「Pマーク(プライバシーマーク)の新規認証の審査の1日」

SAYA072162920_TP_V

いつもご愛読ありがとうございます。

 

今回はPマークの新規取得において、担当者が一番心配されている点についてお話したいと思います。

お客様のほとんどは口を揃えて、「○○が一番心配だった。」「○○の対策をどうするかでずっと悩んでいた。」と言います。

その「○○」とは・・・「現地審査」です。

 

「現地審査」とは、審査員がPマーク取得申請企業に実際に出向いて、実務をチェックする工程です。現地審査を初めて受けられる人にとっては、何が起こるのか分からないので大変不安ですよね。では、実際、どんな風に流れていくのか、1日の流れを紹介したいと思います。現地審査の前日から、Pマーク担当者Aさんの1日のスケジュールを見ていきましょう。

 

【審査前日】○月×日

09:00 明日は審査だ。審査に使う書類を印刷しよう。

10:30 書類の印刷終了。やはり書類の数多いな…。さーて、どこにどの書類があるか当日テンパらないように付箋を貼っていこう。

12:00 付箋だらけになってしまった。書類も多いし、付箋も多いし、テーブルがごちゃごちゃだ。審査でしっかり見る書類と、ほとんど見られない書類が分かれば、書類も付箋も少なく済むのになぁ。とりあえず昼食取って休憩しよ。

13:00 さて、次は「同意書」や「委託先の契約書」とかの書類を総務部のキャビネットから集めよう。

14:00 やっと集まった。意外と大変だったな。でもなんか足りなさそうだな…

14:05 とりあえずテーブルの上がやばい(笑) 綺麗にファイリングしよう。

14:30 完成!さーて、次は全書類のチェックだ!

14:40 やばい。さっそく書類が足りない。印刷ミスもある…

16:30 チェック終了。・・・さて、やるか(不足分の書類回収、書類修正、再印刷など)

17:00 退社時間迫ってる。誰か手伝ってくれ。

18:00 んー終わらない。

19:00 よし、ここまできた。最終チェックだ!

20:00 やっと終わったー。早く帰ろう。明日は審査だ。

 

 

 

【審査当日】○月△日

08:30 出社

09:00 審査で使う会議室に、昨日チェックした書類を持ってこよう。

09:30 審査の参加者に点呼をかけよう。弊社の代表取締役、個人情報保護監査責任者がいればいいんだっけ。

09:50 審査員到着。2人来た。審査員のうち、1人がメイン、もう一人がサブということらしい。

10:00 審査開始。最初に秘密保持契約を結んだ。

10:10 トップインタビュー開始。弊社の代表取締役とメインの審査員が会話。

内容は、

①Pマーク取得の目的

②いつ頃からPマーク取得を考え始めたのか

③事業内容の概要

④各事業の売上の比率

10:30 トップインタビュー終了。代表者は退出。

10:35 ここからが私の出番!

10:50 約15分 採用の形態と採用業務のフローについて、メインの審査員に詳しく聞かれた。「不採用時の履歴書は返却か廃棄するのか」そこまで聞かれるんだな。

11:10 約20分 給与管理や社会保険関係などの経理・総務業務のフローに詳しく聞かれた。タイムカードなのか固定給なのか、社労士や税理士をどこのフローから使っているのか 質問攻め。経理に詳しい人じゃないと答えられないな。

12:00 約1時間 弊社サービスの業務フローについて詳しく聞かれた。個人情報をどこから受け取るのか、どういう書類やデータに置き換わりながら業務が流れていくのか、情報をどのプロセスで委託するのか、廃棄はどうしているのか、何年保管するか決まっているのかなど、質問攻め。よくそんなポンポン質問が出てくるなぁ。喋りすぎて喉が渇く。事務の人を呼んでコーヒー追加。

12:05 お昼休憩。審査員とは別の場所で昼食をとる。

13:00 午後の部開始!作成した書類のチェック!

14:20 午前中にヒアリングしたことと、作成した書類の整合性について順を追って、サブの審査員に確認された。午後は基本的にサブの審査員が担当するのか。メインの審査員もサブの審査員をフォローするような形で質問をしてきた。不足分や、修正する箇所を「指摘」として何個も出された。何か月もの時間を要して頑張って作り上げた書類も、こんなにたくさんの指摘が出るんだなぁ。

14:30 小休憩。昼食後は眠くなるなー。コーヒー飲もう。

14:40 審査再開!

15:30 まだまだ書類の整合性について確認される。書類しか見てないなぁ。御役所っぽい。

16:00 2回目の小休憩。審査ってこんなにも長いのか… コーヒー必須だな。

16:10 書類の確認が終わり、今後は社内を実際に見て回るそうだ。

16:20 オフィスにあるパソコンを数台見られて、「スクリーンセーバーが設定されているか」、「パスワードの桁数は、社内のルール通りなっているか」、「Windows Updateは手動更新ではなく自動更新になっているか」など、確認した。

16:40 サーバールームに移動して、システム関係のことをヒアリングされた。バックアップの方法や頻度、各パソコンやサーバーに対するアクセスログをどう管理し、点検しているのかなど。システム責任者が同席していてよかったー。

16:50 社内を一通り見て、再度会議室に戻る。実務のチェックはあまり重視しないのかな?1時間もかからず終わったぞ。

17:20 最後の総括。審査員から「今回の指摘は○○です。」と10~20個言われた。後日、正式指摘文書として、詳しい指摘内容が書かれた書類が届くそうだ。

17:30 審査員が退出。ふー。やっと終わった。それにしても長い1日だった…

 

【合計】

・書類作成時間                  :250時間

・前日準備                         :10時間

・当日の審査時間              :6時間(休憩を除く)

・審査員から受けた質問    :???個(数え切れない…)

・指摘数                            :18個

・飲んだコーヒー              :5杯

・精神の疲れ                     :250%(午前中でもうしんどい…)

 

「急に担当になったけれど、こんなに大変な仕事はやりたくない。」

という方はISO総合研究所までお問い合わせください。

審査自体の時間は短縮できませんが、「審査の前日準備10時間」と「精神の疲れ250%」を限りなく「0」に近づけることは可能です。

 

ISO総合研究所のコンサルタントがお伺いして、無料でご相談に乗らせて頂きます。

一人で悩んでいないで、まずはお気軽にお問い合わせください。

 

Pマーク(プライバシーマーク):サザエさんと三川屋さんに学ぶ開示等に関して

ISUMI151101140I9A6167_TP_V

お世話になっております。ISO総合研究所のコンサルタントの大山です。
いつもご愛読ありがとうございます。

 

 

Pマーク(プライバシーマーク)を運用していくために、少し厄介なことを感じるものがあると思います。

何を隠そう、私もJISQ15001:2006(ジスキュー15001:2006)のガイドラインの3.4.4の個人情報に関する本人の権利の開示等を重い腰、いや手を上げてブログを作成していくところです。ただ闇雲に開示等に関して書き連ねても面白みがないので、例を交えながら書いていきます。

 

 

JISQ15001:2006の開示に関しては3.4.4個人情報に関する本人の権利から幕を開けるのです。

これは個人情報の主つまり本人、サザエさんであれば(名前:フグ田サザエ、年齢:24歳、誕生日:4月3日、出身校:あわび女子学園、住所:東京都世田谷区桜新町あさひが丘)などの個人情報の権利をのび太が持っているということです。

3.4.4.1個人情報に関する権利は企業が管理している個人情報に関して、個人から要求されたことに対して応じる権利がある場合に、例外もあるけど速やかに対応しようねということが書かれています。

ただこれでも、よくわかりませんね。

これはつまり、サザエさんの裏の勝手口からよく出入りしている三河屋さん(酒屋の若造さん)との関係で説明すると以下のようになります。

サザエさんの個人情報(  名前:フグ田サザエ、住所:東京都世田谷区桜新町あさひが丘3丁目、電話番号、口座情報など)を三河屋さん(酒屋の若造さん)に預けていることになっています。

もちろん三河屋さんはお得意さんの情報を一覧化して管理しています。そこでサザエさんは思いました。

私の個人情報をどこまで、三河屋さんは知っているのかしらとそこで、三河屋さんに何を知っているか開示を求めました。サザエさんの身長や体重がもし三河屋さんが握っていたら嫌ですもんね。

開示を求めたところ問題がありました。

いたずら電話が多かったので電話番号が変えていたので、個人情報の内容の訂正を三河屋さんに要求しました。

もちろんここまでの開示、内容の訂正に関して三河屋さんは快く対応しました。また後日、サザエさんはFAXを購入したのでFAX番号を追加することを求めました。ただ、磯野家はありがちなことで、ものが壊れやすいです。

そうカツオ君のおかげでFAXが壊れたので、FAX番号を削除してと要求しました。そしてしばらくは個人情報に関して何もなかったのですが、三河屋さんは商いの素質が高かったのでDMを送るようになりました。

するとDMに関してはサザエさんは不快に感じたので、DM発送に関しての個人情報に利用停止を要求しました。これに対して三河屋さんは紳士的に対応しました。

三河屋さんは天性の商いの才能を活かして、カタログ通販業者にサザエさんの個人情報を提供していました。

もちろんこの提供にサザエさんは同意していましたが、カタログ通販に興味がないので、第三者提供をやめように要求しました。もちろんこれに対しても三河屋さんは応じました。

サザエさんは買い物にいくとふと三河屋さんは高いと気付き、定期訪問を解約することにしました。そこで三河屋さんに保有している個人情報の消去を要求しました。

少し長くなりましたが、上記の内容に例外がありますが基本的には三河屋さんはすぐに対応しようということです。

 

3.4.4.2開示等の求めに応じる手続きには本人に負担がないように手続きを設定しないといけないと記載されています。これもサザエさんと三河屋さんとの関係で説明すると以下のようになります。

 

開示等の申し出先:三河屋さん(青年)と規定されているので三河屋さん(青年)にサザエさんは連絡しないといけません、三河屋さんの他の店員に伝えても意味がありません。

開示に必要な書式やそのほかの開示等の求め方式として「開示等請求書」を三河屋さんは規定しました。サザエさんは開示等を請求するためには「開示等請求書」に必要事項を記載して三河屋さん(青年)に提出する必要があります。

これ以外では三河屋さんに受け付けてもらえません。もしもサザエさんの気が弱くてマスオさんが代理人として開示等を請求してきたときのために、委任状と委任されている人が本人であるかを免許証やパスポートなどで確認すること規定する必要が三河屋さんにはあります。

また三河屋さんは開示等を要求されて時に無料で対応することがお得意さんのためになる思ったため、無料で規定しました。

 

 

3.4.4.3開示対象個人情報に関する事項の周知などには取得している個人情報の内、開示するものは本人にJISQ15001:2006の3.4.4.3のa)~f)項が知れる状態にしないといけないということです。つまりこれもサザエさんと三河屋さんで説明すると以下のようになります。

 

三河屋さんはサザエさんの開示する個人情報に関しては、以下のことをサザエさんが知れるようにしないといけません。

事業者名:三河屋、個人情報保護管理者:営業担当、営業部、電話番号、すべての開示対象個人情報の利用目的:商品の配達のため、開示対象個人情報の取扱いに関する苦情の申し出先:三河屋さんの電話番号、認定個人情報保護団体の苦情の申し出先、3.4.4.2開示等の求めに応じる手続きで定めた内容。

上記をチラシに記載してサザエさんのお宅に配達時にお持ちしたり、お店先において置くことで本人ことサザエさんが知る得る状態にしました。

 

 

3.4.4.4開示対象個人情報の利用目的の通知~3.4.4.7開示対象個人情報の利用又は提供の拒否に関しては比較的簡単であるため、サザエさん、三河屋さんの出番も不必要だと思います。

何より彼らも疲れていると思うので、休ませてあげてください。

 

 

さーて次回のサザエさんは

・カツオ現地審査の指摘を1ヶ月に解決

・タラちゃん内部監査責任者に任命

・波平、代表者による見直しで「バカもの」を連呼

の3本だったりするかもしれません。

 

次回もまた見てくださいね。じゃんっけんっぽんっ・・・パー

 

このブログはISO総研とISO総合研究所の提供でお送りいたしました。

Pマーク(プライバシーマーク:JIS Q 15001) 3.7項「点検」規格解釈

OZPAyatta_TP_V

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの高木です。

 

 

Pマーク(プライバシーマーク)を運用していく中で日々、点検(確認)していくことが必要なものがあります。PDCAを回すことがマネジメントシステムの要件ですが、点検はC(チェック)にあたります。個人情報保護マネジメントシステム(PMS)が各部門、各階層で適切に運用されているか、を点検します。

・いつ点検を実施するか? 毎月第一営業日、等明確にする。

・誰が点検をするのか? 部門毎、階層毎に決めます。部門別の点検は最低限必要となります。

・点検項目 文字通り点検のポイントを定めます。リスク分析で決められた重要なリスク対策を含めることがポイントです。あまり点検項目数が多いと実施が大変になってしまうので、チェック項目をあまり増やしすぎないで重要なものを絞って決めるとよいのではないでしょうか。

 
では、まず幾つか点検項目をご紹介させて頂きます。

■日常点検その①『入退室の記録』

朝一番早く事務所に来られた方もしくは、夜、最後に事務所を出られる方は
出社時間や退社時間などを記入したことはございませんか?
それが『入退室の記録』になります。

これを記録する必要性は、仮に問題が起きた際誰が開錠と施錠を実施しているかを、
記録を基に過去に遡って確認する為です。

そこから原因を追究していく流れになります。

■日常点検その②『来訪者の記録』

こちらは外部の方が来社されたときに記入してもらう記録になります。

こちらも既にご案内した『来訪者の記録』と同じで問題が起きた際、外部から誰が来ていたかを記録に残しておき原因を追究していく形になります。

■日常点検その③『アクセスログの記録』

 

上記2点と同じく最低限必要とされているものにアクセスログの記録というものがあります。入退室の記録来訪者の記録はどちらかというとアナログ的なものでした。

このアクセスログの記録というものは、個人情報を格納した情報システムへのアクセスログを取得し、その取得したものを定期的に確認するというものです。

 

 
①~③のどれも問題が起こってしまった時の為に日常から記録を取得しておくことが求められます。(必ずしも紙でなければならないということではありません。)

その記録を基に原因を追究した上で、問題に対する対策を考えていきましょう。
 

 
そして点検と間違えやすいものに監査というものがあります。

点検とは外的なもの、つまり環境変化などに対し社内の取り組みが適切であるかどうかを確認するものです。

監査は取り決めたルールや運用状況をチェックすることです。Pマーク(プライバシーマーク)でいうと、社内で取り決めた個人情報に関してのルールが規格の要求を満たしているのかを第三者目線でチェックすることです。

 

点検と監査には実施者、実施頻度、実施の目的に大きな違いがあります。
点検は担当者などの自分たちのチェックをする、つまりセルフチェックであるのに対し、監査は該当する部門外の人が実施します。第三者目線でのチェックがなされるということです。

第三者がチェックするということの意味ですが、学校においてテストの採点は先生がするように、自己採点ではどうしても評価が甘くなってしまうことがあるからです。

監査は普段自分が所属している部門などの監査に対して、チェックが甘くなり公平性が保たれなくなるのを防ぐための措置となっています。
頻度については点検が日次や週次、月次など日常点検が一般的ですが、監査については主に年次単位で実施の計画を立てて行います。
一番の違いである実施の目的ですが、点検は予防を含む問題点の早期に見つけるための実施項目に対して、監査は社内のルールや実施状況、社内の体制を見直すために実施します。

 
以上、今回ご紹介した項目は全てではありませんが、
御社で実施されているか確認してみて下さい!!

Pマーク(プライバシーマーク:JIS Q 15001) 3.4.5項「教育」規格解釈

 

AKANE072160504_TP_V

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの南と申します。

4月に入社したほやほやのコンサルタント見習いです。

湿気が本当に嫌な時期ですね!!

雨の日はいつも洗濯物が外に干せないのでもやもやしています。

じめじめとした日にも負けずに今日も元気にいきましょう!!

 

 

はい、それでは今回は教育についてのお話です!!

 

まずJIS Q 15001:2006(以下JISという。)で求められている教育についてご案内します。JISではこんな風に書かれています。

 

要求事項3.4.5 教育

 

事業者は、従業者に定期的に適切な教育を行わなければならない。

事業者は従業者に、関連する各部門及び階層における次の事項を理解させる手順を確立し、かつ維持しなければならない。

 

a) 個人情報保護マネジメントシステムに適合することの重要性及び利点

 

b) 個人情報保護マネジメントシステムに適合するための役割及び責任

 

c) 個人情報保護マネジメントシステムに違反した際に予想される結果

 

事業者は、教育の計画及び実施、結果の報告及びそのレビュー、計画の見直し及びこれらに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持しなければならない。

 

 

うーん、なんだかよくわからないですねー。(笑)

 

 

なので、今回は教育に関して新卒目線であっさりあっさり説明させていただきます。

 

  • 教育を行う目的とは?

 

そもそもなぜ教育をやらないといけないのか…??プライバシーマークに携わっている人は誰しも疑問に一度は思うはずです!!!(たぶん(笑))

 

それでですね、答えを言ってしまうと、従業員に個人情報保護マネジメントシステム(PMS:個人情報を保護する体制を整備し、定められた通り実行し、定期的な確認、継続的に改善するための管理の仕組み)を実施できるだけの力をつけて欲しいからです!!

 

なお、Pマーク(プライバシーマーク)制度では少なくても一年に一回は教育を実施しなければいけません!!

 

2.教育は個人情報を取り扱っている部署の人だけが受ければいいのか?

 

はい、ダメです!!

なぜならそれがPマーク(プライバシーマーク)のルールで決まっているからです!!

 

…はい、すいません、ちゃんと説明します。

理由はですね、直接個人情報を取り扱う業務がない部署でも、個人情報に触れる可能性があるからです。例えば、従業者名簿・お客様リストなどなど…。みな様思い当たるものありますよね??

ですので、全ての部署の人が教育を受けましょう!!!

 

3.社員だけ教育を受ければいいの?

 

はい、ダメです!!

全ての従業者が受けなければだめです!!

つまりパートさん、アルバイトさん受け入れ派遣社員さんなども教育を受けなければだめです!

また人材派遣業を営む事業者の方々は雇用契約を締結している派遣スタッフの方(実働者)への教育も必要です!

また長期休暇中(例えば育児休暇中)で教育の受講ができない社員の方に関しましては、現地審査(会社に審査員の人が赴いてプライバシーマークを取得のための審査を受けること)の時点で教育を実施している必要はないです!!このような方々は休日明けに教育を実施していただければ大丈夫です

 

4.どんな教育方法があるのか?

 

教育方法としては集合教育、テキスト配布の自習、eラーニング、DVDでの教育などがあります。それぞれどんな教育方法でどんなメリットがあるのか、下記にまとめましたので、ぜひ会社に合った方法を探し、参考にしてみてください!

集合教育 ・従業者を集めて講義形式で教育。

・人数が多いときは複数に分けて実施。

・担当者の声をそのまま伝えられるので教育効果大。

テキスト配布の自習 ・テキストとテストを配布して空いた時間に各自で実施。

・従業者がなかなか集まれない場合や業務が忙しいときなど。

・システム関係で派遣を行っている企業に多い。

・お手軽なため多くの事業者が導入している方法。

eラーニング形式 ・インターネットを利用した学習形態。

・間違えた問題を正解するまで何度も行うなどプログラムによって自由にカスタマイズできる。

・実施状況を一覧管理できるものもあり、管理が簡単。

DVD教育 ・市販のDVDを利用して行う教育。

・映像なので印象に残りやすい。

・個々人の好きな時間にできる。

 

 

なおですね、教育を行う前には必ず計画をたてて、計画書を作り、教育を行ったあとは報告書をつくりましょう!!そして、次回はもっと良い教育を行えるように見直して次回への引き継ぎを行いましょう。

 

そして、今回つくった計画書や報告書はちゃんと保管しておいてください!

こんな感じで教育に関する、あっさり、あっさり、あっさりした説明を終わらせていただきます!

拙い文章ですが、読んでいただきありがとうございました!!

これからどんどんPマーク(プライバシーマーク)の知識をつけて、コンサルタントになれるよう頑張っていきます!!

皆様もじめじめした湿気に負けず快適にお過ごしください!!

それではまたいつの日に…

 

Pマーク(プライバシーマーク)の気になること。リスク編。

CL1012_kaidanoriruhutar2i20140830114712_TP_V

おはようこんにちこんばんは!

ISO総合研究所コンサルタントの樋口です!

頻繁に更新されるこのブログは楽しんで理解して いただけておりますでしょうか?

 

2回くらい前の僕が書いた戦隊モノのストーリー形式ブログでも「リスク」について取り上げたのですが、今回も「リスク」を題材にしてブログを上げたいと思います。

 

これでは今日も行ってみましょう!

まずは言葉の定義から。

ウィキペディアで「リスク」と調べると下記のように記載されています。

“リスク (英: risk)とは、一般的には、「ある行動に伴って(あるいは行動しないことによって)、危険に遭う可能性や損をする可能性を意味する概念」と理解されている”

“日本語ではハザード (英: hazard) とともに「危険性」などと訳されることもあるが、ハザードは潜在的に危険の原因となりうるものを指し、リスクは実際にそれが起こって現実の危険となる可能性を組み合わせた概念である。ハザードがあるとしてもそれがまず起こりえないような場合ではリスクは低くなるが、起こる確率は低くても起こった場合の結果が甚大であればリスクは高く見積もられる。 ”

ふむふむなるほど。

つまり「会社にとっての危険」=「事故や損益に繋がる事象」と言えるということですね。

 

ではPマーク(プライバシーマーク)での「リスク」とは何でしょうか?

個人情報の事故というと漏洩事故を想像すると思いますが、大きくわけて以下の3つが該当します。

・漏洩(ろうえい)・・・個人情報が外部に流出すること

・滅失(めっしつ)・・・個人情報の内容が失われること

・き損(き損)  ・・・個人情報の内容の意図しない変更

 

それではそれぞれの事故事例を見てみましょう!

 

■パターン1

漏洩(ろうえい)事件

・S区が11月8日に寄付者30人へ記念品の送付時期を尋ねるメールを送信した際、宛先を誤って宛先に設定したため。受信者間でメールアドレスが確認できる状態となった。受信者からの連絡で問題が判明した。

また誤送信されたメールに対し受信者1人が返信した際、全員に返信する形で送信したため、メール内に記載された氏名や住所、電話番号が全員に送信されたという。

同区では、対象者に謝罪し、誤送信したメールの削除を依頼した。

解説:メールのTO、CCなどの間違えによる漏洩事故は頻繁に起こります。一番報告される事故事例でしょう。みなさんも身に覚えがあると思います。漏えい事件のほとんどはヒューマンエラーによるものが多いようです。日頃の安全管理に気を付けましょう。

 

パターン2

保管すべき文書の廃棄

B労働監督署において、アスベスト関連の労災関係書類を誤って廃棄していたことが8月30日に判明したことから、関係文書の保存状況について点検・確認を実施したところ、13ある同局管轄すべての監督署において、同様の問題が発生していたという。

誤廃棄したのは、2000年度から2010年度までのアスベスト文書の一部。健康診断の結果報告書など安全衛生関係書類1500件をはじめ、監督関係書類350件、平均賃金決定関係書類100件、労災関係書類60件などが含まれる。

これら文書は、2005年12月以降、廃棄せずに保存する規定となっていたが、徹底されていなかった。また外部への情報漏洩については否定している。

解説:本来保管し、使用すべき情報が廃棄や消去によって使用できなくなることを滅失といいます。紙媒体の場合だと風に飛ばされてしまったり廃棄資料に混入してしまったりする事故が多いようです。情報は大事な資産ですから、大切に保管しましょう。

 

パターン3

USBの破損

Pマーク(プライバシーマーク)担当者のSさんは年に1回の教育テストを全従業員500人から回収し、エクセルで受講者一覧をつくらなくてはいけません。事務所でSさんが1時間かけてデータを入力し、上司へ報告するためにそのデータをUSBメモリに入れました。来訪のお客様がみえたのでUSBメモリを机に置いて5分間席をはずしました。BさんがやってきてSさんの机の横を通ります。すると服に引っかかってしまいUSBメモリが床へ落下しました。なにも知らないSさんは席につこうとした時にUSBメモリを踏みつけてしまいました。接続部分が曲がり、USBメモリをPCに挿せません。データが取り出せなくなってしまいました。Sさんはデータが使えなくなってしまったことを上司に報告し、もう1時間受講者一覧をつくりました。

リスクの3つの種類は理解いただけましたでしょうか。みなさんはこの「リスク」=「危険」を回避するために行う様々な対策を行っていますよね。たとえばメールを送る際には宛先のチェックを行っていますよね。これも対策です。

 

Pマーク(プライバシーマーク)の新規取得や、運用をお困りの皆さん、会社として「リスク」を軽減したい監査役の方々、ISO総合研究所は、リスクの考え方、運用の相談なんでもお待ちしておりますのでお気軽にご相談ください!

Pマーク(プライバシーマーク:JIS Q 15001) 3.3.3項「リスク等の認識、分析及び対策」規格解釈

Green20_yuukyu20141123122037_TP_V

 

 

いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの保住です。

 

本日は、Pマーク(プライバシーマーク)要求事項の「3.3.3 リスク等の認識、分析及び対策」についてお話しさせていただきます。

 

「3.3.3 リスク等の認識、分析及び対策」とは一般的には「リスク分析」または「リスク対策」と呼ばれています。

 

要求事項の「3.3.3 リスク等の認識、分析及び対策」には下記のように記載されています。

 

「事業者は3.3.1によって特定した個人情報について目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。事業者は3.3.1によって特定した個人情報について、その取扱の各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。」

 

つまり、「個人情報の特定」で特定した個人情報には、取扱いの中でどのようなリスクがあるかを分析して、その分析の結果、どのようなリスクがあるのかを認識して対策を立てることが要求されています。

 

とは言っても何をすればいいのかわからないですよね?

ここからは「リスク分析」をどのようにやっていくのかをご紹介いたします。

 

「リスク分析」の簡単の流れから説明します。

 

  • 洗い出した個人情報の「ライフサイクル」確認する。

  • ライフサイクルに沿ってリスクの対策を考える。

  • 講じたリスク対策について「残存リスク」を考える

 

リスク分析の流れはこんな感じです。

 

 

まずは、「個人情報のライフサイクル」についてお話しいたします。

「個人情報のライフサイクル」とは、個人情報が生まれてから廃棄されるまでの過程のことを言います。

その過程をより細かく分類したのが下記なります。

 

・取得・入力

・移送・送信

・利用・加工

・委託・提供

・保管・バックアップ

・廃棄・消去

 

「個人情報の特定」で洗い出した個人情報の取扱いの過程の中で、それぞれ上記の6つの中からどのようなリスクが発生するかをピックアップします。

 

「個人情報はどこから入手するのか?」「誰が取扱うの?」「何のために使うの?」「媒体は紙?データ?」「委託はする?しない?」「保管はどうするんだっけ?」等など・・・。考えられる要素すべてのリスクをピックアップしていきます。

 

「履歴書」で例えるならば、取得の際には「同意を得ていない」というリスク、移送送信の際には、「返却時に間違った住所に誤送信してしまう。」というリスク、利用・加工なら「採用時以外の目的外の利用」というリスクなどなど・・・。

 

 

各個人情報に対するリスクの洗い出しが完了したら次は「リスクの対策」を考えます。

 

ピックアップしたリスクに対して、「合理的な」リスク対策をしていきます。ここで重要なのは「合理的な」ということ。

 

「合理的な」というのは、現在会社で経済的にも技術的にも実際に対策が可能であって、尚且つ、そのリスクに対して対応しうる最良の手立て、ということです。

 

いくら完璧に近い対策を講じても、経済的にも技術的にも不可能でしたら意味がありません。また、業務で個人情報を取扱う上で、合理的でない対策をしてしまうことにより、業務の効率が落ちてしまっていては意味がないです。

 

ですので、リスクには、状況を見据えた上での「合理的な」対策を講じるようにしましょう。

さらにリスク対策で気を付けていただきたい点があります。

 

それは、ヒューマンエラー、物理的な理由で発生するリスクだけでなく、法令やガイドラインに反するリスクや、社会的責任に対するリスクも考えていかなければならない、ということです。

 

つまり、リスクが発生することで、法律やガイドラインにどのように抵触するのかということも認識しなければなりません。

 

最後は、「リスクの対策」に対する、「残存リスク」の確認です。

 

とりあえずのリスクの低減すことが出来ました。

しかし、リスクとはいくら対策しても0にならないものです。

 

対策を講じても、心配の残るリスクを「残存リスク」と言います。

 

例えば、社内サーバーがあると仮定します

「サーバー故障による滅失」というリスクに対し「データバックアップを取る/サーバーに盗難防止策を講じる」という対策講じたとします。しかし、「大規模災害によってサーバーが故障する」というリスクがまだ残っていることも考えられます。このリスクを残存リスクとして、認識し、念頭に置いておく必要があります。

 

また、実際にこのようなことが発生した時のことを考慮し、対策や対応手順を用意する等、体制を整えておきましょう。

 

以上がリスク分析についてでした。

リスク分析はどのようなことをしていけば良いのかなんとなくでもイメージが出来ましたでしょうか?

 

分析したリスクについては、「リスク分析表」や「リスク管理表」等を作成し、一覧管理していくことをおすすめします。

 

以上、リスク分析についてでした!

Pマーク(プライバシーマーク:JIS Q 15001) 3.3.2項「法令、国が定める指針その他の規範について」規格解釈

SAYA151005488000_TP_V

 

 

 

いつもご愛読いただき、誠にありがとうございます。

ISO総合研究所コンサルタントの藤原です。

 

今回はPマーク(プライバシーマーク)の規格要求事項である

「3.3.2 法令、国が定める指針その他の規範」についてお話しさせていただきます。

 

 

Pマーク(プライバシーマーク)を新規取得、更新するまでの流れは

 

①個人情報の洗い出し

↓ 

②法令一覧の見直し

 ↓

③リスク分析の見直し

 ↓

④委託先の評価

 ↓

⑤従業員の個人情報保護教育

 ↓

⑥監査

 ↓

⑦代表者による見直し

 

 

になります。今回は上から2番目の法令一覧の見直しに関してのお話です。

 

 

 

 

 

 

 

まず「法令、国が定める指針その他の規範」とはなんでしょうか。

 

Pマーク(プライバシーマーク)の規格であるJIS Q 15001には、

 

「事業者は,個人情報の取扱いに関する法令,国が定める指針その他の規範を特定し参照できる手順を確立し,かつ,維持しなければならない。」

 

といった記述があります。

 

「法令」・・・法律や地方自治体が定める条例など

「国が定める指針」…法律ではないが、国が定めて、事業者が遵守しなければならない通達や指針など

「その他の規範」…国や事業者が所属する業界団体などが定めるガイドラインなど

 

これらのことが該当します。

 

 

 

個人情報保護方針においても、法令遵守を盛り込む必要があるように、Pマーク(プライバシーマーク)取得事業者は、関連法規制を遵守しなければなりません。

そのためには、まず自社にどのような法規制が関連しているのか、これを明確にしなければなりません。

 

 

 

要求事項で言われているのは法令だけではありません。

「国が定める指針」や「その他の規範」も特定の対象になります。Pマーク(プライバシーマーク)の制度では、以下のものが最低限特定されていることが必須となります。

 

 

「個人情報の保護に関する法律」

http://law.e-gov.go.jp/htmldata/H15/H15HO057.html

 

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」

http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/1212guideline.pdf

 

「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」

http://www.mhlw.go.jp/topics/2004/07/tp0701-1.html

 

「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項について」

http://www.mhlw.go.jp/topics/bukyoku/seisaku/kojin/dl/161029kenkou.pdf

 

 

規格では、個人情報を取り扱うに当たって参照し、守らなければならない法令等を事業者が独自に特定することを求めています。

 

つまり、事業者が自らの業務に関連のある範囲で参照すべき法令等を特定するということです。

 

 

例えば、保険事業をしていれば、「保険法」が当てはまりますし、

印刷系の事業をしている、かつJIS Q 15001に準じているのであれば、「印刷産業のための個人情報保護の手引き」が必要になります。

 

また、派遣系の事業をしていれば、

「派遣元事業主が講ずべき措置に関する指針」や、「職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が均等待遇、労働条件等の明示、求職者の個人情報の取り扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対処するための指針」など、これらに準ずる法令が適用されます。

 

 

事業に応じて必要な法令を特定しましょう。

 

 

 

 

 

法令等の特定をした後は、「参照できる手順を確立し,かつ,維持しなければならない。」

という要求事項があります。

 

法律や条令は変わりますよね??

条例が変更されたとすると、参照するものも変更しなければなりません。

ですからここでは

 

「特定をして、常に最新版が見られるような手順を決めてください。」 ということが求められているということです。

 

 

例えば

「管理者は毎年●●月に必要に応じ見直しを行い、制定・改版状況を確認し、最新版を維持管理する。制定・廃止状況に応じて法令を管理している帳票に反映し、代表者に承認を得る」

こちらが手順になります。

 

 

 

最近ではマイナンバー制度が施行されたので「番号法及び特定個人情報ガイドライン」を新しく追記する必要があります。見直しはきちんとできていますか??

 

 

 

最後に

 

「3.3.2 法令、国が定める指針その他の規範」は、なぜ個人情報の特定の後、リスク分析の前に置かれているのでしょう?

 

それは個人情報の特定の結果によって遵守すべき法令や指針が異なり、また個人情報取扱上のリスクの一つとして法令違反が挙げられる場合があります。

従って、時系列として個人情報の特定の後でリスク分析の前になります。

 

例えば、お問い合わせフォームで個人情報を聞くような場合を想定します。

規格では 「3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置」に基づけばよく、利用目的が本人に対して通知または公表されていれば、同意を得ることは不要です。

 

ところが、自社の主務官庁や所属する業界団体が発行するガイドラインなどにおいて、お問い合わせフォームでの個人情報の取得においては、HP上で利用目的を通知 し、HP上で同意を得ることを求めていた場合、それに従うことが必要です。

 

もし、あらかじめこれらのガイドラインの内容を理解しておくことができなければ同意を得ない、という大きなリスクを抱えることになります。

 

このように、個人情報に関わるリスク分析を実施する上では、事業者が遵守すべき「法令、国が定める指針その他の規範」を特定し、その内容を理解しておくことが重要になります。

 

 

 

 

最後までお読みいただき、誠にありがとうございます。

Pマーク(プライバシーマーク:JIS Q 15001) 3.9項「事業者の代表者による見直し」規格解釈

 

 

N112_sukejyurucyouseicyu_TP_V

 

いつもご愛読いただき、誠にありがとうございます。

ISO総合研究所コンサルタントの佐久間です。

 

今回は、Pマーク(プライバシーマーク)を取得、運用する際に必ず必要となる、「事業者の代表者による見直し」について詳しくお話しさせて頂きます。

 

Pマーク(プライバシーマーク)の要求事項(JIS Q 15001)は下記のように記されています。

 

「事業者の代表は、個人情報の適切な保護を維持するために、定期的に個人情報保護マネジメントシステムを見直さなければならない。

事業者の代表者による見直しにおいては、次の事項を考慮しなければならない。

  • 監査及び個人情報保護マネジメントシステムの運用状況に関する報告
  • 苦情を含む外部からの意見
  • 前回までの見直しの結果に対するフォローアップ
  • 個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
  • 社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
  • 事業者の事業領域の変化
  • 内外から寄せられた改善のための提案」

 

この要求事項の概要としては、

「より良い個人情報保護マネジメントシステムとするため、a)~g)の事項を材料に、現状を前提としないで見直すことを要求している。」と、記述されています。

 

つまり、「事業者の代表者はa)~g)の事項を参考に見直しを行って下さいね。」と、いうことです!

 

 

ここで注目すべきことは、以下の三点です。

  • 少なくとも年に1回は実施するよう記述していること
  • 実質的な経営判断が求められているということ
  • アウトプットに関しては特に指定されていないということ

 

 

まず、

  • 少なくとも年に1回は実施するよう記述していること

に関してですが、この項目「3.9事業者の代表者による見直し」ではほかの項目とは少し違う表現がなされています。それが今回のポイントです。

それとは、〝少なくとも年に1回〟と記述されているということです。

〝少なくとも年に1回〟

つまり、ここで言いたいことは「年に1度定期的に実施するだけではなく、必要に応じて不定期でも実施していきましょうね。」ということです!

この項目はこの後の②でもお話させていただくのですが、あくまで事業者の代表による経営の見直しなのです。

おそらく年に一回ではすこし他の項目よりも面倒に思う人がいるかもしれません。

ですが、ご安心ください!!

発想を逆転してみましょう。

〝少なくとも年に1回〟実施していればいいのです。

つまり、年に1回さえ実施されていればとやかく言われることはないということです(笑)

できれば実施されていると望ましいですねくらいですね。

 

続いて、

②実質的な経営判断が求められているということ

に関してですが、①でも少しふれたようにあくまで事業者の代表による経営の見直しということです。

この項目「3.9事業者の代表者による見直し」では3.8「是正処置及び予防処置」で述べられている、是正について事業者が承認することとは少し違ったものが求められます。

「3.9事業者の代表者による見直し」では実質的な経営判断が求められているということです。

つまり、要求事項のa)~g)の事項を含んだ内容で実際に自社ではどんなことが必要かを事業者の経営者は判断してくださいねと言っているのです。

ここでのポイントとしては、判断が求められているだけであるということです!

それが、注意するべきことの3つ目にあたります。

 

最後の項目です。

③アウトプットに関しては特に指定されていないということ

に関してお話いたします。

この「3.9事業者の代表者による見直し」では見直しのインプットとしてa)~g)の事項を含めて規定していることに関してしか述べられておらず、アウトプットに関しては特に述べられていません。

つまり、極端に言えば全く的外れなアウトプットでも問題はないということになります!

例えば、インプットとして「作業のクオリティに問題があり外部から意見があった」というものがあったとする。そのアウトプットとして、「最近太り気味だからしばらくはラーメンを控える」というものでも要求には応えていることになります(笑)

まあ、一般的に考えて問題なので審査員からの評価はよくないでしょうね(笑)

そしてもう一つ、伝えたいことがあります。

それは、必ずしも要求事項のa)~g)の項目すべてを見直しの材料にする必要はないということです!

分かりやすいように例を出しますと、要求事項のa)監査及び個人情報保護マネジメントシステムの運用状況に関する報告に関してアウトプットが特にない場合、「特になし。」と、記述しても問題ないのです!

 

いかがでしょうか。

要求事項をよく読んで、解釈の方法を変えてみると意外と面白い場面が出てくることもあります。

こんなんでいいの?と突っ込みを入れながら要求事項を解釈していけると面白いですよね。

また、改めて要求事項を読んでいると新しい発見をすることがあるかもしれませんね。

 

 

以上、「事業者の代表者による見直し」についての解説でした!

Pマーク(プライバシーマーク):Pマーク(プライバシーマーク)で要求される法令について

N934_akusyuwomotomerubijinesuman_TP_V

いつもご愛読いただき、誠にありがとうございます。

ISO総合研究所コンサルタントの保住です。

 

今回は、Pマーク(プライバシーマーク)の新規取得や、取得後の運用の際に必ず必要となる「法令・国が定める指針その他の規範」について詳しくお話しさせて頂きます。

 

Pマーク(プライバシーマーク)の要求事項は下記のように記されています。

 

「事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない」

 

この要求事項の概要としては

 

事業者は、個人情報保護方針で「法令、国が定める指針その他の規範を遵守する」と宣言したように、個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守しなければなしません。したがって、事業者の自らの業務に関連のある範囲で、個人情報の取扱いに関する法令、国が定める指針その他の規範の制定・改廃状況に注意し、常に最新版を維持・参照する手順を定め、それを実施している必要があります。

 

つまり、「自社が関連する法規制を明確にし、従業者が参照できるようにしなさい」ということです。

 

そのためにはまず、「自社にどのような法規制が関連しているのか?」ということを明確にしなくてはなりません。

 

ここで、明確にする対象が「法律」だけでよいと思った方、残念ながらそれでは審査で指摘を受けてしまします。

 

要求事項は「法令、国が定める指針その他の規範」となっています。

つまり「法令」だけではないのです。「国が定める指針」や「その他の規範」も特定の対象なのです。

 

つまり、「法令」「管轄省庁のガイドライン」「加盟団体の指針やガイドライン」「地方自治体の条例」4つの特定が必要になるのです。

 

この4つの中から、自社が関連するものを特定しなければならいのです。

世の中には想像以上に法律、ガイドライン等がありますから、しんどいですよね。

 

ここで審査の着眼点として下記の法令は必ず必須とされています

 

・「個人情報の保護に関する法律」(平成15年5月)

・「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」

・「雇用管理分野における個人情報保護に関するガイドライン」

・「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項」

 

特定漏れがあった方は

今すぐ、法令一覧に特定しましょう!

 

次は事業ごとに当てはまる法令やガイドラインの特定ですね。

 

業界や事業により、適用される法令や、ガイドラインは様々です。

 

例えば、派遣事業でしたら、「派遣元事業主が講ずべき措置に関する指針」があげられます。

メルマガ等の配信事業でしたら「特定電子メールの送信の適正化等に関する法律」が、ネット販売、通信販売の事業では「特定商取引に関する法律」が当てはまります。

 

 

また、事業所が置かれている都道府県、市町村によって当てはまる法令は異なってきます。

例えば、東京都新宿と大阪府大阪市に事業所を置かれている会社ですと

東京都の条例にある「東京都個人情報の保護に関する条例」と大阪府の「大阪府個人情報保護条例」と大阪市の「大阪市個人情報保護条例」の三つを洗い出して管理しなければなりません。

 

ですので、自分の会社の事業や事業所が置かれている都道府県、市町村に合わせて、必要な法令等をピックアップしておきましょう!

 

 

さて、特定が終わればその結果を台帳等にまとめ、従業者が閲覧できるようにするだけです。

 

 

しかし

Pマーク(プライバシーマーク)では一度法令を特定すれば終わり!ではないのです。

 

もう一度要求事項の確認してみましょう。

 

「事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない」

 

最後の文言に注目です。

そう、維持しなければいけません。

 

つまり、法令を見直して改正されていたら、最新版に更新しなければいけないのです。

ではどのようにして法令を見直していけばよいか?

 

基本的には、特定された法令に関して一ずつ見直していく必要があります。

 

Pマーク(プライバシーマーク)認証機関のJIPDEC(ジプデック)がガイドラインや指針に関してHPにて公表していることもありますが、事業者が置かれている都道府県、市町村の条例に関しては各ホームページで確認するのが必要になってきます。

先ほども話した通り、事業者ごとに参照すべき法令も異なってくるため、必要に応じて業界の関連法令を確認できるようにしておく必要があります。

 

 

基本的には年に一回、見直し月を定め、法令やガイドラインが改正されていないかどうかを確認します。

 

改正されていたら直近の改正日を記録として残しておくのが良いでしょう。

 

弊社では

・特定した法令の名称

・法令の発行元・参照場所となるURL

・直近の改正日

 

上記三つの項目で法令を記録・管理しております。

 

そうすることで、見たい法令のサイトにすぐにアクセスができ、改正日もすぐに確認できます。

 

 

また、よく「法令を遵守している= Pマーク(プライバシーマーク)を取得できる」と認識されている方がいますが、それは大きな間違いです。

 

確かにPマーク(プライバシーマーク)の要求事項であるJISQ(ジスキュー)15001:2006は個人情報保護法の影響を受けている面もありますし、Pマーク(プライバシーマーク)取得に必要な法令に含まれていますが、個人情報保護法とPマーク(プライバシーマーク)異なるものです。

 

気を付けましょう!

 

 

最後に法令の見直しはとても大変ですが、Pマーク(プライバシーマーク)を運用していくためだけでなく、会社運営においても重要な事項です。

 

できるだけ定期的な見直しをしていくことおすすめします。

 

 

以上、「法令・国が定める指針その他の規範」についての解説でした!

Pマーク(プライバシーマーク)の意義

PAK77_sumahodetel20140823111801_TP_V

 

 

 

 

お世話になっております。ISO総合研究所コンサルタントの藤田です。

いつもご愛読いただきありがとうございます。

 

さて、今回は「Pマーク(プライバシーマーク)の意義」について、お伝えさせていただきます。

 

■会社側から見た個人情報保護の意義

 

・社会的信用の獲得

 

社内全体での個人情報保護意識高揚(従業員による内部流出事件の防止対策)

トラブル発生による企業イメージダウンの回避(リスクヘッジ)

事業の安定継続性の獲得

 

法令遵守姿勢の評価

 

 

・顧客からの信頼関係の獲得

 

個人情報収集対象である消費者からの信頼確保

 

預託関係にある取引先企業からの信頼性確保

受注競争の優位性

「取引の拡大」

 

従業員との信頼関係の構築(安心して働ける職場環境)

 

 

■取引先・消費者側から見た個人情報保護の意義

 

・優良企業の判断材料

 

相手先企業のコンプライアンス規定に照らして、取引適正事業者として扱われる。

※Pマーク取得事業者以外との優先取引を禁じているコンプライアンス規定が近年大手企業に増えてきています。

 

 

■従業員側から見た個人情報保護の意義

 

・従業員の個人情報に関する権利の確保

・従業員全体の個人情報に対する保護意識の向上

 

コンプライアンス意識の向上

遵法意識の高い従業員の育成

法令違反による企業イメージダウンの回避

 

 

 

 

個人情報保護活動におけるPマーク(プライバシーマーク)の必要性

 

一口に個人情報保護活動と言っても、会社がやらなければならないことはたくさんあります。個人情報が不正業者にわたらないように守ること以外にも、全社員に活動を積極的に実施してもらうための工程を作ったり、社内のどんな業務でどのような個人情報を利用するのかを分析したり、だれもが適切に個人情報を取り扱えるようルールを作ったり、そのルールが守られているかどうかをチェックしたり・・と実施すべき様々な活動があります。あなたの会社がこれらの活動を実施しているかどうかを、一般の消費者が調べるのはとても困難な作業です。そこで、これらの内容をすべて含めて、適合審査に合格したという証が必要になるのです。また、企業に対して個人情報保護活動を実施する為の基準を示す、という意味合いでもPマーク(プライバシーマーク)は非常に重要なマークなのです。

 

企業間取引におけるPマーク(プライバシーマーク)の必要性

 

B to B(企業間取引)

 

企業間取引、いわゆるB to B(法人向け)ビジネスでもPマーク(プライバシーマーク)の必要性は高まってきています。それは、企業がお客様から取得した個人情報を、業務上第三者にその取扱いを委託するケースが数多くあるからです。

例えば、

・ 通販会社が通販雑誌の定期購読者への発送を出版会社に委託する

・ 通信サービス会社が顧客のカスタマーサポート業務を外部に委託する

・ 電機メーカーが顧客管理システムの開発をシステム開発会社に委託する

・ 業界団体が会員名簿の印刷を印刷会社に委託する

などのケースが想定されます。

 

さて、こういったケースで委託先が個人情報の漏洩事故をおこしてしまった場合、誰が責任を取るのか?お客さまから直接個人情報を取得した委託元が責任を免れることはできないでしょう。個人情報の取り扱いを外部に委託する場合、委託先での事故発生の可能性を低減させるため委託先が一定水準以上の個人情報管理を行なっているかチェックしなければなりません。そこでPマーク(プライバシーマーク)の必要性が出てきます。そう、Pマーク(プライバシーマーク)を取っているということは、個人情報保護活動が一定のレベル以上で推進できているという証なのです。ですからPマーク(プライバシーマーク)を取っていれば委託先として認めるという考え方が広まってきているのです。実際に、Pマーク(プライバシーマーク)を取得している会社は専門の審査員の審査を受けて合格しているわけですから、委託元の担当者がチェックするよりも信頼性が高いのは明白です。委託元が委託先に対して安心して業務を任せられるかどうかを判断する基準としてもPマーク(プライバシーマーク)は非常に重要な役割をはたしています。

 

 

Pマーク(プライバシーマーク)のメリット・デメリットについてもお話しします。

 

■メリット

 

・個人情報の保護に積極的であるという意味で、会社の社会的な信用が向上する。

 

・顧客や関係先に、安心して取引してもらえる。

 

・顧客や関係先に、安心して個人情報の取扱いを任せてもらえる。

 

・JIS Q 15001(ジスキュー15001):2006は、個人情報保護法を取り込んでいるため、Pマーク(プライバシーマーク)を取得することは、個人情報保護法を必然的にクリアーすることになる。

 

・強力な営業ツールとして利用できる。

 

・従業員のモラル、個人情報保護に対する意識が向上する。

 

・個人情報の管理の視点から、これまでの業務を見直すことになるので、業務の簡略化・省力化といった業務改善につなげることができる。

 

・社会的に認められた第三者(付与機関、指定機関)が個人情報の管理面から業務をチェックすることになるので、CSR(企業の社会的責任)に取り組むきっかけになる。

 

 

■デメリット

 

・良くも悪しくも、仕事のやり方に“ギプス”をはめられることになるので、自由な裁量で仕事をする範囲が狭くなる。

 

・合理的な対策を行う上で、ある程度の設備投資が必要な場合もある。

 

・(やり方を間違えると)通常の仕事と、個人情報保護マネジメントシステム(PMS)で定めた仕事が乖離して、ダブルスタンダードになってしまう。

 

・一度取得してしまうと辞めづらい。Pマーク(プライバシーマーク)を返上することで、個人情報の取扱いについて信用不安につながりかねない)

 

 

 

Pマーク(プライバシーマーク)の必要性について分かっていただけましたでしょうか?

もしPマーク(プライバシーマーク)の取得、運用についてお困りでしたら、どうぞお気軽に弊社ISO総合研究所までご連絡ください。