要はありません。

この利用停止についてのポイントは・同意のない目的外利用・不正な取得・同意のない第三者提供の場合にだけ応じればよいとされていることです。つまり、利用目的の範囲内であれば、利用停止の要請があっても応じる必要が無いということになります。
ちなみに、プライバシーマークの認定基準であるJISQ15001では、利用停止についてこのような条件は無く、原則どのような場合でも応じることになります。

社内の仕組みをどちらの基準にするかは、企業の業種や取り扱う個人情報の種類にもよりますが、

 原則:理由を問わず利用停止には応じる
 例外:利用停止に応じることが難しい場合は、目的外利用等が無いかを確認した上で、対応する。

といった形をとるのも良いかもしれません。
[PR]

by office-izutani | 2005-12-20 12:03 | 誰でも簡単【個人情報保護】
2005年 12月 19日
誰でもわかる!簡単【個人情報保護法】39 ~個人情報漏えい事件 JR西日本の対応~
JR西日本が12万人の個人情報漏えい事件を起こしました。
 JR西日本は16日、年配者向けの会員制旅行サービス「ジパング倶楽部」の会員約12万人の個人情報が外部に流出し、高額な仏像の電話セールスに使用されたと発表した。流出ルートは不明で、同社は大阪府警天満署に通報した。
Excite エキサイト : 社会ニュース

漏えいした個人情報の件数は、12万人とかなりの量です。また、流出した情報が電話セールスで利用されるといった2次利用が行われています。

しかし、JR西日本の対応をホームページから見ると、
 お知らせのページ 
 お詫びのページ

があるだけです。
もちろん、ホームページへの掲載文だけで企業の対応を判断することは出来ません。しかし、流出経緯が確認されていない状況で、新規入会を受け付けている事は問題です。
今後、申込をする人がJR西日本に提供した情報が、今回の事件と同様の原因で漏えいすることは無いのでしょうか?もし、無いのであれば、なぜ、そう言えるのかをきちんと発表しておくべきでしょう。
社内調査段階の情報をむやみに発表できないという点を差し引いても顧客に対する説明が足りないのではないか?と思ってしまいます。
[PR]

by office-izutani | 2005-12-19 10:20 | 誰でも簡単【個人情報保護】
2005年 12月 16日
誰でもわかる!簡単【個人情報保護法】38 ~ガイドライン解説23:保有個人データの訂正~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の23回目です。
今回は、保有個人データの訂正について見ていきます。

個人情報保護法では、以下のように定めています。

第26条第1項
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

法第26条第2項
個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
ガイドラインではあまり詳しく解説されていませんが、個人データの「訂正」というのは、意外と一般の企業の業務の中にもあるものです。
例えば、申し込みフォームに入力間違いをした事に後から気が付いて訂正を求めるケース。引越し等により個人情報の内容が変わったのに個人データが更新されていないケースなどです。

このようなケースでは、

遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない

とされています。
訂正の受付と対応の方法についてですが、開示請求と同様の所定の書類で受け付けるといった規定を定める企業も多いようです。しかし、「訂正」の受付方法については、特段決められていません。業務や情報の種類によっては、書類での受付だけでは、適切な時期が遅れ、本人の不利益となる場合があります。規定の内容が現実の業務に沿った内容であるか、確認しておくことが重要です。
[PR]

by office-izutani | 2005-12-16 12:14 | 誰でも簡単【個人情報保護】
2005年 12月 15日
誰でもわかる!簡単【個人情報保護法】37 ~JIS Q 15001の改定に関する意見募集~
経済産業省のホームページで、プライバシーマークの認証基準となるJIS Q 15001の改定について意見募集が始まっています。

これに伴い、改定試案が公表されています。
この改定試案に、意見募集の結果が反映され、来年、正式に発表されることになるでしょう。

JIS Q 15001 2006の原案となる改定試案を見てみると、やはり個人情報保護法との整合性をとるといった意味で、使われる「言葉」が変わっているようです。
気がついた点をいくつか挙げます。

コンプライアンス・プログラム
    ↓
個人情報保護マネジメントシステム

情報主体
 ↓
本人

収集
 ↓
取得

収集目的
 ↓
利用目的

他にも、「本人にアクセスする場合」や「開示対象個人情報」といったちょっと聞きなれない言葉が新たに登場していたりします。

また、個人情報保護法で定義されている、「個人データ」「保有個人データ」「個人情報データベース」といった概念は、反映されていません。

全体的には、ページ数も倍に増え、具体性のある記述が増えていますので、理解しやすくなったのではないでしょうか。新たに追加、又は強化された事項についても、現在プライバシーマークの審査において求められる
レベルの事項が明記されたというような内容で、特に厳しくなったという印象はありません。

ただ、プライバシーマークの審査レベルは、この1年ほどで、かなり厳しくなっています。それ以前にプライバシーマークを取得された企業は、コンプライアンス・プログラム(個人情報保護マネジメントシステム)がJIS Q 15001 2006のレベルに達していない可能性があります。更新審査の時にあわてないように、準備が必要ですね。
[PR]

by office-izutani | 2005-12-15 10:11 | 誰でも簡単【個人情報保護】