Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

プライバシーマーク(Pマーク)のためのPMS運用とは?

スタッフ写真
スタッフ写真

2022年1月6日

プライバシーマーク(Pマーク)のためのPMS運用とは?

プライバシーマーク(Pマーク)は、1度審査に合格にしたから終わりでなく、継続的にPDCAを回しながら個人情報保護のための運用が求められ、これをPMS運用と呼びます。
プライバシーマーク(Pマーク)は取得後もPMS運用をしながら、関連法令をチェックし常に最新の状態にしたマニュアルやルールでPDCAを回して個人情報保護を高めていくものです。

1.プライバシーマーク(Pマーク)とは

プライバシーマーク(Pマーク)とは、事業者が個人情報について適切に取り扱っているかを第三者機関によって評価(審査)される制度のことです。
簡単に言えば個人に運転免許証があるように、企業や団体にも取得する資格があり、個人情報の取扱いに特化した資格がプライバシーマーク(Pマーク)と思ってください。

2.プライバシーマーク(Pマーク)は取得して終わりじゃない

プライバシーマーク(Pマーク)は一度認証取得して終わりではなく、継続的にPDCAを回しながら個人情報保護のための運用が求められます。これをPMS運用と呼ぶケースがあります。

またプライバシーマーク(Pマーク)には運転免許証のように有効期限があります。
プライバシーマーク(Pマーク)の取得後 2年間が有効期限で、免許証更新のように現地審査があります。

更新審査で見られることは個人情報保護に向けて運用できているかです。
具体的に更新審査では2年間の運用ができているかを運用記録をもとに見られます。
これによって個人情報の取扱に問題がないかをチェックされます。

近年、個人情報保護への関心の高まりもあり、制定・施行された法律・政令を事業者が遵守できているかもみれるようになっています。
個人でも運転免許証の更新時に前回の免許更新時に以降に制定・施行された道路交通法のアナウンスがあるのと似たようなものです。

更新審査を受けたあとには必ず指摘事項文書が届きます。
取得時の審査でも届きますが、内容的には現地審査での改善事項がまとまっています。
この指摘事項に対応することで次からの運用をより良くしていくものにします。

3.プライバシーマーク(Pマーク)運用の4つのポイント

(1)毎年最低1回は個人情報の見直しが必要

新規事業を開始したり、逆に事業を撤退することで取扱う個人情報の種類や量が増減することがあります。
最低でも年1回、管理している個人情報の一覧を見直して管理しなくなったものは削除し新規追加や取扱量の増減の反映をしなければなりません。
ここで最低1回というところがポイントです。
新規事業の開始のタイミングによっては個人情報の見直しが1年先ってこともあるので、そういった場合は随時、管理している個人情報の一覧の更新かけてくださいという意図があります。

(2)個人情報保護法の改訂に伴いマニュアルやルールを変更しなければならない

国に憲法があり法律・政令が従う形であるように、プライバシーマーク(Pマーク)の運用マニュアルやルールは前述した通り制定・施行された法律・政令を反映させて改定していくことになります。
法令を遵守していない個人情報保護のマニュアルやルールを運用したところで意味がない状況になります。
また国や業界団体が個人情報の取扱に関するガイドラインを公布していることもあります。自社に該当するかを確認し必要があれば反映することでより個人情報保護に向けたのマニュアルやルールを作成することができます。

(3)内部監査で適合性のチェックが必要

適合性のチェックとは「JIS Q 15001個人情報保護マネジメントシステム-要求事項」というプライバシーマーク(Pマーク)の運用マニュアルやルールが実際に事業者で作成したマニュアルで満たされているかをチェックするものです。

「JIS Q 15001で要求されているルールが満たされていないと作成したマニュアルやルールに意味がないですよね」ということです。

難しい表現でしたが料理のレシピで考えると簡単かと思います。
史上最高においしいハンバーグを作るためのレシピがあるとします。
更においしいオリジナルのハンバーグをレシピを作る上で、史上最高においしいハンバーグを構成する要素を1つずつ守っているかチェックします。
このチェックで「史上最高においしいハンバーグを構成する要素を守っている」ということが適合という意味です。適合していないハンバーグを作ってもベースが史上最高でないので、そもそも史上最高を超えるレシピにならないということです。

まとめるとオリジナルレシピが史上最高レシピの要素を満たしているかをチェックすることが、自社のマニュアルやルールが「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合しているかのチェックすることのイメージです。

(4)代表者への報告が義務付けられている

PDCAを回して最後には必ず代表者へ運用状況を報告します。
理由は個人情報保護にあたってトップがリードして守るような体制を『A.3.2 個人情報保護方針』で宣言する形になっています。そのため運用状況での問題点や内部監査での指摘事項などを良いところ、悪いところを
含めて代表者に報告することで次のPDCAを回す指示が出せるような仕組みになっています。

ダウンロード資料プライバシーマーク漏洩事故を起こさないための 個人情報保護体制チェックシート
ダウンロード資料プライバシーマーク漏洩事故を起こさないための 個人情報保護体制チェックシート

4.まとめ

プライバシーマーク(Pマーク)は、1度審査に合格にしたから終わりでなく、継続的にPDCAを回しながら個人情報保護のための運用が求められます。
取得後も運用をしながら、関連法令をチェックし常に最新の状態にしたマニュアルやルールでPDCAを回して個人情報保護を高めていきましょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。