改正個人情報保護法が施工
2022年4月に改正個人情報保護法が施行されました。近年の個人情報をめぐる環境変化は急速であり、今後も必要に応じて3年毎に法改正されると条文に明記されています。こうした流れに事業者は対応していく必要があります。EUでは2018年5月にGDPRが施行され、世界的にも個人に関するデータ保護は厳格化される流れにあります。
個人情報保護法の構成
個人情報保護法は7つの章で構成されています。1~3章で基礎理念、4~7章で個人情報取扱事業者等の義務や罰則を規定しています。法で個人情報取扱事業者とは、「個人情報データベース等を事業の用に供している者をいう」と定義されており、個人情報を事業で取り扱う企業はこれに該当します。
実施すべき8つの義務
以下に、具体的に企業の個人情報を取り扱う義務についてまとめます。
1.利用目的の明確化、利用目的による制限
(第15条、第16条)
個人情報取扱事業者は個人情報を取り扱う際には利用目的を明確にします。かつ、その利用目的以外で個人情報を利用してはいけません。そのため、「事業活動のために利用」などの漠然とした表現では不適切と判断されます。
2.適正な取得・利用目的の通知、公表
(第17条、第18条)
個人情報を取得した際には、速やかに利用目的を本人に通知又は公表します。要配慮個人情報(病歴や犯罪歴等)を取得する際には、事前に本人の同意が必要です。不正に個人情報を取得してはいけません。
3.正確性の確保
(第19条)
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければなりません。利用の必要がなくなった際には速やかにに消去するよう努めます。
4.安全管理措置、従業者・委託先の監督
(第20条、第21条、第22条)
個人情報取扱事業者は、必要かつ適切な措置として、個人情報の漏えいなどを防ぐために適切な安全管理措置を講じる必要があります。また、従業者や個人情報の取り扱いを委託する委託先には、適切な監督を行います。
5.第三者に提供する場合の制限
(第23条)
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、個人情報を第三者に提供してはいけません。ただし、法令に基づく場合など、一定の条件に合致する場合は同意を得ない第三者提供が可能になります。
6.個人情報の提供を行う場合、受ける場合の記録義務
(第25条、第26条)
個人情報取扱事業者は、個人情報を第三者に提供する場合や、第三者から提供を受ける場合は、いつ・どのような情報を提供した(された)のかなど、所定の事項を記録し、原則3年間保存する必要があります。
7.利用目的等の公表・開示、訂正、利用停止
(第27条〜34条)
事業者の氏名や名称、苦情の申出先等を本人に分かる状態で公表し、請求された場合には遅滞なく開示します。利用目的や取得義務違反で、本人から消去や利用停止を請求されたら、是正し、消去や利用停止を行います。
8.苦情の処理
(第35条)
個人情報の取扱いについて苦情の申出があった場合は、適切かつ迅速な処理に努めます。そのため、苦情受付窓口の設置、苦情処理マニュアルを作成するなど備え付けるなど、必要な体制を整備してください。
基準となる規格
プライバシーマーク制度とは、個人情報を適切に取り扱っている組織を、第三者機関が審査し、その証としてプライバシーマークと称するロゴの使用を認める制度です。プライバシーマークを取得する為には、日本工業規格「JISQ15001:2017個人情報保護マネジメントシステム-要求事項」に適合する体制を構築する必要があります。※PMS(Personal information protection Management Systems)。プライバシーマーク制度の目的は、次の通りです。
- 認定マークで示すことにより、個人情報保護の意識向上を図る。
- 社会的な信用を得るためのインセンティブを事業者に与える。
規格導入のベネフィット
(1)個人情報保護におけるリスクの低減
(2)コンプライアンス順守
(3)個人情報を適切に管理・利用する組織体制の確立
(4)顧客・取引先からの信頼性向上
(5)認証を受けることによる第三者視点での改善点発見
JIS Q 15001とISO/IEC 27001の違い
JIS Q 15001とISO/IEC 27001とでは、対象とする情報の範囲が異なります。ISO/IEC 27001は組織が持つ情報全般を対象ですが、JIS Q 15001はそのうち個人情報のみを対象とします。
アースみらい総研のサービス
株式会社アースみらい総研は、JIS Q 15001をフレームワークに用いてコンサルティングを行います。この取り組みによって、個人情報保護への堅実な活動を対外的にアピールすることができます。また、JIS Q 15001とISO/IEC 27001の両者を組み合わせることで、個人情報の管理をより一層強化し、効率的で効果的な情報資産の運用を実現することができます。その要求事項への対応の証としてプライバシーマーク認証を受ける場合、あるいは仕組み構築のみで自己宣言する場合、目的に合わせて内容でご支援いたします。業種・業態に制限はなく、あらゆる組織で導入可能です。
こんな課題へご対応します
- 個人情報保護法についてよく知らない
- 個人情報保護対策についての知識もノウハウもない。
- 脆弱性を抱えたままWebサイトを運用している可能性がある。
- プライバシーマーク認証でステークホルダーにアピールしたい。等
2つのプラン
お客様状況に合わせて以下2つのサプランからお選び頂けます。※料金は目安です。
標準プラン
【プライバシーマーク認証支援】
プライバシーマーク認証取得を目的とし、規格の理解から計画・文書作成・運用・内部監査支援・外部監査サポートを行います。認証後の維持審査も定着するまでご支援致します。
(※審査費用は審査会社のお見積りをご参照ください)
Total 140万円~
(税込154万円~※審査費用別)
ライトプラン
【自己宣言でコスト最小限】
認証取得を目的にするのではなく、自社にとって最低限必要な個人情報保護体制を構築します。貴社へのヒヤリングによって計画・文書作成・運用・内部監査支援を行います。お客様と協同で進めるため、必要最小限の工数で実現します。(審査費用は掛かりません。)
Total 80万円~
(税込80万円~)
他社比較
| アースみらい総研 | 他社コンサル | |
| コンサル目的 | 本質的コンサルティング | 認証取得だけが目的 |
| 認証取得保証 |
要認証の場合、認証取得100%保証 | 認証取得100%保証。ただし条件付き。 |
| 実施回数 | 無制限。効果的な実施。 | 制限あり(訪問回数×単価) |
| ドキュメント作成方針 | GAP分析により、お客様状況に合わせたオリジナル文書をコンサルが作成。 | テンプレートを使用して穴埋め式に文書作成を行うため自社に合った文書にはならない。 |
| ドキュメント | 主要な書類はコンサルが作成し、お客様の負担を最小限にする。 | 毎回宿題があり、連絡を繰り返しながら、お客様が文書作成や修正をする。 |
| コンサルタント | コンサルタント全員が、ISO審査員資格者、もしくは専門コンサルティング会社出身。 | 企業の品質保証部門を退職したフリーランスが多い。大手企業出身だと自分のやり方に固執している。 |
| 進め方 | スケジュールとやるべきことが明確で、完了後のイメージもわかりやすい。 | コンサル完了まで具体的なイメージがつかめないことが多い。大変な想いをすることが多い。 |
| 完了後(取得後)のサポート | 運用の定着化及び社員様向けに定期教育を実施。1年間サポート。 | 基本的に認証取得までで完了。アフターフォローは、別途契約の場合のみ。 |
当社が選ばれる理由
当社は長年、個人情報保護法が最初に制定された2005年頃から長年の経験があり、標準化コンサルティング専門のご支援をしております。過去の豊富なコンサルティング経験をもとに、御社と並走しながら最適な取り組みへと導くご支援をいたします。
お見積り
御社の現況やご依頼内容によって、オリジナルでお見積りをお作りいたします。まずは、以下お問合せがからお気軽にご連絡下さい。
社会構造の変化は、セキュリティ概念にも影響を及ぼす。
組織の情報資産を守るために情報セキュリティマネジメントシステム(ISMS)の必要性がますます重要度が増しています。現在は、機密性、完全性、可用性をセキュリティの3要素と定義していますが、AIが実装された社会では安全性や倫理性に対するリスクが高まると考えられます。つまり、安全性、健康、情報、知的財産権、倫理性、合法性、企業・国家防衛が、今後意識すべき領域となります。
。