2022.01.04

どうすべき是正処置!?具体例を入れて解説します！

内部監査などの不適合事項が発生してしまうと是正処置と言うものが発生します。   是正処置と聞くと難しい表現になります、言葉を変えると改善処置と言うことになります。   表現を変えても、一体どのように是正処置を進めるのかイメージがつかない人も多いかと思います。   今回は是正処置の流れを具体例を含めて、触れて行きたいと思います。   内容をイメージしてもらいやすいように内部監査で「クリアデスク（整理整頓）」が実施できていなかった。と言う不適合をベースに話を進めていきます。   ステップ１：不適合内容の確認 まず、最初に実施しなければならないこととしては発生した不適合の内容の確認です。   内部監査で出た「クリアデスク」が実施できていなかった。と言うことが不適合内容になります。 しっかりとその事実、可能であればその詳細（クリアデスクがどのように実施されていなかった等）」を確認することが重要であると言えます。   ステップ２：原因追求 ２つ目のステップは原因の追求です。 是正処置は単に出来ていなかったことをやるだけではありません（今回は場合、クリアデスクが出来ていなかったから、片付けるだけ）。 なぜ、クリアデスクが実施出来ていなかったかをちゃんと原因追求していく必要があります。 書類をしまう場所がなかったからクリアデスクが出来ていなかったのか。退社時に片付けると言う習慣がないから書類が放置されていた。等、原因をちゃんと追求していく必要があります。 今回は「書類をしまう場所がなかったからクリアデスクが出来ていなかった」と言う例をベースに進めていきます、。   原因追求のポイントは「なぜ」を繰り返すことです。ここは時間を少しかけてでもしっかりしておこなかいと次以降の実際の改善がうまくいかず、意味のない是正処置になってしまう可能性があります！   ステップ３：改善案の検討 原因の追求が終われば、次は改善案の検討です。 ここでのポイントは改善案が原因の改善するためのものになっているかになります。 「クリアデスクが出来ていなかった。」と言う事実ではなくその原因となっている「書類をしまう場所がなかったからクリアデスクが出来ていなかった。」と言う原因を解決するためのものである必要があります。   今回はしまう場所が足りない。と言うことが原因ですので、例えば、「キャビネットを購入して、新しいキャビネットに書類をしまうようにする」等が改善案の１つになってきます。   ステップ４：改善結果の確認 改善案が決まれば、それを実行します。 今回は「キャビネットを購入して、新しいキャビネットに書類をしまうようにする」が改善案になっているので、それを実行します。 キャビネットを購入し、そこに書類をしまうことで、これまで出来ていなかったクリアデスクが実施可能になったかを記録に残していくことになります。   改善案の通りに進んだのであれば、「キャビネットを購入して、新しいキャビネットに書類を仕舞うようにした」と言うのが結果になります。 仮に改善案の通りにいかなったのであればそれを結果として記載する必要があります。   ステップ５：有効性の確認 一番最後のステップは有効性の確認です。 一瞬ピンと来ないですが、実施した結果がちゃんと機能しているかの確認です。   今回のケースですと、「キャビネットを購入して、新しいキャビネットに書類を仕舞うようにした」と言う結果がちゃんと機能しているかになります。 具体的な内容としては新しいキャビネットがちゃんと使われており、クリアデスクが継続されているかがポイントになります。   もし、ここでイメージした結果になっていなかった場合、改善案がおかしかったもしくは原因の解決のための取り組みになっていなかったことになります。 ステップ２か３に戻って再度改善活動を行っていく必要があります。   このように是正処置には多くのステップがあり、時間がかかります。 ですが、ちゃんと筋道を立てて行うことで効果的な改善が行え、同じようなミスや不適合が起きないようになってきますので、しっかりと行うことが重要になります。  

2021.12.18

Pマークは取得しただけで終了ではありません。

取得した後も2年に一度の更新、それ以前に毎年の運用があります。   Pマーク取得後の悩みや当社の運用サポートについてご紹介します。   ・Pマーク取得後の悩みについて Pマークの取得後にこんな悩みはありませんか？   ・毎年の教育実施の方法、教材の内容がわからない ・内部監査ができない ・運用をちゃんとするうえで相談する先がないから自分たちの判断がいいのかわからない ・運用でやるべきToDoがわからない ・担当が変わったからそもそもPマークの管理ができなくなっている   これらはPマークを継続するうえで誰もが直面する悩みです。   ただ、これらの悩みを放置したままで行くと更新の時に非常に工数がかかってしまい、更新審査の際にちゃんと運用できるようにするために改善するよう、非常に面倒な指摘の対応が求められる結果になります。   Pマークの指摘事項はそれを改善しないと更新ができない仕組みになっています。 また、こういった指摘は今後Pマークを継続していく上でのボトルネックになってしまいます。   そうならないためにも日々の継続した取り組み、それを支援するためのコンサルタントの存在が重要になってきます。   【クリアスの運用サポート】 当社ではPマーク取得後のご支援体制もばっちりと整えています。 基本的な運用支援のプランとして下記2パターンを用意しています。   上記の月額サポートにプラスして、訪問でのご支援を希望されるお客様については1回の訪問を60,000円(税別)でオプションが可能です。   おおよそ、更新のタイミングだけでコンサルタントとしてご支援する場合、訪問回数が5回程度になります。 ですが、定期的なメンテナンスとしてしっかり運用の支援に入らせていただいているお客様は年間で1～2回程度の打ち合わせで更新を続けられている方もおられます。   もちろん、各会社様のニーズなどもありますので、訪問回数が多いほど、しっかりとしたサポートが可能であります。 契約スタイルは年間計画になりますが、更新・運用を重ねる度に訪問回数が年々減り、法律が変わったタイミングやPマークの基準が変わったタイミングで手厚い支援をさせてもらうケースもあります。   お客様ごとにカスタマイズ可能なプランにもなっていますのでお気軽にご相談ください。

2021.11.15

個人情報保護法改正により、情報の宝庫「Cookie」の取扱いが変わる！？

昨今の急速なデジタル普及に伴い、個人情報保護法の見直しが3年毎に行われています。 その一環として、2020年、個人情報保護法の改正がなされました（2022年4月施行予定）。 今回のタイミングで改正された内容は複数あるものの、今回は、そのなかのひとつを、私たちの生活にも身近な「Cookie」の取扱いを例にあげながらみていきたいと思います。   「Cookie」とはそもそも何？   私たちは毎日たくさんの情報をウェブサイトから収集します。 スマートフォンが普及した現在では、尚更のことでしょう。 そんなときに多くの人が使用するのが、「ウェブブラウザ」です。 「ウェブブラウザ」とは、パソコンやスマートフォンでウェブサイトを立ち上げるときに使用するアプリのことです。 例えば、「Safari」 、「Microsoft Edge」、「Google Chrome」などがそれにあたります。   「Cookie」はこれらのウェブブラウザに勝手に保存されるファイルのことを指します。 通常私たちはこのファイルを直接見ることはできません。 この「Cookie」には、私たちがどのようにウェブブラウザを使用したかが保存されています。 例えば、某通販サイトでショッピングをしようと思い、興味のある商品をカートにいれた場合、最終的に購入に至らなくても、その一連の行動が「Cookie」というファイルに保存されます。 つまり、「Cookie」は、私たちユーザーの情報がぎっしりつまった情報の宝庫なのです。   「Cookie」は「個人情報」にあたる？   結論からいうと、「個人情報」にあたる場合もあるし、あたらない場合もあります。 例えば、ウェブサイトで会員登録をするために氏名や住所を入力した場合、氏名や住所が「Cookie」に保存されるので、特定の個人を識別することができ「個人情報」にあたるといえます。 ※ここではざっくりと「個人情報」を定義していますが、詳しくはこちらを参照してください。 https://www.ppc.go.jp/files/pdf/201212_personal_law.pdf（個人情報保護委員会HPより引用）   では、「Cookie」に保存されたユーザーの検索履歴やクリック履歴などは「個人情報」にあたるのでしょうか？ こちらは、氏名や住所などのように個人を識別することができないので、これだけでは「個人情報」にあたるとはいえません。   しかし、このようにもともと「個人情報」にあたらない「Cookie」でも、いずれ「個人情報」になってしまう種類のものがあります。 これについてもう少し深く掘り下げてみましょう。   「Cookie」のグレーゾーン   例えば、とあるユーザー（Aさん）が某サイトで興味のある商品Bをカートにいれました。 「Cookie」からこれらの情報を収集した某広告会社Cが、第三者の企業Dにこの情報を提供しようと考えました。 ここだけをみると、Aさんの「個人情報」の提供ではないように思えます。 なぜなら、氏名や住所などAさんと識別する情報がないからです。 しかし、問題はここからです。 実はこの第三者の企業Dは、Aさんの氏名や住所等の顧客情報をもともと所持していました。 そして、広告会社Cから提供された情報と、自分がもっている顧客情報を簡単に組み合わせて、「AさんがBをカートにいれた」という情報を結果的に手に入れました。 もともと「個人情報」でなかったもの（誰かがBをカートにいれた）が、いまや「個人情報」（AさんがBをカートにいれた）となってしまったのです。   これが、いわゆる「Cookie」のグレーゾーンです。 そして、もともと「個人情報」に該当しなかったデータが、第三者の手にわたることで「個人情報」に該当してしまうこうしたケースについて、改正前の個人情報保護法に明確なルールはありませんでした。   2020年の個人情報保護法改正により「Cookie」の取扱いが変わる！   2020年、個人情報保護法の改正により、こうしたグレーゾーンに対しても、しっかりとしたルールが適用されることになりました。 具体的には、広告会社Cと第三者の企業Dの両方に以下のルールが課されることになります。   ・広告会社C 「Cookie」のデータ提供について、本人Aからの同意が得られているかを事前に確認しなければならない。   ・第三者の企業D 「Cookie」のデータをもらうことについて、本人Aからの同意を得なければならない（同意を得るのはC、Dどちらでもよいとされているが、実際はDのケースが多いと想定）。   ・C,D両者 「Cookie」データのやりとりについて記録を残さなければならない。   以上のように、個人情報保護法の改正に伴い、「Cookie」の取扱いが大きく変わり、私たちユーザーの「個人情報」について、より強固な保護規定がつくられることとなりました。 と同時に、「個人情報」を取り扱う企業は、これまで以上に注意して「個人情報」を取り扱うことが要求されることとなります。

