当事務所では、初めてご相談に来られたお客様にご来訪者カードをご記入頂いております。
今後の円滑な業務連絡に必要な事項として氏名、連絡先等の個人情報のご提供をお願いしております。
個人情報のお取り扱いについては、下記基本方針をご確認下さい。
当事務所 代表 行政書士 菊地淳一は、個人情報の有用性に配慮しつつ、 個人の権利利益を
保護することに努めます。
当事務所はお預かりした個人情報の利用目的を公表し、情報セキュリティの確保を行い、
以下の個人情報保護方針に基づき実行し、かつ、維持することに努めます。
a)個人情報は行政書士法第1条の2、第1条の3に定める業務に必要な範囲で利用、保管、
管理致します。
b)個人情報を安全に管理するために、漏えい、滅失、毀損などに対する情報セキュリティ
の確保・向上に努めます。
c)個人情報は正当な理由のある場合を除き、事前の同意なくして第三者へ開示、
提供することは致しません。
d)個人情報を第三者に委託する場合、当事務所の責任のもと適切な委託先を選定し、
委託後の管理監督を継続します。
e)個人情報取り扱い業務は、JISQ15001に準拠した運用、改善に努めます。
f)個人情報取に関する苦情、問い合わせ窓口は 当事務所代表菊地淳一が担当します。
問い合わせ先 千葉県市川市南八幡4-4-22-403 行政書士 菊地淳一
TEL047-374-3870
以上
平成22年4月2日制定
ニューヨーク市立図書館
ここで個人情報保護方針についてご説明します。(参考)
(個人情報保護方針は、個人情報マネジメントシステム要求事項に規定されています)
JISQ15001という日本工業規格に個人情報を管理するシステムの在り方が定められています。
では、JISQ15001:2006 要求事項とは?
「この規格は、工業標準化法に基づき、日本工業標準調査会の審議を経て、経済産業大臣が改正した日本工業規格である。
これによって、JISQ15001:1999は改正され、この規格に置き換えられた。」
(まえがきより抜粋)
事業者は、個人情報マネジメントシステムを確立、実施する場合や、当該個人情報マネジメントシステムがこの日本工業規格に適合していることを表明する場合、更には外部機関による個人情報マネジメントシステムの認証/登録を求める際にこの規格を用いることになります。
(1.適用範囲より)
つまり、JISQ15001:2006 要求事項は、
個人情報保護に関するコンプライアンス・プログラムを作成し、実施、維持、継続的改善を行う上での要求事項 ということになります。
以下、個人情報マネジメントシステム要求事項を要約しましたので参考にして下さい。(抜粋)
=個人情報マネジメントシステム要求事項=
1.
一般要求事項
事業者は、個人情報保護マネジメントシステムを確立、実施、維持し、かつ改善しなければなりません。その要求事項は 3の「計画」で規定しています。
2.
個人情報保護方針
方針を定めるうえでの必要な事項は次の6つです。
① 事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関 すること。
② 個人情報の取扱に関する法令、国が定める指針その他の規模を遵守すること。
③ 個人情報の漏えい、滅失又は毀損の防止及び是正に関すること。
④ 苦情及び相談への対応に関すること。
⑤ 個人情報保護マネジメントシステムの継続的改善に関すること。
⑥ 代表者の氏名
「個人情報保護方針」は、事業者の個人情報保護に関する取組を内外に宣言する公式文書となり、公表にあたっては、制定年月日及び最終改訂年月日を表示する必要があり、個人情報保護の理念及び経営責任等を明確にするため、取締役会の決議を経る必要があります。
さらに、一般の人が入手可能な措置を講じなければならないとされており、ウエブサイトによる公開、会社パンフレットに記載し受付カウンターに自由に持ち帰ることができるように用意する必要があります。
また、遠方からの問い合わせに対しては、要望があればすぐに送付する体制を整えておく手段も必要と考えられます。
1.計画
① 個人情報の特定
② 法令、国が定める指針その他の規範
③ リスクなどの認識、分析及び対策
④ 資源、役割、責任及び権限
⑤ 内部規定
次の事項を含む内部規定を文書化し、かつ、維持しなければなりません。
a.個人情報を特定する手順に関する規定
b.法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
c.個人情報に関するリスクの認識、分析及び対策の手順に関する規定
d.事業者の各部門及び階層における個人情報を保護するための権限及び責任
に関する規定
e.緊急事態への準備及び対応に関する規定
f.個人情報の取得、利用及び提供に関する規定
g.個人情報の適正管理に関する規定
h.本人からの開示等の求めへの対応に関する規定
i.教育に関する規定
j.個人情報保護マネジメントシステム文書の管理に関する規定
k.苦情及び相談への対応に関する規定
l.点検に関する規定
m.是正処置及び予防処置に関する規定
n.代表者による見直しに関する規定
o.内部規定の違反に関する罰則の規定
⑥ 計画書
⑦ 緊急事態への準備
2.
実施及び運用
事業者は、個人情報保護マネジメントシステムを確実に実施するために、運用の手順を明確にする必要があります。
① 利用目的の特定
② 適正な取得
③ 利用及び提供の制限
④ 個人情報を本人から直接書面によって取得する場合の措置
事業者は次の事項をあらかじめ書面によって本人に明示し、本人の同意を得る必要があります。
a.事業者の氏名又は名称
b.個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び
連絡先
c.利用目的
d.個人情報を第三者に提供することが予定される場合の事項
e.個人情報の取り扱いの委託を行うことが予定される場合には、その旨
f.⑯~⑲に該当する場合には、その求めに応じる旨及び問い合わせ窓口
g.本人が個人情報を与えることの任意性及び当該情報を与えなかった場合
に本人に生じる結果
h.本人が容易に認識できない方法によって個人情報を取得する場合には、
その旨
⑤ 個人情報を④以外の方法によって取得した場合の措置
⑥ 利用に関する措置
⑦ 本人にアクセスする場合の措置
事業者は、個人情報を利用して本人にアクセスする場合には本人に対して次の事項、及び取得方法を通知し、本人の同意を得る必要があります。
a.事業者の氏名又は名称
b.個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
c.利用目的
d.個人情報を第三者に提供することが予定される場合の事項
e.個人情報の取り扱いの委託を行うことが予定される場合には、その旨
f.⑯~⑲に該当する場合には、その求めに応じる旨及び問い合わせ窓口
⑧ 提供に関する措置
事業者は、個人情報を第三者に提供する場合にはあらかじめ本人に対して次の事項及び取得方法を通知し、本人の同意を得る必要があります。
a.事業者の氏名又は名称
b.個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属
及び連絡先
c.利用目的
d.個人情報を第三者に提供することが予定される場合の事項
⑨ 正確性の確保
事業者は、利用目的の達成に必要な範囲において、個人情報を、正確、かつ、最新の状態で管理する必要があります。
⑩ 安全管理措置
事業者は、その取り扱う個人情報のリスクに応じて、漏えい、滅失又は毀損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じる必要があります。
⑪ 従業者の監督
事業者は、その従業者に個人情報を取り扱わせるに当たっては、当該個人情報の安全管理が図られるよう、当該従業者に対し必要、かつ、適切な監督を行う必要があります。
⑫ 委託先の監督
事業者は、個人情報の取扱いの全部又は一部を委託する場合は、十分な個人情報の保護水準を満たしている者を選定しなければならないため、委託を受ける者を選定する基準を確立する必要があります。
事業者は、個人情報の取扱いの全部又は一部を委託する場合は、委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要、かつ、適切な監督を行う必要があります。
事業者は、以下の事項を契約によって規定し、十分な個人情報の保護水準を担保する必要があります。
a.委託者及び受託者の責任の明確化
b.個人情報の安全管理に関する事項
c.再委託に関する事項
d.個人情報の取扱状況に関する委託者への報告の内容及び頻度
e.契約内容が遵守されていることを委託者が確認できる事項
f.契約内容が遵守されなかった場合の措置
g.事件・事故が発生した場合の報告・連絡に関する事項
事業者は、当該契約書などの書面を少なくとも個人情報の保有期間にわたって保存する必要があります。
⑬ 個人情報に関する本人の権利
事業者は、開示対象個人情報に関して、本人から利用目的の通知、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を求められた場合は、以下の⑯~⑲の規定によって遅滞なく応じる必要があります。
⑭ 開示等の求めに応じる手続き
事業者は、開示等の求めに応じる手続きとして次の事項を定める必要があります。
a.開示等の求めの申し出先
b.開示等の求めに際して提出すべき書面の様式その他の開示等の求め
の方法
c.開示等の求めをする者が、本人又は代理人であることの確認の方法
d.⑯または⑰による場合の手数料(定めた場合に限る)の徴収方法
⑮ 開示対象個人情報に関する事項の周知
事業者は、取得した個人情報が開示対象個人情報に該当する場合は、当該開示対象個人情報に関し、次の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければなりません。
a.事業者の氏名又は名称
b.個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
c.すべての開示対象個人情報の利用目的
d.開示対象個人情報の取扱に関する苦情の申し出先
e.当該事業者が「認定個人情報保護団体」の対象事業者である場合に
あっては、当該認定個人情報保護団体の名称及び苦情の解決の申し出先
f.⑭で定めた手続き
⑯ 開示対象個人情報の利用目的の通知
事業者は、本人から、当該本人が識別される開示対象個人情報について、利用目的の通知を求められた場合には、遅滞なくこれに応じる必要があります。
⑰ 開示対象個人情報の開示
事業者は、本人から、当該本人が識別される開示対象個人情報の開示を求められたときは、法令の規定によって特別の手続きが定められている場合を除き、本人に対し、遅滞なく、当該開示対象個人情報を書面によって開示する必要があります。
⑱ 開示対象個人情報の訂正、追加又は削除
事業者は、本人から、当該本人が識別される開示対象個人情報の内容が事実でないという理由によって当該開示対象個人情報の訂正、追加又は削除を求められた場合は、法令の規定によって特別の手続きが定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該開示対象個人情報の訂正等を行い、訂正等を行ったときは、その旨及びその理由を、本人に対し、遅滞なく通知する必要があります。
⑲ 開示対象個人情報の利用又は提供の拒否権
事業者が、本人から当該本人が識別される開示対象個人情報の利用の停止、消去又は第三者への提供の停止を求められた場合は、これに応じる必要があります。
また、措置を講じた後は、遅滞なくその旨を本人に通知する必要もあります。
⑳ 教育
事業者は、従業者に、定期的に適切な教育を行い、関連する各部門及び階層における次の事項を理解させる手順を確立し、かつ、維持する必要があります。
a.個人情報保護マネジメントシステムに適合することの重要性及び利点
b.個人情報保護マネジメントシステムに適合するための役割及び責任
c.情報保護マネジメントシステムに違反した際に予想される結果
事業者は、教育の計画及び実施、結果の報告及びそのレビュー、計画の見直し並びにこれらに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持する必要があります。
3.
個人情報保護マネジメントシステム文書
① 文書の範囲
事業者は、次の個人情報保護マネジメントシステムの基本となる要素を書面で記述する必要があります。
a.個人情報保護方針
b.内部規程
c.計画書
d.この規格が要求する記録及び事業者が個人情報保護マネジメントシステムを実施するうえで必要と判断した記録
② 文書管理
事業者は、この規格が要求するすべての文書(記録をのぞく)を管理する手順を確立し、実施し、かつ、維持する必要があります。
文書管理の手順には次の事項が要求されています。
a.文書の発行及び改訂に関すること
b.文書の改訂の内容と版数との関連付けを明確にすること
c.必要な文書が必要なときに容易に参照できること
③ 記録の管理
事業者は、情報保護マネジメントシステム及びこの規格の要求事項への適合を実証するために必要な記録を作成し、かつ、維持する必要があります。
また、事業者は、記録の管理についての手順を確立し、かつ、維持する必要があります。
4.
苦情及び相談への対応
事業者は、個人情報の取扱及び個人情報保護マネジメントシステムに関して、本人からの苦情及び相談を受け付けて、適切、かつ、迅速な対応を行う手順を確立し、かつ、維持する必要があります。
また、事業者は上記の目標を達成するために必要な体制の整備を行う必要もあります。
5.
点検
① 運用の確認
事業者は、個人情報保護マネジメントシステムが適切に運用されていることが事業者の各部門及び階層において定期的に確認されるための手順を確立し、実施し、かつ、維持することが求められています。
② 監査
事業者は、個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マネジメントシステムの運用状況を定期的に監査するよう求められています。
事業者の代表者は、公平、かつ、客観的な立場にある個人情報保護監査責任者を事業者の内部の者から指名し、監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え、業務を行わせる必要があります。
個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、事業者の代表者に報告する必要があります。
監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保することも求められています。
事業者は、監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持する必要があります。
6.
是正措置及び予防処置
事業者は、不適合に対する是正処置及び予防処置を確実に実施するための責任及び権限を定める手順を確立し、実施し、かつ、維持する必要があり、その手順には、次の事項を含めるよう求められています。
a.不適合の内容を確認する
b.不適合の原因を特定し、是正処置及び予防処置を立案する
c.期限を定め、立案された処置を実施する
d.実施された是正処置及び予防処置の結果を記録する
e.実施された是正処置及び予防処置の有効性をレビューする
7.
事業者の代表者による見直し
事業者の代表者は、個人情報の適切な保護を維持するために、次の事項を考慮して定期的に個人情報保護マネジメントシステムを見直す必要があります。
a.監査及び個人情報マネジメントシステムの運用状況に関する報告
b.苦情を含む外部からの意見
c.前回までの見直しの結果に対するフォローアップ
d.個人情報の取扱に関する法令、国の定める指針その他の規範の改正状況
e.社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
f.事業者の事業領域の変化
g.内外から寄せられた改善のための提案
以上
|