個人情報を漏洩したときの備えとして、JIS Q 15001では次のように定められています。
3.3.7 緊急事態への準備
事業者は、緊急事態を特定するための手順、また、それらにどのように対応するかの手順を確立し、実施し、かつ、維持しなければならない。
事業者は、個人情報が漏えい、滅失又はき損をした場合に想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれを考慮し、その影響を最小限とするための手順を確立し、かつ維持しなければならない。
また、個人情報の漏えい、滅失又はき損が発生した場合に備え、次の事項を含む対応手順を確立し、かつ維持しなければならない。(後略)
Pマークの外部審査でも、緊急事態への準備として、この条項に適合できているかどうか審査されます。
個人情報の漏洩事故が発生した場合、備えていた緊急事態の対応手順に従って、対応が求められるので、事故対応に当たるのですが、ご存知のとおり、Pマークには、
「プライバシーマーク制度における欠落事項及び判断基準」
というものがあります。
これは、Pマーク付与事業者が個人情報漏洩事故を起こした場合の罰則規定です。
これにしたがって、Pマーク付与の取消しなどが決められるのですが、
この定めがあることで、
『Pマークで定めた緊急事態の対応手順に従って、適切に対応した認証組織が、Pマーク付与を取り消される』
という矛盾が生まれています。
おかしいと思いませんか?
そういえば、Pマークの認証マークに記載のあった
『JIS Q 15001準拠』 って文字が今年からなくなりましたね。
0 件のコメント:
コメントを投稿