どう守る!? 個人情報~Pマーク取得への道程~
<どう守る!? 個人情報~Pマーク取得への道程~>12.業務規定
2004/05/24 16:18
週刊BCN 2004年05月24日vol.1040掲載
個人情報保護法(平成15年法律第57号)の2005年4月1日施行に向けて、民間事業者は個人情報保護の仕組みを作らなければならない。
個人情報保護のためには、個人情報を取り扱う業務の現状の流れを見直して、個人情報に対するリスク分析・評価を行い、必要な対策を実施し、新しい業務規定を作成しなければならない。この見直しの手順を図に示す。(TBCソリューションズ主任コンサルタント 植野俊雄)
このうち(1)-(6)は前回説明したリスクアセスメントである。
(1)取り扱っているすべての個人情報を洗い出し、(2)個人情報を取り扱う業務の流れ、個人情報を含む帳票やデータの流れを明確にする。
(3)業務フロー、データフローの上で、個人データの取り扱いの各局面において、個人データに対する脅威を想定し、(4)脆弱性および脅威が現実となった時の影響を評価し、(5)リスクの度合いを評価する。
(6)評価したリスクの度合いについては、組織が定めるリスク受容水準より高いものについて、リスクを低減させるための対策(管理策)を採用し、その対策の実施・運用の手順を決める。
以降の手順が今回の追加分である。
(7)では、「JIS Q 15001」で要求される情報主体(本人)に対する「説明」や「同意」を実施しているか、同意を得た範囲の「利用」や「提供」となっているか、業務委託について同意を得ているか、委託先でのセキュリティ確保の対策を実施しているか、また情報主体の権利に基づく「問い合わせ」などへの対応方法が「JIS Q 15001」の要求に沿っているか──などを見直す。
(8)では、(7)の見直し結果をもとに、業務上の個人情報の取り扱い方法を「JIS Q 15001」の要求に沿うように改善する。
(9)では、(6)および(8)で決定した対策と方法・手順を実施する。それとともに、これらを盛り込んだ新しい業務手順書を作成する。
新しい業務手順は、従業員に対し教育訓練をしてから運用に移す。
次回は、プライバシーポリシー文書(マニュアル)について解説する。
このうち(1)-(6)は前回説明したリスクアセスメントである。
(1)取り扱っているすべての個人情報を洗い出し、(2)個人情報を取り扱う業務の流れ、個人情報を含む帳票やデータの流れを明確にする。
(3)業務フロー、データフローの上で、個人データの取り扱いの各局面において、個人データに対する脅威を想定し、(4)脆弱性および脅威が現実となった時の影響を評価し、(5)リスクの度合いを評価する。
(6)評価したリスクの度合いについては、組織が定めるリスク受容水準より高いものについて、リスクを低減させるための対策(管理策)を採用し、その対策の実施・運用の手順を決める。
以降の手順が今回の追加分である。
(7)では、「JIS Q 15001」で要求される情報主体(本人)に対する「説明」や「同意」を実施しているか、同意を得た範囲の「利用」や「提供」となっているか、業務委託について同意を得ているか、委託先でのセキュリティ確保の対策を実施しているか、また情報主体の権利に基づく「問い合わせ」などへの対応方法が「JIS Q 15001」の要求に沿っているか──などを見直す。
(8)では、(7)の見直し結果をもとに、業務上の個人情報の取り扱い方法を「JIS Q 15001」の要求に沿うように改善する。
(9)では、(6)および(8)で決定した対策と方法・手順を実施する。それとともに、これらを盛り込んだ新しい業務手順書を作成する。
新しい業務手順は、従業員に対し教育訓練をしてから運用に移す。
次回は、プライバシーポリシー文書(マニュアル)について解説する。
- 1
