Pマーク(プライバシーマーク:JIS Q 15001) 3.4.3.4項「委託先の監督」規格解釈

AKANE278122130_TP_V

こんにちは!

もう6月もおわってしまいますね。

6月といえば私は先日、福生市のホタル祭りに行って蛍を見てきました。

ちびっこたちにかこまれながらホタルを見ました。

人生初ほたるです。すごくきれいでした!!!!!!

都会にもホタルっているんですね!感激!!!!!

 

と思っていたら、あれは養殖だよ、と夢のない一言をもらいました。

世知辛い世の中です。

 

 

話が脱線してしまいましたね。

 

こんにちは。こんばんは。

ISO総合研究所コンサルタントの野村です。

 

今日はPマーク(プライバシーマーク)の規格3.4.3.4の委託先の監督についてお話しいたします。

いっぱい噛み砕いておいたので初心者さんにもわかりやすいかと思います!!!もぐもぐ。

 

まず初めに。

 

「委託先ってなーーーにーーーー????」

ここから始めましょう。

委託先 でググってみました。

委託先とは

業務を委託した相手。作業を委ねた相手。(日本語表現辞典Weblioより引用)

らしいです。

税理士さんや労務士さんがあてはまりますね。

そのほかにも、レンタルサーバ、クラウド、採用支援業者や名刺印刷業者なども委託先に当たります。

なんかとりあえず大体ほかの会社さんにお仕事お願いしてたら、それはだいたい委託先なんだと思ってもらっていいと思います。

 

委託先の意味がわかったところで、委託先の監督のお話しにもどりましょう。

委託先の監督とは、個人情報を渡している委託先に対して評価する、ということです。

 

委託先の監督は、大きく分けて2つです。実は簡単なんです

 

  • 個人情報をちゃんと取り扱っているか

 

  • 契約書は締結しているか

 

です。

 

まずは1の「個人情報をちゃんと取り扱っているか」から学んでいきましょう!

 

「個人情報をちゃんと取り扱っているか」これは主に4つの措置について見られます。

 

  • 物理的安全管理措置
  • 人的安全管理措置
  • 組織的安全管理措置
  • 技術的安全管理措置

 

漢字がいっぱいですね。難しそうですね。読む気が失せますね。

 

これをもう少しわかりやすく解説していきます。

 

  • 物理的安全管理措置

これは物理的に個人情報を守っているかです

具体例は、紙媒体の個人情報ならちゃんと鍵付きのキャビネットや金庫に保管しているか。

そのほかに、従業員の入退室管理なんかもあてはまっちゃいます!

 

  • 人的安全管理措置

これは人ですね。人。

つまりは「個人情報ってこんなに大切なんだよ~、ちゃんと大切に扱ってね~」という教育がなされているか等ですね。

説明がかなり雑ですが、まあ、なんか、そんな感じです。

 

  • 組織的安全管理措置

組織的?!なんかかっこいい!黒の組織を思い出す!!!!なんて思っちゃいますね。

思いませんか?私が最近コナンの映画を見たからかもしれませんね。

 

今年のコナンの映画は素敵でした。

すごい毎年見ているかのように書いてますが、劇場版なんてみたの何年振りかわかりません。

 

ちなみに私は安室さんがタイプです

たれ目の二重、金髪長髪なんて最高以外のなにものでもないです。

 

話がそれました。

 

組織的安全管理措置ですね。

これは委託先がPマーク(プライバシーマーク)を取得しているかや、委託先と契約書を結んでいるか、個人情報を触る管理者をきめているか等です。

なんだか一番ピンとこない感じはしますがそんなとこです。なんとなくご理解いただけると幸いです。

 

  • 技術的安全管理措置

これはなんとなくわかる気がしますね。

技術的。

たとえばアクセスログをとっているか、ウイルス対策は実施されているか、

IDやPASSをつけているか 等です。

 

途中脱線しかけましたがこれが

 

「個人情報をちゃんととりあつかっているか」

の四項目でした!!!!

 

次に

「契約書は締結しているか」

これはJISの規格で8つの項目を記載することが義務付けられています。

 

JISの規格通り書くと難しいです。

 

きっとみなさんも読む気が失せると思います。

 

なので噛み砕いてお伝えしますね。

 

こちらが8つの項目です!!!!!!!!!!!!

a)責任はどっちにある????

b)もらった個人情報を安全に管理します宣言!

c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)

d)業務報告してくれるか(あんま気にしなくていいやつ)

e)この契約を守ります宣言!

f)破っちゃったらどうする?そんなときの対応を記載しているか

g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」

 

ニュアンスで伝わってくださるとうれしいです。

a)はなにかあったとき、責任は委託元か委託先、どちらにあるかですね。

 

b)は委託元に対して委託先がちゃんともらった個人情報は悪用せずに厳重に扱いますというもの

 

c)は再委託をする際の決めごとですね。これは会社様によって違ったりします。

再委託は禁止のところもあれば、再委託をする際には一言くださいってところもあります。

 

d)はうまく説明できませんがちゃんと業務遂行してますっていう報告ですね。

難しくとらえなくて大丈夫です。データの受け渡しをしただけでも業務報告に値します。

 

e)はこの契約書にかかれている内容をちゃんとまもりますよーってことですね。

だいたいどんな同意書や誓約書にもかかれているやつです。

 

f)はこの契約書にかかれている内容を破った時の処罰などに関してです。

 

g)はもし何か漏えいや事故があった際にどうするかです。

裁判沙汰~…とか大きい感じのことではなく「この部署に連絡ください」とかそんな感じです多分。

 

ちなみに、これ、契約書でよく抜けている項目があるんです。

 

それが

 

c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)

g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」

 

ここですね。契約書を作る際には気を付けましょう!!!!

 

先述した

 

1、個人情報をちゃんと取り扱っているか

 

2、契約書を締結しているか

 

この2つがを確認するのが3.4.3.4委託先の監督です。

 

 

これでもうあなたも委託先マスター★

また来月もよろしくお願いします★★★

 

 

 

 

ご観覧いただきありがとうございました!!!!!!!!!!!!

Pマーク(プライバシーマーク:JIS Q 15001) 3.7項「点検」規格解釈

OZPAyatta_TP_V

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの高木です。

 

 

Pマーク(プライバシーマーク)を運用していく中で日々、点検(確認)していくことが必要なものがあります。PDCAを回すことがマネジメントシステムの要件ですが、点検はC(チェック)にあたります。個人情報保護マネジメントシステム(PMS)が各部門、各階層で適切に運用されているか、を点検します。

・いつ点検を実施するか? 毎月第一営業日、等明確にする。

・誰が点検をするのか? 部門毎、階層毎に決めます。部門別の点検は最低限必要となります。

・点検項目 文字通り点検のポイントを定めます。リスク分析で決められた重要なリスク対策を含めることがポイントです。あまり点検項目数が多いと実施が大変になってしまうので、チェック項目をあまり増やしすぎないで重要なものを絞って決めるとよいのではないでしょうか。

 
では、まず幾つか点検項目をご紹介させて頂きます。

■日常点検その①『入退室の記録』

朝一番早く事務所に来られた方もしくは、夜、最後に事務所を出られる方は
出社時間や退社時間などを記入したことはございませんか?
それが『入退室の記録』になります。

これを記録する必要性は、仮に問題が起きた際誰が開錠と施錠を実施しているかを、
記録を基に過去に遡って確認する為です。

そこから原因を追究していく流れになります。

■日常点検その②『来訪者の記録』

こちらは外部の方が来社されたときに記入してもらう記録になります。

こちらも既にご案内した『来訪者の記録』と同じで問題が起きた際、外部から誰が来ていたかを記録に残しておき原因を追究していく形になります。

■日常点検その③『アクセスログの記録』

 

上記2点と同じく最低限必要とされているものにアクセスログの記録というものがあります。入退室の記録来訪者の記録はどちらかというとアナログ的なものでした。

このアクセスログの記録というものは、個人情報を格納した情報システムへのアクセスログを取得し、その取得したものを定期的に確認するというものです。

 

 
①~③のどれも問題が起こってしまった時の為に日常から記録を取得しておくことが求められます。(必ずしも紙でなければならないということではありません。)

その記録を基に原因を追究した上で、問題に対する対策を考えていきましょう。
 

 
そして点検と間違えやすいものに監査というものがあります。

点検とは外的なもの、つまり環境変化などに対し社内の取り組みが適切であるかどうかを確認するものです。

監査は取り決めたルールや運用状況をチェックすることです。Pマーク(プライバシーマーク)でいうと、社内で取り決めた個人情報に関してのルールが規格の要求を満たしているのかを第三者目線でチェックすることです。

 

点検と監査には実施者、実施頻度、実施の目的に大きな違いがあります。
点検は担当者などの自分たちのチェックをする、つまりセルフチェックであるのに対し、監査は該当する部門外の人が実施します。第三者目線でのチェックがなされるということです。

第三者がチェックするということの意味ですが、学校においてテストの採点は先生がするように、自己採点ではどうしても評価が甘くなってしまうことがあるからです。

監査は普段自分が所属している部門などの監査に対して、チェックが甘くなり公平性が保たれなくなるのを防ぐための措置となっています。
頻度については点検が日次や週次、月次など日常点検が一般的ですが、監査については主に年次単位で実施の計画を立てて行います。
一番の違いである実施の目的ですが、点検は予防を含む問題点の早期に見つけるための実施項目に対して、監査は社内のルールや実施状況、社内の体制を見直すために実施します。

 
以上、今回ご紹介した項目は全てではありませんが、
御社で実施されているか確認してみて下さい!!

Pマーク(プライバシーマーク)における必要な役割と権限と責任

JY742_shinbashi_TP_V

 

 

いつも弊社ブログをご愛読いただき、誠にありがとうございます。

ISO総合研究所コンサルタントの本間仁志(ほんまひとし)と申します。

今回は、「Pマーク(プライバシーマーク)における必要な役割と権限と責任」についてお話させていただきます。

まず最近の審査員からの指摘事項で多くなっているマイナンバーに関しての役割設定があります。「行政手続における特定の個人を識別するための番号の利用等に関する法律」(番号法)が成立し(平成25年5月31日公布)、社会保障・税番号制度が導入され、平成27年10月から国民一人ひとりに個人番号が通知されたことは皆様記憶に新しく取扱いに悩まれているのではないでしょうか?今年の源泉徴収票には必要になり今必死に従業員のマイナンバーを集めているなんてお話も聞きます。要求事項3.3.4では個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めています。

そしてマイナンバーに関してのガイドライン(特定個人情報ガイドライン)では特定個人情報等を取り扱う事務に従事する従業者(以下、「事務取扱担当者」という。)の明確化を求めています。よって、プライバシーマーク(Pマーク)付与を受けようとする事業者は、事務取扱担当者の役割、責任及び権限を明確に定め、文書化する必要があると定めています。

簡単にいうと「個人情報保護マニュアルと体制図に特定個人情報の取扱い責任者と事務取扱責任者を代表者が任命し役割を明確すること」ということになります。こちらは後程出てきますが個人情報保護管理者と兼務で行うことが出来ますが実際取扱う総務の方などを任命することが望ましいと考えられます。また特定の人しか扱えないよう取扱う範囲や権限を設け不備のないように運用していくことが大切になります。

次はプライバシーマーク(Pマーク)を取得するに当たって、必ず任命しなくてはならない役割、「個人情報保護管理者」のお話です
JIS Q 15001:2006の規格では以下の通り定義されています。
「代表者によって事業者の内部の者から指名された者であって,個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者」
1. 事業者の代表者から指名されること。
2. またその組織の内部の者であることが必須。(外部のコンサルタントとか専門家等は不可)。
3. 個人情報保護マネジメントシステムにおいて適法かつ適正に「実施および運用」することが求められている。
さらには、以下のような責任権限を持つことが求まれている。
「個人情報保護管理者」は,個人情報の取扱いに関する安全管理面だけではなく,組織全体のマネジメントを含む全体の管理者である。
「個人情報保護管理者」は,個人情報保護マネジメントシステム(PMS)を理解し,実施・運用できる能力をもった者でなければならない。
「個人情報保護管理者」は,当該事業者に係る個人情報の管理の責任者である性格上,いたずらに指名する者を増やし,責任が不明確になることは避けなければならない。したがって,事業部が複数あり個人情報保護管理者を複数名指名する場合には,当該者間での役割分担を明確にすることが求められる。
「個人情報保護管理者」は,社外に責任をもつことができる者(例えば,役員クラス)を指名することが望ましい。
「個人情報保護管理者」は,代表者による個人情報保護マネジメントシステム(PMS)の見直しに資するため,定期的に,又は適宜に,代表者にその実施状況を報告しなければならない。
また「監査」と「見直し」がその役割に含まれてはならないとされている。

大まかな役割としては
①会社の個人情報の保護と利用に関する統括・管理
②個人情報の安全管理に関する規定
③個人情報保護管理者からの報告徴収と助言・指導
④個人情報の安全管理に関する教育・研修の企画
⑤その他会社全体における個人情報の安全管理に関すること

が考えられます。
つまり個人情報保護管理者は、個人情報保護マネジメントシステム(PMS)をJIS Q 15001の規格に従って確立し、実行し、維持すること。またそれらを確実にすることでプライバシーマーク(Pマーク)を取得するための体制を推進する必要が有ります。
ただ、現状として中小企業の中には作業ベースの事務担当がなっているケースも多々見られます。
実務の負担を考えると管理職を当ててしまうことはリスクもあるのでしょう。

個人情報保護マネジメントシステム(PMS)を運営していく上で、
各役割に対する責任や権限を予め規程化しておく必要があります。
JIS Q 15001の要求事項においても、これらは文書化し従業者に周知させることを求めています。

最低限としては、個人情報保護管理者と個人情報保護監査責任者となりますが、
ここでは後者の個人情報保護監査責任者の役割についてご紹介します。

まずはじめは監査責任者にはどんな人が適任か資格としては以下のように定められています。
①社内の人間であること
※実施は社外のコンサルタントでも構いませんが、あくまで責任者は社内の人間の方であることが必須です。
②役員クラス、もしくは個人情報保護管理者と同格以上であること
③個人情報保護管理者ではないこと
※兼務ができません
④商法上の監査役ではないこと

上記①~④を踏まえて、プライバシーマーク(Pマーク)における監査責任者にふさわしい方を社内から選任してください。
役割としては毎年、全部署監査を実施し指摘事項を改善していくことが大きな任務となります。

プライバシーマーク(Pマーク)を運用していく中で、とても大切な部分です。
継続的改善こそが、個人情報保護体制をスパイラルアップさせていくカギを握っています。

この他にも、こんな時はどうしたらいいの?こんな場合は?ございましたら、ISO総合研究所までお気軽にご相談いただければ幸いです。

Pマーク(プライバシーマーク)で要求される法令について

 

N934_akusyuwomotomerubijinesuman_TP_V

 

 

いつもご愛読いただき、誠にありがとうございます。

ISO総合研究所コンサルタントの保住です。

 

今回は、Pマーク(プライバシーマーク)の新規取得や、取得後の運用の際に必ず必要となる「法令・国が定める指針その他の規範」について詳しくお話しさせて頂きます。

 

Pマーク(プライバシーマーク)の要求事項は下記のように記されています。

 

「事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない」

 

この要求事項の概要としては

 

事業者は、個人情報保護方針で「法令、国が定める指針その他の規範を遵守する」と宣言したように、個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守しなければなしません。したがって、事業者の自らの業務に関連のある範囲で、個人情報の取扱いに関する法令、国が定める指針その他の規範の制定・改廃状況に注意し、常に最新版を維持・参照する手順を定め、それを実施している必要があります。

 

つまり、「自社が関連する法規制を明確にし、従業者が参照できるようにしなさい」ということです。

 

そのためにはまず、「自社にどのような法規制が関連しているのか?」ということを明確にしなくてはなりません。

 

ここで、明確にする対象が「法律」だけでよいと思った方、残念ながらそれでは審査で指摘を受けてしまします。

 

要求事項は「法令、国が定める指針その他の規範」となっています。

つまり「法令」だけではないのです。「国が定める指針」や「その他の規範」も特定の対象なのです。

 

つまり、「法令」「管轄省庁のガイドライン」「加盟団体の指針やガイドライン」「地方自治体の条例」4つの特定が必要になるのです。

 

この4つの中から、自社が関連するものを特定しなければならいのです。

世の中には想像以上に法律、ガイドライン等がありますから、しんどいですよね。

 

ここで審査の着眼点として下記の法令は必ず必須とされています

 

・「個人情報の保護に関する法律」(平成15年5月)

・「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」

・「雇用管理分野における個人情報保護に関するガイドライン」

・「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項」

 

特定漏れがあった方は

今すぐ、法令一覧に特定しましょう!

 

次は事業ごとに当てはまる法令やガイドラインの特定ですね。

 

業界や事業により、適用される法令や、ガイドラインは様々です。

 

例えば、派遣事業でしたら、「派遣元事業主が講ずべき措置に関する指針」があげられます。

メルマガ等の配信事業でしたら「特定電子メールの送信の適正化等に関する法律」が、ネット販売、通信販売の事業では「特定商取引に関する法律」が当てはまります。

 

 

また、事業所が置かれている都道府県、市町村によって当てはまる法令は異なってきます。

例えば、東京都新宿と大阪府大阪市に事業所を置かれている会社ですと

東京都の条例にある「東京都個人情報の保護に関する条例」と大阪府の「大阪府個人情報保護条例」と大阪市の「大阪市個人情報保護条例」の三つを洗い出して管理しなければなりません。

 

ですので、自分の会社の事業や事業所が置かれている都道府県、市町村に合わせて、必要な法令等をピックアップしておきましょう!

 

 

さて、特定が終わればその結果を台帳等にまとめ、従業者が閲覧できるようにするだけです。

 

 

しかし

Pマーク(プライバシーマーク)では一度法令を特定すれば終わり!ではないのです。

 

もう一度要求事項の確認してみましょう。

 

「事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない」

 

最後の文言に注目です。

そう、維持しなければいけません。

 

つまり、法令を見直して改正されていたら、最新版に更新しなければいけないのです。

ではどのようにして法令を見直していけばよいか?

 

基本的には、特定された法令に関して一ずつ見直していく必要があります。

 

Pマーク(プライバシーマーク)認証機関のJIPDEC(ジプデック)がガイドラインや指針に関してHPにて公表していることもありますが、事業者が置かれている都道府県、市町村の条例に関しては各ホームページで確認するのが必要になってきます。

先ほども話した通り、事業者ごとに参照すべき法令も異なってくるため、必要に応じて業界の関連法令を確認できるようにしておく必要があります。

 

 

基本的には年に一回、見直し月を定め、法令やガイドラインが改正されていないかどうかを確認します。

 

改正されていたら直近の改正日を記録として残しておくのが良いでしょう。

 

弊社では

・特定した法令の名称

・法令の発行元・参照場所となるURL

・直近の改正日

 

上記三つの項目で法令を記録・管理しております。

 

そうすることで、見たい法令のサイトにすぐにアクセスができ、改正日もすぐに確認できます。

 

 

また、よく「法令を遵守している= Pマーク(プライバシーマーク)を取得できる」と認識されている方がいますが、それは大きな間違いです。

 

確かにPマーク(プライバシーマーク)の要求事項であるJISQ(ジスキュー)15001:2006は個人情報保護法の影響を受けている面もありますし、Pマーク(プライバシーマーク)取得に必要な法令に含まれていますが、個人情報保護法とPマーク(プライバシーマーク)異なるものです。

 

気を付けましょう!

 

 

最後に法令の見直しはとても大変ですが、Pマーク(プライバシーマーク)を運用していくためだけでなく、会社運営においても重要な事項です。

 

できるだけ定期的な見直しをしていくことおすすめします。

 

 

以上、「法令・国が定める指針その他の規範」についての解説でした!

今回はPマーク(プライバシーマーク)の規格について

-shared-img-thumb-N811_notepcwosawarubiz_TP_V

いつもお読み頂きましてありがとうございます。

ISO総合研究所の前田です。

今回はPマーク(プライバシーマーク)の規格について、

ご説明していきたいと思います。

 

>3 要求事項

>3.1 一般要求事項

>事業者は,個人情報保護マネジメントシステムを確立し,実施し,維持し,かつ,改善しな>ければならない。その要求事項は,箇条3 で規定する

JIS規格には1項からありますが、今回は箇条3の要求事項からご説明します。

要求事項とあるように要求されていることとなります。この要求事項を全て満たすことで

個人情報保護マネジメントシステムを構築し、運用した上で、Pマークを取得することができるということになります。

 

>3.2 個人情報保護方針

>事業者の代表者は,個人情報保護の理念を明確にした上で,次の事項を含む個人情報保護方>針を定めるとともに,これを実行し,かつ,維持しなければならない。

>a) 事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること(特定

>された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下,“目的外利用”という。)

>を行わないこと及びそのための措置を講じることを含む。)。

>b) 個人情報の取扱いに関する法令,国が定める指針その他の規範を遵守すること。

>c) 個人情報の漏えい,滅失又はき損の防止及び是正に関すること。

>d) 苦情及び相談への対応に関すること。

>e) 個人情報保護マネジメントシステムの継続的改善に関すること。

>f) 代表者の氏名

>事業者の代表者は,この方針を文書(電子的方式,磁気的方式など人の知覚によっては認識

>できない方式で作られる記録を含む。以下,同じ。)化し,従業者に周知させるとともに,一

>般の人が入手可能な措置を講じなければならない。

個人情報保護マネジメントシステムを運用していくときにまずは事業者の代表者が

方向性を決めることを求めています。

それを個人情報保護方針という形でa~fの内容を盛り込んだ方向性を

打ち出すということになります。

これは簡単に言うと事業者の代表者がうちは個人情報をきちんと取り扱うということを

宣言するということです。

 

>3.3計画

3.3項は要求事項があるわけではないですが、項番は階層構造になっていて、

番号のつき方に意味があります。

一番頭の3の数字は最初に記載した通り、要求事項であるということなので、

頭に3がついている限りは要求されていることととして、やらないといけない

というものです。

今回2つ目についている3という項番は計画であるということを指しています。

したがって、3.3.○というような記載のある項番は、全て計画にあたる事項である

ことを指しています。

そのため運用をする前にしておくべきことがここで要求されていることになります。

 

>3.3.1 個人情報の特定

>事業者は,自らの事業の用に供するすべての個人情報を特定するための手順を確立し,かつ,>維持しなければならない。

ここでは事業で取扱いする範囲の個人情報を特定することを求めています。

これはまず単純にどんな個人情報があるか把握しなければ、

事故が起きないように守ることもできないからです。

個人情報とは個人を特定し得る情報、例えば名前等です。

また、名前だけで特定できない場合にある情報との組み合わせで

特定できる場合はその情報も含みます。例えば、勤務先や電話番号等です。

これからは免許証の番号や指紋情報等も個人を特定し得る情報として、

特定が必要なってくると言われています。

 

Pマーク運用上ではこの要求事項において、台帳を作ることがほとんどだと思います。

良く勘違いされているのは、特定した個人情報すべてを台帳に載せないといけない

と思っていることです。

実際ガイドラインには、特定した個人情報を全て載せることではないと書いていたりします。

どういうことかというと、個人情報を洗い出すことと、管理の範囲に入れることは違う

ということです。

どんな個人情報があるか把握することは大切ですが、その特定した個人情報をどこまで

管理するのか決定して、その決定した個人情報を台帳に載せるということになります。

基本的には取り扱う個人情報を管理しないといけないということになるので、

Pマークの審査場では現状ほぼニアイコールではあります。

 

>3.3.2 法令,国が定める指針その他の規範

>事業者は,個人情報の取扱いに関する法令,国が定める指針その他の規範を特定し参照でき

>る手順を確立し,かつ,維持しなければならない。

次に法令や国が定める指針を特定して、いつでも見られるようにしておかないと

いけないという要求です。

これがこの次の要求に出てくるリスク分析より手前にあるのは、

法令などの国が定めることを守れないということもリスクになりえるからです。

そのためリスク分析より先に国の決まりである法律などを特定して守れるように

しておく必要があります。

Pマークの実務、審査レベルでは、個人情報保護法や各業界に関わるガイドライン、

最近ではマイナンバーに関わる法律などを特定するように言われます。

Pマーク(プライバシーマーク):個人情報保護法の改正と第三者提供

_shared_img_thumb_TSUCH160130540I9A6568_TP_V(1)

 

 

いつもブログをご愛読いただきまして誠にありがとうございます。

ISO総合研究所コンサルタントの遠藤です。

 

関東ではゴールデンウィークは天候に恵まれ、絶好の行楽日和が続きましたね。

弊社コンサルタントも、温泉旅行に行く者、実家に帰省する者、インド旅行に行く者などなど、思い思いの休日を過ごしていたようです。私は、家内が体調を崩したこともあり、比較的おとなしく過ごすことになりました。

 

さて、今回のテーマは、「個人情報保護法の改正と第三者提供」です。

Pマーク(プライバシーマーク)の審査に反映されるのはまだ先のことになりますが、改正法の要点を押さえていただき、スムーズに対応していく一助になればと思います。

 

すでに改正個人情報保護法は成立し、遅くとも2017年(平成29年)からは全面施行されることになります。今回の法改正は、たとえば、従来5000人を超える個人情報を保有する事業者のみが個人情報保護法の規制対象であったものが、改正後は5000人以下でも規制対象となるため、中小企業も含めた全事業者において対応が必要になります。つまり、これまで関係ないと考えていた事業者においても対応が必要になります。

 

とはいっても、細かなルールについては、今回の法改正で新たに設置された「個人情報保護委員会」に委ねられており、内容はこれから明確になっていくところです。今慌てて対応する必要はありませんが、今後の動向には注視が必要となります。

 

今回の法改正、背景には、ビッグデータの活用、大手交通系企業からのデータ提供問題、大手教育出版系企業の個人情報大量流出問題などがあるようです。苦い過去と同じ轍を踏まないようにするとともに、膨大なパーソナルデータの利活用を促進することで、革新的なサービスやビジネスモデル、新たな市場の創出などが期待され、グローバル競争を勝ち抜く鍵になるという、「世界最先端IT国家創造宣言」に寄り添ったものでもあります。

 

 

では、いよいよ今回の改正のポイントを見ていきましょう。

 

(1)個人情報の定義の明確化

(2)適正な規律の下での個人情報等の有用性を確保

(3)個人情報の保護を強化(名簿屋対策)

(4)個人情報保護委員会の新設

(5)個人情報の取り扱いのグローバル化

 

(1)個人情報の定義の明確化

 

何が個人情報にあたるかという「グレーゾーン」の解消を意図したものです。改正法では、個人情報の定義として、「個人識別符号が含まれるもの」も個人情報ということが明確化されました(改正法第2条)。

具体的には、以下ようなものが該当します。

 

・身体の一部の特徴を変換した符号で、特定の個人を識別することができるもの

例)個人の身体的特徴をデジタル化した情報(生体認証に使われる指紋や虹彩、声紋等)

・サービスの利用や商品の購入に関して割り当てられ、または個人に発行されるカード等に記載されるなどした符号で、利用者や購入者などを識別できるもの

例)運転免許証番号やマイナンバー、旅券番号、基礎年金番号など

 

携帯電話番号、クレジットカード番号、メールアドレス、サービス提供のための会員IDな

ど、最終的にどのような情報までが「個人識別符号」に該当するのかは、今後定められるこ

とになっています。

 

 

(2)適正な規律の下での個人情報等の有用性を確保

 

ルールを明確にして、個人情報を有効に活用しようというものです。

つまりは、ビッグデータの利活用です。

 

ビッグデータビジネスをはじめとする様々な分野での情報の活用を促すために、「匿名加工情報」が新設されます。「匿名加工情報」は、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」と定義されています。

 

「個人情報の加工」について、どのように、どこまで加工すれば良いのかという具体的な基準は、これから定められることになっています。

 

そして、大きなポイント!

 

以下の条件を満たせば、「匿名加工情報」は本人の同意がなくても第三者に提供を行うことができることが明確に規定されました。

 

・第三者に提供するときは、匿名加工情報に含まれる個人に関する情報の項目や提供方法をあらかじめ公表する

・提供先に対して、匿名加工情報であることを明示する

 

つまり、ビッグデータの自由な利活用が期待されています。

 

 

(3)個人情報の保護を強化(名簿屋対策)

 

2014年に、いわゆる名簿業者からの個人情報流出が社会問題となりました。

今回の改正法では、その対策としてトレーサビリティの確保を打ち出しています。

 

個人情報を第三者に提供する際には、提供者・受領者双方に義務が課されることになりました。

提供者:個人データを提供した年月日、受領者の氏名などの記録を作成・保存

受領者:提供元の氏名と受領日、個人情報取得の経緯を相手方に確認した記録を作成・保存

 

記録・保存・確認の方法など細かなルールは今後定められることになっています。

 

また、個人情報の意図的な持ち出しへの対策として、「データベース提供罪」も新たに設け

られましたが、どの程度の抑止効果が期待できるかは正直分かりません。

 

 

(4)個人情報保護委員会の新設

 

繰り返し「細かなルールは今後定められる」と記載してきました。「個人情報保護委員会」

がプライバシー保護の監督・監視役となる第三者機関として新設されます。この個人情報保

護委員会で、細かなルールを定めていくことになります。

 

個人情報の取扱い等について、事業者への監督は、これまで各業界を所管する主務大臣が行

ってきましたが、今後は個人情報保護委員会に一元化されます。

 

 

(5)個人情報の取り扱いのグローバル化

 

日本国内だけでなく、国家間の取り扱い規定についても整備されました。

・日本国内の個人情報を取得した外国の個人情報取扱事業者についても個人情報保護法を

原則適用。また、執行に際して外国執行当局への情報提供を可能とする。

・個人情報保護委員会の規則に則った方法、または個人情報保護委員会が認めた国、または本人同意により外国への第三者提供が可能。

事業者ではどんな対応が必要かというと、外国の第三者に情報を提供することについても、

本人からの同意取得が必要になります。ただし、これについても、個人情報保護委員会で

基準が作成されますので、具体的な対応はその状況を見ながらということになります。

 

 

 

いかがでしたでしょうか?

 

まだまだ具体的な基準が不明確ではありますが、法改正の方向性、また、小規模取扱事業

者が今回の法改正により規制の対象になる点をご認識いただければと思います。

 

 

 

 

Pマーク(プライバシーマーク):脆弱性対策ってなんですか

 

_shared_img_thumb_YUKA150701098458_TP_V(1)

 

いつもご愛読いただき、誠にありがとうございます。

ISO総合研究所コンサルタントの小林です。今回はPマーク(プライバシーマーク)取得時や更新時の現地審査で、審査員が必ず確認してくる内容についてお伝えいたします。

 

Pマーク(プライバシーマーク)は主に個人情報を適切に保護するための制度ですが、Webサイトでも個人情報を収集することが多いため、Webサイトにおける実施すべきセキュリ ティ対策についても説明されています。一般財団法人 日本情報経済社会推進協会 プライバシーマーク推進センターから発行されている「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン -第2版-」では、以下の項目についてウェブアプリケーションのセキュリティ対策が、望ましい対策手法として掲載されています。

 

 

「Ⅱ技術的安全管理措置として講じなければならない事例と望ましい手法の例示」より抜粋

(P104)

2:個人情報へのアクセス制御

→ 「(8)個人情報を取り扱う情報システムに導入したアクセス制御機能の有効性を検証していること」 の具体例の一つとして、 「ウェブアプリケーションの脆弱性の有無を検証すること」 が挙げられています。

 

(P107)

6:個人情報の移送・通信時の対策

→ 「(3)盗聴される可能性のあるネットワーク(例えばインターネットや無線LAN等)で個人情報を送信する際に、個人情報の暗号化又はパスワードロック等の秘匿化の措置を講じていること」 の具体例の一つとして、 「ウェブサイトで本人に個人情報を入力させる場合、SSL、SQLインジェクション、クロスサイトスクリプティング対策等の措置を実施している」 ことが挙げられています。

つまりPマークでは、ウェブサイトで個人情報を取得する場合は、Webアプリケーションに脆弱性がないか確認することや、代表的な脆弱性であるSQLインジェクションやクロスサイトスクリプティングへの対策を実施するよう求めているということになります。

 

 

さあ、でてきました、この聞きなれない単語!!!

SQLインジェクションクロスサイトスクリプティング!!!!

では一つ一つどんなことなのかをご説明します。

 

 

 

SQLインジェクションとは??

SQLインジェクションは、一言で言うと不正にSQLを書き換えてしまう攻撃手法です。名前からするとデータベース上のセキュリティ脆弱性のように思ってしまうかも知れませんが、実はそうではなく、Webアプリケーション側の問題のようです。データベースは、安全なSQLであるか不正に書き換えられたSQLであるかを見分けることは出来ず、文法さえ正しければSQLを実行して結果をしまうのです。それはデータベースにとって期待通りの動作であり、文法的に正しいSQLを実行するのは欠陥でも何もなく、むしろ実行出来ないのが欠陥であると言えてしまいます。つまり、Webアプリケーション側でSQLが書き換えられた時点で、時はもう既に遅しとなってしまいます。

まとめると、データベースへの命令の組み立て方に問題があり、データベースを不正に操作されてしまう可能性があるということです。

 

 

 

では、その対策はどうすればよいのでしょうか?難しい言葉が多くでてきて、ご担当者の方もわけがわからなくなると思います。ですが、重要なことは、無理に説明方法を覚えたり、仕組みを理解したりする必要はないということです!

 

 

 

大抵の場合は、ホームページを委託している企業に「当社のホームページについて、SQLインジェクションの対策はどうなっていますか?」と聞いていただければ答えはでるはずです。現地審査の際にはその確認したメールの内容を手元に置き、委託先に確認したところ、このような回答がありましたと、メールの文面を見せれば審査員は納得します。

 

 

 

もう一度言います。SQLインジェクションについて理解をしたり、説明できたりする必要はありません!SQLインジェクションの対策がどのようにされているか確認をしておけばよいのです。

では次にもう一つでてきた聞きなれない言葉についてです。

 

 

 

クロスサイトスクリプティングとは??

ウェブページの部分をユーザからの入力をそのままエコーバック(オウム返し)することによって生成しているアプリケーションのセキュリティ上の不備を利用して、サイト間を横断して悪意のあるスクリプトを注入する攻撃のことをいいます。また経緯上、それを許してしまう脆弱性についても、このように呼ばれています。

典型的には、攻撃者が攻略対象となるウェブサイトとは異なるサイトからスクリプトを送り込み、訪問者に実行させるので、「クロスサイト(サイトを横断した)スクリプティング(スクリプト処理)」と呼ばれます。

ウェブアプリケーションが入力したデータ(フォーム入力など)を適切にエスケープしないままHTML中に出力することにより、入力中に存在するタグ等文字がそのままHTMLとして解釈されます。ここでスクリプトを起動させることにより、以下に挙げるような攻撃が成立します。

 

 

 

はい、また難しい言葉がたくさんでてきましたね。もうお気づきかも知れませんが、無理に説明方法を覚えたり、仕組みを理解したりする必要はないということです!

クロスサイトスクリプティングについても、上記のSQLインジェクションと同じです。

委託先へ連絡していただき、「当社のホームページについて、クロスサイトスクリプティングの対策はどうなっていますか?」と聞いていただくだけで大丈夫です。

 

 

現地審査前は不安になることも多いと思います。確認事項がたくさんあって担当者のみでは確認しきれないこと、見落としていることもあるかもしれません。当社では、上記のお客様にやっていただかないと当社ではできないことを「お願い事項」として、お客様に実施していただいています。何をやるべきか、現地審査の対策、チェックについても当社へご連絡ください。一緒に現地審査の対策を実施してきましょう。

Pマーク(プライバシーマーク)ワイ将Pマークの取得を検討

_shared_img_thumb_tayou85_yaritenoeigyouman20140823100721_TP_V

 

いつもご愛読ありがとおございますう。

ワイはPマークの新規取得において、相当困っとったんや。

その時のワイは、なんでも自分自身でやろうと思っとった。Pマークも例外やない。

その中でも実際Pマーク(プライバシーマーク)を取得した上で、ワイが一番ヤバイと思ったのは、審査や。実際にお偉いさん(?)が来て、いろいろ見て、ダメ出ししてくるんや。

もうえらい数の指摘を出されたものや、、、

これからワイが話す物語は、その時の状況や。現地審査の前日から、Pマーク担当者「ワイ」の1日のスケジュールを見ていくで。

 

※「現地審査」とは、審査員がPマーク取得申請企業に実際に出向いて、実務をチェックする工程です。現地審査を初めて受けられる人にとっては、何が起こるのか分からないので大変不安ですよね。では、実際、どんな風に流れていくのか、1日の流れを紹介したいと思います。

 

【審査前日】○月×日

09:00 明日は審査だ。審査に使う書類を印刷しよう。

10:30 書類の印刷終了。やはり書類の数多いな…。さーて、どこにどの書類があるか当日テンパらないように付箋を貼っていこう。

12:00 付箋だらけになってしまった。書類も多いし、付箋も多いし、テーブルがごちゃごちゃだ。審査でしっかり見る書類と、ほとんど見られない書類が分かれば、書類も付箋も少なく済むのになぁ。とりあえず昼食取って休憩しよ。

13:00 さて、次は「同意書」や「委託先の契約書」とかの書類を総務部のキャビネットから集めよう。

14:00 やっと集まった。意外と大変だったな。でもなんか足りなさそうだな…

14:05 とりあえずテーブルの上がやばい(笑) 綺麗にファイリングしよう。

14:30 完成!さーて、次は全書類のチェックだ!

14:40 やばい。さっそく書類が足りない。印刷ミスもある…

16:30 チェック終了。・・・さて、やるか(不足分の書類回収、書類修正、再印刷など)

17:00 退社時間迫ってる。誰か手伝ってくれ。

18:00 んー終わらない。

19:00 よし、ここまできた。最終チェックだ!

20:00 やっと終わったー。早く帰ろう。明日は審査だ。

 

【審査当日】○月△日

08:30 出社

09:00 審査で使う会議室に、昨日チェックした書類を持ってこよう。

09:30 審査の参加者に点呼をかけよう。弊社の代表取締役、個人情報保護監査責任者がいればいいんだっけ。

09:50 審査員到着。2人来た。審査員のうち、1人がメイン、もう一人がサブということらしい。

10:00 審査開始。最初に秘密保持契約を結んだ。

10:10 トップインタビュー開始。弊社の代表取締役とメインの審査員が会話。

内容は、

①Pマーク取得の目的

②いつ頃からPマーク取得を考え始めたのか

③事業内容の概要

④各事業の売上の比率

10:30 トップインタビュー終了。代表者は退出。

10:35 ここからが私の出番!

10:50 約15分 採用の形態と採用業務のフローについて、メインの審査員に詳しく聞かれた。「不採用時の履歴書は返却か廃棄するのか」そこまで聞かれるんだな。

11:10 約20分 給与管理や社会保険関係などの経理・総務業務のフローに詳しく聞かれた。タイムカードなのか固定給なのか、社労士や税理士をどこのフローから使っているのか 質問攻め。経理に詳しい人じゃないと答えられないな。

12:00 約1時間 弊社サービスの業務フローについて詳しく聞かれた。個人情報をどこから受け取るのか、どういう書類やデータに置き換わりながら業務が流れていくのか、情報をどのプロセスで委託するのか、廃棄はどうしているのか、何年保管するか決まっているのかなど、質問攻め。よくそんなポンポン質問が出てくるなぁ。喋りすぎて喉が渇く。事務の人を呼んでコーヒー追加。

12:05 お昼休憩。審査員とは別の場所で昼食をとる。

13:00 午後の部開始!作成した書類のチェック!

14:20 午前中にヒアリングしたことと、作成した書類の整合性について順を追って、サブの審査員に確認された。午後は基本的にサブの審査員が担当するのか。メインの審査員もサブの審査員をフォローするような形で質問をしてきた。不足分や、修正する箇所を「指摘」として何個も出された。何か月もの時間を要して頑張って作り上げた書類も、こんなにたくさんの指摘が出るんだなぁ。

14:30 小休憩。昼食後は眠くなるなー。コーヒー飲もう。

14:40 審査再開!

15:30 まだまだ書類の整合性について確認される。書類しか見てないなぁ。御役所っぽい。

16:00 2回目の小休憩。審査ってこんなにも長いのか… コーヒー必須だな。

16:10 書類の確認が終わり、今後は社内を実際に見て回るそうだ。

16:20 オフィスにあるパソコンを数台見られて、「スクリーンセーバーが設定されているか」、「パスワードの桁数は、社内のルール通りなっているか」、「Windows Updateは手動更新ではなく自動更新になっているか」など、確認した。

16:40 サーバールームに移動して、システム関係のことをヒアリングされた。バックアップの方法や頻度、各パソコンやサーバーに対するアクセスログをどう管理し、点検しているのかなど。システム責任者が同席していてよかったー。

16:50 社内を一通り見て、再度会議室に戻る。実務のチェックはあまり重視しないのかな?1時間もかからず終わったぞ。

17:20 最後の総括。審査員から「今回の指摘は○○です。」と10~20個言われた。後日、正式指摘文書として、詳しい指摘内容が書かれた書類が届くそうだ。

17:30 審査員が退出。ふー。やっと終わった。それにしても長い1日だった…

 

 

「急に担当になったけれど、こんなに大変な仕事はやりたくない。」

という方はISO総合研究所までお問い合わせください。

 

ISO総合研究所のコンサルタントがお伺いして、無料でご相談に乗らせて頂きます。

一人で悩んでいないで、まずはお気軽にお問い合わせください。

 

Pマーク(プライバシーマーク)の審査の結果不合格ってあるの?

_shared_img_thumb_PAK75_nayamutaiyou20140823091652_TP_V

 

 

お世話になっております。ISO総合研究所の藤川です。

いつもご愛読いただきありがとうございます。

 

今回はPマーク(プライバシーマーク)審査で不合格になる基準についてお伝えできればと思います。

一概にPマーク(プライバシーマーク)審査の基準について書いても伝わりにくい部分があるかと思いますので、

より分かりやすく読んでいただくために、身近なものと比較して見ていきましょう。

 

まずは、審査員はどうやって不合格をつけようと思っているか皆さん分かりますか?

一般的に審査というと審査員の方が、チェックリストに基づき○×を付けて、

×の数が多いと不合格になるというイメージを持っている企業様が多いです。

 

例えばお受験なんか良い例です。

試験の倍率などが算出され、難関大学になればなるほどこの倍率は上がっていきます。

なぜかというと、定員数というのがあらかじめ設定されていて、

その定員数を超える応募があれば倍率が高くなるわけですよね。

場合によっては、合格点というものが設定されていて、応募人数が募集人数を割ったとしても、点数が合格点に満たないため、不合格とされるケースもあります。

これは誰かを落とすために行うものですから、必ず合格者と不合格者というのが必ず出てしまい○と×がはっきりしてます。

 

それではPマーク(プライバシーマーク)の審査について見ていきましょう。

今見た試験のお話とPマーク(プライバシーマーク)審査は違います。

大学受験のように、まず審査に落ちることはありません。

 

え、本当に!?そんなことあるの?

 

と思われた方もいらっしゃると思います。

 

本当です!

 

審査に落ちることはないのでご安心ください!!

 

その理由をご説明いたします。

まず、Pマーク(プライバシーマーク)審査には先ほど見てきた試験のような合格基準がございません。

 

つまり、審査内容が点数化されることがありません。

 

もちろん合格点もありません。

クレジットカード審査のようにその会社の資力や資産、企業風土が審査基準に

なることもありません。

 

どんな会社でもPマーク(プライバシーマーク)を取得することができます。

そして、Pマーク(プライバシーマーク)にはミシュランのように一つ星や二つ星、三ツ星のように優劣がつくこともありません。

現在Pマーク(プライバシーマーク)認定企業がもっているPマーク(プライバシーマーク)はすべて同じものです。

 

ここで注意したいキーワードは“すべて同じもの”というところです。

 

どんなに苦労して審査のために準備をして取ったPマーク(プライバシーマーク)も、専門家にアウトソースして取ったPマーク(プライバシーマーク)も同じということです。

Pマーク(プライバシーマーク)審査を受けるためには運用の記録や規程など、書類作成などをやらなくてはなりません。

 

これが骨折れの作業なのです。

 

Pマーク(プライバシーマーク)の担当に任命される社員は皆自分の業務と兼務されていることがほとんどです。

 

全くPマーク(プライバシーマーク)の専門知識もない方が一からPマーク(プライバシーマーク)を構築しようと思うと丸々1ヶ月はかかると言われています。

その時間を自分の仕事と兼務しながらこなすわけですからとんでもなく労力と時間が必要になるわけです。朝早く出社して業務前に作業したり、夜残業して勉強したりしなくてはなりません。

これは会社にとって非常に効率が悪いとは思いませんか?

 

大事な従業員の労力を、非生産活動に専念させる。

 

これは経営上非常に効率が悪いです。

 

しかも、Pマーク(プライバシーマーク)審査では落ちる基準がないことさえも知らない担当者の方は実務と兼務しながら、審査に落ちないでおこうと考えます。

その結果、不安と闘いながら、文書精度を頑張ってあげようと思い奮闘されます。

そりゃそうですよね。

社長から任命されたわけですから、会社のPマーク(プライバシーマーク)を何としても取得しなければなりません。もし取得できなかったら大事ですね。

だから、責任感の強い担当者は必死に頑張るわけです。

 

でもこのブログを見てくださっているご担当の方!

そんなに頑張らなくても審査に落ちることはありませんのでご安心ください。

 

ただし、審査に落ちる基準が3つだけございます。

それは、

 

その① 【審査費用未払い】

その② 【期限を守らない】

その③ 【虚偽申請】

 

上記3つのうちどれかに該当してしまうと審査が打ち切りになり、

Pマーク(プライバシーマーク)取得ができなくなってしまいます。

 

いかがでしたでしょうか。

以上3点さえしっかり抑えていれば審査に落ちないのでどうかご安心ください。

少しでも皆様のお役に立てればと思い書かせていただきました。

最後までお読み下さりありがとうございました。

Pマーク(プライバシーマーク):Pマーク(プライバシーマーク)審査のポイントをギャル的に考えてみた

_shared_img_thumb_paku_klakkws_TP_V

 

 

いつもご愛読ありがとうございます。

前髪がいい感じに伸びて、大人っぽさを出しはじめてみました。

ISO総合研究所コンサルタントの松本です。

 

さて、今回は、『これからPマーク(プライバシーマーク)の審査が迫っている!』という皆様のために、審査のポイントをギャル的な考えでお伝えしようと思います。

 

 

みなさん、そもそもPマーク(プライバシーマーク)審査に、落ちるポイントってご存知ですか?

落ちるポイントさえ押さえておけば、審査への不安は激減すると思いませんか?

 

 

脱線しましたが、まずは、ひとつ問題です!

Pマーク(プライバシーマーク)の審査では必ず指摘が出ます。

まあ、宿題みたいな感じですね。

その指摘、何個以上出たら審査に落ちるか、ご存知ですか?

下記の中で、審査に落ちる可能性がある事項はどれだと思いますか?

 

・指摘が50個以上出る

・指摘改善が3回以内に終わらない

・申請時提出書類に10か所以上不備かある

 

 

 

正解は・・・

 

実は、上記3つどれも審査で落ちる要素ではないのです!

えっ?ほんまに?

と思いましたか?そのまさかなんです!落ちないんです!

 

安心してください、落ちませんよ!!!!!!(とにかく楽しい安村風)

言い切ってしまうと語弊があるかもしれませんが・・・

Pマーク(プライバシーマーク)の審査は試験ではないので、完璧である必要はないです。

 

ちなみに、Pマーク(プライバシーマーク)取得までの間には3種類の審査があります。

 

・形式審査、文書審査

申請書を提出してから約1か月以内に、形式審査、文書審査が行われます。

 

形式審査…申請資格の有無等の審査です。申請書の中身を確認されます。

文書審査…受理後の申請書類のうち、内部規程・様式の審査を行われます。

 

・現地審査

申請書を提出してから約1か月~1か月半で現地審査があります。審査員が2名来られて、記録類や社内の運用状況を見て審査してくれます。丸1日かかる場合が多いので、この日はできるだけ仕事を入れない方がいいと思います。

 

というか、1日仕事ができないですね。

審査員の言うことや質問に答えたりしないといけないのです。

ひたすら審査員が書類のチェックをするので、眠たくなってしまうこともあるかも(笑)

 

 

では、審査ではどういうときに落ちるのでしょうか?

下記に落ちるポイントをまとめました。

 

 

・落ちるポイントその1:指摘を期限内に修正しない

審査ではほぼ100%指摘が出ます。たとえ何個出たとしても期限内に修正すれば、

審査には受かります。では、修正はいつまでにすればいいのでしょうか?

 

1回目は3か月以内、2回目(再指摘)以降は1か月以内です。

それに加えて、1回目の指摘文書が発行されてから6か月以内に修正しなければ

いけません。先ほども述べましたが、期限内に修正すれば、指摘が50個だろうが100個だろうが落ちることはありません。

 

 

 

ちなみに、指摘改善とは・・・

 

現地審査で審査員がおみやげを残していってくれます。これが「指摘」というものです。「指摘」と聞くと悪いイメージを持たれる方が多いと思うのですが、これは、「ここだけ直せばPマーク(プライバシーマーク)をあげます」というものです。

 

 

・落ちるポイントその2:虚偽申請

Pマークの審査料は各会社の規模、新規取得の場合か更新申請の場合か、によって変わってきます。また、業界によって、大規模・中規模・小規模の区分も変わってきます。

 

しかし、どこの審査機関で受けようと、その会社の審査料が変わることはありません。

審査料を安く済ませようとして、大規模の会社なのに小規模で申請するといった、申請内容に虚偽があれば、審査員に不信感を与え、審査に通らない可能性があります。

 

※審査料に関して、詳しくはこちらをクリック↓

http://privacymark.jp/application/cost/index.html(JIPDECのHPのプライバシーマークの付与にかかる費用のページより引用)

 

 

・落ちるポイントその3:審査料を振り込まない

審査機関も商売なので(笑)お金を払ってもらわないことにはPマーク(プライバシーマーク)を付与することはできないようです(笑)でも、これは納得の理由ですね。

 

 

・落ちるポイントその4:更新申請書を提出しない(更新審査の場合)

有効期限の8か月前~4か月前は、更新申請の申請期間です。つまり、有効期限の4か月前が申請の締め切りです。それまでに審査機関に更新申請書を提出しなければ、「Pマーク更新の意思なし」と判断されて、有効期限が過ぎるとPマークは失効してしまいます。

 

 

 

いかがでしょうか?

 

 

 

このように、落ちるポイントさえ知っておけば、審査に対する不安も大きく解消されるのではないのでしょうか。

 

1回や2回の審査でPマークの要求事項をすべて網羅することは、難しいです。

てゆーか、わからないですよね?!

 

なので、審査員さんに「ここはどういう解釈をすればいいですか?」という風に、

2年に1度自社のPマーク運用に対する指導、アドバイスをしてもらうようなスタンスで行けば、もっと気持ちは楽になるかもしれません。