Pマーク(プライバシーマーク)新規取得する際に、社長が聞かれる7つのポイント


-shared-img-thumb-YOTAKA85_shijisuru15121715_TP_V

いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの小林です。

近年マイナンバーの影響もあり、Pマーク(プライバシーマーク)を新規に取得しようとする企業も多いのではないでしょうか
いざ活動を始め、いよいよ現地審査となった時、代表者の方は何を話せばよいのか?またどんなことを質問されるのだろうか?と不安になることもあるかと思います。

そこで今回は、Pマーク新規認証の現地審査で社長が聞かれる7つの重要ポイントについて下記を一つ一つご説明いたします。

①Pマークのガイドライン要求
②Pマーク取得の目的
③いつから運用を開始したか?
④心配事
⑤申請時と変更している点がないか
⑥事業の内容
⑦今後について

まず、現地審査当日、初めに実施されるのが、「トップインタビュー」です。

プライバシーマークの最終決定権や報告等はやはり代表者あってのものです。
審査員の方も代表者の方がどのようにプライバシーマークに取り組もうとしているのかまた、どういった企業なのか等を知りたいと思っています。

それでは、Pマーク新規認証で必ず社長が聞かれる7つの重要ポイントの1つ目です。

①Pマークのガイドライン要求について聞かれる。

プライバシーマークの要求事項の中に、「3.9事業者の代表者による見直し」というものがあります。
ここでは、1年間かけて社内で実施してきた、プライバシーマークの運用活動について、最終的に代用者に報告をし、次年度へ繋げてもうらものとなります。
PDCAサイクルで運用が回っているプライバシーマークのA(アクション)の部分になってきます。

「代表者による見直し記録」「マネジメントレビュー」とう企業によってその呼び方は様々になります。
しかし実施する内容は要求事項で決まっています。
基本的な質問項目は要求事項できまっており、下記の7点となります。

a) 監査及びPMSの運用状況に関する報告
b) 苦情を含む外部からの意見
c) 前回までの見直しの結果に対するフォローアップ
d) 個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
e) 社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
f) 事業者の事業領域の変化
g) 内外から寄せられた改善のための提案

内部監査実施後にこちらの記録を作成します。
代表者の方はこの過去にやった内容ついて当日質問されるのです。

上記7つの中でもやはりよく聞かれる部分があり、a) 監査及びPMSの運用状況に関する報告は一番よく聞かれるポイントとなります。
自社での内部監査によりどんな指摘がでたのか、またそれに対して代表者からどんな支持をだしたのか?と聞かれることがあります。

7つのうちa) 監査及びPMSの運用状況に関する報告意外は、その場で聞かれたとおり現状を報告すれば大丈夫ですので、抑えるべき点はこの1点となります。

現地審査当日は「代表者の見直し記録」「マネジメントレビュー」の記録を印刷して手元に置き、それを見ながら回答することをお勧め致します。

②Pマーク取得の目的について聞かれる

プライバシーマークを取得する企業ではその取得理由は様々です。

入札の参加条件となっている、大手企業からの取引要件として必要、対外的なアピールとして取得したい等、取得理由はその企業によって違うことでしょう。
この質問の場合は、考える必要はありません。代表者の方の思いをそのまま審査員の方に伝えていただければ大丈夫です。

実際マークだけあれば良いという企業の方もいますが、そのこともそのまま本心を伝えていただいて問題ありません。
審査員の方もそういった理由で取得する企業はたくさん見て来ています。その上でアドバイスを頂けるかもしれません。
包み隠さずどうしてプライバシーマークを取得しようと思ったかを伝えていただければと思います。

あまり暑くなり過ぎると、現地審査の時間が長くなってしまいますのでほどほどにしておきましょう、、、、

③いつから運用を開始したか?

と聞かれる上記②の質問があったあとに、聞かれるのがこの質問です。
新規取得時の質問のなかで現地審査員が絶対に聞くくらいの質問です。

では運用開始日とはいったいつのことを指すのか?
それは、マニュアルや規程を定めた日付となります。

プライバシーマークの活動を始めるには、企業のルールや規格要求事項にそった運用が必要です。
そのため、社内でルールを統一するためにマニュアルや規程をまず作成します。

そのルールにのっとって活動を実施するのが運用ということになります。
そのため、実際にいつからプライバシーマークの活動を始めたかを確認する場合は、マニュアルや規程の制定日を確認しておきましょう。

④心配事について聞かれる

この質問は審査員の方から「現在運用をしてきて不安な部分や何か代表者として心配に思っていることはありますか?」というように聞かれることが多いです。
他社事例ですと、「業務上クレジットカード情報を取扱うが複数の人が閲覧をしないと業務が実施できない、そのため社員教育が重要と思っているがなかなかうまくいかない」といったようなものがあります。

この質問も代表者の方が現在抱えている悩みや、「当社的にここってどうにか解決できないかな?」といった部分がある場合は、審査員の方への相談としてありのままを答えてもらうのが一番です。
もしかすると、何かヒントはひらめきを得ることが出来るかもしれません。

⑤申請時と変更している点がないか聞かれる

審査員の方は、現地審査に来るまでに2日間かけてその企業のことを事前に調べてから現地審査に来ます。
そのため、現状での変更点がある場合、審査員のかたの予定はスケジュールが変更となる可能性があります。
その場合にも対応できるよう審査員の方は申請時と変更が無いかを聞いてくるのです。

⑥事業の内容について聞かれる

審査員の方は一番メインとなる売り上げの事業内容や、自社の強み、取引企業名等を聞いてきます。
それは、業務の中からどのような個人情報があるかを特定するために聞いていることが多くなります。

この場合も特に問題視することはありません。
自社の現状をそのまま伝えることが重要となります。

その結果、午後の記録で個人情報がきちんと特定できているかを確認しますが、そこで特定されていなかったとしても、審査員の方に宿題を出され、きちんと特定をしておいて自社の個人情報として認識してくださいと言われるだけです。

⑦今後について聞かれる

最後にプライバシーマークを取得した後、どのように運用をしていきたいかを聞かれることもあります。

他社事例ですと、「社員教育に力をいれていきたい」「無理なく継続できる内容で最低限実施をしていきたい」「毎年スパイラルアップしていけるようにしたい」などです。
この場合も代表者の方がどのビジョンで考えているかによって回答方法は様々となります。

まとめ

いかがでしょうか。
最後まで目を通していただいてお分かりの通り、現地審査当日のトップインタビューで話してはいけないことは無いのです。
審査員の方に聞かれた質問に、自社の現状は代表者の方の思いをそのまま伝えていただければ大丈夫です。

代表者の方の取り組み方によってプライバシーマークの運用の仕方も変わってきます。
他社事例を交えてご対応させていただきます。
お悩みの際は是非当社コンサルタントまでお問い合わせください。

\ お問い合わせフォームはこちら /

WEBお問い合わせ


【ISO総研】メールマガジン登録

ISO・Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス