Pマーク(プライバシーマーク)の運用代行について


いつも弊社ブログをご愛読いただき、誠にありがとうございます。
今回は現在のプライバシーマーク事情と弊社の強みでもあります運用代行サービスについて、プライバシーマークをメインに担当しているコンサル目線で考えたいと思います。

弊社の方針と現状

まず、前提としてISO総合研究所のサービスは運用代行サービスであり、法の専門家であったりセキュリティの専門家ではありません。
Pマーク取得、維持のお手伝いを第一と考えております。

プライバシーマークを取得して運用のレベルを上げたい、社内に浸透させてほしい、Pマークを使って経営の数字を上げたいといったご要望はその次のステージであると考えていただければと思います。
中にはコンサルタントの力量によってその領域まで踏み込める場合もありますが、残念ながら全コンサルタントがそこまで至っていないというのが現状です。

社内の個人情報保護の意識について

多いのが、社内の個人情報保護の意識が低いのでどうにかしたい、というご要望。
プライバシーマークを取得していればレベルが上がると考えている方も多いですが、残念ながらプライバシーマークを取るだけではその目標を達成するのは難しいです。

というのも、マネジメントシステム構築や運用に直接関わらない従業者の目線で考えてみれば分かると思います。

社内での取り組みは年1度の個人情報保護教育が大きいところで、その他は来訪者に書いていただくビジターの記録や事務所の入退室記録がせいぜい目にするものではないでしょうか。
これらの運用もプライバシーマークにとっては重要なものです。大きな問題等が発生した場合、原因の追及や今後の対策を検討する大きな材料となるのは違いありません。

しかしながら、従業者の方々がどれくらいの意識で日々の入退室の記録や定期的なテストを実施しているでしょうか。
目的がはっきり分かっていないのになんとなく記入をしているだけではその活動にあまり意味が見出せないと思います。運用のレベルを上げるためには、それなりに時間をかけて周知をしていかなければなりません。

PMSのマニュアルに社内のルールを定めただけでは社内のレベルは変わりません。

判断はお客様自身にしていただきます。

弊社では既にお客様が取り組んでいる活動や規程をヒアリングし、マニュアルの中に落とし込んでいくということまでは代行サービスで可能です。
他社の事例やプライバシーマークで最低限求められている基準等もお話しさせていただきます。

しかしながら、最終的な判断はお客様自身にしていただきます。こちらから強要するようなことはありません。

そして運用についても弊社ですべてサポートできるわけではありません。
「限りなくお客様の負担をゼロに近づける」という言葉によって、お客様と弊社で認識のずれが生じてしまうケースもありますが、この点を予めご理解いただければと思います。

また、プライバシーマークの審査方法や審査機関の意向を考えると、やはりお客様には多少ご協力いただいた方が良いのかなと正直なところ感じております。

頭の中だけで考えれば、弊社に丸投げしていただいて、2年に1度の現地審査だけ対応していただく、ということでも問題ありません。
現地審査による指摘が100個でようが弊社にその対応を任せていただければ良い話です。

しかしプライバシーマークは現地審査日にコンサルタントの立ち会いを禁じている為、当日の対応を全てお願いしています。
そこで審査員が規格用語ばかり使って何を言っているのかわからなかった、審査員からの質問に答えられなく不快な思いをした、指摘の対応が4回5回もありとても面倒だったと思われる可能性があります。

このようなことから、個人情報保護管理者の方には完全に手放し状態ではなく、弊社と一緒に記録を作り上げる、毎月定期的な社内の運用チェックをしていただくというレベルでも良いので運用に携わっていただきたいのです。

弊社でも審査前のご訪問で、現地審査の傾向や書類のご説明をさせていただいております。
社内でも書類作成部門を設置したりチェックシステム等整えて、日々書類内容の監視をしております。

しかしながらコンサルタントも審査機関も対人間になりますので、お客様のご協力が必要と考えております。

以上、弊社の運用代行サービスとプライバシーマーク事情でした。
ありがとうございました。


メールアドレス