fbpx

情報セキュリティにまつわる
お役立ち情報を発信

Pマークにおいて”周知”が必要な場面

 

プライバシーマーク(Pマーク)にかかわらずどんな業務やプロジェクトや活動においても、関係する人たちに必要な情報を知らせることは重要なことです。

よく“周知させる”とか“周知徹底する”などといった言葉を耳にしますが、“周知させる”とはまさに上記のように決定したことを関係者全員が知ることのできる状態にすることを意味します。

実はプライバシーマーク(Pマーク)上でも明確に“周知させる”ことが要求されている場面があります。その部分においてプライバシーマーク(Pマーク)取得会社は、ただ内容を決めるだけでなく決めたことを関係者に周知させなければならないのです。

さて、プライバシーマーク(Pマーク)では実際にどのようなことが周知させるべき事項として定められているのでしょうか。「周知」というキーワードを軸にしてプライバシーマーク(Pマーク)の規格書であるJIS Q 15001を見ていくことにしましょう。

 

個人情報保護方針を“周知させる”

一つ目に周知させる必要があるのは「個人情報保護方針」です。個人情報保護方針とは取得した個人情報の取り扱い方について内外に向けて宣言する文書のことです。

JIS Q 15001には個人情報保護方針について次のように規定されています。

「事業の代表者は,この方針を文書…化し,従業員に周知させるとともに,一般の人が入手可能な措置を講じなければならない」

確かに周知という言葉が使われています。だれに周知する必要があるでしょうか。まず従業員です。個人情報の取得や取り扱いに関与する従業員に対してもそれ以外の従業員に対しても周知する必要があるのです。

とはいえ従業員に周知するだけでは不十分です。一般の人に対しても周知に準ずる処置を講じなければなりません。

ただし世の中の一般の人全員に対して自社の個人情報保護方針の周知を図るのは困難ですし、必要性もありません。求められているのは一般の人のうち自社の個人情報保護方針を知りたいという意思を持つ人すべてが個人情報保護方針を知れるようにしておくことです。

 

役割、責任及び権限を“周知させる”

二つ目に周知させる必要があるのは「プライバシーマーク(Pマーク)を運用するための役割、責任及び権限」です。

JIS Q 15001には次のように規定されています。

「事業の代表者は,個人情報保護マネジメントシステムを効果的に実施するために,役割,責任及び権限を定め,文書化し,かつ,従業員に周知しなければならない」

ここでも周知というキーワードが登場しますが、この場合の周知の対象はもっぱら従業員です。

会社は個人情報保護の取り組みに関して定めた個々の役割などを従業員たちに知らせなければなりません。役割を更新した場合も同様です。知らなければ役割は果たせませんから、従業員に周知すべきことも当然です。

 

開示対象個人情報に関することを“周知させる”

三つ目に周知させる必要があること、それは「開示対象個人情報に関すること」です。

JIS Q 15001には次のように規定されています。

「事業者は,取得した個人情報が開示対象個人情報に該当する場合は,当該開示対象個人情報に関し,次の事項を本人が知り得る状態…に置かなければならない」

ここでは“周知させる”ではなく“知り得る状態に置く”という表現が用いられていますが、おおよそ似たような意味だと考えて差し支えないでしょう。

そしてこの場合の周知対象は従業員ではなく個人情報の本人、つまりお客様やサービスのユーザーなどということになっています。

まとめ

今回はプライバシーマーク(Pマーク)において周知が求められる場面をご紹介しました。何をだれに周知する必要があるのかという部分を押さえておくとよいでしょう。

こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る