第122回 手順を確立し・・・この一言で、やることがどれだけ増える?
Pマークの現地審査で、実際にあった質問です。
審査員「リスクは、どのように認識していますか?」
申請者「はい、業務フローに従って、リスクを洗い出しています。」
審査員「では、どのように分析して、対策を立てていますか?」
申請者「えーっと、洗い出したリスクに対して、何をするべきか対策を記入して実行しています。」
審査員「その手順は、どこに規定していますか?」
申請者「えっ?」
審査員「残存リスクの認識は、どのようにされていますか?」
申請者「えっ?」
旧JISをめくってみても、手順という言葉も、残存リスクという言葉も出てきません。ただ一言、「リスクを認識しなければならない」と書いてあるだけです。
「JISに書いてないのに、なんで指摘を受けなくちゃいけないんだ!」
「それならそうと、最初からJISに書いておいてくれ!」
新JISでは明記されたので、もう愚痴をこぼすことができません。
あなたも私も、リスクを認識し、分析し、対策を講じる手順を確立・維持しなければならないのです。
■追加・変更されたこと
(1)目的外利用について
新JISには、下記のように書かれています。
| 事業者は、3.3.1 によって特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。 |
旧JISでは、目的外利用を「行う」場合についての記述はあったものの、目的外利用を「行わない」ための対策や手順には触れられていませんでした。
つまり、事業者が「ウチは、目的外利用はしません。」と決めれば、それ以上の対策は求められませんでした。
今後は、従業者による不注意あるいは故意による不正な使用を想定して、あらかじめ対策を打つ必要がある、ということです。
(2)リスクに関する要求事項について
| 事業者は、3.3.1によって特定した個人情報についてその取り扱いの各局面におけるリスク(個人情報の漏えい、滅失または毀損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益および社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。 |
【1】(個人情報の)取り扱いの各局面
「個人情報のライフサイクルごとに、リスク分析をしてください。」
これも現地審査で指摘されることです。
個人情報のライフサイクル?
よく使っている用語ですが、実は旧JISには定義されていないのです。
JIPDECのセミナー資料にある個人情報の取り扱いプロセス(「収集」「保管」「利用」「委託・預託」「破棄」「訂正・削除」)に従って、リスク分析をしていた会社が多いのではないでしょうか。
新JISでは、「個人情報のライフサイクル」が、「(個人情報の)取り扱いの各局面」となって登場しました。
各局面とは「取得・入力」「移送・送信」「利用・加工」「保管・バックアップ」「消去・廃棄」となります。
Pマークをこれから取得あるいは更新する企業は、この各局面に合わせて、リスク分析をやり直す必要があるのです・・・。
【2】分析、対策
冒頭でご説明したとおり、旧JISではリスクの認識までが求められていました。新JISでは認識したリスクを分析し、「対策を講じること」が求められています。
認識したリスクをどのように軽減、回避等するかを分析し、対策を実施する必要があります。
また、対策を実施してもリスクをゼロにすることは不可能です。対応できなかったリスクを残存リスクとして把握し、継続的に見直し、新たに対策を講じる必要があります。
【3】手順の確立
さりげなく「手順を確立し・・・」と書かれています。
何気なく読むと、読みとばしてしまうかもしれません。実は、大変な意味があります。
手順を確立するとは、手順をフローやマニュアルなどに明記しなさい、ということです。
作成すべきものが、大幅にボリュームアップしてしまいました。
■なぜ、200%アップ?
新JISになって、もう1つ、大幅に変わったものがあります。JIS規格の冊子の値段です。なんと、200%アップになっています。
旧JISは、1,050円(税込み)。
新JISは、2,100円(税込み)。
うーん、どうも納得できないですね。でも、お金を無駄にしないためにも、じっくり読んで、しっかり対応したいですね。
