fbpx

情報セキュリティにまつわる
お役立ち情報を発信

自社管理のPマークを明確にする

事業者の方が、プライバシーマーク(Pマーク)を新規で取得しようとする場合にはまず、社内において、個人情報保護マネジメントシステム(PMS)をつくりあげておかなければなりません。その後で、プライバシーマークの新規取得に向けて、本格的に動き出すことになります。プライバシーマークを取得するにあたっての流れとしては、プライバシーマーク付与認定機関に宛てて、その事業者内での個人情報保護の保護体制を実際に判断してもらうための申請書を送ることとなります。その後、審査会で認められれば、無事、Pマークを発行してもらうことができます。また、はじめてプライバシーマークを取得しようとする場合には、プライバシーマーク取得支援サービスを利用して、コンサルタントからの専門的な立場からの助言を受けていくことによって、その取得期間の短縮化などを図ることができます。

Pマークの管理を自社で明確化していくために

適切な形で、プライバシーマークを自社で管理していくためには、前述した通り、個人情報保護マネジメントシステムという、個人情報を取得した事業者が、漏洩しにくい規則をつくりあげていかなければなりません。個人情報の流出を完璧に防ぐ手立ては、無いに等しいものとなっているのが現状なので、いかにして個人情報漏洩の危機に対して対策を施していくのかが問われてきます。個人情報漏洩のリスクを完全に防ぐことはできませんが、少しでも漏洩を防止するためにできることは、プライバシーマークを取得しようとする事業者や各種団体内における、自社で運用しやすいルールづくりをするとともに、それらのルールに問題があると認められた場合には、速やかに改善し、見直すことができるといった仕組みづくりのほか、JISQ 15001の基準要項に沿った形でそれらの規則をつくりあげていくということが必要となります。個人情報を保護していくためには、無理なく運用することができる個人情報マネジメントの規則集の作成が必須となってくるのです。そのため、事業者内の個人情報保護を担当している方は、様々な可能性を考慮し、運営しやすい個人情報保護のマニュアルに書き換えていくことで、従業員たちへの個人情報の漏洩防止に対する意識を高めていかなければなりません。このような形で、実務との兼ね合いを見ながら、個人情報が漏洩しづらい規則を構築していくことで、無理のない運営が可能となっていきます。

Pマークの取得にあたり個人情報保護管理者が必要

プライバシーマークを取得するにあたっては、事業者内に、個人情報保護管理者をおかなければなりません。その点については、事業者内部でどのような立場の方を、個人情報保護の担当者とすればいいのかがわからないといったケースもあります。個人情報の保護の担当者を決める際には、どんな方がふさわしいのかその基準をあげてみれば、当然のことながら、個人情報保護に関する知識を持った方でなければならないといえます。この個人情報保護の担当者は、プライバシーマークの仕組みや規則の理解、そしてその運用を任されることとなってきます。プライバシーマークの新規取得時や更新時には、その審査時の対応などにあたることとなりますので、個人情報保護の必要最低限の知識が必要となってきます。しかし、この個人情報保護の担当者になるためには、とくに資格といったものは必要ないので、基本的には誰でもその担当となることができます。ただし、法律上の観点から、事業者の監査役となっている方々は、この担当者となることはできないという制限が設けられています。また、プライバシーマークの新規取得・更新の際には、JISQ 15001が要求事項となっているので、個人情報を保護していくうえにおいてその責任を持っている、事業者の取締役にあたる方が担当者になるといったことが理想的になります。同時に、この担当者となる方の必要な条件としてあげられるのは、その会社の事業内容を全体的に把握していることや、プライバシーマークの個人情報保護の運用していくうえで、従業員たちに対して、指示できる立場にある者が、その担当者となるにふさわしいといえます。また、冒頭で述べた個人情報保護マネジメントシステム(PMS)をつくりあげていくうえにおいても、この個人情報保護の担当者が、その職務にあたることとなってきます。また、事業者が取り扱っている個人情報が流出してしまわないようにするためには、業務フローを確認することのできる図面や、台帳といったものなどを作成することにより、効率的に個人情報の保護をすることが可能となります。その際には、電子的な情報ならパソコンや外部ディスク、DVDなどを使用するのかや、プリントアウトされたものであれば、戸棚を保管場所とするのかなどといったように、個人情報が記録されている各メディアによって、セキュリティーの面で問題がないように保管することが求められてきます。

個人情報流出に備えて対策を講じる

プライバシーマークの新規取得前後、あるいは2年毎のPマーク更新の際には、事業者内部における個人情報の漏洩保護の体制が重要になってきます。この体制に不備があれば、その分だけ個人情報が流出してしまうといったリスクが高まっていき、万が一漏洩してしまうようなことになってしまった場合には、社会的な信用と信頼性を失ってしまうこととなります。そのため、個人情報の漏洩リスクに関しては、従業員たちに対して、通常業務で使用しているパソコンや、USBメモリなどをはじめとする情報記録媒体の取り扱い方に十分な注意を払うような啓蒙活動も必要となってきます。そのほかにも、仕事上で扱っている情報を、安易に記録媒体へとコピーしないようにするといったことや、OSのセキュリティーアップデートを必ず行うようにするといったことも、個人情報流出リスクを抑えるためには重要な作業となってきます。そして、業務用パソコンを社外で使用しようとする場合には、必ず個人情報保護の担当者などからの許可を受けるようするといったことも、その漏洩リスクを引き下げることとなります。また、従業員たちが業務で使用しているパソコンが、コンピューターウイルスに感染してしまった場合の対処方法なども、事前に伝えておくといったことも必要です。ウイルス対策ソフトと使用していたとしても、その穴をくぐり抜けて、ウイルスにやられてしまうケースもありますので、それら有害なウイルスを検出した際には、まずパソコンにつないでいるLANケーブルを取り外したり、Wifiをオフにするなどの、具体的な対策を速やかにとるように伝えておくことで、事故が起きた際には、その被害を拡大させないようにすることができます。こうした対処を行わないでいれば、二次的な被害へと発展していってしまいますので、被害を最小限に食い止めるように努めていくことが、多数の個人情報を取り扱っている事業者にとっては、非常に大切な姿勢となってきます。

個人情報保護対策を抜かりなく行なっている事業者などに、プライバシーマーク指定審査機関に申請して認められれば付与されるPマークの自社管理は、無理なく運用できる個人情報保護マネジメントシステム(PMS)の作成が必要です。そして、業務に携わる従業員たちへの個人情報漏洩防止のための教育もまた同時に、留意すべき点となってきます。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る