スキップしてメイン コンテンツに移動

プライバシーマーク リスク分析規程

リスク分析規程には業務フロー図は不要?


プライバシーマーク(JIS15001)には、リスク分析規程を内部規定として設けることを要求しています。しかし、JIS要求事項には、業務フロー図の作成なんて求められていないんですよね。もちろん、個人情報保護法や経済産業省ガイドラインなどにもリスク分析のための業務フロー図作成なんて求めていません。事実、ウチのプライバシーマーク取得支援のコンサルティングでもお客さんに業務フロー図を作ってくれとは頼みませんし、その方法でプライバシーマークが取得できなかったこともないんですよ。


けれども、ちまたのプライバシーマーク関連の書籍や、コンサルティング会社のWebサイトでは、(私が調べた範囲で)ほぼ全て「業務フロー図を作成します(必要です)」とうたってるんですよね。たぶん、プライバシーマーク審査員が作れという風に指導したのが切っ掛け(業務フロー図があれば審査時に指摘しやすいので)だと思うんですよね。で、それを誰かがノウハウとして世間に公表したから定着してしまったのかなと思います。


さて、リスク分析規程の業務フロー図に焦点を絞って書いてきましたが、この業務フロー図作成が楽な作業ならウチの帳票に組み込んでもいいんですけど、業務フロー図作成って作業量が多い割に作るのが難しいという2重苦なんですよ。想像してみて下さい。個人情報を利用している仕事の流れをWORDのオートシェイプを使って取得から廃棄(または消去)までフロー図に書きます。どうでしょう?かなり複雑な図になるはずです。そして、フロー図を作成する工数(時間)も相当必要になるはずです。この作業を、会社で取り扱っている(保護対象とした)個人情報全てに対して実施します。全ての部門・部署を回って個人情報の取扱いの流れをヒアリングして、それをひたすらWORDに入力して業務フロー図を作り上げていきます。決して、無理な作業ではないですが、非常につらい作業になります。なので、ウチではお客さんに業務フロー図の作成は依頼しません。


じゃ、どうすれば業務フロー図抜きでリスク分析規程を終わらせれるのか?といったお話はまた次回。


当ブログの本文は著作権により保護されていますが、商用利用を除きご自由に転送、転載していただいて構いません。できればトラックバックまたは出典を明らかにして頂ければ幸いです。

ラベル:

コメント

コメントを投稿

このブログの人気の投稿

保有個人データに関する事項の本人への周知(法第24条第1項関連)の政令について

個人情報法では、保有個人データについて次のように述べています。 法第24条第1項 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。 1 当該個人情報取扱事業者の氏名又は名称 2 すべての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。) 3 次項、次条第1項、第26条第1項又は第27条第1項若しくは第2項の規定による求めに応じる手続(第30条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。) 4 前3号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 実は、政令に詳細な内容が書かれているのですよ。 内容は次のような感じです。 政令第5条 法第24条第1項第4号の政令で定めるものは、次に掲げるものとする。 1 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 2 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっ ては、当該認定個人情報保護団体の名称及び苦情の解決の申出先 ということは、保有個人データの取り扱いに関する苦情の申し出先は必要と言うことですな。
コメントを投稿
続きを読む

利用目的の特定について

×マーケティング活動のために個人情報を収集します  利用目的の特定について、少しおもしろいネタを仕入れましたので、そのお話をいたします。  個人情報保護法において個人情報の利用目的は法定公表事項になっており、本人に対して「当社は、個人情報をこれこれこう言う目的で取得していますよ」とお知らせする義務があります。なので、個人情報を取り扱う事業者さんでは利用目的を特定しなくちゃいけないわけです。例えば、『通信販売事業において商品をお客様に発送に利用するため個人情報を取得しております』とかですね。  ただ、注意する点がありまして、『曖昧な利用目的は特定したとは判断されない』という事です。上段の例のように、詳しく書かないとだめだと言うことです。その事柄に関して、経済産業省の『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン 概要』に利用目的を特定できていない例が上げられています。 【具体的に利用目的を特定していない事例】「事業活動に用いるため」、「提供するサービスの向上のため」、「マーケティング活動に用いるため」http://www.tohoku.meti.go.jp/joho/kojinjyohohogoho.htm  『マーケティング活動』では漠然としているので、利用目的を特定したことにはなりません。つまり、マーケティング活動を理由に個人情報保護を収集している事業者さんは個人情報保護法に違反しているとみなせます。  さて、ここからが本日の本題です。Googleで、企業の個人情報の利用目的を検索すると『マーケティング活動のため個人情報を取得します』という会社が幾つかでてくるんですね。誰がどう作ると、こんなプライバシーポリシーになるのか謎です。私の想像の域を出ませんが、法律を誤解した人がプライバシーポリシーを作成し、それをみんながコピーしたのではないかと考えています。プライバシーポリシーを作る際に、他社のプライバシーポリシーをコピー&ペーストで作ることも多いかと思います。著作権法違反になる可能性もあるので、おすすめはしませんが、できるだけ内容のしっかりしたプライバシーポリシーを参考にしてください。 個人情報保護法における利用目的の特定について 利用目的の特定:第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目...
コメントを投稿
続きを読む

個人情報保護法における法廷公表事項 法律上だけの解釈

個人情報保護法の法廷公表事項は、法律の解釈だけだと次の通りになっています。 第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。 第十八条 3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。 法第24条第1項 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。 1 当該個人情報取扱事業者の氏名又は名称 2 すべての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。) 3 次項、次条第1項、第26条第1項又は第27条第1項若しくは第2項の規定による求めに応じる手続(第30条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。) 4 前3号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 正確には上記だけです。 ですが、苦情処理や開示方法も暗に公表しろと言っています。 苦情処理や保有個人データの開示修正をするときに連絡先がなければできないんだもん。 ほか、 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」 でもうすこし詳しく説明があります。 ちなみに、「公表」とはどのような状態を指すか 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」 でこのように説明されています。 「公表」とは、広く一般に自己の意思を知らせること(国民一般その他不特定多数の 人々が知ることができるように発表すること)をいう。ただし、公表に当たっては、事 業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならな い。 【公表に該当する事例】 事例1)自社のウェブ画面中のトップページから1回程度の操作で到達できる場所へ の掲載、自社の店舗・事務所内におけるポスター等の掲示、パンフレット等 の備置き・配布等 事例2)店舗販売においては、店舗の見やすい場所への掲示によること。 事例3)通信販売においては、通信販売用のパンフレット等への記載によるこ...
コメントを投稿
続きを読む