Pマーク(プライバシーマーク)での監査のポイント

-shared-img-thumb-N811_notepcwosawarubiz_TP_V

ISO総合研究所のPマーク(プライバシーマーク)のコンサルタントの大山です。

寒い時期が続いておりますが、皆様におかれましては、いかがお過ごしでしょうか?
マイナンバーが施行されて、会社として「どうしたらいいの?」いう声が聞こえてきそうな時期でもありますね。
こんな前振りですが、今回のブログのテーマは

 

Pマーク(プライバシーマーク)の内部監査での見るべきポイント

 

つまりチェックポイントです。

そもそも内部監査って何というところです。Pマーク(プライバシーマーク)の規格ではPDCAを回すことになっています。
内部監査はPDCAのCつまりチェックに当たります。このチェックを内部の者(社内の人)から指名して監査をしましょうということです。監査人に選ばれた人はしっかりと監査してください。イメージは半沢直樹で片岡愛之助さん演じる金融庁の黒崎検査官のように「あなた○○はどうなっている?」って感じで社内をチェックしてください。
内部監査について何であるかはここまでにしていよいよ本題に入ります。

まずは内部監査のチェックリストを作ります。

チェックリストは2種類あります。1つは自社のルール(規程やマニュアルなどと呼ばれるもの)とPマーク(プライバシーマーク)の要求するルールを見比べるチェックリストです。
これを俗にJISへの適合状況の監査と言っていたりもします。2つ目は運用監査のチェックリストです。
運用監査とは自社のルール(規程やマニュアルなどと呼ばれるもの)と実際に行われていることが合っているかということです。
新規認証で取得される以外つまり更新時は基本的に1つ目のJISへの適合状況の監査で問題が見つかることは少ないと思います。
毎回の監査で気をつけたいのは運用監査です。
リスク分析での対策が運用監査でチェックをしたらいいのです。

 

さぁここからは見逃しがちで、よく不適合になっている箇所である見るべきポイントを書いていきます。

 

①PCの設定の全般
PCのPマークで見ておくべきは順に説明していきます。
windowsをご使用されている方でwindows updateは自動更新の設定になっていますか。設定を確認して見て下さい。特に設定を今まで変更されたことがなければ標準では自動更新になっていますが、ごくたまに手動になっていたりするので、監査でのタイミングで確認することが大事です。

②ウィルス対策ソフト
これはご使用されているものが常に最新のバーションになっているか、また最新のものが手に入るようなに自動更新になっているかを見ます。ウィルス対策ソフトに関しては、別の視点があります。これはよく見ないとわからないのですが、
社内で指定されたウィルス対策ソフト(有料・無料問わず)を使用しているお客様に見られるのですが、知らないうちに2つ目のウィルス対策ソフトをインストールしているということです。これは一見セキュリティを高めてそうですが全く違います。むしろウィルス対策ソフト同士お互いがウィルスと感知しPCのパフォーマンスを低下させ、正常にウィルス対策ソフトが動かなくなることがあります。そのためメインとなるウィルス対策ソフトを除いてアンインストール(プログラムからの根本的な削除)をおススメします。

③スクリーンセーバーの設定
これはお客様先での事例ですがスクリーンセーバーの設定は終わっていますよと自信満々で言われていて確認しました。すると確かにきちんとスクリーンセーバーが規程の時間に従って起動することが確認できました。もちろん設定時間になると、その方のPCの画面は楽しげな画像がコロコロと変化していきました。残念なのはただただ画面が楽しげになっただけだったからです。マウスを動かしたり、キーボードに触れたりするとなぜかログイン状態です。でもスクリーンセーバーを設定していると思うかもしれませんが、スクリーンセーバーを設定することの意味は離席時等に一定時間PCから離れる時は自動的にログオフなるといいねということでした。そのため必ずスクリーンセーバーはパスワード付であることを確認したうえで設定しておく必要があります。

④無線LANに関して
審査でもよく指摘をされる傾向にありますが社内でのインターネットへの接続際に無線LANを使用する場合は無線LANの暗号化に関して気にしておくべきです。実際に使用されている会社ではどのような種類の暗号化をしているかを知り、必要であれば強化していくことも考えることができる。

⑤アクセスログに関して
実際にアクセスログを定期的に取得することはPマーク(プライバシーマーク)規格の要求であります。実際問題はちゃんと取れているかどうかは専門的な知識がないと、わからなかったり自分で見ようと思っても設備投資が必要などで見れないお客様も多いです。もし見れても委託先が見れるということになるかもしれないです。そのため本当に見れるのかを確認が必要となります。

 

総じてPCに関してよく見られるのをおススメします。
中でも特に注意して見てもらいたいのは新しく入ったPCや危機やシステムなどです。

こういったものは設定漏れがありがちなので注意するだけ簡単にどれかは見つかります。

以上が内部監査の見るべきポイントでした。参考にして金融庁の黒崎検査官のようなカッコイイ監査員としてご活躍ください。

Pマーク(プライバシーマーク)取得時に陥りやすい2つの勘違い

-shared-img-thumb-CL201_syoruiteisyutu320140830185428_TP_V
お世話になっております。ISO総合研究所の伊藤です。
いつもご愛読いただきありがとうございます。
今回はPマーク(プライバシーマーク)取得時に陥りやすい2つの勘違い

について書かせていただきます。
Pマーク(プライバシーマーク)を取得する理由は企業様によってさまざまであるかと思います。取引条件にあるからというのが一番多い理由でしょうか。どんな企業様にも当てはまりそうな勘違いを書かせていただきますので、最後までお付き合いいただければ幸いでございます。

 

 

まず、最初に陥りやすい勘違いは、ズバリ、Pマーク(プライバシーマーク)を取得することで社内の安全管理が徹底されるのではないかいう勘違いです。Pマーク(プライバシーマーク)を取得するためにはJISQ15001という規格に企業として適合する必要があります。そこで求められていることが、定期的な従業員の教育や、内部監査の実施、代表者による見直し等があります。
ここで皆様にお伺いしたいのが、1年に1回の従業員教育で本当に従業員の方の安全管理意識は高まると言えますか?また、高まるとしてそれで本当に個人情報の事故が起きにくくなると思いますか?
また、1年に1回の内部監査で本当に会社の安全管理が高まりますか?
もちろん、未然に事故を防ぐという意味では1年の内部監査で不適合を出すことにより防げるところはあると思います。しかし、それで社内の安全管理が高まったと言えるでしょうか?

 

私の答えはノーです。

 

仮に教育で従業員の方の安全管理に対する意識を高めたいのであれば、年1回の教育では不十分でしょう。
思い出してみてください。
学生時代、期末試験のために1週間前から勉強を始めますよね。前日は徹夜でテストに出そうなところを丸暗記。テスト本番は勉強の甲斐あってそこそこ埋めることができて、そこそこの点数も取れた。
さて、同じテストを1年後にやることになったとします。もう皆さんは1度勉強して今回のテストでも良い点数を取ったので勉強はしなくてよいですね。となったときに、
今回覚えたことを思い出しながら1年後の全く同じテストで同じ点数を取ることができますか?
恐らくほとんどの方ができないと思います。

 

なぜなら、人間は記憶したことをきれいさっぱり忘れてしまう動物だからです。だから、復習を言うプロセスが大事で、何度も同じことを繰り返し勉強するしかないのです。
つまり、年1回の教育では不十分ということです。ましてや、同じように教育しても従業員の意識は現状維持であり、安全管理も高まりません。
結論をいうと、安全管理を高めるには設備投資をして高めるのが一番効果的です。
例えば、鍵付きのキャビネットを購入して個人情報を施錠保管する、ICカードによる入退管理システムの導入などが考えられます。
これらの設備投資に関してはPマーク(プライバシーマーク)では求められていません。Pマーク(プライバシーマーク)で求められていることは、先ほども出てきましたが、定期的な従業員の教育や、内部監査の実施、代表者による見直し等です。設備投資をして安全管理を高めてくださいなどといったことはJISQ15001のどこにも書かれていません。ですので、こういったことをせずともPマーク(プライバシーマーク)は認証取得できます。もちろんこういった安全管理に対して設備投資をすれば審査の時に審査員の方にお褒めの言葉をいただけると思います。しかし、Pマーク(プライバシーマーク)に優劣はないので、安全管理は高い企業が持っているPマーク(プライバシーマーク)と特に設備投資もせず、安全管理が一般的な企業が持っているPマーク(プライバシーマーク)は全く同じものです。

2つ目に陥りやすい勘違いは、書類精度を高めるということです。
審査に向けて書類の精度を高めることは誰しもが陥る勘違いです。
審査書類の精度を高めることでどういうメリットがありますか?
ここでいうメリットとは、Pマーク(プライバシーマーク)は企業が取得するものですので、あなたの会社にとってのメリットです。

 

答えを先に言ってしまうと、メリットはありません。
書類精度が低いと審査で上手く受け答えできなくて審査に落ちてしまうのでは?と考えられる担当者様もいらっしゃいます。
審査で上手く受け答えできなくても審査に落ちることは絶対にありません。
また、先ほども言いましたが、Pマーク(プライバシーマーク)に優劣もありませんし、書類精度が高い企業が持っているPマーク(プライバシーマーク)と書類精度が低い企業が持っているPマーク(プライバシーマーク)は全く同じものです。
ということは、審査書類の精度を高めることで会社のメリットはありません。
むしろ、書類精度を高めるということは会社としてはマイナス要素になります。なぜなら、従業員の労力や時間という有限資源を、会社として全くメリットのないPマーク(プライバシーマーク)の審査書類の精度を高めるために使うわけです。

いかがでしたでしょうか。勘違いに気づかれた方は是非このような勘違いから脱却してください。
Pマーク(プライバシーマーク)のことでお困りの事、相談がありましたらお気軽にISO総合研究所にご連絡ください。

最後までお読みいただきありがとうございました。

Pマーク(プライバシーマーク)を取得する際に気をつけたい。実際にあったこんなムダ


みなさんはPマーク(プライバシーマーク)を取得しようとして、

実際に行動を始めたのはいつだったでしょうか?

 

Pマーク(プライバシーマーク)取得するためにどんな準備をしましたか?今回はPマーク(プライバシーマーク)を取得する際によく聞く、または実際にお客様がムダだったと語った事例等をご紹介いたします。

 

今回は大きく分けて下記の4点からPマーク(プライバシーマーク)を取得する際のムダについてお話致します。

 

1.社内体制、設備を整えてから取得するムダ

2.社員数が増えてから取得しようとするムダ

3.コンサルを使わないムダ

4.Pマーク(プライバシーマーク)を取得するムダ

 

1.社内体制、設備を整えてから取得するムダとは

よく新規取得をする際にご訪問したお客様で聞く話が、「自社で規定を作成していました。」「入退室の記録を取るためにカードキーを導入しました。」「機械警備を導入しました。」「事務局をつくって運用を実施していこうと思っています。」などなどです。

 

 

ここで大きなムダとなるのが、Pマーク(プライバシーマーク)を取得していないのに、必要以上のことを準備しようとしている点です。自社で取得を目指す場合、どこまでやったら取得できるのか、基準を満たすためにはどこまでやったらよいかの判断は難しく、明確ではありません。ネットや他の企業から聞いた話をもとに、あれもこれも手を出している企業を多く見ます。

 

 

果たして全部やらないとPマーク(プライバシーマーク)は取得できないのでしょうか?もちろんそんなことはありません。自社で「個人情報をどのように管理しているか」が証明できれば機械警備を入れたり、わざわざカードキーに変更したりする必要はありません。Pマーク(プライバシーマーク)は取得してからずっと運用が続いていきます。その中で必要なことを実施し、現地審査で指摘事項、宿題をもらって自社を改善していく方が、必要最低限のことを実施するだけで済むのです。

 

2.社員数が増えてから取得しようとするムダとは

 「まだ当社は少人数なので、もう少し人数が増えてから取得します。」「社内でルールや基本的な個人情報の意識ができてから取得します。」といった声もよくお聞きします。

 

 

まず、Pマーク(プライバシーマーク)は人数が少ないうちに取得することをお勧め致します。Pマーク(プライバシーマーク)新規取得時の費用は1~5名の企業で308,573円、6~100名の企業で617,144円と、

 

小規模、中規模で2倍の審査費用の違いがあります。同じマークであれば、人数が少ないうちに少額の費用で取得してしまう方が良いと思いませんか?

 

また、社内でルールの徹底や個人情報の意識を身につけたい場合も、人数が少ない方が周知徹底はしやすいです。小規模のうちにルールを作ってしまえば、あとは入社してくる方々にそのルールを伝え、さらなるスパイラルアップにつなげることが可能です。社員数が少ない企業は今がチャンスなのです。

 

3.コンサルを使わないムダとは

 当社をご利用のお客様で新規に申請をする際によくお聞きするお言葉が「もっと早く御社に頼んでおけばよかった」「もう申請できてしまうのですか!」といった声です。なぜこのようなお言葉あるかというと、お客様のほとんどが自社で取得を考え、代表者や取締役の方が自ら勉強やセミナーに出向き、Pマーク(プライバシーマーク)を取得するために勉強をしているからです。

 

しかし、やはり自社でやるには事例が少なすぎます。インターネットにも自社に似た企業のことはあっても具体的な書類の作成方法まで調べることはなかなか難しいです。さらに皆様はなにより、Pマーク(プライバシーマーク)取得が本業ではありません。

 

自社の業務を実施しながら、その合間に勉強やセミナー、書類作成をし、わからなければつまずく、この繰り返しで結局申請をしようと考えた時には既に3年の月日が流れているのです。

 

 

 自社で実施する場合は、本業以外の時間で一から勉強をしなければいけないこと。どこまでやっていいかの限度が分かりにくいこと。この二つよりPマーク(プライバシーマーク)に多大な時間を使用してしまうのです。一企業の代表者の時間がPマーク(プライバシーマーク)に費やされていること自体ムダなのです。その時間に大きな契約が決まる、営業に多く行ける、他のセミナーに参加して横のつながりをつくる等、どれだけ有効に時間が使えるかです。

 

 

 当社はその点、現在1300社を超えるお客様をお手伝いしているため、豊富な経験と審査に通すノウハウを持ち合わせており、必要最低限のことでPマーク(プライバシーマーク)取得が可能です。当社のミッションはお客様の工数を限りになく0に近づけることです。

御社に従業者が1名増えたような感覚でPマーク(プライバシーマーク)が取得可能です。優先すべきは本業です

 

 

 

4.Pマーク(プライバシーマーク)を取得するムダについて

 最後にそもそもの話になりますが、今一度考えて頂きたいことがあります。それは、「本当にPマーク(プライバシーマーク)はひつようですか?」「何の目的でPマーク(プライバシーマーク)を取得しますか?」ということです。

 一般的な要求には、「社内要求」「法的要求」「顧客要求」があります。Pマーク(プライバシーマーク)を取得するということは、そこに普通なら必要のない「規格要求」が加わります。それだけやらなければいけないことが増えることになります。「社員の個人情報に対する意識を向上させたい」「個人情報の管理をきちんとしたい」「社内体制を整えたい」という声もよくお聞きしますが、「本当にそれはPマーク(プライバシーマーク)がなければできないのでしょうか?」そんなことはないと思います。

 今一度なぜPマーク(プライバシーマーク)を取得する必要があるのか考えてみることも必要かもしれません。

 

当社では、確かな取得実績と、お客様に負担をかけずにPマーク(プライバシーマーク)を取得するよう日々活動をしております。Pマーク(プライバシーマーク)の取得を検討している場合は、本当に必要かといったところから一緒に検討させて頂きます。ぜひ一度ご連絡をお願いします。