fbpx

情報セキュリティにまつわる
お役立ち情報を発信

Pマーク不適合を発見する6つの場面

 

プライバシーマーク(Pマーク)の要求事項を完ぺきに実行できる会社はありません。どのプライバシーマーク(Pマーク)取得会社にも大なり小なり不適合はあるはずです。不適合とは要求を満たしていない状態のことを言います。

そこで大切なのは不適合を一切発生させないよう過度に苦心することではなく、発生した不適合を目ざとく発見して処置を講じられるような体制を整備することと言えるかもしれません。

では、プライバシーマーク(Pマーク)取得会社はどのような場面で自社の不適合を発見していくことができるでしょうか。主に6つの場面がありますので一つずつ見ていきましょう。

 

外部審査を受けたとき

不適合を最も発見しやすい場面といえば、プライバシーマーク(Pマーク)取得審査や更新審査などの外部機関による審査でしょう。

外部の専門家による審査ですから、自社で見落とされがちな不適合を指摘してもらえる機会となります。

 

リスク分析を行ったとき

なかには外部の審査で指摘された場合しか不適合処置を行っていないプライバシーマーク(Pマーク)取得会社もありますが、本来不適合というのはその他にも自社で実施する活動や発生する事態の中から発見していくべきものです。

たとえば個人情報に関するリスク分析を行う場合などがそうです。リスクを認識・分析した結果リスクが高いと判断された状況については是正処置や予防処置を講じることが求められます。

 

緊急事態が発生したとき

緊急事態とは漏えいしたりき損・滅失したりするなど個人情報に関連する事故が発生した場合のことを言います。

事故が発生したということはそこに何らかのプライバシーマーク(Pマーク)上の不適合が存在していたということにほかなりません。必ず不適合処置を実施するようにしましょう。

 

苦情を受け付けたとき

お客様や取引先から自社に対して苦情が出ることもあります。

プライバシーマーク(Pマーク)取得会社には苦情を受理する手順と体制を構築しておくことが求められますが、苦情は単に苦情として受理するだけでなく、そこに自社の不適合が隠れていないかを確認するきっかけにする必要もあります。

 

運用状況の確認を行ったとき

ここでいう“運用状況の確認”とは部門ごとに行われる日常的な点検作業のことです。このような点検は小さな不適合を早期に発見するよい機会となります。

 

内部監査を実施したとき

外部の取得・更新審査のときだけでなく会社内部で毎年実施される監査のときにも不適合を見つけていくようにしましょう。

どれだけ不適合を発見できるかは主に監査責任者や監査員の力量にかかっていますが、代表者、経営層、各部門の責任者、すべての社員も監査に協力することによって不適合の発見に寄与することができます。

 

まとめ

いずれの場面も自社の不適合に気づく貴重なチャンスです。ただしそのチャンスを生かして改善につなげるかどうかはプライバシーマーク(Pマーク)取得会社次第です。

不適合は放っておくとさらに重大な不適合や事故につながりかねません。不適合はできる限り早い段階で発見するようにしましょう。

こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る