Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

プライバシーマーク(Pマーク)の現地審査について

2019年7月7日

Pマーク(プライバシーマーク)取得、更新をしていく中で必ず通らなければならない「現地審査」。
本日は現地審査から不適合の指摘および改善、その後の手続きについて、特に不適合の指摘および改善に焦点をあてていきたいと思います。

現地審査とは何をするものなの?

その前にそもそも現地審査とは何をするものなのか。大きく分けて4つあります。

①代表者へのインタビュー

代表者へのインタビューで今現在代表者として感じている、個人情報に対するリスクの確認やPMS(個人情報保護マネジメントシステム)の運用における代表者による見直しでどのようなことを行ったかを確認します。

②運用状況の確認

担当者へヒヤリングを行います。

・事業概要、業務フローの説明、個人情報の特定について、リスクの認識、分析、対策
・個人情報を取得、利用、本人へのアクセス、第三者に提供する場合の措置
・委託時の措置(委託先選定基準、委託契約)
・本人からの要求に対する対応
・教育
・運用の確認、監査
・是正及び予防措置
・事業者の代表者による見直し

③現場での運用状況確認

実際に現場の立ち合いを行って確認します。

・個人情報保護方針の周知状況
・物理的安全管理措置
・建物、室、サーバー室等の入退館(室)管理
・盗難等の防止
・機器・装置の物理的な保護
・技術的安全管理措置
・アクセス時の識別と認証(アクセス認証、デフォルト設定の変更状況、ID、パスワード等の発行・更新・廃棄)
・アクセス制御、アクセス権限の管理、アクセスの記録
・不正ソフトウェア対策(ウィルス対策ソフトウェア、セキュリティパッチ等)
・移送・通信時の対策(授受確認、取得時・移送時の暗号化、クロスサイトスクリプティングやSQLインジェクションなどへの対策)
・情報システムの動作確認時の対策

④統括

まとめ、指摘事項等

①~③を確認したのち④の総括で是正が必要な箇所に「指摘」を受けますが、この「指摘」事項への改善対応の報告は、「プライバシーマーク付与適格性審査の実施基準(PMK220)」2.9.2の規定により改善の指摘を送付(否認の決定)の日から3ヶ月以内に行わなければならず、「再指摘事項」がある場合は、否認の決定をすることになりますが、実際には「再審査指摘」を受けた場合は、1ヶ月以内に改善報告書を再提出するように運用しなければならないのです。

しかも、6か月以内で指摘事項の改善を完了させなければならないというルールがもうけられています。
この期限が設けられたことにより、何が大きく変わるかというと、現地審査後にあまり時間をかけられないということです。
つまり、指摘事項が多ければ多いほど、作業が重くなってしまうというわけです。

不適合の指摘および改善

ここからは不適合の指摘および改善に焦点です。

指摘事項の数(指摘数)は、できるだけ少なくしたいのが本音です。
そのためにも、指摘事項の傾向やポイントをおさえ、指摘を少なくし、早く楽に対応できるようにしたいですよね。

指摘数は、地域によっても多少の違いがあります。
主要な都市で比較すると、指摘数の多い順に、東京、大阪、愛知と並びます。
同じ規格をもとに審査をしているはずなのに、違いが出てくるのは、もちろん審査員さん個人の見解による違いもありますが、やはり地域別の傾向があるということだと思います。

どういうところに差が出てくるのかと言いますと、一つの例としては言葉の表現の違いが指摘事項となるかどうかです。

具体的に例を出すと、「監査員」と「監査人」の違いについての指摘が過去にありました。
どのように指摘されたのかというと、『「監査員」と「監査人」を使い分けているのなら、違いを分かりやすく定義しなさい』というような指摘です。

上記の指摘は、実際に東京で出された指摘なのですが、これが、愛知や大阪では、現地審査の時に、「記載ミスです」の一言で見逃してもらえることがあります。

また、指摘事項にも流行りがあります。
少し前までは、ウェブページに関する指摘がかなりの確率でありました。

その中でも最も多いのが、「暗号化措置を講じなさい」という指摘です。
具体例を言うと、ウェブページのお問い合わせ画面がSSL化されていないという指摘です。

これはSSL化されていなかったら必ず言われていました。
ネットワークからハッキングなどによる情報漏えいもあるようなので、厳しくなってきている部分です。

まとめ

指摘事項はゼロにすることは、ほぼ不可能です。
審査員さんも仕事で指摘を出すために審査しに来ますので、指摘事項をどのように対応していくかが重要な部分になってきます。

手間をかけないことを重視するのか、早くに終わらせることを重視するのか、今後の運用も考えて改善することを重視するのか。

指摘事項の改善には正解は何通りもあります。他社の事例は参考程度にして、今後自社に合った運用ができるような改善をするのが、もちろんベストな方法ではありますが、書類作成の手間や、運用の手間も考えなければいけません。

通常業務に影響が出ないように、なおかつPマーク(プライバシーマーク)の運用が滞らないように、日々改善を続けていかなければいけませんね。

\ お問い合わせフォームはこちら /
WEBお問い合わせ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。