 |
||||||||||||
|
||||||||||||
| 1 2 3 4 次のページ | ||||||||||||
|
||||||||||||
| はじめに | ||||||||||||
|
前回は個人情報保護法を中心に、情報セキュリティマネジメントを実施するための方法について説明をした。今回は企業内における情報セキュリティマネジメントシステムが適切に構築されているかどうかを、第三者の目から判断する認定制度について説明をする。 |
||||||||||||
| プライバシーマークとは | ||||||||||||
|
プライバシーマーク制度とは、JIS Q 15001(個人情報保護に関するコンプライアンス・プログラムの要求事項)に適合して、個人情報の取り扱いに対して適切な保護措置を講ずる体制を整備している業者を認定する制度である。また、それを示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認めている(平成10年4月1日より運用開始)。 これまでの日本における個人情報といえば、住所・氏名などの名簿情報が売買されており、それが保護に値するプライバシー関連情報であるという認識がとても低かった。欧米では30年近く前から、個人情報の保護に関する法律が制定されていたが、日本ではなかなか議論が進まなかった。 ところが、1995年にEU(欧州連合)で「個人データ保護指令」が採択された。これは、EUと同等の「十分なレベルの保護措置」を講じない第三国への個人データ移転は禁止になるというものである。 これによって、EU圏内に存在する多数の日本の現地法人から、個人情報を日本の本社が入手できなくなるおそれもでてきた。そこでこの指令の対策として、このプライバシーマーク制度が日本情報処理開発協会(JIPDEC)を付与機関として開始されたのである。 |
||||||||||||
| プライバシーマークの付与条件 | ||||||||||||
|
プライバシーマーク付与の対象条件の主な条件は以下のようになっている。
|
||||||||||||
|
表1:プライバシーマークの付与条件 |
||||||||||||
CP(コンプライアンス・プログラム)とは、実践遵守計画ともいう。JIS Q 15001では、事業者が自ら保有する個人情報を保護するための方針・組織・計画・実施・監査及び見直しを含むマネジメントシステムと定義している。つまりCPとは、個人情報に関する情報セキュリティマネジメントシステムを構築せよということである。CPの基本モデルを図1に示すので参考にして欲しい。 図1:コンプライアンス・プログラムの基本モデル |
||||||||||||
| コンプライアンス・プラグラムの作成手順 | ||||||||||||
|
次にCPの作成手順を以下に示す。図1に示したように、PDCAのサイクルを実施するためのマネジメントシステムを構築することになるので、多くのステップが必要になる。 |
||||||||||||
 図2:CPの作成手順 (画像をクリックすると別ウィンドウに拡大図を表示します) |
||||||||||||
| また、コンプライアンス・プログラムの作成にあたっては、様々な文書を作成する必要がある。作成にあたっては、JIS Q 15001の構成に従って作成するとよい(表1)。 |
||||||||||||
 表1:プライバシーマークで必要とされる文書 (画像をクリックすると別ウィンドウに拡大表示します) |
||||||||||||
|
1 2 3 4 次のページ |
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
-
-
連載
