プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

プライバシーマーク

このエントリーをはてなブックマークに追加
NEW FEEL社プライバシーマーク取り消し
(画面はJIPDECのWebサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、委託元の熊本市の承諾を取ることなくマイナンバーの取り扱いを別の会社に再委託していた合同会社NEW FEEL(熊本県熊本市)に対して、1月10日付で「プライバシーマークの付与取り消し」の措置をとると発表しました。

プライバシーマークの取り消しは、先日のリクルートキャリアに続くものです。

プライバシーマーク・Webサイト
https://privacymark.jp/certification_info/rlist.html

熊本市の広報発表
https://www.city.kumamoto.jp/hpKiji/pub/detail.aspx?c_id=5&id=24289&class_set_id=2&class_id=3054

プライバシーマーク制度における欠格事項及び判断基準
https://privacymark.jp/system/guideline/pmk_pdf/PMK510.pdf
プライバシーマーク制度における欠格事項及び判断基準
(画面は上記文書より)

(コメント)
プライバシーマークの付与取り消しになるということは、欠格レベルが「10」ということです。これは事業者が故意にその事件を起こしたか、または過失であったとしても、事業者に大きな責任があり、内容が重大であり、本人への影響も大きいと判断されたということになります。


このエントリーをはてなブックマークに追加
リクルートキャリア社に対するプライバシーマーク取消の措置
(画面はJIPDECのWebサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、就職希望者に対して同意を取ることなく推定内定辞退率の第三者提供を行っていた株式会社リクルートキャリアに対して、11月14日付で「プライバシーマークの付与取り消し」の措置をとると発表しました。

https://privacymark.jp/news/system/2019/1114.html

プライバシーマーク制度における欠格事項及び判断基準
https://privacymark.jp/system/guideline/pmk_pdf/PMK510.pdf
プライバシーマーク制度における欠格事項及び判断基準
(画面は上記文書より)

(コメント)
プライバシーマークの付与取り消しになるということは、欠格レベルが「10」ということです。これは事業者が故意にその事件を起こしたか、または過失であったとしても、事業者に大きな責任があり、内容が重大であり、本人への影響も大きいと判断されたということになります。


このエントリーをはてなブックマークに追加
2019-11-29 12.20.46

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、このたび、一般財団法人日本エルピーガス機器検査協会(LIA)をプライバシーマーク指定審査機関として新たに認定したと発表しました。これによりプライバシーマークの指定審査機関は19機関となります。

審査を受けることのできるのは、全国LPガス協会/日本コミュニティーガス協会/日本エルピーガス供給機器工業会/日本ガス石油機器工業会の会員と、日本エルピーガス機器検査協会の受検事業者とのことです。

一般財団法人日本エルピーガス機器検査協会(LIA)は、LPガス機器の検査やJIS認証を行っている団体であり、ISO9001(品質)/ISO14001(環境)の審査機関でもあるようです。今回のプライバシーマーク指定審査機関としての認定を受けて、ISOとプライバシーマークの両方をカバーする初めての審査機関になります。

https://privacymark.jp/news/system/2019/1129.html
https://www.lia.or.jp/

また、何か情報が入りましたら、皆様にシェアいたしますね。

このエントリーをはてなブックマークに追加
新審査項目リスト

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて、すでに2017年版JISによる審査が行われています。本Blogでは、この対応方法を掲載していっています。

以前に「新しい審査では文書審査の項目が25項目だけになり、その他は現地審査に移行した」という内容の記事を書きました。

では、具体的にどの25項目が文書審査に残り、どの項目が現地審査に移行したのでしょうか?

そもそも、最新の審査におけるチェック内容はどんなものなんでしょうか?

これに対する答えとして、当社では「新審査項目チェックリスト」というものを用意しました。これは2017年版JIS版の審査における審査項目を一覧にして「文書」「現地」の区分を記載したものです。今回、この文書を皆様に公開いたします。

この資料は、以前に開催した「JIS改正対応セミナー」の動画全編視聴の特典として提供されております。下記のURLからお申し込みください。(無料)。

https://www.optima-solutions.co.jp/form_jis_kaisei3

※なお、MEDIS-DCさんとデータ通信協会さんは、この内容ではなく、独自の審査項目チェックリストを使用しているようです。ご参考まで。

(参考記事)
プライバシーマークの文書審査は25項目だけになりました!
http://www.pmarknews.info/privacy_mark/52094757.html

また、何か情報が入りましたら、皆様にシェアいたしますね。

このエントリーをはてなブックマークに追加
個人情報台帳に「保管期限」の欄を追加

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて、すでに2017年版JISによる審査が行われています。本Blogでは、この対応方法を掲載していっています。

今回、ご説明したいのは、「個人情報台帳に保管期限の欄を追加してください」ということです。これはすでに対応されている方も多いと思いますが、改めて解説しておきます。

2017年の個人情報保護法の改正で、「第19条 正確性の確保」の努力義務の中に、「利用する必要がなくなった個人データの消去」が含まれました。これをうけて、2017年版JISも「A.3.4.3.1 正確性の確保」の中に同様の内容を盛り込むとともに、「A.3.3.1 個人情報の特定」の中で「個人情報台帳に保管期限を記載すること」が明記されました。

この保管期限とは、利用期限とは異なる概念で、事業者としてはこの両方を別々に管理する必要があります。(これについては、下のリンクを参照してください)

というわけで、2017年版JIS対応において、「個人情報台帳に保管期限の欄を追加する」ことは必須とお考え下さい。

2017年版JIS対応について、もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。



※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E

なお、全編の視聴には申し込みが必要です。下記からお申し込みください(無料)。
セミナー開催時に配布した「新審査項目リスト」もご提供しますので、お見逃しなく!
https://www.optima-solutions.co.jp/form_jis_kaisei3

(参考記事)「利用期限」と「保管期限」の違い
http://www.pmarknews.info/privacy_mark/52073245.html

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加
用語の定義は削除

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて、すでに2017年版JISによる審査が行われています。本Blogでは、この対応方法を掲載していきたいと思います。

今回、ご説明したいのは、「個人情報に関する用語の定義は個人情報保護規程から削除しましょう」ということです。どういうことでしょうか?

今回の2017年版JISは、2015年に改正された個人情報保護法に用語の定義がほぼ統一されました。
 個人情報 → 個人情報、個人データ
 開示対象個人情報 → 保有個人データ
 特定の機微な個人情報 → 要配慮個人情報
などです。

同時に、個人情報保護法側で新しく登場した用語がそのまま盛り込まれました。
 個人識別符号
 匿名加工情報
などです。

これらのそれぞれについて、正確な定義を個人情報保護規程の中に書くのはかなり困難です。個人識別符号や要配慮個人情報の定義を正確に記載するには、個人情報保護委員会ガイドライン(通則編)の冒頭の部分をそのまま引用することが必要となることでしょう。

(参考)個人情報保護委員会ガイドライン(通則編)
https://www.ppc.go.jp/files/pdf/190123_guidelines01.pdf

特に、要配慮個人情報については、以前の「特定の機微な個人情報」から対象範囲が微妙に変わっていますが、これは個人情報保護規程から定義を削除して、「特定の機微な個人情報」から「要配慮個人情報」に用語を置換するだけで対応が完了します。

ということですので、今回の2017年版JIS対応を機会に、個人情報保護規程から個人情報関係の用語の定義を削除し、「個人情報保護法とJIS Q 15001などに従う」などとするのがいいでしょう。

2017年版JIS対応について、もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加
継続的改善事項に準ずる指摘とは

皆さんこんにちは。
プライバシーザムライ中康二です。

以前の記事で、プライバシーマークの審査基準であるJIS Q 15001が改正されて2017年版となるのに伴い、審査のやり方自体も新方式に変更され、しかも更新事業者も含め、一気に全部切り替えられたことを書きました。

しかし、更新事業者には、2年間の移行期間が認められており、多くの事業者では最低1回は2017年版JISに対応せずに審査を受けることができます。

では、実際に更新事業者が2017年版JISに対応せず、
従来の規程類のまま審査を受けるとどうなるのでしょうか?
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
↓↓↓↓↓↓お答え↓↓↓↓↓↓↓↓↓↓
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
------------------------------------------------------------
●2017年版JISに対応した「新審査項目リスト」を使って審査(文書審査、現地審査とも)されます。
●2017年版JISで新しく登場した審査項目については、指摘事項とはせず「継続的改善事項に準ずる指摘」となります。
------------------------------------------------------------

これはどういうことなのでしょうか?もう一度よく見てみましょう。

例えば2017年版JISでは、個人情報台帳において、個人情報の「利用期限」だけではなく、「保管期限」も明記することとされました。記載欄の追加が必要になります。

しかし、これをせずに申請するとどうなるかということです。

そうすると「保管期限の欄を追加してください」という「継続的改善事項に準ずる指摘」が出ます。そしてその「継続的改善事項に準ずる指摘」の内容については、今回の審査では改善報告書を提出する必要はなく、「次回2年後の審査までに対応しておいてください」ということになります。ですから、対応しなくても審査は通過できます。

ということは、先回りして規格書を勉強しなくても、審査員が2017年版JISの対応に必要なポイントを教えてくれるので、次回までにそれを修正しておけば2017年版JIS対応は完了してくれるということなんでしょうか?

それはちょっと甘いかな。。。

詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加
プライバシーマークの現地審査の進め方の変更
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

以前の記事で、プライバシーマークの審査基準であるJIS Q 15001が改正されて2017年版となるのに伴い、審査のやり方自体も新方式に変更され、しかも更新事業者も含め、一気に全部切り替えられたことを書きました。今回も、この「新方式の審査」の内容について、解説していきます。

新方式の審査においては、文書審査が25項目だけになり、現地審査の締めるウェイトが高くなりますが、それに加えて、進め方も変更になるとのことです。

従来は、午前中に全社の個人情報台帳とリスク評価のチェックを行って、午後に全社の安全管理策のチェックを行うという流れだったと思います。これを改めて、いくつかの主要な業務ごとに「台帳」「リスク評価」「安全管理策」の順番でチェックを繰り返すことになるようです。

これは、全社一括で見るのではなく、主要な業務ごとにチェックしていくことで、より具体的なリスクをより正確に追いたいということのです。

これにより一番影響を受けるのは「システム●●●」さんですね。

さて、どなたでしょう?

詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
プライバシーマークの新方式の審査とは
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

前回の記事で、プライバシーマークの審査基準であるJIS Q 15001が改正されて2017年版となるのに伴い、審査のやり方自体も新方式に変更され、しかも更新事業者も含め、一気に全部切り替えられたことを書きました。今後、この「新方式の審査」の内容について、解説していきます。

新方式の審査における、最も大きな変更点は、従来の審査と比べて審査項目が大幅に減少したことがあげられます。全体の項目が369項目から126項目に減少したのです。

さらに、内訳を詳しく見ていくと、文書審査が25項目、現地審査が101項目となり、文書審査が大幅に減少していることが分かります。

文書審査については、審査基準の本文テキストの中に「文書化」の3文字が含まれているものだけが項目となっており、そうでないものは全て現地審査に振り分けられるという徹底ぶりです。

う〜む。どういうことでしょう。

もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
プライバシーマークの審査方式変更(1)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて2017年版となり、すでに2017年版での審査が始まっていますが、そもそも審査のやり方自体も大きく変わりました。

※私はこれを「新方式のプライバシーマーク審査」と呼んでいます。

この新方式の審査への移行については、JIPDECから公式発表が行われていないため、ご存じない方もおられるかもしれません。そのため、本Blog上で何回かに分けて、このことをしっかりとご案内したいと思います。

まず、「2年間の移行期間を設ける」とJIPDECは発表しています。ですから、上記の絵のように、新方式の審査が始まったとしても、古い方式の審査も2年間は並行して続けられるのかなと思いましたが、実際にはそうではなく、昨年8月以降に申請した事業者については、全面的に新方式の審査に切り替えられています。

プライバシーマークの審査方式変更(2)

そして、ここからがややこしいのですが、2006年版のままで申請した場合でも、2017年版に対応して申請した場合でも、同じく新方式の審査が行われるのです。

う〜む。どういうことでしょう。

もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
69c35f13
皆さんこんにちは。
プライバシーザムライ中康二です。

ご好評をいただいている「JIS Q 15001改正セミナー」を2月21日に名古屋でも追加開催することとなりました。(昨年11月に東京と大阪で開催したのとほぼ同内容となります)

昨年8月から、プライバシーマークの新しい審査基準「JIS Q 15001:2017」(2017年版JIS)に基づいた審査が始まり、その動向が当社にも戻ってきているところです。また9月には新しいガイドラインの書籍も発売されました。

さあ、プライバシーマーク担当者としては、新方式の審査の進め方が気になることろですよね。
・実際のところ、2017年版JISに基づく審査はどのようなものなのか?
・2006年版のまま審査を受けると何が起こるのか?
・最新のガイドラインには何が書いてあるのか?ポイントを知りたい。
・JIPDECの方が2月ごろの説明会で話した内容はどのように実行されているのか?
などなど、気になる内容を皆さんと共有したいと思います。

いつも通り、プライバシーザムライが一刀両断にばっさり分かりやすく解説します。
どうぞ内容にはご期待ください!

なお、単にお聞きいただいて帰っていただくだけではなく、セミナーの途中で皆さん同士で意見交換をしていただくグループワークや、セミナー終了後に軽食とお飲み物をご用意してのネットワーキングタイムも予定しております。

プライバシーマークの実務担当者様同士でぜひ意見交換していただきたいですし、
個別の質問にも講師や弊社スタッフが多少はお答えできると思います。

DSC_9353
(セミナー)

DSC_9353
(グループワーク)

20180621_009
(ネットワーキングタイム)

皆様、どうぞお集まりください。

************************************

タイトル:「新方式の審査を徹底解説!JIS Q 15001改正対応セミナー」
講師:プライバシーザムライ・中 康二(オプティマ・ソリューションズ株式会社・代表取締役)
日時:2019年2月21日(木)16時から18時25分まで
 (ネットワーキングタイム含む)
参加費:無料
場所:TKP名古屋栄カンファレンスセンター
 名古屋市中区栄3-2-3 名古屋日興證券ビル
・名古屋市営地下鉄 栄駅 8出口 徒歩8分
・名古屋市営地下鉄伏見駅 4出口 徒歩7分
・名鉄 瀬戸線 栄町駅 徒歩10分
https://www.kashikaigishitsu.net/facilitys/cc-nagoya-sakae/access/
 
主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓

btn_semlp2


皆さんと会場でお会いできるのを楽しみにしております!
23316524_1720897361264095_2559799525389876630_n
プライバシーザムライ 中康二

このエントリーをはてなブックマークに追加
2019-01-24 18.02.44
(画面はプライバシーマーク・公式Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

別の記事でご説明した通り、「EUと日本の間の十分性認定」が遂に発効し、EU−日本間の個人情報の国際移転の円滑化が実現しました。

これにあたって、プライバシーマーク制度を運用している(一財)日本情報経済社会推進協会(JIPDEC)・プライバシーマーク推進センターは、プライバシーマークの審査において、十分性認定の規定の適用を受ける事業者に対しては、個人情報保護委員会が定めた「補完ルール」に準じた内容で確認を行うと発表しました。

また申請書類も改訂し、「EU域内に拠点を有している事業者より移転された個人情報を取り扱う事業者様へのアンケート」という項目を追加しました。

これらの中で、特にご参照いただきたいのは「補完的ルールの対象となる事業者」についてという資料です。これはとても分かりやすく今回の対象となる事業者を説明しています。最後のページで、EU居住者から個人情報を直接取得する場合は、現地の法律に従うのが原則になるため、十分性認定は関係なく、したがって補完的ルールの対象にもならず、プライバシーマークの審査でも確認しないと明記しています。

十分性認定に関する補完的ルールへの対応について
https://privacymark.jp/system/operation/suppl_rules/index.html

「補完的ルールの対象となる事業者」について
https://privacymark.jp/system/operation/suppl_rules/pdf/supplrules_kaisetsu_add190124.pdf

個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール(個人情報保護員会)
https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf

プライバシーマーク申請書類の様式の変更について
https://privacymark.jp/news/system/2019/0124.html

(私のコメント)
「補完的ルールの対象となる事業者」の情報は、当然のことを説明しているだけですが、間違いやすいポイントだと思います。実務的な対応として、適切な発表だと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。



↑このページのトップヘ