2010年08月25日
取引先からの要請・公共入札等で至急に取得を目指す方!!
フルサポート体制で4ヶ月目申請
・1ヶ月目 個人情報の特定、リスク分析、規程、
様式の作成
・2ヶ月目 教育と試行運用
・3ヶ月目 監査、マネジメントレビュー
・4ヶ月目 申請
・5ヶ月目以降 審査機関による文書審査・現地審査、
認定取得。
*プライバシーマーク取得まで完全保証!!
ISMS取得も支援します。 ・・・・費用は相談応じます。
TFPコンサルティング事務所/泉経営・FP相談事務所
企業研修 ・経営戦略シミュレーション研修・Pマーク取得メリット ・Pマーク事故事例 ・監査人養成研修 ・株式会社バルクチーフコンサルタント ・金融機関への返済条件の変更、条件緩和に困っている方 ・事業再生・経営改善計画 ・住宅ローン借換え日本モーゲージ゛プランナー
プライバシーマーク取得支援
2010年05月15日
個人情報保護法・情報セキュリティ対策 『講師派遣型内部監査人養成講座』
本講座は、内部監査人に必要な要求事項(JISQ15001・27001)を正しく理解し、内部監査の進め方と内部監査の着眼点を学ぶ実践コースです。
内部監査は、実施企業それぞれの規模や業態、風土によって様々なやり方・内容でおこなわれます。
社外の専門家による外部監査ではなく、専門家でない従業員によっておこなわれる内部監査は、健康診断でいうと医者による検診ではなく自分自身による自己診断に該当します。求められるものは、専門的な高度な知識というよりも、自身でないと把握できない「表面化していない不具合」などへの診断です。
自己診断の重要性をご理解していただき、ルーティンの儀式からの脱却をはかることを目的としています。
○内容 ≪個人情報保護法対応:JISQ15001の場合≫
弟一部 : 座学
1)内部監査の位置づけ
2)JISQ15001が規定する内部監査
3)内部監査の進め方
4)JISQ15001要求事項の開設
第二部 : 内部監査シミュレーション
1)監査チェックリスト説明
①メリット、デメリットの理解
2)ロールプレイング(模擬監査の実施)
①監査部門の概要と前年の監査指摘事項確認
②現地監査用チェックリストの作成
・個人ワーク ・グループワーク
③模擬監査の実施(不具合カード)
・監査部門と被監査部門に分かれ、グループワークで作成したチェックリストによるヒアリング開始
・不具合カードによる指摘事項の改善案の立案。
・是正要求書作成・是正報告書作成演習
3)監査結果の発表
○受講対象者
・内部監査員候補者
・情報セキュリティ営業担当者
○期待効果
①内部監査員候補者
内部監査員は、専門高度な知識というよりも、自身でないと把握できい「普段の過ごし方」「表面化していない不具合」などへの診断です。今回の模擬監査を通して、監査チェックリストのメリット・デメリットを理解し、ルーティンの儀式からの脱却を目指していただきます
②情報セキュリティ営業担当者
JISQ15001・27001の要求事項を正しく理解することで、クライアント企業様に立ったシステム診断が可能となり、クライアント企業様に合ったシステム提案が可能になる。
○所要時間
1日又は2日間研修
講師派遣型内部監査人養成講座による、貴社向けにカスタマイズ
した講座が可能です。
*詳細のスケジュールや内容等はお問合せよりご連絡ください。
電子メール等で具体的なプログラムメニュー等を送付します。
2009年03月09日
個人情報漏洩事故:退職者の社外秘情報の持ち出し深刻化
人材流動化に沿った情報管理が急務・・・・3月9日産経新聞掲載
不況に伴って従業員のリストラが広がりをみせる中、退職者らが会社の顧客名簿など社外秘情報を持ち出すケースが後を絶たない。企業側にとっては競争力の低下や収益の減少に直結しかねないだけに事態は深刻で、国も摘発しやすいよう法改正に乗り出しているが、さほど効果は上がっていない。専門家からは「管理がずさんな企業側にも問題がある」との指摘もあり、人材流動化時代に適した情報保護のあり方が厳しく問われています。
2009年03月04日
あなたはどこまで理解していますか?
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A
1.外国に居住する外国人の個人情報は、個人情報保護法の保護の対象になりますか。
2.取引先の担当者の名前を管理していますが、これも個人情報に該当しますか。
3.電話の通話内容は個人情報に該当しますか。
4.電話内容を録音している場合、録音している旨を相手方に伝える必要がありますか。
5.A社が保有する個人情報から識別情報を切り離し、特定の個人が識別できない統計データとしてB社に提供して場合、B社においては、この情報は個人情報に該当しますか。
6.冊子になっている市販の職員録は、「個人情報データベース等」に該当しますか。
7.メールソフトのアドレス帳、一定の規則で整理された事業活動に利用している名刺について、従業員本人しか使用できない状態であれば、企業の個人情報データベース等には該当しないと考えてよいか。
8.当社はダイレクトメールを送付する目的で個人情報を利用することを追加するために、本人に郵便を送付し、一定期間回答がなければ、ダイレクトメールを送付する目的で利用することに同意したものとみなしてよいか。
9. 上記内容では同意を得たといえないのであれば、どのような対応が必要か。
10.アンケートを行なう際、「第三者提供をする場合がありますのでご了解願いします」と記載したことで、第三者提供についての同意を得たことになるか。
11.上記内容では同意を得たといえないのであれば、どのような文言が必要か。
12.個人情報を掲載している社内報を、取引先等に提供する場合は、原則として、あらかじめ本人の同意をとる必要がありますか。
13.グループ企業全体の採用の応募受付をWebによって行っています。応募者には個人情報をグループ企業間において共同利用する旨をこのWeb画面に掲載していますが、利用目的については採用活動のためであることが明らかなため、特に明示していません。個人情報保護法との関係で何か問題がありますか。
14.入館時に備え付の名簿に住所氏名を記入してもらっています。次の入館者が見える状態ですが、問題はないのですか。
15.製品の修理の際に、保証書に連絡先を記載してもらう場合、有償の修理の要否や修理完了の連絡に利用するだけであれば、利用目的の明示は不要でよいですか。
16.上記内容で、一定期間後、不具合の有無を聞く場合はどうですか。
17.A事業のために個人データを取得した後、B事業のために取得した個人データの内容から住所変更があった事実が判明しました。A事業とB事業の利用目的が異なるが(利用目的の達成に必要な範囲を超えるが)、個人のデータを正確・最新の内容に保つよう努めなければならないので、A事業のについても住所変更を反映させた。
18.会員に対して、本人の情報の変更内容を葉書でお知らせすることは、問題がありますか。
19.緊急時の対応をはかるために、社内の連絡網を従業員以外の不特定多数が目に付く場所に張り出すことは許されますか。
20.個人データの安全管理のために必要かつ適切な措置を講じている会社に対して個人データの取扱いを委託する場合であれば、委託業務を実施するには不要な項目が含まれた個人データを渡しても構いませんか。
21.オフィスの清掃を請負う会社に対して、個人データの非開示契約の締結を求めル必要がありますか。但し、清掃員はコンピュータのあるオフィスに立ち入ることはありますが、それらを触ることはありません。
22.委託先が倉庫業、データセンター(ハウジング、ホスティング)等の事業者の場合で、預ける情報の中に個人データが含まれていることを当該事業者に認識されることなく預けることがあります。この場合、当該事業者と契約を締結するときに、個人データの取扱いに関する条項を契約に盛り込む必要がありますか。
23.委託先が倉庫業、データセンター(ハウジング、ホスティング)等の事業者の場合で、預ける情報の中に個人データが含まれていることを当該事業者に認識されることなく預けることがあります。この場合、委託元は委託先を適切に選定する必要がありますか。
24.社内の所属部署と内線番号の表を作成して、社内で閲覧できるようにすることは第三者提供ですか。
25.当社の提携会社や協力会社から、当社社員にお中元を贈りたいとの理由で、当社社員の連絡先を教えてほしいといわれた場合に、本人に同意なく提携会社や協力会社に社員の連絡先を提供してもよいですか。
26.保険会社から、保険サービス提供のため、当社社員の氏名や住所を教えてほしいといわれ、本人の同意なく提供しても問題ありませんか。
27.株主より株主名簿の閲覧を求められた場合、全株主の同意なしに株主名簿を開示することは、個人情報保護法上の第三者提供に該当するとして、これを理由に閲覧請求を拒否できますか。
28.企業の代表者情報等の公開情報であっても、個人情報として保護の対象になりますか。第三者提供をする際に、本人の同意が必要ですか。
29.外部から、従業員の在籍照会があった場合(事業者の業務に関連する照会)、回答するには当該従業員の同意が必要ですか。
30.工事等の業務委託において、業務の委託先は、委託元に作業員名簿を提出する場合、各作業員に対して利用目的等の同意を取る必要がありますか。
31.お中元やお歳暮の申込者(送り元)の依頼により、物販事業者等が送り先の同意なく、前回の注文内容(送り先及び品物名)を送り元に通知してもよいですか。
32.複数の企業でセミナーを共催して、申込受付やアンケートを共同で実施する場合には、各社ごとに利用目的をあらかじめ明示する必要がありますか。
33.デパートの中で、お客様の名前をアナウンスする際には、本人の同意が必要か。
34.郵便や宅配を使って個人情報を含むものを送る場合は、委託先の監督義務が適用されますか。
35.工事等の業務委託先での工事完了書に担当員のサインを記入し、委託元に提出する場合は、第三者提供として、あらかじめ本人の同意が必要になるか。
36.大学から当社に対して、当該大学の卒業生の名簿の提出を求められた。これは第三者提供に該当するために、あらかじめ本人の同意が必要になりますか。(対象従業員が多いので同意は不可能)
37.電話等で資料請求をしてきたお客様にダイレクトメールを送付していました。お客様から今後送付の停止及び個人情報の削除の要望がありました。でも、あらかじめ本人同意取得しているので送付を中止及び削除する義務はないと判断しました。但し、苦情への適切かつ迅速に処理するように努めなければならないので、まずは当該事務所の苦情受付に連絡をとった。この対応は妥当か。
38.ユーザーからの商品クレームに関する問合せ等があり、それをデータベース化(氏名、電話番号、対応履歴等だけでなく、会社としての所見「例.悪質なクレーマーと思われる」)しています。これらはすべて開示対象個人情報として開示等の求めに応じなければならないか。
39.「貴社が保有する私の情報をすべて開示せよ」という求めがあった場合は、すべて開示しなければならないか。
40.ホテルや旅館では、宿泊者の氏名・住所・連絡先等を記帳してもらうとき、あらかじめ利用目的の通知が必要か。
41.通販事業において、利用目的を「書籍の販売案内」として同意を取得していたが、今後「健康食品の販売案内」もダイレクトメールで送付を考えています。初回送付時に、健康食品の販売案内が不要なお客様は、案内中止の連絡先を明記してダイレクトメールを送付することで利用目的の同意を取得したことになりますか。
*ご質問のある方は、『お問合せ』よりお願いします。
2009年02月14日
個人情報漏洩事故 注意!! 個人情報紛失事故発生
<個人情報漏洩事故>
3月9日 新聞記載
三菱UFJ証券システム部男性部長代理、148万の個人情報を不正持ち出し、うち49,159人分を名簿業者3社に売却していたと発表した。
今年1月26日~2月4日、社内データベースの顧客情報を抜き出し、CD‐ROMに記録。自宅のパソコンから情報送信、計32万8千円受取っていた
<業界の対応>
社員のコンプライアンス意識の徹底や、社員の監督体制の強化への取組
<金融庁の対応>
同社の内部管理体制の不備が明にかになれば、行政処分を行う予定と発表した。
2月12日 新聞掲載
立命館中・高校は、生徒の氏名や成績、卒業生や教職員の住所録など4,210人分の個人情報が保存されたパソコン外付けハードディスクを、校内で紛失したと発表した。
経過
データを更新するため、一時的に担当教師の所有するハードディスクに、一時的に保存した。担当教員室の机に置いたまま帰宅。翌朝、出勤して紛失したことに気づき、捜したが見つからなかった。
規定
記録媒体は鍵のかかるロッカーなどに保管。パスワード設定が一部義務付けられていた。
社内での運用ルールが明確に規定してあったが、このような事故が発生しました。何故でしょうか・・・・・・。
過去の事故を見てもわかるように、すべて人災です。
人間は間違いを起すものであるという“性悪説”にたった視点が望まれるのではないでしょうか。リスクマネジメント概念、自社でも「情報漏洩事故」は起こるものだということを認め、それを未然に防ぐために何をすべきであるかを考えることが必要ではないでしょうか。
他社の情報漏洩事故を他山の石として、再度自社内を見直しして下さい。
2009年02月14日
個人情報漏洩事故:Winnyによる個人情報流失事故・・・毎月発生
<個人情報漏洩事故>
1月19日
東京・池袋のサンシャインシティで開催される同人誌即売会「サンシャインクリエイション」を運営するクリエイション事務局は18日、同イベントに申込みをしたサークルや関係者の個人情報が、ファイル共有ソフトのWinny(ウィニー)を介してインターネット上に流出したと発表した。流出したのは、2002年から2006年に開催された同イベントに申し込んだサークルや関係者の個人情報。
原因 :個人情報を含むファイルを自宅に持ち帰り、自宅パソコンに保存していた。そのパソコンがウイルスに感染し、Winnyを介してインターネット上にファイルが流出したこと等も判明した。
1月13日
環境省は8日、2008年度実施の「大気汚染に係る環境保健サーベイランス調査」に協力した小学生の個人情報が流出したと発表した。調査結果のデータ入力を再々委託された個人のパソコンがウイルスに感染し、ファイル共有ソフトShare(シェア/シャレ)を介してネット上に流出したもの。初報では1342名分の情報が流出したとされていたが、同省は9日、これを1321名分と修正、流出の詳細も明らかにした。
原因 :調査結果のデータ入力を複数個人に再委託し、このうち1名より業務の再々委託を受けた個人のパソコンから、情報が流出した。昨年12月30日頃にウイルスに感染、流出したとみられる。
1月9日
神奈川県の県立高校に2006年度に在籍していた全生徒、約11万人の個人情報がファイル共有ソフトを介して流出していた問題で、日本IBM(東京都港区)と神奈川県教育委員会は8日、ファイル共有ソフトのWinny(ウィニー)のネットワーク上で約11万件分の流出を確認したと発表した。
原因 :県が授業料徴収システムの開発を委託していた日本IBMの協力会社社員のパソコンがウイルスに感染し、保存してあった情報がWinnyを介して流出したおそれがあるというもので、流出情報の内容は、11万人分の生徒の住所、氏名、電話番号、授業料振替口座の口座番号、口座名義人など。
1月8日 情報処理推進機構 :西武百貨店、旧郵政省、博報堂など1万名分以上
の個人情報特許庁のデータベース
1月7日 TBS :33名分の社員、人気女子アナの丸秘プライベート写真。
2008年12月19日
「プライバシーマーク」現状と必要性
自分自身の情報がどう扱われているのか、消費者の
プライバシー意識が非常に高くなっております。
実際、個人情報の漏洩が社会問題となり、事故を起
した企業は大きなイメージダウンとなっています。
このような状況の中、企業としては個人情報の「保
護」に前向きに取り組んでいかねばなりません。
2008年12月19日
「プライバシーマーク」とは?
「プライバシーマーク(制度)」とは、個人情報を
適切に取扱うことのできる体制が整備されているこ
とを認定された事業者に対してマークを付与し、そ
の使用を認める制度のことをいいます。
認定を受けると、名刺、ホームページ、広告等でプ
ライバシーマークを使用することができます。
2008年12月19日
プライバシーマーク付与事業者数・認定事業者数
平成20年12月15日現在
|
付与事業社名 |
付与事業者数 |
認定事業者数 | |
|
サービス業 |
情報サービス・調査業 |
3,877 |
2,212 |
|
広告業 |
432 |
243 | |
|
専門サービス業 |
409 |
243 | |
|
労働者派遣業 |
225 |
132 | |
|
その他サービス業 |
2,169 |
1,223 | |
|
小 計 |
7,112 |
4,053 | |
|
製造業 |
出版・印刷業 |
1,064 |
665 |
|
その他製造業 |
164 |
93 | |
|
小 計 |
1,228 |
758 | |
|
卸売・小売業・飲食業 |
726 |
403 | |
|
運輸・通信業 |
389 |
227 | |
|
金融・保険業 |
204 |
74 | |
|
不動産業 |
139 |
83 | |
|
建設業 |
90 |
48 | |
|
その他 |
12 |
9 | |
|
合 計 |
9,900 |
5,655 | |
2008年12月19日
会社で役立つQ&A
Q:採用面接で私生活に関わる情報を聞いてもいい?
ないとする規程は特にありません。ですから、採用面接では、私生活
についての情報を聞いても問題はない、といえます。
しかし、個人情報を取得するとなると、話は違ってきます。利用目的をできる限り特定し、情報提供者本人に利用目的を通知又は公表しなければなりません。私生活情報はもちろんのこと、それ以外でも、利用目的を明確に示さないと取得できないということになります。
Q:不採用者・退職者の個人情報はどう扱う?
など)には使えないので、所持していても漏洩のリスクを負うのみに
なるので、履歴書などは本人に返却するか、または破棄することにな
ります。
退職者情報も基本的には同様であるが、法律上、労働者名簿などは退
職後3年間保存しなければなりません。
そこで、必要があれば利用目的の変更を行い、必要がなければ保存義務のあるものを除き、本人に返却するか、廃棄・削除といった対応で会社のリスクを軽減します。
A:個人情報保護法において、会社には、従業員などに対して必要かつ
適切な監督を行なう義務が課されています。その義務の一環として、
従業員の社内メールをチェックする、いわゆる「モニタリング」が必
要なケースがでてきます。しかし、従業員のプライバシーとの関係
で、必要最小限の範囲で実施が望ましいと思われます。
○「モニタリング」を実施するにあたって
(経済産業省のガイドライン)
「あらかじめ労働組合等に通知し、必要に応じて協議を行い、重要
事項を定めたときは労働者等に周知することが望ましい」としています。
注意点
①モニタリングの目的を特定し、社内規程に定めて、
従業員に明示する。
②モニタリング実施の責任者と権限を定める。
③モニタリングを実施する場合、あらかじめ実施について定めた
社内規程案を策定し、事前に社内に徹底する。
④モニタリングの実施状況について、適正に行なわれているか監査
または確認を行なう。
つまり、「モニタリング」を実施する場合は、規程を作成し、それ
をあらかじめをあらかじめ従業者に周知させるということがポイン
トになる、ということです。
Q:作成した従業員名簿を従業員に配布してもいい?
し、従業員名簿を従業者に配布するということは、会社が従業員の情
報を第三者である他の従業員に提供していると解釈されます。これ
は、23条の第三者提供にあたり、原則としてあらかじめ本人の同意
が必要ということになります。
従業員名簿を配布する行為は情報漏洩リスクが高まることを意味するので、会社として、慎重に対応する必要性があります。例えば、管理職のみに配布したり、退職時に名簿の返却を求めるなどの対応。
Q:人事考課の情報開示を求められたらどうする?
している保有個人データを遅滞なく開示しなければならないとされて
います。しかしながら、「当該個人情報取扱業者の業務の適正な実施
に著しい支障を及ぼすおそれがある場合」などには開示しなくてもい
いことになっています
例えば、人事考課などが情報開示の例外として解釈されています。
上記以外の例外として、「本人又は第三者の生命、身体、財産その他
の権利利益を害するおそれのある場合」「他の法令に違反することと
なる場合」。
Q:従業員は退職時に名刺やPCデータを持ち出せる?
従業者は退職時にこれらを会社へ返還しなければなりません。会社に
帰属すると解釈される退職者の名刺やPCデータは、個人情報保護法
の安全管理措置を講じて安全に管理されなければなりません。従っ
て、退職者の管理していたデータが退職者から漏洩した場合でも、会
社が責任を負うことになります。そのため、在職中から従業員の教育
を徹底し、退職時に備えて誓約書をとっておくなどの予防策を講じて
おくことが望ましいといえます。
Q:給与計算を委託する場合、従業員の同意が必要?
タを第三者に提供してはならないとされています。しかし、個人情報
の取扱を委託している場合、委託先は第三者にはあたりません。つま
り、給与計算を委託する場合などは第三者提供にあたらず、従業員の
同意は不要ということになります。
委託の場合、会社には個人データの安全管理が図られるよう、委託先を監督する義務が課せられています。この義務は、委託中だけではなく委託後にもその効果がおよびます。