Pマーク(プライバシーマーク)新規取得企業必見!審査で絶対聞かれる7大事項


いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの田牧です。

これからPマークの取得を目指す企業・団体様にとって、審査に対する不安は大きいものであると思います。
私たちがお手伝いさせていただいている企業・団体様であっても、審査前は非常にご不安であることは、ひしひしと感じられます。
そんな皆様におかれましては、これをご一読いただき、少しでもご安心いただき審査を迎えて頂ければと思っております。

まずは、現地審査当日の流れについて、審査機関から現地審査を前にメールにて案内のあった内容を抜粋にてご紹介します。

現地審査当日の流れ

下記の時間で進めさせていただきたいと考えております。

10:00~10:30
代表者へのインタビュー
申請の動機、個人情報保護方針の周知、個人情報保護体制の整備、教育、内部監査、マネジメントレビュー、安全管理上の心配な点等についてお伺いいたします。個人情報保護管理者、個人情報保護監査責任者のご同席をお願いいたします。

10:30~11:30
貴社の事業内容、個人情報取扱いの流れについての確認
取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄等のライフサイクルに沿ったご説明をお願いいたします。業務担当者からのご説明でも結構です。

11:30~15:00
個人情報管理の運用状況確認1
この時間帯で、1時間の昼食時間を取ります。

15:00~15:30
個人情報管理の運用状況確認2
内部監査の確認をさせていただきます。個人情報保護監査責任者(又は代理の方)のご同席をお願いいたします。

15:30~16:00
社内情報システムの管理状況確認
(システム担当者のご同席をお願いいたします。)

16:00~16:30
個人情報取扱いの現場における運用状況確認
(特に安全対策等について確認させていただきます。)

16:30~17:00
まとめ
(個人情報保護管理者のご同席をお願いいたします。)

企業・団体規模にもよって若干の変更はあるものの、上記のような流れにて現地審査は1日かけて実施されます。

「絶対聞かれる7大事項」

それではこれより「絶対聞かれる7大事項」を審査の流れに沿ってご紹介させて頂きます。

まずはじめに行われるのが、代表者へのインタビューです。
Pマークは代表者の指示により実施、運用していることより、大小関係なく、代表者へのインタビューが必須となっています。
ここではPマーク取得の動機と大まかな業務内容のヒアリングが行われます。

このあたりは現状をそのままお伝え頂ければ問題ないのですが、皆様にご注意いただきたいのが

①マネージメントレビュー(代表者による見直し)

こちらは、Pマークの取得申請前には必ず実施されており、各活動の振り返りと今後について代表者よりお言葉をいただいているのですが、場合によっては数カ月前のことであり、ほとんどの方が内容を覚えていません。審査前には改めて内容をご確認いただくことをおススメいたします。

その後、個人情報保護管理者の方が中心となる運用状況の確認となります。
審査員は業務内容からどのような個人情報を保有するのか、細かく確認をしていきます。

また、Pマークの運用上必要な活動が行われているかも各種書類にて確認をしていきます。
それが通称、

②「7つ道具」

1)個人情報台帳
2)法令一覧
3)リスク分析
4)委託先評価
5)教育
6)内部監査
7)代表者による見直し

の記録作成状況の確認です。

「7つ道具」の呼び名は様々かもしれませんが、これらに当たる書類(記録)がルール通りに作られているかがポイントとなります。
この「7つ道具」の確認の中で本当に運用がされているか、実物をもって確認されるものもいくつかあり、見落としがちになるものまたは指摘事項としあがるのが

③同意書(従業員及び採用応募者)
④委託先との契約書・覚書
⑤教育資料(テキスト、テスト、受講者記録など)

これらは各企業・団体様のルール通りに実施されているか?という観点と、各種書類との整合性があるか?という観点でみられます。
これらはどうしても数が多くなる場合があるので、指摘事項としてあがる傾向にあることが考えられます。

最近の審査で重要視されているのが、

⑥日常運用確認の実施状況

これは、定期的に行う内部監査とは別に、短期間に自身でPマークのルール通りに運用されているか確認する活動のことです。
多くの企業・団体様は、日々の従業員やお客様の入退室記録の確認やサーバなどへのアクセスログの確認を行われていますが、これを定期的に実施できていないことが多いように感じます。

上記のスケジュールには明確にされていませんでしたが、

⑦文書審査について

という時間が設けられる場合がほとんどです。

これは、現地審査の約3週間前までに、提出した各種文書(方針、規定など)が規格に合致しているか?を審査機関は事前に確認し通知してきます。
その是正状況を確認する時間を現地審査において設定しているものです。

最後に

上記にお示しした項目は本当にざっくり7項目です。

しかし、審査前にあらかじめ心構えとご準備頂くことで少しは心持は変わるのではないでしょうか?

さらにご安心頂きたい場合には、弊社、ISO総合研究所まで、お気軽にご相談いただければ幸いです。


【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス