ISMS のページは現在作成中です。しばらくお待ちください

★★★JIS Q 15001:2006対応 プライバシーマーク認証取得コンサルティング \756,000(標準的なコンサルティングの場合)★★★

1. プライバシーマーク(Pマーク)制度

1-1. プライバシーマーク制度とは

 プライバシーマーク(Pマーク)制度は、事業者が個人情報の取り扱いを適切に行うシステムが整備されていることを認定し、その証として“プライバシーマーク”の利用を認める制度です。
 「個人情報の保護に関する法律」に適合したシステム作りに適した制度がプライバシーマーク制度であり、これを活用することが「個人情報の保護に関する法律」へのコンプライアンス(遵法性)を確かなものにするほか、個人情報保護に関する社会的な意識の高まりに応えることにもなります。
 プライバシーマークの認定を受けるためには、「個人情報の保護に関する法律」の規定を包含するJIS Q 15001:2006(個人情報保護マネジメントシステム−要求事項)に適合したシステムを構築して運用し、それを第三者機関(指定機関)から評価(審査)を受けて検証してもらわなければなりません。

 プライバシーマークの付与対象となるのは、事業者(法人)です。ただし、事業所など事業者の一部門であっても、条件を満たせば付与対象になりえます。
 なお、プライバシーマーク付与の有効期間は2年です。その後は更新の手続きをすれば、2年ごとに更新が可能です。

 プライバシーマーク制度の詳しい情報は、財団法人日本情報処理開発協会のプライバシーマーク事務局のホームページでご覧いただけます。

1-2. プライバシーマーク付与の申請手続き

 プライバシーマークの付与を受けるための手続きは次のとおりです。

 (1)申請
申請書類1式を付与機関(http://www.jipdec.jpで検索可能)または指定機関に送付する。あわせて申請手数料を指定の銀行口座に振り込む。
 申請書類:
  プライバシーマーク付与申請書(様式1)
  プライバシーマーク付与申請書別紙:個人情報保護に係る体制の整備等を示す書類(様式2)
  登記簿謄本(または抄本)等、申請者の実在を証する公的書類
  組織の定款、寄付行為その他これに準ずる規程類
  役員名簿
  マアネジメントシステム文書(JIS Q 15001:2006に準拠したもの)
  マネジメントシステム関連規定
  欠格事項への該当の有無について(様式3)
  JIS Q 15001:2006の各要求事項とマネジメントシステム文書との対応表(様式4)
  教育実施記録(様式5)
  監査報告書(監査実施記録)(様式6)
  その他、申請内容を補足する資料
 様式については財団法人日本情報処理開発協会のプライバシーマーク事務局のホームページから取り出してください。
 (2)申請書類の審査
申請書類の記載項目、添付書類に不備がないか審査を受ける。不備が指摘された場合は修正し、1ヶ月以内に再提出すればよい。ただし、再提出は1回のみに限定される。
 (3)マネジメントシステム文書の審査
申請書類の審査に引き続き、マネジメントシステムおよび教育実施記録、(内部)監査報告書などの内容が審査される。
マネジメントシステム文書の審査には「チェックリスト」(秘扱い)がある。そこに記載されたチェック項目に適合していればOKとなる。教育実施記録・(内部)監査報告書などの実施内容の審査には「システム出来具合チェックリスト」(秘扱い)がある。
 (4)現地審査
マネジメントシステム文書など書類審査が終わると実地の審査があり、審査員が申請企業に出向いて現地審査が行われ、マネジメントシステム文書や関連規定に定められた体制整備状況および運用状況が調べられる。これで不適合が発見されれば(多くの場合そうなる)、所定の期限内に是正しなければならない。是正報告が遅延したり、事業・体制に著しい変更等が生じた場合は、必要に応じて再調査が実施され、追加の調査費が請求される。
なお、現地審査には「現場審査チェックリスト」(秘扱い)があり、ここに掲げられたチェック項目をすべてクリヤしていれば問題ない。
 (5)付与可否の決定・通知
審査の結果にもとづき、プライバシーマーク付与の可否が決定され、通知を受ける。使用料を指定の銀行口座に振り込む。
 (6)許諾証の交付・公表
プライバシーマーク付与の許諾証が交付され、ホームページで公表される。
1-3. プライバシーマークを掲示できるところ

 プライバシーマークを掲示できるのは、次のところです。
 店頭、契約約款、封筒、宣伝・広告用資料、説明書、便箋、名刺、ホームページ

1-4. 料金について

 プライバシーマークの付与を受けるための料金は、事業者の規模によって異なります。新規(初回審査)の場合は、小規模:30万円、中規模:60万円、大規模:120万円 となっています。この料金には審査関係事務、書類審査、報告書作成、現地審査の各費用を含んでいます(審査員の交通費などは含まれていません)。
 その事業者規模の区分は、

製造業その他
資本金:3億円、従業員:300人
卸売業
資本金:1億円、従業員:100人
小売業
資本金:5千万円、従業員:50人
サービス業
資本金:5千万円、従業員:100人
を判断基準にして、資本金と従業員のいずれもが上回る場合は大規模、いずれもが下回る場合は小規模、いずれか一方を満たす場合は中規模になります。これ以外にも細かな条件設定がありますので、財団法人日本情報処理開発協会のプライバシーマーク事務局のホームページで確認ください。

2. チェックリストによる出来具合の点検

 アイソ・ワールド株式会社では、審査に使用されるチェックリストとほぼ同等の「チェックリスト」「出来具合チェックリスト」「現場審査チェックリスト」を用意しています。これによって、出来ばえを点検するコンサルティングサービスも実施します。
 ご希望の場合は、下記宛てまでお申し込みください。

3. JIS Q 15001:2006について

 JIS Q 15001:2006(個人情報保護マネジメントシステム−要求事項)は平成18年5月20日付で1999年版からかなり改正されました。もともとJIS Q 9001(品質マネジメントシステム規格)とJIS Q 14001(環境マネジメントシステム規格)の関係する規格要素を取り込みながら個人情報の保護に見合った焼き直しをし、ISMS(情報セキュリティマネジメントシステム)の色彩を持たせたような規格でしたが、いっそうJIS Q 14001を意識したものとなりました。
 この規格は、次のように構成されています。青色で記載した項目は特に変更が大きかったところです。

  • 1.適用範囲
  • 2.用語及び定義
  • 3.要求事項
  • 3.1 一般要求事項
  • 3.2 個人情報保護方針
  • 3.3 計画
  • 3.3.1 個人情報の特定
  • 3.3.2 法令、国が定める指針その他の規範
  • 3.3.3 リスクなどの認識、分析及び対策
  • 3.3.4 資源、役割、責任及び権限
  • 3.3.5 内部規程
  • 3.3.6 計画書
  • 3.3.7 緊急事態への準備
  • 3.4 実施及び運用
  • 3.4.1 運用手順
  • 3.4.2 取得、利用及び提供に関する原則
  • 3.4.2.1 利用目的の特定
  • 3.4.2.2 適正な取得
  • 3.4.2.3 特定の機微な個人情報の取得、利用及び提供の制限
  • 3.4.2.4 本人から直接書面によって取得する場合の措置
  • 3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置
  • 3.4.2.6 利用に関する措置
  • 3.4.2.7 本人にアクセスする場合の措置
  • 3.4.2.8 提供に関する措置
  • 3.4.3 適正管理
  • 3.4.3.1 正確性の確保
  • 3.4.3.2 安全管理措置
  • 3.4.3.3 従業員の監督
  • 3.4.3.4 委託先の監督
  • 3.4.4 個人情報に関する本人の権利
  • 3.4.4.1 個人情報に関する権利
  • 3.4.4.2 開示等の求めに応じる手順
  • 3.4.4.3 開示対象個人情報に関する事項の周知など
  • 3.4.4.4 開示対象個人情報の利用目的の通知
  • 3.4.4.5 開示対象個人情報の開示
  • 3.4.4.6 開示対象個人情報の訂正、追加又は削除
  • 3.4.4.7 開示対象個人情報の利用又は提供の拒否権
  • 3.4.5 教育
  • 3.5 個人情報マネジメントシステム文書
  • 3.5.1 文書の範囲
  • 3.5.2 文書管理
  • 3.5.3 記録の管理
  • 3.6 苦情及び相談への対応
  • 3.7 点検
  • 3.7.1 運用の確認
  • 3.7.2 監査
  • 3.8 是正処置及び予防処置
  • 3.9 事業者の代表者による見直し
  •  JIS Q 15001:2006には詳しい「解説」も付属していますので、それをも参考にしてください。

    4. プライバシーマーク取得コンサルティング

    4-1. マネジメントシステムの構築と運用

     次のようなステップを踏んでマネジメントシステムを構築し、運用するのが現実的な取り組み方です。

    ステップ1:
    「個人情報保護方針」を決めて文書に定める。この方針には次の事項を含める。
     a) 事業の内容・規模に見合った個人情報の収集・利用・提供に関すること
     b) 個人情報の不正アクセス・個人情報の紛失・破壊・改竄・漏洩の予防・是正に関すること
     c) 個人情報に関する法令・その他の規範を遵守すること
     d) マネジメントシステムの継続的改善に関すること
    ステップ2:
    マネジメントシステムを構築するためのプロジェクトチームを編成するとともに、取り組みのマスタースケジュールを立案する。同時にマネジメントシステムに必要な組織・役割・責任・権限を定め、関係者に周知する。管理責任者(役員クラス)も任命する。管理責任者が核となって取り組みを推進するのがよい。
    苦情および相談に対応するために、常設の対応窓口と担当者を設定し、その情報を本人に告知するようにする。
    ステップ3:
    個人情報保護方針を役員・従業員に周知させるとともに、一般の人にも入手可能な措置を講じる。
    ステップ4:
    個人情報を特定するための手順(リスクアセスメントの手順とも言える)を策定する。特定した個人情報に関するリスク(不正アクセス、紛失、破壊、改竄、漏洩)を認識する。既存の個人情報の取り扱いシステムを評価する。
    200×年度 個人情報 調査ワークシート (例)
    業務・
    サービス
    個人情報
    (内容)
    件数入手先・
    入手方法
    規約・約款入手形態取扱経路
    (関与部門)
    情報処理
    委託業者
    情報の形態管理者保管場所保管期間提供先更新方法リスク廃棄方法その他
    フェイシャル・
    エステコース
    氏名・性別・生年月日・年齢・
    住所・電話番号・電子メール・
    職業・身長・体重・BWH・
    肌質・体質・カウンセリング結果(肌診断情報ほか)・コース種別・
    オプション・契約年月日
    約12,800人申込書(契約書)・カウンセリングフェイシャルエステコース申込書(契約書)の規程による本人による申し込み、およびカウンセリング結果による受付→総務課→カウンセリング→エステサロン→総務課→顧客情報課××ダイレクトメール社顧客サーバー(電子情報)・
    申込書(契約書)・カウンセリングカルテ(紙媒体)
    顧客情報課長顧客情報課3年なし再申込(再契約)・再カウンセリング紛失/
    漏洩
    電子媒体:ダミー書き込み
    紙媒体:シュレッダー
     
    痩身・
    エステコース
                    
    ボディ・
    エステコース
    (アロマ)
                    
    ステップ5:
    関係する法令・規範を特定する手順を策定し、それにもとづいて特定する。これには条例、ガイドライン、規約も含める。
    ステップ6:
    マネジメントシステム作りを進める。マネジメントシステムの基本となる要素をたとえば「個人情報保護マニュアル」として策定するのがよい。
    ステップ7:
    マネジメントシステムの詳細規定を作成する。これには次のものを含める。
     a) 個人情報を保護するための責任・権限
     b) 個人情報の収集・利用・提供・管理
     c) 本人からの個人情報に関する開示・訂正・削除
     d) 個人情報の保護に関する教育
     e) 個人情報の保護に関する監査
     f) 内部規定の違反に関する罰則
    ステップ8:
    マネジメントシステムおよび内部規定を遵守するために必要な教育・監査などの計画を策定し、実施し、記録する。
    マネジメントシステムの教育には次のものを含める。
     a) マネジメントシステム文書・規定に適合させることの重要性および利点
     b) マネジメントシステム文書・規定に適合させるための役割・責任
     c) マネジメントシステム文書・規定に違反した際に予想される結果
    教育計画には、個人情報保護研修の年間カリキュラムと個別の研修プログラム(研修名、研修概要、開催日時、場所、講師、使用テキスト、受講対象者、参加予定数、参加形式など)がありうる。
    ステップ9:
    定めに従ってマネジメントシステムを運用し、実施し、実績を積み上げる。
    ステップ10:
    マネジメントシステムの運用状況を監査する。監査計画書には、当該年度に実施する監査テーマ、監査対象、監査目的、監査範囲、手続き、スケジュールを含めるのがよい。
    ステップ11:
    事業者代表によるマネジメントシステムの点検・見直しを行い、マネジメントシステムの改善を実施する。

    4-2. プライバシーマーク取得の必要性

     個人情報の管理不行き届きによって発生するトラブルは、以前はその情報を入手した者がいたずら目的や嫌がらせに使うことがある程度でしたが、最近は脅迫、恐喝、架空請求、本人になりすました詐取など、金銭目的の犯罪に利用されることが多くなりました。
     このような犯罪目的に個人情報が使われると、それを管理する立場にあった会社には管理不行き届きによる損害の賠償請求を受けるだけではなく、会社の社会的な信用も失うことになり、甚大な損失を被ることになりかねません。該当する個人情報の数が多いと、それに正比例して損失も大きくなります。
     取引先(顧客)から委託を受けて個人情報を扱う事業を行っている場合は、その個人情報に関するトラブルを起こすと、取り引きの縮小や停止に追い込まれることになります。また、これからは個人情報保護法の罰則を受けることもありえます。

     そこで、このようなことにならないように、個人情報を管理するシステムをJIS Q 15001にもとづいて構築・運用し、第三者的機関からプイバシーマークの取得をしておくことです。そのために必要なわずかな経営資源を出し惜しみして、大きなリスクを負うことは賢明な経営判断とは言えないでしょう。

    重要度個人情報の内容リスクの説明
    氏名・性別・年齢・住所・電話番号この個人情報が不正に扱われても、大きな問題にはなりにくい
    家族構成・生年月日・職業・勤務先・年収・経歴・身体的情報・電子メール・携帯電話番号・各種ID・会員情報この個人情報をもとに、犯罪を起こすための情報を引き出される
    借入金情報・ローン情報・カード情報・与信情報・預貯金情報・保険情報犯罪(脅迫、恐喝、架空請求、なりすまし)に利用される

     なお、プライバシーマークを取得しておくと、「個人情報漏洩賠償責任保険」(平成17年3月から適用開始)の保険料が30%割り引かれます。

    4-3. コンサルティング

     アイソ・ワールド株式会社ではプライバシーマークを取得するためのコンサルティングを行っています。出来ばえは、審査で使用されるのと同等レベルの「チェックリスト」「出来具合チェックリスト」「現場審査チェックリスト」を使い、点検します。お気軽にご相談ください。
    ★★★ チェックリストを使い、審査員の目で出来ばえを点検してみよう!! ★★★

    個人情報保護法に対応できている証明にPマーク取得を…… 
     ただしプライバシーマークを取得するための審査はかなり混んでおり、6ヶ月以上は待たされるようです。

     標準的なコンサルティング(\756,000、注1・注2・注3)の内容は、次のとおりです(実施内容はご相談に応じます)。草色は貴社の作業、ピンク色は当社の作業を指します。

    ステップ概略時期実  施  内  容費 用
    開 始コンサルティングの依頼
    貴社の会社情報も含めて電子メールまたはFax等でご依頼ください。
    (1)貴社名・〒住所・電話番号・Fax番号
    (2)関連部門(支店・事業所を含む社内組織)
    (3)窓口(申し込み)責任者の所属・氏名・電子メール
    (4)業種・対象社員数(役員・派遣社員・パート等を含む)
    (5)個人情報に関する業務内容(なるべく詳しく)
    (6)プライバシーマーク取得希望時期
    (7)その他の特記事項・要望事項
    貴社への最初の訪問希望日程を相談のうえ決めます。
     
    1週間目雛形提供および取り組み説明(第1回訪問)
    当社でマネジメントシステム文書の雛形(見本)を用意し、貴社を訪問します。
    雛形:紙媒体およびフロッピーディスク(本文:テキストデータ、帳票様式:エクセル)
    この雛形には、必要な規程(規定)および帳票様式も含まれています。
    貴社状況を拝見し、雛形を貴社向きに焼き直す説明を行い、今後の進め方を打ち合わせします。
    雛形の焼き直し作業は貴社の宿題になります。
    \378,000
    注1
    2週間目雛形の焼き直し作業
    貴社で宿題(焼き直し作業)を実施していただきます。
    出来上がった貴社のマネジメントシステム案は当社に郵送していただきます。
     
    3週間目貴社マネジメントシステム案の添削(第1回作業)
    提出していただいた貴社のマネジメントシステム案を当社で点検し、添削したうえで貴社に返送します。
    \63,000
    4週間目マネジメントシステム案の帳票様式の見直し
    添削したマネジメントシステム案を貴社で再検討し、見直しをして作り上げていただきます。
     
    5週間目マネジメントシステム案の帳票様式の見直し(第2回訪問)
    貴社を訪問し、作り上げられたマネジメントシステムの内容の詰めを行い、更なるマネジメントシステムの見直しを指示します。
    また質疑も受けて、マネジメントシステムにもとづき貴社で実施運用に移るための説明と指導を行います。
    \63,000
    注1・注3
    6週間目個人情報台帳・リスク分析・対策の策定
    マネジメントシステムにもとづき貴社で個人情報を調査・特定し、その台帳を作成します。
    またマネジメントシステムにもとづき個人情報のリスク分析を行い、管理策(対策)を貴社で策定します。
    その結果を当社に郵送していただきます。
     
    7週間目台帳・リスク分析・管理策の点検(第2回作業)
    台帳・リスク分析・管理策の内容を当社で点検し、必要な見直しの指示をします。
    また、その次の作業(宿題)も指示します。
    \63,000
    8週間目教育その他の計画と実施
    貴社で指示にもとづく台帳・リスク分析・管理策の修正をします。
    またマネジメントシステムにもとづき、教育・内部監査・管理策実施運用の計画を立てます。
    貴社で管理策の実施運用と教育を行い、その結果を当社に提出していただきます。
    内部監査員の研修(オプション)をしておくことも必要です。
    あわせて貴社でプライバシーマーク取得を申請します。
    注2・注3
    109週間目実施運用内容の点検(第3回作業)
    当社で貴社の実施運用内容を点検し、問題点を指摘します。
    また、その次の作業(宿題)も指示します。
    \63,000
    1110週間目内部監査と経営者による見直し
    貴社では必要な運用実績を積み上げ、内部監査と経営者による見直しも実施します。
    その結果を当社に提出していただきます。
     
    1211週間目内部監査・経営者による見直しの点検(第4回作業)
    当社で内部監査・経営者による見直しの結果を点検し、必要な指摘をします。
    また、最終訪問に必要な準備事項も指示します。
    \63,000
    1312週間目受審の準備
    貴社でプライバシーマーク取得に必要な資料を整え、受審の準備をします。
     
    1413週間目実施運用状況の最終点検(第3回訪問)
    貴社を訪問し、マネジメントシステムにもとづく実施運用状況の確認点検と受審の打ち合わせを行います。
    \63,000
    注1・注3

    注1:1回の訪問時間は3時間(午前または午後)までです。交通費は別途必要です。
    注2:内部監査員研修は含まれていません。市販の研修コースをご利用いただくか、別途のご相談となります(アイソ・ワールド株式会社では企業向け出張研修を実施しております)。
    注3:適宜、相当の「チェックリスト」「出来具合チェックリスト」「現場審査チェックリスト」を使って出来ばえを点検します。

    5. 個人情報保護法について

    5-1. 個人情報保護法が完全施行に!

     平成15年5月30日に「個人情報の保護に関する法律」(平成15年法律第57号)が制定されました。
     この法律の第4章「個人情報取扱事業者の義務等」(個人情報を取り扱う民間の事業者の義務が定められている)、第5章「雑則」(適用除外などが定められている)、第6章「罰則」が平成17年4月1日から完全施行に入りました。

     個人情報とは「生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」とされています。

     また、個人情報取扱事業者とは「個人情報のデータベース(特定の個人情報をコンピュータで検索できるデータベース、あるいは容易に検索できるシステムで政令で定めたもの)を事業に使う者」を指します。

     これには顧客のほか、正社員、契約社員、嘱託社員、パート社員、アルバイト社員等と、取締役、執行役、理事、監査役、監事、派遣社員等もなどの個人情報も対象範囲に含まれます。
     ただし、特定の個人の合計数が過去6ヶ月間継続して5,000人を超えない事業者は該当しません(CD-ROM電話帳など市販の情報を購入し編集・加工することなく利用する場合も該当しません)。

    (注1)個人情報取扱事業者が開示、追加・削除、訂正、利用停止などの権限を有する個人データを「保有個人データ」と呼んでいます。
    (注2)事業とは、必ずしも営利を目的とした活動に限定されません。クラブ活動や社会奉仕活動なども対象になりえます。

    5-2. 個人情報保護法の適用と罰則

    ○印が適用対象項目です。
    個人情報の区分15条
    利用目的の特定
    16条
    利用目的による制限
    17条
    適正な情報の取得
    18条
    利用目的の通知等
    19条
    データ内容の正確性
    20条
    安全管理の措置
    21条
    従業員の監督
    22条
    委託先の監督
    23条
    第三者への提供制限
    24条
    保有個人データ事項の公表等
    25条
    情報の開示
    26条
    情報の訂正等
    27条
    利用の停止等
    28条
    理由の説明
    29条
    求めに応じる手順
    30条
    取扱い手数料
    31条
    苦情の処理
    個 人 情 報 保 護 法
    個人情報
    個人データ
    保有個人データ
    行 政 に よ る 措 置
    報告徴収
    助 言
    勧 告
    命 令
    緊急命令
    罰 則

     行政の勧告・助言は権利保護に必要な場合になされます。行政命令は正当な理由なく勧告に従わず、権利侵害のおそれが切迫しているときに行われます。また緊急命令は、重大な権利侵害が認められ、緊急措置の必要性がある場合に実施されます。
     罰則は、命令・緊急命令に違反する場合は6月以下の懲役または30万円以下の罰金、報告不実施・虚偽報告は30万円以下の罰金になります(刑事罰の対象です)。

    アイソ・ワールド株式会社
    Tel: 0797-73-7509 Fax: 0797-73-7510
    E-mail: isoworld@yahoo.co.jp(担当:辻井)


    ホームページに戻る