プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

プライバシーマーク

このエントリーをはてなブックマークに追加
プライバシーザムライ

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

3月18日、当社では「プライバシーマーク担当者勉強会」をリモート形式で開催いたしました。

前半のパートで私が「2020年個人情報保護法改正6つのポイント」という内容を
お話しましたが、時機を得た内容かと思いますので、配信動画を元に編集したものを
無料配信いたします。

--------------------------------------------------------
タイトル:
「2020年個人情報保護法改正6つのポイント」
講 師 : プライバシーザムライ・中康二(オプティマ・ソリューションズ・代表取締役)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

今後も皆様の役に立つ動画を掲載していきます。
ご期待ください!

このエントリーをはてなブックマークに追加
remote_work
(写真は在宅勤務のイメージです)

皆さんこんにちは。
プライバシーザムライ中康二です。

新型コロナウイルスの流行により、急に注目が集まる「在宅勤務」。
今や事業継続に必須と言ってもいいかも知れません。

そこで時々ある話が「プライバシーマークを取得している企業として、
ISMS認証を取得している企業として、在宅勤務は許されるのか」ということです。

今の状況を踏まえて、私はプライバシーマーク・ISMSの専門家として、
これにお答えしておきたいと思います。

また、プライバシーマーク・ISMS認証を取得している自社で
在宅勤務だけではなくリモートワーク全般に貪欲に取り組んできてますので、
そこで得られた経験から分かっていることにも少し触れてみたいと思います。

(1)プライバシーマーク・ISMS取得企業だからといって
 在宅勤務できないということは「全くない」。


いきなりの結論ですが、プライバシーマークやISMS認証を取得しているからと言って、
在宅勤務ができないということは全くありません。

御社では、社員が出張する際にメールが読み書きできるような仕組みはありませんか?
ありますよね。それと同じ仕組みを全社員に横展開すればいいのです。

情報セキュリティの観点から捉えるならば、在宅勤務も出張も同じです。
むしろ在宅勤務のほうが場所が限定されますから、容易といえましょう。

「いやいやそんなのは全社員分はないんだよ」
「いやいやメールは読み書きできるけど、業務システムが使えないんだよ」
というような声があるかも知れません。

しかし、一部の社員でできているのであれば、環境の整っている人から始めて、
少しずつでも範囲を広げていけばいいということになります。

また、業務システムを在宅勤務で使えるようにするのには、
システム的な対応が必要な場合も出てくると思います。
毎日使うようなシステムについては、なるべく早く対応することとし、
年に一回しか使わないようなシステムについては、出社した時に使うということで
問題ないと思います。

いずれにせよ、プライバシーマークやISMS認証を取得しているからと言って、
在宅勤務ができないということにはなりません。

※もちろん、コールセンターのように顧客の個人情報を集中的に取り扱う業務や、
接客/販売/物流/製造のようなリモートでは実現不可能な業務は除きます。

(2)多くのプライバシーマーク・ISMS取得企業が在宅勤務を「実施している」。

これまでに多くの企業が今回の事態への対応として、
在宅勤務の実施を発表していますが、その中にはプライバシーマークやISMS認証を
取得している会社も含まれています。

GMOインターネット(ISMS取得済み)
ヤフー(ISMS取得済み)
NEC(プライバシーマーク、ISMS取得済み)
コロプラ(ISMS取得済み)
Hamee(プライバシーマーク取得済み)
NTT東日本(ISMS取得済み)
など

これらを見ても、プライバシーマークやISMS認証を取得しているからと言って、
在宅勤務ができないわけではないことが分かると思います。

(3)テレビ会議は意外と大変、メール/チャット/電話で回そう

ここから急に現実的な話になります。

在宅勤務というとテレビ会議をイメージされる方が多いと思うのですが、
これが意外と大変なんですよ。

いざテレビ会議を行おうとすると「ハウリングとの戦い」が始まります。
スマホで一対一の「テレビ電話」をするのはかなり簡単ですが、
業務を行うための「テレビ会議」にしようとすると大変なんですよ。

また、自宅の様子を見られたくないとか、在宅なのに着替えないといけないのか、
化粧しないといけないのかみたいな話もあります。

様々なご意見があると思いますが、私が一つだけ助言したいのは
「在宅勤務にテレビ会議は必須ではない」ということです。

むしろ、メール/チャット/電話を使いこなす方向性で考えたほうが
うまくいくと思います。これは私からの経験を踏まえたアドバイスです。

(参考リンク)
新型コロナウイルス対策としての在宅勤務ノウハウ
テレワーク専門家からの「こだわり」を捨てたアドバイス
https://jbpress.ismedia.jp/articles/-/59428

テレビ会議を劇的に円滑にする簡単なノウハウ
https://kuranuki.sonicgarden.jp/2018/03/tv-meeting.html

今の状況の中で、この情報が皆さんの参考になればと思います。

このエントリーをはてなブックマークに追加

2月27日追記:
本勉強会について、新型コロナウイルス対応の一環として、会場での開催を中止し、全てリモート開催に切り替えます。参加申込みをいただいた後、リモートでの参加方法をご案内いたします。
関連URL:https://www.optima-solutions.co.jp/archives/16473


Pマーク担当者勉強会

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

少しお久しぶりになりますが、人気の「Pマーク担当者勉強会」を3月に東京・大阪・名古屋で開催いたします。テーマはいま最も皆さんが知りたい「個人情報保護法2020年改正/最近のPマーク審査の動向」です。

個人情報保護法2020年改正については、今年春の通常国会提出に向けて、改正大綱が発表されているところです。6か月未満保有の場合も「保有個人データ」に含める/個人情報が漏洩した場合の「報告」と「本人通知」の義務化/罰則規定の見直しなど、いくつかの点で改正が行われる見込みです。開催日までには法律の改正案も出てくると思いますので、それも含めて皆様にご説明いたします。

また、プライバシーマークの審査については、2017年版JISの登場以来、文書審査のチェック項目が25項目だけになるなど、審査方式が大幅に変更され、少し混乱しながらもなんとか前進しているような状態かと思います。この審査方式の変更から1年以上が経過しておりますので、コンサルタントとして経験したこれまでの動きをまとめながら、今後審査を受ける際にどのような点に注意すればいいののか皆様と共有できればと思います。

講師は、前半が私、後半を弊社の遠藤の二人で担当する予定です。

なお、単にお聞きいただいて帰っていただくだけではなく、セミナーの途中で皆さん同士で意見交換をしていただくグループワークや、セミナー終了後にはネットワーキングタイムも予定しております。

プライバシーマークの実務担当者様同士でぜひ意見交換していただきたいですし、個別の質問にも講師や弊社スタッフが多少はお答えできると思います。 
残念ながら行えません

また、今回はファイルフォース株式会社様との共催とさせていただきます。プライバシーマーク取得事業者に最適なクラウド型ファイル共有サービス「ファイルフォース」についてご案内いただきます。

セミナー
(セミナーで知識を得る)

グループワーク
(グループワークで意見交換する)

ネットワーキングタイム
(ネットワーキングタイムで懇親を深める)

集合写真
(最後まで残っていただいた皆さんでの集合写真)

皆様、どうぞお越しください。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師紹介

前半:プライバシーザムライ 中康二(当社代表)
プライバシーザムライ 中康二
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家

後半:遠藤朝永(当社シニアコンサルタント)
endou
オプティマ・ソリューションズ株式会社・取締役
システム開発出身
プライバシーマークの短期取得を数多く手掛けるスーパーコンサルタント


タイトル:Pマーク担当者勉強会「個人情報保護法2020年改正/最近のPマーク審査の動向」
講師:プライバシーザムライ中康二(当社代表)/遠藤朝永(当社コンサルタント)
参加対象者:プライバシーマークの取得事業者の役員、担当者の方
参加費:無料(1社2名様まで)

●大阪開催分
日時:2020年3月4日(水)16時から19時18時まで 受付は終了しました
 (ネットワーキングタイム含む)
場所:TKP大阪梅田駅前ビジネスセンター リモートで開催
 大阪府大阪市北区堂山町17-13 梅田東宝ビル
(各線・梅田駅 地下道M2番出口 徒歩3分/JR大阪駅 御堂筋南口 徒歩5分)


●名古屋開催分
日時:2020年3月10日(火)16時から19時まで
 (ネットワーキングタイム含む)
場所:TKP名古屋栄カンファレンスセンター 中止とします
愛知県名古屋市中区栄3-2-3 名古屋日興證券ビル
(名古屋市営地下鉄・栄駅 8出口 徒歩8分/伏見駅 4出口 徒歩7分)


●東京開催分
日時:2020年3月18日(水)16時から19時18時まで
 (ネットワーキングタイム含む)
場所:グローバルビジネスハブ東京 リモートで開催
 東京都千代田区大手町1丁目9-2 大手町フィナンシャルシティ グランキューブ3F
(東京メトロ・大手町駅直結/JR東京駅からも地下でダイレクトアクセス可能)


主催:オプティマ・ソリューションズ株式会社
共催:ファイルフォース株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2


皆さんとオンラインにてお会いできるのを楽しみにしております!
プライバシーザムライ 中康二

このエントリーをはてなブックマークに追加
NEW FEEL社プライバシーマーク取り消し
(画面はJIPDECのWebサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、委託元の熊本市の承諾を取ることなくマイナンバーの取り扱いを別の会社に再委託していた合同会社NEW FEEL(熊本県熊本市)に対して、1月10日付で「プライバシーマークの付与取り消し」の措置をとると発表しました。

プライバシーマークの取り消しは、先日のリクルートキャリアに続くものです。

プライバシーマーク・Webサイト
https://privacymark.jp/certification_info/rlist.html

熊本市の広報発表
https://www.city.kumamoto.jp/hpKiji/pub/detail.aspx?c_id=5&id=24289&class_set_id=2&class_id=3054

プライバシーマーク制度における欠格事項及び判断基準
https://privacymark.jp/system/guideline/pmk_pdf/PMK510.pdf
プライバシーマーク制度における欠格事項及び判断基準
(画面は上記文書より)

(コメント)
プライバシーマークの付与取り消しになるということは、欠格レベルが「10」ということです。これは事業者が故意にその事件を起こしたか、または過失であったとしても、事業者に大きな責任があり、内容が重大であり、本人への影響も大きいと判断されたということになります。


このエントリーをはてなブックマークに追加
リクルートキャリア社に対するプライバシーマーク取消の措置
(画面はJIPDECのWebサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、就職希望者に対して同意を取ることなく推定内定辞退率の第三者提供を行っていた株式会社リクルートキャリアに対して、11月14日付で「プライバシーマークの付与取り消し」の措置をとると発表しました。

https://privacymark.jp/news/system/2019/1114.html

プライバシーマーク制度における欠格事項及び判断基準
https://privacymark.jp/system/guideline/pmk_pdf/PMK510.pdf
プライバシーマーク制度における欠格事項及び判断基準
(画面は上記文書より)

(コメント)
プライバシーマークの付与取り消しになるということは、欠格レベルが「10」ということです。これは事業者が故意にその事件を起こしたか、または過失であったとしても、事業者に大きな責任があり、内容が重大であり、本人への影響も大きいと判断されたということになります。


このエントリーをはてなブックマークに追加
2019-11-29 12.20.46

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、このたび、一般財団法人日本エルピーガス機器検査協会(LIA)をプライバシーマーク指定審査機関として新たに認定したと発表しました。これによりプライバシーマークの指定審査機関は19機関となります。

審査を受けることのできるのは、全国LPガス協会/日本コミュニティーガス協会/日本エルピーガス供給機器工業会/日本ガス石油機器工業会の会員と、日本エルピーガス機器検査協会の受検事業者とのことです。

一般財団法人日本エルピーガス機器検査協会(LIA)は、LPガス機器の検査やJIS認証を行っている団体であり、ISO9001(品質)/ISO14001(環境)の審査機関でもあるようです。今回のプライバシーマーク指定審査機関としての認定を受けて、ISOとプライバシーマークの両方をカバーする初めての審査機関になります。

https://privacymark.jp/news/system/2019/1129.html
https://www.lia.or.jp/

また、何か情報が入りましたら、皆様にシェアいたしますね。

このエントリーをはてなブックマークに追加
新審査項目リスト

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて、すでに2017年版JISによる審査が行われています。本Blogでは、この対応方法を掲載していっています。

以前に「新しい審査では文書審査の項目が25項目だけになり、その他は現地審査に移行した」という内容の記事を書きました。

では、具体的にどの25項目が文書審査に残り、どの項目が現地審査に移行したのでしょうか?

そもそも、最新の審査におけるチェック内容はどんなものなんでしょうか?

これに対する答えとして、当社では「新審査項目チェックリスト」というものを用意しました。これは2017年版JIS版の審査における審査項目を一覧にして「文書」「現地」の区分を記載したものです。今回、この文書を皆様に公開いたします。

この資料は、以前に開催した「JIS改正対応セミナー」の動画全編視聴の特典として提供されております。下記のURLからお申し込みください。(無料)。

https://www.optima-solutions.co.jp/form_jis_kaisei3

※なお、MEDIS-DCさんとデータ通信協会さんは、この内容ではなく、独自の審査項目チェックリストを使用しているようです。ご参考まで。

(参考記事)
プライバシーマークの文書審査は25項目だけになりました!
http://www.pmarknews.info/privacy_mark/52094757.html

また、何か情報が入りましたら、皆様にシェアいたしますね。

このエントリーをはてなブックマークに追加
個人情報台帳に「保管期限」の欄を追加

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて、すでに2017年版JISによる審査が行われています。本Blogでは、この対応方法を掲載していっています。

今回、ご説明したいのは、「個人情報台帳に保管期限の欄を追加してください」ということです。これはすでに対応されている方も多いと思いますが、改めて解説しておきます。

2017年の個人情報保護法の改正で、「第19条 正確性の確保」の努力義務の中に、「利用する必要がなくなった個人データの消去」が含まれました。これをうけて、2017年版JISも「A.3.4.3.1 正確性の確保」の中に同様の内容を盛り込むとともに、「A.3.3.1 個人情報の特定」の中で「個人情報台帳に保管期限を記載すること」が明記されました。

この保管期限とは、利用期限とは異なる概念で、事業者としてはこの両方を別々に管理する必要があります。(これについては、下のリンクを参照してください)

というわけで、2017年版JIS対応において、「個人情報台帳に保管期限の欄を追加する」ことは必須とお考え下さい。

2017年版JIS対応について、もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。



※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E

なお、全編の視聴には申し込みが必要です。下記からお申し込みください(無料)。
セミナー開催時に配布した「新審査項目リスト」もご提供しますので、お見逃しなく!
https://www.optima-solutions.co.jp/form_jis_kaisei3

(参考記事)「利用期限」と「保管期限」の違い
http://www.pmarknews.info/privacy_mark/52073245.html

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加
用語の定義は削除

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて、すでに2017年版JISによる審査が行われています。本Blogでは、この対応方法を掲載していきたいと思います。

今回、ご説明したいのは、「個人情報に関する用語の定義は個人情報保護規程から削除しましょう」ということです。どういうことでしょうか?

今回の2017年版JISは、2015年に改正された個人情報保護法に用語の定義がほぼ統一されました。
 個人情報 → 個人情報、個人データ
 開示対象個人情報 → 保有個人データ
 特定の機微な個人情報 → 要配慮個人情報
などです。

同時に、個人情報保護法側で新しく登場した用語がそのまま盛り込まれました。
 個人識別符号
 匿名加工情報
などです。

これらのそれぞれについて、正確な定義を個人情報保護規程の中に書くのはかなり困難です。個人識別符号や要配慮個人情報の定義を正確に記載するには、個人情報保護委員会ガイドライン(通則編)の冒頭の部分をそのまま引用することが必要となることでしょう。

(参考)個人情報保護委員会ガイドライン(通則編)
https://www.ppc.go.jp/files/pdf/190123_guidelines01.pdf

特に、要配慮個人情報については、以前の「特定の機微な個人情報」から対象範囲が微妙に変わっていますが、これは個人情報保護規程から定義を削除して、「特定の機微な個人情報」から「要配慮個人情報」に用語を置換するだけで対応が完了します。

ということですので、今回の2017年版JIS対応を機会に、個人情報保護規程から個人情報関係の用語の定義を削除し、「個人情報保護法とJIS Q 15001などに従う」などとするのがいいでしょう。

2017年版JIS対応について、もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加
継続的改善事項に準ずる指摘とは

皆さんこんにちは。
プライバシーザムライ中康二です。

以前の記事で、プライバシーマークの審査基準であるJIS Q 15001が改正されて2017年版となるのに伴い、審査のやり方自体も新方式に変更され、しかも更新事業者も含め、一気に全部切り替えられたことを書きました。

しかし、更新事業者には、2年間の移行期間が認められており、多くの事業者では最低1回は2017年版JISに対応せずに審査を受けることができます。

では、実際に更新事業者が2017年版JISに対応せず、
従来の規程類のまま審査を受けるとどうなるのでしょうか?
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
↓↓↓↓↓↓お答え↓↓↓↓↓↓↓↓↓↓
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
------------------------------------------------------------
●2017年版JISに対応した「新審査項目リスト」を使って審査(文書審査、現地審査とも)されます。
●2017年版JISで新しく登場した審査項目については、指摘事項とはせず「継続的改善事項に準ずる指摘」となります。
------------------------------------------------------------

これはどういうことなのでしょうか?もう一度よく見てみましょう。

例えば2017年版JISでは、個人情報台帳において、個人情報の「利用期限」だけではなく、「保管期限」も明記することとされました。記載欄の追加が必要になります。

しかし、これをせずに申請するとどうなるかということです。

そうすると「保管期限の欄を追加してください」という「継続的改善事項に準ずる指摘」が出ます。そしてその「継続的改善事項に準ずる指摘」の内容については、今回の審査では改善報告書を提出する必要はなく、「次回2年後の審査までに対応しておいてください」ということになります。ですから、対応しなくても審査は通過できます。

ということは、先回りして規格書を勉強しなくても、審査員が2017年版JISの対応に必要なポイントを教えてくれるので、次回までにそれを修正しておけば2017年版JIS対応は完了してくれるということなんでしょうか?

それはちょっと甘いかな。。。

詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加
プライバシーマークの現地審査の進め方の変更
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

以前の記事で、プライバシーマークの審査基準であるJIS Q 15001が改正されて2017年版となるのに伴い、審査のやり方自体も新方式に変更され、しかも更新事業者も含め、一気に全部切り替えられたことを書きました。今回も、この「新方式の審査」の内容について、解説していきます。

新方式の審査においては、文書審査が25項目だけになり、現地審査の締めるウェイトが高くなりますが、それに加えて、進め方も変更になるとのことです。

従来は、午前中に全社の個人情報台帳とリスク評価のチェックを行って、午後に全社の安全管理策のチェックを行うという流れだったと思います。これを改めて、いくつかの主要な業務ごとに「台帳」「リスク評価」「安全管理策」の順番でチェックを繰り返すことになるようです。

これは、全社一括で見るのではなく、主要な業務ごとにチェックしていくことで、より具体的なリスクをより正確に追いたいということのです。

これにより一番影響を受けるのは「システム●●●」さんですね。

さて、どなたでしょう?

詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
プライバシーマークの新方式の審査とは
皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

前回の記事で、プライバシーマークの審査基準であるJIS Q 15001が改正されて2017年版となるのに伴い、審査のやり方自体も新方式に変更され、しかも更新事業者も含め、一気に全部切り替えられたことを書きました。今後、この「新方式の審査」の内容について、解説していきます。

新方式の審査における、最も大きな変更点は、従来の審査と比べて審査項目が大幅に減少したことがあげられます。全体の項目が369項目から126項目に減少したのです。

さらに、内訳を詳しく見ていくと、文書審査が25項目、現地審査が101項目となり、文書審査が大幅に減少していることが分かります。

文書審査については、審査基準の本文テキストの中に「文書化」の3文字が含まれているものだけが項目となっており、そうでないものは全て現地審査に振り分けられるという徹底ぶりです。

う〜む。どういうことでしょう。

もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。




↑このページのトップヘ