続いて【Do】運用
最初に実施しなければならないのは教育です。
新JISになって追加された内容は、最低限周知しましょう。
審査において、審査員は記録をもとに実施(運用)状況を 確認する以外方法はないので、記録が無ければ規程通り実施(運用)しないと判断 せざるを得ません。結果は、不適合につながります。
このようにならないよう面倒がらずに記録を残しましょう。
| 新JIS規格要求事項 |
規格番号 |
相違(変更・追加)点 |
| 個人情報の特定 |
3.3.1 |
旧JISでは、リスク処理が含まれていたが、新JISでは3.3.3に分割 |
| 法令、国が定める指針およびその範囲 | 3.3.2 |
事業者の関連する省庁が発行しているガイドラインの特定が必要 |
| リスクなどの認識・分析及び対策 |
3.3.3 |
リスク処理では、認識・分析・対策を講じる手順が強化され、目的外利用の防止手順の確立が必要【3.3.5内部規程 c)も必要になる】 |
| 資源、役割、責任及び権限 |
3.3.4 |
個人情報保護管理者から代表者へのPMSの見直し、改善の基礎となる運用状況の報告が追加【3.7.2監査、3.9代表者による見直しにも関連する】 |
| 内部規程 |
3.3.5 |
作成が要求される内部規程の数は、旧JISの6項目から15項目に増加 |
| 緊急事態への対応 |
3.3.7 |
新規追加要求事項 |
| 本人へアクセスする場合の措置 |
3.4.2.7 |
新規追加要求事項ではあるが、旧JIS4.4.2.5に相当する |
| 従業者の監督 |
3.4.3.3 |
新規追加要求事項 |
| 個人情報に関する本人の権利 |
3.4.4.1 |
新規追加要求事項
【開示対象個人情報の明確化】 |
| 開示等の求めに応じる手続き |
3.4.4.2 |
新規追加要求事項 |
| 開示対象個人情報に関する周知など |
3.4.4.3 |
新規追加要求事項 |
| 開示対象個人情報の利用目的の通知 |
3.4.4.4 |
新規追加要求事項 |
運用の確認 |
3.7.1 |
新規追加要求事項 |
| 是正処置及び予防処置 |
3.8 |
新規追加要求事項 |
【重要】
教育(周知)の結果は、教育訓練実施記録に記述して残しておきます。
更新審査で確実にチェックされます。
新しく要求事項に加わった「緊急事態への対応」では、指図や実施の訓練も含めて行って おくことをお勧めします。
安全対策で、PCへインストールしているソフトウェアの確認を(毎月or毎週)することにな っているのであればその記録も残します。
