Written by ねこずきのねこ。
広報・販売企画・販売パートナー様支援を経て、現在プロダクトPRに携わる。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
2022年4月、ついに改正個人情報保護法が施行されました。今回の改正では企業規模・業種関係なく適用されるため、多くの企業がその対策に追われることになりました。そもそも個人情報保護法は、その特性から多くの規定や法令とも関連性が高く、今回の改正個人情報保護法施行に伴い更新が行われています。その一つがプライバシーマークです。
今回は、個人情報保護に特化した国内を代表するセキュリティ認証である「プライバシーマーク制度」が、改正個人保護法の改正でどのような影響を受けるのかご紹介します。
※本記事の内容はすべての内容を保証するものではありませんので、ご留意ください。
プライバシーマーク制度とは
本題に入る前に、今一度プライバシーマーク制度を復習してみたいと思います。
プライバシーマーク制度とは、個人情報保護のためのセキュリティに特化した国内を代表する第三者認証制度です。経済産業省の外郭団体「JIPDEC」が管理しており、2022年3月現在で、国内企業16,000社以上が取得しています。個人情報保護マネジメントシステム(PMS)の構築・運用について、適切な措置を講じているか第三者の立場から評価するもので、監査をクリアし認証を受けると「プライバシーマーク」というロゴマークが使用可能です。「個人情報保護の体制構築や運用を実践している企業」だと一目で視認することが可能です。
日本には、個人情報に対するセキュリティ対策を示した様々な法令や規定がありますが、それらの対応証明には自ら「対応しています」と宣言する以外に術はありません。プライバシーマーク認証を受けることで、セキュリティ対策の客観的な証明ができることが魅力です。
またプライバシーマークの取得は、サイバー攻撃が激化する昨今においても、非常に重要な役割を果たすと考えられます。その根拠はプライバシーマーク取得のためのステップにあります。
- 1.個人情報を洗い出し、リスク分析
- 2.要求事項に適した個人情報保護のルール作りをし、文書化(体制構築・明文化)
- 3.2で策定したルールに基づき運用・教育を実施
- 4.内部監査・代表者の見直し改善、改善過程も記録(PDCAサイクルを回す)
- 5.JIPDEC・認定機関の監査(規定類審査・現地審査)
プライバシーマークの有効期限は2年とされているため、現状のセキュリティ対策の是非を問われます。一度取得すれば安心ではなく継続したPDCAサイクルが求められます。さらにプライバシーマーク制度では「個人の権利」が重視されており、法律で定められた基準より厳しい管理を求めているため、取得企業の信頼は高いものとなると考えられます。
そのプライバシーマーク制度が、改正個人保護法でどう変わるのでしょうか。
改正個人保護法で変わる!プライバシーマークの新監査基準
2022年4月以降の申請から、プライバシーマークの審査基準が新しくなります。その理由が2022年4月の改正個人保護法施行です。
改正個人情報保護法では、昨今の情勢に合わせて大幅に見直されました。個人情報の定義が更新され、取り扱いに関する気を付けるべきポイントが増えています。また漏えい時の報告義務化や、報告義務違反に対する罰則金の引き上げなど、どの企業にも影響がある内容となっています。
改正個人情報保護法で押さえておくべきポイントに関して別の記事でご紹介していますので、そちらをご参照ください。
さらに、これまで「民間事業者」と「行政機関」向けで複数存在していた「個人情報保護法」が統一されました。これに伴い、各省庁の個人情報保護に関連した法令も続々と更新されています。こういった背景を受け、プライバシーマーク制度もいち早く、2022年4月以降の申請分から「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指標」を新しい審査基準としました。
従来のプライバシーマーク制度では、「JIS規格(JIS Q 15001)」と「JIPDECガイドライン」の準拠が審査基準となっていましたが、新たな審査基準である「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指標」は、従来の「JIS規格(JIS Q 15001)」「JIPDECガイドライン」に、改正個人情報保護法の内容を網羅した審査基準となりました。11項目全186つの指針からなっており、従来の審査基準に改正個人情報保護法の内容を組み込んだものになっているため、既にプライバシーマーク認証を受けている企業は、次回更新時までに差分の対応が必要です。
改正個人情報保護に関係する
「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指標」項目
| J.1組織の状況 | |
|---|---|
| J.1.1組織及びその状況の理解 | J.1.2利害関係者のニーズ及び期待の理解 |
| J.2リーダーシップ | |
| J.2.1リーダーシップ及びコミットメント | J.2.2個人情報保護方針 |
| J.3計画 | |
| J.3.1.3個人情報保護リスクアセスメント | J.3.2個人情報保護目的及びそれを達成するための計画策定 |
| J.4支援 | |
| J.4.1資源 | J.4.2力量 |
| J.4.4.1コミュニケーション | J.4.4.2緊急事態への準備 |
| J.6パフォーマンス評価 | |
| J.6.1監視、測定、分析及び評価 | |
| J.7改善 | |
| J.7.1不適合及び是正処置 | J.7.2継続的改善 |
| J.8取得、利用及び提供に関する原則 | |
| J.8.3要配慮個人情報 | J.8.5J.8.4のうち本人から直接書面によって取得する場合の措置 |
| J.8.6利用に関する措置 | J.8.7本人に連絡又は接触する場合の措置 |
| J.8.8個人データの提供に関する措置 | J.8.8.1外国にある第三者への提供の制限 |
| J.8.8.4個人関連情報の第三者提供の制限など | J.8.10仮名加工情報 |
| J.9適正管理 | |
| J.9.4委託先の監督 | |
| J.10個人情報に関する本人の権利 | |
| J.10.1個人情報に関する権利 | J.10.2開示等の請求等に応じる手続 |
| J.10.3保有個人データ又は第三者提供記録に関する事項の周知など | |
| J.10.5保有個人データ又は第三者提供記録の開示 | J.10.7保有個人データの利用又は提供の拒否権 |
※引用:JIPDEC「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」から想定箇所を抜粋
https://privacymark.jp/system/guideline/outline.html#02
個人情報の定義や考え方は、あくまでも改正個人情報保護法に依ります。そのため今回、改正個人保護法関連の規定類を揃える際は、改正個人情報保護法を参照し、定義を確認した上での準備が必要です。ホワイトペーパーでは、「PMS構築・運用指針」項目に対して、改正個人情報保護法ではどのように定義されているのか特に気を付けておきたい項目を抜粋してご紹介もしていますので、ご参照ください。
プライバシーマーク更新申請は、従来通り有効期限切れの8ケ月前から4ケ月前の間です。規定類を見直し、新たにPDCAサイクルを回す期間を加味してスケジュールを組みましょう。
プライバシーマーク×LANSCOPE
プライバシーマークの新審査基準は自社内で対応することも可能ですが、経験豊富な専門のコンサルティングサービスを利用することで大幅に負担を減らすことができます。
弊社がご提供するIT資産管理・情報漏洩対策ツール「LANSCOPE」のセキュリティ対策機能で、プライバシーマーク取得の支援が可能です。改正個人情報保護法で求められている「安全管理措置」にも対応できるため、ルールだけでは守ることが難しい個人情報を、ツールを活用し守ることが可能です。実際に多くのユーザー様が監査クリアのために活用されており、コンサルタントからも「LANSCOPEなら安心」とお墨付きを頂いています。
サイバー攻撃による外部からの情報漏洩、従業員や退職予定者など内部からの情報漏洩など、個人情報の保護を取り巻く環境は過酷になる一方です。万が一の対策として備えるだけでなく、このようなプライバシーマーク等の認証を獲得し、運用していくことでセキュリティ体制を維持することにも繋がります。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事
