誰もが必ず間違う!?Pマーク(プライバシーマーク)新規取得の5つの穴


 


いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの遠藤です。

 

さて、今回は、

『これからPマーク(プライバシーマーク)の新規取得を目指そう!』という皆様のために、「Pマーク新規取得の5つの穴」をご紹介したいと思います。

 

 

■其の一 『審査機関の穴』

 

 

Pマークを取得しようとお考えの際、まず最初にたどり着く審査機関は、

「一般財団法人日本情報経済社会推進協会(通称JIPDEC ジプデック)」

ではないかと思います。

 

 

PマークはJIPDECが認証している規格で、まさに 元締め 的な存在になります。

しかしながら、審査そのものは、JIPDECが審査機関として指定している別組織でも受けることが可能です。JIPDECのホームページに「プライバシーマーク指定審査機関一覧」のページがありますので、そちらから確認することができます。

 

 

早期取得を目指す場合、審査機関の選択もひとつのポイントになります。

「審査機関は選べる」ということを、はじめにお伝えしたいと思います。

 

 

■其の二 『利用目的と同意取得の穴』

 

 

Pマークでは、個人情報を本人から直接取得する際に「本人からの同意取得」が求められています。

規格ではこのように記載されています。

 

 

「少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、本人の同意を得なければならない。」

 

 

個人情報保護法では、利用目的を明示するだけでよいとされていますが、Pマークでは、利用目的等の事項を明示した上で、本人の同意を得る必要があります。

その際に明示する利用目的は包括的な内容ではなく、その場面にあった内容を明示することが求められます。例えば、採用面接では履歴書を受け取りますが、履歴書の利用目的は「採用選考と連絡」といった具合です。

 

 

個別に利用目的を明示していない場合、現地審査時に修正を求められることになりますので、同意取得の際には、個別に利用目的を明示するようにしておきましょう。

 

 

其の三 『委託先との機密保持契約の穴』

 

 

Pマークの要求事項の中に、委託先との機密保持契約があります。

一般に業務委託契約書の中に機密保持条項も含まれていますが、その内容はPマークの要求を満たしていないケースが大半です。

 

 

Pマークの要求は以下の項目です。

 

 

a) 委託者及び受託者の責任の明確化

b) 個人情報の安全管理に関する事項

c) 再委託に関する事項

d) 個人情報の取扱状況に関する委託者への報告の内容及び頻度

e) 契約内容が遵守されていることを委託者が確認できる事項

f) 契約内容が遵守されなかった場合の措置

g) 事件・事故が発生した場合の報告・連絡に関する事項

 

 

現在の業務委託契約書の内容が不足しているようであれば、別途覚書の締結等で補うことができます。

 

 

其の四 『バックアップの穴』

 

 

個人情報や重要な機密情報は、Pマーク取得の有無に関わらず、バックアップを取ることが当たり前のようになっています。バックアップの方法は、外付けHDDや別のサーバーへのコピーなど様々です。

 

 

ですが、このバックアップにも意外な落とし穴があります。

それはバックアップを取った媒体の管理です。

 

 

バックアップを取った媒体が社内に保管されている場合、地震や火災等の理由でその社屋に入れなくなった時には、元データやバックアップのデータに触れることが出来なくなってしまいます。復元が難しい情報の場合、元データとバックアップデータの媒体の保管場所を、分けることがオススメです。

 

 

 

其の五 『審査立会いの穴』

 

 

申請のための書類を一式提出して、いよいよ現地審査!

事前に審査員から、当日スケジュールや準備物の連絡があります。

 

 

そもそも、現地審査は1日がかりで実施されます。

個人情報の運用において中心的な役割を担う「管理者」は、終日審査対応にかかりっきりになることを覚悟しましょう。

代表者は朝一番で30分~1時間程度、インタビューに対応する必要があります。

 

 

しかし、審査員からの事前連絡の中では、「監査責任者」「システム担当者」などの立会いを求められるケースもあります。

しかし、必ずしも複数人が現地審査に立ち会う必要はありません。

管理者が一通りの説明をすることができれば、「監査責任者」「システム責任者」の立会いは必須ではありません。

 

 

とりわけPマーク上「小規模」に該当する従業員数5名以下の企業では、

審査当日に複数の方のスケジュールを押さえることは困難なケースが多いです。

審査機関も、本業に支障をきたすような要求はしてきませんので、遠慮せずに相談してみましょう。

 

 

 

いかがでしたでしょうか?

今回は「5つの穴」をご紹介させていただきましたが、ご紹介しきれなかった「穴」もまだまだ存在します。

 

 

Pマークの新規取得でお手伝いをさせていただく際に、「自分でやってみようと思ったけど無理だった。」という声を

お聞きすることが珍しくありません。「難しくて理解することを諦めた」「やればやるほど収拾がつかなくなった」といった理由が多いように思います。

 

 

それもそのはず、これだけの「穴」が存在しているのです。

 

 

Pマーク新規取得をご検討の際は、是非ともISO総合研究所にご相談ください。

「穴」を上手に埋めながら、お客様のお手間を「限りなくゼロ」に近づけるよう、サポートさせていただきます!

 



簡単・即時発行!見積書ダウンロード

メールアドレス