内容紹介
企業での運用面に焦点を当てて、個人情報保護の概論から実例まで紹介!
2005年4月、個人情報保護法が施行され、ほとんどの企業が同法の適用対象となる。本書は個人情報保護の運用を法律からでなく企業の運用面から解説。実際の例を踏まえ、個人情報保護運用ツールのアズジェント社製品M@gicPolicyを、実際の運用例として紹介する。
このような方におすすめ
企業の管理部門
個人情報に興味のある人
個人情報保護を運用できるツールに関心のある人
目次
主要目次
第1章 どうする個人情報保護対応
第2章 個人情報保護のポイント
第3章 運用組織をつくる
第4章 規程類をつくる
第5章 どうやって運用に落とすか
第6章 経営者が一目でわかる管理資料が重要
第7章 モニタリングと改善サイクル
第8章 万一、個人情報が流出してしまったら
第9章 プライバシーマークおよびISMSの取得
第10章 個人情報流失クリッピング
詳細目次
第1章 どうする個人情報保護対応
1.1 企業に求められる個人情報保護
1.1.1 相次ぐ個人情報の流出
1.1.2 個人情報保護対応は不可欠
1.2 個人情報保護の背景
1.2.1 プライバシー意識の向上
1.2.2 個人情報保護法の制定
1.3 個人情報保護法の概要
1.3.1 個人情報保護法の構成
1.4 誰が対応する必要があるのか―押さえておくべき定義
1.4.1 個人情報とは
1.4.2 個人情報データベースとは
1.4.3 個人情報取扱事業者とは
1.4.4 個人情報取扱事業者の義務
1.5 プライバシーマーク制度
第2章 個人情報保護のポイント
2.1 個人情報のライフサイクル
2.1.1 個人情報の流れ
2.1.2 入手プロセス
2.1.3 保管プロセス
2.1.4 利用プロセス
2.1.5 廃棄プロセス
2.2 個人情報の安全管理
2.2.1 求められる4つの安全管理措置
2.2.2 組織的安全管理措置
2.2.3 人的安全管理措置
2.2.4 物理的安全管理措置
2.2.5 技術的安全管理措置
2.3 運用組織―個人情報保護管理者の設置
2.4 規程類―個人情報保護方針を示す
2.5 運用対策のチェックリスト
2.6 管理資料―運用記録が重要
2.7 PDCAサイクル
第3章 運用組織をつくる
3.1 個人情報保護で求められる組織体制
3.1.1 安全管理のための組織体制
3.1.2 相談窓口と危機管理体制
3.2 個人情報保護を推進する運用組織
3.2.1 全社一丸の取り組みが必要
3.2.2 運用組織が必要なわけ
3.2.3 情報セキュリティ組織体制
3.3 運用組織のつくり方
3.3.1 運用組織のポイント
3.3.2 運用組織上の4つの役割
3.3.3 運用組織の構成
3.4 仮想会社による運用組織の構築事例
3.4.1 実組織体制図を用意
3.4.2 運用組織の体制図を書く
3.4.3 メンバーリストを作成
3.5 運用開始に向けた準備
3.5.1 誰が対策を実施するのか
3.5.2 運用対策の割り振り
3.5.3 運用対策の割り振りリスト
3.5.4 仮想会社での割り振り例
第4章 規程類をつくる
4.1 規程類はこんなものが必要
4.1.1 取り組み姿勢を明示する
4.1.2 ガイドラインで規程類の整備を要求
4.1.3 個人情報保護に関する規程類
4.2 規程類のつくり方
4.2.1 個人情報保護についてのルール
4.2.2 個人情報保護方針をつくる
4.2.3 個人情報保護規程をつくる
4.2.4 手順書をつくる
第5章 どうやって運用に落とすか
5.1 なぜ運用できないか
5.1.1 規定類は誰も読まない
5.1.2 教育の効果があがらない
5.1.3 ブラックボックス状態の運用
5.2 チェックリストの重要性
5.2.1 質問形式は親しみやすい
5.2.2 自分で点検できる
5.2.3 チェックを平準化
5.3 M@gicPolicy QUICKを使った効率的な運用・管理
5.3.1 さて、どうする
5.3.2 日々の積み重ねが重要
5.3.3 M@gicPolicy QUICKの概要
5.3.4 M@gicPolicy QUICKで運用・管理
5.3.5 簡単な操作
5.3.6 To Doリストで日々の運用
5.3.7 まずユーザ情報の登録
5.3.8 規程類を簡単に作成
5.3.9 規程類をWebで公開
5.3.10 運用対策項目も簡単作成
5.3.11 簡易手順書を作成
5.3.12 セキュリティ商品で対策を効率化
5.3.13 運用・管理を効率化するその他機能
第6章 経営者が一目でわかる管理資料が重要
6.1 財務諸表を読むように
6.1.1 経営者のコミットメント
6.1.2 個人情報保護は重要な経営事項
6.1.3 リスクマネジメント経営
6.2 現状把握と分析
6.2.1 個人情報と情報セキュリティ
6.2.2 個人情報の現状把握
6.2.3 情報セキュリティの管理
6.3 M@gicPolicy QUICKによる管理資料
6.3.1 経営者が随時確認できる分析資料
6.3.2 報告書として出力する現状分析レポート
6.3.3 必要に応じて出力できる記録文書
6.4 M@gicPolicy QUICKを使った現状分析
6.4.1 現状分析レポートの作成方法
6.4.2 現状分析の質問設定
6.4.3 現状分析に関する回答
6.4.4 個人情報保護準拠性報告書の作成
6.4.5 ガイドライン準拠性報告書の作成
6.4.6 セキュリティ完成度報告書の作成
6.5 M@gicPolicy QUICKによる分析資料
6.5.1 ログを基にした分析
6.5.2 運用チェック結果の分析と確認
6.5.3 内部監査結果の分析と確認
6.5.4 レーダチャート表示
6.5.5 集計表示
6.5.6 詳細表示
6.6 M@gicPolicy QUICKの記録文書
6.6.1 記録文書の参照
第7章 モニタリングと改善サイクル
7.1 PDCAサイクル
7.1.1 情報セキュリティのマネジメントシステム
7.1.2 PDCAサイクルが求められる理由
7.2 プラン(P)
7.2.1 継続的なスパイラルで個人情報保護を強化
7.2.2 方針や規程類の策定
7.3 実施・運用(D)
7.3.1 規程類の周知・徹底
7.3.2 具体的な対策項目と手順書の作成
7.3.3 実施・運用の設定
7.3.4 チェックリストで点検
7.4 確認モニタリング(C)
7.4.1 運用状況のチェック
7.4.2 規程類の遵守状況を監査
7.4.3 経営陣向けの報告書
7.5 改善アクション(A)
7.5.1 問題点を見つけ出す
7.5.2 改善の対応指示
7.5.3 規程類の見直しも必要
7.6 M@gicPolicy QUICKによるPDCAプロセス
7.6.1 運用・管理を効率化
7.6.2 Plan~組織にあった規程類の策定
7.6.3 Plan~運用対策項目の策定
7.6.4 Do~個人情報保護対策の実施計画
7.6.5 Do~実施状況の判定
7.6.6 Do~内部監査の計画と実施
7.6.7 Check~運用状況の分析と確認
7.6.8 Act~改善ポイントの確認と対応指示
第8章 万一、個人情報が流出してしまったら
8.1 なぜ流出事故は起こるか
8.1.1 置き忘れや盗難
8.1.2 うっかりミスや不注意
8.1.3 不正アクセスやウイルス
8.1.4 悪意による持ち出し
8.2 どんな場合に義務違反となるか
8.2.1 個人情報取扱事業者の義務
8.2.2 罰則が適用される場合
8.3 苦情への対応
8.3.1 問い合わせで流出発覚
8.3.2 おろそかにできない苦情
8.3.3 苦情処理窓口の設置
8.4 損害賠償はどのくらいか
8.4.1 1人あたり1万5000円の判例
8.4.2 想定慰謝料の算出例
8.4.3 お詫び料
8.5 事故発生時の対策
8.5.1 万が一への対応
8.5.2 ガイドラインが求める対策事項
8.5.3 その他の対策事項
8.5.4 事実調査
8.5.5 影響範囲の特定
8.5.6 本人への通知と謝罪
8.6 主務大臣への届出と報告
8.6.1 流出の疑い段階で届出
8.6.2 事実関係と再発防止策などを報告
8.6.3 業務停止命令もあり得る
8.6.4 警察への相談・届出
8.7 原因の究明―原因を絞り込める仕組みが重要
8.8 社内外への協力依頼
8.8.1 原因究明のための協力依頼
8.8.2 クレーム対応体制
8.9 再発防止策の検討と実施
8.9.1 暫定的処置
8.9.2 恒久的措置
8.10 社会への公表
8.10.1 速やかな公表
8.10.2 ホームページなどで公表
8.10.3 マスコミへの発表
8.11 今後の対応
8.11.1 継続的な公表
8.11.2 再発防止策も日々の運用がカギ
第9章 プライバシーマークおよびISMSの取得
9.1 プライバシーマークの取得手順
9.1.1 個人情報保護と密接なプライバシーマーク
9.1.2 プライバシーマーク制度の概要
9.1.3 取得するメリット
9.1.4 制度の動向
9.1.5 取得できる事業者
9.1.6 取得の方法
9.1.7 コンプライアンス・プログラムの構築
9.1.8 コンプライアンス・プログラムのための組織体制
9.1.9 コンプライアンス・プログラムの対象となる個人情報の特定
9.1.10 方針および規程類の策定
9.1.11 申請書類の作成
9.1.12 プライバシーマークの申請
9.1.13 書類審査
9.1.14 現地調査
9.1.15 認定と取得
9.1.16 取得にかかる費用
9.1.17 取得に要する期間
9.1.18 プライバシーマークの使用
9.2 ISMSによる個人情報の適正管理
9.2.1 ISMSについて
9.2.2 ISMSとは
9.2.3 個人情報保護とISMS
9.2.4 個人情報の適正管理
9.2.5 ISMS適合性評価制度
9.3 ISMS構築の手順
9.3.1 ISMSのPDCAサイクル
9.3.2 適用範囲の決定
9.3.3 情報セキュリティポリシーの策定
9.3.4 リスクアセスメント取り組み方法の策定
9.3.5 情報資産の洗い出し
9.3.6 リスクアセスメントの実施
9.3.7 管理策の選択
9.4 M@gicPolicy CoSMOの概要
9.4.1 プロフェッショナル版
9.4.2 M@gicPolicy QUICKとの違い
9.4.3 主な機能と特徴
9.4.4 導入効果
第10章 個人情報流失クリッピング
10.1 概 況
10.2 官公庁の流出事件
10.3 民間企業の流出事件
10.3.1 情報通信・放送
10.3.2 証券・金融・保険
10.3.3 建設・不動産
10.3.4 食品
10.3.5 石油
10.3.6 金属
10.3.7 鉄道
10.3.8 サービス・その他
索引
続きを見る