個人情報保護対策は有効ですか?
2005年4月に個人情報保護法が全面施行されて以来、個人情報について過剰な管理が求められがちです。取引先から、プライバシーマークの取得を取引条件に提示されたりするケースも多く見られます。また、業務を整理することなく、プライバシーマークを取得した組織においては、その運用負荷に苦しんでいる場合も多く見られます。
個人情報保護には、情報セキュリティの要素だけでなく、法令やガイドライン等の遵守(コンプライアンス)の要素が強いという特徴があります。それゆえ、過敏に反応し、過剰な対策を取る傾向が見られるのですが、事業を営む組織においてはリスクに見合った最適な対応を取ることが望まれます。
当社では、個人情報保護の要素を経営の仕組みに取り込み融合化させる手法を用いて、大きな負荷をかけることなく、効果が出せる仕組みづくりをお手伝いしております。
規程類の整備、個人情報台帳の作成、リスク分析の実施、教育の実施、内部監査の実施、代表者による見直しの実施など、PDCAサイクルの要所で、運用の効率と有効性を高めるご支援を行います。
プライバシーマーク取得支援
「JIS Q 15001」に準拠した個人情報保護マネジメントシステムの構築からPマークの取得まで、一連のご支援を行います。
「JIS Q 15001」の改訂(2006年)以前から、個人情報保護/Pマークのコンサルティング活動を行ってきた豊富な経験に基づき、最適な個人情報保護の仕組みづくりをご支援いたします。
実施事項とご支援例
フェーズ | 主な実施事項 | ご支援例 |
---|---|---|
1.プロジェクトキックオフ | ・プロジェクト推進体制の整備 ・プロジェクト計画の策定 ・経営層、事務局向け勉強会の実施 |
・プライバシーマーク取得までの実施事項とスケジュール、役割分担を整理いたします。 ・個人情報保護マネジメントシステム及び「JIS Q 15001」の勉強会を実施いたします。 ・個人情報の管理状況を確認するために現状調査を実施いたします。 |
2.文書類の整備 | ・個人情報保護に関する基本方針、規程、手順等の整備支援 | ・単なる雛形ではなく、組織の状況に合わせた素案を作成いたします。 ※会社の仕組みが百社百様であるように、個人情報保護の仕組みも会社によって異なるのが当然です。当社では、どこでも使える雛形はどこでも使えないのと同じだと考えております。 |
3.個人情報の特定及びリスク分析 | ・個人情報の洗出し、リスク分析説明会の実施 ・個人情報の洗出し、リスク分析作業 |
・ヒアリングをしながら一緒に作り込んだり、作成されたものをレビューしたり、あるいはリスク対応策の助言をさせていただいたり、お客さまのご要望に合わせてご支援いたします。 |
4.教育の実施 | ・一般従業員向け勉強会の実施 | ・コンテンツの作成から勉強会の実施まで、ご要望に合わせてご支援いたします。 |
5.内部監査の実施 | ・内部監査チェックリストの作成 ・内部監査員養成研修の実施 ・内部監査の実施 ・是正処置計画の立案 |
・内部監査チェックリストを作成いたします。 ・内部監査員養成研修を実施いたします。 ・内部監査の実施自体、同行OJTなど、ご要望に合わせてご支援いたします。 ・是正処置計画について助言いたします。 |
6.代表者による見直しの実施 | ・代表者による見直しの実施 ・改善の指示、改善対応 |
・代表者による見直しを行うためのインプット資料の整理をご支援いたします。 ・必要に応じて、マネジメントシステムの改善案をご提示いたします。 |
7.Pマーク審査対応 | ・申請書類の整備 ・書類審査指摘事項対応 ・現地審査対応 ・審査指摘事項対応 |
・申請書類の一部作成、レビューなど、ご要望に合わせてご支援いたします。 ・書類審査指摘事項に対する改善案をご提示いたします。 ・現地審査対応のポイントをご説明いたします。 ・現地審査でスムーズに対応できるように、審査前に模擬審査を実施いたします。 ・審査指摘事項に対する是正処置案の検討をご支援いたします。 |
8.Pマークの取得 | - | - |
※一貫したご支援だけでなく、社内研修や監査などスポットでのコンサルティングも可能です。
お気軽にお問い合わせください。
プライバシーマーク更新支援
Pマークは2年ごとに更新が必要なため、取得企業は2年ごとに審査を受けることが求められます。もちろん毎年PDCAサイクルを回すことが必要ですが、着実に運用できているケースは残念ながら少ないようです。それはどうしても本業優先となるからで、更新審査においても本業に支障を来さないように、スムーズに乗り越えることが肝要です。
また、更新審査対応だけでなく、当然、通常のPDCAサイクルも回していくことが必要ですので、取組み組織の負荷が大きくなる時期でもあります。
当社では、スムーズに更新審査を乗り越え、本業に注力できるよう、2年間の運用状況の整理と審査対応のご支援、そして必要に応じて通常の運用(教育や内部監査の実施など)のご支援を行います。
お気軽にお問い合わせください。
2年目以降のPMS運用/改善支援
個人情報保護マネジメントシステム/Pマークの運用を進める中で、次のようなご要望をいただくことがあります。
・本業に集中したい
・専門家による支援を受けたい(教育や内部監査など)
・もっと効率的かつ有効な仕組みに改善したい
当社では、多くの企業の取組みをお手伝いしていることから、どのような取組みが効果的であり、どのような取組みがあまり効果を生まないのか、何に気を配れば効果を上げることができるのかを常に分析しております。その分析結果を活かして、個人情報保護マネジメントシステムの運用支援や改善支援のご要望にお応えいたします。
お気軽にお問い合わせください。
ISMSへの乗り換え支援
Pマークを取得したけれど、実は個人情報というよりも機密情報の取扱いが気になっている、というご相談を受けることがあります。また、個人情報だけでなく、幅広く情報資産の管理レベルを高めたい、というご相談を受けることもあります。
そう言ったご要望の1つの対応として、Pマークを返上し、情報セキュリティマネジメントシステム(ISMS)への乗り換えをご支援いたします。 ISMS(ISO/IEC27001)では、付属書Aに133の管理策が記載されており、その中の1項目として、「15.1 法的要求事項の遵守 15.1.4 個人データ及び個人情報の保護」という管理策が設けられています。このことから、個人情報だけでなく、情報セキュリティへ管理の幅を広げることも有効な改善の1つと考えることができます。また、PマークもISMSもどちらもマネジメントシステムですので、管理手法の共通部分も多くありますので、それらを活かして、乗り換えることが可能です。
当社のコンサルタントは、PマークもISMSもどちらの経験も豊富ですので、効率的かつ有効な形で、ISMSの構築をご支援することが可能です。
お気軽にお問い合わせください。
個人情報保護研修
常に高い意識を持って個人情報保護に取組むには、定期的に研修を行うことが有効です。
当社では、個人情報保護や情報セキュリティの専門知識と豊富な研修実績を持つコンサルタントが、対象者に合わせた内容で個人情報保護研修を実施いたします。
・「個人情報との正しい付き合い方~個人情報の管理について改めて考えよう~」(介護関係事業者を対象に実施)
・「個人情報保護を中心とした情報セキュリティ~組織的な管理のあり方~」(管理職を対象に実施)
・「個人情報保護を中心とした情報セキュリティ~日常業務における個人情報の取扱い~」(一般従業者を対象に実施)
お気軽にお問い合わせください。
以下は、当社代表ブログ(「京都で働くコンサルタントのブログ」)の「個人情報保護マネジメント」に関する主な記事です。