2023年度下期PMS定期研修.pdf

2023年度下期PMS研修 2024年3⽉株式会社プロネクサスコンプライアンス推進室はじめに個⼈情報の保護とは企業にとって、お預かりしている情報を⼤切に守っていることは、お客様から信頼を得るための⼤前提です。そのうち代表的なものが個⼈情報です。 PMSの⽬的 PMS（個⼈情報...

2023年度下期PMS研修 2024年3⽉株式会社プロネクサスコンプライアンス推進室はじめに個⼈情報の保護とは企業にとって、お預かりしている情報を⼤切に守っていることは、お客様から信頼を得るための⼤前提です。そのうち代表的なものが個⼈情報です。 PMSの⽬的 PMS（個⼈情報保護マネジメントシステム）により継続的に当社の個⼈情報保護レベルを維持・改善していくことで、お客様に安⼼・安全をお届けし、サービスの販売増を⽬指します。 1 本⽇の内容１．個⼈情報の保護とは２．PMSおよびプライバシーマークとは３．プロネクサスのPMSルール 2 １．個⼈情報の保護とは 3 はじめに『個⼈情報保護法』は、個⼈情報を取り扱うすべての事業者に適⽤されます。社内で⾒かける個⼈情報として・・・名刺（１枚でも個⼈情報︕）業務に使⽤する各種伝票お客様リスト従業員情報など多種多様なものがあります。【個⼈情報保護法】とは個⼈の権利・利益の保護と個⼈情報の有⽤性との個⼈の権個⼈情報利・利益のバランスを図るための法律保護の有⽤性基本理念を定める他、⺠間事業者の個⼈情報の取扱いについて規定 4 個⼈情報保護は法律個⼈情報の漏えいは、情報の提供主であるお客様に迷惑をかけるだけでなく、漏えいさせた企業も、社会的信⽤の失墜や企業イメージの低下によって、⼤きなダメージを受けることになります。また、法⼈である個⼈情報取扱い事業者が個⼈情報保護委員会の命令に違反した場合など、最⾼1億円の罰⾦刑となります。 2023年10⽉ 2023年10⽉⽇々発⽣して地⽅⾃治体が、新型コロナワクチン通信会社⼦会社の元派遣社員いる個⼈情報接種者約13,400⼈分の住所、が、顧客情報の⼊ったサーバーから漏えい事件⽒名、⽣年⽉⽇、性別、接種履約900万⼈分の個⼈情報を持出歴等が⼊ったUSBメモリを紛失。し。⼀部は名簿業者等に流出。 5 個⼈情報その他⽤語の定義⽤語意味個⼈情報⽣存する個⼈に関する情報であって、⽒名や⽣年⽉⽇等により特定の個⼈を識別できるもの要配慮個⼈情不当な差別、偏⾒その他の不利益が⽣じないように取扱いに配慮を要報する情報（例︓⼈種、信条、病歴、犯罪歴、⾝体の障害）保有個⼈デー個⼈情報取扱事業者が、本⼈からの請求により、開⽰、内容の訂正、タ追加または削除、利⽤の停⽌、消去および第三者への提供の停⽌を⾏うことのできる権限を有する個⼈データ ※委託を受けて取り扱っている個⼈データは該当しない個⼈情報取扱個⼈情報データベース等を事業のために使っている者。個⼈情報保護事業者法の対象になる。 6 個⼈情報の特性個⼈情報は、⼈々にとって最も⾝近で関⼼の⾼い機密情報です。それだけに、公的相談窓⼝にも苦情や相談が⽇々寄せられます。消費者の苦情・相談例相談種別相談例個⼈情報の利⽤関  仕事の関係で取引先と名刺のやり取りをしたら、その取引先内の⾯識のない担当者から、仕連事に全く関係のないセミナーの勧誘メールが届いた。個⼈情報の取得関  採⽤⾯接に⾏った際、個⼈情報の同意書が存在せず、⾯接担当者に確認したところ、同意連書が必要であるとの認識がなかった。情報内容の誤り  派遣会社に私の職務経歴が誤って登録されていた。個⼈情報の安全管  会員登録した会社に不正アクセスがあり、私の個⼈情報が漏えいしたとの連絡があった。理措置関連  事業者に提出した私の履歴書の返却を求めたところ、紛失していたことが判明した。個⼈情報の開⽰等  個⼈情報の消去を申し出て対応が終了したにもかかわらず、事業者からのメールが⽌まらない。関連  開⽰請求を申し出たが、応じられないというばかりで、応じられない理由を説明してくれない。その他（個⼈情報  事業者の個⼈情報保護⽅針について相談窓⼝に電話で問合せをしたが、誤った説明をされ関連）た。その他  退職した会社の元上司が、私の退職理由を捏造して誹謗中傷していたことがわかった。 JIPDEC（⼀般財団法⼈⽇本情報経済社会推進協議会）「2022年度消費者相談受付対応概要」より抜粋 7 事業者が守るべき４つのルール事業者は、個⼈情報に関する以下の事故を防ぐために、４つの観点でルールを定め、⼿段を講じなくてはなりません。漏えい紛失滅失・き損改ざん、正確性の未確保不正・不適正取得⽬的外利⽤・提供不正利⽤開⽰等の求め等の拒否 8 事業者が守るべき４つのルール１．取得・利⽤に関するルール取得・利⽤に当たって守るべきこと利⽤⽬的を特定して、その範囲内で利⽤する利⽤⽬的は、あらかじめ公表しておくか、個⼈情報を取得する際にすみやかに本⼈に通知⼜は公表する不適正な⽅法による利⽤の禁⽌個⼈情報は、偽りその他不正な⼿段による取得をしてはならず、適正に取得しなければならない。違法⼜は不当な⾏為を助⻑し、⼜は誘発するおそれがある⽅法により個⼈情報を利⽤してはならない（例︓裁判所により公告された破産者の情報を集約してインターネット上で公開する） 9 事業者が守るべき４つのルール２．保管・管理に関するルール個⼈情報の「保管」に当たって守るべきこと漏えい等が⽣じないよう、安全に管理する（施錠保管、パスワードの設定）従業者に安全管理を徹底する（ルールの制定とその教育）外部からの不正アクセス等の防⽌適切な委託先の選択、契約漏えい等報告・本⼈通知の義務化重⼤な漏えい等（次ページ）の発⽣時、個⼈情報保護委員会への速報（3〜5⽇以内）および確報（30⽇以内）・本⼈への通知義務 10 （重⼤な漏えいとは）要配慮個⼈情報が含まれる個⼈デ不正に利⽤されることにより財不正の⽬的をもって⾏われたおそータの漏えい等産的被害が⽣じるおそれがあるれがある個⼈データの漏えい等個⼈データの漏えい等個⼈データに係る本⼈の数が 1,000⼈を超える漏えい等これらに該当しない事故でも、個⼈情報の漏えい、毀損、滅失が発⽣したら、 Pマーク審査機関への届出が必要 11 事業者が守るべき４つのルール３．第三者提供に関するルール個⼈情報の「提供」に当たって守るべきこと第三者に提供する場合は、あらかじめ本⼈から同意を得る。第三者に提供した場合・提供を受けた場合は、⼀定事項を記録する。外国にある第三者に提供する場合に守るべきこと外国にある第三者に提供（委託や共同利⽤も含む）することについて、あらかじめ本⼈の同意を得る。本⼈から同意を得る際には、当該国の名称や個⼈情報の保護制度に関する情報の提供が必要。 12 事業者が守るべき４つのルール４．本⼈からの開⽰請求等に関するルール個⼈情報の「開⽰請求等への対応」に当たって守るべきこと本⼈から個⼈情報の開⽰請求等があった場合は、これに対応する。苦情等に適切・迅速に対応する。個⼈情報の第三者提供も開⽰請求の対象。