2017年05月15日

Pマーク(プライバシーマーク)で大変なことTOP3


お世話になっております。ISO総合研究所の伊藤です。
いつもご愛読いただきありがとうございます。

さて、今回のお題は“Pマーク(プライバシーマーク)で大変なことTOP3”です。

Pマーク(プライバシーマーク)を取得するには今まで会社でやっていなかったことを始めることがあったり、作成したことのない膨大な量の書類の作成、初めての審査など、大変なことがたくさんありますね。

私はPマーク(プライバシーマーク)の取得・運用代行コンサルを始めて約3年が立ちますが、今回のテーマにもあるように今までの経験からPマーク(プライバシーマーク)で大変なことTOP3を発表しようと思います。(※個人差あり)

Pマーク(プライバシーマーク)で大変なこと第3位

まず第3位の発表です!
第3位は、、、現地審査です!

現地審査とはPマーク(プライバシーマーク)の申請後、審査機関から2名ほど審査員があなたの会社にやってこられてPマーク(プライバシーマーク)への適合状況と運用状況を審査されに来られることを指します。

何が大変かというと、朝10時から夕方の5時まで1日かけて審査が行われるという点です。いつも本業でお忙しくハードスケジュールで働かれている担当者の方にとっては大きな負担になるといえます。
ちなみに私が今まで経験した審査で、審査時間の最長記録は、朝10時から夜8時半までというとんでもないことがありました。(苦笑)

審査では1日かけて書類の不備や会社のセキュリティに対する脆弱性(ぜいじゃくせい)について口酸っぱく指導を受けます。
審査員の方は普段皆さんが慣れない専門用語や項番を使って審査が行われますから、担当者にはものすごいストレスがかかりますし、審査終わった時にはクタクタに疲れてしまう方がほとんどです。

Pマーク(プライバシーマーク)を取得するには必ず受けないといけないものですので、仕方はありませんが、もう少し担当者の方に配慮した負担がかからないような審査形態になることを願わんばかりです。

Pマーク(プライバシーマーク)で大変なこと第2位

それでは、続きまして第2位の発表です!
第2位は、、、内部監査です!

内部監査とは自分の会社がPマーク(プライバシーマーク)に適合してしっかり運用ができているかを自分たちでチェックすることをいいます。取得するうえで年1回は必ず実施しないといけません。

ここで内部監査を行うには必要なツールがあります。それは2種類の『監査チェックリスト』です。
一つは自社がPマーク(プライバシーマーク)に適合しているかをチェックするためのもの、もう一つはPマーク(プライバシーマーク)を取得する際に自社で決めたルールどおりに運用がされているかをチェックするためのものです。

Pマーク(プライバシーマーク)を初めて取得される会社はこの2種類の『監査チェックリスト』を用意しなければなりません。
それだけでもだいぶ苦労されるかと思います。

そして用意された『監査チェックリスト』に基づいて内部監査を実際に行っていきます。
内部監査はすべての事業所で実施しないといけませんから、本社と1つの支社くらいなら1日もしくは2日くらいあれば監査できますが、全国各地に支社がある会社は相当な時間を要することが見込まれます。

どう内部監査をやれば良いのかわからない状態でここまでやるのは担当者にとって相当な負担になると思います。

Pマーク(プライバシーマーク)で大変なこと第1位

さて、栄えある第1位の発表です!
Pマーク(プライバシーマーク)で大変なこと堂々の第1位は、、、指摘改善です!!
私の経験上ぶっちぎりの1位です。

指摘改善とは、現地審査や文書審査で審査員が出した指摘(不適合)に対して是正処置を講じた後、それを審査員に報告する改善活動のことをいいます。

ポイントは“審査員が出した指摘(不適合)”というところです。
え?どういうこと?と思われるかもしれませんが、ここが最大のポイントになります。

あなたの会社にPマーク(プライバシーマーク)が適合しているか、運用する能力があるかを判断するのは誰でしょうか?そう審査に来られる審査員の方です。
この審査員が「OK!」というまでPマーク(プライバシーマーク)は取得できません。
もう一度言います。この審査員が「OK!」というまでPマーク(プライバシーマーク)は取得できません。
最大の問題は担当される審査員によってこの指摘改善の難易度が変わってくるということです。

なので、同じ書類を作成し、同じように運用を実施していても、A審査員であれば1回の改善活動で認めて貰えることも、B審査員の場合は5回、6回と改善活動をしてもまだ認めてもらえないこともあるということです。

また審査での指摘数(不適合の数)にも偏りがあります。
同じ書類を作成し、同じように運用を実施していても、指摘数が5個のケースもあれば指摘数が50個のケースもあるということです。
実際に、文書審査の指摘数も含めて50個以上指摘が出て、指摘改善も5回、6回やってもまだ改善が認められなかったケースも出ています。

また審査後6ヶ月以内に改善を完了させなければいけないというルールが設けられていることも1位にした理由のひとつです。

最後に

いかがでしたでしょうか。

困られていることがありましたら、いつでも我々ISO総合研究所へご連絡ください

最後までお読みいただきありがとうございました。


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス