プライバシーマーク運用・更新の流れ

プライバシーマーク(Pマーク)の有効期間は、取得してから2年間となります。
その後も維持するためには個人情報保護マネジメントシステムを社内で構築・運用し続け、2年ごとに受ける更新審査を通過する必要があります。

もし準備不足で更新審査を通過できなかった場合、取得したプライバシーマークを失効してしまいます。
顧客や取引先に疑念を持たれる可能性がありますので、更新審査に落ちる事のないようきちんとした事前準備に取り組みましょう。

ただそうは言っても、

「急にプライバシーマーク担当になってしまった」
「今の運用のやり方が本当に適切なのか分からない」
「毎回更新審査の前にバタバタして残業が増える」

とお困りの方も多いのではないでしょうか?

本記事ではプライバシーマークを既にお持ちの企業様向けに、次回更新審査までにやっておくべきことや更新審査の手順をまとめました。
プライバシーマークご担当者さまのご参考になれば幸いです。

 

ステップ(1) 次回更新に向けPDCAサイクルを回す

プライバシーマークを取得した後は、個人情報保護マネジメントシステムの構築・運用をPDCAサイクルに沿って進めていきます。

PDCAサイクルとはPlan:計画、Do:実施、Check:点検、Act:見直しの4つのステップを踏みながら目標を達成していく活動のことを言います。

プライバシーマークにおけるPDCAサイクル

Plan:計画
プライバシーマークの取り組みは計画から始まります。
計画書を作成し、実施する事が、監査や教育の実施等の場面で要求されます。

Do:実施
プライバシーマークの規格であるJISQ15001の要求事項の大半が、個人情報保護マネジメントシステムに必要とされる手順の実行を要求したものとなっています。
実行しなければ個人情報保護は実現しません。

Check:点検
実施した事が適切だったのかどうかを点検しなければなりません。
プライバシーマークにおいては監査や是正処置・予防処置等が点検を目的とした活動に位置づけられています。

Act:見直し
点検しても改善されなければ意味がありません。
個人情報保護の面において、改善箇所あれば見直しを行って改善するよう努めます。

PDCAサイクルの基本的なスケジュール

Plan:計画 年間スケジュールの作成
Do:実施 各項目の見直し(※)
教育の実施
Check:点検 内部監査
Act:見直し マネジメントレビュー

(※)各項目の見直しとは、リスク分析・個人情報・法規制・日常点検・規格改訂・WEBサイト・
是正状況・委託先の評価及び見直しが含まれています。

PDCAサイクルは一巡すれば終わりではありません。
見直し後、次なる計画のステップに進み、またそこから計画、実施、点検、見直し、というようにマネジメントサイクルを回していく必要があります。

プライバシーマークを取得した企業には、こうしてPDCAサイクルをスパイラル的に実践していく事により、事業者としての個人情報管理能力を向上させていく事が期待されます。
こうした能力の向上をスパイラルアップと言います。

ステップ(2) 申請前に!7つの見直しポイント

取得より難しいと言われているプライバシーマークの運用ですが、

・2年間何もしていなかった
・以前の担当者は既に退職してしまい、全く知識がない人が引き継いだ
・前回の指摘改善は6カ月以上掛かってしまった

など、申請書を提出した後に不安になられたお客様から、お問い合わせを頂くことも少なくありません。
そこで本項では更新直前に慌てることのないように、年に1度見直したい7つのポイントをご紹介します。

① 個人情報管理台帳の更新

台帳は年1回の見直しが求められます。

新しく扱うことになった個人情報はありませんか?
もう扱っていない個人情報はありませんか?

それらを見直して台帳に反映しましょう!

② リスク分析の更新

台帳と同じようにリスク分析も年1回の見直しが求められます。
リスク分析は台帳との紐付が必要になりますから、台帳で変化があった個人情報はリスク分析に確実に反映しましょう!

③ 委託先の評価・選定の見直し

個人情報を委託する業者を選定します。
その後、再選定した業者に対して、1年ごとに評価をしなおしましょう。
自社の個人情報を扱ってもらうのですからきちんと運用できているかのチェックは必要です!

④ 法規制一覧の見直し

変更があった場合は、申請直前で慌てないために1年ごとに見直しましょう。

⑤ 教育の実施

プライバシーマークでは年1回以上の教育の実施を求められます。
テストの解答用紙やアンケートなど、教育を行った記録が求められますのでしっかり準備しましょう!

⑥ 内部監査の実施

教育と同じように内部監査も年1回求められます。

本来なら2年間分必要になりますが、去年の分を実施していない場合、悩みますよね?
そんなときは正直に内部監査を行ってないことを不適合にしてしまいましょう!

そしてその後に是正処置を行えば問題ありません。

⑦ マネジメントレビュー

ここで1年間の反省を行い、来年度の方針を決定します。
プライバシーマークの運用を続けて、内部監査でルール通りできているかをチェックし、マネジメントレビューで1年の運用について報告をし、次年度に向けアウトプットをするという流れになります。

上記の記録の他に、
・登記簿謄本、定款のコピー、その他これに準ずる規程類
・会社パンフレット(ある場合)

なども、事前に準備しておくことが出来ますね。

余裕を持って準備をしておくことが、プライバシーマークの運用の近道と言っても過言ではありません。
更新前にバタバタしなくて済むように、ご紹介した7つのポイントの見直しを年に1回行うことをルール化してしまいましょう。

ステップ(3) 必要な書類を作って審査機関に申請

冒頭でご説明した通り、プライバシーマークを維持するためには2年に一度申請を行い、更新審査を受ける必要があります。

その申請の際には新規取得時と同じ①文書類、②記録類、③帳票類の3種類に加え、④申請書類という申請のための書類が必要です。

①文書類、②記録類、③帳票類に関しては、2年間の運用実績を見るために2年分の記録の提出が求められます。変更がなくても提出が必要ですのでご注意ください。

それではそれぞれの書類について詳しく見ていきましょう!

① 文書類

自社の個人情報取り扱いのルールを文書化したものです。

個人情報保護マニュアル
個人情報保護マネジメントシステムを運用していく際のルールを定めたものです。

安全管理規定
安全管理措置を定めたものです。
入退室管理や、盗難の防止策、個人情報を移送や送信する際のリスクに対しての対策をまとめたものです。

個人情報保護方針
個人情報を守るために会社でどんなことをしていくかを示したものです。
載せないといけない項目が決まっていますので、それに沿って策定します。

個人情報の取り扱いについて
取得した個人情報をどのように使うのか確認する際の問い合わせ先などが載ったものです。
一般的には「個人情報保護方針」と一緒にWebに掲載されます。

文書や記録をまとめた台帳
「①文書類」「②記録類」「③帳票類」をまとめて台帳にしたものです。

② 記録類

運用がきちんと行われているかの証拠としてそれぞれ記したものがプライバシーマークにおける「記録」です。「記録」は以下の7つに分けられます。

個人情報をまとめた台帳
自社で取り扱っている個人情報を洗い出し特定し一覧にまとめたものです。

法令
自社の業務に関係のある法令、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定します。

リスク分析
「個人情報を取りまとめた台帳」で特定した個人情報を取り扱う上でのリスクを洗い出し、どういった対策を取るのかを決めて一覧にします。

委託
個人情報を委託している事業者を特定、評価します。

認識
従業者全員に個人情報保護についての教育を行います。実施する教育についての計画書と、実施した記録を作成します。

監査
自社の個人情報マネジメントシステムに不適合はないか、運用において問題がないかを監査します。
教育と同じく計画書と、実施した記録を作成します。
また、監査によって不適合が出た場合は「是正処置に関する記録」が必要になります。

マネジメントレビュー
代表者が全運用状況の報告を受け、確認して指示を出します。 

③ 帳票類

採用で発生する同意書や、従業員の同意書、そのほか従業員の入退室の記録や来訪者の記録などです。
個人情報に関しての苦情や事故があった場合の報告書等の用意が必要になります。

④ 申請書類

申請書類に関しては審査機関によって様式が決まっているため、審査機関のホームページよりダウンロードして必要事項をご記入ください。

JIPDECに申請する場合は下記ページより更新申請書類一式をダウンロードいただけます。
一般財団法人日本情報経済社会推進協会(JIPDEC)ホームページ

取得の時と同様、申請書類の作成が終わったら各審査機関に書類を提出します。
提出方法は新規取得時と同様です。詳しくご覧になりたい方は下記をご参照ください。
プライバシーマーク取得の流れ

Pマーク総研は月額4万円で面倒な書類作成もすべて代行!
まずは無料でご相談も可能ですので、お気軽にお問い合わせください!
らくらく1分お問い合わせフォーム

ステップ(4) 審査機関に現地審査に来てもらう

新規取得のときと同じようにステップ(3)で提出した書類の文書審査が終了すると、次は審査機関から派遣される審査員による現地審査があります。現地審査の流れは以下の通りです。

① オープニングミーティング
主に審査員との顔合わせです。
挨拶とともに審査手順の説明も行われます。

② トップインタビュー
個人情報に関する事故の有無や事業内容、個人情報保護方針等をヒアリングします。

③ PMS運用状況の確認
個人情報を取得する手順や個人情報保護の方針、従業者の教育状況、内部監査での運用確認等を項目別に審査します。
事前に資料やデータを作成しておくと、スムーズに審査が進みます。

④ 文書審査結果の確認
プライバシーマークの更新審査における現地審査では、文書審査結果で疑義が生じた場合の対応確認も行われます。

⑤ 現場での実施状況の確認
確認項目は個人情報保護のために行っている施策全てであり、例えば個人情報の書類を管理する棚に鍵が付いているだとか、不正アクセス防止のセキュリティソフトの使用状況等もチェックされます。

⑥ クロージングミーティング
現地審査の総評や、指摘事項の確認と説明、今後の手続きの説明がされます。

ステップ(5) 指摘改善作業をする

指摘改善作業はプライバシーマークの現地審査を受けた後に必ず発生する作業です。
新規取得時と同様、指摘が出たからと言ってプライバシーマークが更新できないわけではないのでご安心ください。

指摘は更新審査を受けるたびに必ず出ます。
前の審査時に是正したのだから、減っている・もしくは出ないのではないか?と思われるかもしれませんが、審査の度に審査員は変わり、また新たな視点で審査が行われます。そのため前回よりも指摘が多くなることがほとんどです。

審査員はより良いプライバシーマークの運用を期待していますので、運用が50%できていたら次は70%を、100%できていたら120%を求めてきます。

そのため完璧な準備をして指摘ゼロを目指して審査を受けるよりも、指摘改善作業を素早く完了させることが更新手続きを早く終えるコツになります。

最初の指摘に関しては3か月以内に改善対応結果を提出し、さらに再指摘を受けた場合は1か月以内に改善対応結果を提出すればよいのです。
再指摘は期間が短いので、できる限り1回目の指摘で改善できることが望ましいです。

Pマーク総研は、面倒な指摘改善作業も代行!
まずは無料でご相談も可能ですので、お気軽にお問い合わせください!
らくらく1分お問い合わせフォーム

指摘改善作業の流れ

① 審査機関から届く書類で「指摘事項」を確認する

現地審査の数日後、審査機関から「プライバシーマーク付与申請審査の指摘事項について」という書類が届きます。

ここでのポイントは、改善するのは「プライバシーマーク付与申請審査の指摘事項について」に書かれたものだけでOKということです。

現地審査で審査員から口頭で指摘をされたことをメモしてすべて対応しなければいけない、と思われる方もいらっしゃいますがそれは不要です。審査員は改善してもらいたいことはエビデンスに残すべきです。
そのため口頭での指摘は「指摘事項」にはなりません。

② 要求通りに改善してエビデンスを提出する

「プライバシーマーク付与申請審査の指摘事項について」に書かれた指摘事項を、審査機関の要求通りに改善をします。

改善が完了したら、「指摘事項対応表」というテンプレートに「不適合になった原因」、「是正処置」、「エビデンス」を記載します。「エビデンス」には指摘事項を改善した際に修正した書類の名称を記載します。

指摘作業でマニュアルの修正があった場合は改訂したマニュアルも併せて提出します。
マニュアルが改訂されると文書一覧の改定日も修正しなくてはならないので、文書一覧も忘れず提出しましょう。

以上の流れで指摘改善を行い、審査機関によって指摘事項が改善されたと判断されるとプライバシーマークの有効期間がまた2年延長されます。

まとめ

それではここでおさらいをしましょう!
プライバシーマークを更新するためには、

① 次回更新に向けPDCAサイクルを回す
② 7つのポイントを見直す
③ 必要な書類を作って審査機関に申請
④ 審査機関に現地審査に来てもらう
⑤ 指摘改善作業をする

というステップが必要になります。

細かい手順と専門的な知識が必要なため、プライバシーマークの担当になった方には非常に大きな負担がかかってしまいます。
そのため無理に自社で運用・更新しようとするのではなく、専門のコンサルティング会社の利用を検討してみるのも良いでしょう。

Pマーク総研では、月額4万円ですべての作業を代行しております。
まずは無料でご相談も可能ですので、お気軽にお問い合わせください!
らくらく1分お問い合わせフォーム

プライバシーマーク基礎知識一覧

プライバシーマーク用語集