日本ビジネスリード株式会社が採用する情報セキュリティ体制
当社は、個人情報保護委員会の認定個人情報保護団体である「一般社団法人JAPHICマーク認証機構の対象事業者です。
第三者認証マーク
JAPHICマークについて
経済産業大臣認定個人情報保護団体(平成18・02・08情第6号)一般社団法人JAPHICマーク認証機構
JAPHICマーク制度とは
JAPHIC ( ジャフィック ) マーク制度は、「個人情報の保護に関する法律」 ( 平成15 年5 月30 日法律第57 号)に基づき作られた「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」に準拠して、個人情報について適切な保護措置を講ずる体制を整備し運用している事業者を認定して、その旨を示すJAPHIC マークを付与し、事業活動に関してJAPHIC マークの使用を認める制度です。
目的
個人情報取扱事業者として適切な措置を施していることを客観的に証明することで、高まっている消費者の個人情報保護意識に応え, 企業間取引における信頼性の向上を目的とします。
付与の対象
JAPHIC マークの付与の対象は、国内に活動拠点を持ち、加えて、少なくとも次の条件を満たし、実際の事業活動において個人情報の保護を推進している事業者です。
- 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」に準拠した個人情報保護の体制を構築していること。
- 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」に基づき個人情報の適切な取り扱いが実施され、または実施可能な体制が整備されていること。
- 次に示す欠格事項のいずれかに該当しない事業者であること。
・申請の日前3か月以内にJAPHIC マーク付与の申請または再審査の請求について否とする旨の決定を受けた事業者
・申請の日前2年以内にJAPHIC マーク付与認定の取り消しまたはJAPHIC マーク使用契約の解除を受けた事業者
・申請の日前2年以内に個人情報の取り扱いにおいて個人情報の外部への漏えいその他本人 ( 個人情報保護法に定める「本人」 ) の利益の侵害を行った事業者
個人情報保護に関わる構造と対象範囲
一般社団法人JAPHICマーク認証機構
個人情報保護保護法
経済産業省ガイドライン
*認定個人情報保護団体制度の目的は、事業者による苦情処理の取組を補完し、苦情の自主的な解決を図るため、主務大臣が民間の団体(事業者団体等)を認定することにより、その業務について消費者からの信頼を確保することにあります。
認定個人情報保護団体は、対象事業者の個人情報の取扱いに関する苦情の処理、ガイドライン等の作成・公表、対象事業者への情報提供などの業務を行うことになります。
個人情報保護に関わる構造と対象範囲
JAPHICマーク制度では、経済産業省ガイドラインに「準拠」して体制構築を整えれば良いため、個人情報の取り扱い携帯、事業規模に合わせた個人情報保護体制が構築可能。
日本ビジネスリードでは、「営業関連組織活動支援」「マーケティング支援」を担う企業として公開している人事異動情報を取得し、「KEYMAN-PRO」「人事異動NO.1検索」のサービスで情報提供している関係上、JAPHICマーク取得選択をいたしました。
「事業者は、その取り扱う個人情報のリスクに応じて、漏洩、原失又は棄損の防止その他個人情報の安全管理の為に必要、かつ適切な措置を講じなければならない」と定めています。
「人的安全管理措置、組織的安全管理措置、技術的安全措置、物理的安全措置」の4つのカテゴリに分けられ、講じなければならない事項が含まれています。更にそれぞれの事項を実践する為に望まれる手法まで記載されています。
具体的にどのようにすればよいか、という事は定められておらず、コンサルタントの経験や審査員の審査基準にかかっていて、それにより合否が変わってくると言えます。
具体的手法を提示している為、事業者が取り組める手法を選択することができます。保護体制構築後に於いても、今後目指す体制の参考にできます。
事業者は、個人情報を第三者に提供する場合には、あらかじめ本人に対して、取得方法及び
・事業者の氏名
・提供目的
・個人情報に関する管理者の氏名
・提供する項目提供の組織名など
これらの事項又はそれと同等以上の事項を本人に通知し、本人の同意を得なければならない。
個人情報取扱事業者は、提供にあたりあらかじめ、
1)第三者への提供を利用目的とする事
2)第三者に提供される個人データの項目
3)第三者への提供の手段または方法
4)本人の求めに応じて第三者への提供の手段または方法
これらの事項を本人に通知または本人が容易に知り得る状態(HPや事務所の入り口への掲示)に置いており、本人の求めに応じて第三者へ個人データを提供する事が出来る。(第三者提供におけるオプトアウトという)
本人の同意の無い第三者提供は原則禁止となっています。なお、共同利用する為に提供する場合は、本人に通知または公表することで本人の同意を得なくても共同利用する事ができます。
しかし、共同利用する目的で提供を受けた情報を利用し、本人に直接接触する場合には、本人の同意が必要となります。
・原則として本人の同意の無い個人情報の収集・利用は禁止
・あらかじめ本人から同意を得る措置を取ること
が原則となっています。
「(限られた範囲内での)第三者提供」において、オプトアウトを行っている場合は、本人の同意を得たものと見なす事ができ、個人データを第三者に提供する事ができます。
・取得・利用に際して必ずしも本人の同意は必要としていません。
・本人の求めがあった場合に後から第三者提供を停止する措置をとることができます。
