Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.2 法令、国が定める指針その他の規範
プライバシーマークやISO27001などの認証取得のコンサルティング業務の
一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
特集
特集
一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column11.html
こんにちは。今回は前回に引き続き、JISQ15001:2006の要求事項を読み解いてみたいと思います。
今回対象とする要求事項は、「3.3.2 法令、国が定める指針その他の規範」です。本要求事項の主旨は、「自社が関連する法規制を明確にし、従業者が参照できるようにしなさい」ということになります。
個人情報保護方針においても、法令遵守を盛り込む必要があるように、Pマーク取得事業者は、関連法規制を遵守しなければなりません。そのためには、まず自社にどのような法規制が関連しているのか、これを明確にしなければなりません。
ここで、明確にする対象を、「法律」だけで良いと思った方、残念ながらそれでは審査の際に指摘を受けてしまうかもしれません。
この要求事項のタイトルをよく見てみましょう。「法令、国が定める指針その他の規範」となっています。
本要求事項で言われているのは法令だけではありません、「国が定める指針」や「その他の規範」も特定の対象になるのです。それらの分類としては、以下のようになると思います。
・法律
・管轄省庁のガイドライン
・加盟団体の指針やガイドライン
・地方自治体の条例
非常に幅が広がりましたね。これらの中から、自社が関連するものを特定しなければならないのです。世の中には想像以上に法律、ガイドライン等がありますから、考えただけでも気が遠くなる作業だと思います。ただ、世の中には便利なWebサイトがあるもので、以下のものを使ってみると効率良く作業ができると思います。
■法令データ提供システム
http://law.e-gov.go.jp/cgi-bin/idxsearch.cgi
このWebサイトは法律を検索することができます。
例えば、キーワードを“個人情報”として検索してみると、条文の中に“個人情報”という文言が含まれている法律がピックアップされます。
その結果からさらに、自社に関連するものを絞り込めば効率的ですね。
■国民生活政策 - 個人情報の保護
http://www5.cao.go.jp/seikatsu/kojin/index.html
このWebサイトからは、個人情報保護法や省庁ガイドラインを見ることができます。これをもとに自社が関連するガイドラインを特定すれば、効率的ですね。
探せば他にも効率良く作業を進めるためのWebサイトがあると思います。ただでさえ大変な作業ですから、このような方法を使って少しでも効率良く実施することをお勧めします。
もし、Pマークの取得にあたり、外部のコンサルタントの力を借りている場合であれば、きっと“お約束”とされているものが含まれているサンプルがあることでしょう。そちらを使えば、あっという間に終わってしまうでしょうね。
このコラム上でも、ぱっと思いつくものを挙げてみましょう。
・個人情報の保護に関する法律
・労働安全衛生法
・職業安定法
・不正アクセス禁止法
・個人情報の保護に関する法律施行令
・雇用管理に関する個人情報の適正な取扱を確保するために事業者が講ずべき
措置に関する指針
・雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項
について
・個人情報の保護に関する法律についての経済産業分野を対象とするガイドラ
イン
・企業年金等に関する個人情報の取扱い準則
・JISQ15001:2006
・確定拠出年金法 等など
●電気通信事業者であれば
「電気通信法」、「電気通信事業における個人情報保護に関するガイドライン」など
●医療法人であれば
「刑法」、「看護師法」、「医療情報システムの安全管理に関するガイドライン」など
●独立行政法人であれば、
「独立行政法人等の保有する個人情報保護に関する法律」など
●行政機関であれば、
「行政機関の保有する個人情報の保護に関する法律」、「国家公務員法」など
●金融分野であれば
「金融分野における個人情報の保護に関するガイドライン」など
他にも、
●JISAに加盟していれば
「情報サービス産業 個人情報保護ガイドライン」
●日本マーケティングリサーチ協会に加盟していれば
「マーケティング・リサーチ産業 個人情報保護ガイドライン」
等など、本当に数多くの 法令、国が定める指針その他の規範が存在します。
独力で特定される場合には、本作業に使える時間も限られているでしょうから、上記のWebサイトを活用しながら特定し、最終的には審査員に過不足をジャッジしてもらいましょう。ここで指摘を受けたとしても、不足分の追記で済みますから、基本的にそれ程大変な作業ではないはずです…
【執筆:浦名祐輔】
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column11.html
《ScanNetSecurity》