[mixi]雑談 - プライバシーマーク

[25] mixiユーザー 07月02日 14:18

開示対象個人情報、という用語はＪＩＳ用語で、個人情報保護法用語ではないので、ＨＰ等に表示するときには、ひとこと注記をしたほうがよさそう、などと解説に入れてあります。（そのほうが良い、というレベルです。）

これをＪＩＰＤＥＣが、審査基準として取り込むと、Ｐマーク審査では指摘事項化（ねばならない）します。

このように、ＪＩＳの解説は「要求事項」ではないので、一見影響が小さいのですが、ＪＩＰＤＥＣが審査の観点に入れ込むと、審査上は対応必須事項となりますので、要注意です。

[26] mixiユーザー 07月11日 21:09

今回弊社でＰマークを取得する運びとなり、半強制的に（笑）その担当者となりましたっ！

一から勉強するレベルですが、みなさんはどのように取り組まれましたか？

とりあえず上司に許可を貰い下記セミナーへの参加をしてみようと思います。

http://hd-consul.jp/pmark/seminer/index.html

日常の業務もやっと慣れてきた程度なので、混乱中ですが頑張りますっ

これから宜しくお願いしますっ

[28] mixiユーザー 07月13日 01:59

> しばたさん

あまり詳しくないので間違ってるかもしれませんが…単純にLLPのメリットを享受したいからじゃないでしょうか。

設立費用は安いですし、税務上のメリットもあります(法人税かからない)。規模をそこまで大きくしないのであれば、株式会社よりいろいろなメリットがあると思います。

一方で、個人事業主じゃダメなのか、というと、そんなことはないとは思いますが、ある程度の件数やロットの仕事をしようと思ったら組織があったほうがいいですよね、ということなんでは、と思います。

海外では、コンサルファームはLLPの形態をとることが多いと思いますよ。

[29] mixiユーザー 07月13日 18:14

私は、（雑談だから言いますが）、中さんの会社（オプティマさん）を推奨しますけどね。実績多数あるし。安心です。

[31] mixiユーザー 07月13日 22:18

有限責任事業組合だと、co.jpが取れるんじゃなかったでしたっけ。

[32] mixiユーザー 07月13日 22:32

>>　彩也子さん

この手のセミナーは、一度出ておくと、取得までの流れがわかるので
良いと思いますよ。
わたしは、６回の集合研修で取得しましたけれど。

[33] mixiユーザー 07月14日 00:15

雑談ですが、オプティマさんだと、規程類は、ほぼ、書類審査で×がつくことはないレベルです。
ＪＩＳの項番に沿った、わかりやすいスタイルなので、導入した企業にとって、苦労知らずでしょうね。
あとはちゃんと運用すること、ですが、これはさすがに、企業ごとのしっかりとした取り組みが必要で。

でも、適切なアドバイスがもらえるはず。トータルで満足度高いのもうなずけます。

ちなみに、私は、別に関係者じゃありません。単に個人的に知り合いではありますが。
（中さん、遠藤さんほか）

[34] mixiユーザー 07月20日 12:48

JIPDEC（地域系審査機関も含む）の審査基準が6月1日からひそかに改定されてますが、こういうのはJIPDECからは公表されないんですよね。
仮に、4月に申請して、6月以降に現地審査を受ける場合、申請以後に未公表の審査基準で後出し審査されてしまい、指摘を受ける事業者が続出。
なんか納得がいきません。

[35] mixiユーザー 07月20日 22:51

この仕組みが、自社でPマークを運用する会社が、最新情報を得るすべもないままに、新しい基準に慣れない審査員のズレた指摘で苦労しているのを横目に、丸投げの会社と多くの顧客をかかえるコンサル会社が楽勝で更新していくという、Pマークが、アンフェアな資格産業になってしまうような巡回を作っていく気がします。 ^^)

