- ベストアンサー
【Pマークについて】JIS要求事項の質問(文意解釈について)
Pマーク取得担当になり、JIS Q 15001:2006を読み始めました。 いきなり文意解釈ができなくなったのでアドバイスをいただけますでしょうか。「3.3.1」の本文についてです。 3.3.1(抜粋) 事業者は社内で事業の用に供している個人情報としてどのようなものがあるかを知らずして個人情報保護のための対策を取ることはできない。そのためには、まず、個人情報を漏れなく特定できる手順を検討し、その手順をルールとして確立させなければならない。 【質問】 「個人情報を漏れなく特定できる手順を検討し、その手順をルールとして・・・」のところ、「個人情報を特定する」の意味がわかりません。「個人を特定する情報」という意味ではなさそうです。「ある情報が個人情報かどうか特定する・決定する方法」という意味ですか? また、「個人情報を特定する手順」の簡単な例などございましたらご紹介いただけますでしょうか。 宜しくお願いします。
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
個人情報に該当するものに、どのようなものがあるのかを徹底的に調査して明らかにすることです。社内で個人のどのような情報をもっているのか明らかにしてください。 http://www.ecology.or.jp/isoworld/isms/p_mark.htmの「個人情報 調査ワークシート」も参考にしてください。手順とは、どのような方法でやるのかを5W1Hという観点で明らかにしたもの(活動・プロセスを実行するために規定された方法)です。その手順を見れば、誰でも実行できるように定めてください。
その他の回答 (3)
- oklikl
- ベストアンサー率0% (0/5)
JISについては文末を変更すればいいのです。 「させなければならない」は「させる」あるいは「している」という基本方針を持てばいいだけです。 詳しく考えるならPマークは所得できません。
お礼
JISについてはとりえあえず 「must」なのか、「need(don't have to)」なのかを読み取るように気をつけています。 ご回答ありがとうございました。
- woody-club
- ベストアンサー率78% (15/19)
参考URLを閲覧してみてはいかがですか。 「個人情報の特定」「個人情報管理台帳作成」「リスク認識」「リスク分析」「安全管理」など、個人情報の特定から全て関連性があるので、結構大変です。
お礼
確かに結構大変ですね。 ご回答ありがとうございました。
- tomdp
- ベストアンサー率0% (0/2)
Pマークの担当者ですか。大変ですね。 実は私も同じです。取得の際はコンサルタントの言いなりで、何が何だかわからないうちに、それでも何とか取得できました。今は更新に向けて奮闘中です。 お問合せの「3.3.1」は「本文」ではなく「解説」文ですね。 No.1の方のおっしゃるとおり、 1.御社の事業の中で発生するデータを洗いざらい書き出して、 2.その内のどれが個人情報なのか(個人情報を含むデータなのか)を特定(=これだ!と認識して決定)する 3.その作業手順を明確にしておく ということだと思います。 まだJISQ15001を読み始め・・・ということは、先は長そうですね。 更新には期日がありますから、余裕がなければコンサルタントをお願いする(お金がかかります)のも手だと思いますよ。 まずはJISQを理解することですが、ここで詰まってしまうのでしたら、本を1冊購入してはいかがでしょうか? 具体的に役立つものを提示する知識がありませんでした。ごめんなさい。 お互い頑張りましょうね。
お礼
質問してから時間が経過するに連れてなんとなくわかってきました。 ご回答どうもありがとうございました。
補足
質問してから時間が経過するに連れてなんとなくわかってきました。 ご回答どうもありがとうございました。