Pマーク(プライバシーマーク)申請時に気を付けたい3つのこと  

-shared-img-thumb-AL1021_meganedoya20140830144424_TP_V お世話になっております。ISO総合研究所の伊藤です。いつもご愛読いただきありがとうございます。

 

今回はPマーク(プライバシーマーク)申請時に気を付けたい3つのことについて書いていきたいと思います。

まずPマーク(プライバシーマーク)申請には新規申請と更新申請の2つがありますが、

申請書の内容的にはそれぞれほぼ同じです。唯一違いをあげると、新規申請の場合は教育、内部監査、代表者による見直しのそれぞれ1回づつ実施したサマリーを書くのに対し、更新申請の場合は教育、内部監査、代表者による見直しのそれぞれ2年分実施したサマリーを書きます

Pマーク(プライバシーマーク)は一度取れば終わりというわけではなく、2年に1度更新のタイミングがやってきます。もし更新できなければせっかく苦労して取ったPマーク(プライバシーマーク)は水の泡です。つまり、Pマーク(プライバシーマーク)持っている必要性がある限り半永久的に2年に1度更新申請して、更新審査を受けることとなります。ここを知らずにPマーク(プライバシーマーク)を新規取得された企業様は、

「えっ、Pマーク(プライバシーマーク)って一回取ったら終わりちゃうの?2年後にまたこんな苦労するの嫌やわ~。」

となるわけです。

ですので、もしこれからPマーク(プライバシーマーク)取得をご検討されていてこのブログを読んでくださっている方がいらっしゃればこれを忘れずにいてください。

審査は2年に1度やってきます。

 

 

それはさておき、早速Pマーク(プライバシーマーク)申請時に気を付けたいことについて書いていきましょう。

 

 

 

1つ目は必要書類は漏れなく提出することです。

申請するに当たり申請書を作成されると思いますが、その中の【2006-6】『個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧』があります。ここにはその会社で個人情報保護マネジメントシステム(PMS)文書をすべて記載する必要があります。そしてここに書かれた内部規程や様式はすべて申請書類に含まれた状態で提出しなければ申請が受理されません。足りなかったものだけ後日別で郵送しないといけないなど手間が増えてしまうので、提出前に印刷した書類がちゃんと揃っているかをダブルチェックするようにしましょう。

また、これとは別に登記簿謄本の原本と会社定款のコピー、会社のパンフレットがあれば会社パンフレットが必要になってきます。会社のパンフレットに関しては申請書の【2006-0】のページの提出書類チェック欄にチェックする場所があるので、もし会社にない場合はチェックを外しておきましょう。会社のパンフレットがないのにチェックをうっかり入れた状態で申請書類を提出してしまうとせっかく提出した申請書類が返却される可能性があります。

また、申請書の【2006-6】『個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧』にはすべての内部規程と様式を記載する必要があると先ほど書きました。2年ほど前ですと、すべての内部規程と様式を記載するのが面倒だということで内部規程のみ記載して、様式は『弊社の文書一覧参照』のように書いて申請しても受理されていました。しかし、今はこれでは受理されなくなってしまいました。ここに省略することなくすべての内部規程と様式を記載した状態で申請することが求められるようになったのです。今後更新申請をされるさいは注意してください。

 

 

 

2つ目は虚偽申請は絶対にダメ!です。

「虚偽申請ってどういうこと?」

と思われた方もいらっしゃるかと思います。

Pマーク(プライバシーマーク)を取得、更新する過程で審査費用というのがかかってきますね。そしてこれは3段階に分けて審査を受ける機関に支払うことになっています。1段目で申請費用、2段目で審査費用、そして3段目でPマーク(プライバシーマーク)付与費用という具合です。

この3段階で支払う審査費用はその会社の規模や業種によって大きく違ってきます。

詳細については各審査機関のHPに書かれていますのでそちらを参照ください。

審査費用を抑えようと従業員数をごまかして申請された結果、それが発覚してしまい新規申請の場合は一定期間申請ができなくなってしまったり、更新申請の場合はPマーク(プライバシーマーク)が取り消しになってしまうというペナルティが課せられたという事例も残念ながらあります。

皆様の会社ではそのようなことは決してないと思いますがお気を付けください。

 

 

 

最後3つ目は提出する審査機関の選定についてです。

申請書の冒頭にも書かれていますが、一般的に地域区分で審査を担当する審査機関として、6団体が指定されています。登記上の本店がそれらの地域に所在する場合、原則として当該地域を担当する審査機関に申請することとなります。しかし、これには例外が一つだけあるのです。

それは、保健・医療・福祉分野の事業者は、地域に関係なく原則としてこの分野を担当する審査機関である一般財団法人医療情報システム開発センター(MEDIS-DC)に申請するようになるということです。

ただし、これにも明確な基準があります。

申請書【2006-3】に個人情報の種類と個人情報の件数(概数)を書きますよね?

ここに書かれる個人情報の件数の内、保健・医療・福祉分野の個人情報が50%を超えた場合、自動的に一般財団法人医療情報システム開発センター(MEDIS-DC)に申請するようになります。

もしこの条件を満たしているのに、一般財団法人医療情報システム開発センター(MEDIS-DC)以外で申請した場合、提出書類が返送されてきますのでくれぐれもご注意ください。

 

 

 

いかがでしたでしょうか。

以上3点は少なくとも押さえて頂ければ、申請で躓くことは減るかと思います。

少しでも皆様のお役に立てればと思い書かせていただきました。

最後までお読み下さりありがとうございました。

Pマーク(プライバシーマーク)新規取得で社長が聞かれるポイント

 -shared-img-thumb-YOTA93_ippon15134025_TP_V
いつもご愛読ありがとうございます。ISO総合研究所コンサルタントの下です。

 

近年マイナンバーの影響もあり、Pマーク(プライバシーマーク)を新規に取得しようとする企業も多いのではないでしょうか。いざ活動を始め、いよいよ現地審査となった時、代表者の方は何を話せばよいのか?またどんなことを質問されるのだろうか?

と不安になることもあるかと思います。そこで今回は、
Pマーク新規認証の現地審査で社長が聞かれる7つの重要ポイント
について下記を一つ一つご説明いたします。

 

 

①Pマークのガイドライン要求

②Pマーク取得の目的

③いつから運用を開始したか?

④心配事

⑤申請時と変更している点がないか

⑥事業の内容

⑦今後について

 

 

まず、現地審査当日、初めに実施されるのが、「トップインタビュー」です。

プライバシーマークの最終決定権や報告等はやはり代表者あってのものです。

審査員の方も代表者の方がどのようにプライバシーマークに取り組もうとしているのか

また、どういった企業なのか等を知りたいと思っています。

それでは、Pマーク新規認証で必ず社長が聞かれる7つの重要ポイントの1つ目です。

 

 

①Pマークのガイドライン要求について聞かれる。

プライバシーマークの要求事項の中に、「3.9事業者の代表者による見直し」という

ものがあります。ここでは、1年間かけて社内で実施してきた、プライバシーマークの

運用活動について、最終的に代用者に報告をし、次年度へ繋げてもうらものとなります。

PDCAサイクルで運用が回っているプライバシーマークのA(アクション)の部分に

なってきます。「代表者による見直し記録」「マネジメントレビュー」とう企業によってその呼び方は様々になります。

しかし実施する内容は要求事項で決まっています。

基本的な質問項目は要求事項できまっており、下記の7点となります。

 

a)監査及びPMSの運用状況に関する報告

b)苦情を含む外部からの意見

c)前回までの見直しの結果に対するフォローアップ

d)個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況

e)社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化

f)事業者の事業領域の変化

g)内外から寄せられた改善のための提案

 

内部監査実施後にこちらの記録を作成します。代表者の方はこの過去にやった内容ついて当日質問されるのです。

上記7つの中でもやはりよく聞かれる部分があり、a)監査及びPMSの運用状況に関する報告は一番よく聞かれるポイントとなります。自社での内部監査によりどんな指摘がでたのか、またそれに対して代表者からどんな支持をだしたのか?と聞かれることがあります。

7つのうちa)監査及びPMSの運用状況に関する報告意外は、その場で聞かれたとおり

現状を報告すれば大丈夫ですので、抑えるべき点はこの1点となります。

現地審査当日は「代表者の見直し記録」「マネジメントレビュー」の記録を印刷して手元に置き、それを見ながら回答することをお勧め致します。

 

 

②Pマーク取得の目的について聞かれる

プライバシーマークを取得する企業ではその取得理由は様々です。入札の参加条件となっている、大手企業からの取引要件として必要、対外的なアピールとして取得したい等、取得理由はその企業によって違うことでしょう。この質問の場合は、考える必要はありません。代表者の方の思いをそのまま審査員の方に伝えていただければ大丈夫です。

実際マークだけあれば良いという企業の方もいますが、そのこともそのまま本心を伝えていただいて問題ありません。審査員の方もそういった理由で取得する企業はたくさん見て来ています。その上でアドバイスを頂けるかもしれません。包み隠さずどうしてプライバシーマークを取得しようと思ったかを伝えていただければと思います。あまり暑くなり過ぎると、現地審査の時間が長くなってしまいますのでほどほどにしておきましょう、、、、

 

 

③いつから運用を開始したか?

と聞かれる上記②の質問があったあとに、聞かれるのがこの質問です。新規取得時の質問のなかで現地審査員が絶対に聞くくらいの質問です。では運用開始日とはいったいつのことを指すのか?それは、マニュアルや規程を定めた日付となります。プライバシーマークの活動を始めるには、企業のルールや規格要求事項にそった運用が必要です、そのため、社内でルールを統一するためにマニュアルや規程をまず作成します。そのルールにのっとって活動を実施するのが運用ということになります。そのため、実際にいつからプライバシーマークの活動を始めたかを確認する場合は、マニュアルや規程の制定日を確認しておきましょう。

 

 

④心配事について聞かれる

この質問は審査員の方から(現在運用をしてきて不安な部分や何か代表者として心配に思っていることはありますか?」というように聞かれることが多いです。他社事例ですと、「業務上クレジットカード情報を取扱うが複数の人が閲覧をしないと業務が実施できない、そのため社員教育が重要と思っているがなかなかうまくいかない」といったようなものがあります。

この質問も代表者の方が現在抱えている悩みや、「当社的にここってどうにか解決できないかな?」といった部分がある場合は、審査員の方への相談としてありのままを答えてもらうのが一番です。もしかすると、何かヒントはひらめきを得ることが出来るかもしれません。

 

 

⑤申請時と変更している点がないか聞かれる

審査員の方は、現地審査に来るまでに2日間かけてその企業のことを事前に調べてから現地審査に来ます。そのため、現状での変更点がある場合、審査員のかたの予定はスケジュールが変更となる可能性があります。その場合にも対応できるよう審査員の方は申請時と変更が無いかを聞いてくるのです。従業者人数や、新しく開始した事業について、又は、廃止した事業について、

 

 

⑥事業の内容について聞かれる

審査員の方は一番メインとなる売り上げの事業内容や、自社の強み、取引企業名等を聞いてきます。それは、業務の中からどのような個人情報があるかを特定するために聞いていることが多くなります。この場合も特に問題視することはありません。自社の現状をそのまま伝えることが重要となります。その結果、午後の記録で個人情報がきちんと特定できているかを確認しますが、そこで特定されていなかったとしても、審査員の方に宿題を出され、きちんと特定をしておいて自社の個人情報として認識してくださいと言われるだけです。

 

 

⑦今後について聞かれる

最後にプライバシーマークを取得した後、どのように運用をしていきたいかを聞かれることもあります。他社事例ですと、「社員教育に力をいれていきたい」「無理なく継続できる内容で最低限実施をしていきたい」「毎年スパイラルアップしていけるようにしたい」などです。この場合も代表者の方がどのビジョンで考えているかによって回答方法は様々となります。

 

いかがでしょうか。最後まで目を通していただいてお分かりの通り、現地審査当日のトップインタビューで話してはいけないことは無いのです。審査員の方に聞かれた質問に、自社の現状は代表者の方の思いをそのまま伝えていただければ大丈夫です。代表者の方の取り組み方によってプライバシーマークの運用の仕方も変わってきます。他社事例を交えてご対応させていただきます。お悩みの際は是非当社コンサルタントまでお問い合わせください。

Pマーク(プライバシーマーク)での監査のポイント

-shared-img-thumb-N811_notepcwosawarubiz_TP_V

ISO総合研究所のPマーク(プライバシーマーク)のコンサルタントの大山です。

寒い時期が続いておりますが、皆様におかれましては、いかがお過ごしでしょうか?
マイナンバーが施行されて、会社として「どうしたらいいの?」いう声が聞こえてきそうな時期でもありますね。
こんな前振りですが、今回のブログのテーマは

 

Pマーク(プライバシーマーク)の内部監査での見るべきポイント

 

つまりチェックポイントです。

そもそも内部監査って何というところです。Pマーク(プライバシーマーク)の規格ではPDCAを回すことになっています。
内部監査はPDCAのCつまりチェックに当たります。このチェックを内部の者(社内の人)から指名して監査をしましょうということです。監査人に選ばれた人はしっかりと監査してください。イメージは半沢直樹で片岡愛之助さん演じる金融庁の黒崎検査官のように「あなた○○はどうなっている?」って感じで社内をチェックしてください。
内部監査について何であるかはここまでにしていよいよ本題に入ります。

まずは内部監査のチェックリストを作ります。

チェックリストは2種類あります。1つは自社のルール(規程やマニュアルなどと呼ばれるもの)とPマーク(プライバシーマーク)の要求するルールを見比べるチェックリストです。
これを俗にJISへの適合状況の監査と言っていたりもします。2つ目は運用監査のチェックリストです。
運用監査とは自社のルール(規程やマニュアルなどと呼ばれるもの)と実際に行われていることが合っているかということです。
新規認証で取得される以外つまり更新時は基本的に1つ目のJISへの適合状況の監査で問題が見つかることは少ないと思います。
毎回の監査で気をつけたいのは運用監査です。
リスク分析での対策が運用監査でチェックをしたらいいのです。

 

さぁここからは見逃しがちで、よく不適合になっている箇所である見るべきポイントを書いていきます。

 

①PCの設定の全般
PCのPマークで見ておくべきは順に説明していきます。
windowsをご使用されている方でwindows updateは自動更新の設定になっていますか。設定を確認して見て下さい。特に設定を今まで変更されたことがなければ標準では自動更新になっていますが、ごくたまに手動になっていたりするので、監査でのタイミングで確認することが大事です。

②ウィルス対策ソフト
これはご使用されているものが常に最新のバーションになっているか、また最新のものが手に入るようなに自動更新になっているかを見ます。ウィルス対策ソフトに関しては、別の視点があります。これはよく見ないとわからないのですが、
社内で指定されたウィルス対策ソフト(有料・無料問わず)を使用しているお客様に見られるのですが、知らないうちに2つ目のウィルス対策ソフトをインストールしているということです。これは一見セキュリティを高めてそうですが全く違います。むしろウィルス対策ソフト同士お互いがウィルスと感知しPCのパフォーマンスを低下させ、正常にウィルス対策ソフトが動かなくなることがあります。そのためメインとなるウィルス対策ソフトを除いてアンインストール(プログラムからの根本的な削除)をおススメします。

③スクリーンセーバーの設定
これはお客様先での事例ですがスクリーンセーバーの設定は終わっていますよと自信満々で言われていて確認しました。すると確かにきちんとスクリーンセーバーが規程の時間に従って起動することが確認できました。もちろん設定時間になると、その方のPCの画面は楽しげな画像がコロコロと変化していきました。残念なのはただただ画面が楽しげになっただけだったからです。マウスを動かしたり、キーボードに触れたりするとなぜかログイン状態です。でもスクリーンセーバーを設定していると思うかもしれませんが、スクリーンセーバーを設定することの意味は離席時等に一定時間PCから離れる時は自動的にログオフなるといいねということでした。そのため必ずスクリーンセーバーはパスワード付であることを確認したうえで設定しておく必要があります。

④無線LANに関して
審査でもよく指摘をされる傾向にありますが社内でのインターネットへの接続際に無線LANを使用する場合は無線LANの暗号化に関して気にしておくべきです。実際に使用されている会社ではどのような種類の暗号化をしているかを知り、必要であれば強化していくことも考えることができる。

⑤アクセスログに関して
実際にアクセスログを定期的に取得することはPマーク(プライバシーマーク)規格の要求であります。実際問題はちゃんと取れているかどうかは専門的な知識がないと、わからなかったり自分で見ようと思っても設備投資が必要などで見れないお客様も多いです。もし見れても委託先が見れるということになるかもしれないです。そのため本当に見れるのかを確認が必要となります。

 

総じてPCに関してよく見られるのをおススメします。
中でも特に注意して見てもらいたいのは新しく入ったPCや危機やシステムなどです。

こういったものは設定漏れがありがちなので注意するだけ簡単にどれかは見つかります。

以上が内部監査の見るべきポイントでした。参考にして金融庁の黒崎検査官のようなカッコイイ監査員としてご活躍ください。

Pマーク(プライバシーマーク)担当者の作業の本当のところ

-shared-img-thumb-SEP_355215221321_TP_V
いつもご愛読ありがとうございます。ISO総合研究所 コンサルタントの岡本です。
みなさん、お正月はいかがでしたでしょうか。
私は長野の実家でゆっくりとした時間を過ごすことができました。猫とこたつでごろごろするのは本当に幸せです。ご飯を食べて、こたつで猫とお昼寝…たまりませんね。今年も良い一年にしましょう。

さて、今回のブログでは私が日頃感じている

Pマーク(プライバシーマーク)の運用では実際にどんな作業があるのか

をご紹介します。

 

経営者のみなさんはPマークの運用って「大変なのだな」と思っていただきたいですし、担当者のみなさんは 「うんうん、わかるわかる!」 と共感していただければ幸いです。

 

まず、Pマークの運用では以下のことをする必要があります。
①自社の持っている個人情報を洗い出して特定する
②自社がかかわる個人情報に関しての法律を特定してPMS(Pマークの運用)に導入する。
③ ①で洗い出した個人情報のリスク分析をする
④委託先の評価をする
⑤全従業員を対象に個人情報保護に関する教育をする
⑥定期的にPMSや個人情報保護の点検をする
⑦すべての部門、拠点の内部監査を実施する
⑧1年の振り返りを代表者にしてもらう

ざっくりですがPマークの運用についてなんとなくイメージできますでしょうか。
今回は①~③までの運用を担当者目線でピックアップしてみます。

 

①自社の持っている個人情報を洗い出して特定する
Pマークの運用ならば毎年最初から洗い出しをする必要はありません。年に1回見直しをすれば良いです。業務が変わらなければ「日付さえ更新すれば良い」なんておっしゃる審査員の方もいらっしゃいます。
楽勝ですね!余裕です!
日付を更新しましょう。
作業時間3分!
でもちょっと待ってください。
新しいサービス、始めていませんか。本当に去年と個人情報の取扱いは変わっていませんか。
Pマークの現地審査で一番指摘になりやすいのがこの「個人情報の特定」です。
審査員には「実態と合ってないよね、本当に見直ししているの?書き直し!」なんて言われちゃいます。新しい事業所ができたときはその事業所用の取扱い個人情報一覧をつくらなくてはいけません。気が付けば見直しで1時間書類と向き合っていた…なんて経験もあります。
そもそもどこまで特定していいのかするべきなのかが審査員次第なので難しいところです。

 

②自社がかかわる個人情報に関しての法律を特定してPMS(Pマークの運用)に導入する。
個人情報保護にかかわる法令や規範の改廃をしっかりチェックして「関係法令一覧」を更新しましょう。
実はここも審査員によっては日付の更新でOKって言われています。
楽勝ですね。だってネットで調べれば改廃状況なんて一目瞭然!
JUAS(一般社団法人 日本情報システム・ユーザー協会)の会員になれば改廃状況の最新版もポータルサイトでチェックできます。
さっそく日付を更新しましょう!
作業時間10分!
でもちょっとまってください。
「特定個人情報の適正な取扱いに関するガイドライン」
「行政手続における特定の個人を識別するための番号の利用等に関する法律」
この二つが追加になっていました。何からはじめたら良いでしょう。
見直し自体は簡単ですが、変更があったときが大変です。
必要に応じて規程類の見直し、様式の見直し、HP掲載事項の修正…段取りを組んで進めていきます。Pマーク担当者としては法令の改廃が行われないことを祈るばかりですね。

 

③ ①で洗い出した個人情報のリスク分析をする
でました。リスク分析。個人的にはリスク分析が一番ネックです。必要なのは特定した個人情報のライフサイクルに合わせてリスク分析を行うことです。取得のときはこんなリスクがあるよね、じゃあどういう対策ができているのか。果たしてその対策でリスクは無くなるのか。
弊社コンサルタントのTさんは夜中1時に起きてリスク分析を行うのが趣味だとか…。
(私は正直やらなくて良いならやりたくないです。)
ただ、一度新規構築で「リスク分析表」を作成してしまえばだいたいの運用は変わりません。最初の基盤さえつくればなんとかなります。
余裕ですね!だって個人情報の取扱いがかわらないからリスクも変わりません。
日付を更新しましょう。

でも最近のPマークの現地審査の傾向ではさらにこんなことを指摘されます。
  ・個人情報一覧と対応するように紐づけを行いましょう。
  ・関連規程の最小項番まで書いて対応する規定を明確にしましょう。

前回の審査では言われなかったよね?なんて通じません。前回のOKも今回はNOです。社会の動きに合わせて変化していきます。

作業内容は個人情報台帳の番号を追加し、リスク分析一つひとつに番号を振り、その対策に該当する規程を書いていきます。
例:
①手渡しで受け取る際は必ず授受記録をとる。 ①安全管理規程◯章◯条(◯)
②一時保管場所を定める。          ②安全管理規程□章□条(□)
実際に私もあるリスク分析の修正で安全管理規程とにらめっこして4時間かかりました。やることは簡単ですが時間がかかってしまいます。

 

①~③を例にしてご紹介しましたが、作業はこれだけではありません。
ひとつご理解いただきたいのは「私たちISO総研社員は作業に慣れている」という点です。
本業を進めながら不慣れなPマークの運用を行うことはとても大変です。Pマークの運用そのものには利益でませんので本業のパフォーマンスが落ちるだけです。

「ああこの作業面倒だな…なんで私がやらなくちゃいけないの。」

と思ったら是非弊社サービスをご活用ください。
面倒な作業引き受けます。
弊社コンサルタントが作業をしますので、チェックをしてください。
手を動かすのは私たちだけで十分です。

Pマーク(プライバシーマーク)取得時に気をつけたい7つのムダ

お世話になっております。ISO総合研究所コンサルタントの伊藤です。

いつもご愛読いただきありがとうございます。

 

今回はPマーク(プライバシーマーク)取得時に陥りがちなムダについてご紹介していきます。一概にムダと言いましてもたくさん陥りがちな落とし穴がありますので、今回はその中でも2つに絞って書いていこうと思います。

今回のブログをお読みいただき、少しでもご担当者様がまだ気づいていないムダに気づくきっかけになれれば幸いでございます。

 

それでは早速参りましょう。

 

 

まず1つ目は”社長と違う方向性で進めるムダ”についてです。

プライバシーマークのご担当者様は恐らく社長から任命、もしくは社長から任命された方から引き継がれた方がほとんどだと思います。

社長からその会社を代表してプライバシーマークを取得するよう命じられた以上、いい加減な仕事はできないと思うのは当然ですよね。むしろ責任感を持って担当を務めるのは当然なことであると思います。

しかし、社長と担当者様がプライバシーマークを取得したいと思われた理由をしっかりと共有できていなければ、大変な想いをされることになるかもしれません。

 

大多数の企業様は「顧客要求だから」、「対外的なイメージで」、「社内で取扱う個人情報の安全管理をしっかりしたいから取得した」という理由で

プライバシーマーク取得されるのではないでしょうか。事実、弊社のお客様に取得理由を聞いてみてもこのような回答を頂くことが非常に多いです。

プライバシーマーク取得理由が、今後の方針に大きく関わってきます。

例えば「社内で取扱う個人情報の安全管理をしっかりしたいから取得した」のであればプライバシーマークを取得することにより、

当然ながら社員の個人情報への安全管理意識を高めなければなりません。そのためには、従業員への教育をしっかりやっていく必要があるでしょうし、

 

安全対策で言えば、例えば新しく鍵付きキャビネットを購入する必要性が出てくるかもしれません。

一方、「顧客要求や対外的なイメージで取得した」のであれば、極論を言うと社内の個人情報への安全管理意識を高める必要性はありませんよね。

それはなぜか。答えは簡単ですよね。社長がそこまで求めていないからです。社長の意図を考えるとプライバシーマークを取得して会社のホームページや

名刺にプライバシーマークが掲載されていれば私は十分ではないかと思います。もちろん社長がプライバシーマークを取得する過程上で

「社内の個人情報への安全管理が高まれば良いなあ。」と思っていることはあるかもしれません。ですが、とりあえず早く取得できるなら早く取得したいと考える社長が多いのも事実です。

 

 

それにも関わらず、

プライバシーマーク取得=社内安全管理を高めなければいけない

と勘違いされて、社内安全管理を高めることに頭を悩ます担当者様が大勢いるのも事実です。

この認識のズレはプライバシーマーク取得にあたり、担当者様が必要以上に貴重な時間を割き、ムダな労力を削ることになってしまいます。

今一度、社長とご担当者様のPマーク(プライバシーマーク)取得の経緯について共有する時間を作られてはいかがでしょうか。

 

 

2つ目の陥りやすい落とし穴は、書類精度を上げるムダです。

これは前項とも似ていますが、担当者様が非常に陥りやすいムダです。

まず断っておきます。

 

プライバシーマークの書類精度を上げることは決してムダなことではありませんし、本来精度としては上げるべきものです。

あれ?こいつ言ってることが矛盾してるなあ。

 

と思われた方がいらっしゃるかもしれませんが、私が皆様にお伝えしたいムダはそういうムダではございません。

より理解して頂くために、ここで皆様に考えて頂きたい質問が3つございます。

 

その1 書類精度が上がるとあなたの会社にとってどういう成果が得られますか?

その2 プライバシーマークを取得する際に審査結果が点数化されることはありますか?

その3 そもそもあなたが修正した箇所は要求事項で求められていることですか?

 

 

私の答えを述べさせていただきます。

その1 書類精度が上がるとあなたの会社にとってどういう成果が得られますか?

→特に成果は得られません。むしろ、ムダな時間と労力が奪われてしまい、会社にとってもマイナスです。

 

その2 プライバシーマークを取得する際に審査結果が点数化されることはありますか?

→ありません。どんな形で取得してもプライバシーマークはプライバシーマークです。

 

その3 そもそもあなたが修正した箇所は要求事項で求められていることですか?

→改行や体裁などはプライバシーマークの要求事項にはありません。

 

これはコンサルタントとしての私の個人的意見ですが

次のように思われた方もいらっしゃるのではないでしょうか。

 

「書類精度高めておかないと審査でつつかれた時にどう答えて良いかわからないし、審査に落ちてしまうかもしれない。」

 

これは審査に対する不安感ですね。最初は誰もが不安になることです。

しかしこれこそが私がお伝えしたかったムダなのです。

 

まず大前提として、

審査で落ちることは絶対にありません。

書類に関して審査員につつかれて、上手く答えられなかったとしても指摘になるだけです。この指摘も審査が終わってから一定期間内に改善すればプライバシーマークを何の別け隔てもなく取得することができます。

 

 

そもそもプライバシーマークを実際に運用していないなら書類精度を高めることは諦めましょう。そんな小手先だけでうまく取り繕おうとしても審査では必ず指摘されます。なぜなら審査員もプロだからです。素直に指摘されて素直に改善するのが得策です。

 

 

 

いかがでしたでしょうか?

今回このようなムダに気づかれたことで、少しでも担当者様の精神的なご負担が軽くなりそうなのであれば私としては幸いでございます。

 

作業的な負担を限りなく0(ゼロ)にして、楽にPマーク(プライバシーマーク)を取得したいと希望される方は一度弊社までご連絡ください。コンサルタントが御社に伺いまして必ずムダを見つけます。

 

最後までお読みいただきありがとうございました。