プライバシーマーク入門講座(連載:第7回) |
2007/08/25 土曜日 15:34:32 JST | |
「個人情報保護マネジメントシステム」の構築に向けて(第2回) その上で本稿を読み、また下記資料に戻って、というようにして、「個人情報保護マネジメントシステム」の理解を深めながら構築を進めると良い。 ① 個人情報の保護に関する法律(③のガイドラインにも掲載されている。 ② JISQ 15001:2006 個人情報保護マネジメントシステム-要求事項:規格協会発行 ③ 個人情報保護マネジメントシステム実施のためのガイドライン:㈶日本情報処理開発協会編、日本規格協会発行 ④ 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成19年3月)経済産業省(経済産業省ガイドライン):経済産業省又は国民生活局のホームページよりダウンロードできる。 以下、上記の資料を一読されたことを前提に述べてゆく。 以前にも述べたように「プライバシーマーク制度は、「JIS Q 15001:2006個人情報保護マネジメントシステム-要求事項」に適合して、個人情報について適切な保護処置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度」であり、その認証のベースとなる「JIS Q 15001:2006個人情報保護マネジメントシステム-要求事項」には「個人情報の保護に関する法律(個人情報保護法)」の規定が包含されており、更に、法律より若干厳しい要求事項となっている。 また、「JIS Q 15001:2006個人情報保護マネジメントシステム-要求事項」は、ISO-27001(ISMS)、ISO-9001やISO-14001と同じようにISO Guide 72の規約に従ったマネジメントシステムであり、企業に於けるマネジメントシステムとして一体化を図ることができる構造となっている。 前回に述べたように、「個人情報保護マネジメントシステム」は次の3つの視点から見ると理解しやすい。 ① マネジメントシステム ② 個人の権利を保護するシステム ③ 安全管理のシステム これら3つの要素を含め、文書、記録、組織、実施、運用・・等々を含めた全てが、広義での「個人情報保護マネジメントシステム」(PMS)である。 狭義の意味では"PMS"は、規定、手順書等を含めた、「個人情報保護マネジメントシステムの仕組み」だけを示すことが多い。 先ず、狭義の意味でのPMSの構築について示す。 ちなみに、PMSのPは"Privacy"ではなく、"Personal Information"である。 "Privacy"と"Personal Information"を厳密に分けて考える必要はないが、"Personal Information"は"Privacy"を包含した、より広い概念であり、例えば、単に氏名だけの情報でも個人を特定できる情報として、保護の対象とされている。 PMSを構築する手順に、これでなければいけないというものは無いが、先ず、全体を理解していないと、構築は上手く進まない。 全体を理解する助けとして、「ISO-9001品質マネジメントシステム」や「ISO-27001(ISMS)情報セキュリティマネジメントシステム」の構築や運用を行った経験がある人向けに、それらと、「JIS Q 15001個人情報保護マネジメントシステム」(PMS)の違いのポイントを述べる。 PMSは全社を対象に構築し、認証を受けることが必要である。 まず、ISO-9001やISMSは、対象を組織としており、組織は必ずしも全社ではなく、事業部や工場、または研究所等の企業の一部での構築や、認証を認めている。 更に、ISMSでは保護の対象とする情報についても範囲(種類)を規定して、その部分だけでの認証も認めている(ISMSの適用範囲及び境界の定義)。 一方、PMSは、原則、全社対応しか認めていない。 このため、PMSにおけるトップは「事業者の代表者」であり、工場長や事業部長であることは無い。 従って、重要事項の承認は「事業者の代表者」すなわち通常は「社長」の決裁を得ることが必要な構造となっていることに注意する必要がある。 内部監査の考え方が異なる。 また、PMSの特徴として、独立した「個人情報保護監査責任者」(以下、監査責任者)を「事業者の代表者」が直接に任命することとしている点がある。 ISO-9001やISMSにはそのような「監査責任者」の定義は無く、通常は内部監査も「品質管理責任者」や「CISO」の下で計画され、実行されている。 「監査責任者」が「事業者の代表者」に直結する位置づけとして特別に任命されることにより、PMSではISO-9001やISMSに比較して、PMSの運用からの内部監査の独立性を格段に高めた仕組みとなっていることに注意を要する。 また、監査の報告は、直接に「事業者の代表者」に報告されることになっており、「監査責任者」は「個人情報保護管理者」(「品質管理責任者」やCISOに相当)を牽制する位置づけとなっている。 監査で発見された不適合に対する是正処置の実施においては、「監査責任者」(監査員を含む)は原則的には関与せず、「事業者の代表者」の指示の下で「PMSの実施及び運用に責任及び権限を与えられた個人情報保護管理者」と「各被監査部署」により実施されることが特徴である。 自社の情報資産(自分の持ち物)の保護ではなく、個人(本人)が所有主である個人情報を預かって、保護することを目的とする。 次に、良く混同される「ISO-27001情報セキュリティマネジメントシステム」(ISMS)と「JIS Q 15001個人情報保護マネジメントシステム」(PMS)の違いを概観する。 まず、ISMSは、自社が保有する情報資産(自分の持ち物)を保護することを目的としているが、PMSでは、夫々の個人が所有主である個人情報を預かって、それを保護して行くことを目的としている。 ISMSでは、自社にとって資産価値がなければ保護の対象としないが、PMSにおいては、全ての個人情報が保護の対象となる。 個人情報とは、「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む)」と定義されており、氏名は勿論、写真、メールアドレス等々、特定の個人を識別できるものは全て含まれ、また、全ての個人情報とは、顧客の個人情報だけでなく、当該企業の役員や従業員、パート・アルバイトの個人情報も、彼らの家族の個人情報も、また取引先の担当者の個人情報も、全て例外なく保護の対象となるということである。 個人情報の価値は、その本人しか量ることができず、外部的に個人情報の価値を設定することはできないという特徴もある。 従って、ISMSとPMSの比較において、①マネジメントシステムであること、②安全管理のシステムであることは同じであるが、ISMSには、「個人の権利を保護するシステム」であるという概念はない。 また、上記のごとくISMSには、ISMSの対象とする「適用範囲及び境界の定義」を行い、その部分だけでのシステムの構築や認証の取得ができる規格である点も異なっている。 いよいよ次回から、本題の「個人情報保護マネジメントシステム」(PMS)の構築の具体的な手順に入る。 先ず、PMSを構築するに当たって、狭義のPMSには次の3つのものが含まれていなければならないことに注意してほしい。 ① JIS Q 15001の要求事項に基づく、貴社の内部規定 ② 法律や規範(ガイドライン)等の要求事項に基づく貴社の規定 ③ リスク分析の結果として、貴社が実施することを決めた安全管理策の規定 これら3つのもの作成するのに、ある部分は順番に、ある部分は平行して作業を進めて行くことになる。 どの部分は順番に作業を行うのが良いか、どの部分は平行して作業が進められるかは次回からの文章を読めば自ずと分かって頂けると思う。 次回から、具体的な個人情報保護マネジメントシステムの構築について述べてゆく。 (中小企業診断士 中村 隆昭)
|