TSイズムISMS認証/プライバシーマーク制度認定の取得と構築・運用を支援します。
  1. HOME
  2. ISMS/プライバシーマーク参考資料
  3. プライバシーマーク構築ステップ
参考資料集 プライバシーマーク

プライバシーマーク構築ステップ

基本方針の策定と推進チームの設立

■基本方針の策定
事業の代表者は、個人情報の収集、利用、提供に関する保護方針を策定します。
保護方針には、以下の事項を明記しなければなりません。

・ 何のために個人情報保護活動を行うのか
・ 法規制、国が定める指針に遵守すること
・ 個人情報の漏洩、滅失、毀損の防止と是正の実施
・ 苦情や相談に対応するための窓口の設置
・ PMSを継続的に改善する活動
・ 代表者の名前

■推進チームの設立
事業の代表者はPMS(個人情報マネジメントシステム)構築に向け、個人情報保護責任者を指名し、推進事務局を立ち上げます。
この推進事務局が、PMS構築の実働部隊となります。
推進事務局は、PMS構築および導入スケジュールを計画します。

個人情報および法規定、国が定める指針の特定

■個人情報の特定
推進事務局が中心となり、個人情報の洗い出しを行います。
どのように収集(入手経路)、利用(利用目的、取扱部門)、保管(場所、保管形態、保管期間)、廃棄(廃棄の方法)しているか。また、預託、委託しているかを個人情報業務フローおよび個人情報管理台帳にて明確にします。
個人情報の洗い出し作業は、大変労力がいる作業となるため、推進事務局で洗い出しの方法を定め、関係者の協力を得ながら進める必要があります。

■法規制、国が定める指針の特定
自社が取り扱う個人情報に関する法規制や国が定める指針の有無を確認します。
該当する法規制または指針があれば、JISQ15001に優先して適用する必要があります。なお、業界ガイドラインにおいては、JISQ15001と合わせて遵守すべきであるが、要求がJIS規格よりも下回ったものは、JIS規格を優先させます。

ギャップ分析・リスク評価

先のステップで特定した個人情報に関して、取得・入力→移送・送信→利用・加工→保管・バックアップ→消去・廃棄における各局面での想定されるリスクを洗い出します。
作業および後の管理の効率化のため、同じ流れをもつ個人情報は、パターン化してまとめます。
リスクの認識、分析及び対策においては、個人情報をいかに守るかといった観点からでなく、例えば取得、利用における本人の同意が得られていないという「取扱いのリスク」も考慮する必要があります。
これらのリスクを認識した上で、分析・評価し、対策を検討することになります。
ギャップ分析およびリスク評価は、適正管理(正確性、安全性、預託管理)の観点から現状調査(要求事項とのギャップ分析、ビジネスリスク分析)を行い、実施した分析結果を、リスク分析表にまとめます。

規程類の整備

ステップ3「ギャップ分析・リスク評価」におけるリスクアセスメントの結果をもとに、PMS関連文書として、規程、手順書等を作成します。
一般に、以下の事項に関連した規程の整備が求められます。

・ 個人情報を特定する手順に関すること
・ 法規制、国が定める指針、その他の規範の特定、参照及び維持に関すること
・リスクの認識、分析及び対策の手順に関すること
・ 権限及び責任に関すること
・ 緊急事態の準備及び対応に関すること
・ 個人情報の取得、利用、提供に関すること
・ 個人情報の適正管理に関すること
・ 本人からの開示の求めへの対応に関すること
・ 教育に関すること
・ 文書管理に関すること
・ 苦情及び相談への対応に関すること
・ 点検に関すること
・ 是正および予防処置に関すること
・ 代表者のPMS見直しに関すること
・ 内部規程への違反に関すること

教育・啓蒙

推進事務局は、PMS教育計画を策定し、全社員に対し実施し、実施の記録をとります。この記録は、プライバシーマーク申請の際に、必ず必要となる資料です。

実施運用

推進事務局は、PMS導入計画を立て、構築されたPMSを社内に導入します。社員は、構築されたPMSに沿って実運用を行うことになります。
実施にあたりその実施記録を残します。

内部監査および代表者による見直し

■内部監査の実施
監査責任者は、導入後一定期間を経過した後、PMSが確実に構築され、機能しているかを内部監査によって確認し、不適合等があれば、是正処置を実施します。
必要であれば、予防処置も実施します。
内部監査の結果は、代表者の見直しのインプット情報として、事業の代表者に取りまとめて報告します。

■代表者による見直し
事業の代表者は、内部監査の結果報告またはその他の情報をもとに、現状のPMSが適切であるかを検討し、必要に応じて改善を指示します。

取得申請

第三者機関へ審査の申請を行います。
記載内容及び申請資格の確認及び受理されると、審査が実施されることになります。

審査受審

文書審査とともに、運用状況や現場での実施状況の確認といった現地調査が実施されます。これらの審査および調査をもとにプライバシーマークの使用許可の可否が決定されます。

プライバシーマーク付与

プライバシーマーク使用許諾契約書と使用許諾証が交付されます。マークの使用契約期間は2年間となっており、継続してマークを使用する際は、契約が切れる2年毎に再度審査を受けることになります。

 

ISMS/Pmark お役立ちサイト

ISMS/プライバシーマークの構築および運用において、ちょっと役立つ関連サイトをまとめました。

ISMS/Pmark関連 法規制

ISMS/プライバシーマークに関連するガイドラインおよび法規制をまとめました。

ISMS/プライバシーマーク用語集

ISMS/プライバシーマークに関する用語をまとめました。

プライバシーマーク構築パッケージ

自力でのプライバシーマーク制度認定の取得を目指す方のためのパッケージ。記入例付きのサンプル文書のほか、社員教育用教材、構築を支援するガイドブックが収録されています。

e-mailご意見・ご要望をお寄せください

ISMS/プライバシーマーク 参考資料に関するご意見・ご感想をお寄せください。皆さんのご意見・ご要望をもとに、逐次、資料をアップしております。

 
Search powered by google