fbpx

情報セキュリティにまつわる
お役立ち情報を発信

プライバシーマークの現地審査の傾向

プライバシーマーク制度とは取得することで完了するわけではなく、マーク取得後には、PMS(個人情報保護マネジメントシステム) を日々の業務のなかで本格運用し、PDCAサイクル(計画(PLAN)、実施(DO)、監査(CHECK)、見直し(ACT))に基づいて一定のセキュリティレベルを維持する必要があります。

また、2年おきに更新が必要となりますので、更新に備えて、最低でも1年に1度は内部監査を行い、「JISとの適合性監査」、「運用の監査(リスク分析の結果における運用監査を含む)」、「全部門の監査」を満たす必要があります。

プライバシーマークの現地審査は、基本的にはサンプリングで行われ、毎回、前回の審査とは別の審査員が審査を行いますので、前の審査では指摘にならなかったはずの内容が、審査の議題になることが多々あります。

また、社会情勢の変化や関連法規制の変化によって、適宜ルールが変更されますので、常に新鮮な情報を入手しなければなりません。このようなことから、最近では、会社の自力の運用ではなく「プライバシーマーク取得支援サービス」などを利用して、プロのコンサルタントに依頼をする企業が多くなっているようです。

パソコンのUSBポートからのスマホ充電

プライバシーマークの現地審査が「社会情勢の変化」に左右される背景には、審査にも毎年の流行があると言えます。

例えば、以前であれば、携帯電話というのは一人1台というが当たり前でしたが、最近ではスマートフォンの普及に伴い、多くの方が2台所有していますし、さらに会社から与えられた携帯電話やスマートフォンもあります。

また、タブレットもお持ちではないでしょうか。

また、企業によっては、自宅から会社のネットワークに接続をして、自宅で仕事をする形態を取っている方も多くいらっしゃいます。このような時代の変化に対して機敏に対応していくためにも、審査員が現地調査を行う際の視点も変化をしていかなければなりません。

最近では、「スマートフォンを、パソコンのUSBポートからケーブルに繋いで充電をしていないか」ということに注目しているようです。本人としては充電をしているだけでしかなくても、実際にはデータを抜き取っていても見た目で判断しにくいということがありましすし、この行為が日常的に許されるようになれば、万一、データの流出や盗難があった場合に、対応に遅れが出たり、取り返しのつかない大きな事故へと発展する可能性もあります。

そのため、今後は指摘されるべき内容となってきますし、調査員によっては、実際に指摘している内容かもしれません。

まずは、どんなに「白」であっても「グレー」に見えるような行為を行わない、あるいは行わせないというルール作りが必要となってくるでしょう。USBポートからケーブルに繋いで充電するのではなく、専用充電器を準備し、コンセントから充電するなどのルール改正が必要になります。

ルールの周知、徹底ができているかをチェックする

また、現地調査では、物理的な設備の確認やルールの見直しだけではなく、管理者や上席の役員などが常駐している本部に、個人情報保護に関するルールが周知できているか、あるいは、管理者が常に常駐していない支店や営業所などにも、社内の規定やルールの周知、徹底ができているかもチェックしています。

そのため、書類審査を早めに終わらせたら、本社だけではなく、本社から多少距離のある支店や営業所などにも移動を行い、安全管理の調査を行います。

個人情報を取り扱う物量というのは、本社が最大とは限りませんし、本社よりもむしろ、支店や営業所の方が、より多くの情報を管理している場合があります。企業によって異なる場合がありますが、例えば、本社では社員の個人情報や、事務的な取引先だけの情報しか管理はしていないような場合でも、支店や営業所では、取引先のさらに委託先、あるいはエンドユーザーの個人情報や顧客情報など、より多くの個人情報を管理しているという支店や営業所も多く見られます。

本社はしっかり守るものの、肝心の支店や営業所の管理が甘ければ、元も子もありません。

調査員は、それらも踏まえたうえで、しっかりと調査を行います。

情報管理の徹底は、本社であるか支店であるかは一切関係がありませんので、どのような形態であっても同等レベルのセキュリティ基準をクリアしている必要があります。本社と支店は常に連携を取ったうえで、社内の規定やルールの周知、徹底した情報管理を行い、しっかりとした意識合わせが必要です。

「変化」に柔軟に対応していくために

現地調査は、一見事務的な作業のようにも感じますが、ルーチンワークのように、決められた箇所だけを調査するわけではありませんし、調査員によってその内容もさまざまです。

そのため、社会の変化や傾向を見極めたうえで、スムーズな更新ができるように、現地調査を受ける側もしっかりと対策する必要があります。とはいえ、日常的な業務もこなしながら、常に情報の変化に過敏に対応していくことには限界がありますし、企業の業種や規模などによっても、得意とする分野不得意とする分野はさまざまですので、どうしても情報や対策方法に偏りが出てしまうのです。

時代の流れに柔軟に対応していくためには、ある程度プロの力を借りることも必要です。例えば、「プライバシーマーク取得支援サービス」でコンサルタントなどを介すれば、多数の現地調査の実績のあるコンサルタントにサポートをしてもらうことができますので、その年や最近の傾向や対策方法などの新鮮な情報を入手しやすくなります。

「コンサルタントに依頼をするとお金がかかる」ということで、自力でマーク取得の活動や更新をされる企業もあります。しかし、書店などでプライバシーマーク関連の書籍を購入しても、自社の業務に合致したPMS(個人情報保護マネジメントシステム)をゼロから カスタマイズ構築していくのは、片手間でできるものはありません。

コンサルタントを解することで得られるメリットは非常に大きく、有利な現地調査を行えるため、プライバシーマーク制度の担当を兼任している担当者や責任者の通常業務の効率やモチベーションを下げることもありませんので、結果的にはコストが削減されることになります。

プライバシーマーク取得のために、市販のサンプルやテンプレートを自社に合わせてカスタマイズして、独自のPMS(個人情報保護マネジメントシステム) を構築していくことは、不可能ではありませんが、非常に多くの経験とスキル、時間が必要となってきます。

もちろん、それを実践してみることは、会社にとっては血となり肉となり、財産にもなるでしょう。しかし、現実的には、多くの会社が数年おきに担当者が変わったり、法改正によって運用ルールが変わったり、はたまたシステムそのものが時代についていけなくなるなど、時間や労力だけでなく、コスト面でもデメリットの大きい選択となります。

プライバシーマークの取得は、書類や設備さえ整えれば審査に通るものではなく、取得は単にスタートラインに立っただけに過ぎないのです。一定のレベルでPMSが運用ができるのは当たり前で、そこから、さらに運用の精度を上げていかなくてはなりません。

「取引先から要望を受けたので、プライバシーマークを短期で取得したい」というだけでは、複雑な運用に息切れしてしまい、2年後には更新を辞退せざるを得なくなります。結果的には、投入したコストも労力も無駄になってしまう可能性もありますので、息の長い運用をするためにも、プロからのサポートも考えてみてはいかがでしょうか。

Mountain View

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る