個人情報保護法への理解・オプトアウト 音声ガイド

プライバシーマークの取得のためには、マネジメントシステムの構築を行った後で審査を受ける。

さて、この審査ではたまに「オプトアウトはどうしています」といった質問が出る。コンプライアンスプログラムと行っていた時代にはあまり意識しない言葉なのだが、今回の個人情報保護法の改訂に伴い強く意識することが必要になる。

キーワードは「第三者への提供」になる。

簡単にまとめたものを下記に示す。

個人情報保護法への理解・オプトアウト

とはいえ、見ただけだとよくわかない無いかも知れないので音声ガイドを入れた版も作成したので参考にしてほしい。

 

JISQ15001を読む(第2シーズン)

JISQ15001:2017の序文から用語の定義までを読みながらいろいろ確認したのが第1シーズンになりますが、第2シーズンでは具体的な要求事項になる「4 組織の状況」から順次、読み合わせて行きます。単純に読んでみることも必要なのですが、やはり若干の説明文書も必要なので随時添付します。

 

JISQ15001を読む2(4 組織の状況)

JISQ15001を読むの第2シーズンになります。まずは「4 組織の状況」です。

参考資料:JISQ15001・4組織の状況

 

JISQ15001を読む2(5.1 リーダーシップ及びコミットメント)

JISQ15001を読むの第2シーズンになります。「5 リーダーシップの前半」です。

JISQ15001を読む2(5.2 方針)

JISQ15001を読むの第2シーズンになります。「5 リーダーシップの後半」です。

参考資料:JISQ15001・5リーダーシップ

 

JISQ15001を読む2(6 計画について全般)

JISQ15001を読むの第2シーズンになります。「6 計画」の全般的なことです。

 

JISQ15001を読む2(6.1.1 一般及び6.1.2 個人情報保護陸アセスメント)

JISQ15001を読むの第2シーズンになります。「6 計画の前半」です。

 

JISQ15001を読む2(6.1.3 個人情報保護リスク対応から6.2 個人情報保護目的及びそれを達成するための計画策定、まで)

JISQ15001を読むの第2シーズンになります。「6 計画の後半」です。

参考資料:JISQ15001・6計画

 

JISQ15001を読むの第1シーズンを終えて

JIQ15001を読む シーズン1を終えて

 

JISQ15001の第1シーズンについてはこちら

JISQ15001を読む

 

皆さんこんにちは
中野ソフトウエアサービス代表の中野康範です。

さて、「JISQ15001を読む」の第一シーズン。全10回(補足が一回なのでシリーズとしては9回)にわたって、実際にJISQ15001を声に出して読みながら、少し感じたことを補足すると云うことをしてきました。

原稿は無しで、その場でいきなり読んで話すと云うことを行うと、自分の引き出しを自然に出せる効果はあるものの、やはり「あれっ」と思ったことに詰まることもあります。ですので最後の3回は、事前に気になるところをメモにしてから始めました。

やはり事前の準備は必要かなと感じた次第です。

さて、時間ですが、最初の第3回までは10分程度でしたが、その後は5分程度の動画にしています。10分は話す方としては短いのですが、再生すると長いと感じてしまいます。

この動画の主旨は、人が読んでいるところを聞きながら自分もトレースするというのが目的ですので、ある程度の手軽さが必要だとの判断です。

第1シーズンは、序文から適用範囲、そして「3 用語及び定義」までです。
要求事項の本文でないためにないがしろにされがちですが、やはり重要なことが記載されています。
プライバシーマークの為のPMSをどう考えるのかの指針になりうる部分ですので大切にしてください。

さて、第2シーズンはいよいよ本文です。
「4 組織の状況」は、マネジメントシステムを有効に動かすという点では、そもそも自分たちはどのような状況に置かれているのかを認識しなければなりません。それはどのような要素で構築されているのか。

規格本文で、それが明らかになることを期待しましょう。

 

 

JISQ15001を読む

プライバシーマーク取得に当たってはJISQ15001:2017について一度は読んでおいてほしいところですが、なかなか難解な所もあります。

まずは声を出して読んでみることも必要なのですが、一人では大変だろうなと思い、私が読み上げてみます。

参考にしてください。

(第1回) 2020-03-04

(第2回) 2020-03-05

(第1回の補足:バリューチェーンとユースケース)

(第3回 用語「リスク」まで)

JISQ15001を読む(第4回 3 10 能力 から 3 13 パフォーマンス)

JISQ15001を読む(第5回 3 14 監視 から 3 19 是正処置)

JISQ15001を読む(第6回 3 20 継続的改善 から 3 25 管理策)

JISQ15001を読む(第7回 3.26 判断基準~3.32 測定方法)

 

JISQ15001を読む(第8回 3.33 対象物~3.38 リスク対応)

 

JISQ15001を読む(第9回 3.39 本人~3.46 リスク所有者)

 

(第1シーズンはここまで)

 

 

《PMSの視点で見たテレワーク時代への課題》

新型コロナウイルスは働き方改革へも影響をしているのだろう。

https://www3.nhk.or.jp/news/html/20200218/k10012289831000.html
テレワークや時差出勤 企業で広がる 新型ウイルス感染予防で
2020年2月18日

少し長くなるが、引用する。

新型コロナウイルスの感染拡大を防ごうと、企業の間で職場に出勤せずに在宅などで働くテレワークや公共交通機関のラッシュを避ける時差出勤を呼びかける動きが広がっています。

▽NTTが、グループ各社のおよそ20万人の従業員にテレワークや時差出勤を呼びかけ、▽東芝は国内のおよそ8万人の社員に時差出勤を呼びかけるとともに、1万人以上がテレワークで働けるよう通信回線の容量を増やします。

▽携帯大手のソフトバンクは全国およそ1万7000人の全社員に、▽大手商社の双日も東京と大阪の社員およそ2000人に、時差出勤を呼びかけました。

▽武田薬品工業は18日から国内のグループの従業員およそ5500人に対し、可能なかぎりテレワークや時差出勤をするよう指示するほか、▽新生銀行も18日からグループのおよそ5400人の社員に可能なかぎりテレワークを行うよう呼びかけます。

テレワークや時差出勤は、働き方の見直しや東京オリンピック・パラリンピック期間中の交通の混雑を緩和しようと制度を導入する企業が増えていました。

新型コロナウイルスの感染が各地に広がる中、大勢の人が集まる場所を少しでも避けられるよう、社員に利用を呼びかける動きが出ています。

大手の企業の呼びかけに続いて中堅・中小企業などにも感染防止に向けた対応が広がる可能性があります。

(ここまで)

理由はともかく、働き方の選択肢が多様化することは望ましいと考えている。とはいえ「テレワーク」と叫べば、それが定着する訳ではない。
「新型コロナウイルスが怖いから会社に来るな」は無責任な発言になるので注意が必要だ。

現時点で考えられる課題を列記する。

(1)業務プロセスの見直し
一カ所に集まり業務を行うことを変えて行くことになる。当然業務プロセスが変わるだろう。対象は、企画やプログラミング、設計開発、場合によっては総務・人事なども対象となるかもしれない。
もし、業務プロセスを変えないでテレワークが可能ならば、そもそも必要のない出勤を強要していると云うことになる。企業が競争力向上に全く取り組んでいないことの証左だろう。

テレワークをすることにより、生産性向上につなげるように業務プロセスの再設計をすべきである。例えば、会議室などを予約しなくても適時にコミュニケーションを行う環境を活用することで意思決定のスピードを上げるなどは簡単に思いつくことだろう。工場や販売の現場などにカメラを設置し、コンサルティング的な管理体制の確立なども考えられる。そこでは、マネジメントプロセスも変わるだろう。

(2)インフラの整備
「出社に及ばず」で休暇ならいざ知らず、「仕事をしなさい」と云うことであれば、仕事をするための環境の構築が必要になる。最低限でも以下が必要であろう。
・必要文書へのアクセス
・関係者とのコミュニケーションツール
いずれもIT関連の技術と無縁ではない。はたして、従業員の各人の家にはその環境はそろっているのだろうか。
誰でも、ある程度の性能のパソコンを保有し、WiFi環境を持ち、業務に必要なソフトウエアを保有しているわけではない。これを会社側が用意しないのであれば、社員に負担を強いることになる。
上記の記事でも「テレワークで働けるよう通信回線の容量を増やします。」とあるように、仕事で使用する回線が安定するようにしなければならない。

