プライバシーマークのための「規格(本文)のチェックシート

プライバシーマークの取得の条件は、JISQ15001を満たすマネジメントシステムを構築することです。

ですが、ISO9001の審査などをしていると、

・規格に対しどのように対応するかは原則組織が決定する

・必ずしも、規格の言葉をそのまま使う必要は無い

・組織の身の丈に合ったマネジメントシステムで良い

・ただし、濃淡はあったとしても、網羅性は要求する。とはいえ、やる必要が無いことまでは求めない

と言うことが、なかなか理解を得られないことがあります。結局の所、組織自身で行っていることが規格のどこに対応するのかの整理ができていないことに由来します。

このチェクシーは、規格の個々の記述にたいして、結局は組織が何をどう考え対応しているのか。それは個人間のばらつきを防ぐためにどの程度手順化されているのかを明らかにするためのものです。

サンプル(JISQ15001(本文)・チェックシート – サンプル)を示します。

正式なものはワードファイルで有り、規格の4項以降はすべて記載しています。

コンサルタントを受託した場合に最初のインタビュー作業で使うものです。

この段階だけの支援を行うサービスもしています。ご希望の方は、弊社ホームページの問い合わせ(http://nss.watson.jp/%e3%81%8a%e5%95%8f%e3%81%84%e5%90%88%e3%82%8f%e3%81%9b/)をご利用ください。

ただし、下記を満たしてください。

① 正式なJIS規格を購入しておいてください。

② 当社のFaceBook((有)中野ソフトウエアサービスのページ)に「いいね」をしてください。

これは、以前”ひやかし”で、資料を受領するだけして放置された経験があるのでそれを防ぐためのものです。ご理解とご協力をお願いいたします。

 

プライバシーマークのための「個人情報保護法」の査読ツール

すでにプライバシーマークの支援の再開はお伝えしたとおりです。

かつて支援していたことを思い出しながらいろいろなツールを再整備しています。

プライバシーマークの取り組みは同時に「個人情報保護法」を遵守することになります。そのため、個人情報保護法を一読することを勧めています。とはいえ、条文をそのまま読むとなかなか頭に入っていきません。これをすこしでも支援することを目的に「査読ツール」を作成しています。

ダウンロードは、個人情報保護法(平成30年7月27日公布)・査読用資料ーパスワード付き

からできます。

さて、個人情報保護法は公開されていますし、査読ツールといっても、条文ごとに枠を入れているだけで特に優れているわけではありません。そのため、普通に公開しても良いのですが、過去の経験からパスワード付きにしています。

それは

・公開されている条文に対してはきちんとサイトにアクセスして取得してほしいこと

・ツールは改良するのでコメントしてほしいこと

を条件にしたのですが、誰も守ってくれませんでした。

そのため、パスワードの取得を望む方は

① 当社のFaceBook((有)中野ソフトウエアサービスのページ)に「いいね」をしてください。

② 当社の問い合わせのページ(問い合わせ)からメールをください

直接、返信をいたします。

2019/12/09

プライバシーマークの聞き慣れない言葉(オプトアウト)

他のサイトからの引用です。

オプトアウトとは、個人情報の第三者提供に関し、個人データの第三者への提供を本人の求めに応じて停止することである。

また、個人情報の第三者提供に当たり、予め以下の4項目を本人に通知するかまたは、本人が容易に知りえる状態に置いておくことをオプトアウト方式と呼ぶ。

(1)第三者への提供を利用目的とすること
(2)第三者に提供される個人データの項目
(3)第三者への提供の手段又は方法
(4)本人の求めに応じて第三者への提供を停止すること

個人情報保護法では、個人情報の第三者提供を行う際には、本人(その個人情報によって識別される特定の個人)の同意を得なければならないとしているが、この4つの要件を満たしている場合に限り、本人の許可がなくても第三者提供が可能である。

オプトイン/オプトアウトという概念は広告メールにおいて重要である。

受信者の許諾無く一方的に広告メールを送りつけることをオプトアウトと呼ぶ。

また、それを拒否して広告を送付しないよう企業に依頼することを指す。

逆に受信者が明示的に広告の受け取りを許諾することを「オプトイン」と言う。

無条件に広告メールが送付される場合だけでなく、Web上のユーザ登録画面において「ダイレクトメールを希望する」等が予めチェックされている状態になっている場合も、受信者が広告メールを受け取らないために能動的な行動を起こす必要があることからオプトアウトであるとされる場合が多い。

2002年7月に施行された「特定電子メール送信適正化法」(特定電子メールの送信の適正化等に関する法律)の施行により、広告又は宣伝を行うための手段としてオプトアウトメールを一斉配信すると処罰の対象となる。

具体的には、1年以下の懲役や100万円以下の罰金を科すことなどが定められている。

なお、2008年6月現在、不特定の人に送る商用ダイレクトメールには件名に「未承諾広告※」と表記し、連絡先やメールの拒否方法を記載すれば違法にはあたらない。

しかし、「未承諾広告※」と記載したメールの多くが実質的に迷惑メールであることには変わりがなく、2008年5月に可決された改正案では

(1)相手の承諾を得ずに宣伝目的のメールを送信した場合は、迷惑メールとして処罰の対象とする
(2)罰金の上限は法人の場合最大3000万円
(3)海外から送信された迷惑メールも規制対象とする

等が規定され、広告や宣伝の場合はオプトイン方式が義務化された。

 

https://www.pi-pe.co.jp/miteshiru/word/optout/ より

プライバシーマーク:業務フローとUML,HIPO、構造化技法

JIS規格の改訂に伴い、ISOのマネジメントシステムがベースになったことでプライバシーマークの取得支援を再開しようといろいろ思い出している。

そういえばと思いだしたことの一つに、業務プロセスの整理をしたことがあったなぁと云うことだが、この「業務プロセス」あるいは「業務フロー」という言葉もわかったとようなわからない言葉かもしれない。

IT技術者であれば、即座にUMLで云うユースケースやデータフローダイアグラム、あるいは古い技法としてはHIPOや構造化技法などが思いつくかもしれない。

かつてプライバシーマークの取得支援を行った時も最初に行ったのがユースケースの作成だったのだが、こうした設計技法は一般的なのだろうか?

自身のアピールポイントやキャッチを考えているのだが、こうした設計技法の適用ができることは売りにできないかな?

そういえば、「図式化するとわかった気になる」と云った人がいる。IT技術者が長年取り組んでいることを馬鹿にされたようで不愉快だったことを思い出した。
文章で書くと、「あれ、それ。上記の・・・、以下のとおり」などの曖昧なものがのこる。誰かに何かを伝えるのに曖昧なものを残してはいけない。

2019/12/02 閑話休題

プライバシーマーク:戦略的決定はあるのか? 

個人情報保護マネジメントシステムの採用は,組織の戦略的決定である。

とは、「個人情報保護マネジメントシステム-要求事項 JISQ15001:2017」の序文に記載される言葉である。

どの規格でも同様に、こうした規格に準じたマネジメントシステムでの管理は、戦略に基づいたものであると明記している。従って、あらたに認証取得を目指すのであれば、こうしたマネジメントシステムの採用が、組織の戦略上どのような意味を持つのかを明らかにしてほしい。

ところが。この「戦略」という言葉が悩ましい。

ちまたにはいろいろな参考図書が軒を並べいろいろな主張をかき立てているが、つまるところ「戦略」の役割は、成功のための指針のようなものである。

にもかかわらず、売上げ目標を記載した事業計画を「戦略計画」と呼称して示されると頭を抱えてしまう。

手元の勉強会資料などをひっくり返すと、いろいろと示唆に富んだ言葉を見つけることができる。

以下は、「日本経営品質」という軸での勉強会での資料の一節になる。

間違えた戦略
・お客様に喜ばれる会社になる。
・創造性あふれる独自のソリューションを提供する。
・売上高を毎年20%伸ばす。
・利益率を最低でも20%確保する。
・意欲的に取り組む文化を根づかせる。
・オープンな意見交換のできる職場にする。
・地域コミュニティに貢献する。

これは戦略でなく、業績目標である。多くの企業がこのとりちがえをしている。業績予想に基づいて3年あるいは5年単位の予算を組むことをプランニングと称している企業がある。

毎年繰り返されるこうしたプランニングロプロセスは戦略ではない。なぜなら、これでは変革をめざす道筋をつけることはできないからである。変革をめざすためには、機会を見極めたうえで前進を阻む障害物を見抜き、乗り越える方法を考えなければならない。それは製品の差別化を図ることかもしれないし、販売網の見直しかもしれないし、組織改革かもしれない。

最低限、戦略をストーリーとして語れるようにしてほしい。
成功物語の中で、マネジメントシステムの採用がどのような位置づけなのかがわからないと、目標も方針の決定もできない。

閑話休題 2019/12/01

プライバシーマーク:聞き慣れない言葉「付属書SL」

■なんのこと?

プラーバシーマークの規格もJISQ15001:2017として新しくなった。
私はISO9001の審査員を10年以上やっているので戸惑うことはないのだが、初めて接する人は戸惑うことが多々あるだろう。

解説書などを見ても、この世界になれていないと戸惑う言葉が良く出てくる。
その中に「付属書SL」と言う言葉は戸惑うかもしれない。

一言で言えば、「従来、マネジメントシステムごとに規格の構成がバラバラだったのを統一させるための枠組み」と言える。

なぜそんなものが必要になったのかと云えば、

・ISOの規格にはISO9001(品質),ISO14001(環境)、ISO27001(情報セキュリティ)などのいくつかの種類があるのだが、企業によっては複数の規格を取得することを選択しているところもある。
・企業にとっては統治システムは一つなので、マネジメントシステムも多重化は不自然である。そのために、複数のマネジメントシステムがあろうと同じ枠組みで管理した方が合理的である。
・それを実現するためにMSSが提唱され、それが記載されている場所が「付属書SL」である。

で、なぜ「付属書SL」というかと云えば、上記の枠組みはISOを管理する団体が「ISO/IEC専門業務用指針第1部及び統合版ISO補足指針」としてまとめており、その中に規定文書の統一的構造を付属書SLに記載しているからです。

以前は誰でもダウンロードできたのですが今は公開されていません。

参考のために、付属書SLに記載されている規格文書の構造は、下記の通りです。

序文
1.適用範囲
2.引用規格
3.用語及び定義
4.組織の状況
5.リーダーシップ
6.計画
7.支援
8.運用
9.パフォーマンス評価
10.改善

■(参考)一つ前の規格の構造

① ISO9001:2008
序文
1.適用範囲
2.引用規格
3.用語及び定義
4.品質マネジメントシステム
5.経営者の責任
6.資源の運用管理
7.製品実現
8.測定、分析及び改善

② ISO14001:2004
序文
1.適用範囲
2.引用規格
3.用語及び定義
4.環境マネジメントシステム要求事項

③ ISO27001:2006
序文
1.適用範囲
2.引用規格
3.用語及び定義
4.情報セキュリティマネジメントシステム
5.経営者の責任
6.ISMS内部監査
7.ISMSのマネジメントレビュー
8.ISMSの改善

④ JISQ15001:2006
1.適用範囲
2.用語及び定義
3.要求事項

■移行時の混乱はないのか

上記に示すように、マネジメントシステムごとにバラバラの構成にあったものを同じ枠組みの構成にするには一定の工夫が必要になる。
さらに、新しい規格に移行するにあたっては、その仕組みが形骸化しないための工夫や過度な文書化要請の排除などもあり、「組織にあったマネジメントシステムの構築」を求めていると考えている。

ただし、本質的なマネジメントの仕方が突然変わることはあり得ないので「やっていること]自体は変更がなく、入れ替えだけですむことが多い。逆にそうでなければならない。とはいえ、規格への理解がないままでの運用をしてきた組織にとっては規格の理解から始めなければならないために混乱は生じたようだ。

実際にはISO9001しか知らないが、やはり新たな概念「リスクと機会」などは悩みの種だったようだ。実際には、多少の混乱はあるものの、企業活動を変質させるようなものではない。

ISO9001、ISお14001は、すでに新規格の移行はすんでおり、おそらくはJIQ15001での移行も順調に晋と思われる。

■言葉に惑わされないように

さて、プライバシーマークの取得支援の準備をしており、いろいろなドキュメントを見ているが、背景も何も説明なしに聞き慣れない言葉が出てくると戸惑うばかりだろう。そうした人の一助になれば幸いです。

これってどういう意味と思ったら問い合わせください。
サイトにできるだけ説明してアップします。

閑話休題