個人情報に関する委託先との覚書締結では、雇用形態ではなく「業務上の必要性」で取扱者を限定するのが最適です。JIS Q 15001における従業者の定義や、他社が実践する機密保持誓約書の徴求、アクセス権限管理のポイントを分かりやすく解説します。
プライバシーマーク全般
このサイトは、ISM Web store の公式サポートブログです。
プライバシーマークに関する体制構築から運用に関する質問と回答です。
グループ会社間の個人情報共有には、共同利用と第三者提供で異なる法的義務が生じます。共同利用では公表範囲内での利用徹底、第三者提供では本人の同意取得や提供記録の保存が不可欠です。Pマーク審査にも対応した管理台帳や業務フローによる適切な運用管理のポイントを解説します。
プライバシーマーク(Pマーク)審査では、同一フロアにグループ会社がある場合も、適切な是正処置で取得可能です。パーティション設置が困難な際は、境界の明示や施錠管理、機密保持契約などの代替案が有効です。オフィス共有時のリスク対策と審査合格のポイントを解説します。
個人情報と個人データの違いは、体系化の有無にあります。前者は個人を識別できる情報、後者は検索可能な状態で管理された情報を指します。Pマーク運用では全ての特定が必要ですが、リスクに応じた管理のメリハリが重要です。実務負担を軽減する適切な管理方法を解説します。
間接取得の個人情報は「管理すべき個人情報」に該当します。他社経由で取得したレポート等でも、自社で保有・利用する以上、Pマークの基準に基づく管理義務が生じます。委託先への監督義務も含め、間接取得時の責任範囲と適切な管理方法を解説します。
委託先選定基準の見直し手順に関する審査指摘への回答例を解説します。JIS Q 15001では具体的な見直し契機の定義が重要です。他社の事故事例や法規制・ガイドラインの改正をトリガーに、現行基準の妥当性を検討する手順を規程化しましょう。審査員の質問に詰まらないための対策ポイントを具体的に紹介します。
個人情報管理台帳の廃棄記録は全て「無」で良いわけではありません。重要度や媒体に応じて「記録すべきもの」と「省略できるもの」を切り分けるのが実務上の最適解です。紛失リスクへの防衛策として、ルール不備に気づいた際は直ちに見直し、実態に即した運用を構築することが推奨されます。
誓約書や同意書は氏名のみの記載でも個人情報に該当し、Pマーク制度上、管理対象に含める必要があります。氏名は他情報と照合し個人を識別できるため、JIS Q 15001の定義を満たすからです。管理漏れによる不適合を防ぐため、書類一式単位で台帳に記載する効率的な管理方法を解説します。
システム受託開発で顧客サーバーの個人情報をリモート参照する場合、自社保有ではなく「受託業務で取り扱う個人情報」としてPMSの管理対象に含める必要があります。アクセス権限を持つ実態に合わせ、リスク分析やID管理等の技術的・組織的安全管理措置を講じる重要性を解説します。
Pマークの総従業員数とは、貴社の指揮監督下で個人情報を取り扱う全人員を指します。非常勤役員や派遣社員、受入出向者もカウント対象です。個人事業主は実態が指揮命令下にあれば含めます。定義や判断基準、審査料金への影響を分かりやすく解説します。
