プライバシーマークの規格改訂≪2020年8月以降の審査で必要なこと≫

プライバシーマークの規格改訂対応に追われている担当者様も多いことでしょう。

本日はプライバシーマークの規格改訂で「やるべきこと」を解説したいと思います。

その前に前提となるスケジュールの確認です。

2020年7月末までは「移行措置期間」となっています。

この期間は新審査基準で審査が行われますが、新規格に対して不足している箇所があったとしても「指摘事項」とはなりません。

「継続的改善事項に準ずる指摘」となり、次回の更新審査までに対応しておくことになります。

2020年8月以降の審査は完全に新規格での審査となり、不足している点は「指摘事項」として即座に対応が必要になります。

次回の審査が2020年8月以降の事業者様は、以下に記載する「やるべきこと」を実施して審査を受ける必要があります。

それでは「やるべきこと」を見ていきましょう。

ここでは個人情報保護法対応で既に実施されているであろう項目は割愛します。

あくまでも2020年8月以降のプライバシーマーク審査に必須の対応だけを解説します。

全部で　5項目　あります。

それでは順に解説します。

従来の審査では「利用期限」が必須でした。（利用期限が必須となる以前は保管期限が必須でした。何のこっちゃ笑）

今回「保管期限」が必須とされた背景には、使わない個人情報をいつまでも保管しておくリスクがあります。

段ボールに入れたままほったらかしっていう状況はありませんか？

そこに個人情報があること自体をリスクと考え、不要な個人情報は廃棄してくださいというメッセージです。

現状廃棄は努力義務とされていますが、これをプライバシーマーク上でもしっかり管理しようというものです。

２.個人情報保護方針への従業者の認識（A.3.4.5）

個人情報保護教育の中に、個人情報保護方針を含めることが求められています。

方針があって各規程や手順が制定される訳なので当然のことではありますが、それを明確に要求事項に盛り込みました。

教育資料の中に個人情報保護方針が含まれていれば問題ありません。

３.各部門及び階層での運用確認とトップマネジメントへの報告（A.3.7.1）

個人的には一番重要な項目だと思います。

これまでも定期的な運用チェックは実施されていると思いますが、新規格では下記2点の要求が追加されました。

不適合は、是正処置(A.3.8)の手順に従って是正することが求められています。

つまり、内部規程に定めた様式を使って是正することになります。

個人情報漏洩事故の50％以上が、誤送信・誤発送や紛失といったヒューマンエラーです。

ヒューマンエラーを完全に無くすことは出来ませんが、ルールが守られていれば起こらなかった事例も少なくありません。

また、ルールが適切であったかの確認も必要です。是正処置として内部規程の見直しが必要になる場合もあります。

事故を起こさないために、ヒューマンエラーへの対策を強化することは当然のことと言えます。

４.共同利用についての契約（A.3.4.2.8）

個人情報の共同利用がある場合に、次の項目を共同利用者間の契約に含めることが求められています。

５.委託契約書に委託契約終了時の措置を追加（A.3.4.3.4）

既に委託先との契約内容に含んでいるケースも多いかと思ます。

契約終了後においても、消去されているはずの個人情報が消去されずに漏洩した場合等を想定して、

当該契約書が個人情報の保有期間に渡って有効である旨を盛り込み、保存する必要があります。

各項目について、またプライバシーマークの取得・更新でご不明点がありましたら、

是非当社の「無料相談」を活用ください。