Pマーク(プライバシーマーク)担当者の作業の本当のところ


-shared-img-thumb-SEP_355215221321_TP_V

いつもご愛読ありがとうございます。
ISO総合研究所 コンサルタントの岡本です。

みなさん、お正月はいかがでしたでしょうか。
私は長野の実家でゆっくりとした時間を過ごすことができました。猫とこたつでごろごろするのは本当に幸せです。
ご飯を食べて、こたつで猫とお昼寝…たまりませんね。今年も良い一年にしましょう。

さて、今回のブログでは私が日頃感じているPマーク(プライバシーマーク)の運用では実際にどんな作業があるのかをご紹介します。

経営者のみなさんはPマークの運用って「大変なのだな」と思っていただきたいですし、担当者のみなさんは 「うんうん、わかるわかる!」 と共感していただければ幸いです。

Pマークの運用で必要な手順

まず、Pマークの運用では以下のことをする必要があります。

①自社の持っている個人情報を洗い出して特定する
②自社がかかわる個人情報に関しての法律を特定してPMS(Pマークの運用)に導入する
③①で洗い出した個人情報のリスク分析をする
④委託先の評価をする< ⑤全従業員を対象に個人情報保護に関する教育をする ⑥定期的にPMSや個人情報保護の点検をする ⑦すべての部門、拠点の内部監査を実施する ⑧1年の振り返りを代表者にしてもらう ざっくりですがPマークの運用についてなんとなくイメージできますでしょうか。 今回は①~③までの運用を担当者目線でピックアップしてみます。 ①自社の持っている個人情報を洗い出して特定する

Pマークの運用ならば毎年最初から洗い出しをする必要はありません。年に1回見直しをすれば良いです。
業務が変わらなければ「日付さえ更新すれば良い」なんておっしゃる審査員の方もいらっしゃいます。

楽勝ですね!余裕です!
日付を更新しましょう。作業時間3分!

でもちょっとまってください。

新しいサービス、始めていませんか。本当に去年と個人情報の取扱いは変わっていませんか。

Pマークの現地審査で一番指摘になりやすいのがこの「個人情報の特定」です。
審査員には「実態と合ってないよね、本当に見直ししているの?書き直し!」なんて言われちゃいます。

新しい事業所ができたときはその事業所用の取扱い個人情報一覧をつくらなくてはいけません。
気が付けば見直しで1時間書類と向き合っていた…なんて経験もあります。

そもそもどこまで特定していいのかするべきなのかが審査員次第なので難しいところです。

②自社がかかわる個人情報に関しての法律を特定してPMS(Pマークの運用)に導入する。

個人情報保護にかかわる法令や規範の改廃をしっかりチェックして「関係法令一覧」を更新しましょう。
実はここも審査員によっては日付の更新でOKって言われています。

楽勝ですね。だってネットで調べれば改廃状況なんて一目瞭然!
JUAS(一般社団法人 日本情報システム・ユーザー協会)の会員になれば改廃状況の最新版もポータルサイトでチェックできます。

さっそく日付を更新しましょう!作業時間10分!

でもちょっとまってください。

「特定個人情報の適正な取扱いに関するガイドライン」「行政手続における特定の個人を識別するための番号の利用等に関する法律」
この二つが追加になっていました。何からはじめたら良いでしょう。

見直し自体は簡単ですが、変更があったときが大変です。
必要に応じて規程類の見直し、様式の見直し、HP掲載事項の修正…段取りを組んで進めていきます。

Pマーク担当者としては法令の改廃が行われないことを祈るばかりですね。

③①で洗い出した個人情報のリスク分析をする

でました。リスク分析。個人的にはリスク分析が一番ネックです。

必要なのは特定した個人情報のライフサイクルに合わせてリスク分析を行うことです。
取得のときはこんなリスクがあるよね、じゃあどういう対策ができているのか。果たしてその対策でリスクは無くなるのか。

弊社コンサルタントのTさんは夜中1時に起きてリスク分析を行うのが趣味だとか…。
(私は正直やらなくて良いならやりたくないです。)

ただ、一度新規構築で「リスク分析表」を作成してしまえばだいたいの運用は変わりません。
最初の基盤さえつくればなんとかなります。

余裕ですね!だって個人情報の取扱いがかわらないからリスクも変わりません。
日付を更新しましょう。

でも最近のPマークの現地審査の傾向ではさらにこんなことを指摘されます。

・個人情報一覧と対応するように紐づけを行いましょう。
・関連規程の最小項番まで書いて対応する規定を明確にしましょう。

前回の審査では言われなかったよね?なんて通じません。
前回のOKも今回はNOです。社会の動きに合わせて変化していきます。

作業内容は個人情報台帳の番号を追加し、リスク分析一つひとつに番号を振り、その対策に該当する規程を書いていきます。

例:
①手渡しで受け取る際は必ず授受記録をとる。 ①安全管理規程◯章◯条(◯)
②一時保管場所を定める。          ②安全管理規程□章□条(□)

実際に私もあるリスク分析の修正で安全管理規程とにらめっこして4時間かかりました。
やることは簡単ですが時間がかかってしまいます。

まとめ

①~③を例にしてご紹介しましたが、作業はこれだけではありません。

ひとつご理解いただきたいのは「私たちISO総研社員は作業に慣れている」という点です。

本業を進めながら不慣れなPマークの運用を行うことはとても大変です。
Pマークの運用そのものには利益でませんので本業のパフォーマンスが落ちるだけです。

「ああこの作業面倒だな…なんで私がやらなくちゃいけないの。」と思ったら是非弊社サービスをご活用ください。
面倒な作業引き受けます。

弊社コンサルタントが作業をしますので、チェックをしてください。
手を動かすのは私たちだけで十分です。


【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス