新JISv対応のためのポイント:点検
「監査」以外に、「運用の確認」が新たに追加されています。各部門などで行われるもので定期的に運用情報を確認し、不適合があれば是正・予防処置をすることが必要です。アクセスログの定期的チェックや、入退室チェック(最低でも最初の入室、最終退場者の記録のチェック)を行うことが求められます。
事業者は、個人情報保護マネジメントシステムが適切に運用されていることが事業者の各部門及び階層において定期的に確認されるための手順を確立し、実施し、かつ、維持しなければならない。
新JIS対応のためのポイント:是正処置及び予防処置
- 3.8 是正処置及び予防処置
新JISで追加された項目です。通常、監査に伴って行われる処置であり、すでに対応していることが予想されますが、内部規定とすることを求められていますので、文書化する必要があります。
また、是正処理及び予防処置に関しては、監査以外にも日々の業務遂行や点検の中から自発的に実施されることが望ましいものです。
新JIS対応のためのポイント:事業者の代表者による見直し
- 3.9 事業者の代表者による見直し
新JISでは見直しの際に考慮する項目が明確になりました。
事業者の代表者は、個人情報の適切な保護を維持するために、定期的に個人情報保護マネジメントシステムを見直さなければならない。
事業者の代表者による見直しにおいては、次の事項を考慮しなければならない。
- 監査及び個人情報保護マネジメントシステムの運用状況に関する報告
- 苦情を含む外部からの意見
- 前回までの見直しの結果に対するフォローアップ
- 個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
- 社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
- 事業者の事業領域の変化
- 内外から寄せられた改善のための提案
旧JISから新JISへ移行するに当たり、まずはどこまですでに対応できているかを把握しましょう。そして次回更新の時期を見据えて早めに対処していくことが必要です。
「Pマーク取得への道」は今回で終了です。個人情報保護対策は、内部統制の一環でもあり、企業のCSR(Corporate Social Responsibility)といえるでしょう。マークの取得にかかわらず、JIS Q 15001の求める個人情報保護マネジメントシステムを参考に対策を講じることが重要です。
筆者紹介
NECソフト株式会社
営業本部 コンサルティンググループ
ISMS審査員補/認定プライバシーコンサルタント(CPC)
直江 とよみ(なおえ とよみ)
個人情報保護対応のコンサルティング業務を中心に担当。 NECソフトでは、以下のサービスを提供しています。
- ISMS(情報セキュリティマネジメントシステム)認証取得支援サービス
- プライバシーマーク認定取得支援サービス
- CMM/CMMIプロセス改善支援サービス
- ISO9001認証取得支援サービス
- セキュリティコンサルティングサービス
- セキュリティアセスメントサービス
- セキュリティポリシー支援サービス
- セキュリティポリシー支援サービス
Copyright © ITmedia, Inc. All Rights Reserved.