Pマーク(プライバシーマーク)3.8是正処置予防処置ってなんのためにするの?

_shared_img_thumb_CL201_syoruiteisyutu20140830185506_TP_V

皆さま、おはようこんにちこんばんは!

ISO総合研究所コンサルタントの尾形雅貴です。これ毎回書いている気もしますが、そろそろ本格的に寒くなって参りました!皆様は体調管理しっかりできていますでしょうか??私オガタは先日体調をガッツリ崩しまして丸1日お休みをいただきました。笑

社会人としてまずは体調管理から!

 

 

そんなこんなでさっそく今回のブログの内容はと言いますと、「Pマーク(プライバシーマーク) 3.8是正処置予防処置ってなんのためにするの?」というものです!

はじめましての方がこの文字見ても正直いまいちピンときませんよね。笑

私も初めて見たときは意味すら知りませんでした。しかしながら蓋を空けてしまえばそんなに難しいことでもないのです。このブログを読んだ後にもしわからない箇所がありましたら、是非google(グーグル)先生に頼ってくださいませ。笑

というわけで、今回はPマーク(プライバシーマーク)における是正処置予防処置はいったい「なんのためにするのだろうか」ということよりも、「どんなことをしていくのか」ということにフォーカスを当てておしゃべりしていきたいと思います!

しばしお付き合いを。

 

 

 

【是正処置予防処置の内容ってなに?】

Pマーク(プライバシーマーク)には「監査」ってものがPDCAサイクルにあります。この監査をした結果、「問題点が見つかったので直さなくちゃいけないところ。」こういった内容となります。事業者は不適合に対する是正処置及び予防処置を確実に実施するための責任及び権限を定める手順を確立し、実施し、そして維持しなければならないのです。

今上記で不適合というキーワードが出てきました。

監査において不適合という言葉は必ず使う言葉です。どういうことを意味しているかというと「会社が要求している」もしくは「個人情報保護マネジメントシステムで要求している」 ということす。

様々な企業、会社の個人情報保護マニュアル、あるいはそういった手順書に誰々「は何々をしなければならない」という5W1H的なことを書かれたルールがあったとして、それが出来ていなかったら不適合となります。つまり「合致」していなければ不適合です。

そして先ほどの是正処置予防処置という言葉がここでできます。まずこの二つを「前」と「後」で分けてみます。

是正処置は「今発見(監査)された不適合に対して是正していく」、という意味です。予防処置は 「今こういった不適合はまだ発見されていないがこのまま放っておくと不適合になりそうです。であれば不適合になる前に予防しましょう。」 と、こういう意味となります。

簡潔に申し上げますと、事後に対して行うものが「是正」、事前に行うものが「予防」、こうなるのです。

先ほどにも申し上げたとおりPマーク(プライバシーマーク)には手順というものをきちんと定めていないといけません。その手順では次のことを決めていないといけないのです。

まず初めに「不適合の内容を確認」します。そしてどういう状況が不適合になっているのか、

事実関係を確認していきます。更に不適合の原因を特定し是正処置及び予防処置を立案します。

次に出てきたキーワードで「原因と特定する」ということです。再発しないためには、原因を特定して原因の部分から直していかないといけません。つまり是正処置というのは「再発防止」ということになるのです。

立案をした次に、手順では期限を定め立案された処置を実施します。この時に是正処置の終了期限を決め、是正処置を行いましょう。

そして、実施された是正処置、予防処置の結果を記録するのです。記録を残すことでそれがエビデンスとなります。

最後に実施された是正処置予防処置の有効性をレビューします。

これは、「本当に効果があったのかどうか、見直してください。」 と、こういう要求事項です。

今までの流れを簡単に説明しますと、「不適合は規格の要求を満たしていない」もしくは「会社で決めたルールを満たしていない」これが不適合です。是正処置は、「発見された不適合の原因を特定し、対策を講じて再発防止をする」ことであり、予防は、「不適合の発生を未然に防ぐ」ことです。

ですから、是正処置予防処置については、最初に手順を決めましょう

これが会社のルールとなってきます。実際に不適合が発見された場合は内容を確認していきましょう。更に、原因を特定し、どういう方法で是正すればいいか考えていくのです。

いつまでにやるという期日を決めて実施し、その結果を記録として残し、行った是正処置が有効である、効果がる、これをレビューで見直しをしましょう。

こういった内容がPマーク(プライバシーマーク)3.8是正処置予防処置の要求事項になります。

 

 

「なんのためにするのか」というよりは「どういった内容」という概説に近いものになってしまいましたね!

これで少しは是正処置予防処置の内容がご理解いただけましたでしょうか?

これからも冬は寒くなる一方です!皆さま体調管理には十分お気をつけて!

以上、ISO総合研究所コンサルタント尾形雅貴がお送り致しました!

Pマーク(プライバシーマーク)新規取得で社長が聞かれるポイント

 -shared-img-thumb-YOTA93_ippon15134025_TP_V
いつもご愛読ありがとうございます。ISO総合研究所コンサルタントの下です。

 

近年マイナンバーの影響もあり、Pマーク(プライバシーマーク)を新規に取得しようとする企業も多いのではないでしょうか。いざ活動を始め、いよいよ現地審査となった時、代表者の方は何を話せばよいのか?またどんなことを質問されるのだろうか?

と不安になることもあるかと思います。そこで今回は、
Pマーク新規認証の現地審査で社長が聞かれる7つの重要ポイント
について下記を一つ一つご説明いたします。

 

 

①Pマークのガイドライン要求

②Pマーク取得の目的

③いつから運用を開始したか?

④心配事

⑤申請時と変更している点がないか

⑥事業の内容

⑦今後について

 

 

まず、現地審査当日、初めに実施されるのが、「トップインタビュー」です。

プライバシーマークの最終決定権や報告等はやはり代表者あってのものです。

審査員の方も代表者の方がどのようにプライバシーマークに取り組もうとしているのか

また、どういった企業なのか等を知りたいと思っています。

それでは、Pマーク新規認証で必ず社長が聞かれる7つの重要ポイントの1つ目です。

 

 

①Pマークのガイドライン要求について聞かれる。

プライバシーマークの要求事項の中に、「3.9事業者の代表者による見直し」という

ものがあります。ここでは、1年間かけて社内で実施してきた、プライバシーマークの

運用活動について、最終的に代用者に報告をし、次年度へ繋げてもうらものとなります。

PDCAサイクルで運用が回っているプライバシーマークのA(アクション)の部分に

なってきます。「代表者による見直し記録」「マネジメントレビュー」とう企業によってその呼び方は様々になります。

しかし実施する内容は要求事項で決まっています。

基本的な質問項目は要求事項できまっており、下記の7点となります。

 

a)監査及びPMSの運用状況に関する報告

b)苦情を含む外部からの意見

c)前回までの見直しの結果に対するフォローアップ

d)個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況

e)社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化

f)事業者の事業領域の変化

g)内外から寄せられた改善のための提案

 

内部監査実施後にこちらの記録を作成します。代表者の方はこの過去にやった内容ついて当日質問されるのです。

上記7つの中でもやはりよく聞かれる部分があり、a)監査及びPMSの運用状況に関する報告は一番よく聞かれるポイントとなります。自社での内部監査によりどんな指摘がでたのか、またそれに対して代表者からどんな支持をだしたのか?と聞かれることがあります。

7つのうちa)監査及びPMSの運用状況に関する報告意外は、その場で聞かれたとおり

現状を報告すれば大丈夫ですので、抑えるべき点はこの1点となります。

現地審査当日は「代表者の見直し記録」「マネジメントレビュー」の記録を印刷して手元に置き、それを見ながら回答することをお勧め致します。

 

 

②Pマーク取得の目的について聞かれる

プライバシーマークを取得する企業ではその取得理由は様々です。入札の参加条件となっている、大手企業からの取引要件として必要、対外的なアピールとして取得したい等、取得理由はその企業によって違うことでしょう。この質問の場合は、考える必要はありません。代表者の方の思いをそのまま審査員の方に伝えていただければ大丈夫です。

実際マークだけあれば良いという企業の方もいますが、そのこともそのまま本心を伝えていただいて問題ありません。審査員の方もそういった理由で取得する企業はたくさん見て来ています。その上でアドバイスを頂けるかもしれません。包み隠さずどうしてプライバシーマークを取得しようと思ったかを伝えていただければと思います。あまり暑くなり過ぎると、現地審査の時間が長くなってしまいますのでほどほどにしておきましょう、、、、

 

 

③いつから運用を開始したか?

と聞かれる上記②の質問があったあとに、聞かれるのがこの質問です。新規取得時の質問のなかで現地審査員が絶対に聞くくらいの質問です。では運用開始日とはいったいつのことを指すのか?それは、マニュアルや規程を定めた日付となります。プライバシーマークの活動を始めるには、企業のルールや規格要求事項にそった運用が必要です、そのため、社内でルールを統一するためにマニュアルや規程をまず作成します。そのルールにのっとって活動を実施するのが運用ということになります。そのため、実際にいつからプライバシーマークの活動を始めたかを確認する場合は、マニュアルや規程の制定日を確認しておきましょう。

 

 

④心配事について聞かれる

この質問は審査員の方から(現在運用をしてきて不安な部分や何か代表者として心配に思っていることはありますか?」というように聞かれることが多いです。他社事例ですと、「業務上クレジットカード情報を取扱うが複数の人が閲覧をしないと業務が実施できない、そのため社員教育が重要と思っているがなかなかうまくいかない」といったようなものがあります。

この質問も代表者の方が現在抱えている悩みや、「当社的にここってどうにか解決できないかな?」といった部分がある場合は、審査員の方への相談としてありのままを答えてもらうのが一番です。もしかすると、何かヒントはひらめきを得ることが出来るかもしれません。

 

 

⑤申請時と変更している点がないか聞かれる

審査員の方は、現地審査に来るまでに2日間かけてその企業のことを事前に調べてから現地審査に来ます。そのため、現状での変更点がある場合、審査員のかたの予定はスケジュールが変更となる可能性があります。その場合にも対応できるよう審査員の方は申請時と変更が無いかを聞いてくるのです。従業者人数や、新しく開始した事業について、又は、廃止した事業について、

 

 

⑥事業の内容について聞かれる

審査員の方は一番メインとなる売り上げの事業内容や、自社の強み、取引企業名等を聞いてきます。それは、業務の中からどのような個人情報があるかを特定するために聞いていることが多くなります。この場合も特に問題視することはありません。自社の現状をそのまま伝えることが重要となります。その結果、午後の記録で個人情報がきちんと特定できているかを確認しますが、そこで特定されていなかったとしても、審査員の方に宿題を出され、きちんと特定をしておいて自社の個人情報として認識してくださいと言われるだけです。

 

 

⑦今後について聞かれる

最後にプライバシーマークを取得した後、どのように運用をしていきたいかを聞かれることもあります。他社事例ですと、「社員教育に力をいれていきたい」「無理なく継続できる内容で最低限実施をしていきたい」「毎年スパイラルアップしていけるようにしたい」などです。この場合も代表者の方がどのビジョンで考えているかによって回答方法は様々となります。

 

いかがでしょうか。最後まで目を通していただいてお分かりの通り、現地審査当日のトップインタビューで話してはいけないことは無いのです。審査員の方に聞かれた質問に、自社の現状は代表者の方の思いをそのまま伝えていただければ大丈夫です。代表者の方の取り組み方によってプライバシーマークの運用の仕方も変わってきます。他社事例を交えてご対応させていただきます。お悩みの際は是非当社コンサルタントまでお問い合わせください。

Pマーク(プライバシーマーク):審査機関に違いってあるの?

MAX86_meganekui20141123111207_TP_V

ISO総合研究所コンサルタントの小林です。

さて、今回のテーマは

「Pマーク(プライバシーマーク):審査機関に違いってあるの?」

です!

意外と知らない審査機関の豆知識、ちょっと知ってるだけでどや顔ができてしまう情報をお届け致します。

 

 

どや顔ポイント①:Pマーク(プライバシーマーク)の審査機関って??

審査機関にはPマーク(プライバシーマーク)指定審査機関というものがあります。

それは、プライバシーマーク制度付与機関である、一般財団法人日本情報経済社会推進協会(略称:JIPDEC)によって指定された民間事業者団体です。

審査機関は、会員からのプライバシーマーク付与に係る申請の受付・審査と付与適格決定可否等、付与機関と協調してプライバシーマーク制度の運用に重要な役割を担います。審査機関の主な業務は、指定の際に決定されますが、概ね以下の通りです。

  1. 会員各社からのプライバシーマーク付与適格性審査の申請の受付
  2. プライバシーマーク付与適格性審査の申請の審査
  3. 付与適格決定の可否の決定
  4. プライバシーマーク付与適格決定を受けた会員の指導、監督
  5. 個人情報保護の推進のための環境整備
    • 当該業界の模範となる個人情報保護のための「業界ガイドライン」の策定
    • 業界ガイドラインに基づく個人情報保護マネジメントシステムの策定
    • 会員各社に対する個人情報保護マネジメントシステム策定の支援、指導

JIPDECホームページ引用 http://privacymark.jp/agency/about.html

 

審査機関はあくまで現地審査を実施する機関であり、Pマーク(プライバシーマーク)を認証・発行しているのは、一般財団法人日本情報経済推進協会(JIPDEC)になります。

 

 

 

 

どや顔ポイント②:審査機関ってどのくらいあるの??

現在プライバシーマーク指定審査機関は18社あります。

  1. 一般社団法人情報サービス産業協会[JISA]
  2. 一般社団法人日本マーケティング・リサーチ協会[JMRA]
  3. 公益社団法人全国学習塾協会[JJA]
  4. 一般財団法人医療情報システム開発センター[MEDIS-DC]
  5. 一般社団法人全日本冠婚葬祭互助協会[全互協]
  6. 一般社団法人日本グラフィックサービス工業会[JaGra]
  7. 一般社団法人日本情報システム・ユーザー協会[JUAS]
  8. 公益財団法人くまもと産業支援財団[KPJC]
  9. 一般社団法人中部産業連盟[中産連]
  10. 一般財団法人関西情報センター[KIIS]
  11. 一般財団法人日本データ通信協会[JADAC]
  12. 一般社団法人コンピュータソフトウェア協会[CSAJ]
  13. 特定非営利活動法人みちのく情報セキュリティ推進機構[TPJC]
  14. 一般社団法人日本印刷産業連合会[日印産連]
  15. 一般財団法人放送セキュリティセンター[SARC]
  16. 一般社団法人北海道IT推進協会[DPJC]
  17. 特定非営利活動法人中四国マネジメントシステム推進機構[中四国MS機構]
  18. 一般社団法人モバイル・コンテンツ・フォーラム[MCF]

 

大元の一般財団法人日本情報経済推進協会(JIPDEC)を入れると19です!

JIPDECホームページ引用 http://privacymark.jp/agency/member_list.html

 

 

 

 

 

どや顔ポイント③:それぞれの審査機関は何が違うの??

審査機関の名前を見てもわかるかも知れませんが、審査機関は業種や本社所在地によって審査が受けられる受けられないがあります

例えば、一般社団法人中部産業連盟[中産連]は、愛知県、岐阜県、三重県、富山県、石川県に本社が所属する事業者を対象としており、一般社団法人北海道IT推進協会[DPJC]は北海道に本社が所在する事業者が対象となります。

その他業種では、放送事業者は一般財団法人放送セキュリティセンター[SARC]、保健・医療・福祉分野の事業を営む事業者は、一般財団法人医療情報システム開発センター[MEDIS-DC]であったりします。

 

 

 

 

 

どや顔ポイント④:審査機関によって料金は変わるのか???

ずばり、審査料金は変わりません!!!

どの審査機関を利用したとしても、「申請料」「審査料」「付与登録料」は変わりません。

小規模、中規模、大規模によって料金が変動するのみです。

詳しい料金内容については、JIPDECのホームページをご参照ください!

http://privacymark.jp/application/cost/index.html

ただし、会員制により入会金や年会費を取っている審査機関もあります。所属しようとする審査機関のホームページをよく読みましょう!

 

 

 

 

 

どや顔ポイント⑤:審査機関の選び方はあるのか???

先ほど審査機関は業種や本社所在地によってでも判断ができるとお伝えいたしましたが、もう一つ審査機関を選ぶ際に知っておきたいことがあります!

それは、現地審査時の審査員の交通費です!!!!

意外と気が付きにくい部分ですが、少しでも費用を抑えたいと考える皆様はここまで気にしてみてはいかがでしょうか。

例えば、大阪に本社があるにも関わらず、一般財団法人日本情報経済推進協会(JIPDEC)に現地審査をお願いするとします。現地審査当日は審査員が2名来ます。2名分の東京から大阪まで新幹線代を計算すると、、、、、、、

27,240円(東京駅~新大阪駅往復)×2(審査員2名分)=54,480円です!

これが2年に1度現地審査のたびにかかります。が、しかし!!!

大阪にある審査機関一般財団法人関西情報センター[KIIS]にて現地審査を実施すれば

この分の料金がかかりません!これは審査機関選定や見直しの機会にはぜひ考えておきたいどや顔ポイントですね。

 

 

 

 

 

どや顔ポイント⑥:審査の厳しさ、スピード感は違うのか?

現地審査後に必ずでる宿題の指摘事項があります。この量は正直審査機関によって様々ですが、当日来る審査員によって違うと思っていただいた方がいいかと思います。

現地審査時の雰囲気も審査員次第です。当たり外れは残念ながらあります。

 

 

 

それよりも圧倒的に違うことがあります。それは現地審査までの待ち時間です!

やはり大元のJIPDECは登録している企業も多いので、申請を出してから実際に現地審査が行われるまで大体3~4ヶ月かかります。

その他の審査機関であれば大抵2.5~3ヶ月くらいです。年末年始等時期的には込み合っていることもあります。

 

 

 

 

 

どや顔ポイント⑦:審査機関は変更できるのか???

はいできます!申請書類を提出するときに、審査を受けたい審査機関へ申請書類を提出するだけで変更が可能です。しかし、審査機関によっては、事前に入会が必要であったり、業種によっては審査が受けられなかったりする審査機関もあるので、変更前に電話で確認するのが効率的です。

 

 

 

 

 

以上7つのどや顔ポイントをお送り致しました。1つでも覚えてぜひどや顔をしてみてください。審査機関の選定に困ったり、どんな審査機関が良いかで悩んだりした場合はぜひご相談ください!

Pマーク(プライバシーマーク)新規取得:笑った指摘

121015_1605_P1.jpg
ISO総合研究所 コンサルタントの小林です。
いつもお読みいただきありがとうございます。
さて、今回は
Pマーク(プライバシーマーク)の新規所得に向け、現地審査が完了した後にでる、指摘、つまり審査員からの宿題について
他社事例等をご紹介致します。
そもそも指摘と呼ばれる宿題はなぜでるのでしょうか?
Pマーク(プライバシーマーク)の審査のために絶対必要だからでしょうか?
Pマーク(プライバシーマーク)の審査に落とすためでしょうか?

指摘事項を出すのは、「現地審査員がきちんとその企業の審査をしてきました。」という証拠になるのです。審査員は実際に企業に訪問し、実態を確認した上で、Pマーク(プライバシーマーク)の水準を担保できると判断する必要があります。

 

Pマーク(プライバシーマーク)が付与認定されるまでの流れでご説明させて頂きます。

 

1. 弊社はPマーク(プライバシーマーク)の取り組みをしています。その実態を確認してください!というまずは申請を審査機関へ提出します。これが申請書です。

2. 申請書を受け取った審査機関は、申請に必要な書類や必要事項が明記されているか確認をします。これが形式審査です。

3. 申請に必要な書類が確認でき、申請が受理されるといよいよ現地審査の日程が決まります。

4. その後、事前に審査機関がJISQ15001(ジスキュー15001)要求事項で最低限のルールを作成するように求めています。そのルールがきちんとかかれているかを文書審査で確認を実施します。

5. いよいよ現地審査にて、Pマーク(プライバシーマーク)のために実施してきた活動内容を1日かけて確認をしていきます。

6. 現地審査員が指摘事項を企業に出します。

7. 企業が指摘された内容を修正します。

8. 現地審査員が改善された内容をもとに「審査会」と呼ばれるPマーク(プライバシーマーク)の付与認定を行う場所で報告をします。

9. 審査会でPマーク(プライバシーマーク)付与が確定し、Pマーク(プライバシーマーク)が発行されます

現地審査に来た審査員が宿題を残していく目的がどこかわかりましたか?

上記の8番がポイントです。


現地審査に来た審査員は現地審査終了後に
「私がこのように監査を実施して、改善していただき、Pマーク(プライバシーマーク)を付与できるだけの水準を確保しました!なのでPマーク(プライバシーマーク)の付与をお願いします。」
と報告をするために必要なのです。

しかしその指摘事項には、審査員個人の思いや経験、考えが反映されてしまうことも珍しくありません。実際に指摘改善の作業をお手伝いしていると

「え、そんなこと要求事項のどこにかいてあるんですか!」
というものも多く見受けられます。
よく「審査員の言うことはすべて正しいから必ず実施しなければならない」と思っている企業の方も多いですが、納得行かない部分は納得いくまで審査員に聞いていただいて大丈夫です。それでもやはり審査員によって言っていることは違ってきますので、なんでそう思うか等も聞いていただいたほうがよいかと思います。

だいぶ前置きが長くなってしまいましたが、ここから、

実際にあった「そんなところ指摘にだしますか!」という部分をご紹介させて頂きます。

B社 企業同士のマッチングサービス 従業員22名

指摘内容
・ホームページに掲載する同意文において、「委託する場合があります」ではなく、「委託する可能性があります」に修正してください。

え、え、え、え!!!!正直なとこどっちでもよいのでは?と思いませんか、、、

D社 システム開発 従業員6名

指摘内容
・個人情報管理台帳に記載されている「履歴書」は2つ記載があり、データと紙が存在する。個人情報名をわかりやすく「履歴書(データ)」とすること。

いやいやいや、そのとなりの項目には「媒体」という欄があり、紙かデータ一目瞭然、見えにくいと感じるのは審査員の見方ではないのですか!

 

E社 データ入力業務 従業員2名

指摘内容
・従業者の入退出の記録を取得していない。取得すること。

ちょっと待ったー!!!!!1件家で従業員2名ですよ、出入りも何も、、、、

 

O社 出版物管理、保管、紙業 557名
指摘内容
・前回審査で改定したリスク分析について、以前使用していたものに戻すこと。

前回の現地審査で「こちらの雛形のほういい」と言われて前面改定して記録を次の審査で元に戻せって!!!!前回の審査員と話してください!

 

例を挙げるときりがありませんが、その他にもたくさん、審査員の個人の見解ではないのか?とうものが多くあります。

現審査後に指摘事項は必ずでます。指摘が出ないように完璧に記録を作成しよう、運用をしようとするのは労力の無駄です。
現地審査員はPマーク(プライバシーマーク)の審査に落とすためではなく、あくまで企業のことを考えて、「もっとこうしたほうがよりいいですよ」と提案をしてくださいます。

しかし、それが時には行き過ぎた場合もあります。現地審査員の言っていることが絶対ではない場合はあります。指摘事項は必ずでます。出てから対応するのも労力を減らす1つの方法です。さらに、現地審査のときに指摘事項としてあがりそうな項目で、納得ができそうにない場合は、「それは要求事項で必ず実施しないといけないのでしょうか?」「審査員の方のお考えなのでしょうか?」と聞いてしまうのも手です!

指摘改善でお困りがございましたら、当社までご連絡ください。「やらなくてもよい方法」をたくさん他社事例でもっています。それが本当に必要かどうか一緒に判断していきましょう。

Pマーク(プライバシーマーク)取得時に陥りやすい2つの勘違い

-shared-img-thumb-CL201_syoruiteisyutu320140830185428_TP_V
お世話になっております。ISO総合研究所の伊藤です。
いつもご愛読いただきありがとうございます。
今回はPマーク(プライバシーマーク)取得時に陥りやすい2つの勘違い

について書かせていただきます。
Pマーク(プライバシーマーク)を取得する理由は企業様によってさまざまであるかと思います。取引条件にあるからというのが一番多い理由でしょうか。どんな企業様にも当てはまりそうな勘違いを書かせていただきますので、最後までお付き合いいただければ幸いでございます。

 

 

まず、最初に陥りやすい勘違いは、ズバリ、Pマーク(プライバシーマーク)を取得することで社内の安全管理が徹底されるのではないかいう勘違いです。Pマーク(プライバシーマーク)を取得するためにはJISQ15001という規格に企業として適合する必要があります。そこで求められていることが、定期的な従業員の教育や、内部監査の実施、代表者による見直し等があります。
ここで皆様にお伺いしたいのが、1年に1回の従業員教育で本当に従業員の方の安全管理意識は高まると言えますか?また、高まるとしてそれで本当に個人情報の事故が起きにくくなると思いますか?
また、1年に1回の内部監査で本当に会社の安全管理が高まりますか?
もちろん、未然に事故を防ぐという意味では1年の内部監査で不適合を出すことにより防げるところはあると思います。しかし、それで社内の安全管理が高まったと言えるでしょうか?

 

私の答えはノーです。

 

仮に教育で従業員の方の安全管理に対する意識を高めたいのであれば、年1回の教育では不十分でしょう。
思い出してみてください。
学生時代、期末試験のために1週間前から勉強を始めますよね。前日は徹夜でテストに出そうなところを丸暗記。テスト本番は勉強の甲斐あってそこそこ埋めることができて、そこそこの点数も取れた。
さて、同じテストを1年後にやることになったとします。もう皆さんは1度勉強して今回のテストでも良い点数を取ったので勉強はしなくてよいですね。となったときに、
今回覚えたことを思い出しながら1年後の全く同じテストで同じ点数を取ることができますか?
恐らくほとんどの方ができないと思います。

 

なぜなら、人間は記憶したことをきれいさっぱり忘れてしまう動物だからです。だから、復習を言うプロセスが大事で、何度も同じことを繰り返し勉強するしかないのです。
つまり、年1回の教育では不十分ということです。ましてや、同じように教育しても従業員の意識は現状維持であり、安全管理も高まりません。
結論をいうと、安全管理を高めるには設備投資をして高めるのが一番効果的です。
例えば、鍵付きのキャビネットを購入して個人情報を施錠保管する、ICカードによる入退管理システムの導入などが考えられます。
これらの設備投資に関してはPマーク(プライバシーマーク)では求められていません。Pマーク(プライバシーマーク)で求められていることは、先ほども出てきましたが、定期的な従業員の教育や、内部監査の実施、代表者による見直し等です。設備投資をして安全管理を高めてくださいなどといったことはJISQ15001のどこにも書かれていません。ですので、こういったことをせずともPマーク(プライバシーマーク)は認証取得できます。もちろんこういった安全管理に対して設備投資をすれば審査の時に審査員の方にお褒めの言葉をいただけると思います。しかし、Pマーク(プライバシーマーク)に優劣はないので、安全管理は高い企業が持っているPマーク(プライバシーマーク)と特に設備投資もせず、安全管理が一般的な企業が持っているPマーク(プライバシーマーク)は全く同じものです。

2つ目に陥りやすい勘違いは、書類精度を高めるということです。
審査に向けて書類の精度を高めることは誰しもが陥る勘違いです。
審査書類の精度を高めることでどういうメリットがありますか?
ここでいうメリットとは、Pマーク(プライバシーマーク)は企業が取得するものですので、あなたの会社にとってのメリットです。

 

答えを先に言ってしまうと、メリットはありません。
書類精度が低いと審査で上手く受け答えできなくて審査に落ちてしまうのでは?と考えられる担当者様もいらっしゃいます。
審査で上手く受け答えできなくても審査に落ちることは絶対にありません。
また、先ほども言いましたが、Pマーク(プライバシーマーク)に優劣もありませんし、書類精度が高い企業が持っているPマーク(プライバシーマーク)と書類精度が低い企業が持っているPマーク(プライバシーマーク)は全く同じものです。
ということは、審査書類の精度を高めることで会社のメリットはありません。
むしろ、書類精度を高めるということは会社としてはマイナス要素になります。なぜなら、従業員の労力や時間という有限資源を、会社として全くメリットのないPマーク(プライバシーマーク)の審査書類の精度を高めるために使うわけです。

いかがでしたでしょうか。勘違いに気づかれた方は是非このような勘違いから脱却してください。
Pマーク(プライバシーマーク)のことでお困りの事、相談がありましたらお気軽にISO総合研究所にご連絡ください。

最後までお読みいただきありがとうございました。

Pマーク(プライバシーマーク)新規取得:マイナンバーが施行されたけど、関係あるの?

-shared-img-thumb-freee151108188680_TP_V
いつもご愛読ありがとうございます。ISO総合研究所の梅崎です。昨年から今年にかけて、マイナンバーについて対応を追われている企業様も多いかと思われます。マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)の施行日は平成27年10月5日。今現在、収集を始めている企業様、収集を終えた企業様、進捗は様々かと思われますが、今回はその中でも「プライバシーマークを新規取得予定・既に認証取得している」「マイナンバーについてそれほど準備が進んでいない」企業様へ、プライバシーマークの審査において、どのような指摘事例が発生しているかを紹介させていただきます。 

一般財団法人日本情報経済社会推進協会(JIPDEC)より、平成27年5月19日に、「番号法および特定個人情報ガイドラインへの対応について」が公表されておりますが、これはプライバシーマーク審査において、どのようにマイナンバーに関する法令が関わってくるか、また、プライバシーマークの要求事項に基づいて対応を必要とする事項の適用箇所について記載されております。

その資料と関連し、既に文書審査及び現地審査では指摘が出ております。

 

(1)個人情報の特定、リスクなどの認識、分析及び対策(要求事項3.3.1、3.3.3)

事業者が保有する個人情報のうち、特定個人情報(個人番号を含む個人情報)も、その洗い出しと、リスクの認識、分析、対策の対象とすることが求められております。対応として、自社で保有する個人情報で個人番号が記載されるものは何なのかを認識し、その情報を取扱う上でのリスクを認識し、番号法の規定に反することなく、取扱いを管理する必要があります。

上記に関し、個人情報の一覧における個人情報の項目、アクセス権限を有する者について、現在の個人番号取扱いを反映させる必要があります。例に挙げますと、仮に管理する情報として特定個人情報一覧を維持しているとすれば、アクセス権限者は事務取扱担当者、或いは事務取扱責任者と記載するなどがございます。

 

 

(2)法令、国が定める指針その他の規範(要求事項3.3.2)

この要求事項は参照が必須である法令等を認識し、特定するという要求事項ですが、少なくとも個人番号の利用が開始される平成28年1月以降は、その特定し参照する対象に番号法及び特定個人情報ガイドラインを加える必要があるというものです。

こちらに関しては、法規制の一覧に番号法及び特定個人情報ガイドラインを加えることで対応とできますが、追加していなければ指摘となります。

 

 

(3)資源、役割、責任及び権限(要求事項3.3.4)

要求事項3.3.4(資源、役割、責任及び権限)及びJIPDECガイドラインでは、個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めておりますが、その役割、責任及び権限の箇所に、特定個人情報等を取扱う事務に従事する従業者(事務取扱担当者)を明確にする必要がございます。

現在、文書審査において、現地確認事項又は指摘として挙がることが多いのが、3.3.4の資源、役割、責任及び権限です。規程の3.3.4に取扱事務責任者及び担当者を記載する必要がありますが、記載するだけと言っても、どのように記載すればいいかが解らないというお客様の声も頂いております。

 

 

また、上記三項目以外にも、今後は利用目的の適切な明示、公表がされていないという指摘や、委託先の監督において、特定個人情報に関する秘密保持契約を締結していない、という指摘も想定されます。

既にプライバシーマークにおいてマイナンバーの取扱いが確認され始めている一方、本業の傍らで学習を重ね、マイナンバーに関する知識は十分で取扱いは問題ない、という企業様は、それほど多くないと感じております。当然ながら本業のお仕事が優先順位として高い位置にあり、マイナンバーについては法的な要求といえども、その法令に基づき実施しなければならない事項への理解を深めるということを、最優先として取り組むことは本業がある以上、容易ではないかと存じます。

 

しかし、結果としてこのように、マイナンバーはプライバシーマークと関係する部分があり、対応を疎かにしていれば、プライバシーマークの審査においてマイナンバーの取扱いに関する指摘が発生し、是正対応にも苦労される可能性がございます。

 

上記いかがでしょうか?マイナンバー法施行に伴い、通常の業務でお忙しい中マイナンバーの無料セミナーに参加してみたものの、概要や大雑把な回答ばかりで、実際自社でどのように対応したらよいのかが不明なまま、個人番号の通知が始まり、従業員の方からも質問が来ていて困っているという担当者様。プライバシーマークのための作業を減らしたいが、どのようにすればよいのかわからないという企業様、担当者様。

是非一度弊社にお問い合わせ下さいませ。50社の担当を持つ、経験豊富なコンサルタントが御社へお伺いさせて頂き、ご説明させていただきます。

Pマーク(プライバシーマーク)取得への道:審査での指摘事項あるある

-shared-img-thumb-YOTA93_minogasanai15133536_TP_V
いつもご愛読ありがとうございます。ISO総合研究所コンサルタントの川端です。

 

 

今回はPマーク(プライバシーマーク)の「指摘事項」というものについて考えていきたいと思います。

 

 

Pマーク(プライバシーマーク)の新規取得審査、更新審査のどちらにも、現地審査後に「指摘事項」というものが発生します。もちろん、完璧な運用、管理体制であれば、指摘事項はないかもしれませんが、ほとんど見たことがありません。指摘事項は必ず出るものと認識していた方がいいのかもしれません。

 

ちなみに、指摘事項はPマーク(プライバシーマーク)の新規取得審査、更新審査のどちらにも発生しますが、「なぜ更新申請の時にも出るのだろう」と思った方もいるのではないでしょうか。なぜかというと、審査では書類も運用もサンプリングでチェックされます。また、前回審査時からの変更点などを重点的に見られます。なので、何回審査を受けても指摘がなくなるということはないと思っていた方がいいでしょう。

 

 

「指摘事項」と聞くと、大半の方はマイナスなイメージを持たれるのではないでしょうか。特に新しくPマーク(プライバシーマーク)を取得しようと思っている企業の担当者さんの中には「指摘事項が多かったら審査通らないかもしれない」と思ってしまう人もいると思います。

 

 

しかし、そんなことはありません指摘事項が3個だろうが5個だろうが、50個だろうが100個だろうが、それをすべて期間内に改善し報告すれば、Pマーク(プライバシーマーク)は取れます。現地審査の前に時間をかけて書類を作成するか、現地審査後に指摘事項として残された宿題に時間をかけるかの違いです。

 

 

「指摘改善を期限内に改善し報告すれば、Pマーク(プライバシーマーク)は取れます」とは言いましたが、では、期限はどれくらいなのか。実は2か月ほど前、この指摘改善について大きな改訂がありました。今までは、指摘改善には期限がありませんでした。1年かけて改善を続けている企業様もあったようです。しかし、今回の改訂で、「指摘文書発行から6か月以内」という期限が設けられました。

 

 

この期限が設けられたことにより、何が大きく変わるかというと、現地審査後にあまり時間をかけられないということです。つまり、指摘事項が多ければ多いほど、作業が重くなってしまうというわけです。

 

 

なので、指摘事項の数(指摘数)は、できるだけ少なくしたいのが本音です。そのためにも、指摘事項の傾向やポイントをおさえ、指摘を少なくし、早く楽に対応できるようにしたいですよね。

 

 

指摘数は、地域によっても多少の違いがあります。主要な都市で比較すると、指摘数の多い順に、東京、大阪、愛知と並びます。同じ規格をもとに審査をしているはずなのに、違いが出てくるのは、もちろん審査員さん個人の見解による違いもありますが、やはり地域別の傾向があるということだと思います。

 

 

どういうところに差が出てくるのかと言いますと、一つの例としては言葉の表現の違いが指摘事項となるかどうかです。具体的に例を出すと、「監査員」「監査人」の違いについての指摘が過去にありました。どのように指摘されたのかというと、

『「監査員」と「監査人」を使い分けているのなら、違いを分かりやすく定義しなさい』というような指摘です。

 

上記の指摘は、実際に東京で出された指摘なのですが、これが、愛知や大阪では、現地審査の時に、「記載ミスです」の一言で見逃してもらえることがあります。東京の審査員さんは、書類や運用の中で間違っている部分を細かく指摘してくる傾向があるのに対し、愛知や大阪の審査員さんは、書類の不備よりも規格に沿った運用ができているかという点に重点を置いて指摘を出してくる傾向があるので、東京よりも指摘数が少なくなってくるのが一つの理由ではないかと考えられます。

 

 

また、指摘事項にも流行りがあります。少し前までは、ウェブページに関する指摘がかなりの確率でありました。その中でも最も多いのが、「暗号化措置を講じなさい」という指摘です。具体例を言うと、ウェブページのお問い合わせ画面がSSL化されていないという指摘です。これはSSL化されていなかったら必ず言われていました。ネットワークからハッキングなどによる情報漏えいもあるようなので、厳しくなってきている部分です。

 

 

指摘事項はゼロにすることは、ほぼ不可能です。審査員さんも仕事で指摘を出すために審査しに来ますので(笑)なので、指摘事項をどのように対応していくかが重要な部分になってきます。手間をかけないことを重視するのか、早くに終わらせることを重視するのか、今後の運用も考えて改善することを重視するのか。

 

 

指摘事項の改善には正解は何通りもあります。他社の事例は参考程度にして、今後自社に合った運用ができるような改善をするのが、もちろんベストな方法ではありますが、書類作成の手間や、運用の手間も考えなければいけません。通常業務に影響が出ないように、なおかつPマーク(プライバシーマーク)の運用が滞らないように、日々改善を続けていかなければいけませんね。

プライバシーマーク(Pマーク)を取得しよう!審査でよくある指摘事例!

bsYUKA150701038569

いつもご愛読いただきありがとうございます。
さて今回のテーマは、「現地審査によく出る指摘について」

もうすぐ更新申請をしようと思っているそこのあなた、
新しくPマーク(プライバシーマーク)を取得しようと考えているあなた、
これを読んで、ぜひぜひ最近の指摘の傾向をつかんでください。

まあ、どれだけ指摘の対策をしたところで、
指摘は必ず出てしまうものです。
指摘を少なくしようと必死になるなら、会社の業績を上げようと
必死になった方が利口かもしれません。

しかし、そんなこと言っていても話が進まないので、
とっとと進めますね。

さっそくですが
最近指摘が多い箇所といえば、
・・・・・・・・ズバリ「HPに対する指摘」が多いです!

特に多いのが、

『お問い合わせフォームにて個人情報を取得しているが、
本人から同意を得る仕組みになっていない』

こちらの指摘がすごく多いです。
むしろ僕の中では必須だと感じています。

続いて多いのが、

・・・「会社の個人情報をすべて記載している台帳に対する指摘」です!

そのなかでも
『現地審査でヒアリングした内容と台帳に記載された内容との整合がとれていない』

こちらの指摘が多いです!

どうですか?
皆さんが作成している台帳は大丈夫ですか?

ところで、
台帳と言えば、
いろんな企業のPマーク(プライバシーマーク)の運用書類を見させて頂き、
私がよく感じることとして、

自分の会社の規模と書類の中の会社規模が全然違うことです。

よくある例として例えば、

システム構築を仕事にしている会社で
従業員10人規模の会社なのに、
実際Pマーク(プライバシーマーク)の運用書類を見させて頂くと
部署が6個くらいあることになっていたりします。

10人しかいないのに、よくわからない部署が6個も存在しているんです。
明らかにおかしいのですが、
そういう会社でもすでにPマーク(プライバシーマーク)を取得して
4回も更新審査を受けていたりもします。

Pマーク(プライバシーマーク)を運用している方なら、
分かると思いますが、1年に1回内部監査というものを

実施しないといけません。

簡単にいうと、
内部監査とは
「1年の最後に、1年間Pマーク(プライバシーマーク)を
運用できたかどうかを確認する」ことをいいます。

通常10人程度の会社なら、
本社を見るだけなので、
「本社を見ました」という事で、報告書は1枚で済むのですが
部署が6個もあるもんだから、
報告書の枚数も6枚書いていたりするのです。

実際存在しない部署の分まで書かないといけないので、
すごく大変ですよね。

従業員10人の会社ということもあり、
実際の日常業務をしながら、
Pマーク(プライバシーマーク)の運用を兼務しているので、
それはそれは大変だと思います。

実際、それが大変過ぎて弊社とご契約頂いている
お客様も多数存在します。

なぜこういった、実際は存在しない部署が6個も存在しているのか。
その答えは、新規でPマーク(プライバシーマーク)を取得する為に、
以前使っていたコンサルタントからもらったテンプレにあります。

もらったテンプレが大企業向けのテンプレだったものだから、
新規で構築した際に、書類の数も大企業向けに膨大な量になったりしてしまいます。

「そんなことほんとにあるの?」
と疑ったあなた!

それがPマーク(プライバシーマーク)上ではありえるのです。

実際、何もわからないところから、
コンサルタントにお手伝いしてもらうので、
それが正しいのか、正しくないのかわからないのです。

だからテンプレを渡されて、
「これを使ってくださいね」と言われたら、
使うことが正しいと思ってしまうのです。

弊社では、そういったお客様の書類を
少しでも運用しやすいように少なくしようと、
無駄な部分は削っていけるようにお手伝いさせていただいております。

まあ、プライバシーマークのお話はこれぐらいにして
そろそろ縄文土器の作り方についてご説明させて頂きます。

えっ、縄文土器は関係ないだろ?

ところがどっこい。

そう全く関係ないんです。

まあ、関係あるないは置いておいて、
やっぱり時代は縄文土器ですよ。

さっそくですが、
土器づくりの順序についてご説明させて頂きます。
土器づくりにはそれぞれ工程があり、

1、素地作り・・・粘土に砂を混ぜてねるねるね~る(お菓子じゃないよ)

2、成形・・・粘土ひもを積み上げて土器の形を作る。
少し乾かしてから内側を磨く。(ピッカピカにね♡)

3、文様付け・・・縄やヘラで土器の表面に文様を付ける。
(ここでしっかり個性を出していきましょう!)

4、乾燥・・・日陰でゆっくり自然乾燥させる。
(てるてるぼーずは作りましたか?)

5、野焼き・・・薪(マキ)を使って焼き上げる。
(薪がない場合は森で木を切るところから始めましょう)

以上の工程を経て、
縄文土器ができるわけなのです。

どうですか?

一度皆さんも縄文土器を作ってみませんか?

わたしは作ったことがないのでわかりませんが、
きっと楽しいですよ。

こういったモノづくりをするときは、
誰かと一緒に作ると、より楽しくなります。

結局何が言いたかったかはわかりませんが、

今日の血液型占いによると、
B型のわたしは大吉でした。

みんなもHAPPY!!