fbpx

情報セキュリティにまつわる
お役立ち情報を発信

Pマーク取得に至るまでの3つの関門

Pマークことプライバシーマーク制度は、一般財団法人日本情報経済社会推進協会が運営を行っている制度です。
このPマークを取得しているという事は、個人情報をきちんと取り扱っているという状況を意味します。
しかもそう簡単に取得できるものではない事から、かなり信頼度の高い制度と呼ぶ事が出来ます。
また、一度取得すれば永遠に使用できるというものではなく、定期的に審査に合格しなければ使用を続ける事は出来ません。
こうした局面から、Pマークを取得している企業は個人情報を保護する活動を常にしっかりと実施していると言えるでしょう。
その為、消費者に安心して貰う為にもと取得を目指す企業は後を絶ちません。
しかし、そう簡単に取得する事が出来ないのが、この制度の難しい点でもあります。
そこで取得に至るまでの3つの関門と呼ばれている審査に関して、それぞれまとめてみました。
取得を検討中の企業や担当者の方は、どのような審査が行われているのか、事前に把握しておく事をオススメします。
そして、3つの関門をクリア出来る状況かどうかを、取得前に確認しておくと良いでしょう。
もしクリアが不可能な状況であれば、積極的にクリア出来る状況を作り出しましょう。

文書審査

Pマーク取得に至るまでの3つの関門の1つ目が、文書審査です。
文書審査のメインとなるのは、PMS文書と呼ばれる個人情報保護マネジメントシステム文書です。
この文書がJIS Q 15001をきちんと満たしているかどうか、従業員がJIS Q 15001を守り、どのように個人情報保護を実施してくかといった具体的な手順が、特に審査において重要視されます。
その為には、内部監査や従業員の教育を実施した記録などの記載も欠かせません。
また、内部監査や従業員の教育を実施するだけでなく、問題点があればそれを経営者がきちんと見直したかどうかといった点も、記載が求められます。
さらに、消費者から相談や苦情が寄せられた場合の対応策など、実際に起こりうるであろう事例についての方針を、PMS文書ではきちんと定めておく必要があります。
これらは、Pマーク取得を目指す企業の担当者だけで行えるものではありません。
つまり、企業全体で取得を目指しているかどうかが試される審査と言えるでしょう。
なお、文書審査をクリアできなければ次に進む事が出来ないという訳ではありません。
次に実施される現地審査までに、不備があれば指摘事項と呼ばれる書類が送付されて来ます。
その指摘事項に沿って、現地審査までに不備を解消すれば次の審査に進む事が出来るという訳です。
不備がきちんと解消されているかどうかは、現地審査の際にチェックが実施されます。
その為、指摘事項が送付されてきた場合には、速やかに不備を解消するよう心がけましょう。
そうすると、次の審査への道が繋がります。

現地審査

Pマーク取得に至るまでの3つの関門の2つ目が、現地審査です。
現地審査はその名前からもわかる通り、実際に申請を行った企業に審査員が訪れて行われるものです。
この時訪れる審査員は2名であり、主に聞き取りを行うのがメインの審査員、チェックや記録を行うのが補佐的な審査員となります。
基本的に現地審査は、企業の本社で行われるのが一般的ですが、個人情報保護に関する活動を他の支社で実施しているといった場合などは、そちらに赴いて行われる事もあります。
そんな現地審査でまず行われるのが、企業の代表への聞き取りです。
企業の代表として個人情報の取り扱いに関するリスクをきちんと把握しているのか、どのような個人情報保護に関する方針を掲げているのかといった様々な内容の聞き取りが行われます。
続いて、個人情報の運用に関する聞き取りです。
この聞き取りは、企業において主に個人情報保護にまつわる仕事を担当している方に行われるものです。
どのように個人情報を管理しているのか、従業員に対してどのような教育を行ったのかといった事が聞き取られます。
最後は、現場状況の確認です。
実際に個人情報を取り扱っている現場を審査員がチェックし、個人情報をきちんと守る為の措置が施されているかを確認して行きます。
これらを全て終えた後、総括が実施されます。
この総括では現地審査を終えて審査員が気づいた事が伝えられます。
不備等の指摘も、総括で実施されるので聞き洩らさないようにする事が重要です。
なお、審査料等の費用に関しては現地審査後に請求書が送付されるので、速やかに費用を振り込みましょう。

指摘事項

Pマーク取得に至るまでの3つの関門の最後となるのが、指摘事項です。
この指摘事項は最後にして最大の難関であり、現地審査を終えてから2週間以内に主に聞き取りをメインと行う審査員から送付されて来ます。
この指摘事項には、現地審査において不合格と判断された項目について記載されています。
そして不合格と判断された項目については、3か月以内に改善を行わなければいけません。
また、ただ改善を行えば良いというものではなく、改善報告書と改善後の運用内容を記載した書類の提出が求められます。
つまり、改善をきちんと行った証拠を求められるのが、この指摘事項と言えるでしょう。
しかし、指摘事項が最後にして最大の難関と言われるのには理由があります。
それは1度指摘事項を改善し、証拠を提出したからといって、審査をクリアする事が出来ないという事です。
一般的に、指摘事項を改善したという書類を提出した場合、その書類から再指摘事項と呼ばれる内容が再度送付されてくるケースがほとんどと言われています。
その為、再指摘事項に関しても改善報告書や改善後の運用内容を記載した報告書を提出しなければならないのです。
ここまで細かく指摘されると、どうしても取得出来ないのではないかとネガティブに考え出す担当者や企業も少なくありません。
しかし再指摘事項を受けるという事は、決して珍しい事ではなく、既にマークを取得している企業のほとんども通ってきた道なのです。
こうして前向きに考えて、1つ1つ指摘事項を改善していきましょう。
ちなみに再指摘事項で、指摘事項以外の内容について新たに指摘される事はありません。
その為、最後の一押しと考えて取り組みましょう。

Pマークの取得に関しては、多くの厳しい審査をクリアしなければいけません。
しかし多くの厳しい審査をクリアしているからこそ、消費者は安心してその企業に個人情報を預ける事が出来ると言えるでしょう。
ただ、いくら担当者を置いてもその企業だけで取得するというのは、現実問題として難しいと言われています。
そこで確実に取得したい場合には、プライバシーマーク取得支援サービスを利用するという方法がオススメです。
プライバシーマーク取得支援サービスを利用すれば、通常よりも短期間での取得が実現します。
その為、出来るだけ速やかに取得したいといった場合には、非常に役立つサービスと言えるでしょう。
また、中小企業の場合は、専任の担当者を置くのが難しいというケースも珍しくありません。
そんな時にプライバシーマーク取得支援サービスに依頼すると、担当者としての負担を軽減してくれるとあって、普段の業務を行いながら、担当者としての業務をこなす事が出来ます。
そうすれば、新たに専任の担当者を雇う必要もなくなります。
こうしたサービスは全国各地で実施されているので、興味があるという方は最寄りのコンサルタント会社に相談してみると良いでしょう。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る