Pマーク(プライバシーマーク)新規取得:個人情報の特定は何のためにする?

-shared-img-thumb-freee151108028752_TP_V
ISO総合研究所 コンサルタントの茶谷です。

いつもご愛読いただきありがとうございます。

今回は

Pマーク(プライバシーマーク)の新規所得に向かう中、その中で実施しなければならない個人情報の特定(洗い出し)の必要性
についてご紹介致します。

 

個人情報の特定(洗い出し)は、Pマーク(プライバシーマーク)を取得する動きの中で、まずぶち当たる壁といっても過言ではありません。

そして、個人情報の特定(洗い出し)とはそもそもなんなのか?そういった疑問がまず浮かんでくると思いますので、まずはその点から解消して頂きたいと思います。

Pマーク(プライバシーマーク)の中で、個人情報の特定(洗い出し)とは以下のように定義がされています。

 

『事業者は、自らの事業の用に供するすべての個人情報を特定するための手順を確立し、かつ、維持しなければならない。』
(引用:個人情報保護マネジメントシステム実施のためのガイドライン[第2版])

 

 

Pマーク(プライバシーマーク)を構築する上で、まず初段階で自らが持っている、扱っている、または委託している等のすべての個人情報を認識しなければなりません。

難しく考える必要はなく、現に認識できている個人情報は身の周りにあるはずです。それらを再認識するだけということなのです。

そして、それらを管理がしやすい方法で台帳化し、維持管理をしていくのが原則となっています。

 

上記において、個人情報の特定(洗い出し)についてご理解を多少ながらもしていただいた上で、今度はじゃあなんで個人情報の特定(洗い出し)ってことをやらなければならないの?必要だから?意味あるの?といった疑問が浮かんでくると思います。

そこで今度は、どのような意義でやるのか、具体的にどのような利点や目的があるのか、そういった観点からお話ししていきたいと思います。

 

ここからは大きく3つに分けて、個人情報の特定(洗い出し)についての意義をご紹介できたらと思います。

 

 

1.自社でどれだけの個人情報を扱っているのかを把握するため。

一つ目に、取扱いをしている個人情報を含むものを洗い出していくと、意外なものが見つかるものです。たとえば、名刺は個人情報でしょうか?公開情報でもありばらまいているからそうではないだろうという意見が大半です。しかしながら、そうであっても名刺には個人情報としてみなされる要素が含まれています。たとえば氏名(フルネーム)、会社名、電話番号等です。このように身の周りに存在している資産が、個人情報なのかどうかの判断は個人情報要素を含んでいるのかどうかで判断して頂ければ単純です。これによりどれだけの個人情報を取り扱っているのかを把握し、どれだけの漏洩等の危険性を抱えているのかを認識して頂けます。

 

 

2.個人情報の取扱い状況を把握するため。(管理責任者、保管方法、廃棄方法等)

二つ目に、個人情報を洗い出した上で、それぞれが現状どのような取扱いをしているのかを把握することが必要になります。ここで考えなければならないのは、誰が管理しているのか?どこに/どのように保管しているのか?どういった廃棄をするのか?いつまで保管をするのか?等が例として当てはまります。おおざっぱな枠でいえば、取得、移送・送信、利用、加工、保管・バックアップ、廃棄といったような取得から廃棄までの流れを通した区分の中で見るのが取扱い状況を把握するにはベストな方法だと考えられます。

多少頭をひねることもあると思いますが、取扱い状況を把握することで個人情報の認識漏れを無くすことができるのです。

 

 

3.漏れなく個人情報を認識・管理することで、漏洩、紛失等の事故を未然に防ぐため。

三つ目に、個人情報の取扱い状況を把握し認識した上でのメリットが、最近世間を騒がしている漏洩事故等を未然に防ぐことにつながり得るということとなります。認識するだけではもちろん意味が有りません。ただ適切な管理をするためには、把握をすることも欠かせないことでもあります。つまり、個人情報の洗い出しから始まり、認識・把握⇒取扱い状況の確認⇒リスク(危険性)の認識⇒対策・管理の実施、といった一連の流れとなります。最終的には、情報事故を起こさないようにするためともいえるでしょう。

 

 

 

以上のように、Pマーク(プライバシーマーク)新規取得にあたり、
個人情報の特定(洗い出し)は非常に重要な意義をなしています。
ただただPマーク(プライバシーマーク)を取得しようとしてもそれが無ければ取得は叶いません。ましてや事故を防ぐなど到底できないことでしょう。

 

Pマーク(プライバシーマーク)新規取得においてお困りの企業様がいらっしゃいましたら、当社までご連絡ください。プロのコンサルタントとして、Pマーク(プライバシーマーク)の新規取得のお悩みを解決させていただきたいと思います。

Pマーク(プライバシーマーク)新規取得まで

-shared-img-thumb-YUKA150701038569_TP_V
ISOブログを愛読している方ありがとうございます。初めて見るよという方も

見ていただきありがとうございます。

 

ISO総合研究所コンサルタントの立松です。

今回は、新しくPマーク(プライバシーマーク)取得するまでの流れ

お話しします。

 

「そもそもPマーク(プライバシーマーク)取るにはどうしたらいいの」

と言う方もいらっしゃるかと存じます。

そんなお悩みのあなたに朗報です!

今回はそういった方に向けてお話をさせていただきます。

 

 

まず、Pマーク(プライバシーマーク)取得までの流れを簡単に説明します。

①書類作成

②文書審査

③現地審査実施

④指摘改善対応

⑤Pマーク取得

以上、4つの行程があります。所要時間は短くて半年以内長いと1年以上かかる場合があります。

 

 

①書類作成

最初の行程にして重要なところになります。一口に書類と言っても用意する書類は多くあり、

  1. 申請書類、
  2. 規程・マニュアル
  3. 様式・帳票
  4. 7つ道具と呼ばれる記録(台帳・法令・リスク分析・委託先・教育・監査・代表者の見直し記録)があります。

上記4種類の書類が必要になります。これだけの書類を通常業務と並行しながら自分たちだけで準備するのは時間的にもかなりかかります。中には書類を作るだけで1年以上かかった会社様もあります。

※私たちISO総合研究所はヒアリングから作成まで申請に必要な最短1ヶ月半でお作りします!

 

 

②文書審査

この工程は、審査機関へ申請書類をお送りしたあと実施される工程になります。

提出した申請書類がPマーク(プライバシーマーク)の規格と合致しているかを確認する内容になります。

この工程は、③の現地審査約3週間前に結果が返却されます。こちらも現地審査前に

修正が必要になります。

※ちなみに豆知識として、Pマーク(プライバシーマーク)の審査機関はいくつかありますが、代表的なもの上げます

・JIPDEC

└別途費用は必要ありませんが、指摘数・取得スピードは遅く1年以上かかる可能性もあります。

・JUAS

└年会費1万+会員費3万が必要ですが、Pマーク取得するまでの時間がJIPDECと比べて段違いに変わります。お手伝いさせていただいている会社様で最短で約3ヵ月で取得できた事例もあります。

 

 

③現地審査

審査機関の審査員が実際に会社にお伺いをし、書類一式(①で説明した書類全てです)と会社の業務スペースを見る工程になります。

現地審査の簡単な流れは以下になります。

①トップインタビュ―

②業務ヒアリング

③②のヒアリングに基づいた書類確認

④内部監査

⑤まとめ

です。所要時間は平均8時間でほぼ1日かかります。

次に簡単な内容の説明になります。

①のトップインタビューは審査員から代表者様(社長様)へ個人情報に関する考えをヒアリングする内容になります。

例:どうしてPマーク(プライバシーマーク)を取得しようとお考えになりましたか。個人情報の取扱いについてどのように考えていますか。会社の業務概要を説明して下さい等

こちらは、思った通りに発言しても問題ありません。こちらが約30分程度お時間を使います。

次に②の業務ヒアリングになりますが、こちらは担当者の方が会社の業務フローと取り扱う個人情報をお話しする内容になります。こちらは30分~1時間くらい時間を使って進んでいきます。

3番目の③のヒアリングに基づいた書類確認の行程になります。

└審査でここが1番重要になります。

なぜなら、ヒアリングした内容と用意した書類に違いがあると最終的に指摘になる可能性が非常に高いからです。所要時間も1番多く約3~4時間使います。

└この整合性が高いと指摘が少なく、整合性が低いと指摘が多くなります。

└会社様によっては、1回の審査で指摘数が2,3個の所もあれば50個以上の指摘

が出ることもあります。

└原因として、整合性が低いことが挙げられますがその他にも審査員の指摘観点の違い

等も理由の1つになります。

→指摘を少なくするためには正確性の高い書類を作りましょう!

④の内部監査は審査員が実際の業務スペースを見て個人情報の取扱い状況やPCの設定状態が規程通りになっているかの確認になります。

└例えば、PCのパスワード設定は規程通りに設定されているか

スクリーンセーバーは~分で設定されているか

紙の書類は施錠できるところで管理されているか等

上記の目線で業務スペースを見回ります。

最後に、⑤のまとめに入ります。現地審査後の指摘も含めたお話しにはなります。

└ここでおおよその指摘数が判明します。

現地審査までの流れをお話ししましたがいかがでしょうか。ここまででまだPマーク取得までの道のりの約6割です。では、残りの4割についてお話ししましょう。

 

 

④指摘改善対応

現地審査が終わった後にやらないといけないことそれは“指摘改善”です。

審査時に出た指摘に対して改善をしていく工程になります。

ここでの所要時間は、指摘数にもよりますが、1か月以内で終わるものから1年近くかかるもので様々です。

└傾向としてJIPDECよりJUASを選択した方が所要時間は少なくなる傾向にあります。

指摘改善に長く時間がかかるとPマーク(プライバシーマーク)取得までにそれだけ時間がかかってしまいます。

更に、指摘改善の内容に不備があると“再指摘”ということでまた改善対応しなければなりません。この指摘改善を如何に早くクリアするかでPマーク(プライバシーマーク)取得までの時間が変わってきます。

 

 

⑤Pマーク取得(プライバシーマーク)

指摘改善をクリアし、審査会もクリアすることで最終的にPマーク(プライバシーマーク)取得というゴールにたどり着きます。

Pマーク(プライバシーマーク)取得がゴールであり、運用のスタートになります。運用後も更新の現地審査に向けての記録作成や申請書作成等、本業と並行しながらの作業になるので中々大変かと思われます。

私たちISO総合研究所では平均半年、最短で3,4ヶ月(平均半年くらい)でPマークが出来るようサポートしていきます。

勿論、取得後の運用もサポートしております。

・これからPマーク取得を検討されている方、会社様やご担当者様

一度、私たちのお話しを聞いていただければ幸いです。精一杯サポートさせていただきます。

Pマーク(プライバシーマーク)取得への道:審査当日の社長インタビューについて

SEP_329915201730_TP_V
いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの大山です。
Pマーク(プライバシーマーク)の審査で一番始めに行われる内容である社長インタビューがどのようなことを聞かれているのか実録を披露します。

審査員:「この辺りは少し駅から離れて静かですね。この辺りは花が多く植えられていてきれいですね。こちらへ来る途中に大きな工場があったのですが、あれ何の工場ですか?」
社長:「あの工場は〇〇の工場です。最近は人が減ったようですが大きい工場です。」
審査員:「そうなのですね。ちなみになんですがこの辺りにはご飯を食べられるお店はありますか?」
社長:「定食屋などがこのビルの裏の道を進んだあたりにありますよ。」
審査員:「ありがとうございます。」

ポイント:①審査員は始めから審査の内容からは始まりません。

先に審査先の土地柄の話や天気の話など世間話から始まります

ポイント:②お昼ご飯について聞かれることがあります。

これは単なるお昼ご飯を確保するための会話ではありません。審査員は接待・供応、贈答を受けていけないとなっています。そのためご自身でお昼ご飯を食べに行けるところがあるのかを確認されるのです。

 

審査員:「早速ですが、御社はどのような事業をされているのかをお聞かせ下さい。」
社長:「弊社はソフトウェアの開発とシステムエンジニアの派遣を主にしています。
最近では通信販売も始めるようになりました。」
審査員:「なるほど。具体的にはどのようなソフトウェアを開発さているのですか?」
社長:「主にお客様から依頼されたシステムを構築していきます。スマートフォン向けの
アプリの開発も最近ではするようになってきました。」
審査員:「そうですか。やはりスマートフォン向けのアプリの需要は増えてきていますか?」
社長:「スマートフォンの普及がかなりしてますので需要は多いです。」
審査員:「売り上げに関してですがどの事業がどの程度の割合でしょうか?」
社長:「ソフトウェアの設計が60%、システムエンジニアの派遣が40%という感じです。」
審査員:「システムエンジニアの派遣の事業も多いのですね。」
社長:「はい。この1年くらいで需要が多くなりました。業界的に人手不足なのです。」
審査員:「業界的にエンジニアさんの人手不足なのですね。今後は新規事業を始められたりや事業の拡大を考えられたりされているのですか?」
社長:「特に今のところ新規事業や事業の拡大は考えておりません。現状のままを
維持しようと考えています。何かおもしろいことがあれば挑戦していきたいと考えてはいます。」

 

ポイント:①まずはどのような事業をされているのかを確認するところから始まります。

実際に社長の口から、どのような事業をしているのかを説明してもらうようになっています。
ポイント:② 売り上げの比率から高い比率の方がより積極的に事業を動かすために個人情報との接触機会が多いと審査員は目星をつけられるようです。

ポイント:③事業の方向性等をお聞きしていくこともよくあります。

審査員は今後の事業のあり方からプライバシーマークの運用での注意点を探るきっかけとなるようです。

 

審査員:「プライバシーマークを運用している中で個人情報に関する漏えいなどの事故はありましたか?」
社長:「個人情報に関する漏えいなどは特になく問題なく、お蔭様で運用できています。」

 

ポイント:①運用している中で事故があったかの有無を聞かれます。

事故の規模が大きすぎると審査ができないことがあります。欠格判断基準と該当する事例に関しては下記のURLにあります。 http://privacymark.jp/news/20060331/disqualification_criterion.html

審査員:「プライバシーマークを取得することでどのような変化があるとお考えになられますか?」
社長:「お客様に対して適切に個人情報を守っていることをアピールすることができると考えております。近年は漏えい事件も増えているので取得することでより一層の安心感を持っていただけると思います。」

ポイント:①プライバシーマークを取得することでのメリットに関してお話をいただくようにしてもらえれば問題ないです

取得している意義を前向きにお話していただく質問です。

 

審査員:「日常でプライバシーマークを運用している中で、漏えいなどのリスクを心配に感じられることはありませんでしたか?」
社長:「特になかったです。従業員それぞれが意識しているので大丈夫だと考えています。しかしながら、数年前の大企業での漏えい事件のように委託先の従業員が漏らされることがあるというリスクに関しては不安です。」

ポイント:①プライバシーマークを運用している中でどのようなところが、リスクとして認識されているかを聞かれることで、審査時にそこに関してのリスク対策 がどのようになっているかを見られるようになります。

この質問に対しては「特に問題はないです。」とお答えしたからといって間違いではありません。
審査員:「代表者による見直しはいつごろ実施されましたか?」
社長:「年明けだったので、1月中旬頃だったと思います。」
審査員:「そうですね。1月の中旬頃に実施されていますね。その際にどのような指示を出されたでしょうか?」
社長:「昨年行われた内部監査で新しくリースしたPCでパスワードの
設定ができていなかったので、パスワードを設定するように指示を出しました。
また新入社員に対して教育ができていなかったので、新入社員に対しての教育を
実施するように指示を出しました。」
審査員:「なるほど、適切な指示をされていますね。苦情を含む外部からの意見はありましたか?」
社長:「とりたてて大きなものはありませんでした。」
審査員:「そうですか。最後に個人情報に関して社会を揺るがすようなニュースがありますがそれに対してどうのうにお考えですか?」
社長:「年金の漏えい事件がずさんな管理の結果であったということで、国の機関であるためしっかりしてもらいたいです。それと共に大企業の事件での収束にかかった費用が巨額であったため。対岸の火事だと思わずに対策をしていくことが大事だと思っております。」
審査員:「お時間を頂きありがとうございました。以上がトップインタビューです。」

 

ポイント:①代表者による見直しが実施されたのがいつかということを聞かれます。

これには答えられるように把握しておくべきです。

ポイント:②どのような指示を出されたかを聞かれます。

こちらも事前に何を指示したかを把握しておくべしです。

ポイント:③苦情を含む外部からの苦情は実際にあれば、それに関してお話してもらえれば問題ない内容です。

ポイント:④個人情報を社会的に見たときの質問をされるので、思われていることをありのままお話をされたらよいです。

ポイント:⑤全般的に代表者による見直しの内容を質問されるということです。

 

■おまけ
審査員の中には新人の方もいらっしゃいます。最後の質問で「代表者による見直し」は全て棒読みで質問されることがあります。このような方でしたら新人の方だと思ってください。

 

最後にこのような事例は他にたくさんございます。何か審査以外に関してでもお困りのことがござましたら、ISO総合研究所までご連絡くださいませ。ご担当者様の作業工数を限りなく0に近づけて、ご担当者様が本業に集中していただけるお手伝いをさせて頂けることを楽しみお待ちしております。

Pマーク(プライバシーマーク)取得から運用まで

ISOブログを愛読している方

ありがとうございます。

初めて見るよという方も

ありがとうございます。

 

ISO総合研究所コンサルタントの立松です。

今回は、Pマーク(プライバシーマーク)取得から運用までの流れを

説明させていただきます。

 

近々、マイナンバー制度が始まるということで会社様、担当者様も準備・気苦労があり

大変かと思われます。

また、今、Pマーク(プライバシーマーク)取得を検討されている担当者様、Pマーク(プライバシーマーク)を運用している会社様は自分たちだけでやっていくのは大変かと思われます。

そういった方に向けて今回、お話をさせていただきます。

 

まず、Pマーク(プライバシーマーク)取得までの流れを簡単に説明します。

①書類作成

②現地審査実施

③審査で出た指摘を改善する

④Pマーク(プライバシーマーク)取得

以上、4つの行程があります。所要期間は短くて半年以内長いと1年以上かかる場合があります。

 

まず、①の書類作成が重要なところになります。一口に書類と言っても用意する書類は多くあり、申請書類、規程・マニュアル、様式、7つ道具と呼ばれる記録(台帳・法令・リスク分析・委託先・教育・監査・代表者の見直し記録)になります。枚数だけでいうなら100枚はあるかと思われます。会社様によってはそれ以上の枚数を刷っているところもあります。(実際に担当案件で書類を全部合わせたらファイルがパンパンな会社様もありました)

1つ1つの書類の説明するとキリがありませんが、これだけの書類を通常業務と並行しながら準備するのは期間的にもかなりかかります。中には書類を作るだけで1年以上かかった会社様もあります。

 

これらの書類を用意して初めて申請の段階に入ります。

 

続いて、②現地審査の行程です。

この工程は、審査機関の審査員が実際に会社にお伺いをし、書類一式(①で説明した書類全てです)と会社の業務フロアを見る工程になります。

現地審査の簡単な流れは以下になります。

 

①トップインタビュ―

②業務ヒアリング

③②のヒアリングに基づいた書類確認

④内部監査

⑤まとめ

 

です。所要時間は平均8時間でほぼ1日かかります。

次に簡単な内容の説明になります。

①のトップインタビューは審査員から代表者様(社長様)へ個人情報に関する考えをヒアリングする内容になります。

例:どうしてPマーク(プライバシーマーク)を取得しようとお考えになりましたか。個人情報の取扱いについてどのように考えていますか。会社の業務概要を説明して下さい等

こちらは、思った通りに発言しても問題ありません。こちらが約30分程度お時間を使います。

次に②の業務ヒアリングになりますが、こちらは担当者の方が会社の業務フローと取り扱う個人情報をお話しする内容になります。こちらは30分~1時間くらい時間を使って進んでいきます。

3番目の③のヒアリングに基づいた書類確認の行程になりますが、

ここが1番重要になります。

なぜなら、ヒアリングした内容と用意した書類に違いがあると最終的に指摘になる可能性が非常に高いからです。所要時間も1番多く約3~4時間使います。

└この整合性が高いと指摘が少なく、整合性が低いと指摘が多くなります。

└会社様によっては、1回の審査で指摘数が2,3個の所もあれば50個以上の指摘

が出ることもあります。

└原因として、整合性が低いことが挙げられますがその他にも審査員の指摘観点の違い

等も理由の1つになります。

→指摘を少なくするためには正確性の高い書類を作りましょう!

④の内部監査は審査員が実際の業務スペースを見て個人情報の取扱い状況やPCの設定状態が規程通りになっているかの確認になります。

└例えば、PCのパスワード設定は規程通りに設定されているか

     スクリーンセーバーは~分で設定されているか

     紙の書類は施錠できるところで管理されているか等

上記の目線で業務スペースを見回ります。

最後に、⑤のまとめに入ります。現地審査後の指摘も含めたお話しにはなります。

└ここでおおよその指摘数が判明します。

 

現地審査までの流れをお話ししましたがいかがでしょうか。ここまででまだPマーク(プライバシーマーク)取得までの道のりの約6割です。では、残りの4割についてお話ししましょう。

 

現地審査が終わった後にやらないといけないことそれは“指摘改善”です。

審査時に出た指摘に対して改善をしていく工程になります。

ここでの所要時間は、指摘数にもよりますが、1か月以内で終わるものから1年近くかかるもので様々です。

指摘改善に長く時間がかかるとPマーク(プライバシーマーク)取得までにそれだけ時間がかかってしまいます。

更に、指摘改善の内容に不備があると”再指摘”ということでまた改善対応しなければなりません。この指摘改善を如何に早くクリアするかでPマーク(プライバシーマーク)取得までの期間が変わってきます。

その後、指摘改善をクリアし、審査会もクリアすることで最終的にPマーク(プライバシーマーク)取得というゴールにたどり着きます。

 

Pマーク(プライバシーマーク)取得がゴールであり、運用のスタートになります。運用後も現地審査に向けての記録作成や申請書作成等、本業と並行しながらの作業になるので中々大変かと思われます。

 

私たちISO総合研究所では平均半年、最短で3,4ヶ月でPマーク(プライバシーマーク)が出来るようサポートしていきます。

勿論、取得後の運用もサポートしております。

・これからPマーク(プライバシーマーク)取得を検討されている方、法人体

・Pマーク(プライバシーマーク)持っているけど、運用が大変だと考えている方、法人体

一度、私たちのお話しを聞いていただければ幸いです。精一杯サポートさせていただきます。