Pマーク取得にはルールを理解して文書化する必要がある

　Pマークは、プライバシーマークと呼びます。プライバシーマークの制度について簡単に書くと、日本工業規格の一つとなっている「JIS Q 15001」に合わせ一人ひとりの個人情報について適切な保護のための対策やサポートなどといった措置を行える体制を整備できるような組織及び団体を認定するためにつくられたマークのことです。この「JIS Q 15001」は個人情報マネジメントシステムのことを指します。
　認定された事業者については、このマークの発行元である一般財団法人日本情報経済社会推進協会からそのことを示したPマークが付与されます。認められた事業者のみが事業活動に関してプライバシーマークの使用ができるという制度です。
　この制度が生まれた背景としては、ビジネスにおいて情報の価値が急速に認められるとともに生活している人々それぞれが持つ個人情報を詳細にかつ大量に集め保持することに力を注ぐ企業や団体も出はじめました。
　しかし、その個人情報をハッキングされるなどにより情報が大量に漏洩してしまうなどの不祥事も相次ぐようになり個人情報の適切な保護が求められるようになったためこの制度が誕生しました。
　Pマークを取得しようとしても、それは簡単なことではありません。取り組みから開始までには、かなりのプロセスを必要とします。

ルールの文書化

　Pマークを取得するにあたってはプライバシーマーク取得支援サービスに依頼します。担当するコンサルタントと企業側の担当者が緻密に打ち合わせをしたうえで申請へと向けた取り組みを行います。
　企業側が特に専任の担当者をおく必要はないです。社員それぞれが仕事の合間にプライバシーに対する取り組みを行うという形です。
　企業が申請するために行うことは、独自で調査を行うことから始めます。社内において取得及び利用している個人情報を洗い出します。
　それから、プライバシーやリスクなどに関連したことについて多角度から分析を行った上で規程をつくります。企業はその規程に従った社内運用を行います。その期間は3ヶ月ほどで、運用に関する記録は文書化が必須となります。
　プラバシーマーク取得支援サービスのコンサルタントと打ち合わせる周期の目安は、約10日に1回程度です。打ち合わせ回数については大体6回ほどで申請することができます。
　その周期を早めることも一応できますが、その場合にはその分社内運用の取り組みも忙しくなってしまいます。通常の業務もありますので、余裕を持った社内運用を行いましょう。そのためにある程度の期間を取っておき、3ヶ月程度での申請を目標にします。
　申請後の流れとしては、審査を経たうえで合格した事業者だけが認可されます。申請後からPマークを取得するの期間については審査機関次第となりますので、短縮することは基本的にできません。
　顧客側の所要時間は、平均40時間ほどかかったというデータはあります。ただ、この所要時間については企業の取り組み方次第になりますのでかなり所要時間の平均には幅がみられます。
　個人情報保護法よりもさらに厳格に基準が設けられており、Pマークを取得するためには企業そのものの質が求められます。

なぜ文書化するのか？

　プライバシーマーク制度は「JIS Q 15001」を基本にはしていますが、そのほかにも個人情報保護法・それに関する国の公的機関によるガイドライン・地方自治体による個人情報関連の条例も基準にして決められています。
　プライバシーマーク制度の求める基準が個人情報保護法よりも厳しいのは、これらの法律や条例による考え方が反映されているためです。
　なぜ文書化する必要があるのかですが、プライバシーや個人情報などに関する様々なルールを企業側がきちんと理解する必要があるためです。
　そして申請後の審査の一つに文書審査が必要となります。ですので、審査に通過するだけの文書をしっかりと作成する必要があります。
　覚えておくルールについては膨大であり、口頭で説明されただけではとても覚えきれるものではありません。そのため、文書にしておくことにより膨大なルールを共有することができます。また、分からなくなったときに確認としても使用できます。
　個人情報の保護やサポートなどの取り組みについては社員一人ひとりがきちんと自覚を持ち行う必要があります。社員それぞれがきちんと個人情報を扱うようにするためにも、ルールを文書にしてしっかりと理解させるような教育は必要です。
　このプライバシーマーク制度では、個人情報保護法よりもより厳しく個人情報の取り扱いを求めるという性質を持ちますので甘い取り組み方では個人情報を取り扱うのに不適切とされることも充分あります。ですので、書かれているルールを社員の一人ひとりまでしっかり理解させることは極めて大事といえます。

現地審査までの改善

　申請後に行われる審査については2種類あります。最初は規程や記録様式を審査する文書審査、そしてそれを実際に運用しているかを記録などで確認する現地審査が行われます。
　それぞれの審査において指摘されたことをしっかりと改善されて初めて認定となることを留意します。
　審査においては「JIS Q 15001」の要求事項に応えていなかったと判断される場合に、不適合が出ます。ただ、不適合がでたからとって不合格というわけではありません。指摘されたこと一つ一つをいかに是正できるかが大事といえます。
　審査指摘事項に対しての対応は、合計で2回行う必要があることを留意します。
　1回は文書審査において出た指摘事項への対応が必要となります。文書審査では、主に個人情報保護マネジメントシステムで使用する文書やフォーマットなどが要求する事項を満たしているかどうかをみます。そこで厳しくチェックして出た指摘に対してしっかり対応していきます。
　2回目となる現地審査では、審査機関の人が企業の職場を訪れて実際に規程で定められたルールが現場で実際に運用されているのか、個人情報が適切に扱われているのかなどをみます。
　その審査で現場が個人情報を取り扱うのに適しているとはいえないケースなどに、また指摘が出されます。そこで出たことについては改めてしっかりと対応しておきます。
　できるだけ文書審査で出た指摘事項が改善されたと審査する人にみられるためにも、文書審査の段階までに改善されたと認められるように取り組む必要があります。
　審査対応については、1回で改善が認められるとは限りません。こうした審査対応は指摘事項がきちんと改善されて要求事項を満たしていると認められるまで続くことを覚えておきましょう。

　プライバシーマーク制度によってきちんとPマークが付与されても、永続的に使用が許可できるわけではありません。Pマークには有効期限があり、取得してから2年間までマークの使用が認められます。
　そして、2年の有効期限が近づいたころに更新申請を再度行う必要があります。そして、再度審査して付与するのに適するという決定を受けたうえで初めて2年間の延長が行われるという仕組みです。
　これは、個人情報を取り扱うためには厳格な基準を設ける必要があるという証明にもなります。ただ、こうした審査は落とすための審査というわけではありません。むしろ、よりよい環境づくりのために必要となる審査だととらえておいたほうが良いでしょう。
　しかしながら、プライバシーマーク取得支援サービスを行う企業に頼まずに会社だけの考えで行うと審査を何回も行っても通らずに断念してしまったという事業者もあります。
　プライバシーマーク制度を利用して取得するにあたっては、プライバシーマークを支援する専門の業者を選んだほうが効率が良いことがいえます。国内には18の業者があるといわれますが、しっかりとした業者選びを行うことも確実なプライバシーマーク取得には大事なことといえます。