Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

Pマーク(プライバシーマーク)の取得及び運用する際に必ず必要となる記録類

2019年8月6日

今回は、「Pマーク(プライバシーマーク)の取得及び運用する際に必ず必要となる記録類」について詳しくお話しさせて頂きます。

記録とは、

①個人情報の特定
②法令、国が定める指針その他の規範
③リスクなどの認識、分析及び対策
④委託先の記録
⑤教育
⑥監査
⑦事業者の代表者の見直し

の7つのことを言います。では、細かく見てみましょう。

①個人情報の特定とは?

簡単にいうと、事業で使用している個人情報を特定することです。

多くの会社で使用されているのが、「個人情報管理台帳」というもので、事業で使用された個人情報を特定したものを台帳にしたものです。個人情報を整理、管理するためのものでもあります。

例えば、採用の際に取得する「履歴書」や「職務経歴書」などが挙げられます。
その項目の「利用目的」「保管場所」「保管方法(鍵付きキャビネットなど)」「管理者」「利用期限」「件数(概算)」を台帳に記入していきます。紙で使用するものだけでなくデータで管理しているものもここに記載しておきましょう。

②法令、国が定める指針その他の規範とは?

ここでは、事業者の自らの業務に関わる範囲の個人情報に関する法令を特定しなければなりません。
そして、改正されればその最新版を維持していきます。

「その他の規範」とは、業界のガイドラインや顧客の要求のことを言いますので、ここには法令のみを特定していくものではありません。

③リスクなどの認識、分析及び対策

ここでは、①個人情報の特定(個人情報管理台帳)との関連性が必要とされます。

①で特定された個人情報の各局面のリスク(漏えい、き損、法令の違反など)を認識し、リスクを起こさない為の対策をしていきます。

リスクを漏れなく洗い出すためには、個人情報の取得から廃棄までの流れに基づいて、対策を講じいくことが必要です。
取得から廃棄について分かりにくい方は、自身のお仕事の流れを想像してみてください。

人材派遣業界の方の場合、1つの例として挙げます。

まず、登録しに来られた方の履歴書をいただく(取得)
→それを自社サーバーに打ち込む(入力)
→履歴書は鍵付きのキャビネットに保管しておく(保管)
→その方のデータを派遣先の企業にメールで送る(送信)
→辞めることになった方の履歴書はシュレッダーで廃棄する(廃棄)
という一連の流れとなる。

この、取得から廃棄までで起こるであろうリスクを考えないといけない。

だが、対策をするにも費用面、業務効率が犠牲となることがあるだろう。
その際には、無理に対策をするのではなく、現状で講じるべき対策を講じた上で未対応の部分を「残存リスク」として把握し、対策していかなければいけません(対策不可能なことまでは対策はしなくてよい)。

④委託先の監督

ここでは、個人情報の取扱いを委託する場合は、十分な個人情報の保護基準を満たしている者を選定しなければいけません。

ですが、人材派遣契約は個人情報の取扱いの委託には含まれず、要求事項の対象外なのです。
また、清掃事業者、機器のメンテナンス事業者、警備会社等との契約も個人情報の取扱いがない限りは対象外に当たります。

ただし、個人情報に触れる可能性かある委託先に関しては、立ち入る範囲を定めたり、守秘義務を盛り込んだ契約を交わしたりすることが望ましいですね。

⑤教育

教育は、すべての従業員に実施しなければいけません。
直接に個人情報の取扱いをしていない部署であっても、実施義務があります。
教育では集合教育、eラーニングなど事業者にとってやりやすい方法で行えばよいです。

教育は少なくとも年1回、必ず実施しなければいけませんのでお忘れなく。

⑥監査

監査とは、“個人情報マネジメントシステムと適合したマニュアルが作成できているか”、“このマニュアルに乗っ取った運用ができているか”を確認するものです。

全部門の監査が必要ですので少し大変な作業となりますね。

この監査の責任者でもある個人情報保護監査責任者になれるのは、客観的な立場にあるものを内部の中から指名した人です。
なので、個人情報保護責任者、代表者(社長)はなることが出来ません。

そして、客観的なという観点から自分が所属している部署監査を行うこともできません。ここは間違いやすいので注意しておきましょう。

そして監査も少なくとも年1回必ず実施しなければいけないのでお忘れなく。

⑦事業者の代表者の見直し

事業者の代表者は定期的にマネジメントシステムを見直さなければいけない。
監査で出た指摘の確認や、外部からの苦情への対応についても言及することがある。

検討結果次第では、今後の事業計画への影響も考えられるため、経営判断が求められることがある場合もあります。
なので、ただ日々を改善するというものとは次元が異なること知っていていただきたいです。

最後に

いかがでしたか。

7つの記録の要素、1つ1つ並べてみるとつながっているものが多々ありますので、「整合性」が求められます。
記録を作成する際は「整合性」を確認しながら作成していくと良いですね。

今回は以上で「Pマーク(プライバシーマーク):Pマーク(プライバシーマーク)の取得及び運用する際に必ず必要となる記録類」のお話を終わらせていただきます。

\ お問い合わせフォームはこちら /
WEBお問い合わせ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。