Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

プライバシーマーク(Pマーク)審査の対策ポイント

2022年2月28日

プライバシーマーク(Pマーク)審査の対策ポイント

プライバシーマークの審査は形式審査・文書審査・現地審査の3段階に分かれますが、重点的に対策しておくべきなのは審査員が実際に来社する現地審査です。プライバシーマークにおけるトップインタビュー、業務ㇶアリング、記録類・安全管理対策の確認について対策ポイントをまとめました。

1.プライバシーマーク(Pマーク)審査の内容を知ろう

プライバシーマークを取得・更新するためには、審査機関による審査を受けなければなりません。

プライバシーマークの審査はJIPDEC(一般財団法人日本情報経済社会推進協会)でしか受けられないと思っている方もいらっしゃるのですが、
JIPDEC以外でも19の審査機関があります。
業種や地域などによって受けられる審査機関が変わります。
審査には段階があり、『形式審査』『文書審査』『現地審査』の3段階に分かれています。

①形式審査
申請書類を郵送して中身をチェックされる審査です。
チェックの際に不明点が生じたら、審査機関の事務局から連絡があります。(連絡方法は、電話かメールか選択できる審査機関が多いです)
申請書類に過不足や記載漏れ誤字脱字がないか、申請資格があるのかどうか、
審査を受けるに値する企業なのかの判断されます。

②文書審査
形式審査を通過できたら文書審査に進みます。
文書が審査基準(JIS規格)に適合しているか確認される審査です。
審査後、不適合や確認事項などの結果がまとめて返送されてきます。
もし不適合や確認事項があれば現地審査までに修正しておく必要があります。

③現地審査
審査員が実際に来社し、個人情報保護マネジメントシステム通りに体制が整備され運用ができているのか確認される審査です。

1日かけて審査が行われます。
下記「3.現地審査の項目別!対策ポイント」で具体的な対策を紹介します。

審査についてこちらの記事でも詳しく解説しています。
プライバシーマーク(Pマーク)の審査基準とは?落ちることはあるの?審査機関と付与機関の違いについても解説

2.現地審査のタイムスケジュール

よく質問をいただくのが、現地審査の1日のタイムスケジュールです。
多少の差異はありますが、概ね下記のスケジュールのように審査は進んでいきます。

08:45頃   審査員来社
09:00    審査開始
09:00-09:30 トップインタビュー(代表者へのヒアリング)
09:30-12:00 建物の状況確認、個人情報保護管理者または事務局等への確認
12:00-13:00 昼休憩
13:00-14:00 各部署への業務ヒアリング
14:00-16:30 プライバシーマーク(Pマーク)運用記録の確認
16:30-17:30 文書審査の結果確認
17:30-18:00 総評および、審査終了の挨拶

時間によって対応してもらう人物が変わることがあるので、事前に確認しておくと審査時にスムーズな対応ができます。

また、審査の数日前に、審査機関から当日の案内がメールで届きます。
当日のタイムスケジュールや準備物が書かれていますので、必ず目を通しておきましょう。

ダウンロード資料Pマーク審査の不安解消!審査で聞かれる質問事例集
ダウンロード資料Pマーク審査の不安解消!審査で聞かれる質問事例集

3.現地審査の項目別!対策ポイント

(1)トップインタビュー(代表者へのヒアリング)

審査のはじめにトップインタビューがあります。

審査員はまず代表者の考えを確認したいと考えています。

なぜプライバシーマークを取得・維持しているのか、
どういう方針で運用を行っているのか、
何をリスクと感じているのかなどを代表者に聞きます。

このインタビューで審査員は代表者の考えを把握し、
「今日の審査をどのように進めていくか」、「何を重点的に見ていくか」を決めていきます。

(2)業務ヒアリング

各部署で行っている業務内容や流れを確認する時間です。
「どういう書類を扱っているのか?」「どういうシステムを使っているのか?」など、
個人情報の管理方法や委託状況を審査員に説明する必要があります。

最近ではマイナンバーやテレワークの導入に伴い、運用方法が変わってきている会社も多いですよね。
そういった業務の変化についても審査員は質問してきますので、業務を詳しく把握して説明できるようにしておく必要があります。

説明するのは必ずしもプライバシーマーク担当者である必要はありません。
該当部署のメンバーにも立ち会ってもらって大丈夫です。

(3)記録類・安全管理対策への確認

新規取得審査の場合は1年間分、更新審査の場合は2年間分の記録を見られます。
審査員が見る視点は「マニュアル通りに運用されているのか」です。

現地審査での不適合の大部分はこの記録類・安全管理対策の部分で出されます。
したがって、作成した記録類が揃っているのか、最新のものに更新されているか、を事前にしっかり確認しておくのがよいでしょう。

記録の確認後、実際に現場・オフィス内を見られる場合もあります。

安全管理のルールに則って実務を行っているかをサンプリングでチェックされます。
例えばパソコンのスクリーンセーバの設定やウイルス対策ソフトの設定などです。

審査までにルールを再度確認し、そのルール通りに実施できているかをチェックしておきましょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

4.プライバシーマーク(Pマーク)認証のためのセキュリティ対策

プライバシーマーク(Pマーク)取得の際、必要になるのがセキュリティ対策です。

セキュリティは建物や事務所などハードだけではなく、パソコンに入っている情報などソフト面も重要になります。
基本の対策から時代に合わせた対応も求められますので、注意が必要です。

(1)カギの管理
何時に誰がオフィスのカギを開けたか、何時にカギを閉めたか、を把握する必要があります。
トラブル時に人がいたのか、また最終チェックが行われていたかによって必要な対応も異なります。
また、個人情報を含む書類は鍵のかかるスペースに保管し、閲覧できる人間を限定することでリスクを減らすことができます。

(2)来訪者の管理
誰が、いつからいつまでいたか、を把握しましょう。
何かが起きたときに原因を追究することができます。
また来訪者との打合せスペースに個人情報を置かない、というのも対策の1つとして考えられます。

(3)ウイルス対策ソフトの導入
ウイルス対策はパソコン利用の基本です。
必ずウイルス対策ソフトを導入しておきましょう。

(4)アクセスログの管理
データの情報漏洩事故があった場合、原因が内部なのか外部なのかも探る必要があります。そのため、サーバ等はアクセスログを取っておく必要があります。
最近ではクラウドサーバを使っている企業も多いと思いますが、ログ管理がどうなっているかは事前に把握しておく方が安心です。

(5)リモートワークの環境づくり
コロナ禍でリモートワークを導入している企業も多いと思います。リモートワークのデメリットは、「従業員が働いている環境が見えない」ことです。
そんなの当たり前だろうと思わず、パソコンの家族共用禁止や、フリーWi-fi禁止、といった考え方もルールに盛り込んだ方が安心です。

5.審査で慌てないために…コンサル会社によるサポートも検討してみる

「プライバシーマーク担当者が急に退職したので分かる人がいなくなった」
「審査直前になり書類の更新が出来ていないことが発覚した」

なんていうお問合せを多くいただきます。

そのような事態であわててつじつま合わせの対応をすると、通常業務の時間を大幅に削られてしまったり、
準備不足で審査でたくさん不適合が出てしまったり…なんてことが発生してしまいます。

そのような事態を防ぐために、自分たちで運用をやりながらも、
管理や作業は外注して審査直前に慌てるという事が無いような形態にするのもひとつの選択です。

よろしければこちらの記事も参考にしてください。
プライバシーマーク(Pマーク)取得支援を考えた時にコンサル会社を選ぶ5つのポイント

コンサルティングについて、弊社スリーエーコンサルティングの場合は月額4万円~でPマーク取得、運用サポートを提供しています。審査費用・コンサルティング費用の具体的な金額が知りたい方はお気軽にお見積り依頼ください。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

6.そもそもプライバシーマーク(Pマーク)のメリットは?

プライバシーマーク(Pマーク)を取得・維持するメリットは大きく3つになります。

① 顧客要求、入札の条件を満たすことが出来る
② 対外的なアピールになる
③ 社内の現状を把握し、ルールの統制がはかれる

詳しくは以下で御確認ください。
プライバシーマーク(Pマーク)を取得するメリットとデメリット

7.実はISMS(ISO27001)も似ている?Pマークと比較してみよう

プライバシーマーク(Pマーク)を取得する際、同時に検討されるのがISMS(ISO27001)です。
どちらも情報保護に関する認証だからです。

しかし、ISMS(ISO27001)とプライバシーマークは似て非なるものです。
目的、考え方、準拠する規格はもちろんですが、適用範囲の設定も異なります。

大きく違う点は、プライバシーマークでは個人情報が対象となるのに対し、ISMS(ISO27001)では個人情報を含む情報資産全般が対象となるところです。

詳しくはこちらのコラムをご覧ください。
プライバシーマーク(Pマーク)とISMSの違いを徹底比較!結局どっちが良いの?

まとめ

いかがでしたでしょうか。

プライバシーマーク(Pマーク)の審査は、『形式審査』『文書審査』『現地審査』の3段階に分かれています。

現地審査のスケジュールは、概ね9:00~18:00で、
時間によって必要なメンバーが変わることがあるので、
事前に確認しておくと審査時にスムーズな対応ができます。

プライバシーマーク(Pマーク)審査項目ごとの対策としては、

(1)トップインタビュー
(2)業務ヒアリング
(3)記録類・安全管理対策への確認 を抑えておくといいでしょう。

審査で慌てないためにコンサル会社によるサポートを検討してみるのも一つの手です。

定期的に個人情報が正しく取り扱えていることを証明することが目的ということを忘れずに、
プライバシーマーク(Pマーク)の更新準備や審査準備を計画的に進めていきましょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。