プライバシーマークの取得の前提となる個人情報保護法に目を通しましょう。JISQ15001の付属書との対比で、第4章の個人情報取扱業者の義務の部分です。3回に分けています。
TEL.048-925-5056
〒340-0023 埼玉県草加市谷塚町734-1-11-304
プライバシーマークの取得の前提となる個人情報保護法に目を通しましょう。JISQ15001の付属書との対比で、第4章の個人情報取扱業者の義務の部分です。3回に分けています。
JISQ15001:2017の付属書を読むというプロジェクトの第三回目の配信をしました。
下記の参照URLをリスとします。
JISQ15001・付属書・解説020A 3 4 3 1 正確性の確保
JISQ15001・付属書・解説021A 3 4 3 2 安全管理措置
JISQ15001・付属書・解説022A 3 4 3 3 従業者の監督
JISQ15001・付属書・解説023A 3 4 3 4 委託先の監督
JISQ15001・付属書・解説024A 3 4 4 1 個人情報に関する権利
JISQ15001・付属書・解説025A 3 4 4 2 開示等の請求に応じる手続き
JISQ15001・付属書・解説026A 3 4 4 3 保有個人データに関する事項の周知など)
JISQ15001・付属書・解説027A 3 4 4 4 保有個人データの利用目的の通知
JISQ15001・付属書・解説028A 3 4 4 5 保有個人データの開示
JISQ15001・付属書・解説029A 3 4 4 6 保有個人データの訂正、追加または削除
JISQ15001・付属書・解説030A 3 4 4 7 保有個人データの利用または提供の拒否権
JISQ15001・付属書・解説031A 3 4 5 認識
JISQ15001・付属書・解説032A 3 5 1 文書化した情報の範囲
JISQ15001・付属書・解説033A 3 5 2 文書化した情報(記録を除く)の管理
JISQ15001・付属書・解説034A 3 5 2 文書化した情報のうち記録の管理
JISQ15001・付属書・解説035A 3 6 苦情及び相談への対応
JISQ15001・付属書・解説036A 3 7 1 運用の確認
JISQ15001・付属書・解説037A 3 7 2 内部監査
JISQ15001・付属書・解説038A 3 7 3 マネジメントレビュー
JISQ15001・付属書・解説039A 3 8 是正処置
JISQ15001を読むのテーマでの第1回ビデオ作成を終わって
以上
JISQ15001:2017を読み解くプロジェクトのシーズン2の最後になります。
改善というのを単独の箇条ではなく、全体の中での位置づけを意識して考える必要があります。その解説になります。
プライバシーマークの取得のためには、マネジメントシステムの構築を行った後で審査を受ける。
さて、この審査ではたまに「オプトアウトはどうしています」といった質問が出る。コンプライアンスプログラムと行っていた時代にはあまり意識しない言葉なのだが、今回の個人情報保護法の改訂に伴い強く意識することが必要になる。
キーワードは「第三者への提供」になる。
簡単にまとめたものを下記に示す。
とはいえ、見ただけだとよくわかない無いかも知れないので音声ガイドを入れた版も作成したので参考にしてほしい。
JISQ15001:2017の序文から用語の定義までを読みながらいろいろ確認したのが第1シーズンになりますが、第2シーズンでは具体的な要求事項になる「4 組織の状況」から順次、読み合わせて行きます。単純に読んでみることも必要なのですが、やはり若干の説明文書も必要なので随時添付します。
JISQ15001を読む2(4 組織の状況)
JISQ15001を読むの第2シーズンになります。まずは「4 組織の状況」です。
JISQ15001を読む2(5.1 リーダーシップ及びコミットメント)
JISQ15001を読むの第2シーズンになります。「5 リーダーシップの前半」です。
JISQ15001を読む2(5.2 方針)
JISQ15001を読むの第2シーズンになります。「5 リーダーシップの後半」です。
JISQ15001を読む2(6 計画について全般)
JISQ15001を読むの第2シーズンになります。「6 計画」の全般的なことです。
JISQ15001を読む2(6.1.1 一般及び6.1.2 個人情報保護陸アセスメント)
JISQ15001を読むの第2シーズンになります。「6 計画の前半」です。
JISQ15001を読む2(6.1.3 個人情報保護リスク対応から6.2 個人情報保護目的及びそれを達成するための計画策定、まで)
JISQ15001を読むの第2シーズンになります。「6 計画の後半」です。
JIQ15001を読む シーズン1を終えて
JISQ15001の第1シーズンについてはこちら
↓
皆さんこんにちは
中野ソフトウエアサービス代表の中野康範です。
さて、「JISQ15001を読む」の第一シーズン。全10回(補足が一回なのでシリーズとしては9回)にわたって、実際にJISQ15001を声に出して読みながら、少し感じたことを補足すると云うことをしてきました。
原稿は無しで、その場でいきなり読んで話すと云うことを行うと、自分の引き出しを自然に出せる効果はあるものの、やはり「あれっ」と思ったことに詰まることもあります。ですので最後の3回は、事前に気になるところをメモにしてから始めました。
やはり事前の準備は必要かなと感じた次第です。
さて、時間ですが、最初の第3回までは10分程度でしたが、その後は5分程度の動画にしています。10分は話す方としては短いのですが、再生すると長いと感じてしまいます。
この動画の主旨は、人が読んでいるところを聞きながら自分もトレースするというのが目的ですので、ある程度の手軽さが必要だとの判断です。
第1シーズンは、序文から適用範囲、そして「3 用語及び定義」までです。
要求事項の本文でないためにないがしろにされがちですが、やはり重要なことが記載されています。
プライバシーマークの為のPMSをどう考えるのかの指針になりうる部分ですので大切にしてください。
さて、第2シーズンはいよいよ本文です。
「4 組織の状況」は、マネジメントシステムを有効に動かすという点では、そもそも自分たちはどのような状況に置かれているのかを認識しなければなりません。それはどのような要素で構築されているのか。
規格本文で、それが明らかになることを期待しましょう。
プライバシーマーク取得に当たってはJISQ15001:2017について一度は読んでおいてほしいところですが、なかなか難解な所もあります。
まずは声を出して読んでみることも必要なのですが、一人では大変だろうなと思い、私が読み上げてみます。
参考にしてください。
(第1回) 2020-03-04
(第2回) 2020-03-05
(第1回の補足:バリューチェーンとユースケース)
(第3回 用語「リスク」まで)
JISQ15001を読む(第4回 3 10 能力 から 3 13 パフォーマンス)
JISQ15001を読む(第5回 3 14 監視 から 3 19 是正処置)
JISQ15001を読む(第6回 3 20 継続的改善 から 3 25 管理策)
JISQ15001を読む(第7回 3.26 判断基準~3.32 測定方法)
JISQ15001を読む(第8回 3.33 対象物~3.38 リスク対応)
JISQ15001を読む(第9回 3.39 本人~3.46 リスク所有者)
(第1シーズンはここまで)
先日、プライバシーマークの費用の相場を聞かれた。
コンサルタントによるけど、まぁ当社に頼むとしたらと云うことでまとめたので公開します。
新型コロナウイルスは働き方改革へも影響をしているのだろう。
https://www3.nhk.or.jp/news/html/20200218/k10012289831000.html
テレワークや時差出勤 企業で広がる 新型ウイルス感染予防で
2020年2月18日
少し長くなるが、引用する。
新型コロナウイルスの感染拡大を防ごうと、企業の間で職場に出勤せずに在宅などで働くテレワークや公共交通機関のラッシュを避ける時差出勤を呼びかける動きが広がっています。
▽NTTが、グループ各社のおよそ20万人の従業員にテレワークや時差出勤を呼びかけ、▽東芝は国内のおよそ8万人の社員に時差出勤を呼びかけるとともに、1万人以上がテレワークで働けるよう通信回線の容量を増やします。
▽携帯大手のソフトバンクは全国およそ1万7000人の全社員に、▽大手商社の双日も東京と大阪の社員およそ2000人に、時差出勤を呼びかけました。
▽武田薬品工業は18日から国内のグループの従業員およそ5500人に対し、可能なかぎりテレワークや時差出勤をするよう指示するほか、▽新生銀行も18日からグループのおよそ5400人の社員に可能なかぎりテレワークを行うよう呼びかけます。
テレワークや時差出勤は、働き方の見直しや東京オリンピック・パラリンピック期間中の交通の混雑を緩和しようと制度を導入する企業が増えていました。
新型コロナウイルスの感染が各地に広がる中、大勢の人が集まる場所を少しでも避けられるよう、社員に利用を呼びかける動きが出ています。
大手の企業の呼びかけに続いて中堅・中小企業などにも感染防止に向けた対応が広がる可能性があります。
(ここまで)
理由はともかく、働き方の選択肢が多様化することは望ましいと考えている。とはいえ「テレワーク」と叫べば、それが定着する訳ではない。
「新型コロナウイルスが怖いから会社に来るな」は無責任な発言になるので注意が必要だ。
現時点で考えられる課題を列記する。
(1)業務プロセスの見直し
一カ所に集まり業務を行うことを変えて行くことになる。当然業務プロセスが変わるだろう。対象は、企画やプログラミング、設計開発、場合によっては総務・人事なども対象となるかもしれない。
もし、業務プロセスを変えないでテレワークが可能ならば、そもそも必要のない出勤を強要していると云うことになる。企業が競争力向上に全く取り組んでいないことの証左だろう。
テレワークをすることにより、生産性向上につなげるように業務プロセスの再設計をすべきである。例えば、会議室などを予約しなくても適時にコミュニケーションを行う環境を活用することで意思決定のスピードを上げるなどは簡単に思いつくことだろう。工場や販売の現場などにカメラを設置し、コンサルティング的な管理体制の確立なども考えられる。そこでは、マネジメントプロセスも変わるだろう。
(2)インフラの整備
「出社に及ばず」で休暇ならいざ知らず、「仕事をしなさい」と云うことであれば、仕事をするための環境の構築が必要になる。最低限でも以下が必要であろう。
・必要文書へのアクセス
・関係者とのコミュニケーションツール
いずれもIT関連の技術と無縁ではない。はたして、従業員の各人の家にはその環境はそろっているのだろうか。
誰でも、ある程度の性能のパソコンを保有し、WiFi環境を持ち、業務に必要なソフトウエアを保有しているわけではない。これを会社側が用意しないのであれば、社員に負担を強いることになる。
上記の記事でも「テレワークで働けるよう通信回線の容量を増やします。」とあるように、仕事で使用する回線が安定するようにしなければならない。
リモートデスクトップといいながら、サーバーへのアクセスが遅延したり、アクセスが遅ければ「仕事にならない」事態も引き起こす。
(3)ガバナンスの整備・情報セキュリティへの対応
すべてを書き切れないのでサンプルとして記述してみよう。
・必要文書へのアクセス
実現方法は様々なレベルで考えられる。
最も原始的な方法は、社内のデータベースにアクセス可能にすることだろう。USBなどで持ち帰るのは現在は許されるモノではない。
しかし、通信回線の整備、サーバーの整備とともに、ルール作りが必要になる。
パスワードなどは、個々人に管理させるのではなく、管理者が割り当てるなどのことも必要になるかもしれない。
情報管理についての教育や労働契約の見直しなども必要かもしれない。
時間外のアクセスの禁止、コピーの禁止なども必要になる。
・関係者とのコミュニケーションツール
情報の伝達には伝統的にメールを使うことになるだろう。しかし、関係のない人への誤送信は今も昔も危険な事態を引き起こすことには違いない。メールについては、必ず本社サーバーを通すようにし、遅延発信で注意喚起を促すことが一般的になるだろう。
テレビ会議なども活用することになるが、その会議内容を記録するのであれば、個人のプライバシーについては発言しないようにさせるルール作りが必要になる。
情報セキュリティの問題は広範囲にかかわってくる。クラウドの活用が一般的になれば、情報漏洩の穴は増えるばかりだ。マネジメントの設計範囲は広がって行く。
(4)人事・労務管理の問題
テレワークが可能な職種とそうでない職種ができたときに、会社に来る時間というのはどう理解したら良いのだろう。処遇の程度に偏りが発生することになりかねない。
また、テレワークにより仕事の質が変わるかもしれない。
管理者としての部下育成や能力向上への関わり方、業務の進捗管理の仕方、などはすぐに思いつく。
こうした結果、今までの出社してから退社するまでのタイムカードによる管理とは異なる管理システムが必要になる。
職務定義の見直し、賃金制度の見直し、キャリアパスの見直しなど多岐にわたる。
人事や労務管理の見直しを戦略との整合性の中で進める必要がある。
(5)新たな可能性
さて、通勤が必要ないと云うことは、働き方について新たな可能性を持ち込む。
・交通弱者への配慮
車椅子の方や、視覚障害の方はなかなか出社することは難しい。こうした方が働ける環境を作れるかもしれない。視覚障害は難しいと云うが、音声だけでできる仕事を作り出すことは可能だろう。
・世界の専門化の力を借りる
テレワークの対象を自社の社員に限定する理由はない。プロジェクト単位で専門化を招聘し事業を進めることも可能になるはずだ。こうしたことは、社員の採用計画も左右するかもしれない。
テレワークが浸透するきっかけにはなっていってほしいが、これが当たり前の時代になるためにはまだハードルは高い。
中小企業にとっては、新たにIT投資はできない。
とはいえ、生産性向上や業務の効率化はいつも頭痛の種の身としては考えても善いテーマだろう。
何も全部をテレワークにしろと行っているのではない。既存の技術の枠内でテレワークを実現したとして、注意すべきことをまとめてみたので参考のために。