個人情報保護法改正とプライバシーマークの違い~外国にある第三者編~

IMGL8663171031_TP_V

こんにちは。

プライバシーマーク運用支援コンサルタントの杉浦です。

いつも当社のブログをご覧いただき、ありがとうございます。

 

近年、

気候がおかしなことになっているように感じますね。

これまでゲリラ豪雨と呼ばれていたものがさらに勢いを増し、

街を呑み込むようなニュース映像を見るたびに心が痛みます。

ますます企業の生産活動のあり方であるとか、

自分たちの世代の将来構想を真剣に考えるようになりました。

 

さて、本日は

「個人情報保護法改正とプライバシーマークの違い~外国にある第三者編~」というテーマで、

個人情報保護法改正においてプライバシーマーク上何が変わったかを書かせていただきます。

 

本題に入る前に「改正個人情報保護法、個人情報保護委員会」について先に書かせて頂きます。

改正個人情報保護法が2015年9月3日に可決・成立がされ、同年9月9日に公布されました。ただこの時、施行はまだされいない状況でした、そして2016年12月、2017年5月30日に全面施行するということの発表がされました。

 

そもそもここでいう個人情報保護委員会とはいったい何のでしょうか?

 

個人情報保護委員会とは、個人情報(マイナンバー(個人番号)を含む。)の有用性に配慮しつつ、その適正な取扱いを確保するために設置された独立性の高い機関です。

具体的には、個人情報保護法及び番号法に基づき、次のような業務を行っています。

1、特定個人情報の監視・監督に関すること

行政機関や事業者等、特定個人情報の取扱者に対して、必要な指導・助言や報告徴収・立入検査を行い、法令違反があった場合には勧告・命令等を行うことがあります。

なお、個人情報保護法の改正法が施行されるまで、個人情報取扱事業者に対する監督の業務は従来どおり各省庁が担っています。

2、苦情あっせん等に関すること

特定個人情報の取扱い等に関する苦情の申出についての必要なあっせんを行うため、苦情あっせん相談窓口を設置して相談を受け付けています。また、個人情報保護法の解釈や制度一般に関する疑問にお答えするため、問合せ窓口を設置して質問を受け付けています。

3、特定個人情報保護評価に関すること

特定個人情報保護評価は、マイナンバー(個人番号)を利用する行政機関等が、総合的なリスク対策を自ら評価し公表するものです。委員会では、その評価を行う際の内容や手続を定めた指針の作成等を行っています。

4、個人情報の保護に関する基本方針の策定・推進

個人情報保護法に基づく「個人情報の保護に関する基本方針」の策定等を行い、官民の個人情報の保護に関する取組を推進しています。

5、国際協力

個人情報の保護に関する国際会議へ参加するほか、海外の関係機関と情報交換を行い、協力関係の構築に努めています。

6、広報・啓発

個人情報の保護及び適正かつ効果的な活用について、パンフレット、ウェブサイト、説明会等を活用した広報・啓発活動を行っています。

7、その他

上記の事務のほか、委員会の所掌事務の処理状況を示すための国会報告や必要な調査・研究等を行っています。

これらの業務を委員長1名、委員8名、合計9名の合議制で意思決定をする組織のことです。

 

プライバシーマークを運用していく中で法令順守が要求事項にあります。2017年5月30日の全面施行までは、関連する省庁のガイドラインを各事業者は特定をしていました。

それが上記の改正により、個人情報の取扱いに関しての窓口を1本化するということが決まりました。各省庁で発足しているガイドラインの特定をやめて、個人情報保護委員会が発足しているガイドラインを基準にしていこうということです。

 

その中の1つが今回のテーマである「~外国にある第三者編~」で「個人情報の保護に関する法律についてのガイドラインの外国にある第三者への提供編」が出てきます。

 

改正前は第三者に対する個人データの提供に関するルールを定めてはいたが、第三者が国内にあるのか、外国にあるのかの区別をしていなかったのです。

しかし、経済・社会活動のグローバル化及び情報通信技術の進展に伴い、個人情報を含むデータの国境を越えた流通が増加しており、外国への個人データの移転について一定の規律を設ける必要性が増大してきたこと、また個人情報の保護に関する国際的な枠組み等との整合を図ることを理由に、改正後の法第24条に新たに外国にある第三者に対する個人データの提供に関する規定が今回新たに設けられたのです。

 

それではここでプライバシーマークを取得している企業様に個人情報保護法改正によってどこが関わってくるか?を簡単にお伝えします。

例えば親会社が外国の法人、外国に支社がある企業様の場合に個人情報のやり取りを交わすことがある際は、あらかじめ本人の同意を得ておきましょう、委託先とは個人情報の取扱いに関しての覚書を外国の企業とも結んでいくことが求められています。

もともとは日本国内でのやり取りを中心に考えており、特に外国に対しては触れておりませんでしたが、昨今のグローバル化により、日本の国内規格では視野が狭くなってきているため時代背景を反映しているということでしょう。

 

いかがでしたでしょうか。

今回のブログを見ていただいて、運用上で困っている所があるなとか、これから取得を検討しているが不安があるなと思っている企業様がおりましたら、

例えば、ISO総合研究所のように、プライバシーマーク認証の維持活動をアウトソーシングサービスとして請けている会社もありますので、

経営資源を適正に配分するための一つの選択肢としてアウトソースを検討してみてはいかがでしょうか。

また今回の個人情報保護法の改正に伴い、弊社でもセミナーを開くことが決まりました。

実際にプライバシーマーク審査員補の資格を持つ者が講師ですのでよろしければ、

このブログをご覧いただいた際にご検討頂ければと思います。

 

 

Pマーク(プライバシーマーク:JIS Q 15001) 3.4.3.4項「委託先の監督」規格解釈

AKANE278122130_TP_V

こんにちは!

もう6月もおわってしまいますね。

6月といえば私は先日、福生市のホタル祭りに行って蛍を見てきました。

ちびっこたちにかこまれながらホタルを見ました。

人生初ほたるです。すごくきれいでした!!!!!!

都会にもホタルっているんですね!感激!!!!!

 

と思っていたら、あれは養殖だよ、と夢のない一言をもらいました。

世知辛い世の中です。

 

 

話が脱線してしまいましたね。

 

こんにちは。こんばんは。

ISO総合研究所コンサルタントの野村です。

 

今日はPマーク(プライバシーマーク)の規格3.4.3.4の委託先の監督についてお話しいたします。

いっぱい噛み砕いておいたので初心者さんにもわかりやすいかと思います!!!もぐもぐ。

 

まず初めに。

 

「委託先ってなーーーにーーーー????」

ここから始めましょう。

委託先 でググってみました。

委託先とは

業務を委託した相手。作業を委ねた相手。(日本語表現辞典Weblioより引用)

らしいです。

税理士さんや労務士さんがあてはまりますね。

そのほかにも、レンタルサーバ、クラウド、採用支援業者や名刺印刷業者なども委託先に当たります。

なんかとりあえず大体ほかの会社さんにお仕事お願いしてたら、それはだいたい委託先なんだと思ってもらっていいと思います。

 

委託先の意味がわかったところで、委託先の監督のお話しにもどりましょう。

委託先の監督とは、個人情報を渡している委託先に対して評価する、ということです。

 

委託先の監督は、大きく分けて2つです。実は簡単なんです

 

  • 個人情報をちゃんと取り扱っているか

 

  • 契約書は締結しているか

 

です。

 

まずは1の「個人情報をちゃんと取り扱っているか」から学んでいきましょう!

 

「個人情報をちゃんと取り扱っているか」これは主に4つの措置について見られます。

 

  • 物理的安全管理措置
  • 人的安全管理措置
  • 組織的安全管理措置
  • 技術的安全管理措置

 

漢字がいっぱいですね。難しそうですね。読む気が失せますね。

 

これをもう少しわかりやすく解説していきます。

 

  • 物理的安全管理措置

これは物理的に個人情報を守っているかです

具体例は、紙媒体の個人情報ならちゃんと鍵付きのキャビネットや金庫に保管しているか。

そのほかに、従業員の入退室管理なんかもあてはまっちゃいます!

 

  • 人的安全管理措置

これは人ですね。人。

つまりは「個人情報ってこんなに大切なんだよ~、ちゃんと大切に扱ってね~」という教育がなされているか等ですね。

説明がかなり雑ですが、まあ、なんか、そんな感じです。

 

  • 組織的安全管理措置

組織的?!なんかかっこいい!黒の組織を思い出す!!!!なんて思っちゃいますね。

思いませんか?私が最近コナンの映画を見たからかもしれませんね。

 

今年のコナンの映画は素敵でした。

すごい毎年見ているかのように書いてますが、劇場版なんてみたの何年振りかわかりません。

 

ちなみに私は安室さんがタイプです

たれ目の二重、金髪長髪なんて最高以外のなにものでもないです。

 

話がそれました。

 

組織的安全管理措置ですね。

これは委託先がPマーク(プライバシーマーク)を取得しているかや、委託先と契約書を結んでいるか、個人情報を触る管理者をきめているか等です。

なんだか一番ピンとこない感じはしますがそんなとこです。なんとなくご理解いただけると幸いです。

 

  • 技術的安全管理措置

これはなんとなくわかる気がしますね。

技術的。

たとえばアクセスログをとっているか、ウイルス対策は実施されているか、

IDやPASSをつけているか 等です。

 

途中脱線しかけましたがこれが

 

「個人情報をちゃんととりあつかっているか」

の四項目でした!!!!

 

次に

「契約書は締結しているか」

これはJISの規格で7つの項目を記載することが義務付けられています。

 

JISの規格通り書くと難しいです。

 

きっとみなさんも読む気が失せると思います。

 

なので噛み砕いてお伝えしますね。

 

こちらが7つの項目です!!!!!!!!!!!!

a)責任はどっちにある????

b)もらった個人情報を安全に管理します宣言!

c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)

d)業務報告してくれるか(あんま気にしなくていいやつ)

e)この契約を守ります宣言!

f)破っちゃったらどうする?そんなときの対応を記載しているか

g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」

 

ニュアンスで伝わってくださるとうれしいです。

a)はなにかあったとき、責任は委託元か委託先、どちらにあるかですね。

 

b)は委託元に対して委託先がちゃんともらった個人情報は悪用せずに厳重に扱いますというもの

 

c)は再委託をする際の決めごとですね。これは会社様によって違ったりします。

再委託は禁止のところもあれば、再委託をする際には一言くださいってところもあります。

 

d)はうまく説明できませんがちゃんと業務遂行してますっていう報告ですね。

難しくとらえなくて大丈夫です。データの受け渡しをしただけでも業務報告に値します。

 

e)はこの契約書にかかれている内容をちゃんとまもりますよーってことですね。

だいたいどんな同意書や誓約書にもかかれているやつです。

 

f)はこの契約書にかかれている内容を破った時の処罰などに関してです。

 

g)はもし何か漏えいや事故があった際にどうするかです。

裁判沙汰~…とか大きい感じのことではなく「この部署に連絡ください」とかそんな感じです多分。

 

ちなみに、これ、契約書でよく抜けている項目があるんです。

 

それが

 

c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)

g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」

 

ここですね。契約書を作る際には気を付けましょう!!!!

 

先述した

 

1、個人情報をちゃんと取り扱っているか

 

2、契約書を締結しているか

 

この2つがを確認するのが3.4.3.4委託先の監督です。

 

 

これでもうあなたも委託先マスター★

また来月もよろしくお願いします★★★

 

 

 

 

ご観覧いただきありがとうございました!!!!!!!!!!!!

そもそも印刷業にPマーク【プライバシーマーク】っているの?

N112_sukejyurucyouseicyu_TP_V

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの田口と申します。

 

今回のテーマ

 

「そもそも印刷業にPマーク【プライバシーマーク】っているの?」というテーマで書かせていただきます!

 

 

結論から申しますと、『いらない』です。

 

 

いきなりこんな風に書いてしまうと…

 

 

・そんなの取ってて当たり前のもんだろ!

・いらないって、今までやっていた努力は何なの?

・ふざけるな!

 

 

などなど、批難殺到だと思います。

いらないというのは大げさな部分はありますが、あなたの会社でPマークを持っている意味というのはなんですか?

こんな理由が挙げられると思います。

 

 

①顧客の要求があるから。

②持っている方が取引きしやすいから。

③個人情報を守っているというアピールになるから。

④セキュリティの向上になるから。

 

 

が大部分だと思います。

これ以外にないとは思っています。

 

まぁ、①や②は顧客や取引で必要なのだというあなたは持っていないといけなく、Pマーク【プライバシーマーク】が必要です。持っていないと仕事がなくなってしまうので、Pマーク【プライバシーマーク】を維持し続けていかないといけないですね。

 

 

Pマーク【プライバシーマーク】を維持するということはとても大変な労力です。

通常の業務とはかけ離れた作業をしているから大変ですよね…

なんといっても審査と指摘改善が一番大変だと思います。一人の担当者がほぼやっているあなたのような会社が厳しいと思います。

ISO総合研究所では1630社のお客様の運用代行をしており、いくつもの審査内容を集計しております。どんな指摘が一番多いのか?どんな傾向があるのか?2016年の審査傾向をまとめたマル秘資料を作っております。

 

 

『審査員はここを見ている!厳選48項目』

 

 

これを使用してISO総合研究所のお客様は審査での指摘を減らして、指摘改善の時間を少なくしております。

そんな資料を手に入れるチャンスがあります!!!

入手方法についての詳細は下記に書いておきます。

 

 

さて、話を少し戻します。

 

 

③や④のあなたはいかがでしょうか??

③のアピールになって仕事が増えているのでしょうか?それならば持っている意味が十分にあると思います。しかし、なんとなく持っていた方が良いと思って維持し続けているあなたはどうでしょうか!?2年に一回、50万~100万の審査料を払ってまで維持して、仕事が増えていますか?

④のセキュリティ向上のために持っているというのはどうでしょう?これほどムダなことはないと思います。Pマークの仕組みの中には色々とやらなければいけないことが沢山あります。

個人情報の台帳を作る。これで本当にセキュリティの向上につながりますか??

リスク分析をする。まあ、これはある程度役に立つかもしれません。

法令の特定をする。これの記録を作ったところでセキュリティが向上しますか??

委託先の管理記録をつくる。セキュリティに関係あります??

教育をする。これは内容によっては良いと思います。

内分監査をする。決めたルールをやっているかどうか確認するのは良いと思いますが、それ以外の内部監査は意味ないです。

代表者の見直し。これも意味ないですよね。

 

 

結局、役に立つのは教育とルールをやっているかどうかの確認くらいかなと思います。

その他をやるくらいの時間があるのならば業績を上げた方が会社のためになるんじゃないですか。

どうしてもセキュリティを上げたいのでしたら、Pマーク審査を受けるくらいならばセキュリティシステムを入れた方が断然よいと思います。

うちでは、そんな余裕がないし…

というあなたは、ルールを落とし込むのならば何が一番良いと思いますか?

教育?マニュアル化?

どちらも正解です。

ただ、落とし込むまでならば、またですか?覚えてますから。と言われるくらいまで繰り返し、繰り返し言い続けることが一番だと思います。

どこの会社でも同じですが、従業員の教育が一番であり、永遠の課題だと思います。

社長や責任者は言い続けられる根気と負けん気が重要です!!

 

 

顧客要求以外で、印刷業界にPマーク【プライバシーマーク】は必要ありません。

あるのはイメージだけです。

 

 

結局のところ、セキュリティ向上とPマーク【プライバシーマーク】維持というのはちょっとずれているのです。ここまで書かせていただいて、どうしてもPマーク【プライバシーマーク】の維持はするというのであれば止めません。

 

ISO総合研究所では、担当者が一人で業務に支障があるというあなたのような会社をお手伝いしております。

ムダなルールや作りすぎている書類をなるべく無くしていき、あなたの代わりに記録を作っていきます。

これによって楽になるのはあなた自身なのです!!

 

 

もちろん自分たちでやっていきたいというあなたもいると思いますが、そんなあなたでも今抱えて課題が明確に、解決に導けるようにお話させていただきます。

むしろ、営業という形でのお伺いというよりも、「相談」にのるような感じです。

「ISO総合研究所」と検索していただければすぐにヒットします。

その時に、前述していた資料をお持ちします。ご連絡を頂いたときに

 

 

“ブログを見ました。『審査員はここを見ている!厳選48項目』の資料が欲しい!”

 

 

と言って頂ければお持ちいたします。

長くなりましたが、またご愛読いただければ幸いです。

監視カメラとPマーク(プライバシーマーク)について

_shared_img_thumb_GREEN_RO20140125_TP_V

 

いつもご愛読いただきありがとうございます。

ISO総合研究所、Pマーク(プライバシーマーク)コンサルタントの山口浩史です。

 

今回は監視カメラとPマーク(プライバシーマーク)についてお話させて頂きます。

 

近年、監視カメラ、防犯カメラ、防災カメラ等、○○カメラという言葉を耳にします。ではまず、この言葉の違いから説明させていただきます。

 

読んで字のごとく、監視カメラとは様々な目的のために監視するビデオカメラのことを言います。例えば、犯罪防止のために使用されるカメラを防犯カメラと呼び、火災等の防災のために使用されるカメラを防災カメラと言います。私は監視カメラ=防犯カメラ=防災カメラという認識でした。

 

街を見渡すと至るところに監視カメラがあります。例えば、オフィスビル、商業施設、駅、公園、マンション、一軒家等。例を挙げたらキリがありません。日本全国で300万台以上あると言われています。いつの間にこんなに増えたのだろうか?

 

ちなみにイギリスでは590万台(人口11人に1台)利用されていると言われています。2020年には東京オリンピックもありますので今後さらに増えていくと思われます。

 

ではPマーク(プライバシーマーク)を取得していて監視カメラを導入している企業はどのくらいあるかちょっと調べてしました。

 

弊社数名のコンサルタントの聞いてみたら、185社のうち、監視カメラを導入していたお客様は25社でした。(あくまでも参考程度ですが)割合で言ったら15パーセントくらいでした。私は30~40パーセントくらいは導入しているかなと思っていたので意外に少ないなと思いました。ではどんなお客様が導入しているかというと、梱包など、多数のお客様情報を扱っている企業が多かったです。また、外部からの犯罪を防ぐためと内部からの情報漏洩を防ぐために従業員の行動をチェックするために監視カメラを利用しています。近年、従業員が意図的に個人情報を流失するという事件もありますので監視カメラがあるだけ抑止力にもなります。監視カメラがあることに気が付いていない従業員も多々いますが。結構わかりづらいところ(高所)に設置していることが多いので。たぶん私も気づかない内にたくさん撮影されているとい思います。

 

では、実際にPマーク(プライバシーマーク)を取得している企業が監視カメラを使用する際にどういった点に気をつけないといけないか説明します。

 

例えば、不特定多数の人が出入りする場所に監視カメラを設置した場合です。不特定多数の人が出入りするということは知らないうちに監視カメラに撮られている可能性があります。これは本人に無断で個人情報を利用していることになります。Pマーク(プライバシーマーク)では個人情報を利用する際に本人の許可を得ることが前提となっております。一人一人に許可を取るのは現実的ではありません。ではどうやって許可をとればよいか、それは監視カメラ付近に「防犯カメラ作動中」など勝手に撮影はしませんよとアピールすれば大丈夫です。意外と簡単に解決できます。

 

では、社内など特定の人が出入りする場所に監視カメラがある場合です。これも「防犯カメラ作動中」など明示すれば大丈夫ですが、お客様によっては外観を損ねるから嫌だという方がいます。こういった場合は特定の人しか出入りしないので事前に書面などで許可をとれば大丈夫です。先ほども言いましたがPマーク(プライバシーマーク)で大切なことは本人から許可を取ってから個人情報を利用することです。(例外で本人から許可をとらないで個人情報を利用することもあります。今回、この説明は割愛させていただきます。)

 

Pマーク(プライバシーマーク)を取得しているお客様でも、監視カメラの利用方法を理解していないところがあります。実際、内部監査を実施させていただいたお客様の中に指摘をだした例もあります。

 

ここで一つ「個人情報」について説明いたします。個人情報とはある特定の人物と判別できることを言います。なので、監視カメラに映ったとしても特定の人物だと判別できなければ問題ありません。

 

ここで監視カメラの使い方について気をつけていただきたいことがあります。監視カメラを利用する目的は防犯や防災目的が多いと思いますが、仮に何か事件が起こってその犯人が防犯カメラに映っていた場合、善意から犯人を捕まえようとその映像を拡散した場合、Pマーク(プライバシーマーク)上問題となる可能性もありますのでご注意して下さい。この辺りがちょっとややこしいです。

 

これからPマーク(プライバシーマーク)取得企業が監視カメラを利用するケースも増えてくると思いますが利用する際には十分気をつけていただきたいと思います。

 

また、監視カメラを所有していて、これからPマーク(プライバシーマーク)を取得しようと考えている企業も同様に気をつけてください。

 

 

Pマーク(プライバシーマーク)における「内部監査」について

_shared_img_thumb_GREEN_I20140125_TP_V

 

いつもご愛読いただき、ありがとうございます。ISO総合研究所、コンサルタントの南です。

 

最近、気温の寒暖差が激しいですね。夜はちょうど良かったのに朝は寒すぎて、

布団の中で震える日々が続いております(笑)

そうそう、先日ですね、弊社で毎月実施している新卒のイベント、

 

「天下一大会」の“東京新卒VS大阪新卒のプレゼン対決”

 

に向けての打合せをするために、最近、板橋区引っ越した同期の新卒男子の家に、他の新卒者と一緒にお邪魔させていただきました!!

 

※天下一大会とは毎月一回、新卒同士で戦う壮絶なバトルの日です!ISO総合研究所の名物と言っても過言ではないです!しかし、イベントの名前はどこかの漫画からクレームが来そうなネーミングですね!(笑)

 

いやあ~、職業柄でしょうかね、間取りとか、何処に何を置くかよりも、エントランスの鍵の閉め方や、靴箱に鍵がかかっている、災害時の避難経路はあるのか、消化器は置いてあるか、などのセキュリティーが気になってしょうがなかったです。知らず知らずのうちに内部監査をするような視点で新居を見て回っていました。(笑)

 

ということで今回はPマーク(プライバシーマーク)における内部監査のお話をさせていただこうと思います。(かなり無理矢理ですね...(笑))

 

 

まず、内部監査ってなんでしょう...??

 

内部監査とは、組織の内部の者による監査のことをいいます。

組織体が経営する上での目標の効果的な達成に役に立つことを目的として、合法性と合理性の観点から公正かつ独立の立場で、ガバナンス・プロセス、リスク・マネジメントおよびコントロールに関連する経営諸活動の遂行状況を、内部監査人としての規律を遵守する態度をもって評価し、これに基づいて客観的意見を述べ、助言・勧告を行う保証(アシュアランス)業務、および特定の経営諸活動の支援を行うアドバイザリー業務です。内部監査は、取締役(会計参与設置会社にあっては、取締役及び会計参与)の職務の執行を監査する監査役監査(又は監査委員会による監査)、計算書類及びその附属明細書、臨時計算書類並びに連結計算書類を監査する会計監査人監査と合わせて、三様監査と呼ばれることがあります。

※一般社団法人日本内部監査協会の「内部監査基準」参照

 

これを簡単に言いますと、ルールをしっかり守れているのかを社内にいる人がチェックしていくということです。

 

Pマーク(プライバシーマーク)の運用で言うと「PDCAサイクル(ピーディーシーエーサイクル)」の「C」にあたるのが内部監査です!

※PDCAサイクル(ピーディーシーエーサイクル)とはPがプランつまり計画、Dがデューつまり実行、Cがチェックつまり点検、Aがアクションつまり行動になります!!!

 

Pマーク(プライバシーマーク)の内部監査を行うにあたって、大きく分けて以下3点の監査を行っていかなければなりません。

 

 

  • Pマーク(プライバシーマーク)の文書に対する監査

チェックするのは、社内で作った文書が規格(JISQ15001(ジスキュー15001))の要求を満たしているかどうかです。

 

  • 個人情報保護管理者に対しての監査

個人情報保護管理者が作ったルール通りに運用をできているか

 

  • 現場に対しての監査

実際に現場で決めたルールを守っているか、各拠点、各部署の単位でチェックをしていきます!!

 

よくある例としては、入退室の記録の書き忘れや社内携帯にパスワードをかけていない、スクリーンセーバーをかけ忘れている、また掛けているが、バブルで設定しているなどなどです。ちなみになぜスクリーンセーバーの設定がバブルだとダメかというと、バブルだとスクリーンセーバーがかかっても透けてしまってパソコンの画面の内容が丸見えなんですよ(笑)

実際、わたしたちのお客様でも現地審査で審査員に指摘として出されてしまったお客様がいます(笑)

気になる方はぜひ一度設定してスクリーンセーバーがかかるまで放置してみてください(笑)

ちなみにどうしてもスクリーンセーバーをかけたくない方には、離席時に「Ctr(コントロール)」と「L(エル)」のキーを押していただくと、画面がロック画面になるという裏技が有ります!!ぜひぜひお試しくださいませ!!(笑)

 

 

Pマークを取るためには、上記の内容の内部監査を最低でも1年に1度は行わなければいけないです!

 

 

また、内部監査をする際の注意点ですが、監査員は自分が所属している部署の内部監査を実施してはいけません!!理由としては自分の部署を自分で見てしまうと、客観的な目で見れなくて、公平な判断が出来ないからです!!!分かりやすくいうならば、遊園地に行って、周りにいる子供と自分の子を比べて、「うちの子が一番かわいい」と思ってしまう父親、母親のようなものです(笑)客観性、公平性を失っていますね(笑)かく言うわたしも子供が出来たらそうなっていくのでしょうが…(笑)

 

 

ざっくりですが内部監査につきましては以上となります!!!!

拙い文章ですが最後まで読んでいただきありがとうございました!!!!!

ISO総研・コンサルサポート部の仕事と一工夫

bsYUKA150701038569

こんにちは!!

いつも、お読みいただきありがとうございます!

ISO総合研究所 コンサルサポート部の奥田です(*^_^*)

 

私が所属しているコンサルサポート部の仕事と一工夫を紹介したいと思います♪

 

まず、コンサルサポート部ってなにをしている部門かといいますと、大きく分けて2つあります。1つ目はコンサルタントの日程調整、2つ目は契約書関係です。

 

今日は、日程調整をする上での一工夫をご紹介していきます~♪

 

弊社のコンサルタントは1人約40社~50社のお客様を担当し定期的にお客様先へ訪問してお打合せをしています。(訪問頻度はご契約によって異なりますので割愛させていただきます)

 

コンサルタントの日程調整をする上で求められることは2つ!

1つ目は移動の効率化!

2つ目は移動の快適さ!

この対照的な2つをどうやって突き詰めるかが、この仕事の難しいところであり、楽しいところなのです(笑)

 

少し極端な話になりますが、

効率化だけを求めれば、1回2時間の訪問を1日4件してもらえば、めちゃめちゃ効率良くないですか?

快適さだけを求めれば、1回2時間の訪問を1日に1件だけにすれば、めちゃめちゃ快適じゃないですか?(笑)

イメージしてもらえるように具体的な例をあげてみます!

お客様先からお客様先への移動時間が徒歩10分の訪問を1日4件訪問する・・・効率はいいけどコンサルタントからしたら、きついですよね。。。(笑)

逆に、福岡県のお客様先へ1件だけ訪問して大阪へ戻ってくる日程・・・なんだか効率悪いですよね。

 

なにも考えずに日程を組むだけなら簡単なのですが

そんな対照的な2つを求めつつ、日々コンサルタントの日程調整をしております。

 

 

ではでは、本題に入っていきましょう!

日程調整で工夫していることは2つです!

 

1つ目は効率化を追求するために「担当地域のグループ化」を実施しました。

CS

 

上記は静岡県の地図で、お客様先をピンで表しています。

赤のピンが鈴木の訪問先。

水色のピンが佐藤の訪問先。

緑のピンが濱田の訪問先。

黄色のピンが田口の訪問先。

静岡県担当の訪問者は4名でエリアもバラバラの状態でした。

訪問先を見える化すると現状を把握することができました!!!

と同時に、静岡県と一括りに言っても広い為、エリアがまとまっておらず、

これじゃ効率が悪いことも明らかですよね。。。

 

そこで!部長と相談し担当変更を実施しました。

どのように担当変更をしたか!エリアで訪問者をまとめました!

黄色の〇のエリアは佐藤が訪問。

水色の〇のエリアは堀田が訪問。

緑の〇のエリアは濱田が訪問。

赤の〇のエリアは田口が訪問。

これで移動は効率的になり、コンサルタントの移動も快適になりました♪

移動が効率的になったということは、交通費も削減できて一石三鳥♪♪

 

 

 

2つ目は快適に移動してもらうために「コンサルカルテの作成」を実施しました。

コンサルカルテとは、美容院のカルテのようなイメージです。

 

各コンサルタントの自宅の最寄り駅や出身地、どのようなスケジュール組みが好みかなどを聞いて、コンサルタントのストレスをなくした働きやすい環境作りに役立てています。

 

これもイメージしてもらえるように具体的な例をあげてみます!

最寄り駅を把握することで直帰の場合でも帰宅しやすくなります。

自宅の最寄駅が阿波座駅のコンサルタントの夕方の訪問先を阿波座駅周辺のお客様先にすれば、直帰してアフター6を満喫していただけます(*^_^*)(笑)

また、出身地を把握することでお客様訪問のついでに実家に帰省することができます。

出身が福岡県のコンサルタントの金曜日の訪問を福岡県にすれば、土日は実家に帰省してご両親の顔を見に帰ることも可能に~(*^_^*)♪

 

他には、好みのスケジュールもヒアリングしています。

コンサルによって、1日のスケジュールで大きく2パターンの好みがあります。

1つ目は、1日3件訪問にして、訪問しない日をつくるパターンと

2つ目は、毎日2件ずつ訪問して、夕方に社内の時間をつくるパターンです。

好みのスケジュールになるように、お客様訪問を予め調整することで作業時間や社内業務時間の確保もサポートしています。

 

あとは、コンサルタントのプライベートな情報も蓄積しています。

例えば、既婚者の場合、奥様やお子様の誕生日を記録しておくことでお客様訪問を事前に調整することもできます。

1年に1回の大切な家族の誕生日に遠方に出張だとさみしいですもんね(;O;)

家族の為、自分の為に仕事をしてるのに、仕事で時間が取れないのは本末転倒ですよね~

家族そろってお祝いしてもらえたらいいな~

なんて考えながら、日々、日程調整しています♪

急には難しい調整も1年前、半年前から把握していたら、調整も可能になってきます。

これからもコンサルタントの縁の下の力持ち、コンサルサポート部として精進してまいります。

 

 

以上がコンサルサポート部の一工夫の紹介でした。

最後までお読みいただき、ありがとうございました!!!

「Pマーク(プライバシーマーク)の新規認証の審査の1日」

SAYA072162920_TP_V

いつもご愛読ありがとうございます。

 

今回はPマークの新規取得において、担当者が一番心配されている点についてお話したいと思います。

お客様のほとんどは口を揃えて、「○○が一番心配だった。」「○○の対策をどうするかでずっと悩んでいた。」と言います。

その「○○」とは・・・「現地審査」です。

 

「現地審査」とは、審査員がPマーク取得申請企業に実際に出向いて、実務をチェックする工程です。現地審査を初めて受けられる人にとっては、何が起こるのか分からないので大変不安ですよね。では、実際、どんな風に流れていくのか、1日の流れを紹介したいと思います。現地審査の前日から、Pマーク担当者Aさんの1日のスケジュールを見ていきましょう。

 

【審査前日】○月×日

09:00 明日は審査だ。審査に使う書類を印刷しよう。

10:30 書類の印刷終了。やはり書類の数多いな…。さーて、どこにどの書類があるか当日テンパらないように付箋を貼っていこう。

12:00 付箋だらけになってしまった。書類も多いし、付箋も多いし、テーブルがごちゃごちゃだ。審査でしっかり見る書類と、ほとんど見られない書類が分かれば、書類も付箋も少なく済むのになぁ。とりあえず昼食取って休憩しよ。

13:00 さて、次は「同意書」や「委託先の契約書」とかの書類を総務部のキャビネットから集めよう。

14:00 やっと集まった。意外と大変だったな。でもなんか足りなさそうだな…

14:05 とりあえずテーブルの上がやばい(笑) 綺麗にファイリングしよう。

14:30 完成!さーて、次は全書類のチェックだ!

14:40 やばい。さっそく書類が足りない。印刷ミスもある…

16:30 チェック終了。・・・さて、やるか(不足分の書類回収、書類修正、再印刷など)

17:00 退社時間迫ってる。誰か手伝ってくれ。

18:00 んー終わらない。

19:00 よし、ここまできた。最終チェックだ!

20:00 やっと終わったー。早く帰ろう。明日は審査だ。

 

 

 

【審査当日】○月△日

08:30 出社

09:00 審査で使う会議室に、昨日チェックした書類を持ってこよう。

09:30 審査の参加者に点呼をかけよう。弊社の代表取締役、個人情報保護監査責任者がいればいいんだっけ。

09:50 審査員到着。2人来た。審査員のうち、1人がメイン、もう一人がサブということらしい。

10:00 審査開始。最初に秘密保持契約を結んだ。

10:10 トップインタビュー開始。弊社の代表取締役とメインの審査員が会話。

内容は、

①Pマーク取得の目的

②いつ頃からPマーク取得を考え始めたのか

③事業内容の概要

④各事業の売上の比率

10:30 トップインタビュー終了。代表者は退出。

10:35 ここからが私の出番!

10:50 約15分 採用の形態と採用業務のフローについて、メインの審査員に詳しく聞かれた。「不採用時の履歴書は返却か廃棄するのか」そこまで聞かれるんだな。

11:10 約20分 給与管理や社会保険関係などの経理・総務業務のフローに詳しく聞かれた。タイムカードなのか固定給なのか、社労士や税理士をどこのフローから使っているのか 質問攻め。経理に詳しい人じゃないと答えられないな。

12:00 約1時間 弊社サービスの業務フローについて詳しく聞かれた。個人情報をどこから受け取るのか、どういう書類やデータに置き換わりながら業務が流れていくのか、情報をどのプロセスで委託するのか、廃棄はどうしているのか、何年保管するか決まっているのかなど、質問攻め。よくそんなポンポン質問が出てくるなぁ。喋りすぎて喉が渇く。事務の人を呼んでコーヒー追加。

12:05 お昼休憩。審査員とは別の場所で昼食をとる。

13:00 午後の部開始!作成した書類のチェック!

14:20 午前中にヒアリングしたことと、作成した書類の整合性について順を追って、サブの審査員に確認された。午後は基本的にサブの審査員が担当するのか。メインの審査員もサブの審査員をフォローするような形で質問をしてきた。不足分や、修正する箇所を「指摘」として何個も出された。何か月もの時間を要して頑張って作り上げた書類も、こんなにたくさんの指摘が出るんだなぁ。

14:30 小休憩。昼食後は眠くなるなー。コーヒー飲もう。

14:40 審査再開!

15:30 まだまだ書類の整合性について確認される。書類しか見てないなぁ。御役所っぽい。

16:00 2回目の小休憩。審査ってこんなにも長いのか… コーヒー必須だな。

16:10 書類の確認が終わり、今後は社内を実際に見て回るそうだ。

16:20 オフィスにあるパソコンを数台見られて、「スクリーンセーバーが設定されているか」、「パスワードの桁数は、社内のルール通りなっているか」、「Windows Updateは手動更新ではなく自動更新になっているか」など、確認した。

16:40 サーバールームに移動して、システム関係のことをヒアリングされた。バックアップの方法や頻度、各パソコンやサーバーに対するアクセスログをどう管理し、点検しているのかなど。システム責任者が同席していてよかったー。

16:50 社内を一通り見て、再度会議室に戻る。実務のチェックはあまり重視しないのかな?1時間もかからず終わったぞ。

17:20 最後の総括。審査員から「今回の指摘は○○です。」と10~20個言われた。後日、正式指摘文書として、詳しい指摘内容が書かれた書類が届くそうだ。

17:30 審査員が退出。ふー。やっと終わった。それにしても長い1日だった…

 

【合計】

・書類作成時間                  :250時間

・前日準備                         :10時間

・当日の審査時間              :6時間(休憩を除く)

・審査員から受けた質問    :???個(数え切れない…)

・指摘数                            :18個

・飲んだコーヒー              :5杯

・精神の疲れ                     :250%(午前中でもうしんどい…)

 

「急に担当になったけれど、こんなに大変な仕事はやりたくない。」

という方はISO総合研究所までお問い合わせください。

審査自体の時間は短縮できませんが、「審査の前日準備10時間」と「精神の疲れ250%」を限りなく「0」に近づけることは可能です。

 

ISO総合研究所のコンサルタントがお伺いして、無料でご相談に乗らせて頂きます。

一人で悩んでいないで、まずはお気軽にお問い合わせください。

 

Pマーク(プライバシーマーク)3.3.3  リスクなどの認識、分析及び対策

MAX85_searchsa20140531_TP_V

いつもご愛読ありがとうございます。

ISO総合研究所Pマーク(プライバシーマーク)コンサルタントの佐久間悠矢です。

今回はPマーク(プライバシーマーク)を取得するにあたって、必要となってくる

「3.3.3リスクなどの認識、分析及び対策」についてお話させて頂きます。

 

 

まず、この「3.3.3 リスクなどの認識、分析及び対策」では何を求められているのか?

以下、要求事項を載せさせていただきます。

「事業者は、3.3.1によって特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。

事業者は、3.3.1によって特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。」

 

 

なんだか難しくいろいろと書かれていますね。。。

読んでみると、二つ書かれています。

  • 個人情報を特定したら、取得した時の目的以外で利用しないように、取扱の手順を切れてください。
  • 個人情報を特定したら、その個人情報の取り扱うそれぞれの局面でのリスクを認識し、分析し、対策を立ててください。

 

では、それぞれ説明していきます。

まず①に関して、

こちらは利用目的の特定(3.4.2.1)及び利用に関する措置(3.4.2.6)で行っていれば問題ありません。

そして、②に関して、

こちらでは、特定した個人情報に対して取り扱うそれぞれの局面でのリスクの認識、分析及び対策を求められています。

では、取り扱うそれぞれの局面とは具体的にどんな局面か?

大きく分けて6つの局面があります。

 

  • 取得・入力

個人情報を本人から手渡しで取得、宅配便で取得、FAXで取得、電子メールで取得、WEBサイトからの取得、取得した情報を紙媒体へ記入する、入力業務を委託する等があげられます。

  • 移送・送信

社内での持ち運び、社外での持ち運び、配送業者を利用し個人情報を郵送する、電子メールを送信する、USBメモリなどの外部媒体を利用して送信する、ネットワークを経由して送信する、FAXで送信する等があげられます。

  • 利用・加工

紙媒体に記録された情報を利用する、閲覧する、利用加工業務を委託する、サーバーやパソコンに格納された個人情報を利用する、連絡する等があげられます。

  • 委託・提供

○○○に委託する、第三者に提供する等があげられます。

  • 保管・バックアップ

キャビネットに保管する、パソコンに保管する、社内サーバーに保管する、社外サーバーに保管する、クラウドに保管する、外部媒体に保管する、媒体内に保管する(携帯電話、スマートフォン、ipad等)等があげられます。

  • 廃棄・消去

紙媒体を廃棄する、溶解処理業者に廃棄してもらう。パソコンに格納された個人情報を消去する、社内サーバーに格納された個人情報を消去する、外部媒体に格納された個人情報を消去する、リース機器を返還する等があげられます。

このように特定した個人情報それぞれに対して、「1、取得・入力」から「2、廃棄・消去」までのリスク分析を行わなければなりません。

例として名刺について考えてみましょう。

(名刺の場合)

  • 取引先の方から手渡しで名刺を取得する。(取得。入力)
  • 取得した名刺を事務所へ持ち帰る。(移送・送信)
  • 名刺を閲覧する。(利用・加工)
  • 無し。(名刺を委託業者へ委託しない。)(委託・提供)
  • 鍵付きのキャビネットにて保管する。(保管・バックアップ)
  • シュレッダーにて廃棄する。(廃棄・消去)

実際にリスク分性を行うと上記のようになります。

これはあくまで例なので実際にはもっとそれぞれの局面でリスクが発生すると思います。

 

 

 

例として名刺のリスク分析を行いましたが、これを特定したすべての個人情報に対して行うと思うと結構面倒くさいですよね。。。

そこで1つポイントを紹介すると、

この項目「3.3.3 リスクなどの認識、分析及び対策」ではリスクなどの認識、分析及び対策を把握する場合、ライフサイクルが同じものはグルーピングが可能であるということです。

つまり、先ほどの名刺の例と全く同じ「1、取得・入力」から「2、廃棄・消去」までのリスク分析結果となる個人情報Aがあるとします。この個人情報Aは以下のように名刺と同時にリスク分析を行ってもよいですよ!ということになります。

(名刺、個人情報Aの場合)

  • 取引先の方から手渡しで名刺を取得する。(取得。入力)
  • 取得した名刺を事務所へ持ち帰る。(移送・送信)
  • 名刺を閲覧する。(利用・加工)
  • 無し。(名刺を委託業者へ委託しない。)(委託・提供)
  • 鍵付きのキャビネットにて保管する。(保管・バックアップ)
  • シュレッダーにて廃棄する。(廃棄・消去)

 

これによって、ずいぶんと対応が楽になるのではないでしょうか?

弊社ではこのようなアドバイスはもちろん実際のPマーク(プライバシーマーク)の運用から審査時に必要な資料作成までお手伝いさせて頂いております。

Pマークの取得・運用にお困りの方、是非無駄な工数をかけずに取得・運用していきましょう!

Pマーク(プライバシーマーク)の現地審査を受けた後に行う指摘改善について

_shared_img_thumb_SEPsts_TP_V

ISO総合研究所 コンサルタントの平墳です。

 

今回はPマーク(プライバシーマーク)の現地審査を受けた後に行う指摘改善についてお伝えしたいと思います

 

指摘改善とは、規程で定められたルールが現場で実際に運用されているのか、個人情報が適切に扱われているのかを見られる現地審査で確認し、現場で特定されていない個人情報が見つかったり、現場が個人情報を取りあつかうのに適切な環境でなかったときなどに、指摘が出されそれに対応するというものです。

 

どのように指摘が届くのかというとまず審査機関から「プライバシーマーク付与申請審査

の指摘事項について」という書類が届きます。

 

 

この書類には、どのような点が不備だったのか等が記載してあります。

これを「指摘事項」と言います。

指摘事項数は現地審査次第ですが、少なくても5箇所弱。多くて20~30箇所、またそれ以上の指摘をもらう場合があります。

 

 

しかし、「指摘事項」が出たからといって、プライバシーマークが取得できないということはありません。

 

 

申請事業者は3ヶ月以内にこの指摘事項に対して、改善報告書を提出し「指摘事項」を改善してなくせばいいのです。

 

提出された改善報告書が適切だと認められれば、審査員から改善を認める旨の連絡が入ります。

 

 

そもそも指摘事項はなぜでるのでしょうか?

Pマーク(プライバシーマーク)の審査のために絶対必要だからでしょうか?

Pマーク(プライバシーマーク)の審査に落とすためでしょうか?

 

 

指摘事項を出すのは、「現地審査員がきちんとその企業の審査をしてきました。」という証拠になるのです。

 

審査員は実際に企業に訪問し、実態を確認した上で、Pマーク(プライバシーマーク)の水準を担保できると判断する必要があります。

 

 

 

指摘が出てそれを改善するまでをPマーク(プライバシーマーク)が付与認定されるまでの流れでご説明させて頂きます。

 

 

  1. 弊社はPマーク(プライバシーマーク)の取り組みをしています。その実態を確認してください!というまずは申請を審査機関へ提出します。これが申請書です。

 

  1. 申請書を受け取った審査機関は、申請に必要な書類や必要事項が明記されているか確認をします。これが形式審査です。

 

  1. 申請に必要な書類が確認でき、申請が受理されるといよいよ現地審査の日程が決まります。

 

  1. その後、事前に審査機関がJISQ15001(ジスキュー15001)要求事項で最低限のルールを作成するように求めています。そのルールがきちんとかかれているかを文書審査で確認を実施します。

 

  1. いよいよ現地審査にて、Pマーク(プライバシーマーク)のために実施してきた活動内容を1日かけて確認をしていきます。

 

  1. 現地審査員が指摘事項を企業に出します。

 

  1. 企業が指摘された内容を修正します。

 

  1. 現地審査員が改善された内容をもとに「審査会」と呼ばれるPマーク(プライバシーマーク)の付与認定を行う場所で報告をします。

 

  1. 審査会でPマーク(プライバシーマーク)付与が確定し、Pマーク(プライバシーマーク)が発行されます。

 

現地審査に来た審査員が指摘事項をあげる目的がどこかわかりましたか?

 

上記の8番がポイントです。

 

 

現地審査に来た審査員は現地審査終了後に

「私がこのように監査を実施して、改善していただき、Pマーク(プライバシーマーク)を付与できるだけの水準を確保しましたのでPマーク(プライバシーマーク)の付与をお願いします。」

と報告をするために必要なのです。

 

しかしその指摘事項には、審査員個人の思いや経験、考えが反映されてしまうことも珍しくありません。実際に指摘改善の作業をお手伝いしていると

 

「要求事項のどこにかいてあるのかと思うくらいおかしな指摘」

というものも多く見受けられます。

 

 

「審査員の言うことはすべて正しいから必ず実施しなければならない」と思っている企業の方も多いですが、納得行かない部分は納得いくまで審査員に聞いていただいて大丈夫です。それでもやはり審査員によって言っていることは違ってきますので、なんでそう思うか等も聞いていただいたほうがよいかと思います。

 

 

 

例を挙げるときりがありませんが、その他にもたくさん、審査員の個人の見解ではないのか?とうものが多くあります。

 

現審査後に指摘事項は必ずでます。指摘が出ないように完璧に記録を作成しよう、運用をしようとするのは労力の無駄です。

 

 

現地審査員はPマーク(プライバシーマーク)の審査に落とすためではなく、あくまで企業のことを考えて、「もっとこうしたほうがよりいいですよ」と提案をしてくださいます。

 

しかし、それが時には行き過ぎた場合もあります。現地審査員の言っていることが絶対ではない場合はあります。指摘事項は必ずでます。出てから対応するのも労力を減らす1つの方法です。さらに、現地審査のときに指摘事項としてあがりそうな項目で、納得ができそうにない場合は、「それは要求事項で必ず実施しないといけないのでしょうか?」「審査員の方のお考えなのでしょうか?」と聞いてしまうのも手です!

 

指摘改善でお困りがございましたら、当社までご連絡ください。「やらなくてもよい方法」をたくさん他社事例でもっています。それが本当に必要かどうか一緒に判断していきましょう。

PMS(個人情報保護マネジメントシステム)における「PDCAサイクル」について

00_PP36_PP_TP_V
いつもご愛読いただきありがとうございます。
ISO総合研究所、Pマーク(プライバシーマーク)コンサルタントの花井です。

本日はPMS(個人情報保護マネジメントシステム)における「PDCAサイクル」についてお話しいたします。

プライバシーマーク審査機関から発行されているガイドラインの冒頭にPMS(個人情報保護マネジメントシステム)についての説明が書かれています。

「個人情報保護マネジメント規格であるJIS Q 15001:2006は、マネジメントシステム規格を作成する場合の国際規約であるISOGuide 72:2001(マネジメントシステム規格の正当性及び作成に関する指針)に従って作成されています。ISOの品質マネジメントシステムや環境マネジメントシステムと共通のマネジメントシステム原則を採用しています。

マネジメントシステム原則の主旨は、方針を作成し、それに基づいて計画を作成し(Plan)、実施し(Do)、点検し(Check)、見直し(Act)を行うという、いわゆるPDCAサイクルをスパイラル的に継続することにより、事業者の管理能力を高めていくことにある。この仕組みを採用することで、事業者は個人情報の保護レベルを維持または向上させていくことが期待される。」

PDCAサイクルを繰り返し継続させていくことで個人情報保護のレベルをあげていこうということが書かれています。

ここで、そもそもPDCAサイクルとはなんなのか振り返っていきましょう。

「Plan=計画」

目標を設定し、目標達成のために何をするべきか仮説を立て、プランニングすることです。

何をするのか・誰に対してするのか・なぜするのか・どのくらいの量を行うのか・いつまでに行うのか…など基本の5W1Hを更に詳しく分解して考えていきます。

「Do=実行」

計画をもとに実行することです。

計画したことを意識し、結果が分かるように、時間を測る・数を数えるなど数字を付けることが大切です。

「Check=評価」

計画に沿った実行が出来ていたのかを検証することです。

実行した結果が、良かったのか悪かったのかを判断します。その時に、実行で述べた数字を付けておくと具体的根拠ができるので検証の正確性が増します。

「Action=改善」

検証結果で見えた、課題の解決策を考え改善することです。

実行した結果、この計画を続けるか・止めるか・改善して実行するかなどを、この段階で考えます。この時に、次のサイクルの「Plan」を意識して考えることが重要なポイントです。

一般的なPDCAサイクルを回すことを求められ、そのことを意識して仕事に望んでいる方は沢山いると思います。

しかし、なかなか上手く回せている人がいないのが現状です。

その理由として考えられるのは、以下のようなものがあります。

①PとDはあるけどCとAがない(その行動がPDCAだと思い込んでいる)

これは、多くの人が陥っている状態だと思います。

まず、結果を分析してPlanに移るのではなく「こうなったらいいな」という願望で計画を立てて、Doします。

その結果が期待と乖離している状態だった場合、その差を埋めるための施策を自らの経験から思いつき、それを実行に移すのです。

要するに、結果を分析して適切な行動を取るというのではなく、単なる“作戦の変更”に過ぎない場合があります。

②改善を急ぎすぎる

「走りながら考える」を掲げることも多い、ベンチャー企業などによく見られるパターンかもしれません。

Doをしても、Checkに十分な時間が取れず、Planがしっかり立てられないことがあります。

成果を急ぎすぎるあまり、いろんな変更を実行しすぎるためにしっかりとPDCAのサイクルを回すことができなくなります。

それを続けていくうちに、複雑に様々な要因が絡まって分析ができなくなり、せっかく効果があってもノウハウになりにくいという悪い点も出てきます。

③計画倒れしてしまう

②とは真逆と言ってもいいのですが、分析と計画に時間を費やしすぎてしまい、実行に移すことなく終わってしまうというパターンです。

Planだけが繰り返され、本当に正しいものを突き止めるまでに時間がかかりすぎて、その間に市場やトレンドが変化してしまうということが考えられます。

正しいと確信した上で実行に移したとしても、間違っている可能性も十分にあります。1度で正解に辿り着ければそれほど嬉しいことはありませんが、「間違って当たり前」という意識でいることも重要なポイントです。

これが一般的なPDCAサイクルです。

では、具体的にプライバシーマークの要求事項とPDCAサイクルはどのように対応しているかを見ていきましょう。

・計画(Plan)
3.2 個人情報保護方針
3.3 計画

・実施(Do)
3.4 実施及び運用
3.5 個人情報保護マネジメントシステム文書
3.6 苦情及び相談への対応

・確認(Check)
3.7 点検
3.8 是正処置及び予防処置

・見直し(Act)
3.9 事業者の代表者による見直し

上記のように運用内容は、このPDCAサイクルに沿ったもので構成されています。このサイクルにより、よりその事業者の個人情報保護のレベルの向上が図れるようJIS規格で要求されており、要求に沿った形で運用を進めることで事業者の管理能力を高めていくようになっています。(スパイラルアップ)

やり方がわからない、もっと詳しく知りたいなどがございましたら、ぜひISO総合研究所にお尋ねください。