誰もが必ず間違う!?Pマーク(プライバシーマーク)新規取得の5つの穴


いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの遠藤です。

さて、今回は『これからPマーク(プライバシーマーク)の新規取得を目指そう!』という皆様のために、「Pマーク新規取得の5つの穴」をご紹介したいと思います。

其の一『審査機関の穴』

Pマークを取得しようとお考えの際、まず最初にたどり着く審査機関は、「一般財団法人日本情報経済社会推進協会(通称JIPDEC ジプデック)」ではないかと思います。

PマークはJIPDECが認証している規格で、まさに元締め的な存在になります。

しかしながら、審査そのものは、JIPDECが審査機関として指定している別組織でも受けることが可能です。
JIPDECのホームページに「プライバシーマーク指定審査機関一覧」のページがありますので、そちらから確認することができます。

早期取得を目指す場合、審査機関の選択もひとつのポイントになります。
「審査機関は選べる」ということを、はじめにお伝えしたいと思います。

其の二『利用目的と同意取得の穴』

Pマークでは、個人情報を本人から直接取得する際に「本人からの同意取得」が求められています。

規格ではこのように記載されています。
「少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、本人の同意を得なければならない。」

個人情報保護法では、利用目的を明示するだけでよいとされていますが、Pマークでは、利用目的等の事項を明示した上で、本人の同意を得る必要があります。
その際に明示する利用目的は包括的な内容ではなく、その場面にあった内容を明示することが求められます。
例えば、採用面接では履歴書を受け取りますが、履歴書の利用目的は「採用選考と連絡」といった具合です。

個別に利用目的を明示していない場合、現地審査時に修正を求められることになりますので、同意取得の際には、個別に利用目的を明示するようにしておきましょう。

其の三『委託先との機密保持契約の穴』

Pマークの要求事項の中に、委託先との機密保持契約があります。
一般に業務委託契約書の中に機密保持条項も含まれていますが、その内容はPマークの要求を満たしていないケースが大半です。

Pマークの要求は以下の項目です。

a) 委託者及び受託者の責任の明確化
b) 個人情報の安全管理に関する事項
c) 再委託に関する事項
d) 個人情報の取扱状況に関する委託者への報告の内容及び頻度
e) 契約内容が遵守されていることを委託者が確認できる事項
f) 契約内容が遵守されなかった場合の措置
g) 事件・事故が発生した場合の報告・連絡に関する事項

現在の業務委託契約書の内容が不足しているようであれば、別途覚書の締結等で補うことができます。

其の四『バックアップの穴』

個人情報や重要な機密情報は、Pマーク取得の有無に関わらず、バックアップを取ることが当たり前のようになっています。
バックアップの方法は、外付けHDDや別のサーバーへのコピーなど様々です。

ですが、このバックアップにも意外な落とし穴があります。
それはバックアップを取った媒体の管理です。

バックアップを取った媒体が社内に保管されている場合、地震や火災等の理由でその社屋に入れなくなった時には、元データやバックアップのデータに触れることが出来なくなってしまいます。

復元が難しい情報の場合、元データとバックアップデータの媒体の保管場所を、分けることがオススメです。

其の五『審査立会いの穴』

申請のための書類を一式提出して、いよいよ現地審査!
事前に審査員から、当日スケジュールや準備物の連絡があります。

そもそも、現地審査は1日がかりで実施されます。
個人情報の運用において中心的な役割を担う「管理者」は、終日審査対応にかかりっきりになることを覚悟しましょう。
代表者は朝一番で30分~1時間程度、インタビューに対応する必要があります。

審査員からの事前連絡の中では、「監査責任者」「システム担当者」などの立会いを求められるケースもあります。
しかし、必ずしも複数人が現地審査に立ち会う必要はありません。管理者が一通りの説明をすることができれば、「監査責任者」「システム責任者」の立会いは必須ではありません。

とりわけPマーク上「小規模」に該当する従業員数5名以下の企業では、審査当日に複数の方のスケジュールを押さえることは困難なケースが多いです。
審査機関も、本業に支障をきたすような要求はしてきませんので、遠慮せずに相談してみましょう。

最後に

いかがでしたでしょうか?
今回は「5つの穴」をご紹介させていただきましたが、ご紹介しきれなかった「穴」もまだまだ存在します。

Pマークの新規取得でお手伝いをさせていただく際に、「自分でやってみようと思ったけど無理だった。」という声をお聞きすることが珍しくありません。
「難しくて理解することを諦めた」「やればやるほど収拾がつかなくなった」といった理由が多いように思います。

それもそのはず、これだけの「穴」が存在しているのです。

Pマーク新規取得をご検討の際は、是非ともISO総合研究所にご相談ください。
「穴」を上手に埋めながら、お客様のお手間を「限りなくゼロ」に近づけるよう、サポートさせていただきます!


【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス