ISMS のページは現在作成中です。しばらくお待ちください
★★★JIS Q 15001:2006対応 プライバシーマーク認証取得コンサルティング \756,000(標準的なコンサルティングの場合)★★★
★★★JIS Q 15001:2006対応 プライバシーマーク認証取得コンサルティング \756,000(標準的なコンサルティングの場合)★★★
1. プライバシーマーク(Pマーク)制度
1-1. プライバシーマーク制度とは
プライバシーマーク(Pマーク)制度は、事業者が個人情報の取り扱いを適切に行うシステムが整備されていることを認定し、その証として“プライバシーマーク”の利用を認める制度です。
「個人情報の保護に関する法律」に適合したシステム作りに適した制度がプライバシーマーク制度であり、これを活用することが「個人情報の保護に関する法律」へのコンプライアンス(遵法性)を確かなものにするほか、個人情報保護に関する社会的な意識の高まりに応えることにもなります。
プライバシーマークの認定を受けるためには、「個人情報の保護に関する法律」の規定を包含するJIS Q 15001:2006(個人情報保護マネジメントシステム−要求事項)に適合したシステムを構築して運用し、それを第三者機関(指定機関)から評価(審査)を受けて検証してもらわなければなりません。
プライバシーマークの付与対象となるのは、事業者(法人)です。ただし、事業所など事業者の一部門であっても、条件を満たせば付与対象になりえます。
なお、プライバシーマーク付与の有効期間は2年です。その後は更新の手続きをすれば、2年ごとに更新が可能です。
プライバシーマーク制度の詳しい情報は、財団法人日本情報処理開発協会のプライバシーマーク事務局のホームページでご覧いただけます。
1-2. プライバシーマーク付与の申請手続き
プライバシーマークの付与を受けるための手続きは次のとおりです。
プライバシーマーク付与申請書(様式1)
プライバシーマークを掲示できるのは、次のところです。
店頭、契約約款、封筒、宣伝・広告用資料、説明書、便箋、名刺、ホームページ
1-4. 料金について
プライバシーマークの付与を受けるための料金は、事業者の規模によって異なります。新規(初回審査)の場合は、小規模:30万円、中規模:60万円、大規模:120万円 となっています。この料金には審査関係事務、書類審査、報告書作成、現地審査の各費用を含んでいます(審査員の交通費などは含まれていません)。
その事業者規模の区分は、
2. チェックリストによる出来具合の点検
アイソ・ワールド株式会社では、審査に使用されるチェックリストとほぼ同等の「チェックリスト」「出来具合チェックリスト」「現場審査チェックリスト」を用意しています。これによって、出来ばえを点検するコンサルティングサービスも実施します。
ご希望の場合は、下記宛てまでお申し込みください。
3. JIS Q 15001:2006について
JIS Q 15001:2006(個人情報保護マネジメントシステム−要求事項)は平成18年5月20日付で1999年版からかなり改正されました。もともとJIS Q 9001(品質マネジメントシステム規格)とJIS Q 14001(環境マネジメントシステム規格)の関係する規格要素を取り込みながら個人情報の保護に見合った焼き直しをし、ISMS(情報セキュリティマネジメントシステム)の色彩を持たせたような規格でしたが、いっそうJIS Q 14001を意識したものとなりました。
この規格は、次のように構成されています。青色で記載した項目は特に変更が大きかったところです。
4. プライバシーマーク取得コンサルティング
4-1. マネジメントシステムの構築と運用
次のようなステップを踏んでマネジメントシステムを構築し、運用するのが現実的な取り組み方です。
| 200×年度 個人情報 調査ワークシート (例) | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 業務・ サービス | 個人情報 (内容) | 件数 | 入手先・ 入手方法 | 規約・約款 | 入手形態 | 取扱経路 (関与部門) | 情報処理 委託業者 | 情報の形態 | 管理者 | 保管場所 | 保管期間 | 提供先 | 更新方法 | リスク | 廃棄方法 | その他 |
| フェイシャル・ エステコース | 氏名・性別・生年月日・年齢・ 住所・電話番号・電子メール・ 職業・身長・体重・BWH・ 肌質・体質・カウンセリング結果(肌診断情報ほか)・コース種別・ オプション・契約年月日 | 約12,800人 | 申込書(契約書)・カウンセリング | フェイシャルエステコース申込書(契約書)の規程による | 本人による申し込み、およびカウンセリング結果による | 受付→総務課→カウンセリング→エステサロン→総務課→顧客情報課 | ××ダイレクトメール社 | 顧客サーバー(電子情報)・ 申込書(契約書)・カウンセリングカルテ(紙媒体) | 顧客情報課長 | 顧客情報課 | 3年 | なし | 再申込(再契約)・再カウンセリング | 紛失/ 漏洩 | 電子媒体:ダミー書き込み 紙媒体:シュレッダー | |
| 痩身・ エステコース | ||||||||||||||||
| ボディ・ エステコース (アロマ) | ||||||||||||||||
4-2. プライバシーマーク取得の必要性
個人情報の管理不行き届きによって発生するトラブルは、以前はその情報を入手した者がいたずら目的や嫌がらせに使うことがある程度でしたが、最近は脅迫、恐喝、架空請求、本人になりすました詐取など、金銭目的の犯罪に利用されることが多くなりました。
このような犯罪目的に個人情報が使われると、それを管理する立場にあった会社には管理不行き届きによる損害の賠償請求を受けるだけではなく、会社の社会的な信用も失うことになり、甚大な損失を被ることになりかねません。該当する個人情報の数が多いと、それに正比例して損失も大きくなります。
取引先(顧客)から委託を受けて個人情報を扱う事業を行っている場合は、その個人情報に関するトラブルを起こすと、取り引きの縮小や停止に追い込まれることになります。また、これからは個人情報保護法の罰則を受けることもありえます。
そこで、このようなことにならないように、個人情報を管理するシステムをJIS Q 15001にもとづいて構築・運用し、第三者的機関からプイバシーマークの取得をしておくことです。そのために必要なわずかな経営資源を出し惜しみして、大きなリスクを負うことは賢明な経営判断とは言えないでしょう。
| 重要度 | 個人情報の内容 | リスクの説明 |
|---|---|---|
| 小 | 氏名・性別・年齢・住所・電話番号 | この個人情報が不正に扱われても、大きな問題にはなりにくい |
| 中 | 家族構成・生年月日・職業・勤務先・年収・経歴・身体的情報・電子メール・携帯電話番号・各種ID・会員情報 | この個人情報をもとに、犯罪を起こすための情報を引き出される |
| 大 | 借入金情報・ローン情報・カード情報・与信情報・預貯金情報・保険情報 | 犯罪(脅迫、恐喝、架空請求、なりすまし)に利用される |
なお、プライバシーマークを取得しておくと、「個人情報漏洩賠償責任保険」(平成17年3月から適用開始)の保険料が30%割り引かれます。
4-3. コンサルティング
アイソ・ワールド株式会社ではプライバシーマークを取得するためのコンサルティングを行っています。出来ばえは、審査で使用されるのと同等レベルの「チェックリスト」「出来具合チェックリスト」「現場審査チェックリスト」を使い、点検します。お気軽にご相談ください。
★★★ チェックリストを使い、審査員の目で出来ばえを点検してみよう!! ★★★
| ステップ | 概略時期 | 実 施 内 容 | 費 用 |
|---|---|---|---|
| 1 | 開 始 | コンサルティングの依頼 貴社の会社情報も含めて電子メールまたはFax等でご依頼ください。 (1)貴社名・〒住所・電話番号・Fax番号 (2)関連部門(支店・事業所を含む社内組織) (3)窓口(申し込み)責任者の所属・氏名・電子メール (4)業種・対象社員数(役員・派遣社員・パート等を含む) (5)個人情報に関する業務内容(なるべく詳しく) (6)プライバシーマーク取得希望時期 (7)その他の特記事項・要望事項 貴社への最初の訪問希望日程を相談のうえ決めます。 | |
| 2 | 1週間目 | 雛形提供および取り組み説明(第1回訪問) 当社でマネジメントシステム文書の雛形(見本)を用意し、貴社を訪問します。 雛形:紙媒体およびフロッピーディスク(本文:テキストデータ、帳票様式:エクセル) この雛形には、必要な規程(規定)および帳票様式も含まれています。 貴社状況を拝見し、雛形を貴社向きに焼き直す説明を行い、今後の進め方を打ち合わせします。 雛形の焼き直し作業は貴社の宿題になります。 | \378,000 注1 |
| 3 | 2週間目 | 雛形の焼き直し作業 貴社で宿題(焼き直し作業)を実施していただきます。 出来上がった貴社のマネジメントシステム案は当社に郵送していただきます。 | |
| 4 | 3週間目 | 貴社マネジメントシステム案の添削(第1回作業) 提出していただいた貴社のマネジメントシステム案を当社で点検し、添削したうえで貴社に返送します。 | \63,000 |
| 5 | 4週間目 | マネジメントシステム案の帳票様式の見直し 添削したマネジメントシステム案を貴社で再検討し、見直しをして作り上げていただきます。 | |
| 6 | 5週間目 | マネジメントシステム案の帳票様式の見直し(第2回訪問) 貴社を訪問し、作り上げられたマネジメントシステムの内容の詰めを行い、更なるマネジメントシステムの見直しを指示します。 また質疑も受けて、マネジメントシステムにもとづき貴社で実施運用に移るための説明と指導を行います。 | \63,000 注1・注3 |
| 7 | 6週間目 | 個人情報台帳・リスク分析・対策の策定 マネジメントシステムにもとづき貴社で個人情報を調査・特定し、その台帳を作成します。 またマネジメントシステムにもとづき個人情報のリスク分析を行い、管理策(対策)を貴社で策定します。 その結果を当社に郵送していただきます。 | |
| 8 | 7週間目 | 台帳・リスク分析・管理策の点検(第2回作業) 台帳・リスク分析・管理策の内容を当社で点検し、必要な見直しの指示をします。 また、その次の作業(宿題)も指示します。 | \63,000 |
| 9 | 8週間目 | 教育その他の計画と実施 貴社で指示にもとづく台帳・リスク分析・管理策の修正をします。 またマネジメントシステムにもとづき、教育・内部監査・管理策実施運用の計画を立てます。 貴社で管理策の実施運用と教育を行い、その結果を当社に提出していただきます。 内部監査員の研修(オプション)をしておくことも必要です。 あわせて貴社でプライバシーマーク取得を申請します。 | 注2・注3 |
| 10 | 9週間目 | 実施運用内容の点検(第3回作業) 当社で貴社の実施運用内容を点検し、問題点を指摘します。 また、その次の作業(宿題)も指示します。 | \63,000 |
