宜しくお願い致します。
現在小規模の自社のため、独力でPマークの取得に取り組んでいます。
現在個人情報の棚卸し中なのですが、過去の見積もりや納品書などに付いている
社名や肩書き、氏名などは個人情報には当たらないのでしょうか。
また、名刺でも検索できるようになっていれば個人情報、そうでなければ該当しない、という認識で合っていますでしょうか?

お詳しい方、宜しければご教授ください。
宜しくお願い致します。

このQ&Aに関連する最新のQ&A

A 回答 (4件)

私はPMS管理責任者をしております。


名前の通り少しでも個人の情報があれば個人情報です。
営業先でもらった名刺はもちろんこじんじょうほうになります。

Pマーク所得は書類関係をしっかり揃え、管理責任者や監査責任者が個人情報について理解していれば所得は容易に可能です。
コンサルタントをつけることをお薦めします。
    • good
    • 0

まず、生存している個人が特定できれば、それは個人情報に相当します。


社名と氏名だけだと、同じ会社に同姓同名の方が居て特定まで至らないでしょうし、
肩書きが着いていても異動、転勤により特定できない可能性も高いでしょうから、
その辺はあまり気にしなくても良いかと思います。
まぁ、特に必要なければ早々に破棄されたほうが、確実でしょうが。

名刺についても考え方はその通りです。
ですが、最初からそこまで対象に含めようとしてると、
運用出来なくなる可能性もありますよ。
見積書や納品書に氏名や連絡先、記載してもらうのに、収集目的と利用目的の説明と同意を求めますか?
名刺についても同じです。

身の丈に合ったシステム構築が大事です。
もう少しセミナー等で勉強されてから作業するか、
コンサルを利用された方が後々運用面でも楽になると思います。
審査員の考え方にも結構差がありますしね。
    • good
    • 0

やはり経済産業省のホームページが参考となります。

(下記URL)

とくに、「個人情報保護に関する法律についての経済産業分野を対象とするガイドライン」がベースになると思います。

ご参考までに。

参考URL:http://www.meti.go.jp/policy/it_policy/privacy/p …
    • good
    • 0

私はコンサルではないので、正解ではないかもしれませんが。


基本的に怪しいなと思うデータは個人情報とした方が良いと思います。現在悩まれているところは個人情報かそうでないかと言うことですが、悩むところはそこではなく、本来はそのデータが管理必要なデータか必要で無いデータか否かだと思います。現に電話帳なんかは個人情報のかたまりですが、ガイドラインでは対象にならないことがサンプルとして掲載されています。ということで、洗い出し対象が御社にとってどのくらいリスク(社会的リスクも含み)があるかということを理解することで、ご質問の認識は変わってくるのではないでしょうか。
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qプライバシーマークについて

2005年4月の個人情報保護法の関連で騒がれたプライバシーマークも一段落と言うところですが、私の会社では「プライバシーマークは取得したほうが好ましいが弊社では取得しない」ということになっています。私の会社は従業員30名程度のソフトハウスです。

これは社長個人の考えが大きいのですが、その理由として

(1)入退室の帳面を記入するのはバカらしい、だからプライバシーマークはバカらしい
(2)プライバシーマークを取得したという会社の役員の話では取得には高額な費用がかかったという。商品の値段に反映させざるを得ないから顧客に迷惑がかかる

と言っています。とてもコンサル等に相談できるような状況ではないので、個人的にプライバシーマークについて調べているのですが、実際のところはどうなんでしょう。

私は、業務の内容から、プライバシーマークの取得は必須ではないかと思っているのですが、うまく話を伝えられずにいます。実際にプライバシーマークを取得した会社の方のお話が聞けると嬉しいです。

Aベストアンサー

ISOにしても、プライバシーマークにしても、ビジネスですので、いずれもコストはかかると思います。
その価格が顧客に転嫁されるのも当然かと思います。

社長は「管理せずに情報が漏れたら大損害になる」ということがわかっていないのではないでしょうか?
逆に、しっかり管理していることを顧客にアピールして、「うちはしっかり管理しているので情報管理は任せてください。その管理にはコストがかかります」という営業方法の方が良いと思います。

顧客が、現在取引しているところを視察に行って、あまりに個人情報をずさんに扱っているため、しっかりした会社に乗り換えたという例もあります。
これからの時代、管理がいいかげんな会社だと個人情報を預けないようになっていくのではないかと思います。
また、逆に情報が漏れたときのリスクを現在認識していないところも多いと思っています。(管理するのに金がかかると言うと渋るところが多い)

(1)で記帳がばからしいと話していますが、それならば現在、情報を受け取ったとか、返却した、削除したという履歴も残していないのでしょうか?
もしそうならば、もし個人情報が漏れたときにまず疑われる会社であるし、自分の会社からもれていないことを説明もできないという非常に問題のある会社だと受け取れます。

ISOにしても、プライバシーマークにしても、ビジネスですので、いずれもコストはかかると思います。
その価格が顧客に転嫁されるのも当然かと思います。

社長は「管理せずに情報が漏れたら大損害になる」ということがわかっていないのではないでしょうか?
逆に、しっかり管理していることを顧客にアピールして、「うちはしっかり管理しているので情報管理は任せてください。その管理にはコストがかかります」という営業方法の方が良いと思います。

顧客が、現在取引しているところを視察に行って、あまり...続きを読む

Q個人情報

個人情報にあたるか教えてください。社員の履歴書(自宅住所)はもちろん個人情報ですが、役員の履歴書(自宅住所)は登記簿謄本に掲載されているので、誰でも閲覧可能なので「個人情報」にあたらないという人がいます。本当はどうなのでしょうか?

Aベストアンサー

 ANo.3の「この回答へのお礼」で書かれた「私の会社では、Pマークを取得しており定期的に監査が入ります。役員の履歴書は個人情報保護義務から除外されるということは、私の部署(秘書課)が保有する個人情報として社内申請する必要は無いという解釈で問題ないですね?」についてですが、誤解をしてはいけません。
 先の回答は、「個人情報の保護に関する法律」には抵触しない、という話であって、法律に触れさえしなければそれでよい、というわけではないでしょう。
 とくにPマークでは、この法律を守ることも問われるでしょうが、JIS Q 15001規格に従う必要があります(その内容はインターネットで検索できます)。PマークはこのJIS規格に基づく制度ですから。さらに会社で決めた個人情報保護に関するプログラムにも従う必要があります。
 おそらくPマークがらみでは、役員の履歴書の内容も個人情報の保護対象にしているのではないか、と予想します。

Q形骸化したTQM活動

TQM(TQC)活動をやりはじめてから20年くらいになりますが、
方針管理から、社内診断まで形骸化してただのイベントのようになっています。

問題だと感じてはいますが、形骸化したものをリセットする手立てが見つかりません。

もう一度、はじめに戻って、本来の目的から教育を・・・と考えても、すでに20年も
やってきたせいで「そんなこと知ってるよ」という反応です。

どうしたらよいでしょうか。

Aベストアンサー

おじさんです。
TQM(TQC)活動を20年くらい継続しているのですね。
「ただのイベントのようになっています」
→よく分ります。
同じテーマの繰り返しで、社員はうんざりしているのでしょうね。
多分、活動の結果が自分たちにどのように返って来るのかが実感しにくいのだと思われます。
収益が上がって、給料が上がることが実感できると分りやすいのでしょうけどね。
いかがでしょう。
企業活動の中で日々発生した実際の」トラブルの事例をテーマにするのです。
何故、トラブルが発生したのかを意見交換するのです。
必ずしも、完全な解決策を導く必要はないでしょうね。
意見交換するだけで、社員のモチベーションは上がっていくと思います。

QISO個人情報保護にあたる項目について

ISO内部監査を行いまして、「図書室の貸出簿が誰にでも見れる方式なので、変更すべきでは」(個人情報保護にあたる?)という推奨事項として挙げました。
内部監査後、報告書の内容の前に<7.○.○>の表示をしなければなりませんが、この場合、どの項目にあたるのでしょうか。
すみませんがお教え頂けないでしょうか。
よろしくお願いします。

Aベストアンサー

残念ながら、現行のISO 9001=JIS Q 9001:2000規格の要求事項の中には、
個人情報の保護に関する事柄は記載されていません。
個人情報保護について盛り込む場合は、9章などで別途「自ら」記載(追加)するのが
あとの変更等にも対応しやすく、良い方法かと思います。

質問にある、図書の貸出簿については、これは運用上の記録に相当すると思われますので、
記録の管理:4.2.4にて、当該記録について閲覧制限を儲けるようにするのはどうでしょうか?

ただし、
・閲覧権限者はどの様に設定するのか?
・全ての項目を非公開にするのか、貸出者の氏名だけにするのか?
・部分的非公開にした場合は、誰が貸出簿を作成・管理するのか?
・全て非公開にした場合、管理運用上問題はないのか?
・閲覧制限の必要な記録は貸出簿だけでよいのか?
パッと考えただけで、この位影響が出ます。

詳細な状況が不明ですので、好き勝手、的はずれななアドバイスかも知れませんが、ご参考までに。

Qプライバシーマークって

プライバシーマークを取得している企業は、個人情報保護に関してきちんと整備ができていると感じますが、このプライバシーマークって個人情報保護法に則っているのですか?法に則っているかどうかがわからないので、わかりやすく教えて下さい。

Aベストアンサー

もちろん個人情報保護法にのっとっています。むしろ個人情報保護法に規定されている以上の情報管理規定を策定せねばならず、取得しようとする企業にとっては非常に大変です。そのためプライバシーマークを取得している企業は情報管理をきちっと行っていると判断できます。

ちなみに取得して終了!お疲れ!ではなく、取り消しされることもあるので、策定した規定を遵守しなければなりません。弊社ではとりあえず取得は見送りました。いい加減なところがある会社なので取得も運用も大変すぎます(^^;

参考URL:http://www.prisec.org/pm/

Q「プライバシーマーク」個人情報の預託

小さな住宅建設会社です。
プライバシーマークを取得しようと思っており、一点不明な点があるのでお教え下さい。

お客様からアンケートをあつめて、そのうち何名かにプレゼントを贈っています。
アンケートはハガキであつめて、社内で抽選し、会社から直接お客様の所にプレゼントを発送します。
発送には、運送会社を使うのですが、それは規格がいうところの、「個人情報の預託」に該当するのでしょうか?
そうした場合、運送会社に預託する予定があることを、お客様に事前に通知しなければいけないのでしょうか?

Aベストアンサー

アンケートによりプレゼントを発送する旨をお客様に伝えているのであれば、運送業者に顧客の住所氏名を知らせるのは、あらかじめ了解を得た「発送という業務」のための使用だと考えれば、データの預託と考えなくても良いと思います。

Qプライバシーマークの事業者とは

お世話になります。
とある会社の人材派遣部門にいます。
昨今、個人情報保護法の関係も有り、プライバシーマークを取得している会社かどうかが、どの人材派遣会社を使うかの大きな選択基準になりつつあります。
うちの会社は取得していないのですが、会社本体の主商品上は、全然プライバシーマークなんて関係ないのですが、その中の一部署としては、どうしても取っておきたいものなのです。
そこで、質問ですが、プライバシーマークのいう事業者とは法人全体を指すのでしょうか、法人の中の、一部署だけでは申請できないのでしょうか。ちなみに、私のいる部署は、本社と違うビルに入っていますし、コンピュータネットワークなども完全に独立しています。

Aベストアンサー

こんにちは。

会社の中の一部署単位でも申請は可能なようですが、若干条件が違うようです。

財団法人日本情報処理開発協会 プライバシーマーク事務局
http://privacymark.jp/

新規申請 -> 2.プライバシーマークを付与する単位

に詳しく記述がありますので、ご参照下さい。

ではでは・・・

参考URL:http://privacymark.jp/

Q個人情報の保存期間を定める手順

プライバシーマーク取得担当者になりました。
規程の雛型を入手し、カスタマイズを行いながら整備を行っているの
ですが、3.4.3.1正確性の確保でチョット行き詰っております。
個人情報の保存期間をどのように定めるのかの手順を盛り込まなくて
はと思っているのですが、「保存期間を定める手順」って・・・。
様々な種類の個人情報があるので、その保存期間を定める手順といっ
ても上手く表現できなく悩んでいます。
現在保有する個人情報の保存期間は、契約書上定められてる期間とか
法令によるものはその期間を設定しているのですが、それ以外のもの
は、各部署が「これぐらいあった方がいいよね」状態で、同じような
個人情報でも、その期間がマチマチです。
「保存期間を定める手順」ていうのは定められるものなのですか?
それとも違う意味なのでしょうか?

Aベストアンサー

JIPDECのガイドラインの文書審査の項目にある、誤入力チェック・保存期間を定める手順・個人情報のバックアップのことですよね。

3.4.3.1は、利用目的の達成に必要な範囲内において・・・となっているので、保存期間は個人情報の利用目的の達成に必要な期間で良いと思います。
推測ですが、質問者さんは、全ての個人情報について何年保管などの一覧表を作成しようとしているのではないでしょうか。
事業の用に供する個人情報単位に詳細な保存期間を定めて、手順書レベルのものを作成できれば、運用する従業者にとってはありがたいことですが、その為にはどのような個人情報が存在するのか、その個人情報の利用目的の達成に必要な期間は何時までなのか、など全て把握しておかなければ作成することはできません。それは、プライバシーマーク取得担当者が全ての業務に精通していなければならず、現実的ではないと思います。
手順は5W1Hになっていれば良いので、いつ・どこで・誰が・何を・何に・どうする、を定めることで手順になるようです。
今回の場合、「毎年何月(または随時)、各部署が個人情報の利用目的の達成に必要な期間を個人情報管理台帳の保存期間欄に記載し、各部署長が個人情報保護管理者の承認を得る。契約書上定められてる期間、法令によるものはその期間とする。」などとするのはいかがでしょうか。
個人情報保護管理者は、全権限を持っているので、その管理者の承認を得るという手順です。

ちなみに参考URLの規程策定・審査対応解説書は、助かりますよ。
ご参考まで。

参考URL:http://www.kantan-pms.com/price4.html

JIPDECのガイドラインの文書審査の項目にある、誤入力チェック・保存期間を定める手順・個人情報のバックアップのことですよね。

3.4.3.1は、利用目的の達成に必要な範囲内において・・・となっているので、保存期間は個人情報の利用目的の達成に必要な期間で良いと思います。
推測ですが、質問者さんは、全ての個人情報について何年保管などの一覧表を作成しようとしているのではないでしょうか。
事業の用に供する個人情報単位に詳細な保存期間を定めて、手順書レベルのものを作成できれば、運用する従業者...続きを読む

Qプライバシーマークは取得した方がよいのでしょうか?

今年の4月から個人情報保護法が施行されます。
当社は、個人データを5000件以上保有しているので、対策として社内体制の整備や規程の作成など実施しなければならないと考えています。
そこで質問ですが、個人情報保護に関連してプライバシーマーク制度というものがありますが、プライバシーマークは取得した方がよいのでしょうか?
財団法人日本情報処理開発協会のホームページを見ると、平成10年4月からプライバシーマーク制度を開始し、現在までに1000件ちょっとの企業しか取得していないと言うのは少なすぎるような気がするのですが。
マークを取得するには、コンサルティングを受け、体制や規程の整備、社内教育など非常に時間とコストがかかると思います。そこまでして取得しても意味があるのでしょうか?
世間の認知度はどうなのでしょうか?

Aベストアンサー

プライバシーマーク(以下Pマーク)の認知度云々という世界では、未だ一部業界(情報処理サービス業、対個人取引が多数あり得る業種)に限られている気がいたします。
貴社はいわゆる「個人情報取扱事業者」に該当するとのことですので、Pマーク取得如何に関わらず、社内体制の整備であったり社員の教育であったりといった対策はとられるものと考えます。
その際、Pマーク取得をひとつの「ゴール」として考えられたら如何でしょう?いずれにしても行わなければならないことですから、やはり目的があった方がやる気であったり効果であったりという点が変わってくる気がしますが。また、Pマークを一度取ると定期的に更新がありますので、一度行った教育が陳腐化したりもしないですし。

Q事務職の個人情報取り扱いのポイントを教えて下さい

事務職社員向けに、個人情報の取扱い上の注意点やポイントを分かりやすく伝えたいと思っています。
「個人情報10ヵ条」のような形でなるべく分かりやすい標語を作成しようと考えているのですが、参考となるホームページや標語等あればご教お願い致します。

Aベストアンサー

たまたま人事等で実務を担当してきた者に過ぎません。

URLなどは個人情報保護ガイドラインやプライバシーポリシー対策など検索したら関連書籍や様々な啓発的なことがありました。

これは今の時点で検索しただけですが、企業やプロバイダーなど同様にプライバシーポリシーなどがあると思います。
また「個人情報の取り扱いについて」など参考になるものは身近にあると思います。ガイドブックやセミナーなどの情報もありましたので自分も参考にしたいと思いました。

確かに事務職に限定しなくとも特に人に関わる仕事など介護や医療、行政などその範囲たるや多岐に渡ると思います。

啓発も重要なことかと思います。同時に職務に従事する全ての従業員の行動規範につながる標語やスローガンで完結することなくいかに徹底してこれを継続する目的を常に念頭に置かないと、一概に断言できませんが、手段や方法が目的と摩り替わって全てが上手く完結、周知徹底できたと錯覚することなく、定期的な啓発など場合によっては何が目的なのかという大切なことを啓発することも必要なことがあるかと思います。
人事など個人だけではなく会社の情報や給与、賞与などの一次情報を取り扱う頻度があり、名簿ひとつでも施錠して担当者(自分と上司一名と社長などに限定し施錠も同様)が責任を持って閲覧後などは必ず施錠などをしてきました。

また、仕事の性質上、会社では自分の使用するパソコンは社内でLANなどで一切接続していませんでした。文書やメールを作成し、該当する情報と直接関係のない社内文書や取引や採用などのパソコンと分けて使用していました。周辺機器も制限をかけていたくらいで、効率が悪いと思われがちかと思いますが、たとえ親しい社内の方でも個人に関することは話すことはなく、いわゆる飲み会なども控えていたくらいで良いくらいかと当時は思っておりました。

どんな方法でも100%安全というベストな方法はないと思います。
この経験などでかなり基本的なことは個人情報保護法案以前から日常的に習慣づけていたので基本的なことは勉強になりました。

必要に応、個人や会社に関する機密や守秘義務などは就業規則で「生涯において職務上知りえた個人ならびに会社の機密等これを漏洩してはいけない」という厳しい規程もあります。

取り扱いにはかなり留意してきましたが、最近ではインターネットなどの普及により以前より容易に個人に関する情報が知らない間に…という場合もあるかと思います。

一方で個人情報の保護が過度になり慎重になりすぎるという考えもあると思いますが、参考程度にでもなれば幸いです。

参考URL:http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html

たまたま人事等で実務を担当してきた者に過ぎません。

URLなどは個人情報保護ガイドラインやプライバシーポリシー対策など検索したら関連書籍や様々な啓発的なことがありました。

これは今の時点で検索しただけですが、企業やプロバイダーなど同様にプライバシーポリシーなどがあると思います。
また「個人情報の取り扱いについて」など参考になるものは身近にあると思います。ガイドブックやセミナーなどの情報もありましたので自分も参考にしたいと思いました。

確かに事務職に限定しなくとも特に人に...続きを読む


人気Q&Aランキング

おすすめ情報