2024年11月12日
Pマークの入退室管理・来客記録とは?適切な管理方法
Pマーク(プライバシーマーク)を取得するには、個人情報の適切な取り扱いが求められますが、その一環として、入退室管理と来客記録が重要な役割を果たします。
入退室管理とは、誰がいつどこに出入りしたかを把握する仕組みで、来客記録は、来訪者の氏名、所属、訪問目的などを記録するものです。
適切なシステムや手順を導入し、継続的に運用することが求められます。
2022年12月23日
Pマークの審査に落ちるという概念は原則ありません。審査は個人情報漏洩のリスクがないかを確認し、必要な改善をすることが目的であるためです。Pマークの審査で落ちるのは、「費用未払い」「期限を守らない」「虚偽申請」等が該当します。
Pマークの審査は「形式審査」「文書審査」「現地審査」の3つに分けて実施されます。
審査では落とすことが目的ではありません。審査を通じて課題がある点を指摘し、改善することが目的となります。
審査機関へ提出した書類のチェックから始まり、ルールの適合性のチェック、最終は現場での審査によってPマークの付与を決定していきます。
Pマークで行われる3つの審査について、それぞれ簡単に説明します。
Pマークを取得、更新するためには、審査機関へ申請書類という申込書を書面で提出する必要があります。
申込書と合わせて、自社で作成したマニュアル類、現場で利用するフォーマットを提出する必要があります。提出物に不備はないか、足りない書類がないかの受入チェックが「形式審査」になります。
PマークはJISQ15001の要求事項があり、そこにたくさんの基準が記載されています。
「Pマーク側が求めているルールが記載できているのか」のチェックが文書審査となります。
マニュアル、規程の内容が足りなかったり、間違っていたりすると、実際の運用にも影響がでてしまうためです。文書審査の指摘は現地審査までに修正して、現地審査当日に修正内容を審査員に確認してもらいます。
実際に会社1拠点に審査員が2名来て、取得、更新までに作成した記録や運用状況の確認を実施します。
個人情報は漏れなく特定されているか、業務内容を聞きながら、個人情報の漏洩リスクがないかどうかを確認し、このままでは漏洩が起きるかもしれないという観点から不適合が出されます。
3つの審査を完了し、出された不適合の宿題を改善することで、個人情報を保護する一定以上の基準が担保できる状態であると判断され、Pマークが付与、更新されます。
Pマーク審査の詳しい流れや準備物を知りたい方は下記URLもご参考ください。
Pマークの審査では合格、不合格があるわけではないため、「落ちる」という概念がありません。しかし、当然のようにやってはいけないこともあります。
申請書、現地審査料、付与登録料と3回に分けて費用を支払う必要があります。
Pマーク取得、更新のための費用を支払わなければ当然Pマークを取得、更新することはできません。
現地審査終了後に、審査員から不適合という改善すべき宿題が出され、提出期日が定められています。
数回の書面のやり取りを実施しますが、半年たっても改善が見られない場合は、取得、更新の意思がないと判断されます。
また、Pマーク取得後は、申請書類を提出する期限も出てきます。こういった期日も注意してみる必要があります。
審査料金は人数によって変動するため、従業者人数を偽って現地審査料金を安くしようとするような虚偽の申請があると当然ペナルティとなります。
申請書送付時点の従業者人数は参考程度となり、最終決定は現地審査を実施しての判断となります。
Pマークを取りたい、更新していきたいという意思がある企業に対して、審査を落としてくることはありませんのでご安心ください。
さらに詳しく知りたい方は下記URLもご参考ください。
Pマークでは個人情報を保護していくために、必要なルールの設定や残すべき記録が決まっています。
会社の個人情報を一覧にした個人情報管理台帳をはじめ、それに伴ったリスク分析の見直し、委託先の評価、法令の見直し、教育の記録、内部監査の記録、マネジメントレビューの記録などが必須のものとなっています。
記録は最低年1回見直したものをデータでもよいので残しておく必要があります。
その他にも個人情報取得時の同意書や入社時の誓約書、従業者の最初入出最終退出記録、外部来訪者の記録など実施すべき事項はたくさんあります。
現地審査では、2名の審査員が来訪されます。
新規取得であれば取得までに作成したマニュアルや記録類、
更新であれば最新版のマニュアルや規程類、2年分の記録の準備が必要です。
審査がスムーズに進むよう、審査員用の資料を準備する方がスムーズかもしれません。
当日参加する従業者用の記録も必要であれば印刷します。
その会社の実施方法に合わせて、大きなモニターに映して審査員へ見やすくする方法でも対応は可能です。
審査では、書類を紙で印刷しなければならない、と言うルールはありません。自社にあった方法でマニュアルと記録をいつでも見れる状態を維持しましょう。
その他、申請書では提出が必要でなかった実際に取得している記録も準備しておく必要があります。
例えば、面接時の同意書や従業者の誓約書、教育テスト、従業者の入退出記録、来訪者の記録が確認出来る様準備が必要です。従業者人数が多く部署を跨いで保管している、等保管場所が違う場合は、数名分のサンプルを準備して望んでいる企業もあります。
また審査当日は、審査員が実際に社内の見回りをする時間もあります。PCのパスワード桁数、スクリーンセーバー設定がルール通りか、PCに付箋でパスワードが張られていないか、離席時に個人情報が放置されていないかは現地審査前日に社内へ周知しておきましょう。
審査と聞くと合格、不合格があるように感じますが、Pマークを取得する、更新する姿勢が重要となります。
落ちないと言っても、審査のために実施する項目は非常に多岐にわたります。
単純な疑問から実際の運用について、認証パートナーまでお気軽にご連絡ください。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください