fbpx

情報セキュリティにまつわる
お役立ち情報を発信

Pマークの担当になったときの知識

プライバシーマーク制度とは、近年のコンピュータの普及に伴って、「消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること」、「適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりに応え、社会的な信用を得るためのインセンティブを事業者に与えること」を目的として作られた制度です。

もしも、あなたが上司から突然、「今回から、プライバシーマーク(Pマーク)制度の担当だ」と任命されたら、まずはどのようなことから始めればよいのでしょうか。まずは、プライバシーマーク制度には、さまざまな要求が求められますが、まず基本的な知識として、マーク取得以降には、審査機関が2年に1回、個人情報保護体制や個人情報の取り扱いの実態について現地を調査し、基準を満たした状態で問題なく運用されているかどうかを確認します。

そのため、Pマークはマーク取得だけが目的ではなく、その後の運用と維持も含めて検討しなければならないということを知っておく必要があります。また、マーク取得のためにはプロからの力を借りることができますので、まずは慌てることなく、会社での個人情報の取り扱いについての現状確認をしていくところから始めていきましょう。

まず最初に何をすればいい?

プライバシーマーク(Pマーク)取得の担当者になって、まず始めなければならないことは、情報収集と分析です。ひとつめは、「会社がどのような目的でプライバシーマークを取得しようと考えているのか。」ということで、社内のセキュリティ強化をおもな目的とするのか、取引先からの最速で取得するのか、あるいは、業務量や取引先拡大を目的としているのかなど、取得するおもな目的を知っておくことで、重きをおくポイントが変わりますよね。

次に、「いつまでに取得したいのか。あるいは期限はいつまでか」ということです。マーク取得までには、およそ半年以上の期間が必要となりますので、1年後の取得を目標としている場合と、半年後の夏までにというのでは、ご自身の通常業務との優先度のバランスが大きく異なります。

また、プライバシーマーク制度の概要や審査についての学習が必要となります。もしも、会社側で自力での取得を目標としている場合なら別ですが、コンサルタントの利用が可能であれば、「プライバシーマーク取得支援サービス」などを利用して、質の良いコンサルタントを探すこともスキルのひとつです。

コンサルタントは多数の企業のPマーク取得の実績があることや、知識に偏りがありませんので、コンサルタント料は必要にはなるものの、結果的にはスムーズで効率の良い取得が可能となります。社員の日常の業務効率を下げることなく、全社員に一定レベルのセキュリティの知識を学習させることは、1チームあるいはひとりの担当者の知識では容易にできることではありません。

まずは、それらの情報を収集していくことが大切です。

責任者に向いている人物像とは

プライバシーマーク(Pマーク)を運用していくためには、「監査責任者」という重要な役職が必要となります。「監査責任者」とは、個人情報保護管理者を中心に運用していいるプライバシーマークの運用が、定められたルールに基づいて実施されているのかを確認するため、内部監査を指揮し実施する者のことを言いますが、事業者の代表者は兼任することはできません。

小規模の事業者の場合には、これらの体制の確立が難しい場合もありますが、代表者は、経営資源の分配などを通じて、体制の整備や運用に主体的に関与しますので、監査役を代表者が行った場合には、監査の第三者性や客観性が担保されないため、監査の実効性に疑問を持たれてしまう可能性があります。

そのため、プライバシーマーク制度では事業者は監査役を兼任できないことになっています。個人情報保護監査責任者の指名については、JIS Q 15001の2.5において「代表者によって、事業者の内部の者から指名されたものであって、監査の実施および報告を行う責任および権限をもつ者」となっています。

また、「個人情報保護監査責任者は、例えば役員のような社外に責任を持つことができる者であって、個人情報保護管理者と同格または、上席者を指名することが望ましい。」となっていますので、事業者の社会保険や労働保険に加入した正社員または登記上の役員が適切であるとされています。

このように、監査役ひとりに対しても非常に細かな取り決めがありますので、分からないことがある場合には、都度、コンサルタントと相談をしながら決定していく方が望ましいでしょう。

自社の個人情報を把握する必要性

プライバシーマーク(Pマーク)取得をするための活動で、1番最初の作業としては、自社で取り扱っている個人情報をすべて洗い出したうえで特定し、収集、分析を行うことです。具体的には、一覧として台帳化していくことになります。

個人情報を特定する際に、まず行う作業としては、「業務フロー図」を作成し、その業務ごとに取り扱っている個人情報にどのようなものがあるのかを確認すればスムーズに作業を進めていくことができます。社内のすべての業務フローを作成することは、現在取り扱っている情報を特定できるだけでなく、業務の無駄や重複している部分などの見直しを行うことも可能となりますし、情報が漏れやすい部分が分かったり、思わぬ改善策が浮かぶ場合もあります。

情報の特定が完了したら、次に、その個人情報の中に含まれている項目や利用目的、保管場所などを一覧に埋めていきます。このように、まずは、自社が取り扱っている個人情報の現状をすべて把握していくということが、社内においての個人情報の管理レベルを明確にさせることができる場でもあるのです。

さらに、保管方法や場所を再確認することで、リスク分析を行い、安全対策を検討し講じていくための重要な参考情報を提供する元となっていきます。取り扱っている個人情報の量や質、情報レベルなどは企業によってさまざまですが、自社の個人情報を把握することで、業務上の問題点なども合わせて発見することが出来きるうえに、さらなる業務の効率化や改善策につなげていくことも可能になりますので、やはり大きな意味を持つ作業であると言えます。

まず、この1歩めの段階で、絶対に手を抜くことなく徹底した洗い出しを行うことが、担当者の大きな役目です。

プライバシーマーク(Pマーク)取得をするための活動で、1番最初の作業としては、自社で取り扱っている個人情報をすべて洗い出したうえで特定し、収集、分析を行うことです。具体的には、一覧として台帳化していくことになります。

個人情報を特定する際に、まず行う作業としては、「業務フロー図」を作成し、その業務ごとに取り扱っている個人情報にどのようなものがあるのかを確認すればスムーズに作業を進めていくことができます。社内のすべての業務フローを作成することは、現在取り扱っている情報を特定できるだけでなく、業務の無駄や重複している部分などの見直しを行うことも可能となりますし、情報が漏れやすい部分が分かったり、思わぬ改善策が浮かぶ場合もあります。

情報の特定が完了したら、次に、その個人情報の中に含まれている項目や利用目的、保管場所などを一覧に埋めていきます。このように、まずは、自社が取り扱っている個人情報の現状をすべて把握していくということが、社内においての個人情報の管理レベルを明確にさせることができる場でもあるのです。

さらに、保管方法や場所を再確認することで、リスク分析を行い、安全対策を検討し講じていくための重要な参考情報を提供する元となっていきます。取り扱っている個人情報の量や質、情報レベルなどは企業によってさまざまですが、自社の個人情報を把握することで、業務上の問題点なども合わせて発見することが出来きるうえに、さらなる業務の効率化や改善策につなげていくことも可能になりますので、やはり大きな意味を持つ作業であると言えます。

まず、この1歩めの段階で、絶対に手を抜くことなく徹底した洗い出しを行うことが、担当者の大きな役目です。

Mountain View

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る