そもそも印刷業にPマーク【プライバシーマーク】っているの?

N112_sukejyurucyouseicyu_TP_V

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの田口と申します。

 

今回のテーマ

 

「そもそも印刷業にPマーク【プライバシーマーク】っているの?」というテーマで書かせていただきます!

 

 

結論から申しますと、『いらない』です。

 

 

いきなりこんな風に書いてしまうと…

 

 

・そんなの取ってて当たり前のもんだろ!

・いらないって、今までやっていた努力は何なの?

・ふざけるな!

 

 

などなど、批難殺到だと思います。

いらないというのは大げさな部分はありますが、あなたの会社でPマークを持っている意味というのはなんですか?

こんな理由が挙げられると思います。

 

 

①顧客の要求があるから。

②持っている方が取引きしやすいから。

③個人情報を守っているというアピールになるから。

④セキュリティの向上になるから。

 

 

が大部分だと思います。

これ以外にないとは思っています。

 

まぁ、①や②は顧客や取引で必要なのだというあなたは持っていないといけなく、Pマーク【プライバシーマーク】が必要です。持っていないと仕事がなくなってしまうので、Pマーク【プライバシーマーク】を維持し続けていかないといけないですね。

 

 

Pマーク【プライバシーマーク】を維持するということはとても大変な労力です。

通常の業務とはかけ離れた作業をしているから大変ですよね…

なんといっても審査と指摘改善が一番大変だと思います。一人の担当者がほぼやっているあなたのような会社が厳しいと思います。

ISO総合研究所では1630社のお客様の運用代行をしており、いくつもの審査内容を集計しております。どんな指摘が一番多いのか?どんな傾向があるのか?2016年の審査傾向をまとめたマル秘資料を作っております。

 

 

『審査員はここを見ている!厳選48項目』

 

 

これを使用してISO総合研究所のお客様は審査での指摘を減らして、指摘改善の時間を少なくしております。

そんな資料を手に入れるチャンスがあります!!!

入手方法についての詳細は下記に書いておきます。

 

 

さて、話を少し戻します。

 

 

③や④のあなたはいかがでしょうか??

③のアピールになって仕事が増えているのでしょうか?それならば持っている意味が十分にあると思います。しかし、なんとなく持っていた方が良いと思って維持し続けているあなたはどうでしょうか!?2年に一回、50万~100万の審査料を払ってまで維持して、仕事が増えていますか?

④のセキュリティ向上のために持っているというのはどうでしょう?これほどムダなことはないと思います。Pマークの仕組みの中には色々とやらなければいけないことが沢山あります。

個人情報の台帳を作る。これで本当にセキュリティの向上につながりますか??

リスク分析をする。まあ、これはある程度役に立つかもしれません。

法令の特定をする。これの記録を作ったところでセキュリティが向上しますか??

委託先の管理記録をつくる。セキュリティに関係あります??

教育をする。これは内容によっては良いと思います。

内分監査をする。決めたルールをやっているかどうか確認するのは良いと思いますが、それ以外の内部監査は意味ないです。

代表者の見直し。これも意味ないですよね。

 

 

結局、役に立つのは教育とルールをやっているかどうかの確認くらいかなと思います。

その他をやるくらいの時間があるのならば業績を上げた方が会社のためになるんじゃないですか。

どうしてもセキュリティを上げたいのでしたら、Pマーク審査を受けるくらいならばセキュリティシステムを入れた方が断然よいと思います。

うちでは、そんな余裕がないし…

というあなたは、ルールを落とし込むのならば何が一番良いと思いますか?

教育?マニュアル化?

どちらも正解です。

ただ、落とし込むまでならば、またですか?覚えてますから。と言われるくらいまで繰り返し、繰り返し言い続けることが一番だと思います。

どこの会社でも同じですが、従業員の教育が一番であり、永遠の課題だと思います。

社長や責任者は言い続けられる根気と負けん気が重要です!!

 

 

顧客要求以外で、印刷業界にPマーク【プライバシーマーク】は必要ありません。

あるのはイメージだけです。

 

 

結局のところ、セキュリティ向上とPマーク【プライバシーマーク】維持というのはちょっとずれているのです。ここまで書かせていただいて、どうしてもPマーク【プライバシーマーク】の維持はするというのであれば止めません。

 

ISO総合研究所では、担当者が一人で業務に支障があるというあなたのような会社をお手伝いしております。

ムダなルールや作りすぎている書類をなるべく無くしていき、あなたの代わりに記録を作っていきます。

これによって楽になるのはあなた自身なのです!!

 

 

もちろん自分たちでやっていきたいというあなたもいると思いますが、そんなあなたでも今抱えて課題が明確に、解決に導けるようにお話させていただきます。

むしろ、営業という形でのお伺いというよりも、「相談」にのるような感じです。

「ISO総合研究所」と検索していただければすぐにヒットします。

その時に、前述していた資料をお持ちします。ご連絡を頂いたときに

 

 

“ブログを見ました。『審査員はここを見ている!厳選48項目』の資料が欲しい!”

 

 

と言って頂ければお持ちいたします。

長くなりましたが、またご愛読いただければ幸いです。

監視カメラとPマーク(プライバシーマーク)について

_shared_img_thumb_GREEN_RO20140125_TP_V

 

いつもご愛読いただきありがとうございます。

ISO総合研究所、Pマーク(プライバシーマーク)コンサルタントの山口浩史です。

 

今回は監視カメラとPマーク(プライバシーマーク)についてお話させて頂きます。

 

近年、監視カメラ、防犯カメラ、防災カメラ等、○○カメラという言葉を耳にします。ではまず、この言葉の違いから説明させていただきます。

 

読んで字のごとく、監視カメラとは様々な目的のために監視するビデオカメラのことを言います。例えば、犯罪防止のために使用されるカメラを防犯カメラと呼び、火災等の防災のために使用されるカメラを防災カメラと言います。私は監視カメラ=防犯カメラ=防災カメラという認識でした。

 

街を見渡すと至るところに監視カメラがあります。例えば、オフィスビル、商業施設、駅、公園、マンション、一軒家等。例を挙げたらキリがありません。日本全国で300万台以上あると言われています。いつの間にこんなに増えたのだろうか?

 

ちなみにイギリスでは590万台(人口11人に1台)利用されていると言われています。2020年には東京オリンピックもありますので今後さらに増えていくと思われます。

 

ではPマーク(プライバシーマーク)を取得していて監視カメラを導入している企業はどのくらいあるかちょっと調べてしました。

 

弊社数名のコンサルタントの聞いてみたら、185社のうち、監視カメラを導入していたお客様は25社でした。(あくまでも参考程度ですが)割合で言ったら15パーセントくらいでした。私は30~40パーセントくらいは導入しているかなと思っていたので意外に少ないなと思いました。ではどんなお客様が導入しているかというと、梱包など、多数のお客様情報を扱っている企業が多かったです。また、外部からの犯罪を防ぐためと内部からの情報漏洩を防ぐために従業員の行動をチェックするために監視カメラを利用しています。近年、従業員が意図的に個人情報を流失するという事件もありますので監視カメラがあるだけ抑止力にもなります。監視カメラがあることに気が付いていない従業員も多々いますが。結構わかりづらいところ(高所)に設置していることが多いので。たぶん私も気づかない内にたくさん撮影されているとい思います。

 

では、実際にPマーク(プライバシーマーク)を取得している企業が監視カメラを使用する際にどういった点に気をつけないといけないか説明します。

 

例えば、不特定多数の人が出入りする場所に監視カメラを設置した場合です。不特定多数の人が出入りするということは知らないうちに監視カメラに撮られている可能性があります。これは本人に無断で個人情報を利用していることになります。Pマーク(プライバシーマーク)では個人情報を利用する際に本人の許可を得ることが前提となっております。一人一人に許可を取るのは現実的ではありません。ではどうやって許可をとればよいか、それは監視カメラ付近に「防犯カメラ作動中」など勝手に撮影はしませんよとアピールすれば大丈夫です。意外と簡単に解決できます。

 

では、社内など特定の人が出入りする場所に監視カメラがある場合です。これも「防犯カメラ作動中」など明示すれば大丈夫ですが、お客様によっては外観を損ねるから嫌だという方がいます。こういった場合は特定の人しか出入りしないので事前に書面などで許可をとれば大丈夫です。先ほども言いましたがPマーク(プライバシーマーク)で大切なことは本人から許可を取ってから個人情報を利用することです。(例外で本人から許可をとらないで個人情報を利用することもあります。今回、この説明は割愛させていただきます。)

 

Pマーク(プライバシーマーク)を取得しているお客様でも、監視カメラの利用方法を理解していないところがあります。実際、内部監査を実施させていただいたお客様の中に指摘をだした例もあります。

 

ここで一つ「個人情報」について説明いたします。個人情報とはある特定の人物と判別できることを言います。なので、監視カメラに映ったとしても特定の人物だと判別できなければ問題ありません。

 

ここで監視カメラの使い方について気をつけていただきたいことがあります。監視カメラを利用する目的は防犯や防災目的が多いと思いますが、仮に何か事件が起こってその犯人が防犯カメラに映っていた場合、善意から犯人を捕まえようとその映像を拡散した場合、Pマーク(プライバシーマーク)上問題となる可能性もありますのでご注意して下さい。この辺りがちょっとややこしいです。

 

これからPマーク(プライバシーマーク)取得企業が監視カメラを利用するケースも増えてくると思いますが利用する際には十分気をつけていただきたいと思います。

 

また、監視カメラを所有していて、これからPマーク(プライバシーマーク)を取得しようと考えている企業も同様に気をつけてください。

 

 

Pマーク(プライバシーマーク)における「内部監査」について

_shared_img_thumb_GREEN_I20140125_TP_V

 

いつもご愛読いただき、ありがとうございます。ISO総合研究所、コンサルタントの南です。

 

最近、気温の寒暖差が激しいですね。夜はちょうど良かったのに朝は寒すぎて、

布団の中で震える日々が続いております(笑)

そうそう、先日ですね、弊社で毎月実施している新卒のイベント、

 

「天下一大会」の“東京新卒VS大阪新卒のプレゼン対決”

 

に向けての打合せをするために、最近、板橋区引っ越した同期の新卒男子の家に、他の新卒者と一緒にお邪魔させていただきました!!

 

※天下一大会とは毎月一回、新卒同士で戦う壮絶なバトルの日です!ISO総合研究所の名物と言っても過言ではないです!しかし、イベントの名前はどこかの漫画からクレームが来そうなネーミングですね!(笑)

 

いやあ~、職業柄でしょうかね、間取りとか、何処に何を置くかよりも、エントランスの鍵の閉め方や、靴箱に鍵がかかっている、災害時の避難経路はあるのか、消化器は置いてあるか、などのセキュリティーが気になってしょうがなかったです。知らず知らずのうちに内部監査をするような視点で新居を見て回っていました。(笑)

 

ということで今回はPマーク(プライバシーマーク)における内部監査のお話をさせていただこうと思います。(かなり無理矢理ですね...(笑))

 

 

まず、内部監査ってなんでしょう...??

 

内部監査とは、組織の内部の者による監査のことをいいます。

組織体が経営する上での目標の効果的な達成に役に立つことを目的として、合法性と合理性の観点から公正かつ独立の立場で、ガバナンス・プロセス、リスク・マネジメントおよびコントロールに関連する経営諸活動の遂行状況を、内部監査人としての規律を遵守する態度をもって評価し、これに基づいて客観的意見を述べ、助言・勧告を行う保証(アシュアランス)業務、および特定の経営諸活動の支援を行うアドバイザリー業務です。内部監査は、取締役(会計参与設置会社にあっては、取締役及び会計参与)の職務の執行を監査する監査役監査(又は監査委員会による監査)、計算書類及びその附属明細書、臨時計算書類並びに連結計算書類を監査する会計監査人監査と合わせて、三様監査と呼ばれることがあります。

※一般社団法人日本内部監査協会の「内部監査基準」参照

 

これを簡単に言いますと、ルールをしっかり守れているのかを社内にいる人がチェックしていくということです。

 

Pマーク(プライバシーマーク)の運用で言うと「PDCAサイクル(ピーディーシーエーサイクル)」の「C」にあたるのが内部監査です!

※PDCAサイクル(ピーディーシーエーサイクル)とはPがプランつまり計画、Dがデューつまり実行、Cがチェックつまり点検、Aがアクションつまり行動になります!!!

 

Pマーク(プライバシーマーク)の内部監査を行うにあたって、大きく分けて以下3点の監査を行っていかなければなりません。

 

 

  • Pマーク(プライバシーマーク)の文書に対する監査

チェックするのは、社内で作った文書が規格(JISQ15001(ジスキュー15001))の要求を満たしているかどうかです。

 

  • 個人情報保護管理者に対しての監査

個人情報保護管理者が作ったルール通りに運用をできているか

 

  • 現場に対しての監査

実際に現場で決めたルールを守っているか、各拠点、各部署の単位でチェックをしていきます!!

 

よくある例としては、入退室の記録の書き忘れや社内携帯にパスワードをかけていない、スクリーンセーバーをかけ忘れている、また掛けているが、バブルで設定しているなどなどです。ちなみになぜスクリーンセーバーの設定がバブルだとダメかというと、バブルだとスクリーンセーバーがかかっても透けてしまってパソコンの画面の内容が丸見えなんですよ(笑)

実際、わたしたちのお客様でも現地審査で審査員に指摘として出されてしまったお客様がいます(笑)

気になる方はぜひ一度設定してスクリーンセーバーがかかるまで放置してみてください(笑)

ちなみにどうしてもスクリーンセーバーをかけたくない方には、離席時に「Ctr(コントロール)」と「L(エル)」のキーを押していただくと、画面がロック画面になるという裏技が有ります!!ぜひぜひお試しくださいませ!!(笑)

 

 

Pマークを取るためには、上記の内容の内部監査を最低でも1年に1度は行わなければいけないです!

 

 

また、内部監査をする際の注意点ですが、監査員は自分が所属している部署の内部監査を実施してはいけません!!理由としては自分の部署を自分で見てしまうと、客観的な目で見れなくて、公平な判断が出来ないからです!!!分かりやすくいうならば、遊園地に行って、周りにいる子供と自分の子を比べて、「うちの子が一番かわいい」と思ってしまう父親、母親のようなものです(笑)客観性、公平性を失っていますね(笑)かく言うわたしも子供が出来たらそうなっていくのでしょうが…(笑)

 

 

ざっくりですが内部監査につきましては以上となります!!!!

拙い文章ですが最後まで読んでいただきありがとうございました!!!!!

「Pマーク(プライバシーマーク)の新規認証の審査の1日」

SAYA072162920_TP_V

いつもご愛読ありがとうございます。

 

今回はPマークの新規取得において、担当者が一番心配されている点についてお話したいと思います。

お客様のほとんどは口を揃えて、「○○が一番心配だった。」「○○の対策をどうするかでずっと悩んでいた。」と言います。

その「○○」とは・・・「現地審査」です。

 

「現地審査」とは、審査員がPマーク取得申請企業に実際に出向いて、実務をチェックする工程です。現地審査を初めて受けられる人にとっては、何が起こるのか分からないので大変不安ですよね。では、実際、どんな風に流れていくのか、1日の流れを紹介したいと思います。現地審査の前日から、Pマーク担当者Aさんの1日のスケジュールを見ていきましょう。

 

【審査前日】○月×日

09:00 明日は審査だ。審査に使う書類を印刷しよう。

10:30 書類の印刷終了。やはり書類の数多いな…。さーて、どこにどの書類があるか当日テンパらないように付箋を貼っていこう。

12:00 付箋だらけになってしまった。書類も多いし、付箋も多いし、テーブルがごちゃごちゃだ。審査でしっかり見る書類と、ほとんど見られない書類が分かれば、書類も付箋も少なく済むのになぁ。とりあえず昼食取って休憩しよ。

13:00 さて、次は「同意書」や「委託先の契約書」とかの書類を総務部のキャビネットから集めよう。

14:00 やっと集まった。意外と大変だったな。でもなんか足りなさそうだな…

14:05 とりあえずテーブルの上がやばい(笑) 綺麗にファイリングしよう。

14:30 完成!さーて、次は全書類のチェックだ!

14:40 やばい。さっそく書類が足りない。印刷ミスもある…

16:30 チェック終了。・・・さて、やるか(不足分の書類回収、書類修正、再印刷など)

17:00 退社時間迫ってる。誰か手伝ってくれ。

18:00 んー終わらない。

19:00 よし、ここまできた。最終チェックだ!

20:00 やっと終わったー。早く帰ろう。明日は審査だ。

 

 

 

【審査当日】○月△日

08:30 出社

09:00 審査で使う会議室に、昨日チェックした書類を持ってこよう。

09:30 審査の参加者に点呼をかけよう。弊社の代表取締役、個人情報保護監査責任者がいればいいんだっけ。

09:50 審査員到着。2人来た。審査員のうち、1人がメイン、もう一人がサブということらしい。

10:00 審査開始。最初に秘密保持契約を結んだ。

10:10 トップインタビュー開始。弊社の代表取締役とメインの審査員が会話。

内容は、

①Pマーク取得の目的

②いつ頃からPマーク取得を考え始めたのか

③事業内容の概要

④各事業の売上の比率

10:30 トップインタビュー終了。代表者は退出。

10:35 ここからが私の出番!

10:50 約15分 採用の形態と採用業務のフローについて、メインの審査員に詳しく聞かれた。「不採用時の履歴書は返却か廃棄するのか」そこまで聞かれるんだな。

11:10 約20分 給与管理や社会保険関係などの経理・総務業務のフローに詳しく聞かれた。タイムカードなのか固定給なのか、社労士や税理士をどこのフローから使っているのか 質問攻め。経理に詳しい人じゃないと答えられないな。

12:00 約1時間 弊社サービスの業務フローについて詳しく聞かれた。個人情報をどこから受け取るのか、どういう書類やデータに置き換わりながら業務が流れていくのか、情報をどのプロセスで委託するのか、廃棄はどうしているのか、何年保管するか決まっているのかなど、質問攻め。よくそんなポンポン質問が出てくるなぁ。喋りすぎて喉が渇く。事務の人を呼んでコーヒー追加。

12:05 お昼休憩。審査員とは別の場所で昼食をとる。

13:00 午後の部開始!作成した書類のチェック!

14:20 午前中にヒアリングしたことと、作成した書類の整合性について順を追って、サブの審査員に確認された。午後は基本的にサブの審査員が担当するのか。メインの審査員もサブの審査員をフォローするような形で質問をしてきた。不足分や、修正する箇所を「指摘」として何個も出された。何か月もの時間を要して頑張って作り上げた書類も、こんなにたくさんの指摘が出るんだなぁ。

14:30 小休憩。昼食後は眠くなるなー。コーヒー飲もう。

14:40 審査再開!

15:30 まだまだ書類の整合性について確認される。書類しか見てないなぁ。御役所っぽい。

16:00 2回目の小休憩。審査ってこんなにも長いのか… コーヒー必須だな。

16:10 書類の確認が終わり、今後は社内を実際に見て回るそうだ。

16:20 オフィスにあるパソコンを数台見られて、「スクリーンセーバーが設定されているか」、「パスワードの桁数は、社内のルール通りなっているか」、「Windows Updateは手動更新ではなく自動更新になっているか」など、確認した。

16:40 サーバールームに移動して、システム関係のことをヒアリングされた。バックアップの方法や頻度、各パソコンやサーバーに対するアクセスログをどう管理し、点検しているのかなど。システム責任者が同席していてよかったー。

16:50 社内を一通り見て、再度会議室に戻る。実務のチェックはあまり重視しないのかな?1時間もかからず終わったぞ。

17:20 最後の総括。審査員から「今回の指摘は○○です。」と10~20個言われた。後日、正式指摘文書として、詳しい指摘内容が書かれた書類が届くそうだ。

17:30 審査員が退出。ふー。やっと終わった。それにしても長い1日だった…

 

【合計】

・書類作成時間                  :250時間

・前日準備                         :10時間

・当日の審査時間              :6時間(休憩を除く)

・審査員から受けた質問    :???個(数え切れない…)

・指摘数                            :18個

・飲んだコーヒー              :5杯

・精神の疲れ                     :250%(午前中でもうしんどい…)

 

「急に担当になったけれど、こんなに大変な仕事はやりたくない。」

という方はISO総合研究所までお問い合わせください。

審査自体の時間は短縮できませんが、「審査の前日準備10時間」と「精神の疲れ250%」を限りなく「0」に近づけることは可能です。

 

ISO総合研究所のコンサルタントがお伺いして、無料でご相談に乗らせて頂きます。

一人で悩んでいないで、まずはお気軽にお問い合わせください。

 

Pマーク(プライバシーマーク)3.3.3  リスクなどの認識、分析及び対策

MAX85_searchsa20140531_TP_V

いつもご愛読ありがとうございます。

ISO総合研究所Pマーク(プライバシーマーク)コンサルタントの佐久間悠矢です。

今回はPマーク(プライバシーマーク)を取得するにあたって、必要となってくる

「3.3.3リスクなどの認識、分析及び対策」についてお話させて頂きます。

 

 

まず、この「3.3.3 リスクなどの認識、分析及び対策」では何を求められているのか?

以下、要求事項を載せさせていただきます。

「事業者は、3.3.1によって特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。

事業者は、3.3.1によって特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。」

 

 

なんだか難しくいろいろと書かれていますね。。。

読んでみると、二つ書かれています。

  • 個人情報を特定したら、取得した時の目的以外で利用しないように、取扱の手順を切れてください。
  • 個人情報を特定したら、その個人情報の取り扱うそれぞれの局面でのリスクを認識し、分析し、対策を立ててください。

 

では、それぞれ説明していきます。

まず①に関して、

こちらは利用目的の特定(3.4.2.1)及び利用に関する措置(3.4.2.6)で行っていれば問題ありません。

そして、②に関して、

こちらでは、特定した個人情報に対して取り扱うそれぞれの局面でのリスクの認識、分析及び対策を求められています。

では、取り扱うそれぞれの局面とは具体的にどんな局面か?

大きく分けて6つの局面があります。

 

  • 取得・入力

個人情報を本人から手渡しで取得、宅配便で取得、FAXで取得、電子メールで取得、WEBサイトからの取得、取得した情報を紙媒体へ記入する、入力業務を委託する等があげられます。

  • 移送・送信

社内での持ち運び、社外での持ち運び、配送業者を利用し個人情報を郵送する、電子メールを送信する、USBメモリなどの外部媒体を利用して送信する、ネットワークを経由して送信する、FAXで送信する等があげられます。

  • 利用・加工

紙媒体に記録された情報を利用する、閲覧する、利用加工業務を委託する、サーバーやパソコンに格納された個人情報を利用する、連絡する等があげられます。

  • 委託・提供

○○○に委託する、第三者に提供する等があげられます。

  • 保管・バックアップ

キャビネットに保管する、パソコンに保管する、社内サーバーに保管する、社外サーバーに保管する、クラウドに保管する、外部媒体に保管する、媒体内に保管する(携帯電話、スマートフォン、ipad等)等があげられます。

  • 廃棄・消去

紙媒体を廃棄する、溶解処理業者に廃棄してもらう。パソコンに格納された個人情報を消去する、社内サーバーに格納された個人情報を消去する、外部媒体に格納された個人情報を消去する、リース機器を返還する等があげられます。

このように特定した個人情報それぞれに対して、「1、取得・入力」から「2、廃棄・消去」までのリスク分析を行わなければなりません。

例として名刺について考えてみましょう。

(名刺の場合)

  • 取引先の方から手渡しで名刺を取得する。(取得。入力)
  • 取得した名刺を事務所へ持ち帰る。(移送・送信)
  • 名刺を閲覧する。(利用・加工)
  • 無し。(名刺を委託業者へ委託しない。)(委託・提供)
  • 鍵付きのキャビネットにて保管する。(保管・バックアップ)
  • シュレッダーにて廃棄する。(廃棄・消去)

実際にリスク分性を行うと上記のようになります。

これはあくまで例なので実際にはもっとそれぞれの局面でリスクが発生すると思います。

 

 

 

例として名刺のリスク分析を行いましたが、これを特定したすべての個人情報に対して行うと思うと結構面倒くさいですよね。。。

そこで1つポイントを紹介すると、

この項目「3.3.3 リスクなどの認識、分析及び対策」ではリスクなどの認識、分析及び対策を把握する場合、ライフサイクルが同じものはグルーピングが可能であるということです。

つまり、先ほどの名刺の例と全く同じ「1、取得・入力」から「2、廃棄・消去」までのリスク分析結果となる個人情報Aがあるとします。この個人情報Aは以下のように名刺と同時にリスク分析を行ってもよいですよ!ということになります。

(名刺、個人情報Aの場合)

  • 取引先の方から手渡しで名刺を取得する。(取得。入力)
  • 取得した名刺を事務所へ持ち帰る。(移送・送信)
  • 名刺を閲覧する。(利用・加工)
  • 無し。(名刺を委託業者へ委託しない。)(委託・提供)
  • 鍵付きのキャビネットにて保管する。(保管・バックアップ)
  • シュレッダーにて廃棄する。(廃棄・消去)

 

これによって、ずいぶんと対応が楽になるのではないでしょうか?

弊社ではこのようなアドバイスはもちろん実際のPマーク(プライバシーマーク)の運用から審査時に必要な資料作成までお手伝いさせて頂いております。

Pマークの取得・運用にお困りの方、是非無駄な工数をかけずに取得・運用していきましょう!

Pマーク(プライバシーマーク)の現地審査を受けた後に行う指摘改善について

_shared_img_thumb_SEPsts_TP_V

ISO総合研究所 コンサルタントの平墳です。

 

今回はPマーク(プライバシーマーク)の現地審査を受けた後に行う指摘改善についてお伝えしたいと思います

 

指摘改善とは、規程で定められたルールが現場で実際に運用されているのか、個人情報が適切に扱われているのかを見られる現地審査で確認し、現場で特定されていない個人情報が見つかったり、現場が個人情報を取りあつかうのに適切な環境でなかったときなどに、指摘が出されそれに対応するというものです。

 

どのように指摘が届くのかというとまず審査機関から「プライバシーマーク付与申請審査

の指摘事項について」という書類が届きます。

 

 

この書類には、どのような点が不備だったのか等が記載してあります。

これを「指摘事項」と言います。

指摘事項数は現地審査次第ですが、少なくても5箇所弱。多くて20~30箇所、またそれ以上の指摘をもらう場合があります。

 

 

しかし、「指摘事項」が出たからといって、プライバシーマークが取得できないということはありません。

 

 

申請事業者は3ヶ月以内にこの指摘事項に対して、改善報告書を提出し「指摘事項」を改善してなくせばいいのです。

 

提出された改善報告書が適切だと認められれば、審査員から改善を認める旨の連絡が入ります。

 

 

そもそも指摘事項はなぜでるのでしょうか?

Pマーク(プライバシーマーク)の審査のために絶対必要だからでしょうか?

Pマーク(プライバシーマーク)の審査に落とすためでしょうか?

 

 

指摘事項を出すのは、「現地審査員がきちんとその企業の審査をしてきました。」という証拠になるのです。

 

審査員は実際に企業に訪問し、実態を確認した上で、Pマーク(プライバシーマーク)の水準を担保できると判断する必要があります。

 

 

 

指摘が出てそれを改善するまでをPマーク(プライバシーマーク)が付与認定されるまでの流れでご説明させて頂きます。

 

 

  1. 弊社はPマーク(プライバシーマーク)の取り組みをしています。その実態を確認してください!というまずは申請を審査機関へ提出します。これが申請書です。

 

  1. 申請書を受け取った審査機関は、申請に必要な書類や必要事項が明記されているか確認をします。これが形式審査です。

 

  1. 申請に必要な書類が確認でき、申請が受理されるといよいよ現地審査の日程が決まります。

 

  1. その後、事前に審査機関がJISQ15001(ジスキュー15001)要求事項で最低限のルールを作成するように求めています。そのルールがきちんとかかれているかを文書審査で確認を実施します。

 

  1. いよいよ現地審査にて、Pマーク(プライバシーマーク)のために実施してきた活動内容を1日かけて確認をしていきます。

 

  1. 現地審査員が指摘事項を企業に出します。

 

  1. 企業が指摘された内容を修正します。

 

  1. 現地審査員が改善された内容をもとに「審査会」と呼ばれるPマーク(プライバシーマーク)の付与認定を行う場所で報告をします。

 

  1. 審査会でPマーク(プライバシーマーク)付与が確定し、Pマーク(プライバシーマーク)が発行されます。

 

現地審査に来た審査員が指摘事項をあげる目的がどこかわかりましたか?

 

上記の8番がポイントです。

 

 

現地審査に来た審査員は現地審査終了後に

「私がこのように監査を実施して、改善していただき、Pマーク(プライバシーマーク)を付与できるだけの水準を確保しましたのでPマーク(プライバシーマーク)の付与をお願いします。」

と報告をするために必要なのです。

 

しかしその指摘事項には、審査員個人の思いや経験、考えが反映されてしまうことも珍しくありません。実際に指摘改善の作業をお手伝いしていると

 

「要求事項のどこにかいてあるのかと思うくらいおかしな指摘」

というものも多く見受けられます。

 

 

「審査員の言うことはすべて正しいから必ず実施しなければならない」と思っている企業の方も多いですが、納得行かない部分は納得いくまで審査員に聞いていただいて大丈夫です。それでもやはり審査員によって言っていることは違ってきますので、なんでそう思うか等も聞いていただいたほうがよいかと思います。

 

 

 

例を挙げるときりがありませんが、その他にもたくさん、審査員の個人の見解ではないのか?とうものが多くあります。

 

現審査後に指摘事項は必ずでます。指摘が出ないように完璧に記録を作成しよう、運用をしようとするのは労力の無駄です。

 

 

現地審査員はPマーク(プライバシーマーク)の審査に落とすためではなく、あくまで企業のことを考えて、「もっとこうしたほうがよりいいですよ」と提案をしてくださいます。

 

しかし、それが時には行き過ぎた場合もあります。現地審査員の言っていることが絶対ではない場合はあります。指摘事項は必ずでます。出てから対応するのも労力を減らす1つの方法です。さらに、現地審査のときに指摘事項としてあがりそうな項目で、納得ができそうにない場合は、「それは要求事項で必ず実施しないといけないのでしょうか?」「審査員の方のお考えなのでしょうか?」と聞いてしまうのも手です!

 

指摘改善でお困りがございましたら、当社までご連絡ください。「やらなくてもよい方法」をたくさん他社事例でもっています。それが本当に必要かどうか一緒に判断していきましょう。

PMS(個人情報保護マネジメントシステム)における「PDCAサイクル」について

00_PP36_PP_TP_V
いつもご愛読いただきありがとうございます。
ISO総合研究所、Pマーク(プライバシーマーク)コンサルタントの花井です。

本日はPMS(個人情報保護マネジメントシステム)における「PDCAサイクル」についてお話しいたします。

プライバシーマーク審査機関から発行されているガイドラインの冒頭にPMS(個人情報保護マネジメントシステム)についての説明が書かれています。

「個人情報保護マネジメント規格であるJIS Q 15001:2006は、マネジメントシステム規格を作成する場合の国際規約であるISOGuide 72:2001(マネジメントシステム規格の正当性及び作成に関する指針)に従って作成されています。ISOの品質マネジメントシステムや環境マネジメントシステムと共通のマネジメントシステム原則を採用しています。

マネジメントシステム原則の主旨は、方針を作成し、それに基づいて計画を作成し(Plan)、実施し(Do)、点検し(Check)、見直し(Act)を行うという、いわゆるPDCAサイクルをスパイラル的に継続することにより、事業者の管理能力を高めていくことにある。この仕組みを採用することで、事業者は個人情報の保護レベルを維持または向上させていくことが期待される。」

PDCAサイクルを繰り返し継続させていくことで個人情報保護のレベルをあげていこうということが書かれています。

ここで、そもそもPDCAサイクルとはなんなのか振り返っていきましょう。

「Plan=計画」

目標を設定し、目標達成のために何をするべきか仮説を立て、プランニングすることです。

何をするのか・誰に対してするのか・なぜするのか・どのくらいの量を行うのか・いつまでに行うのか…など基本の5W1Hを更に詳しく分解して考えていきます。

「Do=実行」

計画をもとに実行することです。

計画したことを意識し、結果が分かるように、時間を測る・数を数えるなど数字を付けることが大切です。

「Check=評価」

計画に沿った実行が出来ていたのかを検証することです。

実行した結果が、良かったのか悪かったのかを判断します。その時に、実行で述べた数字を付けておくと具体的根拠ができるので検証の正確性が増します。

「Action=改善」

検証結果で見えた、課題の解決策を考え改善することです。

実行した結果、この計画を続けるか・止めるか・改善して実行するかなどを、この段階で考えます。この時に、次のサイクルの「Plan」を意識して考えることが重要なポイントです。

一般的なPDCAサイクルを回すことを求められ、そのことを意識して仕事に望んでいる方は沢山いると思います。

しかし、なかなか上手く回せている人がいないのが現状です。

その理由として考えられるのは、以下のようなものがあります。

①PとDはあるけどCとAがない(その行動がPDCAだと思い込んでいる)

これは、多くの人が陥っている状態だと思います。

まず、結果を分析してPlanに移るのではなく「こうなったらいいな」という願望で計画を立てて、Doします。

その結果が期待と乖離している状態だった場合、その差を埋めるための施策を自らの経験から思いつき、それを実行に移すのです。

要するに、結果を分析して適切な行動を取るというのではなく、単なる“作戦の変更”に過ぎない場合があります。

②改善を急ぎすぎる

「走りながら考える」を掲げることも多い、ベンチャー企業などによく見られるパターンかもしれません。

Doをしても、Checkに十分な時間が取れず、Planがしっかり立てられないことがあります。

成果を急ぎすぎるあまり、いろんな変更を実行しすぎるためにしっかりとPDCAのサイクルを回すことができなくなります。

それを続けていくうちに、複雑に様々な要因が絡まって分析ができなくなり、せっかく効果があってもノウハウになりにくいという悪い点も出てきます。

③計画倒れしてしまう

②とは真逆と言ってもいいのですが、分析と計画に時間を費やしすぎてしまい、実行に移すことなく終わってしまうというパターンです。

Planだけが繰り返され、本当に正しいものを突き止めるまでに時間がかかりすぎて、その間に市場やトレンドが変化してしまうということが考えられます。

正しいと確信した上で実行に移したとしても、間違っている可能性も十分にあります。1度で正解に辿り着ければそれほど嬉しいことはありませんが、「間違って当たり前」という意識でいることも重要なポイントです。

これが一般的なPDCAサイクルです。

では、具体的にプライバシーマークの要求事項とPDCAサイクルはどのように対応しているかを見ていきましょう。

・計画(Plan)
3.2 個人情報保護方針
3.3 計画

・実施(Do)
3.4 実施及び運用
3.5 個人情報保護マネジメントシステム文書
3.6 苦情及び相談への対応

・確認(Check)
3.7 点検
3.8 是正処置及び予防処置

・見直し(Act)
3.9 事業者の代表者による見直し

上記のように運用内容は、このPDCAサイクルに沿ったもので構成されています。このサイクルにより、よりその事業者の個人情報保護のレベルの向上が図れるようJIS規格で要求されており、要求に沿った形で運用を進めることで事業者の管理能力を高めていくようになっています。(スパイラルアップ)

やり方がわからない、もっと詳しく知りたいなどがございましたら、ぜひISO総合研究所にお尋ねください。

Pマーク(プライバシーマーク)の申請書を作りましょう。

-shared-img-thumb-SEP_355215221321_TP_V

みなさん、こんにちは。

ISO総合研究所Pマーク(プライバシーマーク)コンサルタントの馬場です。

 

 

残暑が続き、私たちコンサルタントもまだまだ汗をかきながらお客様先へ移動しております。皆さまはどうお過ごしでしょうか?

 

 

本日は、審査機関に審査をしてもらう前に提出しなければいけない「申請書」についてお話させて頂きます。

 

申請書を出すにはルールがあります!

有効期限の4か月前までには申請書を審査機関へ送らなければいけません!

たとえば、平成28年9月9日が有効期限であれば、その4か月前なので、

<平成28年5月9日>までには送らなければいけないということになります。

 

「遅れてしまった!」という方でもまだ大丈夫です。

「延長申請書」と言うものが存在します。もし、遅れてしまったら延長申請書を書いて

審査機関に送ってください。

 

 

早速、申請書を作ってみましょう。

まず、どの審査機関で審査をしてもらうか決めましょう。

その審査機関のHPにいきPマーク(プライバシーマーク)申請書をダウンロードしましょう。(この際、新規の申請か更新の申請か確認しておいてくださいね。)

 

①御社の情報を記入しましょう。

登録番号は、JIPTEC(ジプテック)のHPにある、プライバシーマーク付与事業者情報

の付与事業者に掲載されているので、そこから抜粋しましょう。

所在地は、登記上の本店の住所を記入しなければいけません。ここは間違えやすいので気をつけるようにしてください。代表者のお名前と役職は間違えないようにしましょう!

 

※注意ポイント1

また、新規取得の場合と更新取得場合とで書式が違いますので注意しましょう!

 

②申請担当者の情報を記入しましょう。

申請を担当する方(審査機関とのやりとりはこの方が行うようになります。)

の名前、役職、住所など記入していきます。

 

 

③会社概要を記入しましょう。

※注意ポイント2

従業者数を記入する欄があるのですが、役員数は登記上の人数を記入しなければいけません。ここも、きちんと確認してから記入していきましょう。

HPを持っている会社であれば、トップページのURLを記載してください。

それと、保護方針を記載しているURL、お問い合わせページ(個人情報を入力するぺージ)のURLも記載してください。

 

 

④個人情報を取扱う業務を記入しましょう。

ここでは御社で個人情報を取扱う業務・種類(従業員情報など)・件数(概数)・取得方法・委託の有無・保管方法を記入してください。

※こちらはあくまでも概要です。すべてを洗い出さなくても良いです。

 

 

⑤事業所の所在地を記入しましょう。

御社の事業所の所在地と、その事業所で取り扱っている個人情報を洗い出しましょう。

 

 

⑥個人情報保護体制を記入しましょう。

ここでは、誰が何の担当をしているか決めなければいけません。

※個人情報保護監査責任者には、代表者・個人情報管理者はなれません。

社内体制には、教育の担当者・お問い合わせ窓口の担当者も記入しましょう。

最近では、マイナンバーの取扱いの責任者・事務取扱いの担当者も特定しなければいけなくなってきているようですので、マイナンバーの取扱いがあれば、ここも記載しておくようにしましょう。

 

 

⑦文書を洗い出しましょう。

ここでは、御社で使う様式や、規程類を洗い出しましょう。

※制定日と改正日の記載も忘れないようにしてください。

 

 

⑧要求事項と対応表を作成しましょう。

各要求事項に使用する様式を記入していきましょう。

ここは知識がないと少し難しいかもしれません。

※⑦で洗い出した様式はすべてここに洗い出して記入してください。

整合性を合わせましょう。

 

 

⑨教育の実施について記入しましょう。

教育をいつ行ったか、テキストは何か等、左に記載されている項目に答えていくように

右側を埋めていってください。

※教育は全従業員対象に行ってくださいね。

 

 

⑩内部監査の実施について記入しましょう。

こちらも「⑨教育」と同じように右側を埋めていきましょう。

※個人情報保護管理者は、JIS Q 15001(ジスキューイチマンゴセンイチ)への適合状況の監査も行ってください。

 

 

⑪代表者による見直しについて記入しましょう。

代表者による見直しについて記入していきましょう。

内部監査で指摘になった報告や、これからどういう事業展開を行っていきたいか、代表の思いを記入していくところですので、どんどん記入していってください。

※こちらも質問内容が□で記載されているので、その質問に答えていくように記入していただければよいです。

 

 

⑫変更はあったか記入しましょう。

前回の認定時から変化のあった事業の報告をしましょう。

ですので、新規で申請される会社の申請書には⑫は存在しませんので、ご安心を。

例えば、新たに開拓した事業や、取りやめになった事業など、変化の概要を記入してください。特に何もなければ、「無」にチェックしていただければ良いです。

 

 

これで申請書は完成です!

それでは審査機関へ申請書を送付しましょう。

ここでご準備して頂くものがあります。

①登記簿謄本(3ヶ月以内に取得したもの)※原本

②定款 ※写しでも可

③代表者印

④担当者印(シャチハタ可)

⑤会社パンフレット(あれば)

も一緒に送付していただかないといけません。

こちらもお忘れなくご準備お願いします!

 

これで、Pマークの申請は大丈夫です!

面倒だと思われたら私たちISO総合研究所がお手伝いさせていただきますので

お気軽にお問い合わせください!

 

Pマーク(プライバシーマーク)認証成功事例!

N934_akusyuwomotomerubijinesuman_TP_V

 

いつもご愛読ありがとうございます。ISO総合研究所コンサルタントの下です。

今回は「Pマーク(プライバシーマーク)認証成功事例」について、お伝えさせて頂きます。実際に新規認証された企業の代表者様の声をまとめさせていただきました。

 

————————————————————————————————————————-取引先からの要求で今後の取引条件としてPマークの取得が必要になりました。

急に必要になった為何をしたら良いか分からずWEBで取得を支援している企業が無いか調べました。

ですが、どこにお願いしていいのかさっぱり分かりませんでした。価格的に一番手頃だったISO総合研究所に話を聞いたところ価格は一律で作業も事務局として手伝ってくれるので自社の項数が0になるとの事でした。楽に運用ができるならとISO総合研究所にお願いすることにしました。

 

 

自社ではPマークに関する知識は無かったためコンサルタントさんに相談しながら運用を開始していくことになりました。

当社は従業者10人以下でPマーク取得に担当者を付けることが出来ない為、社長の私が普段の業務をしながらPマークの業務をする必要がありました。只でさえ人手が足りず忙しいのにプライバシーマークの業務に手が回るか非常に心配しておりました。

ですが、毎回の打合せのヒアリングで規定の作成や、運用記録の作成を手伝ってくれるので大変助かりました。自社で運用することや確認が必要な事は訪問後のメールにて指示を残してくれるので何をするのか明確になっていました。また取得までのスケジュールを共有して進められたため安心して進めることが出来ました。

 

 

まずは個人情報の洗い出しから。個人情報と言っても何が個人情報に該当するのか?

個人情報とは氏名とその他の情報があれば特定が必要との事でした。自社の事でも一つずつ洗い出して行くのは困難でしたがコンサルタントさんにお手伝いしていただいて業務のフローから洗い出していくことで業務の都度発生する個人情報を改めて認識していくことが出来ました。また、社内で顧客情報や顧客リストと呼んでいても別の名称でも取り扱っていたり、社内で統一されていない名称があることも認識できました。

 

 

次にリスクの分析。リスクの分析と言うと難しく聞こえますが、特定した個人情報の取り扱いの流れの中でどのようなリスクがあるか、どのようなリスク対策があるか洗い出していくものです。今まで社内のルールとして運用していたことを文章にしていくと曖昧なルールで運用していたことが分かりました。具体的にリスク対策を書き出していくと改めてルールの見直しや現状どんな対策をしているかを確認することが出来ました。

新規認証の際にもPマークの一通りの運用が必要で個人情報に関する従業者への教育や自社で行う内部監査等Pマークに必要な取り組みを計画して進めていきました。

 

 

コンサルタントさんとの打ち合わせが進むにつれて現地審査に近づいてきます。最近の現地審査は厳しくなっているとの話を聞いていたため取得が難しいのではないかと心配でした。ですが、基本的には審査を受ければ取得は出来るとの事でした。

審査に通らない、審査に落ちる内容としては下記で、

①従業者の人数を誤魔化す等虚偽の申請。

②審査に必要な書類を提出しない、申請料を振り込まない等の申請の意思がないと見なされる時。

それ以外の内容であれば審査は通るとの事でした。

指摘事項が多く出てもしっかりと是正を行い対応していけば必ず通るとの事である程度心の準備をして現地審査に臨むことが出来ました。

 

実際に審査では指摘事項が多く出ましたが審査員の方が運用のアドバイスや改善のアドバイスをしてくれましたので指摘が出るからと言って悪いことではないと感じました。新規認証なので不十分な部分はありましたが現地審査を通して記録や規定を完成させていくイメージです。

指摘事項に対しては改善して書類を提出しないといけないのですが、これがまた一苦労でした。指摘事項の文書の意味合いが良くわからなかったり、対応方法が合っているのか分からなかったりしましたが、コンサルタントさんと相談をしながら書類を修正して進めていきました。そして提出と再指摘を審査機関と何度か繰り返しながらやっと指摘改善を終わらせられました。

 

 

審査機関とのやり取りが終わりPマークを取得できた時は非常に嬉しく、コンサルタントさんにも感謝しました。ですが、Pマークは取得後2年に1度更新が必要なのでここからは運用がスタートします。現状は運用中ですのでコンサルタントさんと打合せをしながら運用を進めています。

最初は何もわからない状態から始めましたがプロに相談して進めることで私の負担が大分減りました。自社の業務をしながらPマークの業務をするのは楽なものでは無いと感じました。専門的な知識が必要になるのでプロに任せてしまった方が早いし楽です。

今後もプロの力を借りながら運用し、更新申請をしていきたいと思っています。

———————————————————————————————————————-

 

いかがだったでしょうか。

今回ご紹介させて頂きました実際にPマークの新規取得をお手伝いさせて頂きましたお客様の声ですが新規取得以外にも現状運用中のお客様のお手伝いもさせて頂いております。

PマークやISOでお困りのことがございましたら弊社までお気軽にお問い合わせください!

 

 

Pマークに要求される教育、内部監査について!

AKANE072160504_TP_V
はじめまして、ISO総合研究所東京支社業務責任者 コンサルタント岡本優梨亜と申します。

今回はPマークの運用にあたって必要な教育と内部監査についてお話させていただきます。

Pマークの教育と内部監査に関して下記の要求事項があります。

4.4.5
教育
事業者は,従業者に,定期的に適切な教育を行わなければならない。事業者は,関連する各部門及び階
層において,その従業者に,次の事項を理解させる手順を確立し,維持しなければならない。
a) 個人情報保護マネジメントシステムに適合することの重要性及び利点。
b) 個人情報保護マネジメントシステムに適合するための役割及び責任。
c) 個人情報保護マネジメントシステムに違反した際に予想される結果。

4.7.2
内部監査
事業者は,自ら定めた個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マ
ネジメントシステムの運用状況を定期的に監査しなければならない。
監査責任者は,監査を指揮し,監査報告書を作成し,事業者の代表者に報告しなければならない。監査
員の選定及び監査の実施においては,監査の客観性及び公平性を確保しなければならない。
事業者は,監査の計画及び実施,結果の報告並びにこれに伴う記録の保持に関する責任と権限を定める
手順を確立し,実施し,維持しなければならない。
4.8
是正処置及び予防処置
事業者は,不適合に対する是正処置及び予防処置を確実に実施するための責任と権限を定める手順を確
立し,実施し,維持しなければならない。その手順には,次の事項を含めなければならない。
a) 不適合の内容を確認する。
b) 不適合の原因を特定し,是正処置及び予防処置を立案する。
c) 期限を定め,立案された適切な処置を実施する。
d) 実施された是正処置及び予防処置の結果を記録する。
e) 実施された是正処置及び予防処置の有効性をレビューする。
4.9
事業者の代表者による見直し
11
Q 15001

2006
事業者の代表者は,個人情報の適切な保護を維持するために,定期的に個人情報保護マネジメントシス
テムを見直さなければならない。
事業者の代表者による見直しにおいては,次の事項が考慮されなければならない。
a) 内部監査及び個人情報保護マネジメントシステムの運用状況に関する報告。
b) 苦情を含む外部からの意見。
c) 前回までの見直しの結果に対するフォローアップ。
d) 個人情報の取扱いに関する法令,国の定める指針及びその他の規範の改正状況。
e) 社会情勢の変化,一般の認識の変化,技術の進歩などの諸環境の変化。
f) 改善のための提案。

Pマークの教育で伝えたいことは以下3つです。

a) 個人情報保護マネジメントシステムに適合することの重要性及び利点。
b) 個人情報保護マネジメントシステムに適合するための役割及び責任。
c) 個人情報保護マネジメントシステムに違反した際に予想される結果。

といわれても難しいと思うので
簡単に説明すると下記の通りです。

a) 個人情報保護マネジメントシステムに適合することの重要性及び利点。
└個人情報は本人のものです。
b) 個人情報保護マネジメントシステムに適合するための役割及び責任。
└個人情報を使う場合には何に使うのか本人に許可を得ておく必要があります。
c) 個人情報保護マネジメントシステムに違反した際に予想される結果。
└何に使うか決めたもの以外のことに使う場合は改めて許可が必要です。

Pマークを取得している以上、個人情報はどんなものなのだろうかなど
考えるいい機会が要求事項上の教育だと思います。
一年に一度Pマークはどのようなものか、何が個人情報なのか
しっかり考えてみてください。

続いて内部監査です。
内部監査で最近一番よく指摘されるのが、スクリーンセイバーの設定やパスワードが安易なものになっている、また定期的に変更されていない等設定が出来ていないことがとっても多いです。
安全管理規程に基づきスクリーンセイバーの設定、何分で設定が必要なのか、パスワードが何桁になっているのか、また英数混合必要なのか、設定をしなおしましょう。

また完璧に運用を行っている会社なんてめったにありません。
でもそれは悪いことではありません。
まずは気づくこと、直していくこと、また実行していくことがとっても大切です。

a) 不適合の内容を確認する。
b) 不適合の原因を特定し,是正処置及び予防処置を立案する。
c) 期限を定め,立案された適切な処置を実施する。
d) 実施された是正処置及び予防処置の結果を記録する。
e) 実施された是正処置及び予防処置の有効性をレビューする

要求事項にもこう記されています。
予防処置を立案することは難しい言葉に聞こえますが、全然難しくありません。
考えて行動するだけです。
また、このようなことがあったと記録することもとっても大切です。
そして見返していき、去年はこれが出来てなかったな~と一年に一度振り返ってみると
よりよいPマーク運用ができるかと思います。
これからもPマーク更新するにあたり、昨年よりよい運用を心がけましょう。