平成 30 年度プライバシーマーク 取得事業者の集い...1....
TRANSCRIPT
平成 30年度プライバシーマーク
取得事業者の集い
平成 30年 8月 9日
一般社団法人 日本印刷産業連合会
プライバシーマーク審査センター
目 次
Ⅰ.ISOマネジメントシステムの統合化の必要性・・・・・・・・2
Ⅱ.JIS Q 15001:2017 規格の構造 ・・・・・・・・・・・・・・4
Ⅲ.JIS Q 15001:2017 改正のポイント ・・・・・・・・・・・・6
1. ISO/IEC専門業務用指針附属書 SLとの近接
2. 個人情報保護法との整合
3. 2006年版からの変更
Ⅳ.JIS Q 15001:2017 への移行に伴う審査対応 ・・・・・・・・8
1.新審査基準への移行について
2.個人情報保護マネジメントシステム文書の対応
3.プライバシーマーク付与事業者更新審査の対応
Ⅴ.現地審査の時間配分・・・・・・・・・・・・・・・・・・・16
Ⅵ.申請書類の主な変更点・・・・・・・・・・・・・・・・・・17
Ⅶ.個人情報保護シリーズ新刊本のご紹介・・・・・・・・・・・18
参考資料1 JFPI REPORT ・・・・・・・・・・・・・・・・・・19
参考資料2 JIS改正に伴う審査基準の改訂について
(JIPDEC 個人情報保護研修会 2018資料)・・・・・別添
2
(各マネジメントシステム固有の要求事項)
Ⅰ.ISOマネジメントシステムの統合化の必要性
・持続可能な組織経営を行うためには、‘経済的責任’ 、‘環境的責任’及び‘社会的責任’
の達成が求められます。
・持続可能な経営に必要な、多様なマネジメントシステム規格の一貫した適用のため、全
てのマネジメントシステム規格が Annex SL*(附属書 SL)上位構造への統一が必要で
す。
ISOマネジメントシステム規格(ISO規格の一部を抜粋)
経営責任 主なマネジメントシステム規格
経済的責任
ISO9001(品質)
ISO27001(情報セキュリティ)
ISO20000(IT サービス) …
環境的責任 ISO14001(環境)
ISO50001(エネルギー) …
社会的責任
ISO45001(労働安全衛生)
ISO22000(食品安全)
ISO39001(道路交通安全) …
統合マネジメントシステム概念図
ISO MS 規格(JIS Q 規格) JIS Q 規格
Annex SL 上位構造:HLS(High Level Structure)
序文
1.適用範囲
2.引用規格
個人情報保護
マネジメントシステム
【附属書 A】
道路
交通安全
情報
セキュリティ
品質 環境 個人
情報保護
ISO マネジメントシステム共通の要求事項
3
3.用語及び定義
4.組織の状況
5.リーダーシップ
6.計画
7.支援
8.運用
9.パフォーマンス評価
10.改善
【参考】
*Annex SL(附属書 SL)とは
「ISO/IEC 専門業務用指針第 1 部 統合版補足指針―ISO 専用手順」(2016.05.01 改訂)
という、ISO/IECマネジメントシステム規格を制定する人のための指針があります。その中の
附属書として Annex SLが規定されています(附属書には Annex A,B,C…SA … SL … SQ,SR,SS
迄あります)。
Annex SL (附属書 SL )は、規定「マネジメントシステム規格の提案」が定められています。
その中には、次の 3 つの規定が含まれています。規格制定時の規定は、Appendix 2が該当し
ます。 (Annex SLの要求事項には、規格文書の重複及び矛盾の回避が要求されています。)
Appendix 1:妥当性の判断基準となる質問事項
Appendix 2:上位構造、共通の中核となるテキスト、共通用語及び中核となる定義
Appendix 3:上位構造、共通の中核となるテキスト、共通用語及び中核となる定義に関
する手引き
○上位構造(HLS)
全ての ISO マネジメントシステム規格は Annex SL で規定した構造及び形式に従う。
・統一された上位構造
・共通用語及び中核となる定義
・共通の中核となるテキスト
○システム的な PDCA へのアプローチ
PDCA 管理サイクルとして知られる方法論は、全てのマネジメントシステム規格に対し
適用される。
4
Ⅱ.JIS Q 15001:2017規格の構造
今回の改正では,マネジメントシステム規格としての位置づけを明確にするとともに、平
成 29年 5月 30日に全面施行された改正個人情報保護法に対応する管理策が追加されました。
また,旧規格で充実をはかった解説の内容の中で規格に取り入れる方が適切である内容を精
査し、附属書(参考)として記載されています。
改正に当たっては、この規格が民間部門の個人情報保護の促進及び消費者保護に重要な役
割を果たしていることから、要求事項の基本的な考え方は変更せず、旧規格に基づいて構築
された個人情報保護マネジメントシステムがこの規格の改正によって不都合が生じないよう
に配慮されています。(参照:本書 P.11 JIS Q 15001:2017 [解説])
JIS Q 15001:2006 ISO/IEC27001:2013 (JIS Q 27001:2014)
ISO Guide72:2001 採用? Annex SL(附属書 SL)*適用
改正版 JIS規格
Annex SL(附属書 SL)参考
個人情報保護マネジメントシステム-要求事項
JIS Q 15001:2017 の構成要素
【規格本文】Annex SL(附属書 SL)の要求事項(規格)ISO27001とほぼ同様
【附属書 A】2006年版規格本文の要求事項(規定)
【附属書 B】2006年版の解説(参考)
【附属書 C】安全管理措置に関する管理目的及び管理策(参考)
【附属書 D】新旧規格の対応表(参考)
【解説】改正の経緯及び趣旨、改正の主旨
情報技術―セキュリティ技術―情報
セキュリティマネジメントシステム
-要求事項
JIS Q 27001:2014
構成要素
【規格本文】要求事項
(マネジメントシステム、PDCAを回す部分)
【附属書 A】管理目的及び管理策
個人情報保護マネジメントシステム
-要求事項
JIS Q 15001:2006
構成要素
【規格本文】要求事項
【解説】改正の経緯及び趣旨、要求事項の
内容説明
情報セキュリティ
→
個人情報保護
5
今回の改正では、マネジメントシステムに関する要求事項を記載した規格本文が追加され、
現行版の規格本文は管理策として附属書 A(規定)に記載されました。さらに、附属書 Aの理
解を助けるための参考情報を記載した附属書 B(参考)及び安全管理措置に関する管理目的
及び管理策が記載された附属書 C(参考)、並びにこの規格と旧規格との対応を示した附属書
Dによる構成に変更されています。
参照:JIS Q 15001:2017
[規格本文]
0.2 他のマネジメントシステム規格との両立性近接性
この規格は,ISO/IEC 専門業務用指針 第 1 部 統合版 ISO 補足指針の附属書 SL に規定
する上位構造(HLS),共通の細分箇条題名,共通テキスト並びに共通の用語及び中核となる
定義を適用参考にしており,附属書 SLを採用した他のマネジメントシステム規格との両立性
近接性が保たれている。
附属書 SL に規定するこの共通の取組みは,二つ以上のマネジメントシステム規格の要求
事項を満たす一つのマネジメントシステムを運用することを選択する組織にとって有用とな
る。
6
Ⅲ.JIS Q 15001:2017改正のポイント
1. Annex SLを適用した他のマネジメントシステムとの近接性
2. 個人情報保護法との整合
3. 2006年版からの変更(本人アクセス、共同利用、安全管理措置 等)
1. Annex SLを適用した他のマネジメントシステムとの近接性
附属書 SL に適合する規格構成とした。従って規格本文の目次構成が上位構造と同
じになっています。
これに伴い規格本文は附属書 SL との整合が図られ、規格の主体は「事業者」から
「組織」に変更されました。しかし、プライバシーマークでは組織=事業者です。
【本文 目次】
0 序文
0.1 概要
0.2 他のマネジメントシステム規格との近接性
1 適用範囲
2 引用規格
3 用語及び定義
4 組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 個人情報保護マネジメントシステムの適用範囲の決定
4.4 個人情報保護マネジメントシステム
5 リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割,責任及び権限
6 計画
6.1 リスク及び機会に対処する活動
6.2 個人情報保護目的及びそれを達成するための計画策定
7 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化した情報
8 運用
8.1 運用の計画及び管理
7
8.2 個人情報保護リスクアセスメント
8.3 個人情報保護リスク対応
9 パフォーマンス評価
9.1 監視,測定,分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
10 改善
10.1 不適合及び是正処置
10.2 継続的改善
2. 個人情報保護法との整合
・新規格で用いる用語及び定義は、個人情報保護法における用語及び定義に統一され
た。「個人情報」、「個人データ」、「保有個人データ」
・個人情報保護法の改正により新たに個人情報取扱事業者の義務とされた事項(要配
慮個人情報、トレーサビリティーの確保、外国事業者への第三者提供、個人データ
消去の努力義務)や匿名加工情報に対応する規定や補足的説明が設けられた。
・「明示+同意」の原則は、新規格においても踏襲された。
※ 詳細は、別冊「参考資料2」スライド P.32~P.38 を参照してください。
3. 2006年版からの変更
・承認(A.3.1.1)
・個人情報保護方針(内向け個人情報保護方針、外向け個人情報保護方針、利害関係者)
・頻度(A.3.3.1 他)
・台帳の整備(A.3.3.1)
・残留リスクの把握、管理(A.3.3.3)
・個人情報保護監査責任者と個人情報保護管理者の分離(A.3.3.4)
・利用目的の特定にあたっての配慮(A.3.4.2.1)
・ただし書きの明確化(A.3.4.2.4 他)
・本人アクセス(旧 3.4.2.7)の名称変更「本人連絡又は接触」(A.3.4.2.7)
・共同利用についての契約(A.3.4.2.8)
・安全管理措置(A.3.4.3.2、附属書 C)
・委託契約、選定(A.3.4.3.4)
・従業者に認識させる事項「個人情報保護方針」(A.3.4.5)
・書面で記述する要素「様式」(A.3.5.3)
・作成し、かつ、維持しなければならない記録(A.3.5.3 a)~l))
・各部門及び各階層の管理者(A.3.7.1)
・監査員(A.3.7.2)
※ 詳細は、別冊「参考資料2」スライド P.39~P.48 を参照してください。
8
Ⅳ.JIS Q 15001:2017への移行に伴う審査対応
1.新審査基準への移行について
①新しい審査基準(新審査基準)公表 ⇒ 2018 年 1 月 12 日(2018 年 7 月 17 日改訂)
②移行準備期間 ⇒ 2018 年 1 月 22 日~2018 年 7 月 31 日
③新審査基準審査の申請受付開始日 ⇒ 原則 2018 年 8 月 1 日(当日申請)から
④移行期間 ⇒ 2018 年 8 月 1 日~2020 年 7 月 31 日(新審査基準での審査)
※ 詳細は、別冊「参考資料2」スライド P.6~P.8 を参照してください。
【参照】プライバシーマーク付与適格性審査基準(平成 30 年 7 月 17 日改訂)
https://privacymark.jp/system/guideline/pdf/pm_shinsakijun.pdf
(1)PMS 文書を JIS Q 15001:2017 へ移行し、新審査基準で現地審査を受けた事業者
→新審査基準に対応したが、新審査基準で不適合となった箇所については指摘事項もし
くは継続的改善事項となります(従来通り)。
(2)PMS 文書を JIS Q 15001:2006 のままで、新審査基準で現地審査を受けた事業者
→移行期間中、新審査基準へ未対応の箇所は「確認事項」として合意を得ますので、次
回の更新審査までにご対応下さい。
・新審査基準へ未対応の箇所が「確認事項」となるのは 2018 年 8 月 1 日~2020 年 7 月
31 日までの間で 1 回のみとなります。
・申請書類として提出する、運用の記録(従業者の教育、監査及び代表者による見直しなど)
については、新しい内部規程等に基づく記録が無い場合、「確認事項」とし、次回の更
新審査時に確認をします。
【参考例】
指摘事項文書
4.1 確認事項
JIS Q 15001:2007 への移行に伴い、以下の事項に対応していただく必要があり
ます。
①A.3.3.1 個人情報の特定(旧 JIS 3.3.1)
・個人情報を特定した台帳に記載すべき項目として、保管期限が追加となりま
した。「個人情報管理台帳」に保管期限の項目を追加し、利用期限と保管期限
を定めてください。
②A.3.4.3.1 正確性の確保(旧 3.4.3.1)
・個人データを台帳に定めた保管期限通りに消去する必要があります。「個人情
報管理台帳」に定めた保管期間を過ぎたものを遅滞なく消去する手順を規定し
て運用してください。
③A.3.4.3.4 委託先の監督(旧 3.4.3.4)(個人情報の委託がない場合は適用外)
9
・契約によって規定する事項に、h)契約終了後の措置を追加して契約を締結す
る必要があります。該当する規定及び契約書ひな形を改定し、適切な時期に委
託先との契約を更改してください。
④A.3.4.5 認識(旧 3.4.5)
・従業者への教育の内容に「個人情報保護方針」が追加されました。該当する規
定を改定し、次回の従業者教育から教育の内容に「個人情報保護方針」を含め
てください。
以下は、適用がある事業者の方は、規定を定め、運用してください。
⑤A.3.4.2.8 個人データの提供に関する措置(f 項)
・貴社は共同利用による第三者提供を実施しているので、共同して利用する者
の間で、“A.3.4.2.7 に規定する共同利用について”契約を定めてください。
⑥A.3.4.2.9 匿名加工情報(新設)
・貴社は匿名加工情報の取扱いに係る業務を実施している(または、検討して
いる。)ので、匿名加工情報の取扱いを行うか否かの方針を定め、取り扱う場
合には、法令等の定めるところによって適切な取扱いを行う手順を定め、運用
してください。
(3)日印産連プライバシーマークセンターの対応
・原則、審査の手順は一般財団法人日本情報経済社会推進協会(JIPDEC)と同様です。
・ただし、申請書類の提出日は申請料の入金日としています。
・移行期間中に合併分社等が行われる場合には、当センターにお問い合わせください。
・審査基準の改定に伴い、2018 年 8 月 1 日からプライバシーマーク付与適格性審査申請
様式を変更します。(変更点は本書 P17 Ⅵ.)新申請様式は 2018 年 7 月から当センタ
ーHP で公表しています。
2.個人情報保護マネジメントシステム文書の対応
プライバシーマーク制度は、日本工業規格「JIS Q 15001 個人情報保護マネジメントシ
ステム—要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備して
いる事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプ
ライバシーマークの使用を認める制度です。
JIS 規格が改正になった場合には、その規格要求事項に適合した運用に改善することが
求められます。JIS Q 15001:2017 の規格要求事項は、[規格本文]及び規格本文が引用する
[附属書 A(規定)管理目的及び管理策]が該当します。
(1)JIS 規格の要求事項で文書化した情報の維持を求める部分
① 規格本文での文書化した情報の維持に関する要求項目
4.3 個人情報保護マネジメントシステムの適用範囲の決定
組織は,個人情報保護マネジメントシステムの適用範囲を定めるために,その
10
境界及び適用可能性を決定しなければならない。
5.2.1 内部向け個人情報保護方針(本書 P.13)
5.2.2 外部向け個人情報保護方針(本書 P.13)
7.5 文書化した情報
個人情報保護マネジメントシステムの有効性のために必要であると組織が決
定した,文書化した情報
注記 個人情報保護マネジメントシステムのための文書化した情報の程度は,
次のような理由によって,それぞれの組織で異なる場合がある。
組織の個人情報保護マネジメントシステムは,次の事項を含まなければなら
ない。
a) この規格が要求する文書化した情報
b) 個人情報保護マネジメントシステムの有効性のために必要であると組織が
決定した,文書化した情報
注記 個人情報保護マネジメントシステムのための文書化した情報の程度は,
次のような理由によって,それぞれの組織で異なる場合がある。
1) 組織の規模,並びに活動,プロセス,製品及びサービスの種類
2) プロセス及びその相互作用の複雑さ
3) 個々人の力量
② 附属書 A(規定)での文書化した情報の維持に関する要求項目
A.3.2.1 内部向け個人情報保護方針
A.3.2.2 外部向け個人情報保護方針
A.3.3.5 内部規程
a) 個人情報を特定する手順に関する規定
b) 法令,国が定める指針その他の規範の特定,参照及び維持に関する規定
c) 個人情報保護リスクアセスメント及びリスク対策の手順に関する規定
d) 組織の各部門及び階層における個人情報を保護するための権限及び責任に関
する規定
e) 緊急事態への準備及び対応に関する規定
f) 個人情報の取得,利用及び提供に関する規定
g) 個人情報の適正管理に関する規定
h) 本人からの開示等の請求等への対応に関する規定
i) 教育などに関する規定
j) 文書化した情報の管理に関する規定
k) 苦情及び相談への対応に関する規定
l) 点検に関する規定
m) 是正処置に関する規定
n) マネジメントレビューに関する規定
11
o) 内部規程の違反に関する罰則の規定
A.3.5.1 文書化した情報の範囲
a) 内部向け個人情報保護方針
b) 外部向け個人情報保護方針
c) 内部規程
d) 内部規程に定める手順上で使用する様式
e) 計画書
③ プライバシーマーク取得事業者の文書化した情報への対応
規格本文については、個人情報保護マネジメントシステムの適用範囲の決定し、内部
向け及び外部向けの個人情報保護方針を制定すれば、後は会社の状況に見合った規格
要求事項の文書化の必要性を決定し、文書化した情報を制定するとよいでしょう。
附属書 A(規定)については、内部向け個人情報保護方針を網羅した外部向け個人情
報保護方針を制定し、JIS Q 15001:2006 の内部規定や手順に不備がないかを見直せば
よいでしょう。
なお、JIS Q 15001:2017 解説では次のように記載されています。
JIS Q 15001:2017 [解説]
2 今回の改正の趣旨として
今回の改正は,この規格のマネジメントシステム規格としての位置づけを明
確化するとともに,平成 29 年 5 月 30 日に全面施行された改正個人情報保護
法に対応する管理策を追加した。また,旧規格で充実させた解説の内容の中で
規格に取り入れる方が適切である内容を精査し,附属書(参考)とした。
なお,改正に当たっては,この規格が民間部門の個人情報保護の促進及び消
費者保護に重要な役割を果たしていることから,要求事項の基本的な考え方
を変更せず,旧規格に基づいて構築された個人情報保護マネジメントシステ
ムがこの規格の改正によって不適合を生じないことに配慮した。
また、プライバシーマーク制度を運営している、JIPDEC 主催の説明会では、次のよ
うな解説をしています。規格本文の要求事項は全て附属書 A に網羅しているため、現
在プライバシーマークを付与されている事業者は、規格本文に対して特別な対応を求
めていません。従って、今回の JIS 規格改正の対応として、規格本文に適合するため
に、現在運用されている PMS 文書の大幅な改定を求めるものではないとしています。
※ 詳細は、別冊「参考資料2」スライド P.4、P20~を参照してください。
12
3.プライバシーマーク付与事業者更新審査の対応
新審査基準変更の概要
(1)JIS Q 15001:2017 の改正ポイント
① ISO/IEC 専門業務用指針 Annex SL への対応
② 改正個人情報保護法との整合(別冊「参考資料2」スライド P.21)
③ 2006 年版の見直し(別冊「参考資料2」スライド P.22、P.23)
(2)審査基準の改正ポイント(別冊「参考資料2」スライド P.24~P.48)
① 規格の構成変更に伴う見直し(別冊「参考資料2」スライド P.31)
② トップマネジメントに対する審査項目の明確化(本書 P.12(3))
③ 承認に係る審査項目の見直し(別冊「参考資料2」スライド P.28)
④ 管理策の追加、変更への対応
(3)事業の代表者へ対する審査項目として新たに追加された内容
今回の規格改正の趣旨にマネジメントシステム規格としての位置付を明確にするこ
とがあげられています。また、トップマネジメントに関する要求事項が規格本文及び附
属書 A で規定され、役割・責任が明確になりました。それにより、事業の代表者には、
今回の規格改正に伴い追加された要求事項を以下の内容で確認することになっています。
①個人情報保護の目的(5.2.1)
・トップマネジメントは個人情報保護目的を説明できること。(審査基準 A3.2.1)
②個人情報保護方針について(A.3.2.1、A.3.2.2)
・トップマネジメントは、内部向け個人情報保護方針を文書化した情報を、組織内に伝
達し、必要に応じて、利害関係者が入手可能な措置を講じていること。(審査基準 A.3.2.1)
・トップマネジメントは、外部向け個人情報保護方針を文書化した情報について、一般
の人が入手可能な措置を講じていること。(審査基準 A.3.2.2)
③個人情報保護のための人的資源について(5.3)
・トップマネジメントが、個人情報保護のために人的資源を説明できること。(審査基準
A.3.3.4)
④マネジメントレビューのアウトプットについて(9.3)
・マネジメントレビューのアウトプットには、継続的改善の機会及び個人情報保護マネ
ジメントシステムのあらゆる変更の必要性に関する決定が含まれていること。(審査基
準 A.3.7.3)
⑤PMS の継続的改善について(10.2)
・個人情報保護マネジメントシステムを継続的に改善していること。(審査基準 A.3.8)
13
参照:JIS Q 15001:2017
[規格本文]
5.2 方針
5.2.1 内部向け個人情報保護方針
トップマネジメントは,次の事項を満たす内部向け個人情報保護方針を確立しなければならない。
a) 組織の目的に対して適切である。
b) 個人情報保護目的(6.2 参照)を含むか,又は個人情報保護目的の設定のための枠組みを示す。
c) 個人情報保護に関連する適用される要求事項を満たすことへのコミットメントを含む。
d) 個人情報保護マネジメントシステムの継続的改善へのコミットメントを含む。
内部向け個人情報保護方針は,次に示す事項を満たさなければならない。
e) 文書化した情報として利用可能である。
f) 組織内に伝達する。
g) 必要に応じて,利害関係者が入手可能である。
5.2.2 外部向け個人情報保護方針
トップマネジメントは,次の事項を満たす外部向け個人情報保護方針を文書化し,一般の人が知り得
るようにしなければならない。
a) 5.2.1 で確立した内部向け個人情報保護方針に対して矛盾しない。
5.3 組織の役割,責任及び権限
トップマネジメントは,個人情報保護に関連する役割に対して,責任及び権限を割り当て,利害関係
者に伝達することを確実にしなければならない。
トップマネジメントは,次の事項に対して,責任及び権限を割り当てなければならない。
a) 個人情報保護マネジメントシステムが,この規格の要求事項に適合することを確実にする。
b) 個人情報保護マネジメントシステムのパフォーマンスをトップマネジメントに報告する。
注記 トップマネジメントは,個人情報保護マネジメントシステムのパフォーマンスを組織内に報
告する責任及び権限を割り当ててもよい。
9.3 マネジメントレビュー
トップマネジメントは,組織の個人情報保護マネジメントシステムが,引き続き,適切,妥当かつ有
効であることを確実にするために,あらかじめ定めた間隔で,個人情報保護マネジメントシステムをレ
ビューしなければならない。
マネジメントレビューは,次の事項を考慮しなければならない。
a) 前回までのマネジメントレビューの結果,とった処置の状況
b) 個人情報保護マネジメントシステムに関連する外部及び内部の課題の変化
c) 次に示す傾向を含めた,個人情報保護パフォーマンスに関するフィードバック
1) 不適合及び是正処置
2) 監視及び測定の結果
3) 監査結果
4) 個人情報保護目的の達成
d) 利害関係者からのフィードバック
e) リスクアセスメントの結果及びリスク対応計画の状況
14
f) 継続的改善の機会
マネジメントレビューからのアウトプットには,継続的改善の機会,及び個人情報保護マネジメント
システムのあらゆる変更の必要性に関する決定を含めなければならない。組織は,マネジメントレビュ
ーの結果の証拠として,文書化した情報を保持しなければならない。
10 改善
10.1 不適合及び是正処置
不適合が発生した場合,組織は,次の事項を行わなければならない。
a) その不適合に対処し,該当する場合には,必ず,次の事項を行う。
1) その不適合を管理し,修正するための処置をとる。
2) その不適合によって起こった結果に対処する。
b) その不適合が再発しないように又は他のところで発生しないようにするため,次の事項によって,そ
の不適合の原因を除去するための処置をとる必要性を評価する。
1) その不適合をレビューする。
2) その不適合の原因を明確にする。
3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。
c) 必要な処置を実施する。
d) とった全ての是正処置の有効性をレビューする。
e) 必要な場合には,個人情報保護マネジメントシステムの変更を行う。
是正処置は,検出された不適合のもつ影響に応じたものでなければならない。
組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。
f) 不適合の性質及びとった処置
g) 是正処置の結果
10.2 継続的改善
組織は,個人情報保護マネジメントシステムの適切性,妥当性及び有効性を継続的に改善しなければ
ならない。
[附属書 A]
A.3.2.1 内部向け個人情報保護方針
トップマネジメントは,5.2.1 e) に規定する内部向け個人情報保護方針を文書化した情報には次の事
項を含めなければならない。
a) 事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること[特定された
利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下,“目的外利用”という。)を行わ
ないこと及びそのための措置を講じることを含む。]。
b) 個人情報の取扱いに関する法令,国が定める指針その他の規範を遵守すること。
c) 個人情報の漏えい,滅失又はき損の防止及び是正に関すること。
d) 苦情及び相談への対応に関すること。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
f) トップマネジメントの氏名
15
トップマネジメントは,内部向け個人情報保護方針を文書化した情報を,組織内に伝達し,必要に
応じて,利害関係者が入手可能にするための措置を講じなければならない。
A.3.2.2 外部向け個人情報保護方針
トップマネジメントは,外部向け個人情報保護方針を文書化した情報には,A.3.2.1 に規定する内部
向け個人情報保護方針の事項に加えて,次の事項も明記しなければならない。
a) 制定年月日及び最終改訂年月日
b) 外部向け個人情報保護方針の内容についての問合せ先
トップマネジメントは,外部向け個人情報保護方針を文書化した情報について,一般の人が知り得
るようにするための一般の人が入手可能な措置を講じなければならない。
16
Ⅴ.現地審査の時間配分
中規模事業者現地審査プログラム(案)
9:00~9:10 オープニングミーティング
9:10~9:40 トップインタビュー
主要な業務とその概略を伺います。
9:40~12:00 業務の確認
主要な業務を 2~3選択し、業務ごとに以下を繰り返します。
①個人情報のライフサイクルごとの取扱いをヒアリングします。
②リスクアセスメントが、リスク分析表と合致しているかを確認します。
(個人情報の特定やリスクアセスメントの確認)
③運用の不備が確認できた場合、それに該当する規程の状況及び規程が適
切かも確認します。
(必要に応じて入退管理やネットワーク等のインフラについて確認)
12:00~13:00 昼休み
13:00~13:45 インフラの確認、入退館等の確認
入退管理やネットワーク等のインフラについてヒアリングします。
(個人情報の特定やリスクアセスメントの確認)
13:45~14:45 現場確認
現場でインフラや媒体の管理状況(保管、廃棄)等の安全管理措置を確認しま
す。
14:45~15:30 他の運用状況の確認
教育、点検、是正、マネジメントレビュー等の状況を確認します。
15:30~16:00 クロージングミーティング
総評、審査の結果、不適合の有無と今後の進め方について説明します。
PDCAを効率的・効果的に廻していくための相談を受けます。
選択した業務 に つ いて、①~③を繰返します。
17
Ⅵ.申請書類の主な変更点
2018年 8月 1日以降申請事業者の申請様式
(1) 年号
・年月日が西暦に統一されました。
(2) 申請書
・法人番号の記入欄が追加されました。
・新規申請は、登記簿と定款が必須となります。
法人番号の記入により、更新申請は登記簿と定款が原則不要です。資本金、役員構成、
合併分社等の変更がある場合のみコピーを提出して下さい。
(3) JFPI受付-3「会社概要」
・適用規格のチェック欄を追加しました。
(4) JFPI受付-5「全ての事業所の所在地及び業務内容」
・所属している従業者数が追加されました。
・他の事業者との同居の有無が追加されました。
(5) JFPI受付-6「個人情報保護体制」
・教育担当者等の記載→事務取扱担当者、情報システム管理者を記入するように変更され
ました。
(6) JFPI受付-8「JIS要求事項との対応表」
・JIS Q 15001:2017 付属書 Aの項番に変わりました。
(7) 提出資料等の変更
・該当する場合に、登記簿、定款、変更報告書、探偵業に係る誓約書を提出して下さい。
・教育・監査・見直しの実施記録の提出を任意で求めるようにされました。
・アンケート(同時に審査を受けたいグループ企業の有無、コンサルタント会社名)欄が
追加されました。
18
Ⅶ.個人情報保護シリーズ新刊本のご紹介
① 印刷産業のための個人情報保護の手引き(JIS Q 15001:2017 附属書 A 準拠)
2018 年 8 月発刊予定
② 印刷産業のための個人情報保護の手引き 構築支援ツール参考資料集(JIS Q 15001:2017 準拠)
2018 年 9 月発刊予定
書籍の位置付
個人情報保護法
JISQ15001本文
附属書A
個人情報の保護に関する法律についてのガイドライン
日印産連印刷産業における個人情報保護
ガイドライン (JIS Q 15001:2017 附属書A(規定) 準拠)
日印産連印刷産業のための
個人情報保護の手引き(JISQ15001:2017附属書A(規定)準拠)
個人情報保護マネジメントシステムマニュアル
個人情報保護基本規程
個人情報保護マネジメントシステム運用基準
個人情報保護取扱基準個人情報保護安全対策管
理基準
様式集
印刷産業のための個人情報保護の手引き
構築支援ツール 参考資料集
附属書B
附属書C
附属書D
ISO27001:2014
マネジメントレビューアウトプット
個人情報保護マネジメントシステム-要求事項JISQ15001:2017
19
参考資料1
JFPI REPORT
No.160~No.164
一般社団法人 日本印刷産業連合会の機関誌
JFPI REPORT 2017年 7月号~2018年 7月号
から個人情報に関連する記事を抜粋
20
JIS Q 15001「個人情報保護マネジメントシステム-要求事項」の改正について
JIS Q 15001 個人情報保護マネジメントシステム改正案作成委員会 委員
(株式会社シーピーデザインコンサルティング 代表取締役) 鈴木 靖
JIS Q 15001改正の経緯
2017年5月に全面施行となった改正個人情報保護法を受け、JIS Q 15001(個人情報保護マネジメントシステム)
も 2017年版として改正されました。
JIS Q 15001 は、EU指令(Directive 95/46/EC)を考慮して、1999 年に「個人情報保護に関するコンプライアン
ス・プログラムの要求事項」として作成されたのが第 1版です。その後、2003年 5月に公布された「個人情報の保護に関
する法律」(以下、個人情報保護法という。)、経済産業省が定めた「個人情報の保護に関する法律についての経済産業
分野を対象とするガイドライン(平成 16 年 10 月 22 日厚生労働省・経済産業省告示第 4 号)」を反映させる形で
2006 年に 1 回目の改正が行われました。さらに、2011 年には、この規格の要求事項の解釈に関し、個人情報保護法
の施行後の取組みとの関係においてより明確化が求められてきた部分について、要求事項本体の改正ではなく、高度で
精緻な取組みに求められる記載内容(解説)を修正し充実化を図る改正が行われました。
しかし、その後の IT の進化はめざましいものがあり、個人情報の活用によっては、新たな産業の創出や豊かな国民生活
の実現にもつながるという話も現実のものとなりました。そこで、IT の進化を意識して個人情報の保護と活用のバランスを見
直す必要が生じ、2017 年 5 月 30 日 改正個人情報保護法が全面施行され、この改正個人情報保護法との整合を
図るために JIS Q 15001 も 2017 年版として改正されました。
今回の改正では、改正個人情報保護法に対応する管理策を旧規格の要求事項と重ね合わせた上で附属書 A(規
定)として記載するとともに、マネジメントシステム規格としての位置づけを明確にしました。また、旧規格で充実をはかった
解説の内容の中で規格に取り入れる方が適切である内容を精査し、附属書B(参考)に記載しています。
なお、改正に当たっては、この規格が民間部門の個人情報保護の促進及び消費者保護に重要な役割を果たしている
ことから、要求事項の基本的な考え方は変更せず、旧規格に基づいて構築された個人情報保護マネジメントシステムがこ
の規格の改正によって不都合が生じないように配慮されています。
図 JIS Q 15001規格の変遷
21
この規格に適合することの重要性及び利点
この規格は、単に個人情報保護法を順守するために必要な事項、禁止する事項を並べたものではありません。事業者
が、PDCAサイクルによるマネジメントシステムを構築して、それを継続的に廻していくために必要なものが並べられています。
個人情報保護のマネジメントシステムとして構築するか否かは、組織運営の原点に立ち返って決めてください。ある時点
において個人情報保護法を順守しているというものではなく、マネジメントシステムとして将来に渡っても適切な個人情報の
取扱いが行われるようにする必要があるかどうかは、そもそも自社が世の中でどのような役割を担っているのか、これから何を
狙っていくのか、その際に「個人情報保護」について外部・内部からどのような課題と期待を与えられているのか、自社ではど
のような意思決定プロセスが用意されているのか、会社の規模や構造によっても判断が変わってくるでしょう。また、これらの
要素は時間の経過とともに変化するでしょう。
さらに、最近の事案では、個人情報保護法上の違反は無くても、生活者のコンセンサスを得られずに“炎上”に至ったとい
うものも多々あります。個人情報保護マネジメントシステムとしては、単に法令順守というだけではなく、リスクマネジメントの
プロセスも加えることによって、個人情報の保護を維持しつつ、リスクマネジメントも出来ているという信頼を取引先ほか利害
関係者に対して与えることも出来るはずです。
個人情報保護マネジメントシステムが、事業者において業務を実施する中で当たり前に組み入れられていたり、組織の
統制・管理の中のテーマにひとつとなっていたり、業務の設計・情報システムの設計・リスク対策の設計の際に個人情報保
護を考慮することは重要なことです。改めて、組織運営の原点に立ち返り、外部・内部からの課題と期待に照らして、個人
情報保護マネジメントシステムの導入・運用を考えてみてください。
この規格は、次のために使うことができます。
①個人情報保護に関する自社の能力を確かめるため。(「自己宣言」には言及していませんが、「自己宣言」も、その用
途に含まれると考えられます。)
②外部の関係者(審査機関も含む)が、その能力を確かめるため。
規格の本文と4つの附属書との関係
JIS Q 15001:2017 の規格票の 1頁から 16頁までに、「個人情報保護マネジメントシステム-要求事項」が記述さ
れています。これを本文と言います。事業者の皆様はこの本文に従って個人情報保護マネジメントシステムを構築し、運用
しなければなりません。
そして、JIS Q 15001:2017 の本文と附属書 A の関係が、本文 6.1.3 c)に次の要求事項として規定されていま
す。
b)で決定した管理策を附属書 A に示す管理策と比較し、必要な管理策が見落とされていないことを検証する。
これは、附属書 A が、リスクアセスメントの結果実行すると決めた管理策にヌケモレがないことをチェックするための管理策
リストという位置づけであることを示しています。
附属書 A は、本文に基づく個人情報保護マネジメントシステムを構築するにあたって個人情報保護マネジメントシステ
ムに実装すべき全ての管理策が附属書 A であるという考え方に基づいています。ですから附属書 A は、「個人情報保護
水準」のみならず本文に記載されている「マネジメントシステムに係るもの」も含めた形の管理策になっていると考えると分か
りやすいでしょう。
22
そのため、改正 JIS Q 15001:2017 に対応するためには、まずは、附属書 A と JIS Q 15001:2006 と比較し、附
属書Aへの対応を行うことが先決です。なお、附属書Aをどのように理解すればいいのかを解説するものとして附属書 Bが
付いています。
改正個人情報保護法との関係
2017年 5月 30日に改正施行された個人情報保護法に準拠するよう、旧版に追加された箇所は以下の通りです。こ
ちらについては、対応手順を内部規程に盛り込む必要があるでしょう。
A.3.4.2.8.1 外国にある第三者への提供の制限
A.3.4.2.8.2 第三者提供に係る記録の作成など
A.3.4.2.8.3 第三者提供を受ける際の確認など
A.3.4.2.9 匿名加工情報
また、用語の定義は「個人情報保護法による」となりましたので、以下の用語はご注意ください。
「個人情報(個人識別符号)」「個人データ(個人情報データベース等)」「保有個人データ」「要配慮個人情報」
さらに、これまで JIS Q 15001 の「安全管理措置」は、「個人情報の保護に関する法律についての経済産業分野を対
象とするガイドライン」等を参考にした対策を講じるようにと誘導していました。ところが今回の改正個人情報保護法によって、
経済産業分野のガイドラインは廃止になり、個人情報保護委員会のガイドラインの安全管理策がそれに代わることになりま
した。しかし、個人情報保護委員会のガイドラインが詳細には書かれていなという背景から、今回は附属書 C(参考)と
して「安全管理措置に関する管理目的及び管理策」が添えられました。
JIS Q 15001:2017 では、本文 6.1.2「個人情報保護リスクアセスメント」によって、組織(事業者)が、個人情報
保護法違反とならなくても、その他に発生するリスクを洗い出して本文 6.1.3 による個人情報保護リスク対応を行っていく
という思想があります。附属書 Cは、全てに対応することを求めているのではなく、対応の抜け漏れをチェックするものです。
なお、この思想は、附属書 A の A.3.3.1「組織は,特定した個人情報については,個人データと同様に取り扱わなけ
ればならない。」の言わんとするところとも通じています。
2017 年版の附属書 A では「個人情報」「個人データ」「保有個人データ」を書き分けています。附属書 A において「個
人データを対象として書かれているところを全て個人情報と書き換えて読みなさい。」という意味にもとられるかもしれません
が、本文 6.1.3の c)に記載のあるとおり、「本文 6.1.3b)で決定した管理策を附属書 A に示す管理策と比較し、必要
な管理策が見落とされていないことを検証する。」ことが本意です。
一旦は「個人情報」に書き換えて読んだ附属書 Aに記載された各管理策について、法令の要求が「個人データ」に対す
るものであるならば、法令によらず発生するリスク(顧客ロイヤリティの低下など)を受容できるかどうか検討し、リスク所有
者(個人情報保護管理者)の承認を得るという手続きを行って、「個人データとならない個人情報」に対しては実施しな
いという選択肢があります。
最後に
改正個人情報保護法が全面施行されてから既に半年以上が経過しています。個人情報保護マネジメントシステムは、
こうした環境の変化に対応してスパイラルアップしていかなければ効果がありません。JIS Q 15001:2017 から適切な要求
事項を取り入れて強化を図っていきましょう。
平成 30年 1月 22日(月)に企業行動委員会 情報セキュ
リティ部会主催の第1回「個人情報保護研究セミナー」を約140名の参加者を得て、大雪が降り始める東京で開催しました。 Ⅰ.『個人情報保護マネジメント
システム規格の見直し』
慶應義塾大学 総合政策学部 教授 新保 史生 氏
本日のセミナーは配付資料がなく、記録には残せないが記
憶に残して下さいとの冒頭のあいさつで始まり、JIS Q 15001:2017(以下、新規格という。)は、マネジメントシステムに関する要求事項を記載した本文と附属書で構成されている。セミナーでは新規格の改正の趣旨、内容等について詳しく解説していただいた。参加者は、配付資料がないため持参した規格票を基に改正内容を確認した。
1.JIS Q 15001改正の経緯 改正の背景は、改正個人情報保護法と合わせた内容にする。
改正の方針は、個人情報保護法の上乗せはないが、明示+同意の手続きは維持し、個人情報保護法と用語の統一を図り、個人情報は個人データに変え、開示対象個人情報は保有個人情報へ変更し整合を図る。 今までの日本特有の個人情報マネジメントシステムを続
けるのではなく、他のマネジメントシステムと構造を同じにして、ISO 9001、ISO 14001、ISO 27001等のマネジメントシステムを維持・運用していれば、それらに少し上乗せをすることで、個人情報保護対応ができるようにした。新規格の本文は、マネジメントシステム部分を規定している。本文では、個人情報保護という用語を使ってはいるが、個人情報保護の手順は規定されていない。 JIS Q 15001:2006(以下、旧規格という。)を運用してい
る事業者が、新規格へ移行する場合に、本文のマネジメントシステムに対応すると混乱が予想される。そこで附属書 Aは、用語は変更しているが旧規格の要求事項を踏襲し、構成内容は基本的には変更しないで、改正個人情報保護法の要求事項を加えた。これにより、PM 取得事業者が、規定を全て作り直す必要がないように配慮した。
2.新規格の構成及び改正点 新規格は本文、附属書 A、附属書 B、附属書 C、附属書 Dで
構成している。
・新規格の主な改正点
規格本文は、JIS Q 27001:2014の情報セキュリティという
用語を個人情報保護に一括で置き換えた。用語及び定義は3.1
~3.38、及び 3.46が JIS Q 27000:2014と同じにしている。そ
の中で(JIS Q 27000:2014の~参照)と書かれていない用語は
内容が異なる。3.39~3.45 の用語は個人情報保護特有の用語
である。
附属書 A は、旧規格本文に個人情報保護法の改正に伴い追
加や変更が行われ記載している。細分箇条にアスタリスクが付
いている項目は補足説明を附属書 Bに記載している。
附属書 B は、旧規格(2010確認)の解説及び附属書 Aでアス
タリスクを付けた項目の補足説明を記載している。
附属書 Cは、JIS Q 27001:2014の附属書 Aを記載しているが、記載事項の適用することの要否を検討してもらうために、参考規格では「~しなければならない」と記載しているところを「~することが望ましい」に置き換えている。
3.新規格への対応 新規格移行に伴い対外的に対応が必要なものは、一般の人が
見ることができる個人情報保護方針です。あまりにもコピペ方針が多いので、個人情報を適正に取り扱う、きちんと使える個人情報保護方針にする。 内部向け個人情報保護方針は、情報セキュリティ基本方針で
す。外部向け個人情報保護方針は、社内の個人情報保護方針を作り内部に周知し、社外に公表するものです。旧規格では外部向け個人情報保護方針を作り社外に公表していました。 適用宣言書が規格本文に記載されていないのは、附属書 SL
には、適用宣言書が規定されていないからです。 適用範囲については、事業者が組織に置き換わっている。組
織にすると効果的であるが意に反して、新規格の 1.適用範囲では、組織は個人情報取扱事業者を意味すると記載されている。 新規格での新たな対応として次の項目があげられた。 ・新規格本文で旧規格に要求がなかった項目 4.2 利害関係者のニーズ及び期待の理解 6.1 リスク及び機会に対処する活動
・附属書 Aにおける改正個人情報保護法対応 A.3.4.2.8.1 外国にある第三者への提供の制限 A.3.4.2.8.2 第三者提供にかかる記録の作成など A.3.4.2.8.3 第三者提供を受ける際の確認など A.3.4.2.9 匿名加工情報
4.セミナーでの質問 Q A.3.4.2.5 本人から直接書面によって取得する場合の措
置、及び A.3.4.2.6 利用に関する措置に於いて、パブコメでは、ただし書きが A.3.4.2.3 になっていたが、最終版では何故 A.3.4.2.4に変更されたのでしょうか?
