ISO27001等の二次審査における情報資産の表示・管理の確認ポイントを解説します。審査では文書管理手順書に基づき、①保管場所の遵守、②機密区分による識別とラベル管理、③持ち出し制限、④承認の有無、⑤管理台帳の整備が重点的に確認されます。現場審査の対策と実務の注意点が具体的にわかるガイドです。
プライバシーマーク全般
このサイトは、ISM Web store の公式サポートブログです。
プライバシーマークに関する体制構築から運用に関する質問と回答です。
個人の意思によるクラウド利用(シャドーIT)の解決策は、全面禁止ではなく「組織による認可と管理」への移行です。本記事では、Pマークの安全管理措置に基づき、法人契約への切り替えや利用ガイドラインの策定など、利便性とセキュリティを両立させる3つの是正ステップを具体的に解説します。
JIS Q 15001の「本人に連絡又は接触する場合の措置(A.8)」とは、名簿等で取得した個人情報を使い本人へ連絡する際の規定です。具体的事例や同意取得の手順を解説します。適切な通知方法を理解し、プライバシーマーク運用の実務に役立てましょう。
点検と監査の違いとは、点検が「ルールの遵守と早期是正」を目的とした日常の確認であるのに対し、監査は「仕組みの適合性と有効性」を客観的に評価することです。点検の徹底は監査の質を向上させ、間違い探しから組織改善へと繋げます。両者の定義と役割、社内説明に使える例え話を解説します。
レンタルサーバーやGmailを用いたデータ管理は、個人情報保護法における「委託先の監督」に該当します。ISMSやPマーク取得企業は、機密保持契約の締結や監督責任が必須です。外部サービス利用時の適切な管理方法と手順を解説します。
Pマーク内部監査の進め方とは、自社の内部規程に準拠し、JIS Q 15001の適合性と運用状況を評価することです。前任者不在時の対応や効率的なチェック手法、監査範囲の決め方を解説。形骸化を防ぎ、社内の協力を得るための具体的な対策を確認して、実効性のある監査を実現しましょう。
JIS Q 15001のA.3.1.1における「承認の手順」とは、組織が定めたルールに基づき権限者が実施や結果を許可することを指します。承認者は個人情報保護管理者に限らず、案件の軽重に応じ部門長等も含まれます。適合性の判断基準や具体的な解釈を詳しく解説します。
受託業務での個人情報管理台帳への登録は、委託元ごとの契約に基づき正確に記述することが原則です。複数の委託元がある場合は個別に管理し、項目は全て記載します。協力会社への再委託も適切に反映すべきです。Pマーク審査に対応する台帳作成の具体的なポイントと注意点を解説します。
委託先が楽天銀行等のPマーク取得企業であっても、個人情報保護に関する契約や覚書の締結は必須です。JIS Q 15001では、委託先の認定有無に関わらず漏えい防止や再委託制限等の合意を義務付けています。利用規約や約款に該当条項が含まれるか確認し、不足があれば覚書で補完しましょう。
個人情報保護に関する覚書が締結できない際、プライバシーポリシーのみでの代用はPマーク審査で不十分な場合があります。必要な対応は、締結交渉の証跡提示や約款の確認など、多角的な委託先評価です。審査員に指摘されないための代替策と評価項目例を詳しく解説します。
