様式至上主義!?【Pマーク取得の基礎知識】

プライバシーマーク(Pマーク)を取得して必ずと言っていいほど増えるのは「様式」です。
Pマークの取得後の様式について
様式とは記録するためのもので、記入すべき項目や内容がすでに定められているもののことを言います。エクセルやワードなどで枠だけがすでに作成されており、あとは「氏名」、「部署」、「作成日」などとそれぞれに決められた項目の枠内に情報を記入または入力していくといったものが“様式”です。
プライバシーマーク(Pマーク)上では“記録”が要求されるのですが、その記録を確実にし、場合によっては行いやすくすることを目的として一般的に社内で記録のための様式が運用当初に作成されることが多いのです。
ところがこの様式というもの、上手に運用できれば会社の個人情報保護の向上につながるのですが、一歩間違えるとただ業務を増やすだけの無駄な作業の原因になりかねません。
よくある間違いの一つは“とにかく様式を作ってしまえばいい“というやり方です。タイトルの様式至上主義とは要するにこのやり方のことです。
様式至上主義は会社の業務全体や個人情報保護に良い影響をもたらしません。ではすでにこのような傾向に陥っている場合、どうすれば状況を改善していけるでしょうか。
そもそも様式が必要かどうかを判断する
もちろん一切様式を作成しないというのは現実的ではありません。たとえばお客様が個人情報の開示を請求する際、様式がなければ何をどう伝えて要求すればよいのかがわからずに困ることでしょう。必要な様式はためらわずに準備すべきです。
しかしなかには「それは別に様式を作らなくてもすでに会社で確立されている記録の方法で運用していけるのでは?」と思えるものもあります。このような場合は安易に新しい様式を導入することでかえって業務の負荷が増えます。
ほかにも記録を定型化してしまうことがかえって融通の利かない業務のもととなってしまうことがあります。たとえば監査のチェックリストなどです。チェックすべき項目や量や視点は状況によって左右されますので、毎回の監査計画に基づいてその都度記録しても問題ありません。
様式内の項目が必要かどうかを判断する
たとえ様式自体は必要であっても記録すべき項目が必要性の乏しいものであれば、これもまた無駄な記録作業のもととなってしまうでしょう。
特に他のプライバシーマーク(Pマーク)(Pマーク)取得会社の様式を完全に真似して自社に取り入れたりすると、本質的に必要ない項目まで様式に盛り込んでしまうことにもつながりますので注意が必要です。
別に毎年の監査や更新審査のたびでなくても構いませんので、様式の項目は慎重に見直すようにしましょう。承認者の承認印欄などについても同様に必要性を考慮するのが良いでしょう。
まとめ
今回の記事は断じてプライバシーマーク(Pマーク)認証取得制度そのものを否定するものではありません。
むしろプライバシーマーク(Pマーク)取得が真に意図するところをつかみ、個人情報保護という大切な目標を実現させつつも不必要なしくみや労力を削減していこうという趣旨です。
皆さんの会社においてもプライバシーマーク(Pマーク)様式類が現状の必要性を満たすものとなっているか改めて精査されるのはいかがでしょうか?
こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]