コンサルティングのやり方
新規取得を例にコンサルティングの方法を説明いたします。
事業概要確認
- 第一に(一日目に)、2時間ほどかけて、事業者様で扱っている全ての事業の概要を確認いたします。
- そのうえで、個人情報の取扱いのある事業につきましては、取り扱う個人情報の取得から廃棄までの一連の情報の流れを確認いたします。
- 他に、内部事業として、採用、給与支払い、マイナンバー、ストレスチェックについての個人情報取得から廃棄までの一連の情報の流れ及び個人情報漏えい等への安全対策を確認いたします。
- 上記の情報を確認してPMS運用の各項目に対応いたします。
主要な作業一覧
主要な作業と作業内容及びご支援方法の概要を下表に一覧します。
① 個人情報管理台帳の作成
事業者様内部あるいは委託元等から取得している(事業者様の取り扱っている)個人情報を特定いたします。
② リスク分析
事業者様の事業内容に即したリスク分析の雛型をご提供し、事業者様と協力してリスク分析作業を推進します。
関連して、安全管理での確認項目を事業者様とご相談して決定し、チェックリストを作成します。
関連して、安全管理での確認項目を事業者様とご相談して決定し、チェックリストを作成します。
【補記】
個人情報保護法及びJIS規格において、個人情報の漏えい、滅失等の防止に対する事業者様の安全管理対策が求められています。ただし、対策の程度は各事業者様に委ねられています。
③ 法令等一覧の整理
事業者様が行っている事業に関係する法令を特定します。
④ 個人情報取扱同意書の取得
直接個人情報を取得する場合(従業者の入社時あるいは事業者様が購入者から住所、氏名、電話番号等を取得時等)に、本人から同意を得るために使用する同意書を作成します。作成に当たっては、ご提供する雛型を個人情報の利用実態に合わせる方法で作成します。
【補記】
個人情報保護法の改正により、同意書に記載される利用目的が具体的に説明することが強く求められるようになると予想されます。
今後(今後の)の確定的な対応につきましては、2021年4月頃発行予定のガイドラインによります。
⑤ 安全管理
安全管理用の記録(入退室記録、鍵や媒体の貸し出し管理台帳、システム利用者とその権限の一覧表等)の様式(ベースとなる雛型をご提供します)を事業者様での運用に合わせて定め、実際に運用を開始します。
⑥ 従業者の監督
従業者の方から入社時等に提出をお願いする「誓約書」を雛型から作成し、全従業者に署名をお願いします。
⑦ 委託先の監督
事業の一連の流れをお伺いして、委託先管理台帳を作成します。委託先管理台帳上の個人情報取扱い業務委託先を評価します。委託先と委託した個人情報の非開示契約を締結します。
非開示契約を締結できない場合には代替策を策定し、実施します。
非開示契約を締結できない場合には代替策を策定し、実施します。
⑧ 従業者に対する教育
全従業者に対し、最低でも年1回を実施する必要があります。
教材には下記項目を含める必要があります。
・個人情報保護方針
・個人情報保護の重要性と利点
・役割と責任
・違反した際に予想される結果
教材には下記項目を含める必要があります。
・個人情報保護方針
・個人情報保護の重要性と利点
・役割と責任
・違反した際に予想される結果
⑨ 公表文書の作成と公表
下記の公表文書を作成し、ホームページに掲載する等の公表を行います。
(1)個人情報保護方針
(2)個人情報に関する公表事項
直接書面以外で取得する個人情報の利用目的と保有個人データに関する公表事項を記載します。
(1)個人情報保護方針
(2)個人情報に関する公表事項
直接書面以外で取得する個人情報の利用目的と保有個人データに関する公表事項を記載します。
⑩ 運用の確認
PMSの運用状況を定期的に自主点検します。
まず、雛型を修正して事業者様用の「運用確認チェックリスト」を定めます。
「運用確認チェックリスト」を使って各部門で自主点検し、その結果を集計してトップマネジメントに報告します。
まず、雛型を修正して事業者様用の「運用確認チェックリスト」を定めます。
「運用確認チェックリスト」を使って各部門で自主点検し、その結果を集計してトップマネジメントに報告します。
⑪ 監査
PMSの運用状況を定期的に第三者によって点検します。
まず、雛型を修正して事業者様用の「監査チェックリスト」を定めます。
「監査チェックリスト」を使って全部門を各監査員点検し、その結果を集計してトップマネジメントに報告します。
まず、雛型を修正して事業者様用の「監査チェックリスト」を定めます。
「監査チェックリスト」を使って全部門を各監査員点検し、その結果を集計してトップマネジメントに報告します。
⑫ マネジメントレビュー
少なくとも年1回は、運用の確認及び監査の結果を含めてPMSの運用状況をトップマネジメントに報告してレビューを受けます。
⑬ 是正処置
不適合(監査指摘、苦情等で見つかる)に対し、不適合の解消と再発防止の観点から改善を行います。
プライバシーマーク審査で指摘された事項への改善も是正処置に含まれます。
プライバシーマーク審査で指摘された事項への改善も是正処置に含まれます。