2020.11.13

審査機関ってなに？Pマークの審査機関について

Pまークを取得するためには審査機関からの審査を受けてからではいと取得することが出来ません。   初めてPマークを取得する方からすると審査機関ってなに？どこにあるの？何してくれるの？など？なことだらけだと思います。   今回はそんなPマークで絶対関わってくる審査機関についてご紹介します。   【審査機関とは】 まず、Pマーク審査機関は何かですが、その名の通りPマーク取得・更新のための審査をしてくれるところです。 2020年11月時点で20の審査機関が存在します。   下のリストは19機関しか載っていないですが、Pマーク制度の一番大元となるJIPDECは認証機関兼審査機関でもあるので、載っていません。 すべての審査機関がJIPDECから委託を受けて審査を行っています。   その上で、どこに提出すべきかは皆さんの会社がどこにあるのか。どういった業種なのか。ご自身の会社が加入する団体が審査機関になっていないか。が判断基準になります。   【判断基準その①-業種-】 まず、業種として絶対に拘束される業種があります。 それは医療関係の機関や会社です。具体的には病院やレセプト管理と言った医療関係の個人情報を扱うところです。   こう言ったところは絶対に一般財団法人医療情報システム開発センター(MEDIS)に申請しなければなりません。   理由としては、医療系のPマークは他とは違い特別な基準があり、より専門性が必要とされるからです。   クリアスでは医療系のPマークの支援実績もありますので対応可能です。   【判断基準その②-会社が加入する団体-】 ①に該当しない場合ですが、皆さんの会社が加入している団体が審査機関となっている場合、そちらに申請することも可能です。   主にはIT関係の団体が多いですが、印刷関係の団体もあり、専門性を理解してもらった上で審査を受けることができるメリットの1つです。   デメリットとしては、東京から審査員が向かうことになるため、東京・関東近郊以外の会社にとっては交通費が高くなってしまうことが上げられます。   Pマークの取得をキッカケに加入することが可能な団体もありますが、入会金・年会費がかかるところが多いため、割高になってしまいます。     【判断基準その③-地域-】   ①に該当せず、②の団体に申請しない場合は各地域を担当する審査機関に申請することになります。 北海道、東北、関東、中部・東海・北陸、関西、中四国、九州・沖縄とそれぞれ地域を担当する審査機関があるのでそこに申請をします。   メリットとしてはご自身の会社がある地域の審査機関に出すため、交通費が②に比べると安く済むケースがほとんどです。   審査料金も安くはないので、ここで費用を抑えることは1つ重要なポイントであると言えます。   デメリットとしては、審査機関によっては評判が悪いところもあるので、選べない以上それを受け入れることが必要となります。   いろいろと迷うなら地域を担当する審査機関に申請することは無難とは言えます。   このように審査機関は多数あり、ぶっちゃけどこにすべき？と悩む方も多いと思います。 支援するコンサルタントに相談することも1つだと言えます。   ただ、コンサルタントが楽するためだけの理由で審査機関を選ぶことはお勧めしません。 その詳細はこちらのブログも参照してみてください。  

2020.11.12

平塚市元職員による個人情報の漏えいに関する見解

先日、平塚市からの発表で元職員が所属していた課の個人情報のを不正に持ち出していたことを発表しました。   元公務員が退職にあたって、個人情報を不正に持ち出した上で選挙に立候補するにあたって選挙に関するハガキが送付する形で利用した。と平塚市は公表しています。   今回はこの事件について触れてみたいと思います。   【概要】 上述した通り、退職した公務員はその後選挙に立候補し、ハガキを送付したことで事が発覚しています。 その後、平塚市が電子データ記録を調査した結果、在職中の平成30年11月29日と退職日翌日の平成30年12月22日に、個人情報を含むファイルを持ち出された恐れがあることが分かりました。   今回の事件で漏洩した個人情報のデータ件数は31,429件とのことです。   流れは下記の通り、平塚市が資料を上げている通りになります。   【時系列】 平成31年4月17日 市民から、「選挙に出ている元職員から選挙葉書が送られてきた。個人情報が漏れている可能性があるので調べてほしい。」との電話がある。 令和元年8月7日 総務省（自治行政局 地域情報政策室）及び神奈川県（総務局 ICT推進部 情報システム課）にインシデント報告書を提出 8月8日 謝罪会見を実施 8月29日 平塚市議会で、元職員に対する辞職勧告決議を可決 9月4日 広報ひらつか9月第1金曜日号に、市長のおわび文を掲載 9月5日 担当課のイベントの申込者250名に謝罪文を送付 9月30日 関係団体及び平塚市公共施設予約システム登録団体の代表者21,928名に謝罪文を送付 10月1日 市長、副市長及び教育長の給与月額を削減するため「平塚市特別職員の給与に関する条例」を一部改正 11月5日 元職員を、平塚市個人情報保護条例違反で告発 令和2年2月17日 元職員に対し損害賠償請求に係る訴えを提起するため、令和2年3月市議会定例会に議案を提出 3月17日 令和2年3月市議会定例会において、元職員に対する損害賠償請求に係る訴えの提起に関する議案が可決 3月24日 元職員に対する損害賠償請求を横浜地方裁判所小田原支部に提訴 3月27日 元職員に対する損害賠償請求について、口頭弁論期日が令和2年5月22日午前10時と指定される。 5月14日 元職員に対する損害賠償請求について、口頭弁論期日が、新型コロナウイルス感染拡大防止のため取消となる。 7月30日 元職員に対する損害賠償請求について、口頭弁論期日が令和2年9月25日午後1時30分と指定される。 8月25日 元職員を平塚市個人情報保護条例違反で告発した件について、神奈川県警察本部から、8月25日付けで横浜地方検察庁に事件送付した旨の報告を受ける。 9月25日 元職員に対する損害賠償請求について、横浜地方裁判所小田原支部で第1回口頭弁論が行われる。また、次回の口頭弁論期日が、令和3年1月22日となる。 10月23日 元職員を平塚市個人情報保護条例違反で告発した件について、横浜地方検察庁から、10月21日付けで不起訴処分となった旨が通知される。     ※平塚市HPの公表文から引用     【見解】 今回の事件で、最終的には不起訴処分となっていますが、実際に平塚市個人情報保護条例第63条に違反する形が考えれます。 明確に不起訴となった理由の明示はないです。 今後、民事での損害賠償請求もなされる形になりますが、今後同じような事件等が発生しないよう提示されている再発防止策を実践する中で同じ事案が起きないことを願うばかりになります。   なお、平塚市が発表している再発防止策は下記の通りです。   （1）技術的対策   ・パソコン管理の強化 今回の事案は、USBメモリの接続制限機能が装備されていないパソコンを経由して行われたことから、市が所有・管理している接続制限のないパソコンに管理ツールを導入し、利用制限と併せて利用履歴（ログ）のチェックを行うことで、パソコンの利用に関する管理強化を行います。   ・USBメモリのセキュリティ対策強化 今回の事案は、セキュリティ対策のされていないUSBメモリを利用して行われたことから、これらのUSBメモリは原則使用禁止としてセキュリティUSBメモリに切り替え、利用履歴（ログ）のチェックができるようにし、不正利用に対する抑止の強化を図ります。   （2）人的対策   ・USBメモリの管理の徹底 USBメモリなどの電磁的記録媒体は、管理・監督者が直接管理をし、それらの利用履歴をチェックすることで、管理を徹底します。   ・確実なアカウント削除の実施 庁内の連絡体制を強化し、退職時のアカウントの削除を適切に実施します。   ・職員研修の実施とチェック体制の強化 職員研修を実施して、情報セキュリティポリシーの遵守及び情報の取り扱いなど情報モラルに関して周知徹底を図ります。また、情報セキュリティ自己点検や監査内容の見直しを行い、チェック体制の強化を図ります。   ※平塚市HPの公表内容から抜粋          

2020.10.19

Pマーク申請準備で押さえておくべき5つのポイント

プライバシーマークを新規に取得する・更新する場合にも非常に面倒なのが、申請書類の作成になります。 会社規模にもよりますが、数十ページにわたる申請書や集める書類の多さ・・・キングファイルがパンパンになるくらいの資料を送ることも結構あります。 準備結構時間がかかる申請準備ですが、準備する上でのポイントをしっかりと押さえておく必要があります。 そんな5つのポイントについて解説したいと思います。   【書類集め】 まず、新規・更新ともに絶対に重要でボリュームが多いものが下記です。 ・プライバシーマークに関連するマニュアル ・様式、記録 ・就業規則(作成している場合) 上記についてはPマークの取り組みを行っている以上、必ずあります。(就業規則は会社規模にもよりますが・・・) 様式・記録の詳細が分からない場合はマニュアルや文書・記録の一覧を確認してください。 それ以外では下記になります。 ・会社の登記簿謄本(履歴事項全部証明書もしくは現在事項全部証明書) ・会社の定款(審査機関によっては更新申請時は不要) 登記簿謄本は社内に3か月以内に発行されたものがあれば、それを利用して問題ないですが、残っていない場合は法務局に取りに行く、電子申請で取得などが必要です。 定款については会社に必ずありますのでコピーして送ることになります。   【審査機関の選定】 審査機関は現在20機関あります。 審査機関には決められた地域の審査しかしないところ、業種を限定しているところ、審査機関の母体となる法人の会員に限定しているところ、など様々あるので、ご相談ください。 ※一般財団法人日本情報経済社会推進協会　プライバシーマーク制度から引用 ・更新の場合 基本的にこれまで申請している審査機関に申請することになります。 ただ、更新申請をするタイミングで審査機関を変更することも可能です。 ・新規の場合 特にこだわり等なければ、最寄りの審査機関が一番手ごろです。 コンサルタントを入れている場合はどこがお勧めか聞いてもらっても良いと思います。 ただ、コンサルタント選びにもなりますが、どこの審査機関であっても対応できるコンサルタントでないとダメだとは思います・・・ 審査機関によっては入会金や年会費が発生するところ、特定の業種しか審査を行ってくれないところがあるので注意が必要です。     【申請書を書く】 3つ目が実際の申請書の記載です。 審査機関のHPに記入例もありますが、意外と分かりづらいです。 初期設定されているフォントもメチャクチャでそのまま使うと見た目もよろしくありません(笑) 書き方が明確に決まっていないページも多かったりするので、専門家に相談しながらの作成が確実とも言えます。   【申請書類の提出】 書類の収集・作成が終わるとファイリングを行っての提出です。 インデックス付けなど、注文があったりします。 書類が多いので、見やすくしましょう。という形になるので、見る人を意識して作成することをお勧めします。 提出は郵送・持込みどちらでも大丈夫です。 ただ、重たいので郵送が無難です。 審査機関がどんなところか見に行ってみたい方にとっては、持込みもありだと思います。   【まとめ】 ポイントしっかり押さえてもらうと申請にそこまで手間がかかることはありませんが、慣れていないと時間がかかりますし、時間が勿体ないです。 ミスがあった際には再提出の手間がかかる可能性もあるので、専門家に相談することが時間短縮とも言えます。 当事務所ではプライバシーマークの申請を専門に行っていますのでお気軽にご相談ください。  

2020.10.19

コロナ感染者の行動履歴を把握することは個人情報保護法上良いのか？

連日、コロナウイルスの感染者の情報がテレビやネットなどで見かけますが、感染者の方の行動履歴が詳細に公開されていることに疑問を感じることもあるのではないでしょうか。 「どこに行ったか全部公開されて怖い」 「個人情報保護ってどうなってるの？」 「自分の行動が公開されるのは感染より怖い」 こう言った意見を実際に耳にしたりしています。 また、国や行政機関もコロナウイルスに絡んだ情報の積極公開と個人情報保護に関しては板挟み状態だ。とコメントをしており、対応に苦慮する部分もあります。 今回はなぜこういったことが法的にOKになっているのか、個人情報の取り扱いの観点から触れていこうかと思います。   【個人情報保護法上どうなってるの？】 まず個人情報保護法上、どうなっているかですが今回行動履歴を収集しているのが、主に国の機関や地方公共団体になります。 こう言ったところは個人情報保護法2条5項の中で個人情報取扱事業者から除外されています。 ですので、個人情報保護法上、何か制約が課せられたり、罰せられることはありません。 つまりこう言った機関に対して個人情報保護法の義務を課すことは出来ないことになってきます。 では、法的に制限が一切ないのでしょうか、、、そう言ったことはありません。 国の機関や地方公共団体が拘束される法律もあります。 それは行政機関個人情報保護法や各地方公共団体の個人情報保護条例です。 個人情報保護法が主に民間企業を対象にした法律であれば、行政機関個人情報保護法や個人情報保護条例は国や地方公共団体を対象にしたものになります。 ※個人情報保護条例はその地域の企業も対象にしています。     【行政機関個人情報保護法などでどう書かれているか】 行政機関個人情報保護法の8条2項の2では「行政機関が法令の定める所掌事務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当な理由のあるとき」という条文があります。 ※行政機関個人情報保護法の8条2項の2から引用 恐らく、行政機関はこの条文を根拠に感染者の個人情報を収集・取得しているものと思われます。 各自治体や国の会見を見ている限り、会見の中では氏名などの公表はなく、世間一般に個人情報は公開されていない状況です。 ただ、行政内では細かな行動内容の把握をするために個人情報を取得・収集・解析を行っている状況です。 マスコミなどはぼかしがある状況ですが、感染者の方の行動に関する動画を出したりしておりますが、マスコミは元々個人情報保護法の中でも対象外に定まっているので、直接的な個人情報保護法の規制が報道に関する部分では規制されない状況です。   【その他の法律でどう定まっているか】 今回のコロナウイルスに関して、情報公開などは他にどんな法律で定まっているのでしょうか。 1つ根拠して感染症法というものがあります。 この法律の16条では「発生状況や予防に必要な情報を積極的に公表しなければならない」と定められています。 ※感染症の予防及び感染症の患者に対する医療に関する法律16条から一部抜粋 感染拡大の防止や予防のために行動履歴などを公表している形になり、情報公開に関する根拠はこちらの法令が根拠として強いと言えます。 ただ、この法令でもどこまで公表すべきかが定まっていないため、個人情報保護との板挟みになって国や各自治体で情報公開の粒度に差があり、感染予防の弊害になっているとも言えます。 今回のような緊急事態だからと言って国も法律を無視して、個人情報を扱ったりはしていないので、その点は安心してもらいたいところです。   【まとめ】 2020年4月14日には新型コロナウイルスの感染者との接触を探知するアプリの発表もありました。 詳細は下記の記事に記していますが、公表の福祉と個人情報保護・プライバシーの保護のどちらを優先すべきか悩ましいところだと思います。 新型コロナウイルス感染者との接触を通知する携帯アプリについて個人情報保護の観点からの考察 【関連記事】 会社から感染したら教えろと言われたけど言わなくてOK？

