JISQ15001：2006対応！　Part5

ステップ6　法令、国が定める指針、その他の規範を特定する。

これも、難しくはありません。

順にやってみてくださいませ～。

まず、法令。

個人情報保護に関する法律。

通称、個人情報保護法は、絶対です。

それから、自分の会社が所属する省庁のガイドライン。

弊社は、経済産業省のガイドラインになります。

と、会社が加盟している協会などのガイドライン。

他に、自分の会社のある都道府県、市区町村の条例など。

他にも、業界によっても、ガイドラインが決められていたりもします。

これも、思いつく限り羅列してください。

大丈夫です。

気付かなかったものは、わかった時点で追加すればいい。

で、最後に忘れてはいけない、JISQ15001♪

特定した法令は「法令一覧表」とでも名づけて、リスト化しておいてください。

リスト内に記載するのは法令名（正式名で）、管轄、制定日、最終改定日

法令の掲載してあるURLは、最低書いておいてくださいねっ。

あと、各法令は、プリントアウトして、ファイリング。

ステップ7　個人情報のリスクを認識し、分析し、対策を検討する。

はい、最初の難関です。

私はとっても苦手でした。

でも、がんばりましょう！

なんとかなります。

①ワークフローの確認。

　ステップ5で洗い出した個人情報を利用するワークフローが社内に存在しているはずです。

　それらを、ひとつずつ書き出していってください。

　例えば、名刺ひとつをとっても、社員の名刺を作る場合のフローと、名刺交換で受け取った場合のフローとは違うはずです。

　それを、取得から廃棄まで書き出すんです。

　あとあとのルール策定にも影響しますので、これはできるだけ細かくやってもらってください。

　それに対してリスクをできるだけ細かく見つけ出し、そのリスクに対して、対策を書き出す。

　いろんなところに書いてあると思いますが、分かりづらい。

　では・・・具体例で説明。

　セミナー開催します！！！！

　お申し込みは、Webから♪

　すると、セミナー参加希望者は、Webから登録をしてくれるわけです。これが、「取得」にあたります。

　取得した個人情報は、サーバーに入ります。

　ここから、DLしてリスト化したりするわけです。「利用」ですね。

　この取得から、利用までの間だけでも、いろんなリスクが考えられます。

　個人情報入力画面にウィルスが仕込まれていて、他の人が取得できてしまう。

　取得時の明示事項もれ。

　必要以上の取得。

　サーバーダウンによるデータ紛失。

　また、リスト作成時に作業担当者のミスで、改竄してしまうことも考えられるでしょう。

　担当者が、悪意を持って、必要以上にコピーをし、持ち出すかもしれません。

　担当者がパソコンを立ち上げっぱなしにしてしまったがために、他の人に見られるかもしれません。

　また、セミナー目的で取得したのに、営業活動に使用するのは「目的外利用」にあたります。

　などなど。

　

　そのひとつひとつに対策をしていく必要があるわけですね。

　正直、やってられません。

　でも、やれと言われるから仕方がない。

　また、JISQ15001：2006からは、残存リスクの可能性についてなども記載する必要が出てきました。

　ただ、すべてに大袈裟な対策を施す必要があるわけではないのです。

　「合理的」なリスク対策。

　予算の問題があるから、大掛かりなシステムを導入できない会社もあるでしょう。

　すべての会社が、指紋認証を導入できるわけではないのです。

　監視カメラを設置できるわけではないのです。

　それを絶対にしろとは、一言も書いてないのです。

　技術的に、人的に、物理的に・・・何かしらの対策がしてあればいいのです。

　「誤入力」

　対策のために、誰かがチェックすることにしました。

　それでも、チェック漏れがあるかもしれません。

　じゃあ、チェックを2人にするか、3人にするか。システム的にチェックできるようにするのか。

　それは、各会社で決めればいいこと。

　私は、このリスク対策をすることが大切なんだとは、全然思いません。

　ただ、リスクがあるということを認識することが必要なんだと思っています。

　ああ・・・長すぎて書ききれない。

　続く・・・