保健医療分野のPマーク取得
プライバシーマーク(Pマーク)を取得する活動を始める以前には、多くの担当者の方が、「書類や設備を整えるだけで付与されるもの」という認識だったということが多く聞かれます。ところが実際に、取得するための準備を始めると、非常にさまざまな準備や学習が必要となり、細かな取り決めやルールに基づいて進めなければなりませんので、「思いのほか大変」と思われる方が多いのではないでしょうか。
また、マークの取得は、ほんのスタートラインでしかなく、取得以降の運用や維持を行いながらも、2年後の更新に向けての準備も始めなければならないのです。また、社会の状況が変われば、個人情報の管理方法も変わっていきますので、随時、その時代に合わせた迅速な対応、ルールの改正が必要となります。ほとんどの事業所では、日常業務をこなしながらの作業となりますので、業務に支障が出たり、現実的ではないルールに足を取られる場合もあるでしょう。
「プライバシーマーク取得支援サービス」では、このような負荷を軽減するために、さまざまなサポートを行っています。プロのコンサルタントと出会うことで、PDCAサイクル(計画(PLAN)し、実施(DO)したものを、監査(CHECK)して、見直す(ACT))を効率良く継続することができるようになります。
なぜPマークが必要?
ひとくちに、「個人情報保護活動」と言っても、情報を取り扱っている企業が行わなければならないことは、非常にたくさんあります。提供された個人情報が、不正な業者に渡らないようにすることはもちろんですが、まずは、すべての社員にそれらの活動を積極的に実施してもらうための工程表を作成し、社内での個人情報の利用状況や取り扱う情報量を分析したり、適切に情報を取り扱うためのルール作りや、フローの見直しなども必要になります。
また、実際に行われているルールが守られているのかなどもチェックしなければなりませんし、そのルールによって著しく業務効率が落ちてしまうのでは意味がありません。そのために、何度も見直しを行い、事業所の業種や規模に合った最適な管理体制を構築する必要があります。
それは、本社だけではなく支店や営業所などにも必要となり、各支店との意識合わせも重要です。会社がこれらの活動を実施しているかどうかを、利用している側の取引先や個人のユーザーが調べることなど、不可能と言っても良いでしょう。
しかし、プライバシーマーク制度のような適合審査基準を設けることで、その審査基準を満たしている企業あるいは事業所であるかどうかを証明することができるようになりますし、取引先やユーザーはそれらを基準にして、利用したい企業や事業所を絞り込むことができるようになります。プライバシーマーク(Pマーク)とは、企業に対して個人情報保護活動を実施するための基準を示すという意味でも、非常に重要な役割を担っています。
Pマークの付与の対象になる事業
Pマークの付与の対象になるのは、国内に活動拠点を持つすべての事業者が対象で、付与の単位は、法人単位となります。民間の事業者以外の自治体などであっても、「個人情報保護マネジメントシステム―要求事項(JIS Q 15001:2006)」に準拠した個人情報保護マネジメントシステム(PMS)を定めている」、「個人情報保護マネジメントシステム(PMS)に基づき、実施可能な体制が整備されて個人情報の適切な取扱いが行なわれている」、「個人情報マネジメントシステム(PMS)が2006年版JISに対応していることを、2006年版JISが公表された後、事業者自らが点検済である」、「申請事業者の社会保険や労働保険に加入した正社員、または登記上の役員(監査役を除く)の従業者が2名以上いる」などの条件を満たしていれば、申請することが可能です。
ただし、医療法人等、及び学校法人などについては一部例外がありますので、あらかじめ確認をしておく必要があるでしょう。また、外国法人は、付与適格性を有しませんが、日本の法律に基づき、支店として登記している場合や、日本国内で取得した個人情報の取扱いが日本国内に限られる場合には、するときはこの限りではありません。
そのほかにも、役員に違法性があったり、刑に処せられ、その執行を終了、あるいは執行を受けることがなくなった日から2年を経過しない者、インターネット異性紹介事業者や、一般の信頼を毀損すると認めるに足る相当な理由がある事業活動を行う事業者である場合など、付与適格性を有しないなど、細かな規定が定められています。
更新に必要になる書類とは
プライバシーマーク制度とは、取得することがゴールではなく、以降は、2年ごとに更新の手続きを行わなければならず、その際にもあらためて現地調査が行われます。ただ単に書類を提出すれば、更新が完了するというわけではありませんので、新規の更新と変わらないくらいの労力と時間、費用が必要となります。更新申請に必要な申請書類は、「プライバシーマーク付与適格性審査申請「チェック表(紙媒体で提出)」、「プライバシーマーク付与適格性審査申請書(代表者印の捺印があること) 」、「会社概要 」、「個人情報を取扱う業務の概要 様式 」、「すべての事業所の所在地及び業務内容 」、「個人情報保護体制 」、「個人情報保護マネジメントシステム(PMS)文書(内部規定・様式)の一覧 様式 」、「JIS Q 15001要求事項との対応表 」、「教育実施サマリー(全ての従業者に実施した教育実施状況) 」、「監査実施サマリー(全ての部門に実施した監査実施状況) 」、「事業者の代表者による見直し実施サマリー 」、「2006年版JISによる前回決定時から変更のあった事業の報告 」、「登記事項証明書(履歴事項全部証明書あるいは現在事項全部証明書)など申請事業者の実在を証する申請の日前3ヶ月以内に発行の公的書類) 」、「定款、その他これに準ずる規定類」 、「会社パンフレット」 、「個人情報保護マネジメントシステム(PMS)文書一式(様式2006-6、様式2006-7に記載の内部規定・様式全て) 」「個人情報管理台帳/リスク分析結果の記録された見本の、各1ページ分コピー 任意提出」などになります。
更新申請受付期間は、プライバシーマーク付与の有効期間の満了の8ヶ月前の日から4ヶ月前の日までとなっていますので、交付された手元のプライバシーマーク登録証を確認をしましょう。
このように、プライバシーマーク(Pマーク)を取得しているということは、個人情報保護活動が一定のレベル以上で推進できているという証ですので、エンドユーザーの利用や取引きだけではなく、委託を依頼する企業が、安心して委託先に業務を任せられるかを判断することができる基準にもなります。
Pマークを取得している企業は、プライバシーマーク制度のルールによって、個人情報に関する事件事故を起こした場合に内容を報告する義務や、事件や事故を起こした場合のペナルティが課せられますので、マークを取得していない企業よりもより高い意識を持って、個人情報を守る努力をしている企業であると言えるのではないでしょうか。
とはいえ、実際に取得や更新をすることが大変すぎるので、すでに息切れをしているという企業も少なくありません。実際に、Pマークをいったんは取得したものの、2年目以降は更新を辞退している企業も多くあります。それでは、これまでに費やした時間やお金、労力は無駄になってしまいますし、社内のルールでのセキュリティ対策のレベルは著しく低下することになるでしょう。
更新を辞退しようかとお考えの場合には、まずは「プライバシーマーク取得支援サービス」などを利用して、プロのコンサルタントのサポートを受けてみてはいかがでしょうか。通常の業務効率を下げることなく、適切で効率の良いPDCAサイクルを運用することが可能となります。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
7/23・24『第3回バックオフィスDXPO東京’24【夏】』に出展します
2024年7月23・24日、東京ビックサイト西1・2ホールにて開催の、 管理部門の業務効率化・DX推進のための展示会 第3回バックオフィスDXPO東京’24【夏】に出展します。 ご […]
BPO業者選びは情報セキュリティー対策の有無【Pマーク、ISMS】
最近、ビジネス・プロセス・アウトソーシング(BPO)がどんどん広まってきています。業務の一部を外部に任せることで、コストを削減したり効率化したりできるのは確かに魅力的です。 しかし […]
本日より仕事始めです。
皆さま、新年あけましておめでとうございます! 2024年1月4日、本日より弊社も仕事はじめとなります。 旧年中は大変お世話になりました。 本年もよろしくお願いします! […]
年末年始休暇のご案内
平素は格別のお引き立てをいただき厚くお礼申し上げます。 弊社では、誠に勝手ながら年末年始休業日を下記のとおりとさせていただきます。 【年末年始休業期間】 2023年12月28日(木 […]
TISAX認証取得の流れ ~準備から認証取得までを一気に解説~
TISAX(Trusted Information Security Assessment Exchange)は、2017年に策定された自動車産業における情報セキュリティの評価と共 […]