「研究会報告2014」カテゴリーアーカイブ

個人情報保護監査研究会【「個人情報の保護に関する法律についての 経済産業分野を対象とするガイドライン」の改定案に対するパブリックコメント提出】

個人情報保護監査研究会 報告

【「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
  の改定案に対するパブリックコメント提出】

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」、いわゆる「経済産業省ガイドライン」の改定が予定されている。
現行の「経済産業省ガイドライン」 (平成21年10月9日厚生労働省・経済産業省告示第2号)以降、5年ぶりの改定検討である。

IT総合戦略本部において、パーソナルデータの利活用に向けての検討がすすみ、またOECD「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告(2013)」への対応を迫られていることから、「個人情報保護法」の2015年改訂まで待っていられないという状況のようである。

個人情報保護監査研究会が6月14日に提出した、4件のパブリックコメントのうち2件をご紹介する。

(全文を読む) 【「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
  の改定案に対するパブリックコメント提出】

新しい『IT事業者評価制度』導入の政策提言【近畿支部第144回定例研究会報告】

近畿支部第144回定例研究会報告より

1.テーマ :「新しい『IT事業者評価制度』導入の政策提言」
2.講師  :株式会社エスシーエイエヌ 
        代表取締役 中田 和男 氏
3.開催日時:2014年1月17日(金) 18:30 ~ 20:30
4.開催場所:大阪大学中之島センター 講義室201

5.講演概要:
 【参考】
 SAAJ近畿支部創設25 周年記念研究大会の研究論文が下記に掲載されています。
 http://www.saajk.org/?p=838

IT事業者の経営力・技術力を総合的・客観的に評価する制度・基準が存在すれば、
官公需入札での合理的な発注先選定、システム監査上での開発・運用業者の力量確認の大幅な効率化に加え、
IT事業者自体の健全なる発展の指針として寄与できる。
建設業の経営事項審査制度を参考に、IT産業に適合した採点方式を一つの案として提示する。

続きを読む 新しい『IT事業者評価制度』導入の政策提言【近畿支部第144回定例研究会報告】

「個人情報保護マネジメントシステム実施ハンドブック」簡易版 第21章、第22章

第21章 是正処置及び予防処置
不適合が発見されたとき、また、不適合に発展すると思われる要因を発見した時、
当該部門長は速やかに是正処置及び予防処置を講じる必要があります。
以下のPMS運用で、不適合が発見された時は、是正・予防処置を講じる必要があります。
a) 運用の確認
b) 内部監査
c) 緊急事態の発生
d) 外部機関による指摘
e) 苦情
f) あらたなリスクを発見

(中略)

第22章 代表者による見直し
22.1 代表者による見直し  
代表者主催の会議ですが、個人情報保護管理者がPMSの関係者を招集して開催します。

22.2 代表者による見直し時期 
見直し実施時期は、内部監査終了後、1ヶ月以内をめどにするとよいでしょう。

22.3 見直し実施記録 
1.個人情報保護管理者は、インプットする報告文書を準備して会議に臨み、代表者に説明します。

(中略)

続きを読む 「個人情報保護マネジメントシステム実施ハンドブック」簡易版 第21章、第22章

情報セキュリティ監査研究会だより その10 - プライバシー・バイ・デザイン 第5回(連載)

情報セキュリティ監査研究会では、
アン・カブキアン著、「プライバシー・バイ・デザイン プライバシー情報を守るための世界的新潮流」をテキスト(以下、左記の書を「テキスト」と称します)として、「プライバシー・バイ・デザイン」の意義、影響、PIAやシステム監査との関係などを議論しております。

前々回からテキストの第2章第6節「新たな連携プライバシー影響評価(F-PIA):プライバシーと信頼できる連合体の構築」を取り上げております。

なぜ、この節を取り上げたかというと、
ネットワーク社会の進展にともない個人情報が複数の組織間(企業、政府機関、その他の団体)で大量に授受されることがあたりまえになってきているなかで、未だ個人情報保護に関する種々の取り組みが単一の組織内に留まっていて、かかる状況に対応できていないと考えるからです。

我が国のプライバシーマーク制度も単一の組織を対象としています。

この問題に対して、真正面から取り組んでいるのが、・・・

続きを読む 情報セキュリティ監査研究会だより その10 - プライバシー・バイ・デザイン 第5回(連載)

2013年版COSO内部統制フレームワークの概要

第187回月例研究会(2013年11月開催)参加報告

講演テーマ:
2013年版COSO内部統制フレームワークの概要
講師:森谷 博之 (もりや ひろゆき)氏  
有限責任監査法人トーマツ
エンタープライズリスクサービス  シニアマネジャー

要旨(講師からいただいた講演骨子)
2013年5月、内部統制フレームワークの事実上の世界標準の設定組織であるCOSOが、その最新フレームワークを公表しました。新フレームワークは、1992年に公表された内部統制フレームワークを最新化したものであり、1992年当時から現在までに生じた経営環境の変化やIT技術の進化に対応したものです。

解説においては、まずCOSOフレームワークが作成された背景を説明し、今回の改訂の位置づけ、構成、改定の概要を説明します。特にガバナンス、不正リスク評価など特徴的なトピックに重点を置いた説明をする予定です。COSOは、1992年版フレームワークを適用している組織は、2013年版フレームワークにて提示された諸原則が満たされていることを確認することを推奨しています。本セッションでは、2013年版COSO内部統制フレームワークの概要を解説します。

(全文を読む)
投稿 2013年版COSO内部統制フレームワークの概要

 

このページはSAAJ会報、2014年2月号より紹介しています。

「個人情報保護マネジメントシステム実施ハンドブック」簡易版 第17-19章

「個人情報保護マネジメントシステム実施ハンドブック」簡易版 第 17 章

第17章 教育

業者は、個人情報を実務で取扱う従業者の啓発を図り、
従業者の個人情報保護意識を徹底するためにすべての従業者に対し定期的に教育を実施します。

17.1 教育計画

1.個人情報保護教育責任者は、すべての従業者を対象として
「3451PMS教育計画書(兼報告書)」を作成し、個人情報保護管理者および代表者の承認を得ます。
2.同一社内で、営業職と現業職など、個人情報の取り扱いが大きく異なる場合は、
職務内容と職務権限を考慮して「3451PMS教育計画書(兼報告書)」を、
複数パターン作成することがあります。

(中略)

「個人情報保護マネジメントシステム実施ハンドブック」簡易版 第 18 章

第18章 文書の管理
プライバシーマーク認証審査では、
PMSが適切に維持されているかどうかを客観的に確認します。
確認する対象は主として文書で、
第三者が見てもわかりやすく記述されていることが重要です。
実施記録などはエビデンス(証憑)と呼ばれることがあります。

18.1 文書の作成 
PMSの基本となるのは次の要素です。「PMS文書体系」を策定して、維持管理します。

(中略)

「個人情報保護マネジメントシステム実施ハンドブック」簡易版 第 19 章

第19章 苦情・相談対応
事業者は、法31条に基づいて、個人情報の取扱いに関する苦情の
適切かつ迅速な処理及び体制の整備に努める必要があります。
苦情・相談が寄せられた場合は、緊急事態発生手順に準じて取扱います。

19.1 苦情

苦情を受付けた場合の、対応手順の事例を示します。
(中略)

続きを読む 「個人情報保護マネジメントシステム実施ハンドブック」簡易版 第17-19章

新たな連携プライバシー影響評価(F-PIA):プライバシーと信頼できる連合体の構築

【情報セキュリティ監査研究会だより その9 - プライバシー・バイ・デザイン 第4回】(連載)

情報セキュリティ監査研究会では、
アン・カブキアン著、
「プライバシー・バイ・デザイン プライバシー情報を守るための世界的新潮流」
をテキスト(以下、左記の書を「テキスト」と称します)として、
「プライバシー・バイ・デザイン」の意義、影響、PIAや
システム監査との関係などを議論しております。

前回からテキストの第2章第6節
「新たな連携プライバシー影響評価(F-PIA):プライバシーと信頼できる連合体の構築」
を取り上げております。
なぜ、この節を取り上げたかというと、
ネットワーク社会の進展にともない個人情報が複数の組織間
(企業、政府機関、その他の団体)で大量に授受されること
が当たりえまえになってきているなかで・・・

続きを読む 新たな連携プライバシー影響評価(F-PIA):プライバシーと信頼できる連合体の構築