Headerlogo

Pマーク取得に必要なマニュアル構築・運用

投稿日: 2022年9月6日, 更新日: 2024年6月10日

計画

個人情報管理台帳に求められる項目があり、サンプル通りに作成していけば問題なさそう。
└活動の中で管理の対象となる個人情報を特定してそれを管理する台帳のイメージ
「法令を守るためのルール構築」と「守るべき法令を特定する仕組みを作る」
リスク分析・対策について
「リスクの特定」「リスクの分析」「リスクの対策」に分ける事ができる。リスクの対策で金銭や技術的に対応が難しい場合は、対処できないリスクはなにがあるかをまとめておけば良い。
①~③で守るべき個人情報の特定し、そこのリスク分析まで出来たら、その対策を滞りなく進めていくための環境を作っていく。
└役割と責任権限を明確にする。「個人情報保護管理者」「個人情報保護監査責任者」を明確にし、文書に残しておく。
内部規定の構築(5名ほどの従業員であれば、管理者が把握しておかないといけない規定と、従業員がやるべきルールの2つの規定に分けて作成しても良い)
└個人情報保護マネジメントシステムの計画の際に最低限求められる事項は「教育」と「内部監査」になる。
緊急事態への準備
└発生した緊急事態に対する手順
└被害を最小限にする為の手順
└本人や関連する機関への公表の手順

取得・利用及び提供に関しての原則


└手順を明確化する・・・運用する為の手順を確立し、文書にまとめると良い
└取得の意図・・・個人情報を何のために取得するのかを明確化すると良い

└差別につながる情報の取得は原則、利用目的の提示と本人の同意をとる必要がある
└要配慮個人情報(健康診断を受ける為の個人情報や診断結果は義務付けられている為、
法令の例外になる。

└本人以外からの取得・・・個人情報を利用する目的をホームページで掲載する等して本人がわかる状態にしないといけない
└本人からの取得・・・利用目的を含む、その他の項目が記載された文面で同意を得る必要がある

└取得した個人情報を第3者に提供する際は、個人の方への同意が必要

└匿名加工情報はルールの範囲であれば同意なしでも取引や連携をする事ができる
 └運用のポイント・・・企業として匿名加工情報の取り扱いがあるか、
今後どう取り扱っていくかの方針を決める必要がある

適正管理

従業員のミスや不正アクセスから個人情報をどう取り扱いするかを考える。
従業員はアルバイトや契約社員、派遣社員等も含む。
委託先の監督をしている証として、以下の項目を確認する。
「委託先の選定基準を設ける」
「選定基準に沿って委託先を選定していること」
「委託先と利用目的や保有機関等に関する契約書を締結している事」
「委託先を一覧表等にまとめていること」
「適切に委託先を監督している事(定期的に評価を行う)」

認識(教育)

年に一度は教育をする
教育を行う際のポイント4点
「個人情報保護方針(内部向け、外部向け)」
「個人情報保護マネジメントシステムに適合する事の重要性、利点」
「個人情報保護マネジメントシステムに適合するための役割及び責任」
「個人情報保護マネジメントシステムに違反した際に予想される結果」

文書化した情報

記録以外の文書類(方針、内部規定、様式、計画書等)
└文書と記録の違い・・・文書は変更できるもの。帳票は文書の一種。記録は変更できないもの。(変更すると改ざんになる)
記録に残す必要があるもの
└規格が要求している記録は決まっているので、それを参考に進める。

苦情及び相談への対応

苦情や相談があった際に迅速に対応できるような体制を整え、ルール設置(体制とは窓口の設置等)

パフォーマンス評価

PDCAのCの部分になります。
(どういう部分を見るかに明記はなく、原則、リスク分析で出てきた残留リスクについての運用を
定期的に行えば大きく問題にはならないとの事)
内部監査について(JIPTECからのガイドラインには監査の視点として以下2点が要求されている)
└規格と適合状況の監査(JIPTECのガイドラインの要求事項と自社で作成した規定が適合しているか)
└運用の監査(定められたルール、規程された文書通りに運用されているかの視点で監査する)
マネジメントレビュー
└インプット事項を報告
└時期は教育や内部監査が終わった後で、実施する場合は議事録等の記録を残すことが必要になる。