プライバシーマーク制度(JIS Q 15001:2006) [情報セキュリティ]
JIS Q 15001:2006の概要
個人情報の取り扱いに関して適切な処置を講じるために必要な要求事項が規定されています。
JIS Q 15001:2006では、「事業者が、自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利利益を保護するための方針、体制、計画、実施、点検及び見直しを含むマネジメントシステム」を「個人情報保護マネジメントシステム」としています。
個人情報保護マネジメントシステムの主な要求事項
JIS Q 15001:2006に於ける個人情報の定義
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(ほかの情報と容易に照合することができ、それによって特定の個人を識別できるものを含む)。
プライバシーマーク制度の概要
民間企業に於ける個人情報保護措置の実践を促し、それを適切に行っている事業者に対するインセンティブを与えることを目的として、1998年4月から始まった制度です。個人情報を保有している事業者が、JIS Q 15001に準じたマネジメントシステムを構築して運用していることを第三者機関が客観的に評価し、その証明としてロゴマークの使用を許可します。
認定を受けた事業者はロゴマークをパンフレットや名刺、ホームページや契約約款などに使用することができ、対外的に個人情報保護への取り組みの適切性をアピールすることができます。また、消費者にとっては、利用する事業者が個人情報を適切に取り扱っているか否かの判断材料になります。
プライバシーマーク制度の運営状況
プライバシーマーク制度は、プライバシーマーク付与機関と、プライバシーマーク付与認定指定機関の二者によって運営されています。付与機関は、指定機関の指定やプライバシーマーク付与申請の審査と認定、またプライバシーマーク制度全体の運営管理を行っており、一般財団法人日本情報経済推進協会(JIPDEC)がその役割を担っています。指定機関は事業者からのプライバシーマークの付与申請を受けて審査を行います。
プライバシーマークの取得要件
プライバシーマークを認定する単位は事業者(会社)単位となっています(ISMSでは特定の部門などで取得することも可能)。また、プライバシーマークの有効期限は2年間です(ISMSは3年間)。認定を継続するためには、以降2年毎に更新審査を受ける必要があります。
個人情報の取り扱いに関して適切な処置を講じるために必要な要求事項が規定されています。
JIS Q 15001:2006では、「事業者が、自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利利益を保護するための方針、体制、計画、実施、点検及び見直しを含むマネジメントシステム」を「個人情報保護マネジメントシステム」としています。
個人情報保護マネジメントシステムの主な要求事項
- 代表者は「個人情報保護方針」を定め、実行・維持しなければならない
- 自らの事業に用いる全ての個人情報を特定するための手順を確立し、維持しなければならない
- 個人情報について、その取り扱いの各局面におけるリスク(漏洩、滅失又は毀損、関連法令や規範に対する違反、経済的な不利益、社会的な信用の失墜、本人への影響などの恐れ)を認識・分析し、必要な対策を講じる手順を確立し、維持しなければならない
- 個人情報保護に関する次の事項を含む内部規定を文書化し、維持しなければならない
- 個人情報を特定する手順に関する規定
- 法令、国が定める指針、規範の特定、参照・維持に関する規定
- 個人情報に関するリスクの認識・分析及び対策の手順に関する規定
- 各部門及び階層に於ける個人情報を保護するための権限および責任に関する規定
- 緊急事態(個人情報の漏洩、滅失、毀損した場合)への準備と対策に関する規定
- 個人情報の取得、利用、提供に関する規定
- 個人情報の適正管理に関する規定
- 本人からの開示などの求めへの対応に関する規定
- 教育に関する規定
- 個人情報保護マネジメントシステム文書の管理に関する規定
- 苦情・相談への対応に関する規定
- 点検に関する規定
- 是正処置・予防処置に関する規定
- 代表者による見直しに関する規定
- 内部規定の違反に関する規定
- 個人情報を利用するに当たり、その利用目的をできる限り特定し、その目的の達成に必要な限度において行わなければならない
- 本人から個人情報を直接取得する場合には、一部の例外を除き、後述のような事項をあらかじめ明示し、本人の同意を得なければならない
- 事業者の氏名又は名称
- 個人情報保護の管理者の氏名又は職名、所属、連絡先
- 個人情報の取り扱いの委託を行うことが予定されている場合には、その旨
- 本人からの開示、内容の訂正、追加又は削除などの請求に関する問い合わせ窓口
- 本人が個人情報を与えることの任意性及び、与えなかった場合に本人に生じる結果
- 本人が容易に認識できない方法によって個人情報を取得する場合には、その旨
- 個人情報を、その利用目的の達成に必要な範囲内に於いて正確、かつ最新の状態で管理しなければならない
- 個人情報をリスクに応じて、安全管理のために必要、かつ適切な措置を講じなければならない
- 個人情報の取り扱いを委託する場合は、委託先の選定基準を確立し、十分な個人情報の保護水準を満たしている者を選定するとともに、個人情報の安全管理が図られるよう、委託先に対する必要、かつ適切な監督を行わなければならない
- 個人情報の取り扱いの委託に際し、責任の範囲、安全管理に関する事項、再委託に関する事項、個人情報の取扱状況に関する委託者への報告内容、契約不履行時の措置、事件・事故発生時の報告・連絡に関する事項などを契約によって規定しなければならない
- 従業者に対し、個人情報保護に関する教育と監査を定期的に実施しなければならない
- 個人情報保護に関する本人からの苦情及び相談を受け付け、適切、かつ迅速な対応をしなければならない
- 事業者の代表者は、定期的に個人情報保護マネジメントシステムを見直さなければならない
JIS Q 15001:2006に於ける個人情報の定義
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(ほかの情報と容易に照合することができ、それによって特定の個人を識別できるものを含む)。
プライバシーマーク制度の概要
民間企業に於ける個人情報保護措置の実践を促し、それを適切に行っている事業者に対するインセンティブを与えることを目的として、1998年4月から始まった制度です。個人情報を保有している事業者が、JIS Q 15001に準じたマネジメントシステムを構築して運用していることを第三者機関が客観的に評価し、その証明としてロゴマークの使用を許可します。
認定を受けた事業者はロゴマークをパンフレットや名刺、ホームページや契約約款などに使用することができ、対外的に個人情報保護への取り組みの適切性をアピールすることができます。また、消費者にとっては、利用する事業者が個人情報を適切に取り扱っているか否かの判断材料になります。
プライバシーマーク制度の運営状況
プライバシーマーク制度は、プライバシーマーク付与機関と、プライバシーマーク付与認定指定機関の二者によって運営されています。付与機関は、指定機関の指定やプライバシーマーク付与申請の審査と認定、またプライバシーマーク制度全体の運営管理を行っており、一般財団法人日本情報経済推進協会(JIPDEC)がその役割を担っています。指定機関は事業者からのプライバシーマークの付与申請を受けて審査を行います。
プライバシーマークの取得要件
- JIS Q 15001の要求事項に基づいた個人情報保護マネジメントシステムを確立し、運用していること
- 個人情報の保護体制が確立されていること
- 個人情報保護に関する相談窓口を設置し、消費者に明示していること
- 個人情報に関するリスク(不正アクセス、紛失、破壊、改ざん及び漏洩)に対し合理的な管理策が講じられていること
- 企業外部への情報の提供、委託を行う場合の責任分担や守秘に係わる契約をするなど安全管理策が講じられていること
- 教育と監査を年1回以上実施していること
プライバシーマークを認定する単位は事業者(会社)単位となっています(ISMSでは特定の部門などで取得することも可能)。また、プライバシーマークの有効期限は2年間です(ISMSは3年間)。認定を継続するためには、以降2年毎に更新審査を受ける必要があります。
情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)
- 作者: 上原 孝之
- 出版社/メーカー: 翔泳社
- 発売日: 2013/09/13
- メディア: 単行本(ソフトカバー)
2014-03-30 00:00
nice!(0)
コメント(0)
トラックバック(0)
コメント 0