[37] mixiユーザー 07月21日 22:06

あああ、言葉足らずで、すみません。「最新の審査基準を得るすべもないまま」という意味でした。

[38] mixiユーザー 08月01日 04:20

リコーヒューマンクリエイツの、Pマーク審査員向けの研修を受けてきました。
「プライバシーマーク審査員様式1 PMS文書チェックリストの解説(フォローアップ研修準拠) 」というタイトルで、文書チェックリストの教育です。
３時間で、２万１千円也。
審査のぶっちゃけトークがあるので、面白い。
ある程度、勉強してないと、何を言ってか分からないですけれど、一通りの勉強をしている人には、面白いかも。
月１回、その手のセミナーがあるようです。次回も出ようかな。

語り口が、お金払って何でこんな言いようをされないといけないの？とか思うひとには向かないかもしれないですけれど。

https://seminar.rhc.co.jp/public/seminar/list/?Seminar_D__P__D_seminar_category_master_id=1

[40] mixiユーザー 01月18日 22:47

>>39
確か、昨年10月のプライバシーマーク制度委員会で改正されたはずです。

予告なくルールが変わることが多いので、審査員登録サイトは定期的にチェックしておいた方がいいですよ。
私は週１回はチェックしてますが。

[42] mixiユーザー 02月20日 12:15

昨年６月更新のお客様が今終わりました。
一言で言うと審査員は、制度を知らないのかな？という印象でした。
指摘に反論すると、尻すぼみで、あげくのはてにそのまま認証されることに。

根拠のない指摘に根拠を示せと言っただけで、音沙汰がなくなって、認証。

本当に、わかって認証しているのかわからない審査員でした。

[43] mixiユーザー 06月28日 19:13

メアド使ってブログやTwitter追跡されたと憤慨してトピ立てた人に
なるべく分かり易く説明してあげようと思って文章書いてみたら
トピックそのものを削除されてしまった。

結局、「ひどい派遣会社だね」「かわいそうに」って同情してもらいたかっただけなんだな。
無駄な時間を使ってしまったよ。

[44] mixiユーザー 06月28日 19:37

>>43
自己管理の問題なのに、それを認めたくないから
誰かのせいにしたかったんでしょうね。

ところで貴方はあの件をどう説明しようとしたんですか？
参考までにお聞かせ願いたい。

[45] mixiユーザー 06月28日 21:24

>>43
いわゆる“かまってちゃん”なので、ああいう感情的なトピはスルーすべきだったかと。

特定の事業者との個別紛争の相談は、そもそもこのコミュの趣旨と違うはずですよね。
「民事法務関連のコミュで聞けよ」という話ですし。

[46] mixiユーザー 06月29日 03:50

>> 43
ここがプライバシーマークコミュであることから、倫理的、道徳的にどうこうということは一切置いておいて、その派遣会社がプライバシーマーク取得会社であることを前提に、今回報告されたことがプライバシーマークの要求事項に適合するか否かについて考えてみたわけです(じゃないと、個人情報保護法に照らし合わせてどうかを考えることになり、最終的に裁判官がどう判断するか次第だということになりますよね)。

要点としては…

1a: 「書面により直接取得」に該当するなら、個人情報(この場合、メールアドレス)をその派遣会社に提供した際利用目的等が提示され、同意したかどうか。
1b: 「書面により直接取得」以外(電話により口頭で、だった)場合、その派遣会社の利用目的等が公表されているかどうか。
2: その利用目的は十分に特定されており、今回のように個人ブログやTwitterなどをたどる用途で利用されると容易に推定できるような表記だったか否か。

これらについて「問題があった」と思うなら、苦情を申し立てる権利はありますよ、という内容を伝えようと思いました。また、納得いかないのなら、利用停止を求める権利もありますよ、と。

このこミュ的には、上記2において、どういう利用目的を提示してあれば今回のようにメールアドレスから個人ブログやTwitterなどを追跡しても問題ないと判断できるか、というあたりを話してみても面白いかな、と思いました。

たとえば、「派遣先とのマッチングのため」というような利用目的で、今回のような利用のしかたが特定されていると考えられるか否か、とか。

[47] mixiユーザー 08月02日 22:45

審査員フォローアップ研修を受けてきました。

前半は、スマホとは何か、クラウドとは何か、といった
最近のITの基礎知識でした。

プログラムはjipdecの指導だそうですが、
ブラックベリーの歴史とか、雑学を仕入れてどうするのかと疑問を感じました。

せっかくITやるなら、MDM(mobile device management)の話とか、
セキュリティ関連の話をすればいいのにと思いました。

もうちょっと、取得企業の動向やら、審査活動での課題やら、
話題にしてほしかったかなぁ

後半は、まずまずの内容にて、良かった。

資料作成は、ノリからすると、ISO 9000 とかやってる人でしょうか？（画像）

[48] mixiユーザー 08月02日 23:15

>>47
研修お疲れさまでした。
私は先月にグローバルテクノで受講しましたが、内容は違うみたいですね。
スマホ、クラウド、法改正の要点はほぼ共通の内容のようですが。

昔、私もRICOHジャパンで受講してましたが、講師が審査員補で現場経験のない方だったので、グローバルテクノに乗り換えてしまいました。

[49] mixiユーザー 08月04日 00:01

>> 48
私は、中野から晴海へ移動しました ^^)
人によって、違うのですね。

[51] mixiユーザー 08月04日 00:15

グローバルテクノの講師はMEDIS所属の主任審査員でしたが、これも医療分野以外はそんなに詳しくないとのことでしたので、内容・レベルとしてはそんなに大差はないと思いました。(笑)

知人が今週、RICOHでのフォローアップ研修を受けたのですが、後半の時間潰しのようなフリーディスカッション（愚痴の言い合い？）が退屈と言ってました。
内容が充実したわけでもないのに受講料を値上げされたかと思うと、腑に落ちませんが。

[52] mixiユーザー 10月25日 18:00

そういえば、本人確認のための書類として免許書やら船員手帳やらとセットになっていた「外国人登録証」が、「特別永住者証明書」に変わるらしいので、規程を書き変えないと・・・。

[53] mixiユーザー 10月25日 20:22

規程を見直していたら、「遅滞なく」が「痴態なく」だった。
まあ、悪いことではないので、審査員もつっこめないし ^^

[54] mixiユーザー 10月26日 07:52

>>52
正しくは、在留カードですね。
外国人登録証も、移行期間中の向こう5年は残ります。

[55] mixiユーザー 12月18日 12:13

スマホSNSはアドレス帳を吸いあげてしまうのが多いですけれど、
スマホのアドレス帳自体を台帳管理していなければ、
規格上は、情報事故にならないのかな？

ただ、iPhoneのfacebookだけは、アドレス帳を吸い上げたうえで、
facebookへの加入勧誘メールを送ってしまうので、
ビジネスでiPhoneを使っていて、facebookアプリを使っている人は、
かなりの割合で、目的外利用をしているはず。
でも、情報事故としては注目されてませんね。

ちなみに、わたしは、facebookアプリを削除して、facebook web のURLショートカットに変更することで、facebookへの加入勧誘メールの送信を防いでいます。

[57] mixiユーザー 12月15日 22:09

管理体制的には、それほど酷い状況じゃなかったわけで、
事故が大きかったので取り消しだとしたら、
それは、マネジメントシステムを評価するＰマークの根本否定な気がします。

事故は起こるのが当然なわけで、
Ｐマークを剥奪するなら、納得できる致命的な運用の欠陥を
示して欲しいなと思います。

[58] mixiユーザー 12月20日 17:56

経産省ガイドラインがアップデートされたそうで。

http://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.html

[59] mixiユーザー 01月14日 20:41

今日、フォローアップ研修を受けてきましたが、
マイナンバーを７年で消さないといけなかったり、
マイナンバーを含んだ情報の取り扱いで、
更新審査は、いままでより、ちょっと手をかけないと、いけなさそうですね。

[60] mixiユーザー 01月23日 20:06

でもって、2017/5/31に改正・個情法が施行になるため、
新JISが発表され、「要求事項の解説」も、あたらしいのが出るそうです。
改正ポイントを、ちゃんと読んでおかないとなぁ・・・

[61] mixiユーザー 01月05日 14:39

JISQ15001の2017年版が先月12月に発行されましたが、Pマークの審査制度はどうかわるのでしょうかね？

ISOと同じAnnexSLのHLSが採用されていますが、要求事項4.3では適用範囲は自らの組織が決定する要求です。

ところが現時点でのPマーク制度は、適用範囲を自ら決めるなんて全否定して、問答無用で会社全体として取ることを求めています。

ということはPマーク制度は、マネジメントシステム要求事項の根幹である4章全否定になるから、JISQ15001のキーワードを出すこと自体論外になるのでしょうかね？

また、6.1でリスクアセスメントの要求してリスクアセスメントの結果を受け付属書Aを選択しろとあるが、さらに付属書Aではリスクアセスメントを要求するちぐはぐさ・・・・付属書AはJISQ15001:2006に毛が生えたものですが、これらの内容は要求事項４～１０章に埋め込む必要があるものにしか見えない。
しかも付属書Aのリスクアセスメントの結果でさらに管理策の付属書C（ISO27001:2013の付属書Aそのもの）を選択しろと・・・・このリスクアセスメントも局面のリスクアセスメントを求めているのにプロセスアプローチは採用していない。
正直、JISQ15001の策定者の意図がまったくわからない。ISO9001:2015とISO/IEC27001:2013を参考にすれば、こんな要求事項＆付属書の構成はないと思うのだが・・・・

近々、ガイドラインなどが発表されるらしいけど、どうなるのでしょうかね？

適用範囲を自ら定めることを許すと、おそらくその範囲すべてを審査いくような制度に変わる可能性があるが、そうすると今の費用ではとてもまかなえない（現在どんな大企業で事業所営業が全国あっても、本社しかいかない。ISOの審査制度（ISO17021）ベースの仕組みだと、適用範囲すべて審査するようになるから、大企業は審査費用工数が数十倍になることもある）。でもそうなるとPマークを辞退するところ増えるから、そうならないだろうなと。
では今のままの制度にすると問答無用で全社のままなので、前述の通り要求事項の根幹を否定する。そのためJISQ15001:2017そのものを否定してしまうことになるから、PマークではJISQ15001:2017を要求事項とかベースとか言えるものではない。

この辺のジレンマがあるような気がする。

[62] mixiユーザー 01月08日 18:10

２０１７年１２月に審査員の更新研修に出ましたけれど（私は審査員補なので、審査員としての実務経験はなし）、審査自体は、特に変わるような話はありませんでした。まあ、変わらない気がします。ガイドラインの書籍が出てきたら、まじめに復習しようかと・・・

ところで、15000社の取得に、審査員＋審査員補で、1800人もいるんですね。わお

[63] mixiユーザー 01月11日 11:44

>>[62]

QAが発表されましたが、
https://privacymark.jp/system/operation/jis_kaisei/faq.html

>>Q:審査基準の改定に伴い、プライバシーマーク付与の単位は変わりますか？

>>A：変更はありません。従来通り、事業者単位の付与のままとなります。

なので、JISQ15001の根幹を否定してきましたね。（というかマネジメントシステムの根幹の否定）
今後Pマークでは、JISQ15001を利用していないことと、まったく独自の自分勝手な制度ですと名言してやってほしいものです。

[64] mixiユーザー 04月22日 01:02

ガイドラインの書籍は、８月までには出版とのこと。
ガイドラインは本文省略で読みづらいので、早く出してほしいわぁ

ログインすると、残り31件のコメントが見れるよ