Pマークで最低限必要な12の記録 その3
プライバシーマーク(Pマーク)を取得するにあたって作成しなければならない記録についての記事、今回は前回に続く3回目の記事です。
教育実施記録
個人情報保護に必要な知識を身に着けさせるための教育を社員に向けて行うことはプライバシーマーク(Pマーク)の重要な要求事項です。
教育を確実に行っていることの証拠としてプライバシーマーク(Pマーク)取得会社は教育実施記録を取らなければなりません。
「教育実施記録」とは実施した教育の内容だけでなく受講状況や理解度確認の結果、そしてフォローアップを行った内容を記録するものでもあります。
受講状況とは受講対象者の出欠状況や欠席者に対して補講を行ったかどうかなどを指します。理解度確認の結果とは社員がどれほど個人情報保護を理解しているかを確認した小テストやアンケートなどの資料を指します。またフォローアップとは理解が不十分な社員に対する補足的な教育を指します。
これらの記録は確実に保持する必要がありますし、その記録に基づいて年間教育計画書の更新を行わなければなりません。
苦情および相談への対応記録
個人情報の取得や取り扱いについてお客様や取引先から意見が寄せられた場合、プライバシーマーク(Pマーク)取得会社は迅速に対応しなければなりません。
「苦情および相談への対応記録」は前回の記事で紹介した「開示対象個人情報に関する開示等の求めへの対応記録」と同じく苦情や相談の申し出自体を本人から受け付けるための記録様式をあらかじめ用意しておくのが適切です。そうすればお客様は迷ったり手間取ったりせずスムーズに苦情や相談を申し出ることができます。
ただし記録として書面にするのは相手方からの請求の内容だけでは足りません。こちら側の対応の内容についても記録に残しておくことが必要です。記録しておくことで後日対応の有無や内容が適切だったかどうかが問題になったときにエビデンスとして提示することができます。
そのためにも苦情や相談への対応記録は必要に応じて具体的に作成するのが望ましいでしょう。具体的には申し出を受け付けた日や対応した日または期間なども記録しておくということです。それを記録しておけばプライバシーマーク(Pマーク)取得会社として合理的な期間内に対応したことも証明できます。
運用の確認の記録
運用の確認とは会社の各部門が日常業務の中でプライバシーマーク(Pマーク)の運用が正しくなされているかを主体的に点検することです。
大小すべての点検作業を記録に残すときりがありませんが、最低でも施錠や事務所への最初・最終の出退社、また個人情報を格納したシステムのアクセスログなどは記録すべきでしょう。
まとめ
運用の確認の記録などは特にそうですが、もともと会社として実施していた記録の方法やプライバシーマーク(Pマーク)取得の取り組みで開始した他の記録と重複する場合も出てくるものです。無理して形式的に新しい記録様式を作り出すのではなく、すでに存在するものを応用したりして上手に工夫するのも一つの方法です。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
