Pマーク(プライバシーマーク)認証成功事例

_shared_img_thumb_0I9A099115030102gatsu_TP_V

いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの下です。

今回は「Pマーク(プライバシーマーク)認証成功事例」について、お伝えさせて頂きます。
実際に新規認証された企業の代表者様の声をまとめさせていただきました。

ISO総研に依頼した経緯

取引先からの要求で今後の取引条件としてPマーク(プライバシーマーク)の取得が必要になりました。

急に必要になった為何をしたら良いか分からずWEBで取得を支援している企業が無いか調べました。
ですが、どこにお願いしていいのかさっぱり分かりませんでした。

価格的に一番手頃だったISO総合研究所に話を聞いたところ、価格は一律で作業も事務局として手伝ってくれるので自社の項数が0になるとの事でした。
楽に運用ができるならとISO総合研究所にお願いすることにしました。

実際にISO総研に依頼したところ…

自社ではPマーク(プライバシーマーク)に関する知識は無かったためコンサルタントさんに相談しながら運用を開始していくことになりました。

当社は従業者10人以下でPマーク(プライバシーマーク)取得に担当者を付けることが出来ない為、社長の私が普段の業務をしながらPマーク(プライバシーマーク)の業務をする必要がありました。

只でさえ人手が足りず忙しいのにプライバシーマークの業務に手が回るか非常に心配しておりました。
ですが、毎回の打合せのヒアリングで規定の作成や、運用記録の作成を手伝ってくれるので大変助かりました。

自社で運用することや確認が必要な事は訪問後のメールにて指示を残してくれるので何をするのか明確になっていました。
また取得までのスケジュールを共有して進められたため安心して進めることが出来ました。

個人情報の洗い出し

まずは個人情報の洗い出しから。

個人情報と言っても何が個人情報に該当するのか?
個人情報とは氏名とその他の情報があれば特定が必要との事でした。

自社の事でも一つずつ洗い出して行くのは困難でしたがコンサルタントさんにお手伝いしていただいて業務のフローから洗い出していくことで業務の都度発生する個人情報を改めて認識していくことが出来ました。
また、社内で顧客情報や顧客リストと呼んでいても別の名称でも取り扱っていたり、社内で統一されていない名称があることも認識できました。

リスクの分析

次にリスクの分析。
リスクの分析と言うと難しく聞こえますが、特定した個人情報の取り扱いの流れの中でどのようなリスクがあるか、どのようなリスク対策があるか洗い出していくものです。

今まで社内のルールとして運用していたことを文章にしていくと曖昧なルールで運用していたことが分かりました。
具体的にリスク対策を書き出していくと改めてルールの見直しや現状どんな対策をしているかを確認することが出来ました。

新規認証の際にもPマーク(プライバシーマーク)の一通りの運用が必要で個人情報に関する従業者への教育や自社で行う内部監査等Pマーク(プライバシーマーク)に必要な取り組みを計画して進めていきました。

現地審査に落ちないために

コンサルタントさんとの打ち合わせが進むにつれて現地審査に近づいてきます。
最近の現地審査は厳しくなっているとの話を聞いていたため取得が難しいのではないかと心配でした。ですが、基本的には審査を受ければ取得は出来るとの事でした。

審査に通らない、審査に落ちる内容としては下記で、

①従業者の人数を誤魔化す等虚偽の申請。
②審査に必要な書類を提出しない、申請料を振り込まない等の申請の意思がないと見なされる時。

それ以外の内容であれば審査は通るとの事でした。

指摘事項が多く出てもしっかりと是正を行い対応していけば必ず通るとの事である程度心の準備をして現地審査に臨むことが出来ました。

現地審査と指摘改善

実際に審査では指摘事項が多く出ましたが審査員の方が運用のアドバイスや改善のアドバイスをしてくれましたので指摘が出るからと言って悪いことではないと感じました。
新規認証なので不十分な部分はありましたが現地審査を通して記録や規定を完成させていくイメージです。

指摘事項に対しては改善して書類を提出しないといけないのですが、これがまた一苦労でした。
指摘事項の文書の意味合いが良くわからなかったり、対応方法が合っているのか分からなかったりしましたが、コンサルタントさんと相談をしながら書類を修正して進めていきました。

そして提出と再指摘を審査機関と何度か繰り返しながらやっと指摘改善を終わらせられました。

Pマーク(プライバシーマーク)を無事取得

審査機関とのやり取りが終わりPマーク(プライバシーマーク)を取得できた時は非常に嬉しく、コンサルタントさんにも感謝しました。

ですが、Pマーク(プライバシーマーク)は取得後2年に1度更新が必要なのでここからは運用がスタートします。
現状は運用中ですのでコンサルタントさんと打合せをしながら運用進めています。

最初は何もわからない状態から始めましたがプロに相談して進めることで私の負担が大分減りました。
自社の業務をしながらPマーク(プライバシーマーク)の業務をするのは楽なものでは無いと感じました。

専門的な知識が必要になるのでプロに任せてしまった方が早いし楽です。
今後もプロの力を借りながら運用し、更新申請をしていきたいと思っています。

最後に

いかがだったでしょうか。

今回ご紹介させて頂きました実際にPマーク(プライバシーマーク)の新規取得をお手伝いさせて頂いたお客様の声ですが、新規取得以外にも現状運用中のお客様のお手伝いもさせて頂いております。

Pマーク(プライバシーマーク)やISOでお困りのことがございましたら弊社までお気軽にお問い合わせください!

Pマーク(プライバシーマーク)新規認証で審査員はここを見ている!

PAK85_lalakakudaikyouOL20140321_TP_V

いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの松本です。

さて、今回は「Pマーク(プライバシーマーク)新規認証で見られるポイントは?」というテーマについて考えていきたいと思います。

最近はマイナンバーの導入もあり個人情報についての意識が高まってきていますね。Pマーク(プライバシーマーク)新規で認証・取得をお考えの方も増えてきていると思います。

初めてのPマーク(プライバシーマーク)取得のための審査となると、「審査に落ちたらどうしよう」「何を言われるのだろう」など、すごく不安な気持ちになりますよね。

そこで今回は、少しでも不安が少なくなるようにPマーク(プライバシーマーク)審査で審査員が見るポイントを皆さんに知らせていきたいと思います。

ところで皆さんはB社の漏えい事故はご存知でしょうか?
実はこの漏えい事故はきっかけと言っても過言ではないほど、最近のPマーク(プライバシーマーク)審査では厳しくなってきているのです。

じゃあ、どういうところが厳しくなっているのか。
実際にお客様から聞いたことや弊社のコンサルタントからの情報を基にJIS規格(JIS Q 15001:2006)の項目ごとにピックアップしていきたいと思います。

厳しく見られるポイント:記録編

① 3.2個人情報保護方針
└ホームページに個人情報保護方針が掲載されているか。
└JIS要求事項の8項目を満たしているか。

② 3.3.1個人情報の特定
└業務で取り扱っている個人情報を漏れなく特定しているか。
└委託・提供をしている個人情報について特定しているか。
→給与関係の個人情報も細かく特定しておくといいでしょう。

③ 3.3.3リスク
└ライフサイクル(取得、移送送信、利用加工、委託提供、保管、廃棄)に沿ったリスク分析を実施しているか。
└残存リスクを把握しているか。
└特定した個人情報に対してすべてリスク分析されているか。
→ライフサイクルごとにリスク分析を行っているかがポイントです。

④ 3.4.2.4直接書面
└現地審査では従業員の同意書が全員分あるか確認されます。
└JIS要求の8項目を満たしているか。
└ホームページから個人情報を取得する場合は同意を得て取得する仕組みになっているか。
→全従業員分の同意書を取得していることがポイントです。
注意点として、採用選考前と後でそれぞれ分けて同意書を取得しているか。

⑤ 3.4.2.5直接書面以外
└利用目的を公表しているか。

⑥ 3.4.3.2安全管理(運用面の指摘が多め)
└入退室記録
└来訪者記録
└アクセスログの記録
└バックアップの方法
└安全管理規定とリスク分析が整合しているか。
→上記の項目を実際に運用しているのかがポイントです。

⑦ 3.4.3.4委託先の監督
└委託先の特定に漏れがないか。
└特定している委託先と覚書の締結ができているか。
└実際に契約書を見せないといけません。
└委託先の選定評価を行っているか。
→郵便関係の委託に関しては覚書の締結が難しい場合が多いですよね?対策として約款を確認してコピーしておくといいでしょう。

⑧ 3.4.4.3開示の周知の事項
└ホームページに掲載されているか。
└JIS要求の6項目を満たしているか。

⑨ 3.4.5教育
└全従業員が教育を実施しているか。
└実際にテストを確認。
└テストを実施しただけでなく、答え合わせもしているか。
→全従業員分の教育テストがあるか確認されます。
特に、人材派遣業界ですと、派遣スタッフの教育テストも実施しないといけません。
何百人単位になってくると集めることが大変ですが、集めれらないと指摘になってしまいます。

⑩ 3.7.1運用の確認
└日常点検がしっかり実施されているか。
└入退室記録
└来訪者記録
└アクセスログの記録
→特にアクセスログを取得しているかは必ず聞かれます。

⑪ 3.7.2監査
└部門ごとに監査を行っているか。
└監査チェックリストのコメント欄が具体的に書かれているか。
└記録と事実が整合しているか、やっていないのにやったことになっていないか。
→ポイントは記録と事実が整合しているかです。
ここでは事実をそのまま記録に残しておけばいいのです。

⑫ 3.8是正処置予防処置
└監査で指摘が出たことに対して是正処置が行われているか。

JIS規格に沿ってそれぞれのポイントを上げてみました。なんとなくポイントはわかっていただけたでしょうか?
ここまでは主に記録の確認です。

厳しく見られるポイント:社内編

現地審査では社内も見回り、チェックされます。

では、社内ではどのようなところを重視してチェックされるのでしょうか?
大きく分けると2つの項目を確認されます。

1、サーバの状態
└アクセスログを取得しているか。
→何度もしつこいですが、アクセスログの取得は必ず聞かれます。
また、地震や災害が起こった時の対策はどうしているか。と質問されることも多いです。

2、パソコンの設定
└パスワード設定をしているか。
└スクリーンセーバはかかっているか。
└ウィルス対策ソフトは入っているか。
→社内にあるパソコンをランダムで選び、チェックされます。
日ごろからパソコンの設定は癖づけておくといいかもしれませんね。

まとめ

以上、松本が「Pマーク(プライバシーマーク)新規認証で審査員はここを見ている!」ポイントをお伝えしました。

いかがでしょうか?

今回は、審査員が特に見るポイントを重視してみました。
審査員によってもっと細かく見る人もいるかもしれませんが、今上げた項目を知っていただけたら、審査の不安が少しでも軽くなったかと思います。

皆さんがPマーク(プライバシーマーク)新規認証の審査に備えて、少しでもお役にたてれば光栄です。

Pマーク(プライバシーマーク)を取得する上で絶対に漏れちゃいけない7つのポイント

_shared_img_thumb_LALA160328260I9A9513_TP_V

お世話になっております。ISO総合研究所コンサルタントの高橋です。
いつもご愛読ありがとうございます。

今回はPマーク(プライバシーマーク)を取得する上で絶対に漏れちゃいけない7つのポイントをお話させていただきます。

Pマーク(プライバシーマーク)を取得するときは昔のとかを参照して作ればいいのでしょう?とか思っているそこのあなた!
最近ではそれだけではダメなのです!実は、最近審査で見られる所が変わってきているのです!

それに備えるためには、是非とも弊社を使ってください!ご連絡をお待ちしております!

とまあ、本音は差し置いて、7つのポイントを抑えていきましょう。

①携帯電話やスマートフォンの取扱いについて

まずは、一つ目です。
携帯電話やスマートフォンの取扱いについて聞かれます。

携帯電話やスマートフォンを会社から支給されて使用している。または、個人携帯、スマートフォンを業務に使用していると、お取引先の電話番号や個人名が入っていますよね?
ということは、取扱いに注意しなければならないのです!

スマートフォンを落としてしまった時は?盗難されてしまった時は?その時にはどうしますか?ということが、問題なのです。

どう対処して、どんな対応が必要なのかということが求められています。
落とさないことができればいいのですけれど、そんなことってできないですからね。

落としちゃったー!パスワードかけてないー!となると、個人情報が漏れちゃうわけです。
あんなものや、こんなものまで見られちゃうわけです!困りますよね!見られちゃいけないものまで見られちゃうわけです!

嫌ですよね?パスワードをかけていないとこんなことになってしまうわけです!
つまり、パスワードをかけましょう!ということです。

難しいことではないので、自分を守る意味も込めて、パスワードを設定しましょう!
そしてそれを規程に盛り込めばいいだけなのです。

次に参りましょう。

②名刺について

取り扱っている個人情報を特定しないといけないのですが、昔から名刺はグレーゾーンで、特定していなくても特に問題はなかったのです。
ですが、最近は名刺も個人情報ということで、特定していなければならないのです。

特定もしないといけませんが、名刺の保管もしっかりとして置かなければならないのです。
名刺を保管しないといけないですし、名刺を裸のまま持っていてもいけません。落としちゃいますからね。

名刺をしっかりと特定して、保管するようにしましょう。
落とさないから大丈夫だって思っていても、いつの間にか落としてしまっていることがあります。

かく言う私も、落とさないし大丈夫って思っていたものを落としたことがあります。
なんで、落ちちゃうんですかね・・・

気を取り直して、次に参りましょう!

③HPのSSL化ができているか?

HPで個人情報(氏名、住所、電話番号等)を入力するページがある場合は、そのページにSSL化をしなければならないのです。

「なんでSSL化しなければならないのか?」ですか?それはですね!覗き見されてしまうからです。

SSL化とは、インターネット上で通信を暗号化する技術です。
SSLを利用してパソコンとサーバ間の通信データを暗号化することで、第三者によるデータの盗聴や改ざんなどを防ぐことができます。
安全にやり取りをするために、SSL化をしましょう。

簡単に言うと、他の人にやり取りを覗き見されると、恥かしいですよね。
そのやり取りを覗き見されないように、暗号が無いと内容がわからないようにしよう!ということですね。

審査ではよく聞かれることですので、個人情報を入力するページがある場合は実施しておきましょう。

④HPで個人情報を取得する時に同意文を掲載していますか?

HPで個人情報を取得する場合には、取得した個人情報を何に使うのか、というのを記載しておかなければならないのです。

入力した情報を何に使うのかがわからないと、不安になりますよね。何に使うのか、変なことに使うんじゃないのか、ってなりますよね。
安心してもらうためにも、何に使うのかというのは、明確にして置かなければならないのです。

HPの個人情報の取得するページには、しっかりと利用目的を明示しましょう。

⑤HPで個人情報を取得する時に同意を得る仕組みになっていますか?

上記で書いたように、利用目的を書いて、それに同意した人は、入力できますよ。
というようにしなければ、入力してもらった情報を使用することはできないのです。(利用できないわけではないです)

同意を得ないまま使用し、情報を入力した本人が「なんで情報を勝手に使ってるんですか?」という問合せ等があった場合、何もできないのです。損害賠償が発生してしまうのです。
それを防ぐためにも、「使いますよ。いいですね?」ということを聞き、答えてもらわないといけないのです。

長くなってきていますので、少し急いでいきます。

⑥再委託先を把握していますか?

委託された個人情報を委託して、委託した業者が更に委託していないか。ということを、聞かれます。

ややこしくなりますが、個人情報を委託した先が、それを別のところに委託していないかということを把握して管理していなければならないのです。
ベネッセの件で、委託先に対して厳しくなってきたのが原因で、聞かれるようになりました。

また、委託元に対して、再委託してもよいのかということを聞いておかなければなりません。
ややこしいかもしれませんが、しっかりと確認しておかなければ、知らないところで委託先が更に委託していた、ということに繋がりかねません。

みなさまのところは大丈夫ですか?確認しておきましょう。

⑦アクセスログは取得していますか?

アクセスログってなんですか?という声が聞こえてきそうなので、先に説明しておきます!
アクセスログというのは、誰が、何時、どこから、何にアクセスしたかというのがわかる、記録になります。

なぜ、それを取らないといけないのかというと、関係者以外がアクセスしていないか、関係ないファイル等にアクセスしていないか、不正なアクセスが無いか監視をしなければならいのです。

そんなのがあったら、事件ですからね!
ALSOKのごとく定期的に監視をして、問題がないのか確認をしましょう!

審査でも、アクセスログを定期的に確認しているかというのを見られます。

最後に

以上が、7つのポイントになります。

どうでしたか?まだ、分からないですか?それなら、是非とも弊社をご利用ください。

ご連絡をお待ちしております。

Pマーク(プライバシーマーク):どうすれば運用が楽になるか?

_shared_img_thumb_MIYAKO92_minaminosimadenomado20140727_TP_V

いつもご愛読いただきありがとうございます。
ISO総合研究所コンサルタントの茶谷です。

今回はPマーク(プライバシーマーク)の運用にあたり、いかに楽に運用をするかという観点から述べさせていただこうと思います。

このテーマにさせていただいたのにも理由がございます。

現在、Pマーク取得企業の中には、独自で運用されている企業の方々、または荷の重い仕組みのまま運用されていて運用に苦しんでいる企業の方々がいらっしゃるかと思います。
そういった現況を踏まえて、いかに無駄な汗水をかけることが損をしているかをご理解いただきたく、今回Pマーク運用を楽にする方向性をあげさせていただきます。

ここからは、大きく2点に分けてPマーク運用を楽にするポイントを御呈示させていただきたいと思います。

1.運用工数ゼロにする。

現在、Pマーク運用にあたり、最も負担な運用にかかってくる文書記録類作成作業等に関して悩みを抱えていらっしゃる方々がおられると思います。果たしてその悩みに苦しむのは得策と言えますでしょうか?

一言で言えます。損でしかありません、無駄なのです。

しかしながら、そうはいってもね。と思われる方も多いかと思います。
自らのだけの力で自らの運用構築していくことに意義があるのではないか?自らの力でやってこそ個人情報保護に近づくのではないか?

そうではありません。自らの力だけで運用を維持していくことに有効性はありません。
ましてや、それを成し遂げたところで個人情報保護に近づくかどうかは別問題でございます。

通常独自で運用されている企業の方々は、専任担当者を一人定めて推進されている形式をよく見受けます。
しかしその担当者については、Pマーク運用に対してだけの専業ではなく、通常業務との兼務をしながらのタスクとなっております。

そのような状態で果たして運用がスムーズかつ楽に進むでしょうか?
Pマーク運用にかかる作業量は一般的に考えたら膨大な量でございますためまず不可能かと思われます。

無駄に人件費を費やしつつ、膨大な運用作業を抱えて悩む日々を送り運用が滞ってしまうことに意義はありません。
独自のみで運用をし、かけなくてもいい工数をかけてしまっていることをまず見直していただいて、ここではまず、いかに工数をかけずに楽に運用をすることの第一歩を考えだしていただければと思います。

2.膨大な運用書類をスリム化する。

上記の1.にてお話しさせていただきましたことを踏まえまして、ここでは、違う観点からの改善策をお話できればと思います。

現状、膨大な運用書類を減らすこともできず、そのまま審査機関等から言われるがまま運用をしてしまっている方々がいらっしゃると思います。
あれも必要、これも必要、そういった考えでおそらく初回に構築されてきたのだと思います。しかし今現状それが必要なのかどうかが分からない。それが事実なのです。

Pマークの要求事項に照らし合わせていったら、必要な書類はごく少数に限られます。

審査機関はあくまで審査機関でありコンサルタントではないため、アドバイス等はできないのでなかなか審査機関からの助言を頂けないことも多いかと思います。
それをそのまま放置してしまっていることにより訪れているのが、現状のPマーク運用は困難だと考えられてしまっているこの業界です。

運用に必要でないところを削っていくのは当然の流れでもあり、できていないことでもあります。
いきなり独自による運用を手放すのも非常に不安等を抱いておられる方々に言えることは、まずは肩の荷を少しでもおろしていただきたいということです。

独自だけでスリム化を実施するのは非常にリスクがあるため、弊社がそういったところを最大限サポートさせていただきながら、最終的には運用全体を網羅してサポートさせていただくことが可能でございます。

まとめ

以上がPマーク運用を楽にするポイントとなります。
これらを実施していくことで、Pマーク運用上の仕組みが少しずつ変化してくると考えられます。

個人情報の管理等は大切ではありますが、そこに集中しすぎて本業に支障をきたしてしまったら本末転倒でございます。
その企業に所属しているからには、少しでも利益をもたらせるよう本業に専念をしていただくのが理想の形であり、企業としても、個々としてもメリットではないのかなと考えています。

様々な境遇にある企業の方々がいらっしゃると思いますが、無駄な工数をゼロにするべきであることについては共通していえることだと思います。

お困りのことがございましたら弊社が運用を全力でサポートさせていただきたいと思います。ぜひご連絡をくださいませ。

Pマーク(プライバシーマーク):新卒ちゃんのPマーク新規構築奮闘記

-shared-img-thumb-CL201_syoruiteisyutu20140830185506_TP_V

いつもご愛読ありがとうございます、ISO総研 岡本です。
弊社コンサルタントが行っているこのブログですが、実はテーマが決まっているのですが書ける人は自由ということで今回も自由に書きます!

前回はPマークのこんなところが嫌だということでPマークの運用の大変さと地味さを伝えていきました。(まだ途中だったような気がしますが)

今回は24時間でPマーク運用の基礎をつくりましょう!ということで、何も知らない新卒が一人でなんとかして運用できるように基礎から構築しましょうっていうお話を書きたいと思います。
※注意:この物語は私の希望と期待を込めたフィクションです。

では人物設定から始めます。

■性別を選んでください。 ( 女 )
■名前を決めてください。 ( 岡本 )
■性格を選んでください。 ( 行動派 )
■役職を決めてください。 ( 新卒1年目 )
■頭の良さを選んでください。( 良い )
■困ったら助けてくれる人がいる? ( いる )
※ご自分で当てはめてみてくださいね。

第1章~むちゃくちゃな命令~

岡本さんは入社して1年目。

201×年2月3日(火)13:00PM

岡本はお昼休みを終え、ひとりパソコンに向かっていつもの作業をしていたところ部長の小泉さんがやってきました。
小泉さんはイケメン上司で実は岡本さんはひそかに気になっていたのです。(ちなみにISO総研では社内恋愛OKです)

小泉
「岡本さん、Pマークって知ってる?うちの会社で取りたいから明日から運用できるように規程とかつくっておいてほしいんだ。頼めるの岡本さんしかいなくてさ。できたらごはんつれっててあげるから。頼むよ、俺違う作業忙しくてさ。」

岡本
「はい!まかせてください!小泉さんの頼みなら!!とりあえずPマークってなんですか?」

小泉
「個人情報に関する何かだよ、詳しくはわからないからそこから調べてくれるかな。じゃあよろしく。」

岡本
「はい。よくわからないですが、承知しました!(小泉さん適当なんだから)」

岡本さんは小泉上司に話かけられたのが嬉しくて引き受けてしまいました。(新卒の皆さん、わからないことはわからないとはっきり言いましょう。)
>さあ岡本さんの奮闘が始まります。タイムリミットは明日の13時です。岡本さんは無事に小泉上司と食事にいけるのでしょうか。

第2章~Pマークとはなんぞや~

岡本さんはPマークのことをなにも知らないので調べることにしました。

14:00PM
①Pマークについて知る

検索ワード:「Pマークとは」
結果:「プライバシーマーク制度は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。」

2014/06/12 プライバシーマーク制度 – 概要と目的より

16:00PM
②Pマークの運用について知る

検索:「Pマーク 新規取得」
結果:(コンサル会社のページばっかりでよくわからないなぁ)

検索:「Pマーク なにをすればいいのか」
結果:「プライバシーマーク取得に向けて、どんな準備をすればいいの?」

1.ルールを作る
JIS Q15001:2006の規格にのっとり、自社のマニュアルを作っていきます。(ISO総研っていうコンサルのブログだ。)
わかったこと:「JIS Q15001:2006というものから規程をつくる」

17:00PM
③Pマークのガイドラインに出会う

検索:「JIS Q15001:2006」
結果:「JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版-」
わかったこと:「個人情報保護法が関係しているらしい。PDCAを回して個人情報を守るらしい。」

小泉
「岡本さん、調子はどうかな。いけそう?明日の13時に会議があるからそこまでに資料用意してほしいんだけど。」

岡本
「Pマークについて調べていて、JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版-っていうものがあるのでそれ見たらいいみたいです。本で売っているそうなので買ってきても良いですか?」

小泉
「いいよ。これで3冊くらい買ってきてよ。ついでに甘いものでも買ってきな。」

岡本
「はい!!!ありがとうございます!!(小泉さん優しい!素敵!)」


『JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム 実施のためのガイドライン』[第2版]
http://www.jipdec.or.jp/library/publications/jisq15001_book.html

第3章~Pマーク運用の壁~

18:00PM
岡本さんは本屋を3店舗ほどまわってようやく見つけました。

「岡本じゃん。何してるの?本なんか読むんだ?」

急に話かけられ岡本さんが振り向くと大学時代の先輩の西川さんがいました。

岡本
「わあ!西川さん!久しぶりです~仕事帰りですか?おつかれさまです!今Pマークとるための勉強しようと思って!えらいでしょ!」

西川
「今から職場もどるところだよ、岡本も大変そうだな。
うちもPマークもってるよ。でもコンサルつかってる。ISO総研ってところ。
一人で新規構築とか無理だろ。コンサルに一回相談してみたら?」

岡本
「コンサルってお金かかりますよね?わたし平社員だからそんなこと言えないですよー!」

西川
「まあそうだよな、まあとりあえずがんばれ。じゃあな。困ったら連絡しろよ。お前よりは詳しいからさ。」

岡本「ありがとうございます!(西川さん口調厳しいのに優しいんだよな~)」

19:00PM
岡本さんは西川さんと別れたあと事務所に戻りました。本を眺めてもちっともわからないのでちょっとやる気が落ちてきているようです。

岡本
「ガイドライン9ページからやらなきゃいけないことが書いてあるからこれをまとめればいいんだよね…よし、小泉さんとの食事のために頑張る!(不純な動機)」

岡本さんは翌日13時までにPマークの新規構築ができるのでしょうか。
西川さん、小泉上司との関係やいかに!

(2000字という時数制限越えちゃいましたので次回に持ち越しさせていただきます。)

次回をお楽しみに!

Pマーク(プライバシーマーク)を取得するとセキュリティは高まるの?

-shared-img-thumb-LIG_h_agentryouude_TP_V
いつもブログをご覧になっている方、初めてですという方。

 

こんにちは!

ISO総合研究所の立松です!

 

今回は、
Pマーク(プライバシーマーク)を取ったらセキュリティの意識は高まるのか
ということについてお話しします。

 

 

まず、結論から言いますと

“上がります”

 

理由としては、さまざまありますが、主に

①定期的な教育

②ルール付けがしっかりされている

事が理由となります。個人情報に関する掲示物や周知が要因の場合もあります。この行動の頻度がPマーク(プライバシーマーク)取得前と取得後で回数が段違いに変わります。

そもそも、Pマーク(プライバシーマーク)の構成は

①規程・マニュアル

②帳票

③記録

と大きく3種類に分けられます。

カレーに例えると

①お肉(規程・マニュアル)

②ニンジン(帳票)

③ジャガイモ(記録)

上記はどれも外せないものになります。一つでも外したら大変なことになります。

お肉ばかり食べていてもダメですし、逆にお肉の入っていないカレーはカレーじゃないです。

 

 

近年、個人情報の漏洩ニュースが大きく取り上げられる中、2,3年前は日本年金機構の情報漏洩事件、最近では大阪府堺市の役所職員が50万人以上の個人情報が漏れてしまいました。因みに原因は無断持出しでした。この事件は昨年12月の年の瀬に起こったこともあり、記憶に新しいのではないかと思います。

 

こうした個人情報の漏洩を防ぐアクションとしてPマーク(プライバシーマーク)があり

Pマーク(プライバシーマーク)を取ることで従業員の意識が高まります。

 

 

ここで、自分が担当している会社様の一例を紹介いたします。

 

①派遣業 A社

いままで、個人情報の取扱いについてそんなに意識が高くなかった会社でしたが、

今では、規程やルールがあることによって従業員一人一人が個人情報の取扱いに注意を払うようになりました。

※以前は、外部媒体(USB等)が主流でしたが今では、外部媒体を完全に禁止し、システムとPCの通信しか認めないことにより、媒体の紛失が無くなりました。

(貸与PCにも管理番号を付けて状況を把握しております)

 

 

②水道業 B組合

元々、担当者の個人情報取扱いの意識が高い方でしたが、Pマーク(プライバシーマーク)を取得したことにより、より細やかな個人情報の取扱いを推奨し、従業員にも周知徹底を促しております。

※実際に訪問もさせていただきました。張り紙や朝礼など様々な方法で従業員に周知を行っておりました。

 

 

③システム業 C会社

意識的には普通のレベルの会社でしたが、お手伝いをさせていただいている過程で様々な疑問が上がり、相談を受けたりする中で個人情報のセキュリティがドンドン向上していきました。

今では、同業他社様の個人情報の取扱いが気になるようで意見を求めております。

 

 

ひとえにPマーク(プライバシーマーク)を取る目的として多くの会社様は

・取引先の要求

があったため取得を検討したとのお声をよくいただきます。実際、Pマーク(プライバシーマーク)を新規で取得する場合、ルール作りから記録作成まで必要書類を作成し、文章の審査、現地審査、指摘改善を経てようやくPマーク(プライバシーマーク)を取得できるようになります。ここまでくるのに短くて3ヵ月長いと1年以上もかかる会社様もあります。

実際、1年以上かかってようやく取得できたケースも聞きます。

上記の経緯も踏まえ、運用をスタートしていった場合、まだまだルールを作ってからそんなに時間が経っていない状況なので、ルールを運用するにあたって、業務の効率を鑑みて、さらに内容をスパイラルアップしていくことになります。

 

自分が担当している案件で5回更新をした会社様がありました。そこは、初期のころは

個人情報の取扱い方の右も左も分からなかったと担当者様はお話ししますが、更新を繰り返すうちに知識もついてきて従業員にも個人情報の取扱いを気を付けるようになったとお話ししておりました。

 

新規取得した後は、更新するための運用を開始するので自然と個人情報の取扱い方にも目が行くようになります。

運用をお手伝いさせていただいている会社の担当者様は

「この個人情報はどういう風に取り扱ったらいいのか」

「今度、新しく事業をするにあたり個人情報の管理を一新しようと思う」

「同じ業界で何か真似できるものは無いか」

等のご相談を受けたりします。

元々、取得当時はそんなに意識が高くなかった担当者様でしたが、取得をしてから

意識が変わり注意して個人情報を取り扱うようになりました。

 

個人情報の取扱いにお困りの方

現在、マイナンバー制度も始まりに今までより個人情報の重要性が増してきましてきて、取扱いにも苦心・気苦労もあるかもしれないです。

これからどうしようとお悩みの方、僕たちISO総合研究所は皆様の味方になって

精一杯サポートさせていただきます。

このブログを読んで、少しでも興味が湧いたらお電話して下さい。

Pマーク(プライバシーマーク)の新規認証を進める3つの方法

YUKA863_korekore15202501_TP_V

金融系システム開発を主とする法人の話。

社員25名の中小企業である。

ある日、社長からの指示が。

 

「よし、Pマーク(プライバシーマーク)をとろう」

「それじゃあ、藤田さん(仮名)と佐伯さん(仮名)、任せたよ」

 

こうして何が何やらわからないままに藤田さん、

佐伯さんはPマーク(プライバシーマーク)を取得するべく

動き始めたのだった。

 

~1つ目の方法~ ☆藤田さん、佐伯さん2人でがんばろう編☆

Pマーク(プライバシーマーク)ってなんだろう?

まずはここから始まった。

藤田さんがインターネットを使って調べてみると、

どうやら個人情報を適切に取り扱っている企業に与えられる資格らしい。

なるほどなるほど。

Pマーク(プライバシーマーク)がなんなのかが2人とも分かったところで、

ではどうすれば取得できるのかをさらにネットで調べてみた。

「ただただよくわからない。」

藤田さん、佐伯さん2人の率直な感想だった。

初日はこんな感じで終わった。

 

佐伯さんは次の日Pマーク(プライバシーマーク)に関係ありそうな本を数冊買ってきて、

藤田さんと、連日一緒に読みふけり、インターネットで色々調べた。

どうやら、Pマーク(プライバシーマーク)とは1年間のうちにやらないといけない事や、

作成しないといけない書類がたくさんあるようだ。

2人は空いた時間を使って、必要な書類を作成した。

書類が完成した頃には1年以上が経っていた。

 

藤田さん、佐伯さんの2人がPマーク(プライバシーマーク)の事に関してもだいぶわかったところで、

 

Pマーク(プライバシーマーク)の審査を受け、審査で受けた指摘に対しても、

藤田さん、佐伯さんは2人で試行錯誤を繰り返しながら、

ようやくPマーク(プライバシーマーク)の認証をもらう事が出来た。

 

すごく勉強になったし、藤田さん、佐伯さんの信頼関係は深まり、

お金もかからなかったので、時間と手間さえ気にしなければ良い方法だなと思った。

 

 

~2つ目の方法~ ☆コンサルタントさんと3人で頑張ろう編☆

Pマーク(プライバシーマーク)ってなんだろう?

藤田さん、佐伯さん二人とも頭の上に?(クエスチョンマーク)が飛んでいた。

藤田さんがインターネットを駆使し、色々調べてみると

Pマーク(プライバシーマーク)を取得するには、どうやら作成しないといけない書類や、

実際社内で実施していくルールなどが多数あることがわかった。

初日での収穫はそれぐらいだった。

 

2日目、佐伯さんがインターネット上でPマーク(プライバシーマーク)を取得するための

コンサルティング企業がいると知り、そこに頼んでみようと提案した。

調べてみると大体相場は年間30万円~100万円と様々である。

とりあえず、年間50万円でやってもらえるコンサル会社に頼んだ。

数日後コンサル会社の小嶋さんが来てくれ、

まず、小嶋さんはPマーク(プライバシーマーク)を取得する為に必要なこととして、

①『Pマーク(プライバシーマーク)の書類を作成すること』

②『実際作成した書類を使って、運用をすること』

この2つを教えてくれ、

①『Pマーク(プライバシーマーク)の書類を作成すること』については

書類のテンプレート的なものをくれたので、そのテンプレートを弊社用に修正すればいいと教えてくれた。

藤田さん、佐伯さんの2人は「まあ、修正するぐらいなら」と思ったが、

書類の量が多く、仕事の合間でやってはみたものの、ほとんど仕事が終わってから書類の修正を始めるので、夜、帰りが多少遅くなり結局修正するだけでも2か月かかってしまった。

その後②『実際作成した書類を使って、運用をすること』について、

コンサルの小嶋さんにやらないといけないことを教えてもらい、実際運用を始めました。

分からないことは小嶋さんにアドバイスをもらいながら進めたので、

藤田さん、佐伯さんの2人は作業時間はとられましたが、

小嶋さんにアドバイスをもらい始めてから半年後にはPマーク(プライバシーマーク)審査の申請することができました。

その後、審査機関とのやり取りを経て、わからないことは小嶋さんに聞きつつ、

審査日も乗り切り、審査の際の指摘も小嶋さんに相談し、無事Pマーク(プライバシーマーク)を取得することができました。

すごく時間とお金はかかりますが、勉強にもなり達成感は感じられたので、

いい経験になったなと、藤田さん、佐伯さんは思ったのでした。

 

 

 

~3つ目の方法~ ☆運用代行に任せよう編☆

Pマーク(プライバシーマーク)ってなんだろう?

2人はわからないので、すぐにインターネットという名の物知りおじさんに聞くことにした。

おじさんは答えてくれた。

「Pマーク(プライバシーマーク)は運用代行に任せたらいいよ」と。

藤田さん、佐伯さんの2人はPマーク(プライバシーマーク)が何かがわからないままに、

運用代行業者に任せることにした。

運用代行は、どうやら2か月に1回、担当の岡山さんが訪ねてくれて、

1~2時間の打ち合わせの中で弊社の業務について等をヒアリングし、

書類関係は全て作ってくれ、記録等も実際弊社が実施した事を

そのまま記録に起こしてくれるようだ。

「これは楽だ。」藤田さん、佐伯さんは思わず口から出た感想でした。

そしてPマーク(プライバシーマーク)がどういうものかが明確にわからないままに、

2回目の打ち合わせで申請に必要な書類を担当の岡山さんがすべて持ってきてくれ、

審査への申請を済ますことができた。

ただ、Pマーク(プライバシーマーク)の事がほとんどわかっていないので、

申請後の現地審査をどう乗り切ればいいかわからないので心配だった。

それについては、担当の岡山さんが色々教えてくれ、

Pマーク(プライバシーマーク)について、なんとなくわかったぐらいで現地審査に臨むことになった。

当日はよく分からないことをたくさん指摘され正直疲れたが、

その指摘に対しては、岡山さんが対処し、書類を作成してくれた。

何が何やらわからないままに、結局運用代行に任せた半年後にはPマーク(プライバシーマーク)が

会社に届くことになった。

運用代行に支払ったお金が1年で30万円。

年間30万円で、Pマーク(プライバシーマーク)専任の社員を雇ったと思えば

安いものだなと藤田さん、佐伯さんは思ったのだった。

 

Pマーク(プライバシーマーク)の新規取得を進める3つの方法

bsOY151013069947

この話はどこにでもある人材派遣の会社の話。
社員24名の中小企業である。
あるとき社長がこう言った。

「よし、Pマーク(プライバシーマーク)をとろう」
「それじゃあ、佐藤さん(仮名)と中野さん(仮名)、任せたよ」

こうして何が何やらわからないままに佐藤さん、中野さんはPマーク(プライバシーマーク)を取得するべく動き始めたのだった。

~1つ目の方法~ 2人で進める
Pマーク(プライバシーマーク)ってなんだろう?
まずはここから始まった。

佐藤さんがインターネットを使って調べてみると、
どうやら個人情報を適切に取り扱っている企業に与えられる資格らしい。
なるほどなるほど。

Pマーク(プライバシーマーク)がなんなのかが2人とも分かったところで、
ではどうすれば取得できるのかをさらにネットで調べてみた。
「なんだこれ。よく分からないね。」

佐藤さん、中野さん2人の率直な感想だった。
初日はこんな感じで終わった。

中野さんは次の日Pマーク(プライバシーマーク)に関係ありそうな本を数冊買ってきて、
佐藤さんと、連日一緒に読みふけったり、インターネットで色々調べまくった。

どうやら、Pマーク(プライバシーマーク)とは1年間のうちにやらないといけない事や、
作成しないといけない書類がたくさんあるようだ。

2人は空いた時間を使って、必要な書類を作成した。

書類が完成した頃には1年以上が経っていた。

佐藤さん、中野さんの2人がPマーク(プライバシーマーク)の事に関してもだいぶわかったところで、
Pマーク(プライバシーマーク)の審査を受け、審査で受けた指摘に対しても、
佐藤さん、中野さんは2人で試行錯誤を繰り返しながら、
ようやくPマーク(プライバシーマーク)をもらう事が出来た。

すごく勉強になったし、佐藤さん、中野さんの信頼関係は深まり、
お金もかからなかったので、時間と手間さえ気にしなければ良い方法だなと思った。

~2つ目の方法~ コンサルと進める
Pマーク(プライバシーマーク)ってなんだろう?
佐藤さん、中野さん二人とも頭の上に?(クエスチョンマーク)が飛んでいた。

佐藤さんがインターネットを駆使し、色々調べてみると
Pマーク(プライバシーマーク)を取得するには、どうやら作成しないといけない書類や、
実際社内で実施していくルールなどが多数あることがわかった。

初日での収穫はそれぐらいだった。

2日目、中野さんがインターネット上でPマーク(プライバシーマーク)を取得するための
コンサルティング企業がいると知り、そこに頼んでみようと提案した。

調べてみると大体相場は年間30万円~100万円と様々である。

とりあえず、年間50万円でやってもらえるコンサル会社に頼んだ。

数日後コンサル会社の小嶋さんが来てくれ、
まず、小嶋さんはPマーク(プライバシーマーク)を取得する為に必要なこととして、
①『Pマーク(プライバシーマーク)の書類を作成すること』
②『実際作成した書類を使って、運用をすること』
この2つを教えてくれ、
①『Pマーク(プライバシーマーク)の書類を作成すること』については
書類のテンプレート的なものをくれたので、そのテンプレートを弊社用に修正すればいいと教えてくれた。

佐藤さん、中野さんの2人は「まあ、修正するぐらいなら」と思ったが、
書類の量が多く、仕事の合間でやってはみたものの、ほとんど仕事が終わってから書類の修正を始めるので、夜帰りが多少遅くなり結局修正するだけでも2か月かかってしまった。

その後②『実際作成した書類を使って、運用をすること』について、
コンサルの小嶋さんにやらないといけないことを教えてもらい、実際運用を始めました。

分からないことは小嶋さんにアドバイスをもらいながら進めたので、
佐藤さん、中野さんの2人は作業時間はとられましたが、
小嶋さんにアドバイスをもらい始めてから半年後にはPマーク(プライバシーマーク)審査の申請することができました。

その後、審査機関とのやり取りを経て、わからないことは小嶋さんに聞きつつ、
審査日も乗り切り、審査の際の指摘も小嶋さんに相談し、無事Pマーク(プライバシーマーク)を取得することができました。

すごく時間とお金はかかりますが、勉強にもなり達成感は感じられたので、
いい経験になったなと、佐藤さん、中野さんは思ったのでした。

~3つ目の方法~ コンサルタントに任せる
Pマーク(プライバシーマーク)ってなんだろう?

2人はわからないので、すぐにインターネットという名の物知りおじさんに聞くことにした。
おじさんは答えてくれた。

「Pマーク(プライバシーマーク)は運用代行に任せたらいいよ」と。

佐藤さん、中野さんの2人はPマーク(プライバシーマーク)が何かがわからないままに、
運用代行業者に任せることにした。

運用代行は、どうやら2か月に1回、担当の藤川さんが訪ねてくれて、
1~2時間の打ち合わせの中で弊社の業務について等をヒアリングし、
書類関係は全て作ってくれ、記録等も実際弊社が実施した事を
そのまま記録に起こしてくれるようだ。

「これは楽だね」佐藤さん、中野さんは思わず口から出た感想でした。

そしてPマーク(プライバシーマーク)がどういうものかが明確にわからないままに、
2回目の打ち合わせで申請に必要な書類を担当の藤川さんがすべて持ってきてくれ、
審査への申請を済ますことができた。

ただ、Pマーク(プライバシーマーク)の事がほとんどわかっていないので、
申請後の現地審査をどう乗り切ればいいかわからないので心配だった。

それについては、担当の藤川さんが色々教えてくれ、
Pマーク(プライバシーマーク)について、なんとなくわかったぐらいで現地審査に臨むことになった。

当日はよく分からないことをたくさん指摘され正直疲れたが、
その指摘に対しては、藤川さんが対処し、書類を作成してくれた。

何が何やらわからないままに、結局運用代行に任せた半年後にはPマーク(プライバシーマーク)が
会社に届くことになった。

運用代行に支払ったお金が1年で30万円。

年間30万円で、Pマーク(プライバシーマーク)専任の社員を雇ったと思えば
安いものだなと佐藤さん、中野さんは思ったのだった。

誰もが必ず間違う!?Pマーク(プライバシーマーク)新規取得の5つの穴

 


いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの遠藤です。

 

さて、今回は、

『これからPマーク(プライバシーマーク)の新規取得を目指そう!』という皆様のために、「Pマーク新規取得の5つの穴」をご紹介したいと思います。

 

 

■其の一 『審査機関の穴』

 

 

Pマークを取得しようとお考えの際、まず最初にたどり着く審査機関は、

「一般財団法人日本情報経済社会推進協会(通称JIPDEC ジプデック)」

ではないかと思います。

 

 

PマークはJIPDECが認証している規格で、まさに 元締め 的な存在になります。

しかしながら、審査そのものは、JIPDECが審査機関として指定している別組織でも受けることが可能です。JIPDECのホームページに「プライバシーマーク指定審査機関一覧」のページがありますので、そちらから確認することができます。

 

 

早期取得を目指す場合、審査機関の選択もひとつのポイントになります。

「審査機関は選べる」ということを、はじめにお伝えしたいと思います。

 

 

■其の二 『利用目的と同意取得の穴』

 

 

Pマークでは、個人情報を本人から直接取得する際に「本人からの同意取得」が求められています。

規格ではこのように記載されています。

 

 

「少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、本人の同意を得なければならない。」

 

 

個人情報保護法では、利用目的を明示するだけでよいとされていますが、Pマークでは、利用目的等の事項を明示した上で、本人の同意を得る必要があります。

その際に明示する利用目的は包括的な内容ではなく、その場面にあった内容を明示することが求められます。例えば、採用面接では履歴書を受け取りますが、履歴書の利用目的は「採用選考と連絡」といった具合です。

 

 

個別に利用目的を明示していない場合、現地審査時に修正を求められることになりますので、同意取得の際には、個別に利用目的を明示するようにしておきましょう。

 

 

其の三 『委託先との機密保持契約の穴』

 

 

Pマークの要求事項の中に、委託先との機密保持契約があります。

一般に業務委託契約書の中に機密保持条項も含まれていますが、その内容はPマークの要求を満たしていないケースが大半です。

 

 

Pマークの要求は以下の項目です。

 

 

a) 委託者及び受託者の責任の明確化

b) 個人情報の安全管理に関する事項

c) 再委託に関する事項

d) 個人情報の取扱状況に関する委託者への報告の内容及び頻度

e) 契約内容が遵守されていることを委託者が確認できる事項

f) 契約内容が遵守されなかった場合の措置

g) 事件・事故が発生した場合の報告・連絡に関する事項

 

 

現在の業務委託契約書の内容が不足しているようであれば、別途覚書の締結等で補うことができます。

 

 

其の四 『バックアップの穴』

 

 

個人情報や重要な機密情報は、Pマーク取得の有無に関わらず、バックアップを取ることが当たり前のようになっています。バックアップの方法は、外付けHDDや別のサーバーへのコピーなど様々です。

 

 

ですが、このバックアップにも意外な落とし穴があります。

それはバックアップを取った媒体の管理です。

 

 

バックアップを取った媒体が社内に保管されている場合、地震や火災等の理由でその社屋に入れなくなった時には、元データやバックアップのデータに触れることが出来なくなってしまいます。復元が難しい情報の場合、元データとバックアップデータの媒体の保管場所を、分けることがオススメです。

 

 

 

其の五 『審査立会いの穴』

 

 

申請のための書類を一式提出して、いよいよ現地審査!

事前に審査員から、当日スケジュールや準備物の連絡があります。

 

 

そもそも、現地審査は1日がかりで実施されます。

個人情報の運用において中心的な役割を担う「管理者」は、終日審査対応にかかりっきりになることを覚悟しましょう。

代表者は朝一番で30分~1時間程度、インタビューに対応する必要があります。

 

 

しかし、審査員からの事前連絡の中では、「監査責任者」「システム担当者」などの立会いを求められるケースもあります。

しかし、必ずしも複数人が現地審査に立ち会う必要はありません。

管理者が一通りの説明をすることができれば、「監査責任者」「システム責任者」の立会いは必須ではありません。

 

 

とりわけPマーク上「小規模」に該当する従業員数5名以下の企業では、

審査当日に複数の方のスケジュールを押さえることは困難なケースが多いです。

審査機関も、本業に支障をきたすような要求はしてきませんので、遠慮せずに相談してみましょう。

 

 

 

いかがでしたでしょうか?

今回は「5つの穴」をご紹介させていただきましたが、ご紹介しきれなかった「穴」もまだまだ存在します。

 

 

Pマークの新規取得でお手伝いをさせていただく際に、「自分でやってみようと思ったけど無理だった。」という声を

お聞きすることが珍しくありません。「難しくて理解することを諦めた」「やればやるほど収拾がつかなくなった」といった理由が多いように思います。

 

 

それもそのはず、これだけの「穴」が存在しているのです。

 

 

Pマーク新規取得をご検討の際は、是非ともISO総合研究所にご相談ください。

「穴」を上手に埋めながら、お客様のお手間を「限りなくゼロ」に近づけるよう、サポートさせていただきます!

 


Pマーク(プライバシーマーク)とJAPHICマーク(ジャフィックマーク)の比較(JAPHICマーク(ジャフィックマーク))

いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの竹嶋です。

Pマーク(プライバシーマーク)に変わりまして最近、取得検討企業様、Pマーク(プライバシーマーク)からの乗り換えを行う企業様が多くおられるJAPHICマーク(ジャフィックマーク)についてお話しさせていただきたいと思います。

 

早速ではございますが、まずはじめにお伺いさせていただきます。

 

「Pマーク(プライバシーマーク)っていうかっこいいマークを取りたいのか?」

Pマーク(プライバシーマーク)の概念は複雑な仕組みがあるからセキュリティリスクが下がるという概念で作られたものです。
Pマーク(プライバシーマーク)を持っているということは「複雑な仕組み」を導入することによって会社のセキュリティレベルを上げようとしているということです。

では仮に複雑な仕組みをやろうとするとどうなるでしょう?
答えは簡単です。1度も家計簿をつけたことのない方が、
家計簿も日記も、さらに毎分毎のスケジュール管理をいきなりやると決めました。
さらにそれを1日でもやらなければ他人から不適合と言われてしまいます。
どうなるでしょう?

 

一般的な反応としては、
・複雑な仕組みをやろうとすると形骸化してしまう
・つじつま合わせで他人に見られる前に頑張って作る
ということになります。

形骸化したらセキュリティレベルは下がります。
出来ないことをやると言って出来てるように見せることは誰が得をするでしょうか?

複雑な仕組みがあっても出来る集団であればPマーク(プライバシーマーク)を選んだ方がいいと思います。
自社にあった運用を行うようにすることが本当のセキュリティリスクの低下になるのではないでしょうか?

そこで、「複雑な仕組み」以外で何を見習って守っていけばいいの?
という中で出来たのがJAPHICマーク(ジャフィックマーク)です。
経産省のガイドライン、個人情報保護法に従ってベースを作成しているマークがJAPHICです。

Pマーク(プライバシーマーク)はJISに従ってベースを作成しているマークです。
JIS(Japanese Industrial Standards)とはなんでしょうか?

一般にJIS Q 15001は個人情報保護法遵守を具体化するための規格と考えられていますが、
1999年に制定された時はまだ個人情報保護法の登場するはるか前です。

いわば「日本は個人情報の保護に関する法律はまだありませんけど、
工業規格で保護措置を講じているので個人データの委託先として問題ありませんよ」
という対外的なアピールです。

2006年に改定されて
JIS Q 15001:2006「個人情報保護に関するマネジメントシステム-要求事項」になり、
2005年に全面施行された個人情報保護法との整合性をとっています。

JIS Q 15001(3.2.2)では法令、国が定める指針そ他の規範を、
速やかに個人情報マネジメントシステムに反映することが要求されています。

JIS Q 15001の方が個人情報保護法より個人情報保護のハードルを高く設定しています。

【引用:アーチ株式会社】

http://privacymark.co.jp/privacymark_system/index_3.html

上記までを読んでPマーク(プライバシーマーク)は公的なマークだと思いますか?

Pマーク(プライバシーマーク)そのものに国がお墨付きを出しているわけではないので公的なマークではないですね

次に組織は公的な組織ですか?
財団法人と言っても設立に際して国や地方公共団体の認可が必要なだけで、あくまで民間団体です。
民主党が事業仕分けをしたことによって一般財団と民間企業と変わりなくなってしまいました。

半官半民でもない団体が、発行しているマークに関して何がお墨付きなのかと考えた時に
個人情報保護団体というところがやってるところということしかないですね。

 

現在のPマーク(プライバシーマーク)の業界動向を考えてみましょう。

Pマーク(プライバシーマーク)は基本的にコンサルタントの協力を嫌がります。
そうすると、コンサルタントは指摘を出さないようにつくろうとする。
さらに審査機関は指摘を出そうとして作ろうとする。
この繰り返しになりお客様が置いてけぼりになっているケースを良く見かけます。

何が一番大切なのかと考えた時に、
かっこいいマークを取ることが大事であればPマーク(プライバシーマーク)を取ればいいですし、
1~100をいきなり導入してすぐに対応出来る余力のある集団であればPマーク(プライバシーマーク)を選べばいいです。

中小企業にはそれぞれの仕組がありますので
いきなり1~100までやることは出来ないことが多いです。

改善を行うことは重要な行動だけど、
さらに前述したとおりISOやPマーク(プライバシーマーク)のコンサルタントを使うことをPマーク(プライバシーマーク)は嫌がります。

2年に1度の審査で審査員から膨大な指摘をもらって、
自分たちが自分たちに合ったやり方を考えながらやることが良いという企業様もいるかもしれません。

しかし、一般的にはどの業界でもISOやPマーク(プライバシーマーク)のコンサルタントが相談に乗れた方が効率的です。
さらにいつでも相談に乗れる接触頻度を効率的じゃなくて効果的です。

JAPHICマーク(ジャフィックマーク)はお客様毎の仕組を考慮したルールで認証することを方針としております。
中小企業様、Pマーク(プライバシーマーク)認証に疲れた企業様にベースのことをしっかりやろうというのがJAPHICマーク(ジャフィックマーク)です。

最終的に難しいことをJISの規格に準じるか、
ベースのことをしっかりやろう経済産業省のガイドラインは国が出しているもの
どちらに準じた方がいいですか?

出来ることを将来的に継続的にやっていこうと考える中小企業様は何のマークを取ればいいか検討してみてください。

よりシンプルに、実態に見合ったものになるように、文書の内容や自分たちだけでなく、
審査機関、コンサルと一緒にシステムを構築できるJAPHICマーク(ジャフィックマーク)についてお話しさせていただきました。

ちょっと話を聞いてみたいという方はISO総合研究所のコンサルタントまでお問い合わせください。