2021.02.08

再教育とならないための個人情報保護教育！

  プライバシーマークの取得・維持にあたっては最低年1度、個人情報保護に関する教育を行う必要があります。   教育実施にあたってはこんな相談をよくもらいます。 ・どんな教材が良いのか ・理解度の確認って何するの？ ・受講形式は？   様々な疑問を抱きながら皆さん教育を行っています。 また、審査の際に全否定され、再教育・・・なんて自体になると面倒なことになってしまいます。   そうならないようにするめにプライバシーマークにおける教育のポイントに触れていきたいと思います。   【教材の内容について】 皆さん一番悩むのが教材です。 インターネットに転がっているものをそのまま使っていいのか、IPAなどのサイトに公表されているものを使って問題ないのか、動画はありなのか。様々あります。 ですが、まず重要視しないといけないのは要求事項で求められている内容を満たせるかです。   ＊JISQ15001:2017付属書Aから抜粋 要求事項であるJISQ15001:2017付属書AのA3.4.5には上記のように定められています。 それぞれのポイントを触れると下記のようなものになります。   a)について 個人情報保護方針は会社がそれぞれ作っている方針を指します。 教材の方針を記載したり、添付資料としてつけるなど方針をについて認識させることが重要です。   b)について ここで重要なことは「重要性」と「利点」です。 なぜ、個人情報保護を自分の会社で行う必要があるのか、個人情報保護を行うことに自分の会社ではどういった利点(メリット)があるのかを触れることが重要になります。   c)について c)で触れられていることは「役割」と「責任」です。 Pマークにかかわる人たちにどんな役割が与えられていて、どんな責任があるのかを教材内に触れていく形になります。   d)について 最後のd)ですが、ルール違反等をしてしまった場合にどんな結果が待っているのか、会社として従業員としてそれぞれに触れることがポイント言えます。   上記のポイントを押さえた内容が最低限教材の内容として求められます。   【理解度の確認】 次に教育実施時にやらなければならない理解度の確認です。 これは分かりやすいものとしては作成する教材に対応するテストになります。 簡単なものであれば〇×のテストです。   テスト以外にも感想文やグループワークも効果的です。   重要になってくるのは、「受講対象者全員の受講が確認できるものになっている」ことが重要です。     【教育の受講形式】 3つ目は教育の実施方法です。 一番分かりやすいのは対面での講義の実施です。 ですが、最近のコロナ禍もあり、なかなか集まれない状況にあります。。。   ＊Pマーク申請書類から一部抜粋 実はプライバシーマークの申請書のサマリーには上記の項目があります。 Eラーニング、集合研修、テキスト配布の自習は認められているものになります。   これら以外にも動画の視聴も教育の友好的な実施方法として、良いものになります。   教育にあたっては様々形式があり、答えがないものになります。 自信をもって審査に臨んだら、審査員と解釈の違いで教材についてNGが出てしまうこともあります。   ポイント押さえて、そのリスクを軽減するようにしましょう！                      

2021.01.19

内部監査って「いつ」「だれに」「どうやって」にするの？

Pマークの取り組みで絶対やらなければならない取り組みの1つに内部監査があります。   やらなければならないことは知ってるが、具体的になにをどうすべき意外と知らずに審査の際に指摘されるケースが多いです。 今回はPマークの取り組みにおける一大イベントである内部監査について触れてみたいと思います。   【いつやるの？】 まず、内部監査実施頻度・時期についてです。 Pマークの取り組み上、年に一度は内部監査の実施が必要になります。 Pマークの更新審査は二年に一度ですので、更新審査の際には2回分の監査記録が最低限あるはずです。   実施時期については会社ごと任意になります。 実際に社内規定で策定した実施時期が実施月の目処になっていると考えてください。 あまり、規定に定めているものを無視してやっていると審査の際に注意される可能性があるので気を付けましょう！   【内部監査の対象】 内部監査の対象(被監査対象)ですが、これは会社によって変わってしまいます。 原則として求められる監査対象を紹介したいと思います。   適合性監査 まずは適合性監査です。 これは具体的にはPマークの文書が対象となる内部監査になります。 Pマークの文書が要求事項であるJISQ15001の付属書Aに適合できているかを監査することになります。   管理者への監査 次は個人情報保護管理者への監査です。 会社によって名称は異なりますが、Pマークの責任者への監査になります。 実施のポイントしては個人情報保護管理者が要求事項で実施が求められることを実施出来ているかの監査になります。   現場への監査 3つ目は現場への内部監査です。 拠点ごと、部署ごと、単位としては会社の規模や業務内容等によって決めていくことなります。 監査の内容としては安全管理のルールとして定めた内容が守られているかの監査を行うことなります。   【どうやってやるの？】 では内部監査は具体的にどのようにやっていくのでしょうか。 ポイントは以下の3つです。   内部監査計画書 まず1つ目は計画書の作成です。 監査実施にあたっては計画を立てて実施することが求められています。 つまり、監査計画がないのに監査を実施しているとなるとPマークの要求を満たしていない監査になると判断できます。   チェックリスト 次に監査チェックリストの用意です。 Pマークの監査においては、チェックリストを使った記録がないと審査の際に指摘されます。 理屈としてはチェックリストがなければ、誰にどのようなチェックをしたのかが分からないため、ちゃんと監査がなされたかが確認できないことが理由です。 Pマークのための記録となってしまうため、少々納得しがたい人もいるかもしれませんが、監査人が初心者であったりするとチェックリストがあった方が、しっかりと監査の実施ができるので重要なものとも言えます。   報告書 3つ目は監査実施後に作成する報告書です。 報告書がないとチェックリストの記録があっても実施が完了したとは判断が出来ません。 チェックリストの記録はあくまでチェックした内容の備忘録に過ぎませんので、最終的な監査結果は報告書に記載されると判断することになります。   【最後に】 内部監査はこれまでの流れで完了！となります。 ですが、監査の結果「不適合」の事項などの発見があると改善の活動として是正処置の実施が必要となってきます。 是正処置も手順が定まっているものになりますので、要求事項・手順に沿っての実施が求められてきます。

2021.01.16

Pマークの従業者管理で求められる3つのこと！

  プライバシーマークを取得するにあたってその会社で働いている従業者の管理・監督は必要になります。 ここで言う「管理」「監督」とは何のことを指すのでしょうか。 端的に言うと従業者の管理・監督は個人情報の会社の中での安全が守られるようその会社で働く人から漏れないようにするための施策です。 どのようなことが求められるかを今回はご紹介したいと思います。   【従業者と従業員の違い】 さて、説明の前に一般的に従業員と言われる呼称をPマークは従業者と使っています。 この違はいったいなんでしょうか。まずは違いをご紹介します。 従業員 従業員とは、企業と労働・就労契約を結んで雇用されている人を指します。 一般的には、正社員、契約社員、アルバイトを指します。 従業者 個人情報取扱事業者の組織内にあって直接間接に組織の指揮監督を受けて組織の業務に従事している者などをいい，雇用関係にある従業員（正社員，契約社員，嘱託社員，パート社員，アルバイト社員など）だけでなく，雇用関係にない従事者（取締役，執行役，理事，監査役，監事，派遣社員など）も含まれる。 ※JISQ15001:2017から一部抜粋 違い 従業者の方が定義として広いものと考えてください。 つまり、Pマークにおいては従業員だけではなく、社長を含む取締役から派遣社員までも管理される人の対象に含まれると定義しています。   【誓約書】 まず、1つ目は誓約書の取得です。 ‘Pマークにおいて、個人情報保護を言及した誓約書が求められるわけではありません。機密情報を漏らさない。という内容のもので問題ありません。 書かれてないといけないような項目は下記のようなものになります。 ・在職中、仕事で扱う情報を外部に漏らすようなことをしない ・万が一のことがあれば、賠償されても文句を言わない ・退職後も同様の誓約を負うこと また、退職時に誓約書を取得ことは任意となります。   【就業規則】 2つ目は就業規則になります。 安全管理のためのルールで定めた内容に違反した際の規程が整備されていることが求められます。 これは就業規則で賄うことが一般的です。   就業規則に会社ルールに違反した際の取り決めがあることが求められます。 それはルールに違反した際の罰則です。 ルールに違反したら懲戒処分等がなされることが書かれていることが要求になります。   【モニタリング】 3つ目はモニタリングです。 これは必須の事項ではありません。 実施する場合にはちゃんと規定し、実施することが必要になります。 モニタリングとは下記を指しています。 監視カメラによるモニタリング モニタリング行為の1つは監視カメラによるモニタリングです。 どのようなことかと言うと仕事のエリア内にカメラを設置し、防犯目的ではなくちゃんと仕事をしているかなどの監視行為を目的として撮影・録画を行うことを指します。 ※防犯目的のカメラ設置とは明確に目的を違っていることがポイントです。   ログ収集ソフトによるモニタリング もう1つはログ収集ソフトを使ってのモニタリングです。 カメラでのモニタリングと同じ理屈になりますが、収集するログの目的が仕事をさぼっていないかなどの監視目的になるとモニタリング行為となります。   まとめ モニタリング行為を行う場合、個人情報を収集・取得しているとも取れますので、個人情報の直接取得と取られると考える必要があります。