【Pマークについて】JIS要求事項の質問（文意解釈について）

Pマーク取得担当になり、JIS Q 15001:2006を読み始めました。
いきなり文意解釈ができなくなったのでアドバイスをいただけますでしょうか。「3.3.1」の本文についてです。

3.3.1（抜粋）
事業者は社内で事業の用に供している個人情報としてどのようなものがあるかを知らずして個人情報保護のための対策を取ることはできない。そのためには、まず、個人情報を漏れなく特定できる手順を検討し、その手順をルールとして確立させなければならない。

【質問】
「個人情報を漏れなく特定できる手順を検討し、その手順をルールとして・・・」のところ、「個人情報を特定する」の意味がわかりません。「個人を特定する情報」という意味ではなさそうです。「ある情報が個人情報かどうか特定する・決定する方法」という意味ですか？

また、「個人情報を特定する手順」の簡単な例などございましたらご紹介いただけますでしょうか。

宜しくお願いします。

No.1 ベストアンサー 回答者： isoworld 回答日時： 2008/01/29 11:43

　個人情報に該当するものに、どのようなものがあるのかを徹底的に調査して明らかにすることです。

社内で個人のどのような情報をもっているのか明らかにしてください。
　http://www.ecology.or.jp/isoworld/isms/p_mark.htmの「個人情報　調査ワークシート」も参考にしてください。手順とは、どのような方法でやるのかを５Ｗ１Ｈという観点で明らかにしたもの（活動・プロセスを実行するために規定された方法）です。その手順を見れば、誰でも実行できるように定めてください。

この回答への補足

質問してから時間が経過するに連れてなんとなくわかってきました。

ご回答どうもありがとうございました。

補足日時：2008/05/08 13:30

No.4 回答者： oklikl 回答日時： 2008/03/26 23:05

JISについては文末を変更すればいいのです。

「させなければならない」は「させる」あるいは「している」という基本方針を持てばいいだけです。
詳しく考えるならPマークは所得できません。

この回答へのお礼

JISについてはとりえあえず
「must」なのか、「need（don't have to）」なのかを読み取るように気をつけています。
ご回答ありがとうございました。

お礼日時：2008/05/08 13:32

No.3 回答者： woody-club 回答日時： 2008/02/24 12:48

参考URLを閲覧してみてはいかがですか。

「個人情報の特定」「個人情報管理台帳作成」「リスク認識」「リスク分析」「安全管理」など、個人情報の特定から全て関連性があるので、結構大変です。

参考URL：http://www.kantan-pms.com/risk_analyze.html

この回答へのお礼

確かに結構大変ですね。
ご回答ありがとうございました。

お礼日時：2008/05/08 13:31

No.2 回答者： tomdp 回答日時： 2008/02/04 18:52

Pマークの担当者ですか。

大変ですね。
実は私も同じです。取得の際はコンサルタントの言いなりで、何が何だかわからないうちに、それでも何とか取得できました。今は更新に向けて奮闘中です。

お問合せの「3.3.1」は「本文」ではなく「解説」文ですね。

No.1の方のおっしゃるとおり、
1.御社の事業の中で発生するデータを洗いざらい書き出して、
2.その内のどれが個人情報なのか（個人情報を含むデータなのか）を特定（＝これだ！と認識して決定）する
3.その作業手順を明確にしておく
ということだと思います。

まだJISQ15001を読み始め・・・ということは、先は長そうですね。
更新には期日がありますから、余裕がなければコンサルタントをお願いする（お金がかかります）のも手だと思いますよ。

まずはJISQを理解することですが、ここで詰まってしまうのでしたら、本を1冊購入してはいかがでしょうか？

具体的に役立つものを提示する知識がありませんでした。ごめんなさい。
お互い頑張りましょうね。

この回答へのお礼

質問してから時間が経過するに連れてなんとなくわかってきました。

ご回答どうもありがとうございました。

お礼日時：2008/05/08 13:29