fbpx

情報セキュリティにまつわる
お役立ち情報を発信

Pマークの指摘事項でお困りの方へ

個人情報保護管理を適切な形で運用している企業や団体などにとって、顧客の方々などへの信頼の証であるプライバシーマーク(Pマーク)の取得は、社会的な信用を得られると同時に、事業の業績を上げていくことなどにもつながっていきます。このマークは、JIS規格(JISQ15001個人情報マネジメントシステム)といった個人情報保護基準に適合した事業者などが、その審査機関に申請をして、認められることによって掲げることのできるものとなっています。

Pマーク取得過程における審査指摘事項への対処方法

プライバシーマークを新規で審査機関に申請し取得しようとする場合や、2年ごとに訪れる更新時期には、審査員による現地審査によって、改善指示を受けることになるケースが非常に高くなっていて、個人情報保護の担当者がお困りになる場合も多くあります。当然のことながら、企業や団体などにおいて、個人情報保護管理が徹底して管理・運用されているのであれば、審査員からのそうした改善指示を受けない可能性もありますが、プライバシーマークの付与を望む際の実情としては、ほぼ確実に改善指示が出てきてお困りになることは避けられません。審査員から受けた改善指示が多ければ多いほど、改善するための時間や労力などが必要となります。そうした審査員による改善指示を受けてから、指定期間中に改善が図られなければ、プライバシーマークの新規取得や更新をすることができなくなってしまいます。以前は、改善までの制限期間の設定はされていませんでしたが、現在では改善指示文章の発行から数えて、3ヶ月以内に個人情報保護管理の改善し、審査機関へ報告しなければなりません。そのため、審査員による改善指示の量が多ければ、企業など個人情報保護管理を担当する方の負担は増していくこととなります。また、その審査にあたっての改善指示は、審査員による裁量による比重が高くなっているので、審査前に対策を施していたとしても、その改善指示を避けることは難しくなっています。そうした現況にあるので、プライバシーマークの新規取得や更新時には、自社の担当者に任せるだけではなく、プライバシーマーク取得支援サービスにお困りの点について相談することによって、プロによる改善指示対応を行うことができるようになります。その結果、その対応にかける時間も大幅に減り、速やかなPマークの新規取得・更新が可能となります。

Pマークの取得をするにあたっての審査の種類

プライバシーマークの取得・更新にあたっては、書類審査と現地審査といった、ふたつの種類の審査を受ける必要があります。書類審査では、JIS規格(JISQ15001個人情報マネジメントシステム)の要求事項を満たしている申請書や規程文書を作成し、審査機関へ申請することとなります。この時点では、企業や団体に現地審査員が来ることはありませんが、こうした書類審査で、提出した申請書類に不備があれば、審査機関から不適合とされる箇所を指摘されることになります。JIS規格の要求事項に沿ったものでない場合には、バッテンマークがつけられ、申請書類のみでは判断しかねるようなものであれば三角マーク、審査員による企業や団体の所在地での確認が必要とされるケースでは、現地、と表示されることとなります。改善指示がなされた要項については、審査員による現地審査を受けるまでの間に、改善しておかなくてはならないので注意が必要となってきます。また、その改善指示量があまりにも多いようであれば、プライバシーマーク取得支援サービスによるコンサルティングを受けることで、指示された改善箇所に対する的確なアドバイスを受けることができるので、改善作業における時間を短縮させ、プライバシーマーク取得・更新時の改善指示に対する効率化を図ることができます。また、書類審査の結果に関しては、現地審査が行われる前に、審査機関から送られてくることとなります。書類審査時に不適合とされた箇所がある場合、申請書や規程文書を新たに作成し直す必要はありますが、再度、審査機関に宛てて送り直す必要はありません。書類審査における不適合箇所については、審査員による現地審査で、その改善が適切に図られているかどうかがチェックされることとなります。そのため、書類審査時に指摘された不適合箇所については、現地審査期日にまでに改善しておくと同時に、規程文書も修正して、現地審査時に、審査員が見ても大丈夫なようにしておかなければなりません。そして、書類審査の次の段階として、担当審査官による現地審査がありますが、その際には、申請書類に記載されている通りの個人情報保護管理を行っているかどうかや、申請者側が事前に規定しているセキュリティー要項に基づいて運用しているかといった実態が、直接的に審査されることとなります。現地審査時に不備に対して改善の必要があると指示を受け、不適合となってしまった場合には、あらためて、審査機関から指摘事項が郵送されてきて、その改善指示にしたがって、再びその作業をすることとなります。

Pマークを取得するまでの流れと期間、必要コスト

企業などの自社努力のみでプライバシーマークの新規での取得を目指しているケースでは、個人情報保護管理の対策や申請書などを作成する準備段階から、その取得までには、平均しておよそ1年から2年ほどの期間がかかりますので、早い段階でのプライバシーマークの取得・付与を希望しているのであれば、Pマーク取得に至る全体の流れを掴んでおく必要があります。まず初期段階で取り組むべきこととしては、自社における個人情報保護の方針を制定し、それを書類に落とし込んでいきます。その後、個人情報マネジメントシステム(PMC)の策定をするためのチームをつくり、作業のプランを立て、社内の従業員達に定めた個人情報の保護方針を知らせていきます。その後、いくつかの過程を経て、プライバシーマークの審査機関に送る申請書類を作成し、提出することになります。そうして申請が済んだら、書類審査を受け指示された不備に対する箇所の改善、そして審査員による現地調査で受けた指示の再改善、そうして審査結果の合否の通知を受けて、無事審査に通ればプライバシーマークの使用契約をすることとなり、晴れてプライバシーマークの認定事業者となります。こうした一連の流れにおいて、プライバシーマークを自社努力で取得するには、1年から2年ほどの期間がかかります。プライバシーマークを短期取得したい場合にはやはり、プライバシーマーク取得支援サービスからのコンサルティング・アドバイスを受けることが近道となります。また、プライバシーマークを取得するにあたって気になってくるのが、その取得コストです。これらのコストには、プライバシーマークの申請料および、審査料、登録料、個人情報保護管理における設備投資コストのほか、人件費が発生することになります。さらに、プライバシーマーク取得支援サービスコンサルタントを利用した場合、別途そのコストがかかってきます。

プライバシーマークを取得するためには、準備段階を含めて1年から2年の期間と、数百万円台のコスト、そして審査員による改善指示・指摘事項への対応にともなう改善・修正作業といったことなどが発生することを把握しておく必要があります。自社のみの力でプライバシーマークを取得することも可能ですが、プライバシーマーク取得支援サービスのコンサルティングを受けることによって、取得までに至る期間の短縮化や、適時適切なサポートを受けることができます。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る