Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜17:00

Pマーク 認証・更新

Pマーク(プライバシーマーク)認証お役立ちコラム

プライバシーマークの定期運用でやることリスト|個人情報管理台帳の見直しは必須

スタッフ写真
スタッフ写真

2024年4月11日

プライバシーマークの定期運用でやることリスト|個人情報管理台帳の見直しは必須

Pマークは認証取得して終わりではなく、継続して運用を行う必要があります。Pマーク運用でやることは大きく11項目で、次回の審査まで2年分PDCAサイクルを回しましょう。
その中でも重要なのは個人情報管理台帳の見直しです。年に1回は見直しを行い、最新の状態を保つ必要があります。

目次

1.プライバシーマークの運用とは




プライバシーマーク(Pマーク)は、運転免許証と同じく、一定の有効期限が設けられています。

その期間は2年で、その間に更新審査を受ける必要があります。
更新審査を受けるためには、個人情報保護のためのマネジメントシステムを継続的に運用し、PDCAサイクルを回すことが求められます。これを「PMS運用」と呼ぶこともあります。
更新審査では、過去2年間の運用記録を基に、個人情報の取扱いに問題がないかどうかが確認されます。

近年、個人情報保護に対する社会的な関心が高まる中、事業者が新たに制定・施行された法律や政令を遵守しているかどうかも審査の一部となっています。
以下に運用で行うことを大きく11項目に分けて述べていきます。

2.年間のスケジュールを作成

プライバシーマーク(Pマーク)の定期運用をするために、まず年間のスケジュールを作成しましょう。
11個を運用していくにあたり、これをいつのタイミングで実施するのか、
誰が実施するのかを必ずスケジューリングしておきましょう。
コツとしては、審査までの2年分を立てるということと、申請期限から逆算して立てておくということです。

3.3.3.1個人情報管理台帳の見直し

仕事上の個人情報の取り扱い内容や数量、方法などが変更になっているかと思いますので、1年に1回は最新の状態にできるようにしましょう。

その中でも個人情報名・属性・利用目的・保管方法・保管場所・アクセス権限・利用期限・廃棄方法は業務のやり方が変更すると内容も変わってきます。

見落としがちになる為、必ず業務の流れを確認しながら見直しをしましょう。
特に注意すべき点としては、取り扱う個人情報や件数等が明確でないため、変更がないと思い込みがちですが、業務の進行方法(システムの導入、媒体、管理方法)が変わっていることを見落とすことがあります。

したがって、業務フローに従って見直しを行うことが重要です。

4.3.3.2法規制一覧

自社に該当する法令が変わっていたり、把握していた法令の改訂がある可能性があるので、1年に1回は最新状態にしましょう。

この項番では「法令」「国が定める指針」「その他の規範」を把握する必要があり、事業者が自らの業務に関連のある範囲で参照すべき法令等を特定しなければなりません。

事業者が遵守すべき「法令、国が定める指針その他の規範」を特定し、その内容を理解しておくことが重要になります。
どういうものが該当するかというと「法律や地方自治体が定める条例」「法律ではないが、国が定めて、事業者が遵守しなければならない通達や指針」「事業者が所属する業界団体などが定めるガイドライン」等を見直しする必要があります。

規格では 「3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置」に基づけばよく、利用目的が本人に対して通知または公表されていれば、同意を得ることは不要です。

ところが、自社の主務官庁や所属する業界団体が発行するガイドラインなどにおいて、お問い合わせフォームでの個人情報の取得においては、HP上で利用目的を通知し、HP上で同意を得ることを求めていた場合、それに従うことが必要です。

もし、あらかじめこれらのガイドラインの内容を理解しておくことができなければ同意を得ない、という大きなリスクを抱えることになります。

このように、個人情報に関わるリスク分析を実施する上では、事業者が遵守すべき「法令、国が定める指針その他の規範」を特定し、その内容を理解しておくことが重要になります。

5.3.3.3リスク分析の見直し

2.個人情報台帳の見直しや3.法規制一覧で更新した情報をもとに、リスクの見直し、対策の見直し、残留リスクの見直しをしましょう。

リスク分析の見直しは、個人情報保護をしていくときに大事なフェースです。

自社で取り扱っている個人情報がどんなリスクにさらされているのか、そのリスクに対して自社は何をしていくのかをここでしっかり決めましょう。

Pマークリスク分析表の作り方についてはこちらの記事で詳しく説明しております。
Pマークリスク分析表の作り方(サンプル事例付き)

6.3.3.6監査、教育計画

年間スケジュールでも計画はしていますが、ここでは監査と教育について、より詳細な計画を立てましょう。
特に管理者や事務局だけではなく、組織内の人を巻き込む必要があるので、無理のない計画を立てるようにしてください。

Pマーク審査前に気を付けることベスト48

Pマーク審査前に気を付けることベスト48

7.3.4.3.4委託先の見直し、評価

個人情報台帳の見直しなどによって、新たな委託先や現状の委託先の取り扱いしている個人情報や内容が変わっている可能性があります。
見直し、再評価を実施するようにしましょう。

委託先管理を簡単にする方法をこちらの記事で詳しく説明しております。
Pマークの委託先管理を簡単にするたった3つの方法

8.3.4.5認識(個人情報保護教育)

個人情報保護教育も忘れずに実施しましょう。
規格要求に記載のある4項目を、全従業員、必要な場合には関係者に教育を実施します。
教育を実施した記録と、各対象者の理解度をはかったテストなどを集めておくようにしてください。

個人情報保護教育の方法、手順を詳しく知りたい方はこちらの記事をご覧ください。
Pマーク教育の方法と手順|テストのサンプル付

9.3.7.1運用の確認

運用の確認は取得のときに決めた運用状況を各部門や各階層で確認するものです。
残留リスクが顕在化してないか、リスク対策が実施できているかなどを確認しましょう。
例えば入退室管理や来訪者管理などが、漏れなく実際に実施できているかを確認することです。

10.3.7.2監査

実施するべき監査は大きく分けて2点あります。
要求事項と文書を比較、評価する文書監査、文書・ルールやリスク分析で実施することに決めた対策と運用状況を比較、評価する運用監査の2点を実施しましょう。
作成した監査計画をもとに漏れなく実施できるようにしましょう。

11.3.7.3マネジメントレビュー

マネジメントレビューを実施しましょう。
個人情報保護マネジメントシステムの運用状況や組織を取り巻く状況などをトップにインプットしてアウトプットをもらいましょう。

特にトップの意思決定が必要になったときは注意です。トップのスケジュール調整が必要なため、前々から段取りして進めるようにしましょう。

マネジメントレビューの作り方についてはこちらの記事で詳しく解説しております。
Pマーク「マネジメントレビュー」の作り方をわかりやすく解説

12.3.8是正

わかりやすいところでは、8.運用の確認や9.監査ででてきた不適合や課題を再発しないように対策を打っておきましょう。
不適合や課題を見つけたのに放っておくというのは、運用の状態としてはよろしくありません。

13.Pマーク運用の要点

「プライバシーマーク(Pマーク)運用においてやること11点」を説明してきましたが、

その中でも年間のスケジュールを作成・個人情報管理台帳の見直し・リスク分析の見直しに特に重点をおきましょう!

年間スケジュールではまずは運用の計画を立てることにより、いつ誰が何をするのかが明確になり運用を進めやすくなります。
特に、個人情報管理台帳の見直し・リスク分析の見直しはリモートワーク等の業務のやり方も変わって来ている企業も多いため、業務フローから見直しすることで隠れていたリスクを把握することができます。

まとめ

「プライバシーマーク(Pマーク)運用において行うべき11のポイント」を説明してきました。 これらの11のポイントは、審査で必ず確認されるものです。全てを漏れなく実施できるよう、計画的に進めましょう。

さらに、2年に1回はこれに加えて、審査に向けた申請書類の作成や審査対応も必要になります。直前になって慌てて準備・・・なんてことがないよう、前もって準備を進めておきましょう。

 

ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真

  ← 記事の内容をまとめた動画はこちら!!

\ フォローしてね /

認証パートナーの
Youtubeチャンネル

\あわせて読みたい記事/

  • Pマーク取得企業がルール違反した!?事故発生後の流れも解説

    2024年2月19日

    Pマーク取得企業がルール違反した!?事故発生後の流れも解説

    Pマークを取得している企業がルール違反を犯した場合、顧客や関係者からの信頼を失う可能性があります。さらに、プライバシーマークの付与が取り消される可能性もあります。したがって、個人情報の適切な管理とルールの遵守は、企業の社会的責任であり、ビジネスを維持するための絶対条件です。

  • Pマークにおけるテレワークの注意事項!取得や更新に問題はない?

    2023年10月19日

    Pマークにおけるテレワークの注意事項!取得や更新に問題はない?

    Pマークはテレワーク導入企業でも取得できます。Pマーク取得企業がテレワークを行う際は、漏洩事故を防ぐためにも、リスク分析を行い、必要なルールを設定し、従業員に教育する必要があります。また、委託先の監督やルールの順守確認も重要です。

  • Pマークにおいての名刺の適切な取り扱い方法

    2023年4月25日

    Pマークにおいての名刺の適切な取り扱い方法

    Pマーク(プライバシーマーク)における名刺とは、利用目的の明確な同意の必要ない数少ない個人情報の例であり、保管方法や運搬方法が他の個人情報に比べ特殊な情報となっています。
    また、プライバシーマーク取得企業が名刺の作成を行う場合、名刺にはプライバシーマークの掲載や付与番号の記載が必要など制約があります。

一覧へ戻る

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用
役立つ資料をお届け
資料請求する

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。