ISOコム通信

「JIS Q 15001取得の目的とメリットとは」

こんにちは。ISOコム通信にアクセスしていただきありがとうございます。

今回は“JIS Q 15001取得の目的とメリットとは”の続きを記載したいと思います。

前回は、“運用の仕方では、業務効率化の手段にも使えますので、作業負荷と増大と相殺することも可能です。次回はこの点に触れてみたいと思います。”と記載しましたのでその続きを記載します。

 

個人情報の洗い出しとその手順

個人情報保護マネジメントシステムを運用開始する場合に最初に行うことは、良く知られているように取り扱っている個人情報を洗い出すことです。また、その次に、洗い出した個人情報を取り扱う場合のリスクを分析し、対策を検討することになります。

 

この手順は、2種類あるとされています。

 

一つは、現在手持ちの個人情報

を書き出して、その個人情報の取り扱われ方から、リスクを分析していく方法です。

他方は、業務フローをまとめながら、そこで各作業に利用する個人情報を書き出すとともに、作業時に発生するリスクを分析していく方法です。

 

JISQ15001:2017の附属書A.3.3.3には以下のように記載されています。

“組織は,A.3.3.1 によって特定した個人情報の取扱いについて,個人情報保護リスクを特定し,分析し,必要な対策を講じる手

順を確立し,かつ,維持しなければならない。”

 

このため、最初に個人情報を特定してから、個人情報毎にリスク分析を行わなければならないと考えて、前者の方法を利用しているケースが多いように思います。

 

しかし、市販されている「JISQ15001:2017対応 個人情報保護マネジメントシステム導入・実践ガイドブック」を参照すると、後者の方法でも問題がないことが分かります。

前者の方法を用いると、取り扱いの中で個人情報を他の個人情報に加工する場合のリスクが漏れがちになることも問題です。

従いまして、取り扱っている個人情報の特定とリスク分析は、後者の業務フローをまとめる方法をお勧めします。

 

個人情報の特定とリスク分析にかかる工数とは?

ところで、個人情報の特定とリスク分析には結構工数がかかる割に、意外と使われないと思いませんか?

著しい場合は、2年に1度、プライバシーマークの審査員に見せるだけという事業者さんも少なくありません。

従って、初めのころはちゃんと行っていたはずが、だんだんと手を抜くようになってしまう例が多いようです。

 

確かに、2年に一度審査員に見せるだけなら、毎年それなりの工数を取られるのももったいないと思われて当然です。

しかし、業務フローをまとめる

ならば、もっと他のことに使えると思いませんか?

 

個人情報と仕事内容を伝える手順書とは?

ところで、読者の皆さんが所属する組織では、新人が入ってきたときに仕事内容を伝える手順書はあるでしょうか?

もし、このような手順書を作成するとすれば、やはり作業の内容を順番に記載し、そこで利用する書類の名称などを記載していくので

はないでしょうか?

 

例えば、新しく社員が入社した時を考えると、人事担当者は以下のような作業があると思います。

・事前に知らせてあった書類を取得します。履歴書などは面接時などに受け取っていると思いますが、社会保険手続きや年金に関する手続きに必要な資料、また各種の手当を計算するための必要な資料を取得するのではないでしょうか?

・次に取得した資料で、社員として必要な情報や社会保険などの手続き資料を作成して行きます。

・作成した資料を、所属する部署

に報告するほか、所轄の役所やハローワークや年金事務所に提出します。

・また、社内で活動するためにPC環境やメール環境を、社員情報を利用して構築していきます。

 

これらの作業の順番を整理してまとめていけ

ば手順書ができます。

そこには、作業内容が順番に沿って記載され、各作業で利用する書類名も記載されています。

 

ここでいう書類は、社員の情報が記載されていますので、個人情報と考えて問題はありませんから、

新人が動きやすい手順書を作成することは、リスク分析でも利用できる業務フローをまとめていることになります。

さらに、各作業に対して、取り扱いに注意すべき点とその対策の内容を記載していくことで、リスクと対策を記載することが可能です。

 

使えるリスク分析表にするための工夫とは?

ここまででお分かりになったと思いますが、

「リスク分析表」を作成するのではなく「業務手順書」を作成することで、「リスク分析表」ができます。当然、「リスク分析表」としても使える様にするためには、多少の工夫が必要です。

 

例えば、各作業に利用する個人情報は、作

成や加工した結果の個人情報だけでなく、作成などに利用した個人情報も記載しておくと、加工時のリスクが分かりやすいと思います。

作業内容    :社会保険手続き資料の作成

利用する個人情報:履歴書など

作成した個人情報:健康保険・厚生年金保険新規適用届、被保険者資格取得届被扶養者(異動)届(国民年金第3号被保険者関係届)など

作業時のリスク :誤記入、誤入

力など

リスク対策    :必ず記入した内容、入力した内容を再確認するなど

 

また、取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄等の局面も明確にしておいた方が良いと思います。

社内に取得や作成で出現した個人情報は

、必ず利用し、最後には消去・廃棄や納品、返却等により社内から無くなります。このことから局面を記載した時に、この3局面がない場合には認識している作業に漏れがある場合があります。

 

作業手順書に利用できるように作成した「リスク分析表」、またはリスク分析も記載した「作業手順書」ならば、実際で利用している部門で見直しが可能と思います。特に新人の入手前に変更になっている部分は無いかなどを見直すことで、リスク分析の見直しも完了です。
また、各作業が必要かどうか、利用している帳票の種類や内容を見直したり、帳票が統合可否などを検討することにより、業務の効率化を図ること可能になります。

 

まとめ

まとめ:「リスク分析表」を作成するより、リスク分析にも利用できる「作業手順書」を作成しましょう。
とすれば、新人の教育に役立つと同時に、見直しも業務に詳しい担当部門に任せることができます。
また、見直し時に無駄がないか、改善の余地がないかを検討することで、業務項リスカを図ることができます。

 

次回は、JISQ15001とプライバシーマークの関係を考えてみましょう。

                                            以上

ISOコム通信を読んでいただき、ありがとうございました。

 

弊社のコンサルティングにご興味のある方は、こちらまでお気軽にご相談ください。

フリーダイヤル 0120-541-330

ISOコム株式会社

2018年11月8日

無料!無駄なマニュアルを減らせば業務が楽になるんです!ISOスリム化診断始めました

ISOは専門コンサルタントがサポートする当社にご相談ください!ご相談は無料!
フリーダイヤル:0120-549-330
まずは無料でご相談

ISO認証取得コンサルティングご対応エリア:全国
これまでのISO支援地域:東京・神奈川・千葉・茨城・埼玉・栃木・静岡・愛知・三重・大阪・兵庫・京都・奈良・滋賀・岡山・徳島

ページの一番上に戻る