Pマーク(プライバシーマーク)取得への道:審査での指摘事項あるある


-shared-img-thumb-YOTA93_minogasanai15133536_TP_V

いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの川端です。

今回はPマーク(プライバシーマーク)の「指摘事項」というものについて考えていきたいと思います。

指摘事項は必ず出るもの?

Pマーク(プライバシーマーク)の新規取得審査、更新審査のどちらにも、現地審査後に「指摘事項」というものが発生します。

もちろん、完璧な運用、管理体制であれば、指摘事項はないかもしれませんが、ほとんど見たことがありません。
指摘事項は必ず出るものと認識していた方がいいのかもしれません。

ちなみに、指摘事項はPマーク(プライバシーマーク)の新規取得審査、更新審査のどちらにも発生しますが、「なぜ更新申請の時にも出るのだろう」と思った方もいるのではないでしょうか。

なぜかというと、審査では書類も運用もサンプリングでチェックされます。また、前回審査時からの変更点などを重点的に見られます。
なので、何回審査を受けても指摘がなくなるということはないと思っていた方がいいでしょう。

指摘事項が多かったら審査通らないかもしれない?

「指摘事項」と聞くと、大半の方はマイナスなイメージを持たれるのではないでしょうか。
特に新しくPマーク(プライバシーマーク)を取得しようと思っている企業の担当者さんの中には「指摘事項が多かったら審査通らないかもしれない」と思ってしまう人もいると思います。

しかし、そんなことはありません。

指摘事項が3個だろうが5個だろうが、50個だろうが100個だろうが、それをすべて期間内に改善し報告すれば、Pマーク(プライバシーマーク)は取れます。
現地審査の前に時間をかけて書類を作成するか、現地審査後に指摘事項として残された宿題に時間をかけるかの違いです。

指摘改善の期限は?

「指摘改善を期限内に改善し報告すれば、Pマーク(プライバシーマーク)は取れます」とは言いましたが、では、期限はどれくらいなのか。
実は2か月ほど前、この指摘改善について大きな改訂がありました。

今までは、指摘改善には期限がありませんでした。1年かけて改善を続けている企業様もあったようです。
しかし、今回の改訂で、「指摘文書発行から6か月以内」という期限が設けられました。

この期限が設けられたことにより、何が大きく変わるかというと、現地審査後にあまり時間をかけられないということです。
つまり、指摘事項が多ければ多いほど、作業が重くなってしまうというわけです。

なので、指摘事項の数(指摘数)は、できるだけ少なくしたいのが本音です。
そのためにも、指摘事項の傾向やポイントをおさえ、指摘を少なくし、早く楽に対応できるようにしたいですよね。

指摘数には地域差がある?

指摘数は、地域によっても多少の違いがあります。
主要な都市で比較すると、指摘数の多い順に、東京、大阪、愛知と並びます。

同じ規格をもとに審査をしているはずなのに、違いが出てくるのは、もちろん審査員さん個人の見解による違いもありますが、やはり地域別の傾向があるということだと思います。
どういうところに差が出てくるのかと言いますと、一つの例としては言葉の表現の違いが指摘事項となるかどうかです。

具体的に例を出すと、「監査員」「監査人」の違いについての指摘が過去にありました。
どのように指摘されたのかというと、『「監査員」「監査人」を使い分けているのなら、違いを分かりやすく定義しなさい』というような指摘です。

上記の指摘は、実際に東京で出された指摘なのですが、これが、愛知や大阪では、現地審査の時に、「記載ミスです」の一言で見逃してもらえることがあります。

東京の審査員さんは、書類や運用の中で間違っている部分を細かく指摘してくる傾向があるのに対し、愛知や大阪の審査員さんは、書類の不備よりも規格に沿った運用ができているかという点に重点を置いて指摘を出してくる傾向があるので、東京よりも指摘数が少なくなってくるのが一つの理由ではないかと考えられます。

指摘事項にも流行がある?

また、指摘事項にも流行りがあります。

少し前までは、ウェブページに関する指摘がかなりの確率でありました。
その中でも最も多いのが、「暗号化措置を講じなさい」という指摘です。

具体例を言うと、ウェブページのお問い合わせ画面がSSL化されていないという指摘です。
これはSSL化されていなかったら必ず言われていました。
ネットワークからハッキングなどによる情報漏えいもあるようなので、厳しくなってきている部分です。

最後に

指摘事項はゼロにすることは、ほぼ不可能です。
審査員さんも仕事で指摘を出すために審査しに来ますので(笑)なので、指摘事項をどのように対応していくかが重要な部分になってきます。

手間をかけないことを重視するのか、早くに終わらせることを重視するのか、今後の運用も考えて改善することを重視するのか。

指摘事項の改善には正解は何通りもあります。
他社の事例は参考程度にして、今後自社に合った運用ができるような改善をするのが、もちろんベストな方法ではありますが、書類作成の手間や、運用の手間も考えなければいけません。

通常業務に影響が出ないように、なおかつPマーク(プライバシーマーク)の運用が滞らないように、日々改善を続けていかなければいけませんね。


【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス