Pマーク審査項目
学習~Pマーク審査項目を調べてみた~
引き続きプライバシーマーク(Pマーク)のお勉強。
肝心の審査項目を調べてみました。
一体どんなことを遵守しなければいけないのか、そのルールを学ぶことでセキュリティの全体像把握に役立つだろうと楽しみにしていました。
しかし、マニュアルを開いてみて愕然、分量が予想以上に多いぞ・・・。
項目を眺めていると確かにどれも必要そうでタメになる。
内部向け外部向け文書作成のみだけでなく、定期的に監査したり従業者を教育したりレビューしたり。
盲点だったのは委託先との契約に関する内容もあったところ。
また、開示や訂正請求にも関する記述もあることに感心しました。
マニュアルの特性上仕方ないのですが、正確に漏れなく記述する必要がある為、pマークは分量が多く復習することが大変です。
なので自分用にできる限り重要性の低い箇所を端折って要点を分かりやすくまとめてみました。
だいぶ削れたと思います。
pマークの審査項目がどんなものかざっくり把握する分にはこれで十分だと思います。
正確且つ最新情報を知りたい方はpマークホームページをご確認ください。
マニュアルまとめ
A.3.1.1一般
・A.3.2~A.3.8の管理策について、個人情報保護管理者による承認を得たことを確認できる記録、承認のために定めた手段の説明できること
A.3.2.1内部向け個人情報保護方針
・トップマネジメントは個人情報保護目的を説明できること
・その文書の中にA.3.2.1a)~f)に定める事項を含む
・トップマネジメントは文書情報を組織内に伝達し、必要に応じて利害関係者が入手できるようにしておく
A.3.2.2外部向け個人情報保護方針
・外部向け文書にA.3.2.1に規定する内部向け文書の時効が含まれていること
・外部向け文書に制定年月日及び最終改正年月日、外部向け文書内容の問い合わせ先が明記する
・トップマネジメントは外部向け文書を一般人が入手可能にしておく
A.3.3.1個人情報の特定
・事業の全ての個人情報を特定するための手順を文書化
・個人情報管理の台帳整備
・台帳に個人情報の項目、保管期限等を含める
・台帳の内容を最低年一回適宜確認する
A.3.3.2法令,国が定める指針その他の規範
・個人情報取り扱いに関する法令、指針、規範を特定し参照する手順の文書化
・法令等を参照していること
A.3.3.3リスクアセスメント及びリスク対策
・個人情報保護リスクの特定、分析、対策の手順の文書化
・個人情報保護リスクを特定、分析
・特定したリスクの、現状で実施しうる対策の文書化
・特定したリスクの、現状で実施しうる対策を講じて
・未対応部分を残留リスクとして把握、管理する
・個人情報保護リスクの特定、分析を年一回適宜見直す
A.3.3.4資源,役割,責任及び権限
・担当者の役割、権限の文書化
・個人情報保護管理者は個人情報保護マネジメントシステムの見直し、改善の為、トップマネジメントに報告する旨の文書化
・個人情報保護監査責任者は監査報告書を作成し、トップマネジメントに報告する旨の文書化
・監査員選定および監査実施の客観性公平性を確保する旨の文書化
・トップマネジメントが個人情報保護のための人的資源の説明
・監査責任者と個人情報管理者は異なる者であること
A.3.3.5内部規程
・個人情報を特定する手順に関する規定等いくつかの事項を含む規定の文書化
・個人情報保護マネジメントシステムが確実に適用されるように内部規定を改定する
A.3.3.6計画策定
・年一回、教育実施計画、内部監査実施計画の立案、文書化
・計画は責任者、達成期限等いくつかの事項を含む
A.3.3.7緊急事態への準備
・緊急事態の特定手順、事態への対応手順を文書化
・リスクを考慮しその影響を最小限とする手順
・本人に速やかに通知、二次被害の防止・事実対策の公表、関係機関への報告が対応手順に含む
・緊急事態が発生した場合、定めた手順を実施していること
A.3.4.1運用手順
・マネジメントシステムを実施するための運用手順の文書化
A.3.4.2.1利用目的の特定
・個人情報利用の特定、目的範囲で取り扱う
・利用目的は、利用提供によって本人の受ける影響を予測できるようにする
A.3.4.2.2適正な取得
・定めた手順に従って個人情報を適正に取得
A.3.4.2.3要配慮個人情報
・要配慮個人を取得利用提供する場合、本人の同意を得ていること
・要配慮個人情報を取得利用する際、本人同意を得なくていい場合は特別な場合に限定
・要配慮個人情報を提供する際、本人同意を得なくていい場合は特別な場合に限定
A.3.4.2.4個人情報を取得した場合の措置
・個人情報を取得する場合、利用目的を公表または取得後に速やかに本人に通知公表する
・本人への利用目的を通知公表しない場合は特別な場合に限定
A.3.4.2.5A.3.4.2.4のうち本人から直接書面によって取得する場合の措置
・本人から直接書面によって取得する場合、A.3.4.2.4の措置を講じる
・本人から書面に記載された個人情報を直接取得する場合、利用目的などいくつかの事項をあらかじめ本人に明示し同意を得る
・本人に明示、同意得ないのは特別な場合に限定
A.3.4.2.6利用に関する措置
・特定の利用目的達成に必要な範囲内での個人情報利用
・必要な範囲を超えて個人情報を利用する場合は、いくつかの事項を本人通知し、同意を得ていること
・本人の同意を得なくてよいのは,特別な場合に限定
A.3.4.2.7本人に連絡又は接触する場合の措置
・個人情報を利用して本人に連絡、接触する場合はいくつかの事項、取得方法を通知し本人同意を得る
・本人に通知、同意を得る必要ない場合は特別な場合に限定
・共同して利用する者から個人情報を取得する場合、いくつかの事項,及び取得方法を通知し,本人の同意を得る
A.3.4.2.8個人データの提供に関する措置
・個人データを第三者に提供する場合、いくつかの事項および取得方法を通知し本人の同意を得ていること
・本人に通知、同意を得なくてよいのは特別な場合に限定
・個人データを共同利用している場合、共同利用しているものとの間で.3.4.2.7に規定する共同利用について契約を定める
A.3.4.2.8.1外国にある第三者への提供の制限
・外国の第三者へ個人データを提供する場合、あらかじめ外国にある第三者への提供を認める旨の本人同意を得ている
・本人同意が要らないのは特別なに限定
A.3.4.2.8.2第三者提供に係る記録の作成など
・個人データを第三者に提供した場合、記録を作成し、保管する
・記録を作成しないのは特別な場合に限定。
A.3.4.2.8.3第三者提供を受ける際の確認など
・第三者から個人データの提供を受ける場合、記録作成、保管する
・記録作成、保管しないのは特別な場合に限定
A.3.4.2.9匿名加工情報
・匿名加工情報の取り扱いを行うかの方針有無
・匿名花王情報を取り扱う場合の手順を文書化
A.3.4.3.1正確性の確保
・個人情報の正確、最新状態で管理
・利用しなくなった場合、消去を含む管理を規定に基づき行う
A.3.4.3.2安全管理措置
・個人情報リスクに応じた安全管理措置する
A.3.4.3.3従業者の監督
・個人データを取り扱う従業者を監督する
A.3.4.3.4委託先の監督
・委託先選定基準に基づいて委託先を選定する
・委託契約を締結する
・委託者及び受託者の責任の明確化等いくつかの事項が盛り込まれた契約を締結する
・全委託先を漏れなく特定する
・委託契約書が当該個人データの保管期間にわたって保管する
・委託契約に基づき、委託先を適切に監督する
A.3.4.4.1個人情報に関する権利
・本人から開示請求を受け付けた場合、遅滞なく応じる
・保有個人データに当たらないものは特別な場合に限定する
A.3.4.4.2開示等の請求等に応じる手続
・保有個人データの開示請求に応じ手続きの文書化
・開示請求手続きが本人の過負荷にならないように配慮する
・手数料は合理的な範囲内で定める
A.3.4.4.3保有個人データに関する事項の周知など
・保有個人データに関し、組織の氏名又は名称、保有個人データの取扱いに関する苦情の申出先などを知りえる状態にしておく
A.3.4.4.4保有個人データの利用目的の通知
・本人から個人データの利用目的通知を求められた場合、遅滞なく応じる
・利用目的を通知しない場合は特別な場合に限定する
A.3.4.4.5保有個人データの開示
・本人から保有個人データの開示請求を受けた場合、法令規定によって定められている場合を除き遅滞なく書面にて開示する
・本人から保有個人データの開示を求められても、一部または全てを開示しなくてよいのは特別な場合に限定する
A.3.4.4.6保有個人データの訂正,追加又は削除
・本人から個人データの訂正、削除の請求を受けた場合、法令規定に定められている場合を除き、遅滞なく調査を行い実施する
・訂正等を行った場合、本人に遅滞なく通知する
・訂正等を受けたが応じなかった場合、本人に遅滞なく通知する
A.3.4.4.7保有個人データの利用又は提供の拒否権
・本人から保有個人データの利用停止等の請求に応じる
・応じた場合、遅滞なく本人に通知する
・応じない場合は特別な場合に限定する
A.3.4.5認識
・全従業者に対して最低年一回教育を実施する手順の文書化
・教育は受講者の理解度を確認する手順を含む
・教育実施計画に従って教育を実施する
・全ての従業員に、個人情報マネジメントシステムの重要性や利点などを認識させる
・受講者の理解度確認を実施する
A.3.5.1文書化した情報の範囲
・個人情報保護マネジメントシステムに内部向け個人情報保護方針や外部向け個人情報保護方針などに対応する書面があること
A.3.5.2文書化した情報(記録を除く。)の管理
・全ての文書化した情報を管理する手順を文書化
・文書化した情報の管理を実施する
・文書化した情報は文書化した情報が十分に保護されている、などを満たすように管理する
A.3.5.3文書化した情報のうち記録の管理
・個人情報保護マネジメントシステムおよび要求事項への適合を実証するための記録管理について手順を文書化
・利用目的の特定に関する記録、教育などの実施記録、苦情及び相談への対応記録などを含む記録を作成する
・記録は必要な時に,必要な所で,入手可能かつ利用に適した状態などを満たすように管理する
A.3.6苦情及び相談への対応
・本人から苦情および相談を受け付けて迅速な対応を行う手順が文書化
・苦情および相談への対応実施する
・苦情の申し立て先が明確にする
・認定個人情報保護団体の対象事業者になっている場合、当該団体の苦情申し立て先を明示する
・苦情および相談を適切かつ迅速に行うための体制整備を行う
A.3.7.1運用の確認
・各部門の管理者が定期的にマネジメントシステムが運用することを確認する
・運用の確認を実施する
・不適合が確認された場合は是正処置を行う
・個人情報保護管理者は定期的にトップマネジメントに運用確認の状況報告をする
A.3.7.2内部監査
・監査計画・実施・結果報告・、記録保持に関する責任・権限を定め、文書化
・個人情報保護マネジメントシステムの規格への適合状況および運用状況の監査を年一回実施する
・規定と内部規定の適合状況の監査
・運用状況の監査を実施
・監査員は自らの所属部署を監査しない
・監査責任者は監査報告書を作成し、トップマネジメントに報告
A.3.7.3マネジメントレビュー
・マネジメントレビュー手順の文書化
・最低年一回マネジメントレビューを実施
・マネジメントレビューを実施するにあたり、内外から寄せられた改善のための提案などの事項をインプットすること。
・マネジメントレビューのアプトプットに継続的改善の機会やあらゆる変更のの必要性に関する決定を含む
A.3.8是正処置
・不適合に対する是正措置を確実に実施するための責任および権限を定める手順の文書化
・不適合が明らかになった場合、不適合の内容を確認する等いくつかの事項を実施
・是正措置の立案にあたって発見された不適合が他のところでも発生しないようにする措置を検討
・個人情報保護マネジメントシステムを継続的に改善。
