いつもご愛読いただきましてありがとうございます。
ISO総合研究所　コンサルタントの野村彩紀子です。

8月も中盤に入り、スイカのおいしい季節となりましたが、皆様いかがお過ごしでしょうか。

暑い日が続き、プールに入りたくなるような気候が続きますね。
私は先日、会社の同僚たちとプールに行ってきました。よみうりランドのプール。ウォータースライダーが10分並べば順番が来るので、案外穴場です。

プールに行くことになり、私は浮足立ちました。せっかくなんだから、水着を買おうか。
そんな衝動に駆られ、通販サイト楽天を見ました。日用品も、衣類も、家具も、なんでも売っている楽天さん。

今回も例のごとく楽天をみていたら素敵な水着を見つけ、すぐに、購入ボタンをクリックしました。
私は会員になっているので、特別に住所や氏名等を入力することもなく購入が完了しました。

そこで疑問に思いました。私の個人情報は某通販サイトのどこで管理されているのでしょうか。

今回のブログではそんな通販サイトにおける個人情報の取扱いと、ウェブ上で個人情報を取得する場合の措置についてお伝えさせて頂きます。

会員登録

通販サイトを使用する際、まず最初にすることは会員登録ですね。
メールアドレスやID,パスワード、氏名を入力し、「個人情報保護方針」「会員規約」に同意します。

この個人情報保護方針の中には「お客様の個人情報にアクセスする者」という項目があり、楽天内のショップでお買い物をした場合には、各ショップが個人情報にアクセスできるようになる旨が記載されています。
これが、先述した私が購入をクリックしただけで、特別に住所や氏名等を入力することもなく購入が完了できた理由です。

楽天は会員登録時に個人情報を取得、商品購入時にはその情報を各ショップに与えることで、ユーザーが商品購入時に毎回自分の個人情報を入力しなければいけない手間が省けるわけです。

個人情報をウェブ上で取得する際の注意点

また、Pマーク（プライバシーマーク）取得企業が個人情報をウェブ上で取得する際は、気を付けないといけない点が2つあります。

①暗号化対策
（JIS Q15001:2006 3.4.2.4　本人から直接書面によって取得する場合の措置）

通称、SSL化。Secure Socket Layerの略で、インターネット上で情報を暗号化して送受信できる仕組みのことです。
個人情報・クレジットカード情報などの大切なデータを安全にやりとりできます。

例えばクライアントPCとサーバ間のHTTPやFTPなどの通信において、クレジットカード情報の機密性の高いデータを、SSLにより暗号化して安全にやりとりできます。
Pマーク（プライバシーマーク）取得企業が個人情報をウェブ上で取得する際には必ずSSL化を実施しなければなりません。

②個人情報情の入力時の同意文の掲載
（JIS Q15001:2006 3.4.3.2　安全管理措置）

個人情報入力フォーム等で、どういった目的で個人情報を取得するのかを記載する必要があります。
そこで示さなければいけない事項は以下です。

1.事業者の氏名又は名称
2.個人情報保護管理者の氏名又は役職、所属及び連絡先
3.利用目的
4.個人情報を第三者に提供することが予定される場合の事項
5.個人情報の取扱いの委託を行うことが予想される場合にはその旨
6.JISQ15001の3.4.4.4~3.4.4.7に該当する場合にはその求めに応じる旨及び問い合わせ窓口
7.本人が個人情報を与えることの任移籍及び該当情報を与えなかった場合に本人に生じる結果
8.本人が容易に認識できない方法によって個人情報を取得する場合にはその旨。

上記2点はPマーク（プライバシーマーク）の規格要求で求められており、プライバシーマーク取得企業は必須となります。

まとめ

いかがでしたでしょうか。
ぜひ、また通販サイト等を利用する際には以下の3点を確認してみてくださいね！

①利用規約・個人情報保護方針の内容
②個人情報入力ページにはSSL化が施されているか
③個人情報入力時に個人情報の利用目的を明示されているか

最後までお読みいただき、ありがとうございました。

いつもご愛読いただきありがとうございます。
ISO総合研究所　千葉です。

だんだん気温も上がり、春らしい様子が見られるようになってきましたね。
服装も軽装になり、色も明るいものが増え、気分も変わってきました。花粉症の人にはつらい季節ですが…頑張ってのりきりましょう！

さて、Pマーク（プライバシーマーク）は、2017年に新たな動きが始まりました。

今までPマーク（プライバシーマーク）の基準になっていた「JIS Q 15001：2006（個人情報保護マネジメントシステム－要求事項）」が、2017年12月20日に、「JIS Q 15001：2017（個人情報保護マネジメントシステム－要求事項）」が改訂されました！
Pマーク（プライバシーマーク）業界では11年ぶりの規格改訂となっています。

そもそも規格改訂とは？

しかし、巷では騒がれていますが、そもそも規格改訂とは何のことだろうと考えたことはありませんか？

そもそも、Pマーク（プライバシーマーク）を運営するに当たり、皆様の社内に「ルール」が作られていますね。
「個人情報保護マニュアル」「個人情報保護規程」「○○手順書」等、各企業によってその前は異なり、様々なルールが存在していると思います。

このルールを作るにあたり、ベースとなる規準が存在しています。
これが、「個人情報保護マネジメントシステム」つまり、「JIS Q 15001」にあたります。

しかし、情報セキュリティ等時代の変化が激しい昨今、この基準は何年も同じものを使い続けて自社とのギャップが生まれないでしょうか？基準そのものの見直しは必要ないでしょうか？

そう考えていくと、時代に合せてルールを作るための基準も変更していく必要がありますよね。
それが、「規格改訂」になります。

Pマーク（プライバシーマーク）の審査を受けていく中でも、2年前に言われたことと違う指摘が出てきた！なんてこともありますよね。
最近ではマイナンバーに関するルールや仕組みが必要になったのもその1つですね。
時代と共に法律が変わるように、Pマーク（プライバシーマーク）の規格も変化することになりました。

では、今回のPマーク（プライバシーマーク）規格改訂、どのような変化が出てきたのでしょうか。3つに絞ってお伝えします。

変化①：規格の「共通化」

まず大きい変化の1つ目としては、規格の「共通化」が上げられます。

最近では、Pマーク（プライバシーマーク）の他にISO27001（ISMS）を同時に取得している企業が増えています。
今まで、Pマーク（プライバシーマーク）は日本独自の規格となっており、世界に通用する規格であるISOとは共通の基準を作るのが難しい状況でした。

今回の規格改訂によって、ISO同様10章立ての構造となりました。
このことで、マニュアル類を統合しやすくなりました。

規格そのものを見てみると、用語も「JIS Q 27000:2014」から引用されている箇所が多く、ISO27001（ISMS）と連動しやすい状況が作られていることがわかります。
２つの規格を持っている企業にとっては、今までうまくいかなかった、マニュアル類の統合が非常にやりやすくなっています。

変化②：「附属書」の存在

そして、次に大きな変化として挙げられるのが「附属書」の存在です。

そもそも附属書ってなんだ？って思いますよね。

実は、これが旧規格である「JIS Q 15001：2006（個人情報保護マネジメントシステム－要求事項）」を継承して策定されています。
もちろん、今の時代に合せた変更もされています。
ルール作りに大きく関わるのは附属書Aと附属書Cになります。

附属書Aは、今までPマーク（プライバシーマーク）で使ってきた規格要求事項を盛り込んでいます。
例えば個人情報の特定、緊急事態への準備、教育、内部監査など。見慣れた内容が記載されているのではないでしょうか。

しかし、2017年に行われた個人情報保護法の改正により、守るべきルールや使われる用語の変更が出ています。
例えば「要配慮個人情報」は、今回新たに決められた言葉です。以前の「機微な個人情報」と言えばわかりやすいでしょうか。

このように、Pマーク（プライバシーマーク）規格改訂により、最新の法令を反映した要求事項が作られています。
今まで利用してきたマニュアル類から変更する箇所ももちろん出てくるでしょう。

変化③：旧規格「3.4.3.2　安全管理措置」が独立

最後に3つ目として、附属書Cが変わりました。
旧規格「3.4.3.2　安全管理措置」を独立させた要求事項ととらえてください。

以前よりも、セキュリティに関する要求事項が増えています。114項目の要求事項を照合する必要があります。
もはやISMS（ISO27001）と変わらないセキュリティに関する要求事項が出来ましたね。

114項目と聞くと、もう見るのも嫌になってしまいそうですが、もちろん似たようなルールが存在しています。
要求事項を読み込み、自社にあったルールを作れば記入する量も減るかもしれませんね。

まとめ

こうやって見ると、規格改訂に対応したマニュアルの策定だけでも情報を仕入れて進めていく必要がありそうです。

Pマーク（プライバシーマーク）規格改訂の対応期間は2018年8月1日～2020年7月31日です。
対応するための準備期間は2年間ですね。審査機関の審査基準の公表も1月中旬に行われる予定です。

当社では、規格改訂に関する無料コンサルも行っています。何か気になることがありましたら、是非お気軽にお問合せください。

こんにちは！！ISO総合研究所の箸方です。
いつも当社のブログをご覧いただき、ありがとうございます。

最近、地元の駅が再開発で映画館や大手家電量販店など商業施設がたくさん作られ大進化しております。
ますます街が活気づきそうで嬉しいですね。楽しみです。

「改正個人情報保護法」全面施行

さて、「個人情報保護法」も2017年5月30日より「改正個人情報保護法」が全面施行され進化しましたね！

「改正個人情報保護法」は2015年9月3日に可決・成立され、同年9月9日に公布されましたが、実は、施行はまだされていませんでした。それが、2016年12月に、全面施行日(2017年5月30日)が発表され、先日、遂に施行されました。

どんなところが変わったのか？やらないといけないことはないのか？
不安に思う方、沢山いらっしゃると思います。

個人情報保護法の改正に当たり、内容が変更された点はいくつかありますが、その中でも本日は、「個人情報保護法改正のオプトアウトの届け出」について、大きく変わった部分のみご説明させていただきます。

オプトイン、オプトアウトって？

まず、オプトイン、オプトアウトという言葉ご存知でしょうか？

「オプトイン」とは本人から事前に同意を得ることで第三者に個人情報を提供することを言います。
例えば、給与支払いの為の口座番号が含まれている「給与振込口座指定書」多くの企業で似たものを使っていると思います。支払いのために銀行に提供することがありますよね？

エンジニアを派遣するような会社では「スキルシート」が含まれると思います。

また、「オプトアウト」とは、個人情報を第三者提供することを通知し本人が認識し容易に知りうる状態のことを言います。
つまり、本人の同意を得ずに情報を提供するが、本人にはそのことを伝えればＯＫということです。

例えば、迷惑メールやDMがそれにあたります。
メールが勝手に送られてきて、配信停止にするなら自分で申請する必要があるタイプのものです。

改正前と改正後の扱い

「オプトイン」については、個人情報保護法の改正前と改正後で扱いに変化はございません。
ただし、「オプトアウト」については変化がありました。

改正前の「オプトアウト」では、以下の必要項目４点をあらかじめ本人に通知、又は本人が容易に知り得る状態に置いているときは個人情報を第三者に提供できるとされていました。

・第三者に提供する目的
・提供する個人情報の項目
・提供の手段又は方法
・本人の求めに応じて第三者提供の停止をする旨

それに対し、改正後の「オプトアウト」は手続きが厳格化されました。

ここからが本題です。

「オプトアウト」する際、オプトアウトに関する事項を個人情報保護委員会にあらかじめ届けなければならない。また、要配慮個人情報を含む個人データについてはオプトアウトの方法による第三者提供は認めない。
というようにルールが変わりました。

つまり、「オプトアウト」する際（個人情報を第三者提供する際）には個人情報保護委員会へ届け出ることが必要となりました。
※この届出書は個人情報保護委員会のHPより入手できます。

個人情報保護委員会とは？

さて、聞きなれない言葉が出てきたと思います。
「個人情報保護委員会」について少しだけお話しします。

「個人情報保護委員会」とは個人情報（マイナンバー（個人番号）を含む。）の有用性に配慮しつつ、その適正な取扱いを確保するために設置された独立性の高い機関です。
※1：HPより引用

複数業務がありますが、詳しくは「個人情報保護委員会」のHP(https://www.ppc.go.jp/aboutus/commission/)をご覧ください。

オプトアウトの届け出が必要なもの

本題に戻ります。

ここまで読んでいただいている方は、自社でオプトアウトの届け出が必要なものがあるか気になりますよね。
最後にご説明します。

個人情報保護法は法律であるため、日本にある企業は守る義務があります。これにはプライバシーマークの有無は関係ありません。

しかし、プライバシーマークを取得されている企業でオプトアウトの方式を取られている企業様はほとんどいらっしゃらないと思います。
「オプトイン方式」で、事前に同意を得てその個人情報を取り扱っているはずです。

それでは、ここで質問です。

プライバシーマーク取得企業が名簿業者からリストを購入して本人にアクセスして良いと思いますか？ダメだと思いますか？

正解は「ダメ」なんです！！！

JIS Q 15001:2006の「3.4.2.2 適正な取得」において事業者は、適法、かつ、公正な手段によって個人情報を取得しなければならない。と、あります。

本人の同意が取れているかどうかわからない名簿業者のリストを使うことはプライバシーマークのルールに違反します。

この改正には、実はある事件が大きくかかわっています。覚えている方も多いと思いますが2015年6月、株式会社ベネッセコーポレーションの会員情報流失事件です。ベネッセの業務委託先の元社員が、ベネッセの顧客情報を不正に売却した事件です。約3,504万件分の個人情報が流出してしまいました。

この際に名簿業者がオプトアウト方式でほかの名簿業者へ拡散させていたことが発覚しました。
政府はこの名簿業者への取り締まりを強化するため、個人情報保護法のオプトアウトの項目を改正しました。

多くの一般企業はオプトアウトの手続きが変わったことに影響を受けることはないかと思います。名簿業者、またはそれを利用されている企業の方は注意してください。

オプトアウト方式で個人情報を取り扱う際は届出が必要です。
自社の個人情報で届出が必要かどうか不安な方は先ほどの「個人情報保護委員会」に問い合わせてみてください。

以下のような窓口が用意されています。

《個人情報保護法相談ダイヤル》
TEL：03-6457-9849
URL：https://www.ppc.go.jp/

最後に

最後に、個人情報保護法の改正は多くの企業が注目すべきものとなっています。

当社のブログでは他にも「改正個人情報保護法」に対して役に立つ知識を掲載させていただいております。
他のブログをご覧いただいてもよいですが、オススメは弊社コンサルによる無料相談です。よろしければ、ぜひ、ISO総合研究所へご相談ください。皆様の力になれれば幸いです。

本日は最後まで読んでいただきありがとうございました！！！
ご連絡お待ちしております。

※1：個人情報保護委員会　https://www.ppc.go.jp/aboutus/commission/

こんにちは！Pマーク運用支援コンサルタントの村上です。
いつも当社のブログをご覧いただき、ありがとうございます！

個人情報保護法ってご存知ですか？

さて、いきなりですが皆さんは『個人情報保護法』についてどのくらい知っていますでしょうか？

「今年改正されたのは知っている・・・」
「なんとなく耳にしたことがある・・」

など、内容についてはあまり知らない事が多いのではないでしょうか？

そもそも『個人情報保護に関する法律』、通称『個人情報保護法』とは、どんな法律なのかと言いますと、『個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律』とされています。
また、基本理念を定めるほか、民間事業者の個人情報の取扱いについて規定されています。

この法律の目的としては、「個人情報の有効性に配慮しつつ、個人の権利利益を保護すること」とされています。

今までは机の上に個人情報が記載されている履歴書を放置していても何も言われなかったけれど、今ではちゃんとキャビネットの中に保管しているようになったなど、時代とともに変化していった事がありますよね。

このように高度情報通信社会の進展に伴って、個人情報の利用が著しく拡大していることにより、個人情報の適正な取り扱いに関し、基本理念及び政府による基本方針の作成その他個人情報の保護に関する施策の基本となる事項を定め、国及び地方国興団体の責務等を明らかすること、また、個人情報の取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現が求められています。

(参照：個人情報保護法の基本URL：https://cybozulive.com/2_299602/gwCabinet/view?cid=14140117&currentFolderId=1565294)

実は、この『個人情報保護法』がまた更に時代の変化に伴って昨年3月に改正され、2017年5月30日に施行されました。

そこで！本日は「ここが変わった個人情報保護法改正の３つのポイント！」という事で、『個人情報保護法』が大まかに「どこが変わったのか？」という事を

①「個人情報保護委員会の新設」について
②「個人情報の定義の明確化」について
③「その他の変更箇所」について

の３つのポイントに絞って説明していきます！

①「個人情報保護委員会の新設」について

まず1つ目のポイントは「個人情報保護委員会の新設」です。

個人情報保護委員会とは、昨年発足した「特定個人情報保護委員会」を改組したものです。
マイナンバーの適正な取扱いの確保を図るための業務を引き継ぐとともに、新たに個人情報保護法を所管し、個人情報の有用性に配慮しつつ、その適正な取扱いの確保に関する業務を行います。

民間事業者の監督について、改正前は各分野の主務大臣が個人情報取扱事業者に対し監督権限を持っていたのですが、今回の改正でこの監督権限が個人情報保護委員会に一元化されました。
これは、各分野の主務大臣が権限を持っていると、重要な監督や所管省庁が不明確であるという課題があったためです。

一元化されたことにより、個人情報の事故があった際に報告する場所が一か所になり、分かりやすくなりました。

「個人情報保護委員会」が新設されたことでPマーク担当者の方がしなければならないことが１つ増えていて、Pマークで作成する緊急事態への準備の手順に、この「個人情報保護委員会」を追記する必要があります。

②「個人情報の定義の明確化」について

2つ目のポイントは「個人情報の定義の明確化」です。

今回の改正で、今まで個人情報かどうかグレーゾーンにあった、指紋データや顔認証データなどの身体的特徴等が新たに個人情報の定義に明記されました。

これらは「個人識別符号」といい、特定の個人の身体の一部の特徴を、電子計算機のために変換したものや、旅券番号や運転免許証番号のように個人に割り当てられた文字、番号、記号などの符号がこれに該当します。

また、もう一点明確化されていて、本人の人種、信条、病歴などの本人に対する不当な差別や偏見が生じる可能性のある個人情報を「要配慮個人情報」と呼び、「要配慮個人情報」を取得する際には本人の同意を得ることが義務化されました。
Pマーク制度の言葉で言うと、「特定の機微な個人情報」と同義語になります。

以上の「個人識別符号」と「要配慮個人情報」が今回の改正で明確化されたものになります。

③「その他の変更箇所」について

最後に3つ目のポイントが「その他の変更箇所」です！
ここでは変更箇所として押さえておきたいことが3点あります。

それが、

①個人情報を取扱う事業者の制限の廃止
②オプトアウト規定の利用
③個人情報データベース提供罪

です。

①個人情報を取扱う事業者の制限の廃止

まず、①個人情報を取扱う事業者の制限の廃止についてですが、以前は取り扱う個人情報の数が5，000以下である事業者は規制の対象外とされていました。
しかし、今回の改正でこの制限は廃止され、取り扱う個人情報の数が5,000以下でも、「個人情報を取扱う事業」として明記されることとなりました。

②オプトアウト規定の利用

次に②のオプトアウト規定の利用についてです。

オプトアウト規定とは、あらかじめ本人に対して個人データを第三者提供することについて通知または認識し得る状態にしておき、本人がこれに反対をしない限り、同意したものとみなし、第三者提供をすることを認めることを言います。

今回の改正で、このオプトアウトを利用する場合、個人情報取扱事業者は所要事項を個人情報保護委員会に届け出る事を義務化し、委員会はその内容を公表する必要が生じました。

ちなみに、「要配慮個人情報」についてはオプトアウトによる第三者提供は認められておりません。

③個人情報データベース提供罪

最後に③個人情報データベース提供罪についてです。

個人情報データベース等を、不正な利益を図る目的で第三者提供したり、盗用する行為を、「個人情報データベース提供罪」という法律で処罰されるようになりました。
これは、いわゆる名簿屋対策として制定されました。

不正に取得されていると知っていて、その個人情報データベース等を取得することは犯罪になりますので注意しましょう！

最後に

以上、長々とお話してきましたが、Pマーク制度にてPマークを取得されている皆さんは、実はすでに個人情報保護法の内容について運用されています！

というのも、Pマーク制度は個人情報保護法よりも厳しい観点で審査されているからです。

しかし、今回3つのポイントに絞ってお話しましたが、私自身も個人情報保護法についてはまだまだ勉強中になります！
さらに、近いうちにこの改正によりPマークのガイドラインも変更されると言われています。

まずは落ち着いてもう一度社内のルールについて見直してみるといいかもしれません。

いつもご愛読ありがとうございます。

今回はPマーク（プライバシーマーク）の新規取得において、担当者が一番心配されている点についてお話したいと思います。

お客様のほとんどは口を揃えて、「○○が一番心配だった。」「○○の対策をどうするかでずっと悩んでいた。」と言います。

その「○○」とは・・・「現地審査」です。

「現地審査」とは、審査員がPマーク取得申請企業に実際に出向いて、実務をチェックする工程です。
現地審査を初めて受けられる人にとっては、何が起こるのか分からないので大変不安ですよね。

では、実際、どんな風に流れていくのか、1日の流れを紹介したいと思います。
現地審査の前日から、Pマーク管理責任者Aさんの1日のスケジュールを見ていきましょう。

【審査前日】○月×日

09:00
明日は審査だ。審査に使う書類を印刷しよう。

10:30
書類の印刷終了。
やはり書類の数多いな…。さーて、どこにどの書類があるか当日テンパらないように付箋を貼っていこう。

12:00
付箋だらけになってしまった。
書類も多いし、付箋も多いし、テーブルがごちゃごちゃだ。審査でしっかり見る書類とほとんど見られない書類が分かれば、書類も付箋も少なく済むのになぁ。
とりあえず昼食取って休憩しよ。

13:00
さて、次は「同意書」や「委託先の契約書」とかの書類を総務部のキャビネットから集めよう。

14:00
やっと集まった。意外と大変だったな。でもなんか足りなさそうだな…

14:05
とりあえずテーブルの上がやばい(笑)
綺麗にファイリングしよう。

14:30
完成！さーて、次は全書類のチェックだ！

14:40
やばい。さっそく書類が足りない。印刷ミスもある…

16:30
チェック終了。
・・・さて、やるか（不足分の書類回収、書類修正、再印刷など）

17:00
退社時間迫ってる。誰か手伝ってくれ。

18:00
んー終わらない。

19:00
よし、ここまできた。最終チェックだ！

20:00
やっと終わったー。早く帰ろう。明日は審査だ。

【審査当日】○月△日

08:30
出社

09:00
審査で使う会議室に、昨日チェックした書類を持ってこよう。

09:30
審査の参加者に点呼をかけよう。弊社の代表取締役、個人情報保護監査責任者がいればいいんだっけ。

09:50
審査員到着。2人来た。審査員のうち、1人がメイン、もう一人がサブということらしい。

10:00
審査開始。最初に秘密保持契約を結んだ。

10:10
トップインタビュー開始。弊社の代表取締役とメインの審査員が会話。内容は、
①Pマーク取得の目的
②いつ頃からPマーク取得を考え始めたのか
③事業内容の概要
④各事業の売上の比率

10:30
トップインタビュー終了。代表者は退出。

10:35
ここからが私の出番！

10:50
約15分 採用の形態と採用業務のフローについて、メインの審査員に詳しく聞かれた。
「不採用時の履歴書は返却か廃棄するのか」そこまで聞かれるんだな。

11:10
約20分 給与管理や社会保険関係などの経理・総務業務のフローに詳しく聞かれた。
タイムカードなのか固定給なのか、社労士や税理士をどこのフローから使っているのか 質問攻め。経理に詳しい人じゃないと答えられないな。

12:00
約1時間 弊社サービスの業務フローについて詳しく聞かれた。
個人情報をどこから受け取るのか、どういう書類やデータに置き換わりながら業務が流れていくのか、情報をどのプロセスで委託するのか、廃棄はどうしているのか、何年保管するか決まっているのかなど、質問攻め。よくそんなポンポン質問が出てくるなぁ。
喋りすぎて喉が渇く。事務の人を呼んでコーヒー追加。

12:05
お昼休憩。審査員とは別の場所で昼食をとる。

13:00
午後の部開始！作成した書類のチェック！

14:20
午前中にヒアリングしたことと、作成した書類の整合性について順を追って、サブの審査員に確認された。午後は基本的にサブの審査員が担当するのか。
メインの審査員もサブの審査員をフォローするような形で質問をしてきた。
不足分や、修正する箇所を「指摘」として何個も出された。
何か月もの時間を要して頑張って作り上げた書類も、こんなにたくさんの指摘が出るんだなぁ。

14:30
小休憩。昼食後は眠くなるなー。コーヒー飲もう。

14:40
審査再開！

15:30
まだまだ書類の整合性について確認される。書類しか見てないなぁ。お役所っぽい。

16:00
2回目の小休憩。審査ってこんなにも長いのか… コーヒー必須だな。

16:10
書類の確認が終わり、今後は社内を実際に見て回るそうだ。

16:20
オフィスにあるパソコンを数台見られて、「スクリーンセーバーが設定されているか」、「パスワードの桁数は、社内のルール通りなっているか」、「Windows Updateは手動更新ではなく自動更新になっているか」など、確認した。

16:40
サーバールームに移動して、システム関係のことをヒアリングされた。
バックアップの方法や頻度、各パソコンやサーバーに対するアクセスログをどう管理し、点検しているのかなど。
システム責任者が同席していてよかったー。

16:50
社内を一通り見て、再度会議室に戻る。実務のチェックはあまり重視しないのかな？1時間もかからず終わったぞ。

17:20
最後の総括。審査員から「今回の指摘は○○です。」と10～20個言われた。後日、正式指摘文書として、詳しい指摘内容が書かれた書類が届くそうだ。

17:30
審査員が退出。ふー。やっと終わった。それにしても長い1日だった…

実際にかかった時間

【合計】

・書類作成時間：250時間
・前日準備 ：10時間
・当日の審査時間：6時間（休憩を除く）
・審査員から受けた質問：???個（数え切れない…）
・指摘数：18個
・飲んだコーヒー：5杯
・精神の疲れ：250%（午前中でもうしんどい…）

まとめ

「急に担当になったけれど、こんなに大変な仕事はやりたくない。」
という方はISO総合研究所までお問い合わせください。
審査自体の時間は短縮できませんが、「審査の前日準備10時間」と「精神の疲れ250%」を限りなく「0」に近づけることは可能です。

ISO総合研究所のコンサルタントがお伺いして、無料でご相談に乗らせて頂きます。
一人で悩んでいないで、まずはお気軽にお問い合わせください。

ISO総合研究所　コンサルタントの平墳です。
今回はPマーク(プライバシーマーク)の現地審査を受けた後に行う指摘改善についてお伝えしたいと思います

指摘改善とは

指摘改善とは、規程で定められたルールが現場で実際に運用されているのか、個人情報が適切に扱われているのかを見られる現地審査で確認し、現場で特定されていない個人情報が見つかったり、現場が個人情報を取りあつかうのに適切な環境でなかったときなどに、指摘が出されそれに対応するというものです。

どのように指摘が届くのかというとまず審査機関から「プライバシーマーク付与申請審査の指摘事項について」という書類が届きます。

この書類には、どのような点が不備だったのか等が記載してあります。これを「指摘事項」と言います。

指摘事項数は現地審査次第ですが、少なくても５箇所弱。多くて２０～３０箇所、またそれ以上の指摘をもらう場合があります。

しかし、「指摘事項」が出たからといって、プライバシーマークが取得できないということはありません。

申請事業者は３ヶ月以内にこの指摘事項に対して、改善報告書を提出し「指摘事項」を改善してなくせばいいのです。

※ここで、注意したいのが書類を提出後に審査員が内容を確認して内容的に足りないと感じたら「再指摘」の連絡が来ます。この再指摘が来た場合は、「1か月以内」に改善をしなければなりません。出来るだけ1回目で改善できるようにしましょう!

提出された改善報告書が適切だと認められれば、審査員から改善を認める旨の連絡が入ります。

そもそも指摘事項はなぜでるのでしょうか？

Pマーク(プライバシーマーク)の審査のために絶対必要だからでしょうか？
Pマーク(プライバシーマーク)の審査に落とすためでしょうか？

指摘事項を出すのは、「現地審査員がきちんとその企業の審査をしてきました。」という証拠になるのです。
審査員は実際に企業に訪問し、実態を確認した上で、Pマーク(プライバシーマーク)の水準を担保できると判断する必要があります。

Pマーク(プライバシーマーク)が付与認定されるまで

指摘が出てそれを改善するまでをPマーク(プライバシーマーク)が付与認定されるまでの流れでご説明させて頂きます。

（1）弊社はPマーク(プライバシーマーク)の取り組みをしています。その実態を確認してください！というまずは申請を審査機関へ提出します。これが申請書です。

（2）申請書を受け取った審査機関は、申請に必要な書類や必要事項が明記されているか確認をします。これが形式審査です。

（3）申請に必要な書類が確認でき、申請が受理されるといよいよ現地審査の日程が決まります。

（4）その後、事前に審査機関がJISQ15001（ジスキュー15001）要求事項で最低限のルールを作成するように求めています。そのルールがきちんとかかれているかを文書審査で確認を実施します。

（5）いよいよ現地審査にて、Pマーク(プライバシーマーク)のために実施してきた活動内容を1日かけて確認をしていきます。

（6）現地審査員が指摘事項を企業に出します。

（7）企業が指摘された内容を修正します。

（8）現地審査員が改善された内容をもとに「審査会」と呼ばれるPマーク(プライバシーマーク)の付与認定を行う場所で報告をします。

（9）審査会でPマーク(プライバシーマーク)付与が確定し、Pマーク(プライバシーマーク)が発行されます。

現地審査に来た審査員が指摘事項をあげる目的がどこかわかりましたか？
上記の8番がポイントです。

現地審査に来た審査員は現地審査終了後に「私がこのように監査を実施して、改善していただき、Pマーク(プライバシーマーク)を付与できるだけの水準を確保しましたのでPマーク(プライバシーマーク)の付与をお願いします。」と報告をするために必要なのです。

しかしその指摘事項には、審査員個人の思いや経験、考えが反映されてしまうことも珍しくありません。

実際に指摘改善の作業をお手伝いしていると「要求事項のどこにかいてあるのかと思うくらいおかしな指摘」というものも多く見受けられます。

「審査員の言うことはすべて正しいから必ず実施しなければならない」と思っている企業の方も多いですが、納得行かない部分は納得いくまで審査員に聞いていただいて大丈夫です。
それでもやはり審査員によって言っていることは違ってきますので、なんでそう思うか等も聞いていただいたほうがよいかと思います。

例を挙げるときりがありませんが、その他にもたくさん、審査員の個人の見解ではないのか？とうものが多くあります。

指摘事項は必ず出る！

現審査後に指摘事項は必ずでます。
指摘が出ないように完璧に記録を作成しよう、運用をしようとするのは労力の無駄です。

現地審査員はPマーク(プライバシーマーク)の審査に落とすためではなく、あくまで企業のことを考えて、「もっとこうしたほうがよりいいですよ」と提案をしてくださいます。

しかし、それが時には行き過ぎた場合もあります。
現地審査員の言っていることが絶対ではない場合はあります。

指摘事項は必ずでます。出てから対応するのも労力を減らす1つの方法です。

さらに、現地審査のときに指摘事項としてあがりそうな項目で、納得ができそうにない場合は、「それは要求事項で必ず実施しないといけないのでしょうか？」「審査員の方のお考えなのでしょうか？」と聞いてしまうのも手です！

指摘改善でお困りがございましたら、当社までご連絡ください。
「やらなくてもよい方法」をたくさん他社事例でもっています。それが本当に必要かどうか一緒に判断していきましょう。

お世話になっております。ISO総合研究所のコンサルタントの大山です。
いつもご愛読ありがとうございます。

いきなりPマーク(プライバシーマーク)に関してのことを書くことも、つまらないので初めて経験したことをこと少しだけ、したためますので、お付き合いください。

初めての経験

単刀直入に書きますと、私が最近経験した初めての体験とはお寺で1泊2日過ごしたことです。

そこで何をしたかというと座禅です。海外ではクールだと人気です。Appleの元CEOで故スティーブ・ジョブズ氏が深く座禅に傾倒していたことから、特に海外の社長にブームがきているようです。

そんなに海外の人が日本の文化に興味があるなら、どんなものか私も体験しようということでお寺に1泊2日で座禅体験に行きました。1泊2日と言っても17時開始の翌朝の9時までなのですがね。

ここまで来たら、もはやPマーク(プライバシーマーク)とどう関係があるのだろうかと思ってらっしゃる方もいるかもしれませんが、ご安心ください。ちゃんとあとにはPマーク(プライバシーマーク)つまり個人情報保護マネジメントに関して書きますよ！

座禅は脚を組んでひたすらに呼吸に意識を向けて、目は1.5m先を眺めて薄目にしておきます。深く長い呼吸をするようにします。呼吸のイメージは口から蜘蛛の糸を出すように細く長く息を吐き出します。

はじめは慣れないので脚の痛みやしびれ、雑念が頭の中をよぎっていました。
それが呼吸に意識を向けられるようになると、お腹あたりが内側から熱くなるのを感じました。そして気温もそこまで高くないにも関わらず、額に汗まで書きはじめました。

このようなことを私の体形がいわゆるポッチャリ系だからではないかと思われるかもしれませんが、ポッチャリ系ではありません。標準体型と言われる分類になると自負しています。

そのようなこと感じで厳かな座禅をして、食事を頂くと白粥で味がお米の味のみであったり、食事中に音を立ててはいけないであったりなど、色々と規律がありました。

そして1日の体験を終えて娑婆に戻ると刺激が強いなと感じました。頭の中をスッキリさせたい時にはいいかもしれません。

ながながと座禅体験に関して、書きつらねましたが結局、Pマーク(プライバシーマーク)と座禅がどのように関係があるかという本題について書いていきます。

今回のタイトルは「Pマーク(プライバシーマーク)」とかけまして、「座禅」と解く、その心は、どちらも「市政(姿勢)のチェックが大事」です。

この謎かけには少し無理がありますね。
市政に関しては都道府県、市町村の個人情報保護条例が関連するのでチェックする必要があるということです。

Pマーク(プライバシーマーク)の規格

ということでまずは法令に関してから。
Pマーク(プライバシーマーク)の規格の用語では「3.3.2 法令、国が定める指針その他の規範」と呼ばれるものですね。

話はそれますが前座のネタに座禅を取り上げたのは、座禅が禅宗という宗派で行われているもので、シンプルな生活とキビキビと動くということが求められます。これまたある種の指針によって動いています。だから繋がっているではないかということです。すごいこじつけですね。

Pマーク(プライバシーマーク)の規格の用語、「3.3.2 法令、国が定める指針その他の規範」には以下のことが書かれています。

事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない。

と定められています。っていうことは何をしないといけないの？と言われると素因数分解をしてみて頂くとわかりやすいです。

「個人情報の取扱いに関する法令、国が定める指針その他の規範」、「特定し参照できる手順を確立」、「維持しなければならない」このように因数からできていますね。
そして、わかりやすい日本語に置き換えると次のような形になります。

個人情報を取扱う際に、注意しないといけない法律・条例などやお役所などが出すガイドライン、自分達が所属している業界で要求されているガイドラインを見つけて、いつでも確認できるようにしよう、さらに定期的に見直していつでも確認できるようにしようね。という意味です。

説明が長いというツッコミが入りそうなので、一言では、「最新の法律などを知っておいていつでも見られるようにしてね」です。

そこで次に問題になるのは、何の法令を入れないといけないのかということです。

ただ細かいガイドラインに関してなど業種や業界によって何を特定しないといけないかは、千差万別です。そこで、これだけは入れておいてくださいという法令等があるので記載しておきます。

これをご活用していただければ、Pマーク(プライバシーマーク)の規格が求める最低限のものは満たすことができます。「個人情報の保護に関する法律」、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」、「雇用分野に関する個人情報保護に関するガイドライン」、「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項」この4つに関しては特定することが最低限求められています。

ただし、最近は上記に加えてマイナンバーに関しての法令等の特定が必要になったことなどの変化があるので、最新の法令に関してはご確認をしたうえで運用が必要です。

ながながと書きましたが、まだまだ煩悩が多いので続きは次回に回します。お付き合いありがとうございました。