| 11 | 10週間目 | 内部監査と経営者による見直し 貴社では必要な運用実績を積み上げ、内部監査と経営者による見直しも実施します。 その結果を当社に提出していただきます。 | |
| 12 | 11週間目 | 内部監査・経営者による見直しの点検(第4回作業) 当社で内部監査・経営者による見直しの結果を点検し、必要な指摘をします。 また、最終訪問に必要な準備事項も指示します。 | \63,000 |
| 13 | 12週間目 | 受審の準備 貴社でプライバシーマーク取得に必要な資料を整え、受審の準備をします。 | |
| 14 | 13週間目 | 実施運用状況の最終点検(第3回訪問) 貴社を訪問し、マネジメントシステムにもとづく実施運用状況の確認点検と受審の打ち合わせを行います。 | \63,000 注1・注3 |
5. 個人情報保護法について
5-1. 個人情報保護法が完全施行に!
平成15年5月30日に「個人情報の保護に関する法律」(平成15年法律第57号)が制定されました。
この法律の第4章「個人情報取扱事業者の義務等」(個人情報を取り扱う民間の事業者の義務が定められている)、第5章「雑則」(適用除外などが定められている)、第6章「罰則」が平成17年4月1日から完全施行に入りました。
個人情報とは「生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」とされています。
また、個人情報取扱事業者とは「個人情報のデータベース(特定の個人情報をコンピュータで検索できるデータベース、あるいは容易に検索できるシステムで政令で定めたもの)を事業に使う者」を指します。
これには顧客のほか、正社員、契約社員、嘱託社員、パート社員、アルバイト社員等と、取締役、執行役、理事、監査役、監事、派遣社員等もなどの個人情報も対象範囲に含まれます。
ただし、特定の個人の合計数が過去6ヶ月間継続して5,000人を超えない事業者は該当しません(CD-ROM電話帳など市販の情報を購入し編集・加工することなく利用する場合も該当しません)。
(注1)個人情報取扱事業者が開示、追加・削除、訂正、利用停止などの権限を有する個人データを「保有個人データ」と呼んでいます。
(注2)事業とは、必ずしも営利を目的とした活動に限定されません。クラブ活動や社会奉仕活動なども対象になりえます。
5-2. 個人情報保護法の適用と罰則
○印が適用対象項目です。
| 個人情報の区分 | 15条 利用目的の特定 | 16条 利用目的による制限 | 17条 適正な情報の取得 | 18条 利用目的の通知等 | 19条 データ内容の正確性 | 20条 安全管理の措置 | 21条 従業員の監督 | 22条 委託先の監督 | 23条 第三者への提供制限 | 24条 保有個人データ事項の公表等 | 25条 情報の開示 | 26条 情報の訂正等 | 27条 利用の停止等 | 28条 理由の説明 | 29条 求めに応じる手順 | 30条 取扱い手数料 | 31条 苦情の処理 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 個 人 情 報 保 護 法 | |||||||||||||||||
| 個人情報 | ○ | ○ | ○ | ○ | − | − | − | − | − | − | − | − | − | − | − | − | ○ |
| 個人データ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | − | − | − | − | − | − | − | ○ |
| 保有個人データ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| 行 政 に よ る 措 置 | |||||||||||||||||
| 報告徴収 | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| 助 言 | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| 勧 告 | − | ○ | ○ | ○ | − | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | − | − | ○ | − |
| 命 令 | − | ○ | ○ | ○ | − | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | − | − | ○ | − |
| 緊急命令 | − | ○ | ○ | − | − | ○ | ○ | ○ | ○ | − | − | − | − | − | − | − | − |
| 罰 則 | − | ○ | ○ | ○ | − | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | − | − | ○ | − |
行政の勧告・助言は権利保護に必要な場合になされます。行政命令は正当な理由なく勧告に従わず、権利侵害のおそれが切迫しているときに行われます。また緊急命令は、重大な権利侵害が認められ、緊急措置の必要性がある場合に実施されます。
罰則は、命令・緊急命令に違反する場合は6月以下の懲役または30万円以下の罰金、報告不実施・虚偽報告は30万円以下の罰金になります(刑事罰の対象です)。
アイソ・ワールド株式会社
Tel: 0797-73-7509 Fax: 0797-73-7510
E-mail: isoworld@yahoo.co.jp(担当:辻井)
ホームページに戻る