JISQ15001:2017の付属書の読み解きの第2回配信です。(全10回)

JISQ15001:2017の付属書を読むの第2回配信として、全10本の配信になります。
それぞれ各項番を表題にしているので参照してください。

なお、前提として手元に規格をお持ちであることを前提としています。

JISQ15001・付属書・解説010(A.3.4.1 運用手順)

JISQ15001・付属書・解説011(A.3.4.2.1 利用目的の特定)

JISQ15001・付属書・解説012(A.3.4.2.2 適正な取得)

JISQ15001・付属書・解説013(A.3.4.2.3 要配慮個人情報)

JISQ15001・付属書・解説014(A.3.4.2.4 個人情報を取得した場合の措置)

JISQ15001・付属書・解説015(A.3.4.2.5 [A.3.4.2.4]のうち本人から直接書面によって取得する場合の措置

JISQ15001・付属書・解説016(A.3.4.2.6 利用に関する措置)

JISQ15001・付属書・解説017(A.3.4.2.7 本人に連絡又は接触する場合の措置)

JISQ15001・付属書・解説018(A.3.4.2.8 個人データの提供に関する措置)

JISQ15001・付属書・解説019(A.3.4.2.9 匿名加工情報)

JISQ15001:2017の付属書を読むの第1回配信(全9回)

JISQ15001の付属書の解説をするシーズンスリーとして、付属書を対象としたビデを配信をしています。2020年4月12日現在、最初の9本を公開します。

○JISQ15001・付属書・解説001
第1回は、付属書の位置づけとツールとしてのチェックリストの説明、及び最初の項番「A.3.1.1 一般」についてお話ししています。

○JISQ15001・付属書・解説002
第2回は「A.3.2 個人情報保護方針」です。
旧規格では内部向け、外部向けという切り分けはなかったようですが今回から分けられています。ただし、内部向け、外部向けに別々に作れといっているわけではないので自然な対応で十分です。

○JISQ15001・付属書・解説003
第3回は「A.3.3 計画」です。
A3.3計画は7つの細項目で構成されています。
そのうちの「A.3.3.1 個人情報の特定」が最初のコンテンツです。
この計画では、「業務プロセスの整理」と「リスクの整理」が幾度となく出てきます。
管理策の主要テーマになります。

○JISQ15001・付属書・解説004
第4回は「A.3.3 計画(2)」です。
対応する項番は「A.3.3.2 法令,国が定める指針その他の規範」です。
「何を対象としたか」ではなく「どうやって決めたのか」が論点になるので注意してください。

○JISQ15001・付属書・解説005
第5回は「A.3.3 計画(3)」です。
対応する項番は「A.3.3.3 リスクアセスメント及びリスク対策」です。
個人情報保護マネジメントの中核となる活動です。
ここをおろそかにしているとマネジメントシステムの欠落を招くので最も重要な取り組みになります。全部を説明しきれませんがなるべくわかりやすく話をします。

○JISQ15001・付属書・解説006
第6回は「A.3.3 計画(4)」です。
対応する項番は「A.3.3.4 資源,役割,責任及び権限」です。
単に付属書の記載だけでなく規格本文とも対比して考える必要があります。
取り上げているのは「個人情報保護管理者」と「個人情報保護監査責任者」だけですが組織全体のことを配慮する必要があります。

○JISQ15001・付属書・解説007
第7回は「A.3.3 計画(5)」です。
対応する項番は「A.3.3.5 内部規程」です。
PMSで必要となる内部規定の種類が提示されます。
この名前の規定を作れといっているわけではないですが初めての時にはまずはこの名前で規定を作ることを進めます。
規定と名何か、規定に書くべき事項をどのように考えるかの指針を示しています。

○JISQ15001・付属書・解説008
第8回は「A.3.3 計画(6)」です。
対応する項番は「A.3.3.6 計画策定」です。
項番には教育計画と監査計画しか取り上げられていませんが、緊急時対応の(避難訓練のような)訓練計画や、その他関連した活動(例えばマネジメントレビューなど)もある程度年度計画を立てられるものがあります。規格要求事項の意図をくみ上げて考える必要があります。

○JISQ15001・付属書・解説009
第9回は「A.3.3 計画(7)」です。
対応する項番は「A.3.3.7 緊急事態への準備」です。
A3.3の最終項番になります。
緊急事態とは何かと云うことについては規格本文に定義がありますが、少しわかりにくいかも知れません。単純に「事件・事故」ととらえ、用意をどうして行くのか、ことが起きたらどうするのかを整理するという程度に捉えても良いでしょう。非常時だけでなく日常どのように気をつけているか、またリスクとどう関連付けるかなど考える範囲は広いです。

JISQ15001・9パフォーマンス評価 音声ガイド付き

JISQ15001の読み解きプロジェクトの一環です。
箇条9パフォーマンス評価
おそらくほとんどの中小企業ではやったことがないことかも知れません。
単に個人情報保護のための個別の施策をしていただけでは不十分であり、そのために必要なことが簡潔に記載されています。

■ テレワークがもたらすパンドラの箱

先日、LINEによる厚生労働省の調査があり、その結果が報告された。

テレワーク実行5% 厚労省LINEに2400万人回答
https://www.asahi.com/articles/ASN4472L7N44UBQU001.html

「「仕事はテレワークにしている」は5・6%にとどまり、」と記載があり、多くの報道では少ないことを焦点を当てている。

この数字は、新型コロナウイルスへの対策として実施しているかという文脈なのですでにテレワークを実施している数字は入っていないだろう。

私なども通常はスカイプなどの会議ですませられるものはそうしているので特に「テレワーク」と云うことは意識していないのでチェックは付けていない。

さて、回答者がすべてサラリーマンかというとそうでない人も混ざっているので数字を装丁することは難しいが、少し試算してみよう。

統計的な世界では「大数の法則」というのがあり、ある程度のサンプル数があれば全体にそれを適用しても良いと言う考え方がある。

LINEの利用者が8000万人と言われているのでそれを適用すると、今回のコロナウイルスの為にテレワークをしている人は、400万人と言うことになる。もっとも、主婦や学生なども含まれているはずなので、少々乱暴だが、仮に40%とすると160万人が新たにテレワークをしたことになる。

これはものすごい数になる。

○今まではどうだったのか

平成29年度テレワーク実態調査(平成30年3月)
http://www.mlit.go.jp/crd/daisei/telework/docs/29telework_jinko_jittai_gaiyo.pdf
によるとテレワークの精度がある企業が9%になっており、調査対象が限定的であるとしても一定程度の普及があることが分かる。
その業種は、情報通信が33.8%、技術サービスなどが27.0%であり、テレワークしやすい業種に偏っていることが分かる。

また、職種も管理職、営業職、研究職などが上位を占め、販売、保安、サービスなどは低いことからテレワークの向き不向きがあることが分かる。

メリットとしてあげられるのは、「自由に使える時間が増えた」「通勤時間が減った」「業務の効率が上がった」などがあげられている。

すべての企業や働く人にとってテレワークが向いているわけではないのだろうが、今回の騒ぎでテレワークを取り入れている企業が増え、社会のインフラが整備されると、働き方の選択肢が増える。

上記の新規に始めた人が160万人と云うことになるとこの数字は大きく変わるかも知れない。来年の統計を注視したい。

○変わりゆく未来

テレワークだけでなく、ITC活用が進むと今までは当たり前であったことが変わって行くかも知れない。

コロナで相次ぐ研修中止、今こそ考える「新人教育」の目的と6つのステップ
https://diamond.jp/articles/-/233581

いままでは普通にあった新入社員研修もオンライン研修や動画研修で実施しフォローをWeb会議などで実施できるようにする動きがある。

同じように、教育現場での動画配信、採用活動でのWeb活用と影響範囲は大きい。
同じ場所に集まると云うことは、時間も費用(交通費、宿泊費)も膨大なのでコスト負担が減って行くだろう。

もちろん、インフラの整備やコンテンツの整備、そして情報発信の専門家などの育成などの必要だろう。

それでも、いったんメリットが享受できることが分かった以上元に戻るのは難しいかも知れない。

現在、医療も非接触の診療を模索していると訊く。普及しない理由は、「ITを使いこなせない町医者の問題」「インフラの整っている大病院への集中による町医者の経営難」があるそうだ。相変わらずの本末転倒だが、いずれ変わってくるだろう。

どんなビジネスチャンスが巡ってくるだろう。
時間と場所に制約されない人材マネジメントが必要になる。

○大きくなる格差

「テレワークを導入する」と云っても簡単な話ではない。
単純に必要なリソースは以下のようになる。
・ファイル共有などを行うサーバー環境の構築
・セキュリティの確保
・テレワークさせるための通信環境の確保
・テレワークさせるためのハードウエア、ソフトウエアの提供
・社員のITに関するリテラシーの向上

こうした対応を中小企業がすべて用意するのは難しい。正直に言えばヒトモノカネが潤沢にない以上、中小企業がテレワークを実施するのは難しい。
結果としては、大企業の生産性は向上し、中小企業が取り残されることになる。

こうした格差は地域や業種にも出てくるだろう。

コロナ対応のテレワークに「格差」が生じている
https://toyokeizai.net/articles/-/342092

すべてを賛同できるわけではないが、以下の記事に示すように大企業と中小企業の格差は大きくなるに違いない。

「日本は生産性が低い」最大の原因は中小企業だ
https://toyokeizai.net/articles/-/339534

個人的には、中小企業の共同体をもっと効率的に運営できる制度の拡充と専門化の育成が必要になると思っている。

○不要になる管理職

企業間格差も問題ではあるが、企業内での格差も問題になる。

https://diamond.jp/articles/-/232997
隠れ「働かないおじさん」がテレワーク強制で次々あぶり出された理由

単純に「テレワーク」を強制し、Web会議で事を済ませてしまうと云うのは無理がある。
よく言われるのが、「会議は連絡する場所ではない」「聴くだけの人は会議に出席する必要が無い」と云うことなのだが、現実的にはできていない。これがWeb会議では議事録は「音声」にし、将来的には「文字おこしもAIで」と云うことになると、すべてが白日の下にさらされる。「サイレント」な出席者はいなくても良い。

それだけでなく、そもそも業務プロセスをテレワークに併せてチューニングしなければならない。それができないと、本来不要な人材の放置につながる。

「報連相」という言葉がある。かつて(私ではない)上司が「なんで事前に相談がないのだ」というと「貴方に相談しても解決することはない」「なんとかしろと言うだけなら貴方は要らない」と吐き捨てた輩がいる。

課長であるなら、「部下の動きを監視し、アウトパットに影響を与えそうな諸々のことを予見し対策を打つ」ことが必要だろう。アウトプットに何も影響を及ぼさないリーダーは不要だ。

ということが分かってしまう。本当に今の意思決定システム(部長がいて、課長がいて、主任がいると言う階層構造)が必要なのかを見極める必要がある。

○セーフティネットが必要

しかし、誰でも彼でもリモートワークができるわけではない。
今の様々な報道を見る限り、弱者への配慮が不足していると感じる

コロナ危機でも在宅勤務できない働き手を救え、動き出した人道企業
https://business.nikkei.com/atcl/NBD/19/world/00194/

人道的なベーシックインカムを考えてほしい。

2020/04/06

JISQ15001・8運用 音声ガイド付き

JISQ15001の読み解きプロジェクトの一環です。箇条8運用。英文ではOperationです。ISO9001に比べて短いので一回分でまとめています。

該当するパワポをご希望の方は、当サイトのお問い合わせからお願いします。

 

 

JISQ15001・7支援 音声ガイド付き

JISQ15001の読み解きプロジェクトの一環です。今回からパワポに直接音声を付けるようにしました。お問い合わせ先は、最後のスライドに提示しています。

パワポ自体に音声を付けてしまったためにファイルのサイズが大きくなりすぎました。

ご希望の方には公開していますのでお問い合わせください。

お問い合わせ

 

個人情報保護法への理解・オプトアウト 音声ガイド

プライバシーマークの取得のためには、マネジメントシステムの構築を行った後で審査を受ける。

さて、この審査ではたまに「オプトアウトはどうしています」といった質問が出る。コンプライアンスプログラムと行っていた時代にはあまり意識しない言葉なのだが、今回の個人情報保護法の改訂に伴い強く意識することが必要になる。

キーワードは「第三者への提供」になる。

簡単にまとめたものを下記に示す。

個人情報保護法への理解・オプトアウト

とはいえ、見ただけだとよくわかない無いかも知れないので音声ガイドを入れた版も作成したので参考にしてほしい。

 

■フェイクニュースに備える・自分で考えることの難しさ

https://blog.trendmicro.co.jp/archives/15789
「フェイクニュース」を見破るためには?

2017年の記事だが、その中に『現在のところ、「フェイクニュース」の攻撃手法に対し、一般のインターネット利用者が活用できる技術的対策はほとんどありません。』
とあり、状況が変わっていないのだろうなと感じる。

(関係の無い映像を入れたりや順番を変えるだけで情報操作が可能になる)

私が初めて衝撃を受けたのは湾岸戦争の際に流れた石油まみれの鳥の映像だ。
戦争の悲惨さではない。映像とは無関係にアメリカの戦争の正当さのナレーションが流れていたことだ。

後に、この映像の真偽については議論があったが、よく分からない。
私が言いたいのは、
・時間軸を入れ替えた映像を流すこと
・関係の無い地域や映像の意図的な選択をすること
で推論される結論を入れ替えることが可能なことだ。

そこに、嘘の情報を入れたりするとどうなるだろう。

テレビのニュースなどを見るときには、その映像は「いつ」の「どこか」と云うことには注意している。1ヶ月も前の映像をつかって現地報告などをしている放送局も見かける。

最近、自治体がAIを使ってあたかも実際にしゃべっているかのように多国語を操る市長のビデオを作成していた。「どうです自然に見えるでしょう」と自慢していたが、これは実際にはそうしゃべっていなくともそう見せる技術が浸透してきたことだ。

映像そのものが加工されるのが常識だとしたら、どうすれば良いのだろうか。

(ニュースソースを確認すること)

自分で確かめることを厭わないことが必要だろう。

例えば下記の記事があり、「歌舞伎町の風俗」と特定の地域をあげている。

https://news.tv-asahi.co.jp/news_society/articles/000180624.html
キャバクラやホストなど歌舞伎町の風俗で感染者多数[2020/04/01 12:11]

さて、このニュースソースは何だろう?
少し追いかけてみよう。

https://iwj.co.jp/wj/open/archives/471316
新型コロナウイルス感染者の感染源について「接客を伴う飲食の場で感染を疑う事例が多発」とバーなどの特定業種をあげたが、今の時点で爆発的増加の証拠はない!? ~3.30小池百合子 都知事 記者会見 2020.3.30

↓ 「接客を伴う飲食の場で感染を疑う事例が多発」で検索

https://www.nippon.com/ja/japan-data/h00663/
都市部5都府県で抜本的対策必要―政府専門家会議: 都道府県別の新型コロナウイルス感染者数(随時更新)

↓ 政府専門家会議: 都道府県別の新型コロナウイルス感染者数 で検索

https://www.mhlw.go.jp/content/10900000/000617992.pdf

この中でやっと該当する記述を見つけられれる。

下記の記載になる。

〇 このため、市民の皆様には、以下のような取組を徹底していただく必要がある。
・「3つの密」をできる限り避けることは、自身の感染リスクを下げるだけでなく、多くの人々の重症化を食い止め、命を救うことに繋がることについての理解の浸透。
・今一度、「3つの密」をできる限り避ける取組の徹底を図る。
・また、人混みや近距離での会話、特に大きな声を出すことや歌うことを避けていただ
く。
・さらに、「3つの密」がより濃厚な形で重なる夜の街において、
①夜間から早朝にかけて営業しているバー、ナイトクラブなど、接客を伴う飲食店業への出入りを控えること。
②カラオケ・ライブハウスへの出入りを控えること。