リモートデスクトップといいながら、サーバーへのアクセスが遅延したり、アクセスが遅ければ「仕事にならない」事態も引き起こす。

(3)ガバナンスの整備・情報セキュリティへの対応
すべてを書き切れないのでサンプルとして記述してみよう。
・必要文書へのアクセス
実現方法は様々なレベルで考えられる。
最も原始的な方法は、社内のデータベースにアクセス可能にすることだろう。USBなどで持ち帰るのは現在は許されるモノではない。
しかし、通信回線の整備、サーバーの整備とともに、ルール作りが必要になる。
パスワードなどは、個々人に管理させるのではなく、管理者が割り当てるなどのことも必要になるかもしれない。
情報管理についての教育や労働契約の見直しなども必要かもしれない。
時間外のアクセスの禁止、コピーの禁止なども必要になる。
・関係者とのコミュニケーションツール
情報の伝達には伝統的にメールを使うことになるだろう。しかし、関係のない人への誤送信は今も昔も危険な事態を引き起こすことには違いない。メールについては、必ず本社サーバーを通すようにし、遅延発信で注意喚起を促すことが一般的になるだろう。
テレビ会議なども活用することになるが、その会議内容を記録するのであれば、個人のプライバシーについては発言しないようにさせるルール作りが必要になる。

情報セキュリティの問題は広範囲にかかわってくる。クラウドの活用が一般的になれば、情報漏洩の穴は増えるばかりだ。マネジメントの設計範囲は広がって行く。

(4)人事・労務管理の問題
テレワークが可能な職種とそうでない職種ができたときに、会社に来る時間というのはどう理解したら良いのだろう。処遇の程度に偏りが発生することになりかねない。
また、テレワークにより仕事の質が変わるかもしれない。
管理者としての部下育成や能力向上への関わり方、業務の進捗管理の仕方、などはすぐに思いつく。
こうした結果、今までの出社してから退社するまでのタイムカードによる管理とは異なる管理システムが必要になる。
職務定義の見直し、賃金制度の見直し、キャリアパスの見直しなど多岐にわたる。
人事や労務管理の見直しを戦略との整合性の中で進める必要がある。

(5)新たな可能性
さて、通勤が必要ないと云うことは、働き方について新たな可能性を持ち込む。
・交通弱者への配慮
車椅子の方や、視覚障害の方はなかなか出社することは難しい。こうした方が働ける環境を作れるかもしれない。視覚障害は難しいと云うが、音声だけでできる仕事を作り出すことは可能だろう。
・世界の専門化の力を借りる
テレワークの対象を自社の社員に限定する理由はない。プロジェクト単位で専門化を招聘し事業を進めることも可能になるはずだ。こうしたことは、社員の採用計画も左右するかもしれない。

テレワークが浸透するきっかけにはなっていってほしいが、これが当たり前の時代になるためにはまだハードルは高い。
中小企業にとっては、新たにIT投資はできない。
とはいえ、生産性向上や業務の効率化はいつも頭痛の種の身としては考えても善いテーマだろう。
何も全部をテレワークにしろと行っているのではない。既存の技術の枠内でテレワークを実現したとして、注意すべきことをまとめてみたので参考のために。

➡ テレワークとPMS

プライバシーマークの審査の変遷

2020年1月9日、10日に、かつてPMS構築を支援したお客さん、これからPMSを取得したいというお客さん、QMSの支援をしているコンサルタント、戦略課題をHRMで解決しようとしているコンサルタントと話をする機会を得た。

情報交換をしてよかった。コンサルティングの方針も定まってきた。一方でそうした人たちと話をしていると奇怪な都市伝説的なことが浮かび上がってきた。 順不同なのだが、少し気が付いたことを記載してゆく

この10年間の変化

プライバシーマークの取得支援を初めて担ったのは、2005年ごろだったと思う。その時には、業務分析から業務マニュアルの作成、規定類の整備や申請、最初の現地調査の立ち合いなどを行った。

ISO9001の審査員になるきっかけは、PMSの受審をしていた時の審査員の態度に不満を持ったからだ。JISQ15001に書いていないことを指摘してきた上に、勝手に立ち入り禁止エリアまで入ってきてロッカーを開けたりしていた。こうした無礼な行為は審査員としてはとんでもない。

「今はどうなの?」と聞いたら今ではそういう審査員はほとんどいなくなったとのこと。また、かつては、彼らの都合で審査の終了時間を勝手に延長していたが、今では事前に決められた時間で終了するとのこと。 私の考える「当たり前」の審査になっていると安心した。

もっとも、審査員によりいうことが違うことがあり、対応の苦慮することはいまだに残っているという。管理資料はあくまでも組織側が管理しやすいように作っているのにもかかわらず、自分たちが審査しやすい資料の作成を求める審査員がいるらしい。審査員としての資質が疑われる者の排除が進めばよいのだが。