2019年7月7日
Pマーク(プライバシーマーク)取得、更新をしていく中で必ず通らなければならない「現地審査」。
本日は現地審査から不適合の指摘および改善、その後の手続きについて、特に不適合の指摘および改善に焦点をあてていきたいと思います。
現地審査とは何をするものなの?
その前にそもそも現地審査とは何をするものなのか。大きく分けて4つあります。
①代表者へのインタビュー
代表者へのインタビューで今現在代表者として感じている、個人情報に対するリスクの確認やPMS(個人情報保護マネジメントシステム)の運用における代表者による見直しでどのようなことを行ったかを確認します。
②運用状況の確認
担当者へヒヤリングを行います。
・事業概要、業務フローの説明、個人情報の特定について、リスクの認識、分析、対策
・個人情報を取得、利用、本人へのアクセス、第三者に提供する場合の措置
・委託時の措置(委託先選定基準、委託契約)
・本人からの要求に対する対応
・教育
・運用の確認、監査
・是正及び予防措置
・事業者の代表者による見直し
③現場での運用状況確認
実際に現場の立ち合いを行って確認します。
・個人情報保護方針の周知状況
・物理的安全管理措置
・建物、室、サーバー室等の入退館(室)管理
・盗難等の防止
・機器・装置の物理的な保護
・技術的安全管理措置
・アクセス時の識別と認証(アクセス認証、デフォルト設定の変更状況、ID、パスワード等の発行・更新・廃棄)
・アクセス制御、アクセス権限の管理、アクセスの記録
・不正ソフトウェア対策(ウィルス対策ソフトウェア、セキュリティパッチ等)
・移送・通信時の対策(授受確認、取得時・移送時の暗号化、クロスサイトスクリプティングやSQLインジェクションなどへの対策)
・情報システムの動作確認時の対策
④統括
まとめ、指摘事項等
①~③を確認したのち④の総括で是正が必要な箇所に「指摘」を受けますが、この「指摘」事項への改善対応の報告は、「プライバシーマーク付与適格性審査の実施基準(PMK220)」2.9.2の規定により改善の指摘を送付(否認の決定)の日から3ヶ月以内に行わなければならず、「再指摘事項」がある場合は、否認の決定をすることになりますが、実際には「再審査指摘」を受けた場合は、1ヶ月以内に改善報告書を再提出するように運用しなければならないのです。
しかも、6か月以内で指摘事項の改善を完了させなければならないというルールがもうけられています。
この期限が設けられたことにより、何が大きく変わるかというと、現地審査後にあまり時間をかけられないということです。
つまり、指摘事項が多ければ多いほど、作業が重くなってしまうというわけです。
不適合の指摘および改善
ここからは不適合の指摘および改善に焦点です。
指摘事項の数(指摘数)は、できるだけ少なくしたいのが本音です。
そのためにも、指摘事項の傾向やポイントをおさえ、指摘を少なくし、早く楽に対応できるようにしたいですよね。
指摘数は、地域によっても多少の違いがあります。
主要な都市で比較すると、指摘数の多い順に、東京、大阪、愛知と並びます。
同じ規格をもとに審査をしているはずなのに、違いが出てくるのは、もちろん審査員さん個人の見解による違いもありますが、やはり地域別の傾向があるということだと思います。
どういうところに差が出てくるのかと言いますと、一つの例としては言葉の表現の違いが指摘事項となるかどうかです。
具体的に例を出すと、「監査員」と「監査人」の違いについての指摘が過去にありました。
どのように指摘されたのかというと、『「監査員」と「監査人」を使い分けているのなら、違いを分かりやすく定義しなさい』というような指摘です。
上記の指摘は、実際に東京で出された指摘なのですが、これが、愛知や大阪では、現地審査の時に、「記載ミスです」の一言で見逃してもらえることがあります。
また、指摘事項にも流行りがあります。
少し前までは、ウェブページに関する指摘がかなりの確率でありました。
その中でも最も多いのが、「暗号化措置を講じなさい」という指摘です。
具体例を言うと、ウェブページのお問い合わせ画面がSSL化されていないという指摘です。
これはSSL化されていなかったら必ず言われていました。
ネットワークからハッキングなどによる情報漏えいもあるようなので、厳しくなってきている部分です。
まとめ
指摘事項はゼロにすることは、ほぼ不可能です。
審査員さんも仕事で指摘を出すために審査しに来ますので、指摘事項をどのように対応していくかが重要な部分になってきます。
手間をかけないことを重視するのか、早くに終わらせることを重視するのか、今後の運用も考えて改善することを重視するのか。
指摘事項の改善には正解は何通りもあります。他社の事例は参考程度にして、今後自社に合った運用ができるような改善をするのが、もちろんベストな方法ではありますが、書類作成の手間や、運用の手間も考えなければいけません。
通常業務に影響が出ないように、なおかつPマーク(プライバシーマーク)の運用が滞らないように、日々改善を続けていかなければいけませんね。
\ お問い合わせフォームはこちら /
WEBお問い合わせ
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!相談予約は
こちらから
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