A A.3.4.2.5 本人から直接書面によって取得する場合の措置は、ただし書きが A.3.4.2.3 になっていたところが最終版では保護法 18 条に合わせ A.3.4.2.4 に変更した。A.3.4.2.6 利用に関する措置は、パブコメでは、ただし但し書きが A.3.4.2.3 になっていたところが最終版ではA.3.4.2.4に変更されたが、ここは修正ミスで A.3.4.2.3が正しかった。
Q 子供の年齢は何歳と考えればよいでしょうか? A 法令では子どもの定義は、児童、子ども、未成年に分けら
れ、公職選挙法では未成年の定義は 18歳未満となっており、他の法令もこれに合わせきているので法令に合わせ18歳未満と考える。
平成 29年度 第1回「個人情報保護研究セミナー」
-個人情報保護マネジメントシステム規格の見直しと
サイバーセキュリティの最新情報についての報告-
23
Ⅱ.『業務基盤の IT化の進展により、
見えなくなってきている サイバー攻撃と被害実例』
株式会社 サイバーディフェンス研究所
専務理事/上級分析官 名和 利男 氏
最近の「IT利活用」は、業務の基盤そのものを IT化する流れが加速している。これに対し、攻撃側は、その業務の基盤そのものに対するサイバー攻撃を始めており、検知されにくく、攻撃効果の大きい手法を考え出して実行している。我々からは「見えないサイバー攻撃」が増えており、残念ながら実際にそれらに気づけていない。本講演では、その実情について図解を入れて説明があった。
1.気づかれずに発生する「サイバー攻撃」 (1)更新機能を利用するマルウェア感染
・Web、メール、媒体の更新機能を利用した感染。
(2)正規(有名)サービスを(時間差で)踏み台にする C2通信
・メール送信したウイルスとの C2 サーバとの通信。
※C2とはサイバー犯罪に関する用語で、マルウエアに感染した PC
に指令(Command)を送り、制御(Contorol)すること。
(3)スクリプト実行環境を利用した正規プログラムによる
挙動
・正規プログラムによる挙動のため検知が困難。
(4)正規(有名)サービスの動機機能を利用する C2通信
・正規サービス(例:outlookのメールボックス)を C2として
使用するバックドア。
(5)様々な対象から調達・窃取可能な認証情報の悪用
・キーロガーを使ってキー入力される ID/PWをフィッシング。
(6)敵対国のソフトウェアやプロダクトからのデータ流出
・2017年7月ADUPS製のファームウェアにバックドアが仕込まれた。
(7)機械設備の PCに対するマルウェア感染
・IT管理者が把握していない NWへの攻撃。
2.最近の「サイバー攻撃主体」とは
(1)「サイバー攻撃主体」の一般的な認識
・攻撃者がウイルスメール等を送りつけ、ターゲットの PCを感染さ
せ、C2 サーバとの通信を図る。
(2)最近の「サイバー攻撃主体」の実態
・ターゲットとなるユーザが提供する情報を取得し、ターゲットの PC
を感染させる。
3.(攻撃側の観点による)日本のセキュリティ対策の弱点 (1)緊急時に整備済みの連絡体制が機能しない
・窓口担当者が認識していない(或いは存在しない)。
・連絡内容の不足(或いは伝達相手へ配慮不足)
(2)CSIRTメンバーが役職者ばかりで、実働要員が不在
・情報通信技術(IT/ICT)の教養と経験が不足。
(3)適切な状況認識ができていない
・専門技術用語を伴う報告から全体像を把握できない。
(4)インシデントハンドリングの流れに一貫性がない
・現場の事情が把握されず、適切な判断ができない。
(5)「サイバー攻撃対処」における問題の本質
・担当者への丸投げ ⇒ 脅威の認識が悲劇的に不足。
4.セキュリティ対策として取るべきアクション
(1)対処行動の着目したレベル分け
・「保護偏重」から脱却し、明確なミッションの設定。
・部署/役職者が行動すべき観点でインシデントレスポンスを設計。
(2)徹底的かつ包含的な状況認識
・連絡先の疎通確認、メンバー間の一体化が図れる。
・潜在化した可能性のあるイベント(事象)を検知するトリガ
ーとなる。
(3)権限を有する者が積極的(強制的)に関与
・経営層(上層部)が各部門長に明確な指示を出す。
・緊急連絡網の整備、各部門長が参集する場を整備。
(4)メンバー間の定例会(勉強会)
・インシデント発生時において相手の顔が見える。
・やり取りする必要となる認識・教養の統一化を図る。
(5)初動対処に係る行動を伴う訓練の実施
・教養に加え、(類似)経験を積み上げることができる。
・全体的なインシデント対応に係る時間を短縮できる。
(6)経験者の獲得と育成委託
・SNSを利用した候補者の選定。
・ブラザーシスター制度における「経験豊かな先輩」が必要。
5.中小企業向けの参考資料
(1)クラウドの活用
・メリット・デメリット、安全性、費用、クラウド事業者の選定方法。
・IPA「クラウドサービス安全利用のすすめ」。
https://www.ipa.go.jp/files/000011594.pdf
中小企業のためのクラウドサービス安全利用チェックシート付き
(2)セキュリティを「コスト」でなく「投資」と捉えること
の重要性
・サイバー攻撃がさけられないリスクの現状において、セキュリティ投
資は必要不可欠、かつ経営者の責務。
・経済産業省「サイバーセキュリティ経営ガイドライン」。
http://www.meti.go.jp/press/2017/11/20171116003/
20171116003.html
(3)セキュリティ対策に関する補助金制度の活用
・東京都「中小企業における危機管理対策促進事業 サイバーセキュリティ対策促進助成金」。 http://www.metro.tokyo.jp/tosei/hodohappyo/press
/2017/07/31/08.html
24
当審査センターがプライバシーマークの認定を
した事業者から、昨年度に報告があった個人情報の
取扱いにおける事故報告の概要を報告いたします。
また平成 21 年度から平成 29 年度までの事故の現
象別分類を行いました。
1.平成 29年度の事故概要
昨年度当審査センターが報告を受けた個人情報
の取扱いにおける事故の概要を表 1.にまとめま
した。事故の現象としては、封入ミスが 50%、携帯
電話や資料の紛失等が 25%となり、合わせて 75%
を占めています。
事故内容を教育や予防処置事例として活用して
下さい。予防処置結果はリスク分析に反映し、必要
な対策を講じ、安全管理措置として文書化し実施し
て下さい。
表 1. 日印産連プライバシーマーク審査センターに報告のあった事故概要(平成 29年度)
漏えい/誤送付/封入ミス 10 件
①「通販カタログ情報誌」の発送業務を子会社に委託したところ、再委託先にて他人の宛名台紙が 1枚混入し発送さ
れた。宛名台紙に記載された個人情報(氏名、住所、会員ポイント)1件が漏えいした。
②親会社から受託した「通販カタログ情報誌」の発送業務を、委託先にて封入物を機械封入する際に、宛名台紙がガ
イド等に引っ掛かり、宛名台紙 1枚が混入し発送された。宛名台紙に記載された個人情報(氏名、住所、会員ポイ
ント)1件漏えいした。
③「市民税・県民税決定通知書」の封入封緘納品業務において、委託先の作業者が事業主別に通知書をまとめる際
に、別の事業主に送付する通知書1枚を間違って梱包し送付した。「市民税・県民税決定通知書」記載の個人情報
(氏名、生年月日、住所、徴収税額、個人番号)6件が漏えいした。
④選挙の「投票所入場整理券」の封入封緘業務において、名寄せ確認を行うセンサーレンズ部に紙粉が付着し、枚数
を正確に数えることができず封入封緘機が自動停止した。停止後、作業オペレーターが名寄せ修正作業を行わず機
械を再稼働させたため 1名分の投票所入場整理券を誤封入し発送した。「投票所入場整理券」記載の個人情報(氏
名、住所)1件が漏えいした。
⑤「業務報告書」の封入発送業務において、再委託先で「配当金支払い通知書」を封入する際に、封入機で通知書の
2枚取りが発生し、厚み検知器で異常検知し、作業員が封入物を確認したが通知書が密着していたため見落とし、1
枚を誤封入し発送した。「配当金支払い通知書」記載の個人情報(氏名、住所、配当金)1件が漏えいした。
⑥「学費納付書」と「同窓会費納付書」の封入封緘発送業務において、厚み検査で異常感知された 2通を手作業によ
り正しく入れ直す際に、“封入封緘はダブルチェックする”というルールを怠ったため確認不足となり、Aさんに B
さんの同窓会費納付書を、Bさんに Aさんの同窓会費納付書を封入し送付された。「同窓会費納付書」に記載の個人
情報(氏名、学生番号、住所、保護者氏名)2件が漏えいした。
⑦「自転車保険会員向け継続案内」の封入・封緘業務において、「口座振替依頼書」を管理番号にて目視照合し封入
する際に管理番号を見間違い、会員 A宛の封筒に会員 Bの口座振替依頼書、会員 B宛の封筒に会員 Aの口座振替依
頼書を誤封入し発送した。「口座振替依頼書」に記載の個人情報(氏名、生年月日、保険金額、保険期間)2件が漏
えいした。
⑧通信教育事務局業務において、添削者から戻って来た添削済答案用紙が企業順に並んでなかったため事務局が並び
替えを行った。並べ替え後の確認作業がシングルチェックとなり不完全な状態で発送し、A社に送る添削済答案用
紙 10枚中の 1枚を、B社に送る添削済答案用紙の中に混入し送付した。答案用紙に記入された個人情報(氏名、
会社名・部署名)1人分を紛失した。
⑨協同組合連合会からの印刷・加工・発送業務を子会社に委託したところ、本人の生命保険の契約内容を印字した
「証書」と「提案書」をセットして発送する際、一部、他人の「提案書」を誤封入し、「提案書」記載の個人情報
(氏名、生年月日、電話番号、家族に関する情報、保険内容、掛け金)を 300件漏えいした。
⑩親会社から受託した印刷・加工・発送業務において、本人の生命保険の契約内容を印字した「証書」と「提案書」
をセットして発送する際、一部、他人の「提案書」を誤封入し、「提案書」記載の個人情報(氏名、生年月日、電
話番号、家族に関する情報、保険内容、掛け金)を 300件漏えいした。
紛失 5 件
①「PTA広報」の印刷業務において、学校から預かったSDカードは手渡しで返却する事になっていたが、郵送で
返却した際に封筒の底が破れSDカードがこぼれ落ちた。後日、郵便局内でSDカードは見つかり、学校に返却し
た。SDカード内の個人情報(氏名、顔写真)80件×数年分を紛失した。
②会社貸与の携帯電話(パスワードロック実施)をストラップから外してカバンに入れお酒を飲みに行った。深夜帰
宅途中でカバンを紛失し、カバン内にあった携帯電話を紛失した。携帯電話内の個人情報(氏名、電話番号、メー
ルアドレス)160件を紛失した。
③会社貸与の携帯電話(パスワードロック実施)をカバンに入れ帰宅する際に、電車内で携帯電話がカバンに無いこ
とに気付いた。携帯電話内の個人情報(氏名、電話番号、会社名)150名を紛失した。
④会社貸与の携帯電話(クローズドロック設定(指紋認証))を会社から帰宅時に鞄に入れ持ち帰ったと思ったが、
鞄から携帯電話が無くなっていた。携帯電話内の個人情報(氏名、電話番号、メールアドレス)が 100件紛失し
た。
平成 29年度 個人情報に関する事故報告
25
⑤通信教育事務局業務において、添削者に答案用紙 14人分を封筒に入れ宅配便で送付したが、添削者からは 13人分
しか受け取っていないと連絡があった。添削者に添削依頼する際に、送付答案用紙の人数の記録をつけておらず、
事務局側で紛失したのか、添削者側で封筒に 1名分残したまま封筒を破棄したのか授受数の記録が無いためわから
なかった。答案用紙に記入された個人情報(氏名、会社名・部署名)1人分を紛失した。
漏えい/その他 2 件
①職員録の製本作業を委託した際、委託先社員が刷本の一部を職場から自宅に持ち帰り、印刷されていた複数の若い
女性教師に迷惑電話をかけた。迷惑電話を受けた女性教師から被害届が出され警察の捜査で委託先社員の自宅から
刷本が発見された。委託先では部外者による盗難対策はとられていたが、社員が意図的に刷本を持ち出す行為につ
いては想定していなかった。刷本記載の個人情報(氏名、学校名、住所、電話番号、採用年度等)が 9,747件漏え
いした。
②選挙入場券を発送する業務において、窓あき封筒に入れる入場券には発送用に住民登録された住所が印字されてい
る。原発避難者には避難場所に郵送する必要があるため、避難場所の住所が印字された宛名ラベルを封筒窓部に貼
る作業を行った。選挙入場券と宛名ラベルには誤貼付防止のため、確認用番号が記載されており、マッチングしな
がら貼付する手順と決め、封入封緘、宛名ラベル貼付、目視検査箱詰めの 3工程を 3人体制で実施した。しかし、
封入封緘担当者は封筒の並びを間違え、宛名ラベル貼付担当者は番号を確認しないでラベルを貼り、検査担当者の
番号確認の見落としにより、宛名ラベルの貼付を間違え 2件が誤送付された。入場券記載の個人情報(氏名、性
別)が 2件漏えいした。
漏えい/誤送付/メール送信 1件
①毎月実施しているフリーマガジンの配布店舗一覧を各社ホームセンターの担当者にメールする際、本来 BCC として
送信すべきところ誤って TOで送信し、担当者のメールアドレスが送信先全員に表示された。メールに記載の個人情
報(メールアドレス)が 27件漏えいした。
漏えい/Web上 1 件
①受託した WEB ポータルサイトにおいて、会員 2 名が同時刻に新規会員登録を行った際に、システムの不具合により
会員コードが重複された。会員が登録後にポータルサイトを見たところ、別の会員名の入ったデータが表示され会
員登録情報が漏えいした。会員の登録情報(氏名、住所、こどもの生年月日)が 1件漏えいした。
消失 1 件
①マイナンバーWEB 収集業務において、業務追加に伴うシステム改修を、2 部門で行った際、部門間の開発初期時の
レビューが開催されなかったため誤った自動削除により、特定個人情報データが予定の期間より早く削除された。
システムに登録されていた個人情報(氏名、生年月日、性別、住所、マイナンバー等)895件を滅失した。
2.事故の現象別割合(平成 21年度~29年度)
(1)平成 21 年度からの 9 年間で報告された個人
情報の取扱いにおける事故を現象別に分類し、
年度毎の傾向を表 2.に示します。
(2)昨年度の事故報告件数は、前年より 1件減の
20 件でした。
表 2. 事故の現象別分類(年度別)
メール誤送信、Web 上での漏えいは 3 件→1 件
と減りましたが、封入ミスが 3 件→10 件と急
激に増えています。
また 20件のうち 8件は委託先が起こした事故
でした。委託先が安全であることの保障はあ
りません。委託先の評価選定を確実に行うと
ともに、委託先の監督が重要となります。2 者
監査等で委託先業務の実施状況を確認しまし
ょう。
分類
報告件数
平成21年度 1 5 1 3 10
平成22年度 1 2 2 2 7
平成23年度 1 1 5 2 1 1 1 2 1 15
平成24年度 1 3 2 2 4 3 3 18
平成25年度 1 4 1 2 1 1 1 1 12
平成26年度 2 7 2 1 3 15
平成27年度 1 10 2 1 3 1 5 23
平成28年度 3 1 1 3 3 3 1 5 1 21
平成29年度 10 1 1 2 5 1 20
計 6 3 49 9 1 15 0 12 9 4 26 2 5 141
配達
ミス
宛名
間違
合計ウイルス
感染Web上
メール
送信
盗難・紛失・消失
盗難 紛失 消失
誤送付
FAX
送信
封入
ミス
圧着
ミス
その他
漏えい
その他
26
27
内部監査員セミナーは、昨年度迄 25 都市 33 回開催し 522名の方に修了証を発行しました。安全管理措置を確実なものとするためには、企業の従業者数の 1割以上の方が監査員の力量を有することが望まれます。 プライバシーマーク審査センターのホームページにより、
事業者から内部監査員セミナーの希望を受付けます。参加希望が 12名以上となった都市では開催日、会場を決め、参加申込みの受付けを開始します。
1.内部監査員セミナー開催の流れ
2.開催希望の申請 ② ① (1)開催希望の申請 プライバシーマークホームページ右メニューのボック ス内「内部監査員セミナー開催希望」を①クリックし、 開催希望の申請を行います。
(2)開催希望の掲載 「内部監査員セミナー」ボックスを②クリックすると、
「内部監査員セミナー開催申請状況」が表示されます。 内部監査員セミナー開催申請状況には、都道府県別申
請人数が表示されています。申請人数が 12名以上になる よう奮ってお申込み下さい。都道府県で 12名以上の申請 があった場合若しくは近隣を合せて 12名以上となる場 合に開催を計画します。1開催の定員は通常 24名として います。
(3)開催スケジュール 開催が決定した都市は、内部監査員セミナー開催スケ
ジュールに開催日、会場、申込み受付状況を表示します。
(4)参加申込み 参加申込みはプライバシーマーク審査センタートップ
ページのセミナー開催案内からお申込み下さい。 皆様のご参加をお待ちしております。
3.内部監査員セミナーの紹介 (1)開催目的
個人情報保護マネジメントシステム(PMS)が組織に貢
献するためには、PDCAサイクルを確実に廻し、継続的に
改善することが求められます。内部監査は、PMS全体をチ
ェックする機能として重要な役割を担っており、PMSが
組織で有効に機能するための重要なプロセスとなります。
内部監査員セミナーは、事業者の PMSが有効に機能し
て、安全管理措置を確実にするための監査プロセスとな
るように、PMS の改善を提案できる監査員養成を目的に
実施いたします。
模擬監査風景
全国各地でご希望に応じ内部監査員セミナーを開催いたします。
開催希望の受付
都道府県別開催希望人数の掲載
12名以上
開催スケジュール掲載
開催案内受付開始
セミナー開催 定員24名
内部監査員セミナー開催申請状況
内部監査員セミナーの都道府県別申請人数は以下の通りです。
2017 年 6 月 16 日現在
6人
北海道
人
青森県
人
岩手県
千葉県
人
秋田県
人
山形県
人
栃木県
人
埼玉県
人
宮城県
人
福島県
人
茨城県
人
東京都
11人
神奈川県
人
新潟県
人
群馬県
人
長野県
4人
山梨県
人
静岡県
人
人
石川県
人
福井県
人
滋賀県
奈良県
人
富山県
人
岐阜県
人
愛知県
三重県
人
京都府
人
大阪府
人
人
和歌山県
人
山口県 島根県 鳥取県
人 人 人
広島県 岡山県
人 人
兵庫県
人 人 人
愛媛県 香川県
人
人 人
高知県 徳島県
人 人
熊本県 大分県
人 人
鹿児島県 宮崎県
沖縄県
4人
長崎県 佐賀県 福岡県
人 人
当セミナーは都道府県で 12 名以上の申請があった場合若しくは近隣都道府県を合
わせて 12 名以上となった場合に開催を計画いたします。尚、1 開催の定員は通常 24
名としています。
セミナーの開催は、内部監査員セミナー開催希望にて受付けいたします。
【内部監査員セミナー開催スケジュール】
開催年月日 開催地 会場 受付/定員 申込み 備考
2017.7.5 東京 日本印刷会館 2F 30/30 受付終了
開催の詳細はプライバシーマーク審査センタートップページの「セミナー開催のご案内」を
ご覧いただき、お申込みください。
28
(2)タイムスケジュール
監査についての一般的知識の習得、規格要求事項の解
説及び不適合事例と対策、監査計画から内部監査後の是 正・予防処置及びフォローアップ監査までの手順の解説 並びにミニ演習(チェックリスト及び指摘文書作成)を 行います。
(3)監査の種類 監査の解説は、内部監査(第一者監査)だけでなく、取
引先からの監や委託先に対する監査(第二者監査)及び 審査(第三者監査)にも応用され役立ちます。
(4)是正処置
内部監査で発見された不適合事項に対する再発防止
処置として根本的な原因調査を実施し、その原因に対 応する恒久処置が理解できます。
(5)模擬監査(ロールプレイ)
模擬監査では全ての参加者が監査側と被監査側の両 方の役割を体験していただきます。監査事例としては印 刷事業者の業務を想定したイラスト、状況説明及び規定 を基に、内部監査に必要な技能を模擬監査で習得してい ただきます。
日印産連は平成 18年 1月から JIPDECのプライバシ-マーク指定審査機関としての認定を目指し準備を開始し、平成 19年 7月 31日に JIPDECに申請を行い、同年 8月 29日に指定審査機関の認定を受け、9月 10日から審査業務を開始しました。当審査センターが本年 9月に審査業務開始 10周年を迎えることから記念シンポジウムを開催し、プライバシーマーク取得事業者に IoT時代の激変する情報ネットワーク社会でのビジネス展開や最新の情報セキュリティ対策等について情報を提供いたします。
1.開催日時、会場 開催日時:2017年 10月24日(火)15:00~19:00
会場:アルカディア市ヶ谷(私学会館) 2.シンポジウム内容 (1)講演 講演内容:『これからのサイバーセキュリティを巡る
動向と対策の方向性』(案) 講演者: 丸山 満彦氏
デロイト トーマツ リスクサービス株式会社 代表取締役社長 公認会計士 公認情報システム監査人(CISA)
(講演者プロフィール)
1992年監査法人トーマツ入社。1998年より2000年ま
で米国の Deloitteに勤務。製造業グループ他米国企業
のシステム監査を実施。帰国後、リスクマネジメント、
コンプライアンス、情報セキュリティ、個人保護情報関
連の監査及びコンサルティングを実施。経済産業省、総
務省、厚生労働省、国土交通省のサイバーセキュリティ
関係の委員、ワーキンググループメンバーを歴任。2011
年3月まで内閣官房情報セキュリティセンターで情報セ
キュリティ指導官を兼務。 情報システムコントロール協会(ISACA)東京支部会員 (アドバイザリーコミッティーメンバー)、日本監査研究学会 会員 (2)懇親会 シンポジウム終了後、懇親会を開催します。 (3)シンポジウム及び懇親会会費 10,000円/人 ※詳細が決まりましたら、日印産連ホームページで ご案内いたします。
Ⅱ-2 内部監査員セミナー
9:40~10:00 講義「監査」
10:00~10:50 講義「JIS Q 15001」
11:00~12:00 講義「内部監査の手順」
12:00~13:00 昼食・休憩
13:00~16:00 演習「模擬監査」
16:00~16:20 理解度確認
16:20~16:30 修了証授与
※時間は変更になる場合があります。
内部監査員セミナータイムスケジュール
日印産連 プライバシーマーク審査認定事業
10周年記念シンポジウム開催のお知らせ
監査の種類
組織
(印刷事業者)
顧客
内部監査
審査機関
委託先購買先
第二者監査第二者監査
第三者監査
第一者監査
組織が取引のある別組織を監査
外部機関の利害関係がない者が組織を監査
組織内部の者が他部門を監査
取引のある別組織が組織を監査
内部監査員セミナー テキスト
「何故?」の繰返しで、職場改善◦「何故?」の繰返しで根本原因を明らかにして対策を講じ、再発防止を確実にします。
©(一社)日本印刷産業連合会 12
個人情報保護ワンポイントレッスン
内部監査員セミナー 模擬監査資料
模擬監査資料
一般社団法人日本印刷産業連合会
プライバシーマーク審査センター 〒104-0041 東京都中央区新富 1-6-8 日本印刷会館 7階 TEL.03-3553-6065 FAX.03-3553-6091 E-mail : [email protected]
日印産連プライバシーマーク審査センターホームページ
https://www.jfpi.or.jp/p-mark/index.html