個⼈情報の利⽤の停⽌等の請求が認められる場合は︖ 利⽤する必要がなくなった場合（例︓DM停⽌後に本⼈が消去を請求）重⼤な漏えい等が発⽣した場合本⼈の権利⼜は正当な利益が害される恐れがある場合 13 事業者が守るべき４つのルールまとめ事業者が守るべき４つのルール利⽤⽬的を特定して、その範囲内で利⽤する。１取得・利⽤利⽤⽬的は、あらかじめ公表しておくか、個⼈情報を取得する際に速やかに本⼈に通知⼜は公表する。保管・管理漏えい等が⽣じないよう、安全に管理する。２従業者・委託先にも安全管理を徹底する。第三者に提供する場合は、あらかじめ本⼈から同意を得る。 3 第三者提供第三者に提供し場合、第三者から提供を受けた場合は、⼀定事項を記録する。開⽰請求等本⼈から開⽰等の請求があった場合は、これに対応する。 4 への対応苦情等に適切・迅速に対応する。 14 ２．PMSおよびプライバシーマークとは 15 プライバシーマーク制度とは事業者の個⼈情報を取り扱う仕組み個⼈情報保護マネジメントシステム（PMS）と、その運⽤が適切であることを評価し、その証としてプライバシーマークを付与して事業活動に使⽤を認める制度 JIPDEC（⼀般財団法⼈⽇本情報経済社会推進協議会）が運営する第三者評価制度 1998年4⽉1⽇の運⽤開始以来、取得事業者は増加を続け 2023年9⽉末現在は17,555社が取得有効期間は2年間で、期間終了の4カ⽉前までに更新申請が必要当社は2010年10⽉に取得し、現在も継続中 16 ３．当社のＰＭＳルール 1 個⼈情報保護⽅針当社は、当社で取り扱う個人情報及び特定個人情報（以下、個人情報とする）を保護する事が、当社の事業遂行の基本であり、社会的責務と認識し、個人情報の適正な取り扱いについて、個人情報保護マネジメントシステムを構築し、以下のとおり実施します。１．個人情報に関する法令、規則を遵守し、取り扱い部門ごとに個人情報の管理責任者を置き、管理責任者による適切な管理により個人情報の保護に努めます。２．個人情報を取得し利用する場合は、事前に利用目的を明らかにし、本人に通知又は同意を得た上で、適切な方法で取得し、同意を得た利用目的の範囲で利用します。３．個人情報を安全かつ正確に管理し、個人情報への不正アクセス、紛失、破壊、改ざんおよび漏えい等を防止するための管理策を講じると共に、万一の発生時には速やかな是正対策を実施します。４．本人の同意を得ることなく、個人情報を第三者に提供することはしません。また、当社から個人情報の処理を外部に委託する場合は、当社と同様に適切な管理を実施する事を、契約により義務づけます。５．個人情報を取り扱う業務を受託する場合には、受託した業務の範囲内でのみ個人情報を取り扱う事とします。６．お客様の個人情報および当社の個人情報保護マネジメントシステムに関する、お客様の苦情および相談については、当社の「個人情報保護に関する問い合わせ窓口」にて速やかに対応します。７．当社の個人情報保護マネジメントシステムは、継続的に見直しを実施し、その維持、改善に努めます。２０１０年２月１２日制定２０１９年６月１日改正株式会社アスプコミュニケーションズ専務取締役瀧正英 2 個⼈情報の特定取得または利⽤する個⼈情報は、⾃部⾨の個⼈情報管理台帳で管理します。 ① ② ② ③ ① 利⽤⽬的を明記。個⼈情報を利⽤する時は、「⽬的外利⽤」にならないか、この欄を要確認。 ② 取り扱う個⼈情報の利⽤期限、保管期限を明記。 ③ リスク評価を行い対策・ルールを明記。個人情報は、個人情報管理台帳に登録し、利用目的、入手から廃棄までの管理方法（保管場所・保管・利用期限等）の明確化とリスク評価することが必要です。 