Pマーク(プライバシーマーク)新規認証で必ず社長が聞かれる7つの重要ポイント

_shared_img_thumb_Green20_yuukyu20141123122037_TP_V

 

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの小林です。

 

近年マイナンバーの影響もあり、Pマーク(プライバシーマーク)(プライバシーマーク)を新規に取得しようとする

企業も多いのではないでしょうか。いざ活動を始め、いよいよ現地審査となった時

代表者の方は何を話せばよいのか?またどんなことを質問されるのだろうか?

と不安になることもあるかと思います。

そこで今回は、Pマーク(プライバシーマーク)新規認証の現地審査で社長が聞かれる7つの重要ポイント

について下記を一つ一つご説明いたします。

 

①Pマーク(プライバシーマーク)のガイドライン要求

②Pマーク(プライバシーマーク)取得の目的 

③いつから運用を開始したか?

④心配事

⑤申請時と変更している点がないか

⑥事業の内容

⑦今後について

 

まず、現地審査当日、初めに実施されるのが、「トップインタビュー」です。

プライバシーマークの最終決定権や報告等はやはり代表者あってのものです。

審査員の方も代表者の方がどのようにプライバシーマークに取り組もうとしているのか

また、どういった企業なのか等を知りたいと思っています。

 

それでは、Pマーク(プライバシーマーク)新規認証で必ず社長が聞かれる7つの重要ポイントの1つ目です。

 

①Pマーク(プライバシーマーク)のガイドライン要求について聞かれる。

 

プライバシーマークの要求事項の中に、「3.9事業者の代表者による見直し」という

ものがあります。ここでは、1年間かけて社内で実施してきた、プライバシーマークの

運用活動について、最終的に代用者に報告をし、次年度へ繋げてもうらものとなります。

PDCAサイクルで運用が回っているプライバシーマークのA(アクション)の部分に

なってきます。

 

「代表者による見直し記録」「マネジメントレビュー」とう企業によってその呼び方は

様々になります。しかし実施する内容は要求事項で決まっています。

基本的な質問項目は要求事項できまっており、下記の7点となります。

 

a)監査及びPMSの運用状況に関する報告

b)苦情を含む外部からの意見

c)前回までの見直しの結果に対するフォローアップ

d)個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況

e)社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化

f)事業者の事業領域の変化

g)内外から寄せられた改善のための提案

 

内部監査実施後にこちらの記録を作成します。代表者の方はこの過去にやった内容

について当日質問されるのです。

上記7つの中でもやはりよく聞かれる部分があり、a)監査及びPMSの運用状況に関する報告

は一番よく聞かれるポイントとなります。自社での内部監査によりどんな指摘がでた

のか、またそれに対して代表者からどんな支持をだしたのか?と聞かれることがあり

ます。

7つのうちa)監査及びPMSの運用状況に関する報告意外は、その場で聞かれたとおり

現状を報告すれば大丈夫ですので、抑えるべき点はこの1点となります。

現地審査当日は「代表者の見直し記録」「マネジメントレビュー」の記録を印刷して

手元に置き、それを見ながら回答することをお勧め致します。

 

②Pマーク(プライバシーマーク)取得の目的について聞かれる

 

プライバシーマークを取得する企業ではその取得理由は様々です。入札の参加条件

となっている、大手企業からの取引要件として必要、対外的なアピールとして取得

したい等、取得理由はその企業によって違うことでしょう。

この質問の場合は、考える必要はありません。代表者の方の思いをそのまま

審査員の方に伝えていただければ大丈夫です。

実際マークだけあれば良いという企業の方もいますが、そのこともそのまま本心を

伝えていただいて問題ありません。審査員の方もそういった理由で取得する企業は

たくさん見て来ています。その上でアドバイスを頂けるかもしれません。

包み隠さずどうしてプライバシーマークを取得しようと思ったかを伝えていただければ

と思います。あまり暑くなり過ぎると、現地審査の時間が長くなってしまいますので

ほどほどにしておきましょう、、、、

 

③いつから運用を開始したか?と聞かれる

 

上記②の質問があったあとに、聞かれるのがこの質問です。新規取得時の質問のなかで

現地審査員が絶対に聞くくらいの質問です。

では運用開始日とはいったいつのことを指すのか?それは、マニュアルや規程を定めた

日付となります。プライバシーマークの活動を始めるには、企業のルールや規格要求

事項にそった運用が必要です、そのため、社内でルールを統一するためにマニュアルや

規程をまず作成します。そのルールにのっとって活動を実施するのが運用ということに

なります。

そのため、実際にいつからプライバシーマークの活動を始めたかを確認する場合は、

マニュアルや規程の制定日を確認しておきましょう。

 

④心配事について聞かれる

 

この質問は審査員の方から(現在運用をしてきて不安な部分や何か代表者として

心配に思っていることはありますか?」というように聞かれることが多いです。

他社事例ですと、「業務上クレジットカード情報を取扱うが複数の人が閲覧をしないと

業務が実施できない、そのため社員教育が重要と思っているがなかなかうまくいかない」

といったようなものがあります。

この質問も代表者の方が現在抱えている悩みや、「当社的にここってどうにか解決

できないかな?」といった部分がある場合は、審査員の方への相談としてありのまま

を答えてもらうのが一番です。もしかすると、何かヒントはひらめきを得ることが

出来るかもしれません。

 

⑤申請時と変更している点がないか聞かれる

 

審査員の方は、現地審査に来るまでに2日間かけてその企業のことを事前に調べて

から現地審査に来ます。そのため、現状での変更点がある場合、審査員のかたの

予定はスケジュールが変更となる可能性があります。その場合にも対応できるよう

審査員の方は申請時と変更が無いかを聞いてくるのです。

 

 

 

 

⑥事業の内容について聞かれる

 

審査員の方は一番メインとなる売り上げの事業内容や、自社の強み、取引企業名等を聞いてきます。

それは、業務の中からどのような個人情報があるかを特定するために聞いていることが多くなり

ます。この場合も特に問題視することはありません。自社の現状をそのまま伝えることが重要と

なります。その結果、午後の記録で個人情報がきちんと特定できているかを確認しますが、

そこで特定されていなかったとしても、審査員の方に宿題を出され、きちんと特定をしておいて

自社の個人情報として認識してくださいと言われるだけです。

 

⑦今後について聞かれる

 

最後にプライバシーマークを取得した後、どのよう

に運用をしていきたいかを聞かれることもあります。

他社事例ですと、「社員教育に力をいれていきたい」「無理なく継続できる内容で最低限実施をしていき

たい」「毎年スパイラルアップしていけるようにしたい」などです。

この場合も代表者の方がどのビジョンで考えているかによって回答方法は様々となります。

 

 

いかがでしょうか。最後まで目を通していただいてお分かりの通り、現地審査当日のトップインタビューで

話してはいけないことは無いのです。審査員の方に聞かれた質問に、自社の現状は代表者の方の思いを

そのまま伝えていただければ大丈夫です。

代表者の方の取り組み方によってプライバシーマークの運用の仕方も変わってきます。

他社事例を交えてご対応させていただきます。お悩みの際は是非当社コンサルタントまでお問い合わせください。

Pマーク(プライバシーマーク)及びISO27001取得・維持動機ベスト3

-shared-img-thumb-N112_sukejyurucyouseicyu_TP_V

愛読者の皆様、いつもありがとうございます。
また、今回初めての皆様、今後とも宜しくお願い致します。
ISO総合研究所コンサルタントの田牧です。

 

今回のテーマは

「ISO27001(アイエスオー27001)及びPマーク(プライバシーマーク)取得・維持動機ベスト3」

をお伝えさせて頂きます。

 

私たちコンサルタントはISO27001(アイエスオー27001)及びPマーク(プライバシーマーク)の取得・維持のため各種お手伝いをさせて頂いています。
その中で最も重要な活動と位置づけしているものの一つが、「マネージメントレビュー」「代表者による見直し」と言われる活動です。
これは、各マネジメントシステムの活動をトップにより見直しを行い、今後の活動につなげていくというものです。
ここで、各企業・団体様のISO27001(アイエスオー27001)及びPマーク(プライバシーマーク)の取得・維持の動機に触れることになるのです。
それでは早速取得・維持動機についてご紹介していきましょう。

 

・お取引先からの要求による取得、維持
これはこのまま、お取引先からの要求により取得、維持されている企業・団体様です。
この企業・団体様の場合、非常に多いのが、「これまでは取得予定としていたが、ついに取得が必要となった」というパターンです。嫌なこと、面倒なこと、費用が掛かることは先送りにしておきたいと、ごまかしながら対応していたがついに必要となることが多いようです。
ごく少数ではありますが、早急な取得が必要だと、取得希望時期をかなり短期間で提示される場合があります。
できる限り対応させて頂きますが、やはり、計画的なご取得することをおススメいたします。
ISO27001(アイエスオー27001)では少なくても3ヶ月、Pマーク(プライバシーマーク)では6カ月以上の期間を念頭に活動して頂けるとよろしいかと思われます。詳細は、弊社までお問い合わせください。

 

・お取引先(お客様)への信頼性強化
こちらは、その企業・団体様の信頼性を得てもらうため、ISO27001(アイエスオー27001)及びPマーク(プライバシーマーク)を取得・維持するものです。
個人でも開設するほど身近となったECサイト(ネット通信販売)運営会社様は、以前より、個人情報を多く取得・管理することより、ISO27001(アイエスオー27001)及びPマーク(プライバシーマーク)の取得・維持することで、利用者の信頼性につなげることに利用されています。最近急増しているのが、社会保険労務士を中心とした所謂「士業」の方々です。
士業の方々は、各種重要情報、個人情報を各法令により守秘義務があり、もともと信頼性の持った状況ではありました。
しかし、あの「マイナンバー」の運用開始に伴い、さらなる信頼性強化のため、取得・維持される傾向にあります。
こちらは、お取引先(顧問先)からの要求の場合も見受けられるようなりました。

 

・重要情報、個人情報保護のための社内体制づくり、強化
こちらは、最も多い理由かもしれません。
これまでの理由に加えて、ISO27001(アイエスオー27001)及びPマーク(プライバシーマーク)を取得・維持することで、社内体制づくり、強化につなげたいというものです。
これは非常に理にかなっており、ISO27001(アイエスオー27001)及びPマーク(プライバシーマーク)どちらも各種情報の取扱い等、社内ルールを決定することが求められています。
まずは社内ルール等を明文化することで社内体制づくりにつなげていきたいとお考えになるのは自然な流れではないでしょうか。
ISO27001(アイエスオー27001)及びPマーク(プライバシーマーク)どちらもスパイラルアップしていくことを重要視しています。つまり、各種活動を通して情報セキュリティ及び個人情報保護体制を日々、毎年強化していくことが重要なポイントとなります。
もちろん規格要求上求められることは多々ありますが、まずは最低限の体制・状況を作り、徐々に強化されるその切っ掛けとしてISO27001(アイエスオー27001)及びPマーク(プライバシーマーク)の取得・維持を目指す企業・団体様は非常に多いことをご理解頂けたらと思います。
この社内体制づくり、強化について、何もないところから独自につくり上げていく労力は非常に負担がかかりますので、そんな時、弊社のようなコンサルタントをうまく活用して頂いているようです。

 

最後に、今回のテーマの切っ掛けとなった「マネージメントレビュー」や「代表者による見直し」において皆様最後に共通してお話頂くことをお伝えいたします。
それは、最後は「人」が最も重要であるということです。
いくら第三者にISO27001(アイエスオー27001)及びPマーク(プライバシーマーク)の認証を得たとしても、事故が起こる時には起こる。
その事故発生の確率を低減させ、拡大させないために重要なのは「人」=「従業員」であると皆さんからお話を頂きます。ISO27001(アイエスオー27001)及びPマーク(プライバシーマーク)の認証があるからと言って事故が発生しないわけではありません。このことについては、弊社ISO総合研究所は、おかげさまで約1400社様とのお付き合いをさせていただく、業界随一のISO・Pマークのコンサルタント会社です。
そのあらゆるお客様の事例も大いに活用させて頂きサポートさせて頂いております。
何か気になる点がございましたら、お気軽にご連絡いただけたら幸いです。

Pマーク(プライバシーマーク)新規取得で必ず社長が聞かれる7つの重要ポイント

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの小林です。

 

近年マイナンバーの影響もあり、Pマーク(プライバシーマーク)を新規に取得しようとする

企業も多いのではないでしょうか。いざ活動を始め、いよいよ現地審査となった時

代表者の方は何を話せばよいのか?またどんなことを質問されるのだろうか?

と不安になることもあるかと思います。

そこで今回は、Pマーク新規認証の現地審査で社長が聞かれる7つの重要ポイント

について下記を一つ一つご説明いたします。

 

①Pマークのガイドライン要求

②Pマーク取得の目的

③いつから運用を開始したか?

④心配事

⑤申請時と変更している点がないか

⑥事業の内容

⑦今後について

 

まず、現地審査当日、初めに実施されるのが、「トップインタビュー」です。

プライバシーマークの最終決定権や報告等はやはり代表者あってのものです。

審査員の方も代表者の方がどのようにプライバシーマークに取り組もうとしているのか

また、どういった企業なのか等を知りたいと思っています。

 

それでは、Pマーク新規認証で必ず社長が聞かれる7つの重要ポイントの1つ目です。

 

①Pマークのガイドライン要求について聞かれる。

 

プライバシーマークの要求事項の中に、「3.9事業者の代表者による見直し」という

ものがあります。ここでは、1年間かけて社内で実施してきた、プライバシーマークの

運用活動について、最終的に代用者に報告をし、次年度へ繋げてもうらものとなります。

PDCAサイクルで運用が回っているプライバシーマークのA(アクション)の部分に

なってきます。

 

「代表者による見直し記録」「マネジメントレビュー」とう企業によってその呼び方は

様々になります。しかし実施する内容は要求事項で決まっています。

基本的な質問項目は要求事項できまっており、下記の7点となります。

 

a)監査及びPMSの運用状況に関する報告

b)苦情を含む外部からの意見

c)前回までの見直しの結果に対するフォローアップ

d)個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況

e)社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化

f)事業者の事業領域の変化

g)内外から寄せられた改善のための提案

 

内部監査実施後にこちらの記録を作成します。代表者の方はこの過去にやった内容

について当日質問されるのです。

上記7つの中でもやはりよく聞かれる部分があり、a)監査及びPMSの運用状況に関する報告

は一番よく聞かれるポイントとなります。自社での内部監査によりどんな指摘がでた

のか、またそれに対して代表者からどんな支持をだしたのか?と聞かれることがあり

ます。

7つのうちa)監査及びPMSの運用状況に関する報告意外は、その場で聞かれたとおり

現状を報告すれば大丈夫ですので、抑えるべき点はこの1点となります。

現地審査当日は「代表者の見直し記録」「マネジメントレビュー」の記録を印刷して

手元に置き、それを見ながら回答することをお勧め致します。

 

②Pマーク取得の目的について聞かれる

 

プライバシーマークを取得する企業ではその取得理由は様々です。入札の参加条件

となっている、大手企業からの取引要件として必要、対外的なアピールとして取得

したい等、取得理由はその企業によって違うことでしょう。

この質問の場合は、考える必要はありません。代表者の方の思いをそのまま

審査員の方に伝えていただければ大丈夫です。

実際マークだけあれば良いという企業の方もいますが、そのこともそのまま本心を

伝えていただいて問題ありません。審査員の方もそういった理由で取得する企業は

たくさん見て来ています。その上でアドバイスを頂けるかもしれません。

包み隠さずどうしてプライバシーマークを取得しようと思ったかを伝えていただければ

と思います。あまり暑くなり過ぎると、現地審査の時間が長くなってしまいますので

ほどほどにしておきましょう、、、、

 

③いつから運用を開始したか?と聞かれる

 

上記②の質問があったあとに、聞かれるのがこの質問です。新規取得時の質問のなかで

現地審査員が絶対に聞くくらいの質問です。

では運用開始日とはいったいつのことを指すのか?それは、マニュアルや規程を定めた

日付となります。プライバシーマークの活動を始めるには、企業のルールや規格要求

事項にそった運用が必要です、そのため、社内でルールを統一するためにマニュアルや

規程をまず作成します。そのルールにのっとって活動を実施するのが運用ということに

なります。

そのため、実際にいつからプライバシーマークの活動を始めたかを確認する場合は、

マニュアルや規程の制定日を確認しておきましょう。

 

④心配事について聞かれる

 

この質問は審査員の方から(現在運用をしてきて不安な部分や何か代表者として

心配に思っていることはありますか?」というように聞かれることが多いです。

他社事例ですと、「業務上クレジットカード情報を取扱うが複数の人が閲覧をしないと

業務が実施できない、そのため社員教育が重要と思っているがなかなかうまくいかない」

といったようなものがあります。

この質問も代表者の方が現在抱えている悩みや、「当社的にここってどうにか解決

できないかな?」といった部分がある場合は、審査員の方への相談としてありのまま

を答えてもらうのが一番です。もしかすると、何かヒントはひらめきを得ることが

出来るかもしれません。

 

⑤申請時と変更している点がないか聞かれる

 

審査員の方は、現地審査に来るまでに2日間かけてその企業のことを事前に調べて

から現地審査に来ます。そのため、現状での変更点がある場合、審査員のかたの

予定はスケジュールが変更となる可能性があります。その場合にも対応できるよう

審査員の方は申請時と変更が無いかを聞いてくるのです。

従業者人数や、新しく開始した事業について、又は、廃止した事業について、

 

⑥事業の内容について聞かれる

 

審査員の方は一番メインとなる売り上げの事業内容や、自社の強み、取引企業名等を聞いてきます。

それは、業務の中からどのような個人情報があるかを特定するために聞いていることが多くなり

ます。この場合も特に問題視することはありません。自社の現状をそのまま伝えることが重要と

なります。その結果、午後の記録で個人情報がきちんと特定できているかを確認しますが、

そこで特定されていなかったとしても、審査員の方に宿題を出され、きちんと特定をしておいて

自社の個人情報として認識してくださいと言われるだけです。

 

⑦今後について聞かれる

 

最後にプライバシーマークを取得した後、どのよう

に運用をしていきたいかを聞かれることもあります。

他社事例ですと、「社員教育に力をいれていきたい」「無理なく継続できる内容で最低限実施をしていき

たい」「毎年スパイラルアップしていけるようにしたい」などです。

この場合も代表者の方がどのビジョンで考えているかによって回答方法は様々となります。

 

 

いかがでしょうか。最後まで目を通していただいてお分かりの通り、現地審査当日のトップインタビューで

話してはいけないことは無いのです。審査員の方に聞かれた質問に、自社の現状は代表者の方の思いを

そのまま伝えていただければ大丈夫です。

代表者の方の取り組み方によってプライバシーマークの運用の仕方も変わってきます。

他社事例を交えてご対応させていただきます。お悩みの際は是非当社コンサルタントまでお問い合わせください。