Pマーク(プライバシーマーク)の基礎知識

Pマーク(プライバシーマーク)の基礎知識


◆プライバシーマークの取得活動をどうすすめるか?

ここでは、プライバシーマークの取得活動をどう進めていくのかをまとめます。

プライバシーマークの取得に向けての進め方としては、

・『自社だけの力で』進める方法
・『コンサルタントを使って』進める方法
・ISO総研の『Pマーク新規認証サポート』を使って進める方法

という、大きく3つの進め方が挙げられます。

この進め方次第で、費用と認証スケジュールが変わってくるというイメージです。

◆プライバシーマーク取得の方法別まとめ表
「プライバシーマーク取得のスケジュール」の項でも説明しましたが、費用とそのスケジュールイメージ、また手間のレベルをまとめると以下のような表になります。

┃進め方                ┃ 費用 ┃ スケジュール
┃『自社だけの力で』進める方法     ┃  0円 ┃1年半~2年間
┃『コンサルタントを使って』進める方法 ┃100万円 ┃半年~1年
┃ISO総研の『Pマーク新規認証サポート』 ┃ 30万円 ┃3ヶ月~半年
┃を使って進める方法
※審査費用は別途必要になります。以下をご参照ください。
http://privacymark.jp/application/cost/index.html

◆プライバシーマーク取得を『自社だけの力で』進めるとこうなる

仮に、プライバシーマークを自社だけで進めた場合のイメージを少しまとめてみましょう。

●スタート~3ヶ月くらい
・まず始めるに当たり何をしたらよいか分からずメンバーが個別にインターネットを検索しまくる
・なーんとなくはわかったが、詳細までは読み込む時間もないため後で読もうと思い、とりあえず印刷しておく。
・同時に、書店でプライバシーマークという表記がある書籍を買いまくり、やり始めたら読もうとおいておく
・メンバーがあつまり、さてどうする的な話をし、とりあえずプライバシーマークの進め方や押し付け合いの打合せが始まる
・規格要求事項が必要なことが分かり、書籍とは別に購入
・人数分いるよとなり、認証のプロジェクト人数分購入
・審査手続きを調べた人が進め方の流れを説明し、最初にやる活動として規格要求事項を理解してルールを作ることだと確認し合う
・ここで、JIPDECの存在は審査機関あることくらいまでなんとなく理解
→ここまでで購入費用もメンバーの打合せも思ったより掛かる

●3ヶ月目~8ヶ月目

・メンバーで定期的に集まり、規格要求事項をよんで理解しあう
・意味が分からないところはインターネットで調べたり本を読んだりしながら、プライバシーマークの規格要求事項に触れていく
・進めている途中から、マニュアル作りをしなきゃいけないとわかる
・サンプルはないか?とJIPDECのホームページをみてサンプルをダウンロード
・これをもとに自社のルールを変えていけばよいのではとちょっと楽になる感覚を味わいながらプライバシーマークのルール作りを実施
・しかし、思ったより規格要求事項の理解に苦しみ、長い期間掛けてマニュアルや規程等の文書一式を作り上げる
→ここまでで打合せ時間は100時間は超える!マニュアル作りを担当している人は土日は当然ありません。
→しかも!JIPDECの提供しているサンプルをベースにしているため自社の規模感に合わない、必要以上の活動が盛り込まれた文書ができあがる

ここまでですでに8ヶ月。
でもプライバシーマーク認証活動はまだ「20%~30%」程度しか進捗がありません。

自社で進めとは、外部の専門家に直接支払う費用がない分、ある程度本気で時間やコストがかかることを意識し覚悟して進めて下さい。

●9ヶ月目~12ヶ月目

・何とか申請手続きが終了する
・書類不備等の連絡があり、対応する
・審査日程決定の連絡が届く
・文書審査の結果が届く
・自社で作った規程と文書審査の結果を照らし合わせ、修正を行っていく
・不明な点があれば、再度参考書を引っ張り出して対応
・審査が終わり、審査機関から指摘事項の書類が届く

●13~15ヶ月目
・書類の文面を読みながら、何を言っているのかを把握する
・不明な点はインターネットなどで調べる
・過去に作った書類を思い出しながら、どこを修正すればいいかをチェックする
・何を直せばいいかわからない中でとりあえず書類を修正してみる
→こんなことをやっていると、提出期限の3ヶ月はあっという間にやってきます。
→直したものに対して再度指摘事項が届きますが、何を言われているのかわからず、また内容を把握するところからスタート。
→2回目以降は1ヶ月以内で提出しなければならないため、時間がない中、手探りで行っていく。
→3ヶ月~半年かけて認証が完了。

一番取られる時間は、「Pマークのことを1から調べる時間」となりますね。
調べたうえで、自分で作成してみて、正しいかのチェックを行っていく。
手探りであること、周りに聞ける人がいないため、時間がかかっていきます。

◆プライバシーマーク取得を『コンサルタントを使って』進めるとこうなる

次に、プライバシーマークをコンサルタントを使って進めた場合のイメージを少しまとめてみましょう。

●スタート~3ヶ月くらい
・コンサルタントより取得に向けたスケジュールを提示・確認を行う。
・コンサルタントからマニュアル類の雛形をもらう
・自社に合うようマニュアルを加工していく
・コンサルタントから記録類の雛形をもらう
・自社にどのような個人情報が何件程度あるのかを洗い出す
・個人情報のリスクがどの程度あるのかを洗い出す
・個人情報の委託先がどこなのかを洗い出す
・委託先は問題ないか、評価を行う
・全従業員に向けた教育のテストを行う
・コンサルタントからもらった書類を基に、内部監査の計画を立てる

コンサルタントに依頼した場合も、実際に作業を行うのは自分です。
コンサルタントとスケジュールを共有する場合、自社で書類をまとめる、作業を行うという時間を確保する必要があります。
また、この実施が遅れれば遅れるほど、申請手続きが遅くなり、Pマーク取得が遅れる可能性も出てきます。

●4ヶ月目~8ヶ月目
・何とかコンサルタントの協力を経て、申請手続きが完了。
・審査機関からの連絡がくるた毎にコンサルタントへ質問、対応を行う。
・審査日程の連絡が入り、調整。
・審査に向けて書類の最終チェックを実施。
・文書審査を基に、文書類を修正。
・修正した文書類をコンサルタントに提出して、修正箇所を指示してもらう。
・審査当日に必要な書類を印刷して準備。
・書類のチェックを行ってもらう
・1日かけて審査の対応を行う。

このように、審査に向けて、コンサルタントへの質問事項や自社で何を準備すればいいのか、確認の時間が増えていきます。

●9ヶ月目~12ヶ月目
・審査機関からもらった指摘事項の書き方、直し方を教えてもらう
・教えてもらった内容を基に修正を実施
・修正しながら、疑問点が出てきて、コンサルタントへ連絡して確認
・このやり取りが何度か発生する
・残業をしながらコンサルタントに質問をして作業を実施
・何とか認証が完了

このように、宿題が残ってくる分、残業や作業時間の確保は必須となってきます。
日々の業務に加えて作業を行うため、残業代も増え、帰り時間が遅くなってきます。
コンサルタントに聞きながら出来るものの、作業時間が発生することは覚悟しておいた方がよいでしょう。

◆プライバシーマーク取得を『ISO総研を使って』進めるとこうなる

次に、プライバシーマークをISO総研を使って進めた場合のイメージを少しまとめてみましょう。

●スタート~2ヶ月くらい
・ISO総研と取得に向けたスケジュールの共有・確認を行う。
・自社で取り扱う個人情報等をヒアリング
・個人情報の多い業務を把握
・現在、自社で行っているセキュリティ対策をヒアリング
・ヒアリングされた情報を基に、ISO総研で文書類・記録類を作成
・印刷された申請書類を元にチェック、押印すれば申請準備完了

申請についての準備も、自社で手を動かす箇所はほとんどありません。
情報を共有して書類を作成していますので、社内で大事な情報が何なのかも認識しながら申請手続きが行えます。

●3ヶ月目~4ヶ月目
・審査機関からの連絡があれば、その内容を伝えてやることを指示してもらう
・文書審査が届いたら、ISO総研に確認
・修正された文書類を基に、一緒に内容の変化を確認
・審査に向けた書類は、印刷などを含めてISO総研から持込み

審査に向けて行う内容も、審査機関からの連絡があればその内容を伝えることで、スムーズに準備が可能です。
また、手間のかかる書類の印刷なども一手に引き受けてくれるので、自社で準備する事項も取りまとめてくれます。

●5ヶ月目~6ヶ月目
・審査機関からもらった指摘事項をISO総研に連絡
・自社でなければ行えないこと、ISO総研にお願い出来ることを共有
・指摘事項への対応を確認し、審査機関へ送付
・修正事項が発生すれば、再度ISO総研へ連絡
・このやり取りを何度か経て取得が完了

このように、取得に向けた動きで自社で手を動かすことはほとんどありません。
しかし、打合せの中で情報を共有しているので、会社に合ったルール作りも可能です。

自社に合うやり方がどのようなものなのか、考えていけるとよいですね。

その1:まずはプライバシーマークを10分で知ろう!
その2:誰が責任者ですすめるのかきめよう!
その3:いつまでに認証をすすめるのかを決める!
その4:プライバシーマーク認証の進め方
その5:自社の個人情報を把握し・その対策を確認しよう
その6:ルール通りにできているかチェックしよう
その7:審査員に見てもらい、仕組みの確認をしてもらおう!


→(1)プライバシーマークを取得するときめたらまずやることは?
→(2)『プライバシーマーク新規取得』の具体的サポート内容
→(3)プライバシーマークの取得費用は?
→(4)プライバシーマーク コンサルタントの選び方・見分け方
→(5)プライバシーマークをとるメリット・デメリットは?