2020.10.19

Pマーク申請準備で押さえておくべき5つのポイント

プライバシーマークを新規に取得する・更新する場合にも非常に面倒なのが、申請書類の作成になります。 会社規模にもよりますが、数十ページにわたる申請書や集める書類の多さ・・・キングファイルがパンパンになるくらいの資料を送ることも結構あります。 準備結構時間がかかる申請準備ですが、準備する上でのポイントをしっかりと押さえておく必要があります。 そんな5つのポイントについて解説したいと思います。   【書類集め】 まず、新規・更新ともに絶対に重要でボリュームが多いものが下記です。 ・プライバシーマークに関連するマニュアル ・様式、記録 ・就業規則(作成している場合) 上記についてはPマークの取り組みを行っている以上、必ずあります。(就業規則は会社規模にもよりますが・・・) 様式・記録の詳細が分からない場合はマニュアルや文書・記録の一覧を確認してください。 それ以外では下記になります。 ・会社の登記簿謄本(履歴事項全部証明書もしくは現在事項全部証明書) ・会社の定款(審査機関によっては更新申請時は不要) 登記簿謄本は社内に3か月以内に発行されたものがあれば、それを利用して問題ないですが、残っていない場合は法務局に取りに行く、電子申請で取得などが必要です。 定款については会社に必ずありますのでコピーして送ることになります。   【審査機関の選定】 審査機関は現在20機関あります。 審査機関には決められた地域の審査しかしないところ、業種を限定しているところ、審査機関の母体となる法人の会員に限定しているところ、など様々あるので、ご相談ください。 ※一般財団法人日本情報経済社会推進協会　プライバシーマーク制度から引用 ・更新の場合 基本的にこれまで申請している審査機関に申請することになります。 ただ、更新申請をするタイミングで審査機関を変更することも可能です。 ・新規の場合 特にこだわり等なければ、最寄りの審査機関が一番手ごろです。 コンサルタントを入れている場合はどこがお勧めか聞いてもらっても良いと思います。 ただ、コンサルタント選びにもなりますが、どこの審査機関であっても対応できるコンサルタントでないとダメだとは思います・・・ 審査機関によっては入会金や年会費が発生するところ、特定の業種しか審査を行ってくれないところがあるので注意が必要です。     【申請書を書く】 3つ目が実際の申請書の記載です。 審査機関のHPに記入例もありますが、意外と分かりづらいです。 初期設定されているフォントもメチャクチャでそのまま使うと見た目もよろしくありません(笑) 書き方が明確に決まっていないページも多かったりするので、専門家に相談しながらの作成が確実とも言えます。   【申請書類の提出】 書類の収集・作成が終わるとファイリングを行っての提出です。 インデックス付けなど、注文があったりします。 書類が多いので、見やすくしましょう。という形になるので、見る人を意識して作成することをお勧めします。 提出は郵送・持込みどちらでも大丈夫です。 ただ、重たいので郵送が無難です。 審査機関がどんなところか見に行ってみたい方にとっては、持込みもありだと思います。   【まとめ】 ポイントしっかり押さえてもらうと申請にそこまで手間がかかることはありませんが、慣れていないと時間がかかりますし、時間が勿体ないです。 ミスがあった際には再提出の手間がかかる可能性もあるので、専門家に相談することが時間短縮とも言えます。 当事務所ではプライバシーマークの申請を専門に行っていますのでお気軽にご相談ください。  

2020.10.19

コロナ感染者の行動履歴を把握することは個人情報保護法上良いのか？

連日、コロナウイルスの感染者の情報がテレビやネットなどで見かけますが、感染者の方の行動履歴が詳細に公開されていることに疑問を感じることもあるのではないでしょうか。 「どこに行ったか全部公開されて怖い」 「個人情報保護ってどうなってるの？」 「自分の行動が公開されるのは感染より怖い」 こう言った意見を実際に耳にしたりしています。 また、国や行政機関もコロナウイルスに絡んだ情報の積極公開と個人情報保護に関しては板挟み状態だ。とコメントをしており、対応に苦慮する部分もあります。 今回はなぜこういったことが法的にOKになっているのか、個人情報の取り扱いの観点から触れていこうかと思います。   【個人情報保護法上どうなってるの？】 まず個人情報保護法上、どうなっているかですが今回行動履歴を収集しているのが、主に国の機関や地方公共団体になります。 こう言ったところは個人情報保護法2条5項の中で個人情報取扱事業者から除外されています。 ですので、個人情報保護法上、何か制約が課せられたり、罰せられることはありません。 つまりこう言った機関に対して個人情報保護法の義務を課すことは出来ないことになってきます。 では、法的に制限が一切ないのでしょうか、、、そう言ったことはありません。 国の機関や地方公共団体が拘束される法律もあります。 それは行政機関個人情報保護法や各地方公共団体の個人情報保護条例です。 個人情報保護法が主に民間企業を対象にした法律であれば、行政機関個人情報保護法や個人情報保護条例は国や地方公共団体を対象にしたものになります。 ※個人情報保護条例はその地域の企業も対象にしています。     【行政機関個人情報保護法などでどう書かれているか】 行政機関個人情報保護法の8条2項の2では「行政機関が法令の定める所掌事務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当な理由のあるとき」という条文があります。 ※行政機関個人情報保護法の8条2項の2から引用 恐らく、行政機関はこの条文を根拠に感染者の個人情報を収集・取得しているものと思われます。 各自治体や国の会見を見ている限り、会見の中では氏名などの公表はなく、世間一般に個人情報は公開されていない状況です。 ただ、行政内では細かな行動内容の把握をするために個人情報を取得・収集・解析を行っている状況です。 マスコミなどはぼかしがある状況ですが、感染者の方の行動に関する動画を出したりしておりますが、マスコミは元々個人情報保護法の中でも対象外に定まっているので、直接的な個人情報保護法の規制が報道に関する部分では規制されない状況です。   【その他の法律でどう定まっているか】 今回のコロナウイルスに関して、情報公開などは他にどんな法律で定まっているのでしょうか。 1つ根拠して感染症法というものがあります。 この法律の16条では「発生状況や予防に必要な情報を積極的に公表しなければならない」と定められています。 ※感染症の予防及び感染症の患者に対する医療に関する法律16条から一部抜粋 感染拡大の防止や予防のために行動履歴などを公表している形になり、情報公開に関する根拠はこちらの法令が根拠として強いと言えます。 ただ、この法令でもどこまで公表すべきかが定まっていないため、個人情報保護との板挟みになって国や各自治体で情報公開の粒度に差があり、感染予防の弊害になっているとも言えます。 今回のような緊急事態だからと言って国も法律を無視して、個人情報を扱ったりはしていないので、その点は安心してもらいたいところです。   【まとめ】 2020年4月14日には新型コロナウイルスの感染者との接触を探知するアプリの発表もありました。 詳細は下記の記事に記していますが、公表の福祉と個人情報保護・プライバシーの保護のどちらを優先すべきか悩ましいところだと思います。 新型コロナウイルス感染者との接触を通知する携帯アプリについて個人情報保護の観点からの考察 【関連記事】 会社から感染したら教えろと言われたけど言わなくてOK？

2020.10.19

テレワークで個人情報を扱う上での3つの注意点

新型コロナウイルスの影響で現在、様々な規模・様々な業種の会社の在宅勤務が推奨されたり、完全にテレワークが推奨されたりしています。 こういったタイミングで新たな仕事のやり方を模索されてる会社が非常に多いのではないかと思います。 当事務所にもテレワークのルール構築や注意点の相談がよく来ます。 そういった会社の相談で一番多い悩みはテレワークを行う・推奨する上でどう個人情報を取扱わせるべきなのか。という点です。 今回はテレワーク・在宅勤務で個人情報をどう扱うべきなのか3つのポイントに絞ってお話したいと思います。   【テレワークと在宅勤務の違いって何？】 そもそもテレワークと在宅勤務って違うのでしょうか？よくテレワーク＝在宅勤務と考える方も多いですが、実は違います。 テレワークはそもそも、会社の外で仕事をすること全般を指しているため、家での仕事はもちろんですが、喫茶店での仕事するなど、外で仕事をすること全般を指します。 在宅勤務はその言葉の通りで、自宅で仕事をすることを指しています。   【ポイント1：パソコンはどうすべき？】 まず、仕事をする上でパソコンをどうすべきかが、課題になります。 普段からノートパソコンを持ち出し許可しているケースはそのままの運用で良いですが、ノートPCを持ち出し許可していない場合やそもそもデスクトップしかなく、自宅のパソコンで仕事させざる得ない場合などはどうすべきでしょうか。 ・会社PCを持って帰ってテレワークを認める場合 まず会社PCを持って帰る場合ですが、仕事で使っているパソコンがノートパソコンであれば、それを使わせるべきです。理由は誰がどのパソコンを使っているか把握しやすいからです。 ・自宅パソコンを使う場合 自宅のパソコンを使ってテレワークを認める場合ですが、最低限下記のことを従業員に認めさせるべきだと思います。 ・家族とは共有しているパソコンを使って仕事はさせない ・ウイルス対策ソフトが動いているパソコンを使う ・Winnyなど共有ソフトが入ってないこと   【ポイント2：紙資料はどうすべき？】 次に紙に記載された個人情報と言った紙資料ですが、これは基本的に持ち出して自宅に持って帰らせることは禁止にすべきです。 紙1枚からキングファイルに入った大規模な資料など量も様々ですので、紛失リスクが高いですし、基本的に1部しかなく他の人たちと共有もできず、コピーを認めて持って帰ろうものならもう収拾がつきません。 それであれば、紙資料はスキャンし、電子化した上でしかるべき場所からアクセスさせるべきです。 ちなみに個人情報保護法で個人情報を社外に持ち出すことを禁止している。みたいなことをネットで見たことがありますが、そんなことはありませんのでその点は安心してください。     【ポイント3：データへのアクセスはどうすべき？】 3つめですが、パソコンを使って個人情報のデータなどへのアクセスです。 これについてもUSBメモリでデータを持ち帰らせるのは基本的にNGです。個人の私用USBメモリを使わせることなんてもってのほかです。 手段の1つとしてはクラウド上にデータを保存できるサービスを会社で用意する形です。 BoxやOneDriveなどですね。 こういったところに、データを保存しておき、そこからダウンロード・アップロードをする形です。 もう1つは社内のファイルサーバなどに社外からアクセスさせることになりますが、こういったものはネットワークの設定の変更なども必要があり、すぐに利用することは出来ない可能性が高いです。 やる場合も専用のリモートソフトなども活用して、記録が残るようにしておくことが望ましいと思います。 どっちにしても自宅の個人パソコンには基本的にデータは保存させないようにし、残しても1時的でちゃんと然るべき保存場所にいれることが会社や従業員を守る上での必要なセキュリティ対策と言えます。  

2020.10.19

ネットに公開されてる個人情報って勝手に利用してもOK？

インターネット上に公開されている個人情報はどこまで勝手に利用して良いのか、疑問に思ったことってありませんか？ 例えば、行政書士会は登録されている行政書士をインターネット上で検索できるようになっています。     実際に、公開されているから。という理由だけでダイレクトメール等が来たことがある人もいるかと思います。 逆にビジネス上、使って問題ないか悩んでいる企業も多いとも思います。 こういった情報はインターネット上で公開されていますが、果たして勝手に利用して個人情報保護法上、問題ないのでしょうか・・・ インターネットに公開された情報であっても個人情報保護法の規制の対象になります。 今回はインターネット上での個人情報の取得等で個人情報取扱事業者(会社)が留意しなければならない点について説明していきます。   【個人情報収集時の留意】 インターネット上で入手できる個人情報について、収集・取得する場合は、個人情報保護法における「個人情報」の取得に関する規制の対象になります。 インターネット上での個人情報の取得の有無が問われる場面としては下記のようなケースが想定されます。 ① 情報を単に画面上で閲覧する場合 ② 情報を転記の上で検索可能な状態にした場合 ③ 情報が含まれるファイルをダウンロードしてデータベース化する場合 ④ 検索可能化・データベース化までせずにローカルPCに転記等した場合 ①の場合ですが、これは単に見るだけであるので、個人情報保護法ガイドライン通則編３−２−１では取得に該当しないとされています。 ②、③について個人情報保護委員会の公表しているＱ＆Ａでは「個人情報を取得したと解し得る」と表現されています。 もちろん、④についてもパソコンにコピーする行為も取得と解されるため。上記②から④の事例を含めて「取得」にあたり、個人情報保護法の規制がかかると考え行動すべきだと判断できます。   【個人情報の収集・取得時にすべきこと】 では、個人情報保護法の規制の対象になるとして、会社・事業者としては収集・取得時に何をしなければならないのでしょうか。 個人情報保護法の18条1項ではこう定められています。 個人情報を取得する場合、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を、本人に通知し、または公表しなければならない。 ※個人情報保護法18条1項から引用 つまり、自社のホームページでプライバシーポリシーなどの形で利用目的を公表する必要があります。 そうすることで「あらかじめその利用目的を公表している場合」をクリアすることが可能となり、インターネットから収集・取得した個人情報であっても本人への通知・公表は原則として不要となります。 【どのように利用してOKなのか】 3つ目にどのようにインターネット上で収集・取得した個人情報を扱ってOKか。です。 個人情報保護法では下記の通りに定められています。 あらかじめ公表し、または、本人に通知・公表した利用目的の範囲内でのみ利用できる。 ※個人情報保護法16条1項から引用 また、「その範囲を超えて利用する場合には、あらかじめ本人の同意を得なければならない」とも定められています。 ※個人情報保護法16条1項から引用 つまり、予めどう扱うを定めてそれを逸脱して利用するような事態になるのであれば、ちゃんと本人の同意を得る必要があります。 好き勝手に変えることも不可で「変更前の利用目的と関連性を有すると合理的に認められる範囲」と法律に定められています。   【まとめ】 結論として、インターネット上で公開されているとはいえ、れっきとした個人情報に該当し、利用するにあたっては個人情報保護法の順守が必要になります。 また、好き勝手に使ってはダメでちゃんと最初に利用目的を定めてそれを逸脱しないようにしないと法律違反に該当すると認識してください。 個人情報保護に関するお問い合わせはこちら  

2020.10.19

プライバシーマークで求められるリスク分析のやり方

プライバシーマーク(以下、Pマーク)の取り組みで最大と言って良い山場はリスクアセスメントと言えます。 リスクアセスメントで手を抜くとその後の取り組みに大きな影響が出てしまい、認証取得を目指す上で逆に大きな障害になってしまいます。 たかがリスクアセスメントされどリスクアセスメントというわけです。 今回はそのリスクアセスメントについて取り組みを行う上でのポイントを触れてみたいと思います。   【なぜ手抜きしてはダメなのか】 リスクアセスメントを手抜きしてはダメな理由としては大きく3つのことが上げられます。 特定した個人情報をベースにリスクアセスメントを行うため、手抜きをしてしまうと自社の個人情報に対するリスク・対策が見えなくなってしまう リスクアセスメントの結果、出てくるリスク対策は自社の個人情報管理のルールの元になるため、手抜きをするとルールにヌケモレが出る。 リスクアセスメントを手抜きすると情報漏えいにつながる心配事が見えないので、情報漏えいが実現してしまう可能性が一向に下がらない。 結論として、リスクアセスメントをしっかり行うことで会社の個人情報保護のルールがしっかりと出来上がってくると言えます。     【リスクアセスメントの進め方】 ではPマーク上のリスクアセスメントはどのように進める必要があるのでしょうか。 ISMSなどではある程度自由なリスクアセスメントが出来ますが、Pマークは逆に縛りが結構厳しいと言えます。 ポイントは下記の3つです。 個人情報のライフサイクル(取り扱いの流れ)に沿ってリスクアセスメントを実施する すべての個人情報が対象になる 取り扱いが同じものはグルーピングして構わない まず、リスクアセスメントを実施する際には個人情報の流れを把握してそこにどんなリスクが想定されるかイメージします。 例えば、①履歴書を受け取る→②面接で使用する→③書庫で保管する→④不採用だったので破棄する こう言った流れがあった場合に①～④をPマークでよく言われるライフサイクルに当てはめてどんなリスクがあるか想定します。 ※ライフサイクルは取得・利用・保管・移送・廃棄・委託と言った個人情報の流れのカテゴリを指します。 想定したリスクが実現しないようにするためにどんな対策があるか検討・決定し、それを書いていくわけです。 Pマークはすべての個人情報に対してリスクアセスメントを求めているのですべてが対象になりますが、取り扱いの流れ(ライフサイクル)が同じ個人情報についてはグルーピングし、まとめてリスクアセスメントを行って良いとしています。 ※余談ですが、、、審査ではよくライフサイクル上リスクがないフェーズはないと言われます・・・ 上記のようなものをリスクアセスメント結果として帳票にまとめ結果を残す必要があります。   【残留リスクとは】 また、リスクアセスメントを行った際には必要に応じて残留リスクを把握し、管理する必要があります。 以前のPマーク状は残存リスクという言葉でしたが、2017版になり残留リスクとなりました、。 要求事項であるJISQ15001：2017のA3.3.3では残留リスクについて「現状で実施し植える対策を講じた上で、未対応部分を・・・」と記述しています。 つまり、リスク対策を行った上で未対応となった部分について残留リスクとして把握し、管理を行うことを求めています。 昔よくあったのが、「ダブルチェックを行う」というリスク対策を書いたら、「チェック漏れが起きてしまう」という残存リスクを書かれるケースがありましたが、こういった堂々巡りになるようなものはは対策を講じた上で、残りうる未対応部分とは言えないので、書く必要はありません。 Pマーク上のリスクアセスメントはやり方はある程度決まっているものになりますが、奥が深くポイントを把握してないとなかなか抜け出せなくなります。 Pマークを効率よく取得することを目指す場合、知見を持つ専門家への相談は不可欠になります。

2020.10.19

プライバシーマークで求められる個人情報保護方針ってどんなものですか？

プライバシーマーク(以下、Pマーク)を取得する際には必ず「個人情報保護方針」というものを作成する必要があります。 最近はPマーク云々関係なく様々な会社で個人情報保護方針(プライバシーポリシー)を作成していますが、Pマーク取得を目指す上ではどんな内容でもOKというわけではありません。 今回はPマークで必要になる個人情報保護方針について規格であるJISQ15001:2017の内容も踏まえて触れていきます。   【個人情報保護方針とは】 そもそも個人情報保護方針はなんなんでしょうか。 結論を言ってしまうと、会社としての個人情報の取扱について宣言した文書になります。 会社がどんな考えを持って、個人情報を扱いうのか、どのように管理をするのかを謳った文書になります。 また、こういった文書は単に作っていても意味がありませんので、社内外に周知をはかるためにもWebサイトに公表したり、オフィスに掲示したりして周知を行います。 社外の人からすると会社がどんな考えを持っているのか知るためのものになりますし、従業員の方々からすると自分たちがどうすべきかを知るための文書にもなります。(遵守すべき具体的なルールは個人情報保護方針に記載することはありませんが・・・)     【内部向け個人情報保護方針】 Pマークでは規格であるJISQ15001:2017附属書Aにて「内部向け個人情報保護方針」と「外部向け個人情報保護方針」を分けて記述しています。 A3.2.1である内部向け個人情報保護方針では a) 事業の内容及び規模を考慮した適切な個人情報の取得，利用及び提供に関すること［特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い（以下，“目的外利用”という。）を行わないこと及びそのための措置を講じることを含む。］。 b) 個人情報の取扱いに関する法令，国が定める指針その他の規範を遵守すること。 c) 個人情報の漏えい，滅失又はき損の防止及び是正に関すること。 d) 苦情及び相談への対応に関すること。 e) 個人情報保護マネジメントシステムの継続的改善に関すること。 ※JISQ15001:2017附属書Aから一部抜粋 上記のような文言が書かれています。 つまり個人情報保護方針には上記a)～e)を文書に書いて個人情報保護方針を作る必要があるわけです。 これらの内容をできるだけコンパクトにまとめ自社の文章として仕上げていくことがポイントになります。 特に「事業の内容及び規模を考慮した適切な個人情報の取得，利用及び提供に関すること」などは会社の特色が出る部分になります。   【外部向け個人情報保護方針】 JISQ15001:2017附属書Aではもう1つ「外部向け個人情報保護方針」があります。 これは外部に公表する個人情報保護方針についてのプラスアルファの要求になり、下記をプラスすべきと書かれています。 a) 制定年月日及び最終改正年月日 b) 外部向け個人情報保護方針の内容についての問合せ先 ※JISQ15001:2017附属書Aから一部抜粋 いつ制定・改訂されたものか、問い合わせ先を明確にする。などが必要になります。 また、規格内には「一般の人が入手可能な措置を講じること」と記載されています。 HPに掲載するなど、外部の人たちに周知するための対応をしなければならないことまで求められています。   個人情報保護方針1つとってもなんでもOKなわけではありません。 ちゃんと規格と自社の内容を合わせて作成する必要があるので、注意が必要になります。