スキップしてメイン コンテンツに移動

プライバシーマーク リスク分析規程

リスク分析規程には業務フロー図は不要?


プライバシーマーク(JIS15001)には、リスク分析規程を内部規定として設けることを要求しています。しかし、JIS要求事項には、業務フロー図の作成なんて求められていないんですよね。もちろん、個人情報保護法や経済産業省ガイドラインなどにもリスク分析のための業務フロー図作成なんて求めていません。事実、ウチのプライバシーマーク取得支援のコンサルティングでもお客さんに業務フロー図を作ってくれとは頼みませんし、その方法でプライバシーマークが取得できなかったこともないんですよ。


けれども、ちまたのプライバシーマーク関連の書籍や、コンサルティング会社のWebサイトでは、(私が調べた範囲で)ほぼ全て「業務フロー図を作成します(必要です)」とうたってるんですよね。たぶん、プライバシーマーク審査員が作れという風に指導したのが切っ掛け(業務フロー図があれば審査時に指摘しやすいので)だと思うんですよね。で、それを誰かがノウハウとして世間に公表したから定着してしまったのかなと思います。


さて、リスク分析規程の業務フロー図に焦点を絞って書いてきましたが、この業務フロー図作成が楽な作業ならウチの帳票に組み込んでもいいんですけど、業務フロー図作成って作業量が多い割に作るのが難しいという2重苦なんですよ。想像してみて下さい。個人情報を利用している仕事の流れをWORDのオートシェイプを使って取得から廃棄(または消去)までフロー図に書きます。どうでしょう?かなり複雑な図になるはずです。そして、フロー図を作成する工数(時間)も相当必要になるはずです。この作業を、会社で取り扱っている(保護対象とした)個人情報全てに対して実施します。全ての部門・部署を回って個人情報の取扱いの流れをヒアリングして、それをひたすらWORDに入力して業務フロー図を作り上げていきます。決して、無理な作業ではないですが、非常につらい作業になります。なので、ウチではお客さんに業務フロー図の作成は依頼しません。


じゃ、どうすれば業務フロー図抜きでリスク分析規程を終わらせれるのか?といったお話はまた次回。


当ブログの本文は著作権により保護されていますが、商用利用を除きご自由に転送、転載していただいて構いません。できればトラックバックまたは出典を明らかにして頂ければ幸いです。

ラベル:

コメント

コメントを投稿

このブログの人気の投稿

個人情報保護法の解説

個人情報保護法の対象となる事業者は… 個人情報保護法の対象となる事業者を次のように定義しています。 3 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。 一 国の機関 二 地方公共団体 三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。) ここで、さらに説明が必要になる単語が2つ。 個人情報データベス等 事業のように供している者 個人情報データベースとは次のように定義されています。 2 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。 一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの 二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの とどのつまり、エクセルに入力したデータやあいうえお順に差し込んだ名刺入れが該当するわけですな。 なので、会社の個人情報をすべて紙で保管し、パッとみて分からないようにランダムに並べておけばその会社は個人情報取扱い事業者ではい=個人情報保護法の罰則を受けないと言うわけですねw そんな非効率的な対策をしている会社なんてないと思いますがw そして、もう一つ「事業のように供している者」とは、経済産業省のガイドラインに次のように解説されています。 「事業の用に供している」の「事業」とは、一定の目的を持って反復継続して遂行される同種の行為であって、かつ一般社会通念上事業と認められるものをいい、営利事業のみを対象とするものではない。 わかりにくいので、例を挙げると商品を販売するために、お客様の住所録を使って営業したりすることですな。 また、営利事業のみを対象とする者ではないとありますが、これはNPO法人やボランティア団体なども対象にしているぞと言っているわけです。ただ、別の個人情報保護法がある「国の機関」「地方公共団体」「独立行政法人等」は含まれないですけどね。 まとめると、個人情報保護法の対象になる事業者は、個人情報を記入(入力)した台帳などをもっていて、継続して事業を行っている者となりま
コメントを投稿
続きを読む

はじめまして

地方コンサルタントのeisukeです。 このブログは、私が仕事を通じて学んだノウハウを情報発信します。 私の仕事は、だいたい以下の通り。 ISO9001(品質マネジメントシステム) JIS15001(個人情報保護マネジメントシステム) 生産管理(主に5S指導) Webサイト構築支援 このブログがファイルのアップロード許可していれば、帳票なんかもアップロードしたいですね。 それでは、また次回。
コメントを投稿
続きを読む

個人情報保護法の違反した場合の罰則について

個人情報保護法がザル法だと言われている根拠のひとつが罰則の軽さですよね。 社会的信頼を失うから公表だけでも相当痛いですが。。。 ■個人情報保護法から抜粋 第五十六条 第三十四条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。 第五十七条 第三十二条又は第四十六条の規定による報告をせず、又は虚偽の報告をした者は、三十万円以下の罰金に処する。 第五十八条 法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。)の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、前二条の違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。 ほかの法律を犯していると、重たい方が科せられますから一概に言えませんが、個人情報保護法だけだと、どんなに罪を犯しても30万円ですむわけですね。
コメントを投稿
続きを読む