プライバシーマーク(Pマーク) 用語集
プライバシーマーク(Pマーク)に関連する用語を解説します。
JIS Q 15001
プライバシーマーク(Pマーク)の認証のために使用される規格。現時点(2006/8)では、2006年版が最新。
個人情報保護マネジメントシステム
旧規格では「コンプライアンス・プログラム」と呼ばれていた。 JIS規格の定義では「事業者が、自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利利益を保護するための方針、体制、計画、実施、点検及び見直しを含むマネジメントシステム」とされている
事業者の代表者による見直し
実際に個人情報保護マネジメントシステムを運用した状況・結果や、個人情報の取り扱いに関する状況をトップが定期的に再評価すること。
どのような項目を評価すべきかについて、規格に要求が示されている。
個人情報管理責任者
「個人情報保護管理者」「Chief Privacy Officer (CPO)」 などの呼称が使われる場合もある。個人情報の収集や取り扱い、安全対策などに関する責任者である。
リスク
JIS Q 15001では「リスク」についての定義はなく、解説もない。 「リスクを認識」については以下のように解説されている。
「特定した個人情報の取得・入力、移送、送信、利用・加工、保管・バックアップ、消去・廃棄に至る個人情報の取扱いの一連の流れを各局面において、適正な保護措置を講じない場合に想定されるリスクを洗い出すことであり、リスクを”分析”するとは、洗い出したリスクを定性的な評価などによって評価することである」
脅威
起きてはならないこと。起こるととても困ること。
たとえば、情報が盗まれる、紛失するなど。
ぜい弱性
起きてはならないこと(脅威)が、起こりやすくなっている部分または状態。
「弱点」と言い換えると理解しやすい。たとえば「情報が盗まれる」という「起きてはならないこと」に対して、事務所が開けっ放し、文書が机の上に出し放し、パソコンはつけっ放しで、知らない人が出入りしていても誰も注意しないという状況は、「弱点がある」あるいは「弱点が多い」などと表現する。
残存リスク
弱点についてどのような対策を行っても、発生可能性ゼロにはならない。
対策を行った後、それでも残っているリスクが「残存リスク」である。(ISO27001では残留リスクと呼ぶ)
不適合
要求事項を満たしていないことを意味する。要求事項の意味には、顧客要求・社内要求・法規制要求が含まれるため、これを満たしていないことが不適合である。
是正処置
不適合が発生した原因を調査し、再び不適合が発生しないように原因を取り除くことである。したがって、再発防止というほうが分かりやすい。この再発防止を行うにあたっては、「なぜ、起こってしまったのか」真の原因を追求し、効果的な対策を打つことが重要となる。
予防処置
問題が起こる前にあらかじめ先手必勝で対策を打ち、問題の発生を未然に防止することである。
利用目的
個人情報をどのような目的で使用するのか」を意味する。利用目的は原則として、個人情報を収集する際に
本人に同意を得る必要がある。さらには、その範囲内で使用しなければならないとされている。
例えば、アンケート集計を目的として集めた個人情報を利用して、商品の宣伝のためのDMを送付することは
原則としてやってはならないということになる。
