スキップしてメイン コンテンツに移動

はじめまして

地方コンサルタントのeisukeです。
このブログは、私が仕事を通じて学んだノウハウを情報発信します。
私の仕事は、だいたい以下の通り。
  • ISO9001(品質マネジメントシステム)
  • JIS15001(個人情報保護マネジメントシステム)
  • 生産管理(主に5S指導)
  • Webサイト構築支援
このブログがファイルのアップロード許可していれば、帳票なんかもアップロードしたいですね。
それでは、また次回。

コメント

コメントを投稿

このブログの人気の投稿

個人情報保護法の違反した場合の罰則について

個人情報保護法がザル法だと言われている根拠のひとつが罰則の軽さですよね。 社会的信頼を失うから公表だけでも相当痛いですが。。。 ■個人情報保護法から抜粋 第五十六条 第三十四条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。 第五十七条 第三十二条又は第四十六条の規定による報告をせず、又は虚偽の報告をした者は、三十万円以下の罰金に処する。 第五十八条 法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。)の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、前二条の違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。 ほかの法律を犯していると、重たい方が科せられますから一概に言えませんが、個人情報保護法だけだと、どんなに罪を犯しても30万円ですむわけですね。
コメントを投稿
続きを読む

プライバシーマーク リスク分析規程

リスク分析規程には業務フロー図は不要? プライバシーマーク(JIS15001)には、リスク分析規程を内部規定として設けることを要求しています。しかし、JIS要求事項には、業務フロー図の作成なんて求められていないんですよね。もちろん、個人情報保護法や経済産業省ガイドラインなどにもリスク分析のための業務フロー図作成なんて求めていません。事実、ウチのプライバシーマーク取得支援のコンサルティングでもお客さんに業務フロー図を作ってくれとは頼みませんし、その方法でプライバシーマークが取得できなかったこともないんですよ。 けれども、ちまたのプライバシーマーク関連の書籍や、コンサルティング会社のWebサイトでは、(私が調べた範囲で)ほぼ全て「業務フロー図を作成します(必要です)」とうたってるんですよね。たぶん、プライバシーマーク審査員が作れという風に指導したのが切っ掛け(業務フロー図があれば審査時に指摘しやすいので)だと思うんですよね。で、それを誰かがノウハウとして世間に公表したから定着してしまったのかなと思います。 さて、リスク分析規程の業務フロー図に焦点を絞って書いてきましたが、この業務フロー図作成が楽な作業ならウチの帳票に組み込んでもいいんですけど、業務フロー図作成って作業量が多い割に作るのが難しいという2重苦なんですよ。想像してみて下さい。個人情報を利用している仕事の流れをWORDのオートシェイプを使って取得から廃棄(または消去)までフロー図に書きます。どうでしょう?かなり複雑な図になるはずです。そして、フロー図を作成する工数(時間)も相当必要になるはずです。この作業を、会社で取り扱っている(保護対象とした)個人情報全てに対して実施します。全ての部門・部署を回って個人情報の取扱いの流れをヒアリングして、それをひたすらWORDに入力して業務フロー図を作り上げていきます。決して、無理な作業ではないですが、非常につらい作業になります。なので、ウチではお客さんに業務フロー図の作成は依頼しません。 じゃ、どうすれば業務フロー図抜きでリスク分析規程を終わらせれるのか?といったお話はまた次回。 当ブログの本文は著作権により保護されていますが、商用利用を除きご自由に転送、転載していただいて構いません。できればトラックバックまたは出典を明らかにして頂ければ幸いです。
コメントを投稿
続きを読む

個人情報保護法の法廷公表事項

結局のところ、利用目的と保有個人データに関することのみ公開しなければならないだけですね。 ほかは努力義務なので、できることだけ取り組んでみてくださいな。 プライバシーマークを取得している企業のホームページから、コピーアンドペーストすると運用が大変になりますよ。 法第18条第1項 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。 その他、法第18条第3項・第4項第1号~第3号等に記述がある。 法第24条第1項 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。 1 当該個人情報取扱事業者の氏名又は名称 2 すべての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。) 3 次項、次条第1項、第26条第1項又は第27条第1項若しくは第2項の規定による求めに応じる手続(第30条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。) 4 前3号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 政令第5条 法第24条第1項第4号の政令で定めるものは、次に掲げるものとする。 1 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 2 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先
コメントを投稿
続きを読む