- ベストアンサー
プライバシーマーク取得 書類審査指摘事項について
プライバシーマーク事務局より書類審査の結果が出ました。何点か不適合と指摘されたのですが、どう直せばよいか理解できません・・・。お分かりになる方がいらっしゃいましたら、助けて下さい!! 指摘事項は下記の通りです・・・。 1.適用範囲:個人情報の全てか、一部を電子計算機等のより処理する目的で書面等によって処理している個人情報、及び何らかの規則により索引づけられた個人情報も対象に含まれるとの主旨がない。
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (3)
- norakuma
- ベストアンサー率29% (293/977)
こんにちは。 すべてって記載してるんですねぇ。 それなら、一部を~以下、記載しちゃえばいいと思います。 続いて 4.3、4.3.1)リスク分析表、特定に関する規定は個人情報のライフサイクルの各ステージにおける分析についての規定がない。 Q.ライフサイクルの各ステージにおける分析とは? 個人情報のライフサイクルは、収集、利用、保管、廃棄です。 ライフサイクルのそれぞれを意識したリスク評価になっていないということではないでしょうか? 4.4.2.5)c)情報主体の保護に値する利益が侵害されるおそれのない収集を行う場合。について、適用を限定するようにとの規定がない。 Q.適用をどのように限定すればよいのでしょうか? こっちについては、今手元に資料がないんで(自宅)、月曜日以降でいいですか?
お礼
こんにちは!! 丁寧なご回答をありがとうございます。 個人情報のライフサイクルの件、理解できました。 当社のリスク分析表は、ライフサイクルの過程でのリスク評価をしていませんでした・・・・。 収集時のリスク、利用時のリスク・・・と分析しないといけないという事ですよね?? 4.4.2.5)c)の件、月曜日にお答えを頂けると大変助かります。 火曜日までに書類を揃えないといけないので・・・。 重ね重ね、お手数をおかけ致しますが、宜しくお願い致します。 本当に、ありがとうございます!!
補足
たびたびスミマセン。 4.3.2:法令及びその他の規範についてお伺いしたいのですが、「行政機関ガイドライン」とは、 経済産業省 個人情報の保護に関する法律についての掲載産業分野を対象とするガイドライン(平成16年6月)等・・・ 内閣府、総務省、厚生労働省、金融機関庁 が出しているガイドラインと考えてよろしいのでしょうか? 宜しくお願い致します!!
- norakuma
- ベストアンサー率29% (293/977)
企業で個人情報保護の仕事してます。 適用範囲に「個人情報の全てを対象とする」と明記すればOKだと判断しますが。 御社が、個人情報の一部を対象としたい…という(これは審査員を納得させるのが難しいです)意見であれば、どこからどこまでの個人情報を対象とする…と記載する必要があります。 私が作った文書(審査通過済み)だと ■対象個人情報資産 ●●の会員情報 利用者から提供を受けた情報 受託を受けている情報 従業員情報(←ぬけがち) 採用応募情報(←ぬけがち) としています。 特に、個人情報の形態については明記していません。 このあたりは審査員の主観でぶれると思いますので、相手方の審査員に確認を取ってください。
補足
ご回答有難うございます!! 当社の摘要範囲には、「当社が収集する全ての個人情報保護について適用する。また当社に所属する全ての役員、社員、契約社員、派遣社員、パート、アルバイトに適用する。」としているのですが・・・。 「一部を電子計算機等により・・・」という文章をそのまま織り込めばいいのでしょうか? また、追加で教えて頂きたいのですが・・・。 4.3、4.3.1)リスク分析表、特定に関する規定は個人情報のライフサイクルの各ステージにおける分析についての規定がない。 Q.ライフサイクルの各ステージにおける分析とは? 4.4.2.5)c)情報主体の保護に値する利益が侵害されるおそれのない収集を行う場合。について、適用を限定するようにとの規定がない。 Q.適用をどのように限定すればよいのでしょうか? 恐れ入りますが、宜しくお願い致します。。。
おそらく、電算機内部データおよび電算機処理したファイルに限定した適用範囲となっているのではないでしょうか? 電算機処理において、磁気ファイルなどの電算機内部データに限らず、これの入出力にかかる情報、また、電算機により索引づけられた情報も全て対象とすべきでしょう。
補足
ご回答有難うございます!! 当社の摘要範囲には、 「当社が収集する全ての個人情報保護について適用する。また当社に所属する全ての役員、社員、契約社員、派遣社員、パート、アルバイトに適用する。」 としているのですが・・・。 「一部を電子計算機等により・・・」という文章をそのまま織り込めばいいのでしょうか?
関連するQ&A
- プライバシーマーク取得 書類審査指摘事項について
プライバシーマークの書類審査の結果が帰ってきました。何点か不適合と指摘されたのですが、どう直せばよいか理解できません・・・。お分かりになる方がいらっしゃいましたら、お助け下さい!! 指摘事項は下記の通りです・・・。 「CP運用規定5.リスク分析」で規定しているが、洗い出された個人情報について、ライフサイクルに応じたリスク分析を実施し、具体的なリスク予防と発生時の対策を講じる手順を具体的に規定していない。 現状、リスクというのは不正アクセス・紛失・改竄・破壊・漏洩だと思いますが予防というのは具体的にどうすればよいのか解りません。 ご回答宜しくお願いします。
- 締切済み
- コンサルティング
- プライバシーマーク審査員について教えてください
仕事で個人情報保護に携わり、この方面でのキャリアアップを考えるようになり、プライバシーマーク審査員なる資格を見つけました。 http://www.jipdec.or.jp/chosa/p_shinsa/ 自分でも色々と調べてみたのですが、この資格の難易度や将来性(独立開業できるのか?など)が全く分かりません。 どなたかお知恵を拝借することは出来ませんでしょうか?
- 締切済み
- その他(職業・資格)
- プライバシーマーク 宅配便業者の委託先審査について
会社でプライバシーマークを取得しているのですが、更新審査にて、宅配便業者(佐川急便さん)と日本郵便さんについて、個人情報の委託先として認識し、審査するように、との指摘をいただきました。佐川急便さんは約款に個人情報の守秘義務に関する記載もなく、個々に契約書を取り交わすのも難しいと思います。日本郵便さんについてはいわずもがな、です。 プライバシーマーク取得業者の皆さまは、宅配便業者さんや日本郵便さんについては、どういった審査基準で委託先として選定していらっしゃるのでしょうか? コンサルタントを入れておらず、さらに小さな会社でほぼ私一人でPMSを回している状況のため、社内に相談できる相手もおらず、正直困っております。 参考まで、皆さまのご意見いただけると助かります。
- ベストアンサー
- その他(ビジネス・キャリア)
- プライバシーマーク審査体制及び事務局をどうにかできないものか
プライバシーマーク取得に動いているものです。 現地審査も終わり是正も終わったのですが、再度 別件で指摘を受けています。しかもそれらの指摘の ほとんどは、こちらとすればできていると感じれるも のばかりです。 また現地審査では問題ないと言われたことです。 これとは別件ですが、2006年版移行にかんして問い合わせると 「サイトは見たんですか」の一点張りで、わかりにくいから 電話しているこっちの話は一切聞く耳も持たず、改善する 気もまったくありません。 ただPマークは顧客要求であり何とか取得にはこぎつけたいのですが この対応や審査体制には納得いかず、今後こんな審査機関と付き合っ ていくのもこりごりです。 直接クレームをつけても聞く耳もなさそうですし審査に影響しそうで やりにくいです。 Pマーク事務局を改善させる何か良い方法はないでしょか?
- 締切済み
- その他(ビジネス・キャリア)
- プライバシーマークは取得した方がよいのでしょうか?
今年の4月から個人情報保護法が施行されます。 当社は、個人データを5000件以上保有しているので、対策として社内体制の整備や規程の作成など実施しなければならないと考えています。 そこで質問ですが、個人情報保護に関連してプライバシーマーク制度というものがありますが、プライバシーマークは取得した方がよいのでしょうか? 財団法人日本情報処理開発協会のホームページを見ると、平成10年4月からプライバシーマーク制度を開始し、現在までに1000件ちょっとの企業しか取得していないと言うのは少なすぎるような気がするのですが。 マークを取得するには、コンサルティングを受け、体制や規程の整備、社内教育など非常に時間とコストがかかると思います。そこまでして取得しても意味があるのでしょうか? 世間の認知度はどうなのでしょうか?
- 締切済み
- その他(ITシステム運用・管理)
- プライバシーマーク(Pマーク)の効力について
プライバシーマーク(Pマーク)の効力について プライバシーマークは,個人情報保護について,一定の基準に適合すれば経済産業省から使用を許諾されるマークかと思いますが,プライバシーマークって使用を認められた企業と認められていない企業とで,信頼性など消費者に対して影響ってありますか? 誰も気にしていないように思うのですが,そんな事ないのでしょうか?
- ベストアンサー
- 迷惑メール
- 現在、私の働いている会社ではプライバシーマークの取得に向けて動いており
現在、私の働いている会社ではプライバシーマークの取得に向けて動いております。 今年二月の末頃に監査機関へ初回の申請を出し現地調査を行い、 再指摘事項としての通達が届きそちらを5月には受領していただいたのですが、 その後の返答が未だ無い状況です。 審査を通った状態でPマークの使用をしてもらうまで 時間がかなり空いてしまっている為、付与機関に尋ねたのですが どのような質問にも「急ぎます」というような曖昧な回答だけで、 具体的な日程を回答してもらえない状況となっています。 審査料は既に支払っているのですが、先方より通達されている期限を 超えている様な場合、返金してもらうことは可能なのでしょうか? (※この期限の表現も曖昧で遅くとも1ヶ月程度というような表現です) また再審査になってしまった理由として、私の対応不足という点も否めないのですが、 基準が曖昧なものが多かったので、基準の判断をしかねる点もありました。 この様な場合でも、こちらが100%悪いという解釈になってしまうのでしょうか?
- 締切済み
- その他(法律)
- プライバシーマーク委託先選定基準
先日プライバシーマークの現地審査を終えて 審査員のほうから言われた事のひとつに委託先選定基準が 明確でないとの指摘を受けました。 私どもの考えでは契約書で4.4.4.3のa~dが 含まれているものを取り交わしておけばクリアだと 考えていたんですが、そうじゃなくて どういう評価をして業者に個人情報を預託しているのか 委託先選定の基準表みたいのを別途設けなさいとのことでした。 具体的にどういう事を表に含めればよいのでしょうか ご指導宜しくお願いいたします。
- 締切済み
- コンサルティング
- プライバシーマーク 評価基準 ライフサイクル 残存期間
プライバシーマークの担当者になったものです。 プライバシーマーク取得のために、個人情報についての「評価基準」「ライフサイクル」「残存期間」を、考慮した文書が必要だと、審査官をされている先生が、内々に教えてくれましたが、それ以上は、プライバシーマークの審査員は、コンサルをしてはいけないとの理由で、教えてくれませんでした。「評価基準」「ライフサイクル」「残存期間」について、解説しているWebページや、書籍はありません。 本当に何を調べればよいか分かりません。 Pマーク取得のための個人情報の「評価基準」「ライフサイクル」「残存期間」を知っている方、そして、その規定集・手順書・帳票文書作成方法を、ご存知の方は是非、お教えください。よろしくお願いします。
- ベストアンサー
- コンサルティング
- 個人情報保護法とモラルについて
皆さんは個人情報保護法の主旨からどのようなモラル基準が考えられると 思いますか? 私個人としては、他人の個人情報の勝手な開示はプライバシーに関わるので プライバシーの侵害かどうかが基準になると思ったのです。 しかし、よくよく考えるとプライバシーの侵害であるかどうかは 法律で裁かれる位置づけにいるので、モラルの上をいっていると 考えました。 そうするとどうなるだろう・・・と考えていたらわからなくなりました。 よかったら皆様の意見を聞かせて下さい。 よろしくお願いします。
- 締切済み
- その他(社会)
お礼
ご連絡が遅くなり大変申し訳ございません!!ログインパスワードが分からなくなっていました。。。 おかげさまで、現地調査は無事終了致しました。後は指摘事項を直し、再提出です。 この度の丁寧なご回答に感謝致します。1人では無理だったので、大変助かりました。 本当に、心よりお礼申し上げます。ありがとうございました!!!