技術とか戦略とか

IT技術者が技術や戦略について書くブログです。

プライバシーマーク取得企業で働く上での心がけ(一般社員向け)(2019年度版)

SE仕事術 情報処理技術者試験

私が勤める会社でもプライバシーマークを取得しており、2019年度版の一般社員向けの研修があったので、内容を簡単にまとめます。
研修テキストはネットに上げられませんし上げてもあまり意味はないので、一般論的なことを簡単にまとめるだけにします。
詳細なことに関しては各企業毎で話されると思いますし、ルールは各企業毎で微妙に違うはずなので。
 
ちなみに、情報処理技術者試験でも「プライバシーマーク制度とは何か」といった設問が出ることがあり、関連する個人情報保護法等も出題されることがあるので、情報処理技術者試験対策の上でも知っておくべきことの一つです。
 
プライバシーマーク制度とは
 JIPDEC(一般財団法人日本情報経済社会推進協会)が運用している制度である。
 
 日本工業規格「JIS Q 15001」をベースに、
 「個人情報保護法
 「各省庁が作成した個人情報保護法に関するガイドライン
 「地方自治体による個人情報関連の条例」
 といった関連法規も考慮した独自の認定基準が設けられている。
 個人情報の管理体制を整えている企業にプライバシーマークが認定・付与され、
 会社の信用度を外に示すためにプライバシーマークを使用することを許される。
 
 「プライバシーマーク」と同じようなプライバシー関連の第三者認証としては、
 「TRUSTe」「ISMS」といったものが存在する。
 
■JIS Q 15001の要求事項
 ・個人情報保護方針(プライバシーポリシー)を公開していること
 ・個人情報保護マネージメントシステム(PMS)を確立していること
 ・実施のための手順が確立していること
 
■個人情報とは
 特定の個人を特定できる情報である。
 氏名や住所はもちろんのこと、社員番号や本人の画像等も含まれる。
 
■個人情報の安全管理措置
 個人情報について「漏洩」「滅失」「毀損」
 を防ぐための安全管理措置を取ることが重要である。
 社内に対しては、個人情報管理のルールを定め、必要な投資を行うのが有効。
 社外に対しては、取引先の個人情報取り扱いの体制を確認した上で、
 契約書による管理を行うのが有効。
 
個人情報保護法とは
 個人情報の不適切な取り扱いを未然に防止するための法律(予防法)である。
 内容は年々更新されているので、最新の情報を確認することが重要である。
 (情報処理技術者試験対策という意味では、最新のテキストを読むのが重要)
 
 2017~2018年の改定では以下の点がポイントになる。
 ・事業者の監督権限を一元的に有する個人情報保護委員会の新設
 ・個人の身体的特徴(顔認証データ、指紋認証データ等)も個人情報に追加
 ・要配慮個人情報(人種、信条、病歴等)の定義
 ・5000人以下の個人情報を取り扱う事業者にも個人情報保護法を適用
 ・利用目的の変更条件の緩和
 ・匿名加工情報(個人を識別できないように加工した個人情報)の定義
 ・オプトアウト手続き(本人の同意を得ない第三者提供)の厳格化
  (個人情報保護委員会への届出を義務化)
 ・個人情報の提供時のトレーサビリティの確保
 ・個人情報が不要になった際に消去するように努力義務を明記
 ・個人情報の不正な流通が発覚した際の個人情報保護委員会による調査の明記
 ・個人情報保護法違反に対する立ち入り調査と指導、助言、勧告、命令の明記
 ・個人情報データベース等不正提供罪の新設
 ・外国への個人情報提供の取り扱いの定義の追加
 ・消費者の意見収集や事業者への指導等を行う認定個人情報保護団体の活用
 ・裁判における個人情報の開示請求権を定義
 
マイナンバーとは
 国民一人一人を一意に特定するために、12桁の番号が与えられるものである。
 (法人向けは13桁)
 2019年12月現在は、社会保障、税金、災害対策のみに使用され、
 公正公平な社会の実現、国民の利便性向上、行政効率化を図ることができる。
 マイナンバーの取り扱いについてはマイナンバー法により定められており、
 本人が同意しても利用目的外の利用や第三者への提供ができないなど、
 個人情報保護法よりも厳しく定められている。
 
■個人情報が漏洩した際のリスク
 個人情報が漏洩したことによる被害を補償する必要が出てくる他、
 会社に対する信頼が失墜し、その後の事業活動にも悪影響が出る。
 
■個人情報を取り扱う上で一般社員が注意するべきこと
 会社毎で取り扱いのルールを決めているはずなので、
 上位者の指示にしたがってそのルールを守ることが重要となる。
 (おかしいと思うことがあれば上位者に相談することも重要)
 
 個人情報取り扱いの事故の原因として、2019年12月現在では、
 「メール誤送信」が増加傾向にあるが、
 「紛失」や「宛名間違い等」は減少傾向にある。
 
 一般的には、以下のような事項についてルールが定められる。
  ・個人情報の取得や取り扱いのルール
   (本人の承認を取る、クリアデスク等)
  ・PCのスクリーンセーバー設定
  ・メール送信時の宛先・CC・BCCの使い分け
  ・メールの添付ファイルの送り方
   (パスワード付きzipにしてパスワードは別途送付等)
  ・メーラーの設定変更
   (メール送信前にメール内容を確認できる設定にする等)
  ・ノートPCのハードディスク暗号化やワイヤロック
  ・私的端末の使用の制限