Q&A

JIS Q 15001で要求事項に「…手順を明確にしなければならない」とか「…手順を確立し、実施し、かつ、維持しなければならない」という表記がありますが、これは具体的にどういうことを指すのですか?

JIS の要求事項にはご質問のように手順を求めるケースが多くあります。例えば3.3.7項の「緊急事態への準備」では、特定の手順及び対応の手順を求めていますが、これには(1)緊急事態及び事故が最も起こりやすい場面、(2)予想される被害の規模、(3)被害を最小限に抑えるための一次的な対処方法,(4) 社内の緊急連絡網及び社外への報告手順、(5)再発防止処置を実施する手順、(6)緊急時対応についての教育訓練…を自社の「規程」として定めます。加えて、運用において対応した結果を「記録」に残しておく必要があります。また、維持とは、策定した手順をメンテナンスして絶えず状況に応じた適正なものにしておくことを意味します。

プライバシーマークの費用が高いと聞いています。当社は従業員10名とパート5名の会社です。どれ位、費用をみておけばいいのでしょうか? また分割での支払いも可能ですか

プライバシーマークの審査にかかる費用は、プライバシーマークを運営している一般財団法人日本情報経済社会推進協会(JIPDEC)が定めています(全てのプライバシーマーク付与指定機関で共通です)。以下の新規申請の場合の料金表を掲示します(更新審査の場合は、もっと少ない金額になります)。

新規申請の場合

事業者規模 小規模 中規模 大規模
申請料 5万円 5万円 5万円
審査料 20万円 45万円 95万円
付与登録料 5万円 10万円 20万円
合 計 30万円 60万円 120万円

費用は、事業者の規模に応じて(小規模、中後簿、大規模)変わります。また規模は従業者の数によって変わりますが、業種により、その区分の従業者数は変わります。(厳密には業種、資本金でも変わりますが、ここでは印刷・グラフィックサービス業を対象として解説します) 印刷・グラフィックサービス業は、製造業ですので、その例で言いますと、「大規模」は、中小企業基本法に定める基準を超えている事業者に適用されます。(従業者300名超かつ資本金3億円超は大企業の分類となります)

従業者20名超300名までが「中規模」で、20名以下が「小規模」となり、印刷・グラフィックサービス業の多くは「小規模」事業所に該当します。 ご質問の御社の場合ですが、役員数が不明ですので、明確には言えませんが、役員が5名以内の場合は「全従業者が20名以内」となりますので、「小規模」事業所に該当します(従業者には役員を含む)。

また、お支払いですが、申請を受理した際に「申請料」を請求し、現地審査の際に「審査料」を請求し(以上二回はジャグラから請求)、「付与登録料」はプライバシーマークの付与が決定した際に請求(JIPDECより請求)しますので、実質的に3回に分けてのお支払いが可能です。

注) 印刷・グラフィックサービス業が主体ではなく、ソフトウェアの開発等が主体の事業者の場合は、「小規模」は従業者5名以下の事業者に限ります。

個人情報保護法で対象となる「個人情報」の範囲は? いろいろな印刷物があり、印刷物には色々な形で個人名や個人の情報、写真など入ってくるが、全部個人情報なのか?

特定の個人が識別できるものは個人情報となります。氏名、年齢、男女、所属組織・部署・肩書き、住所、電話、メールアドレス、写真、ビデオ、録音も対象となります。

問題が起きた時に本当に罰せられるのでしょうか。その他有形無形どんなペナルティが考えられるのか。

個人情報保護法では罰則がついていますから、悪質な事例が出た段階で罰せられるでしょう。ただ、その前提には警告がありそれでも警告に従わない場合です。今後、実際に取り締まりがあり司法の判断がなければ罰則の適用はわかりません。東京都条例違反の罰則は法律よりも厳しくなっています。

【参考】
東京都個人情報の保護に関する条例

有形無形のペナルティということであれば、個人情報を漏らした場合、会社名が公表(殆どのケースは自己申告)され、社会的に「あの会社は信用できない」というレッテルが貼られ、また情報主体への損害賠償というケースが予想されます。

個人情報保護、漏洩防止するために、何をやればいいのか分からない。教えてください。

まず、自社で保有する個人情報を洗い出してください。→情報の棚卸しです。(インハウスの従業員情報や退職者情報も忘れずに)

次に、情報は入ってきて廃棄されるまでのライフサイクルがあります。収集・利用・保管・委託・廃棄(返却、納品)の各工程で不正アクセス、破壊、紛失、漏洩、改竄などで適正な保護をしなければなりません。

それぞれのリスクを分析して対応策を講じなければなりません。(例えば、営業マンが預かったFDを運搬中に失くした。FAXやメール、DMの送信先を間違えた。ヤレ紙・版の処分)

法律でも従業員、委託先の監督は義務付けられています。教育は全従業者に漏れなく行わなければならず、下請け・協力企業へも同様です。

物理的な保護としては、自社のセキュリティ(警備、盗難防止策、施錠の徹底、入退出の管理)、「個人情報」の保管の徹底(盗難防止策、施錠の徹底、PC管理、メールの管理=ID,PWや暗号化…)を行うことです。

何故、こうした手段を講じなければならないか? それは漏洩事故が起こった場合、「貴社からもれたのではないか?」と問われた際に、「わが社はこうして保護しています」と証明できるか否か? 証明ができない場合、どう弁明されるのでしょうか。

プライバシーマーク使用許諾を受けるメリットは何ですか。コストもかかることなので許諾を受けなくても、個人情報取扱いを法律に沿ってすすめれば問題ないはずですが。

プライバシーマークの使用許諾を受けることは、JIS Q15001の要求事項を遵守していることを外部の付与機関が審査して、その要求事項を満たしていることを認証している訳ですから、一々説明しなくとも済むことになります。

確かに個人情報保護の証明にプライバシーマーク使用許諾を受けなくとも法律遵守は事業者の責務ですから当然のことです。ジャグラ、日印産連では保護方針・ガイドラインを制定していますので、会員の皆様は法律と経産省のガイドラインも含めよく理解され、何か相談事があった場合は直ぐにジャグラへご連絡ください。

この法律の施行により、お客様の側の変化はありますか。

お客様は様々な職種で各々、個人情報を扱っています。印刷関連業者として、お客様から預かる個人情報(間接収集のケース)の利用(印刷物、データ処理・加工)に際してお客様の安心を得る必要があります。

お客様がプライバシーマークの認証を取得されていれば委託先にも自社と同程度のセキュリティを要求してきます。その場合は拒むことはできません。よくお客様とコミュニケーションをとって下さい。

プライバシーマーク許諾認証にむけて文書類の整備・教育訓練を進めています。実際の審査ではどんなところが審査されるのですか。重要度の高いところを教えて下さい。

プライバシーマークの審査は、書類審査と現地審査となりますが、JISの要求事項は全て満たしていなければなりません。JIPDECが最も重視している点は、

  • 前述(Q5)個人情報の洗い出しが全て網羅されているか?
  • 情報のライフサイクルに沿ってリスク分析され、対策が講じられているか?
  • 全従業員に教育がなされているか?
  • 内部監査が全部署で実施されたか?
  • 経営者の見直しがなされているか? マネジメントシステムとして、PDCAが定着し、機能しているか?

といった基本の所です。

各企業にとって、特徴がある訳ですから、自社に相応しいリスク分析と対策が立てられているかどうか? コンサルタントからのお仕着せでない自前のコンプライアンスプログラム、規程、手順書を作り、実際に回してみて、さらにスパイラルアップして戴きたいということです。

また、このほかにもプライバシーマークを運営している日本情報処理開発協会のプライバシーマーク制度にもQ&Aがありますので参照して下さい。