| 構築し、運用を開始した個人情報保護マネジメントシステムは、プライバシーマークの認定取得によって、個人情報保護のための有効性・妥当性を証明されたことになります。しかし、個人情報保護マネジメントシステムは、プライバシーマークの認定取得が完了した後も継続的に運用され、その実施・維持・改善が行われる必要があります。これら個人情報保護マネジメントシステムの実施・維持・改善を着実に行い、その記録を証拠資料として残しておくことが、2年後にプライバシーマークの認定更新を受ける際の必要不可欠な条件になるとともに、これらの実施・維持・改善の活動によって、個人情報の保護が実現されていきます。 |
| |
| 1.個人情報保護体制の維持 |
|
個人情報保護管理者・個人情報保護監査責任者・個人情報保護教育責任者・個人情報照会窓口責任者・個人情報取扱責任者等の個人情報保護に係わる各管理者・責任者が、人事異動・組織変更等によって欠員とならないために、常に一定の人員を確保し、個人情報保護マネジメントシステムの運用体制の維持を図ります。 |
| |
| 2.従業者に対する継続的な教育の実施 |
|
従業者に対する教育は、教育計画に基づいて、毎事業年度において定期的に、全従業者に漏れなく行われる必要があります。個人情報保護教育責任者は、教育の計画・実施・結果・効果に関する記録を行い、それらの記録類を管理します。 |
| |
| 3.個人情報の特定・リスク認識の維持・管理 |
|
ある時点で保護の対象として特定した個人情報も、新規事業の開始や事業内容の変更によって追加・変更・削除されていきます。個人情報を特定することは、それを保護する上で、極めて重要な意味を持つため、定期的・適時に見直しを行い、常に最新の状況を把握することが必要です。
また、取り扱う個人情報の変更に伴い、特定された個人情報に対するリスクも変化していくため、これらのリスク認識についても、同様に見直しを行わなければなりません。
個人情報保護管理者等は、特定した個人情報とそれについてのリスク認識の更新履歴を記録し、保存・管理します。 |
| |
| 4.リスクに対する安全管理対策の維持・管理 |
|
取り扱う個人情報や業務フローの変更と、それに関するリスク認識の見直しによって、リスクに対する安全管理対策も変更する必要があります。また、新しいセキュリティー技術や情報漏洩防止ソリューションの開発状況にも注目し、必要なシステムを積極的に導入していくことが、安全管理対策をより高度なレベルに維持するための重要な要件になります。個人情報保護管理者等は、実施した安全管理対策の履歴を記録し、保存・管理します。 |
| |
| 5.個人情報の取得・利用・提供の管理 |
|
個人情報の取得・利用・提供は、法令・国の定める指針その他の規範・自組織の個人情報保護マネジメントシステムの規定を遵守し、常に適法・適正に行われなければなりません。個人情報の本人の権利利益の保護は、個人情報保護マネジメントシステムの根本事項となるため、個人情報の取得・利用・提供に関しては、事業者が行うどの業務(新規事業・事業内容の変更)においても、それらの正当性を維持する必要があります。 |
| |
| 6.個人情報保護に関する法令、国が定める指針その他の規範の特定の維持・管理 |
|
一度特定した法令、国が定める指針その他の規範も、それらの制定・改定にしたがって、常に更新していく必要があります。参照する法令等が最新のものでなければ、それらを的確に遵守していることにはなりません。法令等の制定・改正・廃止に関しては、広範囲にその情報を収集し、個人情報保護マネジメントシステムに反映させることが重要です。個人情報保護管理者等は、特定した法令、国が定める指針その他の規範の更新履歴を記録し、保存・管理します。 |
| |
| 7.内部規定・記録類の維持・管理 |
|
事業者の代表者による見直しや監査によって、内部規定と「JIS Q 15001:2006」の要求事項との不適合や内部規定の運用上の不備が指摘された場合、当該内部規定は適切に改定される必要があります。また、各内部規定の運用に伴い作成された記録類は、個人情報保護マネジメントシステムの改善・代表者による見直し・監査等の検討資料となるとともに、プライバシーマークの認定更新の際には、個人情報保護マネジメントシステムを適切に運用してきたことのエビデンス(証拠)となります。したがって、これらの記録類は、その根拠となる内部規定の改定と同期し、確実に作成・保存・管理されることが重要です。 |
| |
| 8.緊急事態への対応体制の維持 |
|
緊急事態への対応体制を整備しているとしても、必ずしも個人情報の漏洩等の事故が発生し、その体制が必要になるとは限りません。しかし、万一緊急事態が発生した場合に備え、その対応体制を絶えず維持し、改善していくことは、事故の被害を最小限に止め、また事故への迅速で適切な対応を行うために必要不可欠です。 |
| |
| 9.委託先の管理・監督 |
|
厳格な選定基準に基づいて、個人情報の処理を委託する事業者を選定したとしても、取り引きが長期に渡って継続する場合、委託先の事業者に対する個人情報保護についての管理・監督がなおざりになりがちです。委託先の事業者において発生した個人情報の漏洩等の事故の責任は、当然委託元の責任にもなるため、定期的に委託先の個人情報の管理状況について監査を行うなど、その管理・監督の体制を常に維持しなければなりません。個人情報保護管理者等は、委託先の管理・監督の実施の履歴を記録し、保存・管理します。 |
| |
|
| 前ページへ |
Top Page