fbpx

情報セキュリティにまつわる
お役立ち情報を発信

Pマーク更新審査は初回審査と一味違う

更新審査が初回の審査と一味違うのは審査を受ける度に厳しくチェックをされるという点でしょう。
またもし個人情報が漏洩したりするなどの事故が起きてしまった場合にきちんと対策をできているか、それが再発しないように工夫をしているかという点もチェックされます。
もちろんこれは会社全体が対策しているかという点が大事なので、関係者だけではなく代表者もそれを認知し、防止のために動いているかということが重要です。そういうことも含めて審査に通るために役立つのがコンサルティング会社に依頼することでしょう。
コンサルティング会社はいろんな会社が更新できるために様々な会社と関わっており、これまでいろんな経験をつんでいます。そのため工夫する際の情報の提供やアドバイスなどもくれます。
かなり厳しくなることが予想される更新の審査ではその力は必要不可欠なのです。
そして審査で高評価をもらうためには内部監査を行い、計画をスムーズに遂行できるようにするだけではなく、必要な改善点を良い方向に変えていけるようにすることが重要です。
コンサルティング会社に依頼することで関係要員の負担が減ります。
また審査を早期クリアするためにも役立ちます。

更新審査の難しさ

Pマークの更新審査が難しい要因は、既にPマークの認定事業者であるにも拘らず審査を受ける必要があるという点でしょう。
すでに個人情報保護マネジメントシステムができあがっているというのが最低条件であるといえ、そこをしっかりとクリアしていなければそもそもPマークの更新審査に通ることができないのです。
初回審査の場合は一度もPマークの審査は受けていないわけですからまず個人情報保護マネジメントシステムができているかどうかということを中心にチェックされるのですが、一度でも審査に通っている人であればそれだけ審査が厳しくなるということを覚悟しなければいけません。
そこが初回審査と一味違う点の一つだといえるでしょう。
更新審査を受ける場合は年間の計画にそって実施していたかどうか、そしてその記録が残されているかどうかということも重要視されます。審査日の近くになってあわてて実際に実行していたかのように記録の書類を作成してもそういうことはすぐにバレてしまいますから日ごろからちゃんとPマークの更新審査を意識して運営していくことが大切です。
つまり無理のない計画をたてることできちんと実行をしていくことができるので、初回審査に通った後は年間の計画について見直してみることも大事です。
審査を受ける時には正直にそのままの状態でみてもらうことはとても大切なことです。
嘘をついてしまってはもし審査に通る可能性があったとしてもその小さな可能性さえつぶれてしまうことになりかねません。
更新審査に向けて必要なものをしっかりそろえておくことも重要です。

高い評価をもらうには

それでは審査で高い評価をもらうためにはどうしたら良いのでしょうか。
初回審査とは一味違うことからどうやったら高い評価を得られるかという点に絞ってみるといいです。
例えばPDCAサイクルを運用していく為の仕組みであるマネジメントシステムの運用の効果を高めること、つまり内部監査の有効さがとても重要となるのです。
Pマーク規格を満たしていることはもちろん、工夫をして内部監査を実施し、それを改善できるようにそのポイントを見つけようという動きがあることが高評価を得るための一つの条件となります。最近ではプライバシーマーク取得支援サービスがありますので、そういうサービスを行っているコンサルティング会社に依頼するのも良いでしょう。
プライバシーマーク取得支援サービスを行っているコンサルティング会社はその豊かな経験によって、審査をクリアするためのサポートを行います。
コンサルティング会社を利用するメリットにはPマークの早期取得を目指せるということ、そのために動く社内要員の負担を軽減できるということがあります。
審査は年々厳しくなっていく傾向がありますので、社内要員のみが動くことで審査に通るということはかなり難しくなってきます。
対外的なアピールを行なうという意味では非常に重要なものとなっているPマークですから、更新の時に審査に通れないというのはとても困ることになります。
更新できるようになるために必要な情報を得て、会社の負担が減るコンサルティング会社の利用は積極的にするべき事だといえるでしょう。

更新までに事故が発生してしまったら

もし更新審査を受けるまでの間に事故が発生してしまったらどうしたら良いのでしょうか。更新審査は初回の審査からおよそ1年半たってから受けることになりますので、その間に漏洩や紛失などの事故が起きてしまう可能性は0ではありません。
まず事故が起きてしまったら審査機関へ報告しなければいけないというルールがあります。
そして審査の時にはその報告を認識した上でその後の対応をきちんとできているかどうかという点をとても厳しくチェックします。
もし事故が起きてしまってから更新の審査がある場合はそれまでに再び事故が起きないように再発を防止する対策の実施、そしてその対策が有効であるかという点をきちんと実行する必要があります。
もちろんその対応策を行なうまでのプロセスに関しても重要なことだといえます。
そしてそれらの記録をきちんとしておきましょう。審査ではこの対策の記録に代表者がちゃんと関わっているかを確認されますので、そこも注意しなければいけないところです。
個人情報を扱うという点では完全に事故を防ぐことはできないのです。
ですから事故が起きてしまったら適切な対策をとるということが重要であり、もしもの時のために普段から関連する人々が訓練を受けておくことも大切です。
普段から心構えをしっかり持って、会社として個人情報の対策をとっているかどうかは重要なことなのです。
ポイントは社員だけではなく、代表者も含めて一丸となって対処をできているかどうかだからです。どんなことであってもこまめに記録をきちんととっておけば様々な面で役立たせることができますし、個人情報を積極的に誠意をもって守ろうとしている証明にもなるのです。

個人情報を守る会社であるという証拠でもあるマークの取得をした時に重要なことはPDCAサイクルを守るということです。
つまりPはPlan(計画)、DはDo(実施)、CはCheck(点検)、そしてAはAct(改善)です。更新の審査を受ける大前提でこれらのことをきちんと守りましょう。
初回の審査の時にチェックされるマネジメントシステムの構築はそのままでは更新の審査に通ることはできないので、常に改善をすることを目標としておくほうが良いでしょう。
そしてもし事故やミスがあった時にはそれを隠さずに報告し、再発防止策を練ることが重要なこととなります。
事故0がベストであることが一番ですが、人間が管理しているものである以上、完璧な状態を保てないという可能性は0ではないのです。
そのため、個人情報を扱う上で大切なのはいつであっても再発防止、素早い対策をすることです。
運用記録の2年間分をファイリングし、マニュアルや安全管理規定の見直し、委託先の評価の見直し、個人情報管理台帳やリスク分析シートの見直し、更新申請書類の作成などをした上で申請を行いましょう。
二度手間などにならないようにきちんとチェックし、書類の提出をするのがいいです。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る