2016年11月15日

Pマークで求められる「法令等を管理する台帳」って何?<前篇>

lrmcorp
LRM株式会社 記事一覧
カテゴリー: プライバシーマーク,   タグ: , ,
このエントリーをはてなブックマークに追加 LINEで送る

houreitoukannridaityou

こんにちは。
今回は、プライバシーマーク上で求められる「法令等を管理する台帳」について、その詳細をお伝えします。

法令等の特定って具体的に何をすれば良いの?

法令等を特定するに当たって、実際に何を特定すれば良いのかというご相談を良くお客様からいただきます。

そこでまずは確認してもらいたいのが、「個人情報保護マネジメントシステム実施のためのガイドライン」です。

このガイドラインには、プライバシーマークを取得する事業者が認識すべき法令等の特定方法について、詳細な記載がなされています。

特定すべき法令等にはどのようなものがあるの?

「個人情報保護マネジメントシステム実施のためのガイドライン」に記載されている、必ず特定しなければならない法令等には以下の6つがあります。

(1) 個人情報の保護に関する法律(個人情報保護法)
(2) 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
(3) 雇用管理分野における個人情報保護に関するガイドライン
(4) 雇用管理に関する個人情報のうち健康情報を取扱うに当たっての留意事項
(5) 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)
(6) 特定個人情報の適正な取扱いに関するガイドライン(事業者編)

良く聞くものから、聞いたことがないものまで含まれているかもしれません。

一番上から簡単に説明します。

(1) 個人情報の保護に関する法律(個人情報保護法)

ほとんどの方がご存じであろう「個人情報保護法」です。特定する理由をご説明するまでもないかもしれませんが、個人情報保護法はどんな事業者であっても遵守すべき法律です。

個人情報保護法を遵守していない事業者は当然のごとく罰則が科せられるので、必ず特定しましょう。

(2) 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

経済産業省が発表している個人情報保護に関する具体的な詳細について記載されているものです。こちらに関しては、「うちの事業分野は経済産業省が管轄しているものではないし、特定する必要がない」との声を聞く場合があります。

これを特定すべき理由は、プライバシーマークの規格である「JISQ15001:2006」の項番3.4.3.2「安全管理措置」の具体的な方法について、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインをベースに実施していきましょう」という要求がなされているからです。

ただし、実際の経済産業分野のガイドラインに記載されている安全管理策の全てを実施する必要はありません。事業者の実態に合った安全管理策を実施していけば問題ないです。

(3) 雇用管理分野における個人情報保護に関するガイドライン

あらゆる事業者が事業を行っていく上で、何が必要でしょうか。

お金やモノ、情報は当然必要になりますが、まずは従業員を雇わなければなりません。

「雇う」ということは、従業員の雇用を管理することも意味します。

また、プライバシーマークは正社員が2名いることで初めてプライバシーマークの取得をすることができます。

ということから必ず従業員を雇っていること、その従業員の雇用管理を実施していくべきであるという観点から、特定すべきガイドラインとして挙げられています。

さて、まずは特定すべき6つの法令の内、上記3つをご紹介しました。

次回は残りの3つをご紹介し、その他何を特定すべきかについて説明します。

それでは。

このエントリーをはてなブックマークに追加 LINEで送る

2016年11月15日

Pマークで求められる「法令等を管理する台帳」って何?<前篇>

カテゴリー: プライバシーマーク

houreitoukannridaityou

こんにちは。
今回は、プライバシーマーク上で求められる「法令等を管理する台帳」について、その詳細をお伝えします。

法令等の特定って具体的に何をすれば良いの?

法令等を特定するに当たって、実際に何を特定すれば良いのかというご相談を良くお客様からいただきます。

そこでまずは確認してもらいたいのが、「個人情報保護マネジメントシステム実施のためのガイドライン」です。

このガイドラインには、プライバシーマークを取得する事業者が認識すべき法令等の特定方法について、詳細な記載がなされています。

特定すべき法令等にはどのようなものがあるの?

「個人情報保護マネジメントシステム実施のためのガイドライン」に記載されている、必ず特定しなければならない法令等には以下の6つがあります。

(1) 個人情報の保護に関する法律(個人情報保護法)
(2) 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
(3) 雇用管理分野における個人情報保護に関するガイドライン
(4) 雇用管理に関する個人情報のうち健康情報を取扱うに当たっての留意事項
(5) 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)
(6) 特定個人情報の適正な取扱いに関するガイドライン(事業者編)

良く聞くものから、聞いたことがないものまで含まれているかもしれません。

一番上から簡単に説明します。

(1) 個人情報の保護に関する法律(個人情報保護法)

ほとんどの方がご存じであろう「個人情報保護法」です。特定する理由をご説明するまでもないかもしれませんが、個人情報保護法はどんな事業者であっても遵守すべき法律です。

個人情報保護法を遵守していない事業者は当然のごとく罰則が科せられるので、必ず特定しましょう。

(2) 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

経済産業省が発表している個人情報保護に関する具体的な詳細について記載されているものです。こちらに関しては、「うちの事業分野は経済産業省が管轄しているものではないし、特定する必要がない」との声を聞く場合があります。

これを特定すべき理由は、プライバシーマークの規格である「JISQ15001:2006」の項番3.4.3.2「安全管理措置」の具体的な方法について、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインをベースに実施していきましょう」という要求がなされているからです。

ただし、実際の経済産業分野のガイドラインに記載されている安全管理策の全てを実施する必要はありません。事業者の実態に合った安全管理策を実施していけば問題ないです。

(3) 雇用管理分野における個人情報保護に関するガイドライン

あらゆる事業者が事業を行っていく上で、何が必要でしょうか。

お金やモノ、情報は当然必要になりますが、まずは従業員を雇わなければなりません。

「雇う」ということは、従業員の雇用を管理することも意味します。

また、プライバシーマークは正社員が2名いることで初めてプライバシーマークの取得をすることができます。

ということから必ず従業員を雇っていること、その従業員の雇用管理を実施していくべきであるという観点から、特定すべきガイドラインとして挙げられています。

さて、まずは特定すべき6つの法令の内、上記3つをご紹介しました。

次回は残りの3つをご紹介し、その他何を特定すべきかについて説明します。

それでは。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする