ISO27001/ISMS、テレワークセキュリティ対策支援、プライバシーマーク/Pマーク取得のことなら名古屋のエスケイワード コンサルティング事業部まで
Pマーク・ISO27001取得・運用・テレワーク支援
コンサルティング事業部
お電話でのお問い合わせ
052-953-7167
受付時間 平日9:00~18:00
よくあるご質問
プライバシーマークでどのようなマニュアルを作りますか?
一般的に以下のマニュアルを作成することとなります。
- 個人情報保護方針
- プライバシーマーク基本規程
- 運用面でのマニュアル
- 個人情報一覧表(個人情報管理台帳)
- その他 個人情報保護組織体制図、様式、記録類
①個人情報保護方針
複数あるマニュアル類の中で、最上位にくる物です。
企業のホームページに「個人情報保護方針」もしくは「プライバシーポリシー」で記載してあったりします。最上位とはいえ、文字数自体は多くなく、A4の紙1枚程度で納まることが多いです。また、プライバシーマーク付与事業者は必ず公表してあります。
②プライバシーマーク基本規程
プライバシーマークはJIS Q 15001に準じた個人情報保護マネジメントシステムを構築することが必要となります。(※財団法人日本規格協会が発行しているJIS規格。一般的に、5年を経過するまでに見直しされるとされています。)
プライバシーマーク(Pマーク)の認定を受けるにはJIS Q 15001に準拠した個人情報保護のマネジメントシステムの構築が必要で、また、それに関し教育等による周知徹底をした上で実際に運用し、その状況を監査して必要な見直しが行われていることを申請の条件としています。
JIS Q 15001:2017の付属書Aの項番は以下となります。
|
Plan(計画) | 3.1 | 一般 |
|---|---|---|
| 3.2 | 個人情報保護方針 | |
| 3.2.1 | 内部向け個人情報保護方針 | |
| 3.2.2 |
外部向け個人情報保護方針 |
|
| 3.3 |
計画 |
|
| 3.3.1 |
個人情報の特定 |
|
| 3.3.2 | 法令、国が定める指針その他の規範 | |
| 3.3.3 |
リスクアセスメント及びリスク対策 |
|
|
Do(実施) | 3.3.4 | 資源、役割、責任及び権限 |
| 3.3.5 | 内部規程 | |
| 3.3.6 | 計画書 | |
| 3.3.7 |
緊急事態への準備 |
|
| 3.4 | 実施及び運用 | |
| 3.4.1 |
運用手順 |
|
| 3.4.2 | 取得・利用及び提供に関する原則 | |
| 3.4.3 | 適正管理 | |
| 3.4.4 | 個人情報に関する本人の権利 | |
| 3.4.5 | 認識 | |
| 3.5 | 文書化した情報 | |
| 3.5.1 | 文書化した情報の範囲 | |
| 3.5.2 | 文書化した情報(記録を除く)管理 | |
| 3.5.3 | 文書化した情報のうち記録の管理 | |
| 3.6 | 苦情及び相談への対応 | |
|
Check(チェック) | 3.7 | パフォーマンス評価 |
| 3.7.1 | 運用の確認 | |
| 3.7.2 | 内部監査 | |
| 3.7.3 | マネジメントレビュー | |
|
Act(改善) | 3.8 | 是正処置 |
JISの項番通りつくられるケースが多いですが、P→D→C→A を回すための仕組みのマニュアルと考えて頂ければわかりやすいでしょう。
③運用面でのマニュアル
①と②は大枠の方針のマニュアルとなりますが、それらに細かい内容を記載してしまうと、ルールが変更となった際に改定作業が大変になってしまうかもしれません。細かい運用面のマニュアルは別とした方が管理が楽になるでしょう。
運用面でのマニュアルは以下となります。
- 監査規程(内部監査のルール)
- 情報セキュリティ安全管理(IT機器の管理や、サーバーネットワーク管理方法等)
- 教育規程 (教育の手順や、教育担当者の力量について)
④個人情報一覧表(個人情報管理台帳)
重要なのが、個人情報の管理状態を把握することです。
自社でどれだけ個人情報を所有しているか。また取得はどこからで、どう利用して、どこで(部門や場所)管理して、廃棄はどういう状態かを把握する必要があります。
それらの個人情報を洗い出しして、一覧表としてまとめる事で、個人情報の取り扱いの流れがわかり、リスク管理、安全対策の対応が見えてきます。
⑤その他
- 収集の規程
- 廃棄基準
- 利用 / 提供の規程
- 入退室管理規程
- 管理者・担当者の指名
- リスクアセスメントを実施するマニュアル
- 個人情報管理体制図
- 様式、帳票類等
- 文書管理台帳
- ネットワーク体系図
- フロアレイアウト図
- ハードウェアの台帳管理表
等があります。
ここで大切なポイントは、実際に運用できるマニュアルを作成することです。せっかく立派な規程類やマニュアルを作成しても、マニュアルが多すぎては管理が大変ですし、検査の時だけ使うマニュアルでは意味がありません。
例として、弊社は官公庁や企業(メーカー、医療、サービス、金融など)との取引があるため、情報セキュリティ要件について非常に厳しい審査を受けています。しかし、現場を無視してすべてのルールを細かく決めてしまうようなマニュアルを作成してしまうと、通常業務がまわらなくなってしまいます。そこで弊社では、安全なルールと確実に運用できるルールのバランスをとりながら、具体的な事例をもとにマニュアルを作成し、シンプルでわかりやすいマニュアルをつくっています。
「マニュアルの量が多い」「わかりやすく更新(改定)しやすいマニュアルをつくりたい」など、お困りの場合はお気軽にお問い合わせください。