3 個⼈情報保護組織図 4 役割担当⼀覧名称担当者代表者専務取締役：瀧正英個人情報保護管理者管理部：村上智子個人情報保護監査責任者経営管理・品質管理室：神保琢也個人情報保護責任者各部門事業部長、室長個人情報保護担当者各部門部長、室長個人情報苦情・相談責任者管理部：村上智子各部署の個⼈情報保護責任者、担当者をあらためて確認しておいてください。 5 個⼈情報保護に係る緊急連絡体制緊急事態（個人情報の漏えい、紛失、滅失・き損、改ざん・正確性の未確保、不正・不適正取得、目的外利用・提供、不正利用、開示等求め等の拒否等）発生の確認設置調査委員会（代表者・管理者・責任者・監査責任者・教育責任者、苦情・相談窓口責任者・事務局、管理者指名者）個人情報保護管理者個人情報保護担当者個人情報保護責任者事故レベル設定報告報告報告応急対応決定個人情報保護委員会関係機関への連絡代表者マスコミ対応準備再発防止策決定等報告 6 個⼈情報取扱い業務の提供、委託第三者提供、共同利⽤、委託のどれに該当するか確認セミナーの共催先に受講者の情報を渡すグループ会社で従業員の情報を共有する印刷物の封⼊・封緘、発送個⼈情報を⼊⼒するクラウドシステムの利⽤各種イベントの集客第三者提供あらかじめ本⼈に第三者に関する所定の事項を通知、同意を得る委託委託元の責任として、委託先のセキュリティについて管理をおこなう 7 個⼈情報取扱い業務の提供、委託個⼈情報の同意書には第三者提供、共同利⽤、委託に関する記載をしており同意を得ています。 8 個⼈情報取扱い業務の外部委託新規契約時評価個⼈情報の保護について必要な下記事項を契約委託者及び受託者の責任の明確化個⼈データの安全管理に関する事項再委託に関する事項個⼈データの取扱状況に関する委託者への報告の内容及び頻度契約内容が遵守されていることを委託者が、定期的に、及び適宜に確認できる事項契約内容が遵守されなかった場合の措置事件・事故が発⽣した場合の報告・連絡に関する事項契約終了後の措置チェックシートにより委託先のセキュリティを評価不備があれば是正指⽰最終的に個⼈情報保護管理者が委託の可否を承認定期評価チェックシートにより継続評価下記の業種も委託先に含む点に注意︕ データセンタークラウドサービスベンダー廃棄物回収倉庫など 9 メール誤送信も個⼈情報漏えい事故に該当事象分類別の事故報告件数原因別集計 1つ発⽣事象に対して複数の原因が報告される場合があるため、事故報告件数を上回る件数になっています。いずれもJIPDEC 2022年度「個⼈情報の取扱いにおける事故報告集計結果」よりメール誤送信は事故件数ワースト2位︕（当社内では圧倒的1位）事故原因の⼤半は、担当者のルール違反、操作ミス、確認不⾜︕ メール送付の際のほんの少しの油断、横着が流出事故（※）に︕ ※事故になると・・・Pマーク審査機関への報告、漏えいされた本⼈への通知が必須もしやってしまったら即報告を︕対処が早いほど影響は⼩さく抑えられます。 10 おわりに個⼈情報は正しく安全に利活⽤すれば、今以上にお客様⼀⼈ひとりに寄り添ったサービスが実現できる可能性があります。⼀⽅で、ほんの少しの気の緩みで⼤きな信⽤を失う危険性があるのも個⼈情報です。個⼈情報保護法を理解しPMSを活⽤し、「基本の基本」に忠実に⽇々の業務を遂⾏していきましょう。皆様のご協⼒をお願い申し上げます。 11

2023年度下期PMS定期研修.pdf

Document Details

Tags

Related

Full Transcript

Upgrade to continue