この中では特定業種については記述があるが「歌舞伎町」の文字は出てこない。
情報が伝搬する中で出てきたのだろう。少なくとも専門家会議では行っていないと思われる中であたかも彼らが行ったかのような印象操作は好ましくない。

もちろん上記の情報だけで結論づけるのは正しくない。しかし自分で調べてみる習慣が必要だ。そうしないと、朝三暮四を地で行く猿になりかねない。

■ 同一労働同一賃金のもたらすこと

新型コロナウイルスでの業績悪化を理由に雇い止めが問題になっていそうだ。
そうした中で、「同一労働同一賃金」に関する法律が施行される。

単純に正規雇用の社員とへ正規雇用の社員の待遇格差がなくなるかというとそうは簡単には行かないのではないのかと思う。

コロナに「同一労働同一賃金」対応が追い打ち、雇用市場は混乱必至
https://diamond.jp/articles/-/233392

『2019年12月末、大手派遣業者の名古屋営業所に、かねて派遣契約の更改を打診していた市内の工業用機器輸入・設備施工業者の総務部長から電話が入った。緊張しつつ応対した担当者に告げられた内容は、「法の趣旨は理解できるものの、現在の当社には派遣社員の時給を6%引き上げてまで雇用する余裕はないため、年度内中に契約を解除したい」というものだった。』で始まるこの記事は、非正規社員の差別を当然としている企業の姿勢が浮かび上がる。

<私が悪質な経営者なら>
当面の課題が人件費ならば、下記のような発想が起きかねない

手当をすべて廃止し基本給と賞与だけにして、非正規社員を正規社員並みに引き上げる。
ただし、この時二つのパターンがある。
その1
移行原資がないことを理由に正規社員を順次早期退職させ、非正規社員を大半にする。
その2
非正規社員の給与水準を上げ、その分正規社員の給与を下げる。下げ幅はトータル原資を変えないように調整する。

業績悪化の調整弁として非正規社員の解雇を使うことを考えると、正規社員でいさせる理由がなくなるので順次正規社員をクビにして行く。
仕事自体は正規社員でなくてもできるように業務プロセスを変えて行く。

会社が出すお金を増やすことができない以上、一時的にお金が出ていってもそれを取り戻す策を講じるだろう。

もっとも、これはそんなには簡単ではなく訴訟リスクが伴う。

日本郵便(非正規格差)事件
https://www.sankei.com/affairs/news/181213/afr1812130040-n1.html

バイト職員に賞与認める 大阪高裁、原告逆転勝訴
https://www.nikkei.com/article/DGXMZO41361170V10C19A2AC8000/

嘱託社員の雇用継続命じる 博報堂雇い止め訴訟
https://www.nikkei.com/article/DGXMZO56883160X10C20A3000000/

<本来考えるべき事柄>

非正規社員を安い労働力、いつでも切れる都合の良い労働力という発想自体が賛成できない。そんなことを考えるから、「同一労働・同一賃金」を否定的にしか捉えられなくなる。同じ問題は外国人の技能実習生の不当な利用やいざというときに日本に来てくれなくなるという問題、定着率の低さに表れてくる。

まず最初に考えなくてはいけないのは、従来の職能型の給与(何ができるのかの未来への期待)ではなく、現にどんな仕事をしてもらっているのか(現在行っている仕事の質)で給与を支払う人事制度を構築するべきだ。それは単に給与だけでなく育成や再配置なども含む人事戦略になる。これが無いと従来のように、育つままに任せる野放図な経営になる。

2番目は多様な働き方を支援するべきだ。同一労働・同一賃金であれば会社に入ってくるのも出て行くのも、またどの程度の貢献度を設定するのも「働く人」に裁量権を与えても労務コストはコントロール可能だ。辞めやすい会社、再び入りやすい会社にすべきだろう。

ただし、抗したことを実現するためには、働く側も「正規社員」にこだわらず自分のキャリアを形成する努力が求められる。