Pマーク(プライバシーマーク):脆弱性対策ってなんですか

 

_shared_img_thumb_YUKA150701098458_TP_V(1)

 

いつもご愛読いただき、誠にありがとうございます。

ISO総合研究所コンサルタントの小林です。今回はPマーク(プライバシーマーク)取得時や更新時の現地審査で、審査員が必ず確認してくる内容についてお伝えいたします。

 

Pマーク(プライバシーマーク)は主に個人情報を適切に保護するための制度ですが、Webサイトでも個人情報を収集することが多いため、Webサイトにおける実施すべきセキュリ ティ対策についても説明されています。一般財団法人 日本情報経済社会推進協会 プライバシーマーク推進センターから発行されている「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン -第2版-」では、以下の項目についてウェブアプリケーションのセキュリティ対策が、望ましい対策手法として掲載されています。

 

 

「Ⅱ技術的安全管理措置として講じなければならない事例と望ましい手法の例示」より抜粋

(P104)

2:個人情報へのアクセス制御

→ 「(8)個人情報を取り扱う情報システムに導入したアクセス制御機能の有効性を検証していること」 の具体例の一つとして、 「ウェブアプリケーションの脆弱性の有無を検証すること」 が挙げられています。

 

(P107)

6:個人情報の移送・通信時の対策

→ 「(3)盗聴される可能性のあるネットワーク(例えばインターネットや無線LAN等)で個人情報を送信する際に、個人情報の暗号化又はパスワードロック等の秘匿化の措置を講じていること」 の具体例の一つとして、 「ウェブサイトで本人に個人情報を入力させる場合、SSL、SQLインジェクション、クロスサイトスクリプティング対策等の措置を実施している」 ことが挙げられています。

つまりPマークでは、ウェブサイトで個人情報を取得する場合は、Webアプリケーションに脆弱性がないか確認することや、代表的な脆弱性であるSQLインジェクションやクロスサイトスクリプティングへの対策を実施するよう求めているということになります。

 

 

さあ、でてきました、この聞きなれない単語!!!

SQLインジェクションクロスサイトスクリプティング!!!!

では一つ一つどんなことなのかをご説明します。

 

 

 

SQLインジェクションとは??

SQLインジェクションは、一言で言うと不正にSQLを書き換えてしまう攻撃手法です。名前からするとデータベース上のセキュリティ脆弱性のように思ってしまうかも知れませんが、実はそうではなく、Webアプリケーション側の問題のようです。データベースは、安全なSQLであるか不正に書き換えられたSQLであるかを見分けることは出来ず、文法さえ正しければSQLを実行して結果をしまうのです。それはデータベースにとって期待通りの動作であり、文法的に正しいSQLを実行するのは欠陥でも何もなく、むしろ実行出来ないのが欠陥であると言えてしまいます。つまり、Webアプリケーション側でSQLが書き換えられた時点で、時はもう既に遅しとなってしまいます。

まとめると、データベースへの命令の組み立て方に問題があり、データベースを不正に操作されてしまう可能性があるということです。

 

 

 

では、その対策はどうすればよいのでしょうか?難しい言葉が多くでてきて、ご担当者の方もわけがわからなくなると思います。ですが、重要なことは、無理に説明方法を覚えたり、仕組みを理解したりする必要はないということです!

 

 

 

大抵の場合は、ホームページを委託している企業に「当社のホームページについて、SQLインジェクションの対策はどうなっていますか?」と聞いていただければ答えはでるはずです。現地審査の際にはその確認したメールの内容を手元に置き、委託先に確認したところ、このような回答がありましたと、メールの文面を見せれば審査員は納得します。

 

 

 

もう一度言います。SQLインジェクションについて理解をしたり、説明できたりする必要はありません!SQLインジェクションの対策がどのようにされているか確認をしておけばよいのです。

では次にもう一つでてきた聞きなれない言葉についてです。

 

 

 

クロスサイトスクリプティングとは??

ウェブページの部分をユーザからの入力をそのままエコーバック(オウム返し)することによって生成しているアプリケーションのセキュリティ上の不備を利用して、サイト間を横断して悪意のあるスクリプトを注入する攻撃のことをいいます。また経緯上、それを許してしまう脆弱性についても、このように呼ばれています。

典型的には、攻撃者が攻略対象となるウェブサイトとは異なるサイトからスクリプトを送り込み、訪問者に実行させるので、「クロスサイト(サイトを横断した)スクリプティング(スクリプト処理)」と呼ばれます。

ウェブアプリケーションが入力したデータ(フォーム入力など)を適切にエスケープしないままHTML中に出力することにより、入力中に存在するタグ等文字がそのままHTMLとして解釈されます。ここでスクリプトを起動させることにより、以下に挙げるような攻撃が成立します。

 

 

 

はい、また難しい言葉がたくさんでてきましたね。もうお気づきかも知れませんが、無理に説明方法を覚えたり、仕組みを理解したりする必要はないということです!

クロスサイトスクリプティングについても、上記のSQLインジェクションと同じです。

委託先へ連絡していただき、「当社のホームページについて、クロスサイトスクリプティングの対策はどうなっていますか?」と聞いていただくだけで大丈夫です。

 

 

現地審査前は不安になることも多いと思います。確認事項がたくさんあって担当者のみでは確認しきれないこと、見落としていることもあるかもしれません。当社では、上記のお客様にやっていただかないと当社ではできないことを「お願い事項」として、お客様に実施していただいています。何をやるべきか、現地審査の対策、チェックについても当社へご連絡ください。一緒に現地審査の対策を実施してきましょう。

Pマーク(プライバシマーク)審査機関を選ぶ上でのメリット・デメリット

 

_shared_img_thumb_PASONAZ160306440I9A2362_TP_V

 

ご愛読者の皆様、いつもありがとうございます。

また、初めての方も、ありがとうございます。

ISO総合研究所コンサルタントの久米です。

今回は、

『Pマーク(プライバシマーク)審査機関を選ぶ上でのメリット・デメリット』をお伝えしたいと思います。

 

弊社がお手伝いさせて頂いているお客様で

特に、更新申請を予定のお客様から、

「Pマーク(プライバシーマーク)の審査機関ってJIPDECだけじゃないの??」

と言われることがあります。

 

現在、日本国内にはPマーク(プライバシーマーク)の審査を行える審査機関(指定審査機関)は

19 機関 あります。

 

下記をご参考ください♪

  1. 一般社団法人情報サービス産業協会[JISA]
  2. 一般社団法人日本マーケティング・リサーチ協会[JMRA]
  3. 公益社団法人全国学習塾協会[JJA]
  4. 一般財団法人医療情報システム開発センター[MEDIS-DC]
  5. 一般社団法人全日本冠婚葬祭互助協会[全互協]
  6. 一般社団法人日本グラフィックサービス工業会[JaGra]
  7. 一般社団法人日本情報システム・ユーザー協会[JUAS]
  8. 公益財団法人くまもと産業支援財団[KPJC]
  9. 一般社団法人中部産業連盟[中産連]
  10. 一般財団法人関西情報センター[KIIS]
  11. 一般財団法人日本データ通信協会[JADAC]
  12. 一般社団法人コンピュータソフトウェア協会[CSAJ]
  13. 特定非営利活動法人みちのく情報セキュリティ推進機構[TPJC]
  14. 一般社団法人日本印刷産業連合会[日印産連]
  15. 一般財団法人放送セキュリティセンター[SARC]
  16. 一般社団法人北海道IT推進協会[DPJC]
  17. 特定非営利活動法人中四国マネジメントシステム推進機構[中四国MS機構]
  18. 一般社団法人モバイル・コンテンツ・フォーラム[MCF]
  19. 一般財団法人日本経済推進協会[JIPDEC]

JIPDECホームページ引用 http://privacymark.jp/agency/member_list.html

Pマーク(プライバシーマーク)指定審査機関とは??

プライバシーマーク制度付与機関である、

一般財団法人日本情報経済社会推進協会(略称:JIPDEC)によって

指定された民間事業者団体です。

 

ただ、お客様は

・「東京はJIPDEC!!」

・「大阪はKIIS!!」と思いがちです。

 

これは、取引先から勧められたり、インターネットで独自に調べた結果、一番最初に見たり、聞いたりするのが上記の2機関であると考えられます。(有名ですからね)
実は地域を管轄している審査機関以外へ申請し、審査を受けてもらうことは可能ですし、更新のタイミングで審査機関を変えることもできます。

例えば、大阪のPマーク取得企業がJIPDECや九州の審査機関と言った地域を管轄する審査機関へ出すことは出来ませんが、東京にあるJIPDEC以外の審査機関で審査を受けてもらうことは可能です。

上記を行うことで、大きく2つのメリットが考えられます!!

 

①取得までの期間短縮

・現地審査までの待ち時間ですが、やはり大元のJIPDECは登録している企業も多いので、申請を出してから実際に現地審査が行われるまで大体3~4ヶ月かかります。

その他の審査機関であれば大抵2.5~3ヶ月くらいです。年末年始等時期的には込み合っていることもあります.

短期で取得を目指したい方にとっては無駄な期間を過ごさざるえないことと防ぐこと可能です。

 

②自社に合った良い審査(審査員)

・どの審査機関とは申しませんが、評判の悪い(クレームの多い)審査機関は存在します。
そういう審査機関に限って審査の指摘の際には

「規格に準拠するため」

[審査に受かるために必要だから」

というような理由のみで指摘を出す審査機関(審査員)があります。
規格を中心に考えてしまうと審査に受かりやすいかもしれませんが、

Pマーク(プライバシーマーク)のルールに縛られ業務効率が非常に損なわれてしまう可能性があります。
審査機関によっては業務の内容や会社の規模をきちんと正しい意味で考慮して審査をしてくれるところもあります。

 

これらのメリットがある中でデメリットがあるとしたら

それは……「お金」です!!
まず審査機関によっては審査料金と別に数万円の入会金と少しの年会費がかかる機関もあります。
もうひとつは交通費です。地域管轄以外の審査機関は東京にあります。東京都内関東圏の方であればあまり気になりませんが、大阪の場合だと東京・大阪間の新幹線代が往復2人分かかります。

 

ただ、上記3つのメリットのうち1つでも魅力を感じられる方がいれば審査機関を変えるメリットは十二分にあると思います。

 

長々とお話をさせて頂きましたが、いかがでしたでしょうか??

なんとなくでもわかって頂けましたでしょうか??

まだ、よくわからない!!

わかったけど本当はどうなの??と思った方は

1度、弊社のお話しを聞いていただきご検討いただければ幸いです。

・これからPマーク(プライバシーマーク)取得を検討している。

・Pマーク(プライバシーマーク)を取得したけど、運用がうまくいかない。

・Pマーク(プライバシーマーク)を取得したけど、今後どうしたらいいのかがわからない。

・Pマーク(プライバシーマーク)の審査機関変えたいのだけど、どうしよう??

などなど、一人で、自社だけでどうすればいいのかお考えでしたら

弊社は、現在、1,450社様以上のサポートをさせて頂いております。

豊富な実績で精一杯サポートさせていただきます。

 

プライバシーマーク(Pマーク)の取得後の運用がしんどくなったら

 

_shared_img_thumb_LIG75_hiroyukidenwa1194_TP_V

初めましての方は初めまして

既に知っているよという方はこんにちは

ISO総合研究所コンサルタントのダチョウこと、立松 夏樹です。

 

今回は、プライバシーマーク(Pマーク)の運用でしんどくなったらどうするかについて

お話しさせていただければと思います。

 

そもそも、プライバシーマーク取得・運用ってしんどいの?

という疑問から解決していきましょう!

└結論、しんどいです。個人情報取扱いのルール決め、様式等の書類の作成を

プライバシーマーク(Pマーク)のガイドラインを参考に作る必要があるからです。

 

ではどうして取得・運用がしんどくなるのかについて考えましょう!

 

今まで、お手伝いさせていただいている企業様の担当者にお聞きをしたところ

①何も分からないのに突然担当者にさせられたため、やり方が分からない

②業務の傍らで、プライバシーマーク(Pマーク)の書類作成するのが大変と感じている

がしんどくなる大半の理由になります。

 

①の場合、簡単に言うと何も分からない

この時、担当者の方は本当にプライバシーマーク(Pマーク)について何も分からないので

最初に考えるのは取得に向けて何が必要なのか調べます。

調べた結果、こんなにも必要なことがあるのかと知り、愕然とします。

 

②の場合、既に会社でプライバシーマーク(Pマーク)を持っている会社様に多い理由です。

この時、プライバシーマーク(Pマーク)関連の記録を作る場合、通常業務と並行して書類の作成に

勤しみます。この時に作業の大変さに気づき愕然とします。

 

どちらも作業の多さに愕然とするのが大半です。

 

ある企業様の担当者に至っては、

僕らがお手伝いさせていただく前は申請時期、審査前は徹夜をして記録作成に時間をあてていた話も聞いております。

特に申請期限ギリギリになった時に社員を総動員して書類作成を実施していたとのことでした。

 

これからプライバシーマーク(Pマーク)取得・更新の担当者にこれからなる予定の方、担当に割り振ろうと考えている方、上でもお話しした通り、プライバシーマーク(Pマーク)取得の作業で一番伝えたいことは、(作成させていただいている身分といたしましては)

「とにかく大変」の一言です。

 

今までのブログを読んでいただいている方は、ご存知かもしれませんが、プライバシーマーク(Pマーク)に必要な書類は、企業様によっても違いますが、紙が100ページ以上必要なこともございます。場合によっては、ファイルがパンパンになることもございます。

以下、必要書類の一例です。

・申請書

・記録(台帳・リスク分析・法令・委託先・教育・監査・代表者の見直し)

・帳票・様式類(秘密保持の契約書、従業員の同意書、採用応募者の同意書等10種類

以上の様式)

・規程

・マニュアル

…etc

上記必要書類を全部足すと、100枚以上の紙を印刷が必要になります。

印刷代も安くはございません。これらの書類を作成する労力を自社でさせるとなると

かなり大変になります。

 

また、審査が終わった後も、指摘を改善する工程が発生します。

この指摘改善、早ければ1~2ヶ月で終わりますが、かかってしまうと半年以上かかる場合もございます。さらに現在、一般財団法人日本情報経済社会推進協会(JIPDEC)から

半年で指摘の改善を終了させなければならないとアナウンスがありました。指摘数にもよりますが再指摘等の対応も必要になることも考えると、とても通常業務の合間、合間で処理をするのも難しくなります。

※実際に80個の指摘が出て、5回以上も改善文書を提出した事例もございます。その後審査員から改善対応が完了した旨の報告が来るまで半年以上かかりました。

このようにプライバシーマーク運用は何も記録を作成するだけで終わりございません。申請対応、指摘改善対応もプライバシーマーク(Pマーク)の運用に関わってきます。

 

このようにプライバシーマーク(Pマーク)の運用が流れていくと必要な事項が多く出てきます。

これを自社で全て回せる規模の企業であれば僕たちみたいな運用代行会社はいりません。

しかし、全ての企業が大企業ではございません。

最少で2人からプライバシーマーク(Pマーク)は運用できます。なので、今、自分が担当している企業様で最小の規模は2名の企業様です。元々、お客様要求でプライバシーマーク(Pマーク)の取得を検討したが自分たちで取得をしようにも業務量的に不可能だったので僕たちが取得支援をさせていただいていきました。その結果、現在この企業は、契約から2ヵ月で申請、指摘改善に1.5か月の時間で完了させることが出来ました。これを自社でやろうとしたら相当の負担をかけてしまいます。

 

これからプライバシーマーク(Pマーク)の取得を検討している方、運用を自分たちで実施しようと考えている企業様は何卒、自分たちの業務を効率化させるためにも自分たちだけでやろうとせずに取得代行も選択肢の1つとして持っておくことをオススメします。

 

私達、ISO総合研究所は、月2.5万円でプライバシーマーク(Pマーク)やISO、ISMSに関わる自社での作業負担を限りなく0にできます。ぜひともお話しだけでも聞いていただければと思います。

末筆ではございますが、これにて失礼いたします。

 

 

 

Pマーク(プライバシーマーク)更新時期とそれまでに何したらいいの?

-shared-img-thumb-CSS85_mbakubiwokashige20131019_TP_V

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの岡山です。

今年は暖冬と言われておりましたが最近めっきり寒くなって参りました。

皆様、風邪などにはくれぐれもお気を付けくださいませ。

 

さて今回は

Pマーク(プライバシーマーク)の更新時期とそれまでに何をしておかないといけないのか

についてお話しさせてもらいます。

 

更新をするに当たって、まずいつまでが更新期限でいつから更新の申請が

できるのかを把握する必要がございます。

 

例えば、先日お伺いした総合系の人材派遣会社のお客様ですとPマーク(プライバシーマーク)の

有効期限が2016年12月16日でした。そうしますと、申請書類を審査機関に提出する期限は

有効期限の4か月前となりますので2016年8月16日までには提出しないといけなければなりません。

 

さらに,今申し上げたのはあくまでも期限。

つまりは締切りですのでこの日をめがけて準備しているようでは余裕がないですよね。

自動車の免許更新のように、更新期間が設けられており更新申請は、

有効期間の終了する8ヶ月前から4ヶ月前までの間に行わなければなりません。

つまりは2016年4月16日から2016年8月16日までに

更新申請が出来ることがお分かり頂けると思います。

 

そして大事なのが運用の状況です。

 

運用でやっておかないといけないことを、弊社では7つ道具と呼んでいます。

1.個人情報管理台帳の更新

台帳は年1回の見直しが求められます。
新しく扱うことになった個人情報はありませんか?
もう扱っていない個人情報はありませんか?
それらを見直して台帳に反映しましょう!

2.リスク分析の更新

台帳と同じようにリスク分析も年1回の見直しが求められます。
リスク分析は台帳との紐付が必要になりますから、
台帳で変化があった個人情報はリスク分析に確実に反映しましょう!

3.関連法令の更新

法令は現在、御社と関連している法令が改訂していないかを確認し、最新の状態にしましょう!
改訂されているかはHPで簡単に調べることができます!

4.委託先の評価・選定の見直し

1年ごとに委託先は評価をしなおしましょう!
御社の個人情報を扱うのですからきちんと運用できているかのチェックは必要です!

5.教育の実施

Pマークでは年1回以上の教育の実施を求められます。

テストの解答用紙やアンケートなど、
教育を行った記録が求められますのでしっかり準備しましょう!

6.内部監査の実施

教育と同じように内部監査も年1回求められます。
本来なら2年間分必要になりますが、去年の分を実施していない場合、悩みますよね?
そんなときは正直に内部監査を行ってないことを不適合にしてしまいましょう!
そしてその後に是正処置を行ってくださいね!

7.代表者の見直し

内部監査を受けて代表者の方は
今後の個人情報の運用についてチェックを行いましょう。
ここで1年間の反省を行い、来年度の方針を決定します。

上記の7つは全て記録として残さなくてはならないものばかりです。
なかなか手間がかかります。

 

その他にも

・登記事項証明書(「履歴事項全部証明書」あるいは「現在事項全部証明書」)等、申請事業者の実在を証する公的書類 (申請の日前3ヶ月以内に発行のもの。コピー不可)

・定款、その他これに準ずる規程類

・会社パンフレット(ある場合)

などなど更新を行うための申請書及び記録、マニュアルや安全管理規程などたくさんの書類がPマーク(プライバシーマーク)には必要となります。

 

上記でご紹介しましたが作業や必要なものは当然これだけではございません。

特に本業を進めながらPマーク(プライバシーマーク)を運用するのは物凄く大変なことだと思います。

仮に僕が今このブログを読んでいただいているあなたの通常の業務をこなしながら

兼務でPマーク(プライバシーマーク)を運用出来る自信が全くありません。

ISO総合研究所では平均半年、最短で3,4ヶ月で

Pマーク(プライバシーマーク)が出来るようサポートさせて頂いております。

 

よくお手伝いさせてもらう前にお客様がよくおっしゃられているのが

・Pマーク(プライバシーマーク)を取得しているけど、運用がうまくいっていない。

・Pマーク(プライバシーマーク)を取得はできたけど今後どうしたらいいのかがわからない。

 

 

などなど、自社だけでどうすればいいのかお考えでしたら

1度、弊社のお話しを聞いていただきご検討いただければと思います。

ISO総合研究所では最短で3,4ヶ月、平均8か月でPマーク(プライバシーマーク)が

出来るようサポートさせて頂きます。

もちろん、1からPマーク(プライバシーマーク)を所得するお手伝いもさせて頂いております。

このような面倒な作業や面倒な運用はすべて弊社が引き受けます。

Pマーク(プライバシーマーク)のことでお困りの事、相談がありましたらお気軽にISO総合研究所にご連絡ください。

 

 

 

 

 

 

Pマーク(プライバシーマーク)取得後は何をすればいいの?

bsMAX85_yacchimatta14095526
ご愛読者の皆様、いつもありがとうございます。ISO総合研究所コンサルタントの久米です。 

今回は、「Pマーク(プライバシーマーク)取得後は何をすればいいの?」

お伝えしたいと思います。

 

Pマーク(プライバシーマーク)取得に向けて、

①マニュアル類の作成 ⇒ ②記録の作成・実施 ⇒ ③申請書作成 ⇒ ④形式審査

⇒⑤文書審査 ⇒ ⑥現地審査 ⇒ ⑦指摘改善 ⇒ ⑧審査会

⇒ ⑨Pマーク(プライバシーマーク)取得決定と

やっと取得出来たと思ったらダメですよ!!!!

 

 

Pマーク(プライバシーマーク)は、

自社のPDCA(ピーディーシーエー)サイクルを廻していく事が1番の目的です。

取得するまでよりも、取得後が1番大事で重要なんです!!!!

 

 

取得後は、1年を1サイクルとして、下記の項目を必ず見直しをしていきます。

Pマーク(プライバシーマーク)の更新申請は、2年に1度なので、

2年分の運用記録が必要です。

 

 

①個人情報の見直し

∟自社で扱う個人情報の洗い出しを行う。

例:件数の見直し、廃棄方法の見直し、媒体の見直し(紙なのかデータなのか)など

 

②法令関連の見直し

∟自社が業務をする中で必要な法令・条例の洗い出しを行う。(改訂も更新していく)

例:マイナンバー制度(↓正式名称は下記です)

「行政手続における特定の個人を識別するための番号の利用等に関する法律」

 

③リスク分析の見直し

∟見直しを行った「個人情報」のリスクを洗い出し、対策の見直しを行う。

例:取得・入力、移送・送信、利用・加工、委託・提供、

保管・バックアップ、破棄・消去の各項目に対しての対策を考える。

 

④委託先の見直し

∟自社の個人情報を委託している企業の洗い出しを行う。

例:メールサーバ会社、HPサーバ会社、社労士、税理士など

 

⑤教育の実施

∟個人情報に関する教育を実施する。

例:教育に関しては、計画の記録と実施の記録を作成、テストの実施が必要

 

⑥内部監査の実施

∟自社のPDCA(ピーディーシーエー)サイクルが運用出来ているかのチェックを行う。

例:監査に関しては、計画の記録、実施の記録を作成、各部署、各事業をチェックする。

1番重要なのは、所属している部署を監査は出来ないということ!!!

クロスチェックが重要なので、1人がすべての部署をみることは出来ません。

 

⑦代表者の見直し

∟内部監査の結果を元に、代表者がインプットに対するアウトプットを行う。

例:不適合の修正指示、今後の運用方針など

 

⑧マニュアル・安全管理に規程している運用の記録

例:来訪者記録、従業員の入退室記録、従業員の同意書・誓約書、

委託先との覚書(誓約書)、運用ができているかのチェック様式など

 

上記に列挙した項目は【最低限】必要な項目ですので、自社の運用に合わせ増えていきます。

 

 

☆Pマーク(プライバシーマーク)取得後に、よく不適合になるポイントを紹介

個人情報保護のガイドライン要求事項に、

「所属する認定個人情報保護団体の名称および苦情の解決の申し出先」に所属している場合は

公表しなければならないことになっています。

上記は任意なので、所属しなくてもいいのですが意外と皆様所属しています!!

(JIPDEC【一般財団法人 日本情報経済社会推進協会】のサイトで一覧が調べられます)

1度確認してみてはいかがでしょうか??

 

Pマーク(プライバシーマーク)取得後、プライバシーマークが付与されます、

このプライバシーマークにも、設定条件があるのをご存知でしょうか??

HP上にプライバシーマークを掲載する場合は、プライバシーマークをクリックすると

JIPDEC【一般財団法人 日本情報経済社会推進協会】に指定されたURLへ飛ぶように

リンクを張らないといけません。

こちらも1度確認してみてはいかがでしょうか??

 

上記2点に関しては、実際にお客様へ御伺いさせて頂きHPを拝見させて頂くと

結構な確率で両方もしくは片方ができていません。御社はいかがでしょうか??

 

 

担当者の方々へ

本業をしながら、上記の項目を1年づつ作成、更新、チェック。。。。。

上記をすべて出来ても、1つも評価はされません。

Pマーク(プライバシーマーク)は、

取得していれば売上が上がったり、受注が急に増えるわけではありません。

出来て当たり前と思われています。

こんな状態で、本業に精一杯(100%)の力が発揮できますか??

 

ISO総合研究所では平均半年、最短で3,4ヶ月(平均半年くらい)で

Pマーク(プライバシーマーク)が出来るようサポートさせて頂いております。

勿論、取得後の運用もサポートしております。

 

・これからPマーク(プライバシーマーク)取得を検討している。

・Pマーク(プライバシーマーク)を取得したけど、運用がうまくいかない。

・Pマーク(プライバシーマーク)を取得したけど、今後どうしたらいいのかがわからない。

 

などなど、一人で、自社だけでどうすればいいのかお考えでしたら

1度、弊社のお話しを聞いていただきご検討いただければ幸いです。

弊社は、現在、約1,400社様のサポートをさせて頂いております。

豊富な実績で精一杯サポートさせていただきます。

 

Pマーク(プライバシーマーク)の担当にいきなり任命されたら?

いつもご愛読ありがとうございます。

ISO総合研究所マーケティング部の後藤です。

 

突然ですが、あなたはPマーク(プライバシーマーク)の担当をやったことがありますか?

「いやいや、うちはプライバシーマーク取得時からやっている専任の担当者がいるし、従業員の人数も多い。きっと自分の出番はないよ。」

といった具合に、

「まさか自分がPマーク(プライバシーマーク)の担当をやらされるわけがない。」

そのように思っている方も少なくないでしょう。

 

今回は、そんな「まさか」にぶちあたってしまったAさんの話をご紹介します。

 

【ケース1:いきなり社長に「お前がPマークの担当をやれ!」】━━━━━━━━━━━

Aさんが勤めているのは茨城県にある人材派遣業の会社。

Aさんの会社では、8年前からPマーク(プライバシーマーク)を取得し、運用してきました。

 

Pマーク(プライバシーマーク)の担当は、60歳の管理部の責任者が担当していました。

彼はもともと会社でのPマーク(プライバシーマーク)の取得の話が上がった当初の担当で、

時間をかけて勉強し、自分で立ち上げてきました。Pマーク(プライバシーマーク)取得時は相当苦労されたとのこと。

そんなプライドからか、何年も自分で作業を行い、他の誰にも触らせない雰囲気がありました。

 

そんな彼も、もう定年を迎え退職。彼の担当していた仕事、つまり、Pマーク(プライバシーマーク)の作業を誰かが引き継いでいかなければなりません。

 

しばらくは、Pマーク(プライバシーマーク)の運用も止まったまま、月日が経っていきました。

そんなある日、一般財団法人日本情報経済社会推進協会(JIPDEC)より、Pマーク(プライバシーマーク)更新のご案内がメールにて届きました。

会社のPマーク(プライバシーマーク)有効期限が迫ってきて、4か月後には申請しなければなりません。

 

そんな時、いきなり社長から「Aさん、ちょっと来て。」と呼ばれました。

社長:「Pマークの更新のお知らせが来た。Pマークの申請を4か月後にはしないといけない。Pマークの作業はお前に任せようと思う。Pマークの担当をやってくれ。」

Aさん:「え、私ですか?」

社長:「ああ。うちの会社の個人情報の多くは人材派遣業務に関係するものだ。そのあたりも考慮すると管理部部長の君が適任だと思ってね。他に頼める者もいないんだ、やってくれるか。」

Aさん:「そうですか…。かしこまりました。とりあえずちょっとみてみます。」

(Aさん心の声)「まじか!おれ、何もPマーク(プライバシーマーク)のこと知らんで!!」

社長:「ありがとう。あれがPマーク関係の書類だ。よろしく頼むよ。」

 

そう言って社長はおもむろに分厚い書類の束がファイリングされたキングファイルがあるキャビネットを指さした。

 

Aさんはとりあえず、会社に保管されていた【Pマーク規程類】と書かれているファイルを手に取り、

開いてみた。中には『個人情報保護マニュアル』や『安全管理規程』と書かれている書類があったが、見た感じ何のことかよく分からない。

思い起こせば1年半くらい前にPマーク(プライバシーマーク)の審査があって、前任者がああでもない、こうでもないと言いながら作業をしていたのは知っていたが、

一人で抱えて作業する人だったため、書類の中身を見たのは初めてだ。見ると、実際に現場で行っているルール以上のことが書かれているような状態でした。

Aさんは現場でも多忙を極めるエース、前任者みたいにこのPマーク(プライバシーマーク)にかかりっきりになるわけにはいかない。

 

(Aさん心の声)「これはとても片手間でできるようなもんじゃないな…。ダメだ。」

Aさん:「すいません、私では無理です。」と、社長に打診してみました。

社長:「うーん、無理と言われてもなぁ。じゃあどうしたらできるのかを考えてみてよ。」

 

そう言い残し、社長は予定があるからと、外出してしまった。

 

Aさんはとりあえず、インターネットでいろいろと探してみました。

検索してみると、意外とPマークのコンサルタントはたくさんありました。

どれを選んでよいかわからなかったので、とりあえず地元茨城では?と思い探してみましたが、該当する会社は少なかったようです。

Aさんはとりあえず問合せしてみて、現場の仕事に戻りました。

 

それから数時間が経ちましたが、メールしたけれどもなかなか連絡が来ない、見積もりもないような状況でした。

Aさんは「これじゃダメだ。田舎のコンサルだけではダメだ。よし、東京から来てもらおう」と思い、またパソコンに向かって検索しました。

探していると【Pマークの事務局メンバーとして一緒にやります】という内容が目に留まりました。

(Aさん心の声)「Pマークの更新が月2.5万円、作業はすべて当社が実施だって!?これだ!」

---------------------------------------

ということで、ISO総合研究所にお問い合わせを頂きました。

 

Aさんのように、急に社長からPマーク(プライバシーマーク)の担当を任さることになって、困っている方は少なくないのではないでしょうか?

 

急に担当になったけれど、どう対処すればいいかわからない、

という方はISO総合研究所までお問い合わせください。

 

ISO総合研究所のコンサルタントがお伺いして、無料でご相談に乗らせて頂きます。

一人で悩んでいないで、まずはお気軽にお問い合わせください。