fbpx

情報セキュリティにまつわる
お役立ち情報を発信

Pマークの更新審査の心構え

プライバシーマーク(Pマーク)とは、個人情報を適切に取り扱っている組織を一定の基準で認定し、マークの使用を許諾する制度のことをいいます。
最近は、名刺や企業のホームページなどでも掲載されていますので広く知られるようになりましたが、意外と知られていないことも事実です。
まず、プライバシーマーク(Pマーク)を取得する際には、取得はゴールではなく、あくまでスタートラインに立ったばかりであるという意識を持つことが大切です。
つまり、プライバシーマーク(Pマーク)とは、何らかの書類を揃えて提出すれば取得できたり、マークが付与されるという簡単な制度ではなく、付与事業者として承認された後にも、個人情報保護の取り扱いについて努力し続けることが求められます。
そのため、日常的な運用、定期的な社員教育や見直しの実施、見直したうえでの改善策の構築など、システムが求めるさまざまな要求事項に応えなければなりません。
もちろん、定期的な審査も行われますので、それまでに実施した運用の結果なども報告書として纏めておく必要があります。
それでは、更新審査にスムーズに合格するためには、具体的にはどのような準備や心構え、資料などが必要となってくるのでしょうか。

初回審査との違いとは?

プライバシーマーク(Pマーク)を認定された事業者は、マーク取得のために構築された「JIS Q 15001:2006に適合した個人情報保護マネジメントシステム」が、問題なく運用されていることの確認を行うために、2年ごとの更新審査を受ける必要があります。
初回の審査が行われる際には、まず「個人情報保護マネジメントシステム」が問題なく構築できているかということに重点を置いての審査となりますが、更新の審査では、それらが当初の計画に基づいて運用されているか、また定期的に実施する教育や内聞監査、代表者による見直しなどがきちんと実施されて記録されているか、また、その内容通りに実施されているかなど、調査員がインタビューを行います。
2年分もの記録に基づいて進められていく審査ですので、更新審査があるからといって慌てて作成したところで合格できるわけはありません。やはり、日々の運用を着実に行い、事業所全体に個人情報保護の必要性をきちんと浸透させていく心構えが大切です。とはいえ、日常的な業務をこなしながら、自社で社員教育を行ったり、最新の情報を行き渡らせることには限界があることも事実です。
プライバシーマークを取得した多くの企業は、「プライバシーマーク取得支援サービス」などのコンサルティングサービスを利用して、社員教育を行ったり、定期的なセミナーの受講などを行っています。せっかく構築したシステムをスムーズに運用、維持していくためには、これまでに多くの企業のプライバシーマーク取得に携わった専門家の力を借りることをお勧めします。

運用への効果

それでは、「個人情報保護マネジメントシステム」を運用していくことによって、どのような効果を得ることが出来るのでしょうか?
「個人情報保護マネジメントシステム」とは、PDCAサイクル(P=plan(計画)、D=Do(実行)、Check(評価)、A=Act (改善))を運用していくための仕組みのことを言い、P(計画)ではこれからすることを考え、D(実行)では計画に基づいて実行をします。
C(評価)では、実施した結果の良否について判断を行い、A(改善)で改善方法を見いだし、次の計画に進むという工程を繰り返します。
どんなに素晴らしいシステムを構築したところで、それがきちんと実施されていなければ意味がありません。
PDCAサイクルには、このプロセスを継続に繰り返すことによって、目的に対する水準を向上させたり、品質の維持、継続的な業務改善活動を行うことが出来るという効果があります。そのため、プライバシーマーク(Pマーク)取得の際に一度、マネジメントシステムを構築したきりで、翌年に全く同じ内容を繰り返していたのでは意味のないものとなってしまいます。
更新の際には、おもにPDCAで見直しや改善をした箇所にポイントを置いて審査が行われます。
つまり、運用そのものだけでなく、「個人情報保護マネジメントシステム」を効果的に運用するための内部監査の有効性についても、しっかり審査されることになります。規格が要求している事項を満たすことはもちろん、内部監査を実施して独自の見直しによって、改善のポイントを見いだし実施している事業所であれば、審査でも高い評価を得ることが出来ます。

事故対処へのポイント

更新審査は、プライバシーマーク(Pマーク)の取得から、およそ2年近く経過したうえで行われますので、少なくともその1年半の間には、さまざまな問題が発生したり、見直しをすべき箇所や工程も出てくるでしょう。
なかには、情報の漏洩や情報の紛失などの事故が発生してしまったという事業者も少なくありません。
万一、情報漏洩や紛失などの事故が発生した場合には、プライバシーマーク制度のルールに基づいて事後の対応が完了し、再発防止策が決定した時点で、付与事業者と審査中事業者、申請検討中事業者への報告が必要となります。

更新審査の際には、もちろん、それらの報告内容も含めたうえで行われますので、とくに事故が発生した後の対応や実施されている内容や状況について厳しい目が向けられることになります。
事故の再発防止策についてきちんと実施されているか、また見直された防止策が有効に機能しているかどうか、もちろん対応までの工程についてもチェックされることになります。また、事故発生時の報告記録や再発防止策の検討状況などの記録において、代表者が関与しているか、適切な対応がなされているのか、事故を想定したうえでの訓練が行われているかなども調査の対象となります。
事故が起きてしまうことは、もちろん褒められることがではありませんが、事故の重大さを認識したうえで、適正な改善策の策定や実施、再発防止策を構築し徹底することによって、個人情報の保護についての体制をさらに強化していくことが出来るようになります。事故対処のポイントとは、事故がなぜ起きたのかを考え、それに対処していく、またその過程の見直しなどが重要となってきます。

企業で個人情報を取り扱っている以上は、事故を0%にすることは難しいというのが現実です。しかし、「個人情報保護マネジメントシステム」をしっかりと運用することで、現状のルーチンについて無駄がないか見直したり、事故発生を想定しての予防策を立てることができ、事故を最小限に抑えることは可能となります。しかし、これからの情報社会では、どんなに事故を未然に防ごうという心構えがあったとしても、一企業だけの努力では確実な運用は難しくなっていくことでしょう。
「プライバシーマーク取得支援サービス」などのコンサルティングサービスを利用すれば、経験豊富なプロのコンサルタントが、プライバシーマーク(Pマーク)の取得の際だけでなく、その後の運用や維持、更新のためのサポートをしてくれますので、自社の本来の業務に支障を来すことなく、システムに要求された事項を確実に実施していくことが可能となります。
もちろん、コンサルタント料は発生しますが、自社の業務に支障があれば結果的には大きな損失に繋がることになります。
何とか取得までは自社の努力でこぎつけたものの、運用までは手が回らないという場合や、現状の運用に行き詰まりを感じているという場合にも、気兼ねなく相談をすることができます。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る