2020.10.19

テレワークで個人情報を扱う上での3つの注意点

新型コロナウイルスの影響で現在、様々な規模・様々な業種の会社の在宅勤務が推奨されたり、完全にテレワークが推奨されたりしています。 こういったタイミングで新たな仕事のやり方を模索されてる会社が非常に多いのではないかと思います。 当事務所にもテレワークのルール構築や注意点の相談がよく来ます。 そういった会社の相談で一番多い悩みはテレワークを行う・推奨する上でどう個人情報を取扱わせるべきなのか。という点です。 今回はテレワーク・在宅勤務で個人情報をどう扱うべきなのか3つのポイントに絞ってお話したいと思います。   【テレワークと在宅勤務の違いって何？】 そもそもテレワークと在宅勤務って違うのでしょうか？よくテレワーク＝在宅勤務と考える方も多いですが、実は違います。 テレワークはそもそも、会社の外で仕事をすること全般を指しているため、家での仕事はもちろんですが、喫茶店での仕事するなど、外で仕事をすること全般を指します。 在宅勤務はその言葉の通りで、自宅で仕事をすることを指しています。   【ポイント1：パソコンはどうすべき？】 まず、仕事をする上でパソコンをどうすべきかが、課題になります。 普段からノートパソコンを持ち出し許可しているケースはそのままの運用で良いですが、ノートPCを持ち出し許可していない場合やそもそもデスクトップしかなく、自宅のパソコンで仕事させざる得ない場合などはどうすべきでしょうか。 ・会社PCを持って帰ってテレワークを認める場合 まず会社PCを持って帰る場合ですが、仕事で使っているパソコンがノートパソコンであれば、それを使わせるべきです。理由は誰がどのパソコンを使っているか把握しやすいからです。 ・自宅パソコンを使う場合 自宅のパソコンを使ってテレワークを認める場合ですが、最低限下記のことを従業員に認めさせるべきだと思います。 ・家族とは共有しているパソコンを使って仕事はさせない ・ウイルス対策ソフトが動いているパソコンを使う ・Winnyなど共有ソフトが入ってないこと   【ポイント2：紙資料はどうすべき？】 次に紙に記載された個人情報と言った紙資料ですが、これは基本的に持ち出して自宅に持って帰らせることは禁止にすべきです。 紙1枚からキングファイルに入った大規模な資料など量も様々ですので、紛失リスクが高いですし、基本的に1部しかなく他の人たちと共有もできず、コピーを認めて持って帰ろうものならもう収拾がつきません。 それであれば、紙資料はスキャンし、電子化した上でしかるべき場所からアクセスさせるべきです。 ちなみに個人情報保護法で個人情報を社外に持ち出すことを禁止している。みたいなことをネットで見たことがありますが、そんなことはありませんのでその点は安心してください。     【ポイント3：データへのアクセスはどうすべき？】 3つめですが、パソコンを使って個人情報のデータなどへのアクセスです。 これについてもUSBメモリでデータを持ち帰らせるのは基本的にNGです。個人の私用USBメモリを使わせることなんてもってのほかです。 手段の1つとしてはクラウド上にデータを保存できるサービスを会社で用意する形です。 BoxやOneDriveなどですね。 こういったところに、データを保存しておき、そこからダウンロード・アップロードをする形です。 もう1つは社内のファイルサーバなどに社外からアクセスさせることになりますが、こういったものはネットワークの設定の変更なども必要があり、すぐに利用することは出来ない可能性が高いです。 やる場合も専用のリモートソフトなども活用して、記録が残るようにしておくことが望ましいと思います。 どっちにしても自宅の個人パソコンには基本的にデータは保存させないようにし、残しても1時的でちゃんと然るべき保存場所にいれることが会社や従業員を守る上での必要なセキュリティ対策と言えます。  

2020.10.19

ネットに公開されてる個人情報って勝手に利用してもOK？

インターネット上に公開されている個人情報はどこまで勝手に利用して良いのか、疑問に思ったことってありませんか？ 例えば、行政書士会は登録されている行政書士をインターネット上で検索できるようになっています。     実際に、公開されているから。という理由だけでダイレクトメール等が来たことがある人もいるかと思います。 逆にビジネス上、使って問題ないか悩んでいる企業も多いとも思います。 こういった情報はインターネット上で公開されていますが、果たして勝手に利用して個人情報保護法上、問題ないのでしょうか・・・ インターネットに公開された情報であっても個人情報保護法の規制の対象になります。 今回はインターネット上での個人情報の取得等で個人情報取扱事業者(会社)が留意しなければならない点について説明していきます。   【個人情報収集時の留意】 インターネット上で入手できる個人情報について、収集・取得する場合は、個人情報保護法における「個人情報」の取得に関する規制の対象になります。 インターネット上での個人情報の取得の有無が問われる場面としては下記のようなケースが想定されます。 ① 情報を単に画面上で閲覧する場合 ② 情報を転記の上で検索可能な状態にした場合 ③ 情報が含まれるファイルをダウンロードしてデータベース化する場合 ④ 検索可能化・データベース化までせずにローカルPCに転記等した場合 ①の場合ですが、これは単に見るだけであるので、個人情報保護法ガイドライン通則編３−２−１では取得に該当しないとされています。 ②、③について個人情報保護委員会の公表しているＱ＆Ａでは「個人情報を取得したと解し得る」と表現されています。 もちろん、④についてもパソコンにコピーする行為も取得と解されるため。上記②から④の事例を含めて「取得」にあたり、個人情報保護法の規制がかかると考え行動すべきだと判断できます。   【個人情報の収集・取得時にすべきこと】 では、個人情報保護法の規制の対象になるとして、会社・事業者としては収集・取得時に何をしなければならないのでしょうか。 個人情報保護法の18条1項ではこう定められています。 個人情報を取得する場合、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を、本人に通知し、または公表しなければならない。 ※個人情報保護法18条1項から引用 つまり、自社のホームページでプライバシーポリシーなどの形で利用目的を公表する必要があります。 そうすることで「あらかじめその利用目的を公表している場合」をクリアすることが可能となり、インターネットから収集・取得した個人情報であっても本人への通知・公表は原則として不要となります。 【どのように利用してOKなのか】 3つ目にどのようにインターネット上で収集・取得した個人情報を扱ってOKか。です。 個人情報保護法では下記の通りに定められています。 あらかじめ公表し、または、本人に通知・公表した利用目的の範囲内でのみ利用できる。 ※個人情報保護法16条1項から引用 また、「その範囲を超えて利用する場合には、あらかじめ本人の同意を得なければならない」とも定められています。 ※個人情報保護法16条1項から引用 つまり、予めどう扱うを定めてそれを逸脱して利用するような事態になるのであれば、ちゃんと本人の同意を得る必要があります。 好き勝手に変えることも不可で「変更前の利用目的と関連性を有すると合理的に認められる範囲」と法律に定められています。   【まとめ】 結論として、インターネット上で公開されているとはいえ、れっきとした個人情報に該当し、利用するにあたっては個人情報保護法の順守が必要になります。 また、好き勝手に使ってはダメでちゃんと最初に利用目的を定めてそれを逸脱しないようにしないと法律違反に該当すると認識してください。 個人情報保護に関するお問い合わせはこちら