2022年2月28日
プライバシーマークの審査は形式審査・文書審査・現地審査の3段階に分かれますが、重点的に対策しておくべきなのは審査員が実際に来社する現地審査です。プライバシーマークにおけるトップインタビュー、業務ㇶアリング、記録類・安全管理対策の確認について対策ポイントをまとめました。
1.プライバシーマーク(Pマーク)審査の内容を知ろう
プライバシーマークを取得・更新するためには、審査機関による審査を受けなければなりません。
プライバシーマークの審査はJIPDEC(一般財団法人日本情報経済社会推進協会)でしか受けられないと思っている方もいらっしゃるのですが、
JIPDEC以外でも19の審査機関があります。
業種や地域などによって受けられる審査機関が変わります。
審査には段階があり、『形式審査』『文書審査』『現地審査』の3段階に分かれています。
①形式審査
申請書類を郵送して中身をチェックされる審査です。
チェックの際に不明点が生じたら、審査機関の事務局から連絡があります。(連絡方法は、電話かメールか選択できる審査機関が多いです)
申請書類に過不足や記載漏れ誤字脱字がないか、申請資格があるのかどうか、
審査を受けるに値する企業なのかの判断されます。
②文書審査
形式審査を通過できたら文書審査に進みます。
文書が審査基準(JIS規格)に適合しているか確認される審査です。
審査後、不適合や確認事項などの結果がまとめて返送されてきます。
もし不適合や確認事項があれば現地審査までに修正しておく必要があります。
③現地審査
審査員が実際に来社し、個人情報保護マネジメントシステム通りに体制が整備され運用ができているのか確認される審査です。
1日かけて審査が行われます。
下記「3.現地審査の項目別!対策ポイント」で具体的な対策を紹介します。
審査についてこちらの記事でも詳しく解説しています。
プライバシーマーク(Pマーク)の審査基準とは?落ちることはあるの?審査機関と付与機関の違いについても解説
2.現地審査のタイムスケジュール
よく質問をいただくのが、現地審査の1日のタイムスケジュールです。
多少の差異はありますが、概ね下記のスケジュールのように審査は進んでいきます。
08:45頃 審査員来社
09:00 審査開始
09:00-09:30 トップインタビュー(代表者へのヒアリング)
09:30-12:00 建物の状況確認、個人情報保護管理者または事務局等への確認
12:00-13:00 昼休憩
13:00-14:00 各部署への業務ヒアリング
14:00-16:30 プライバシーマーク(Pマーク)運用記録の確認
16:30-17:30 文書審査の結果確認
17:30-18:00 総評および、審査終了の挨拶
時間によって対応してもらう人物が変わることがあるので、事前に確認しておくと審査時にスムーズな対応ができます。
また、審査の数日前に、審査機関から当日の案内がメールで届きます。
当日のタイムスケジュールや準備物が書かれていますので、必ず目を通しておきましょう。
3.現地審査の項目別!対策ポイント
(1)トップインタビュー(代表者へのヒアリング)
審査のはじめにトップインタビューがあります。
審査員はまず代表者の考えを確認したいと考えています。
なぜプライバシーマークを取得・維持しているのか、
どういう方針で運用を行っているのか、
何をリスクと感じているのかなどを代表者に聞きます。
このインタビューで審査員は代表者の考えを把握し、
「今日の審査をどのように進めていくか」、「何を重点的に見ていくか」を決めていきます。
(2)業務ヒアリング
各部署で行っている業務内容や流れを確認する時間です。
「どういう書類を扱っているのか?」「どういうシステムを使っているのか?」など、
個人情報の管理方法や委託状況を審査員に説明する必要があります。
最近ではマイナンバーやテレワークの導入に伴い、運用方法が変わってきている会社も多いですよね。
そういった業務の変化についても審査員は質問してきますので、業務を詳しく把握して説明できるようにしておく必要があります。
説明するのは必ずしもプライバシーマーク担当者である必要はありません。
該当部署のメンバーにも立ち会ってもらって大丈夫です。
(3)記録類・安全管理対策への確認
新規取得審査の場合は1年間分、更新審査の場合は2年間分の記録を見られます。
審査員が見る視点は「マニュアル通りに運用されているのか」です。
現地審査での不適合の大部分はこの記録類・安全管理対策の部分で出されます。
したがって、作成した記録類が揃っているのか、最新のものに更新されているか、を事前にしっかり確認しておくのがよいでしょう。
記録の確認後、実際に現場・オフィス内を見られる場合もあります。
安全管理のルールに則って実務を行っているかをサンプリングでチェックされます。
例えばパソコンのスクリーンセーバの設定やウイルス対策ソフトの設定などです。
審査までにルールを再度確認し、そのルール通りに実施できているかをチェックしておきましょう。
4.プライバシーマーク(Pマーク)認証のためのセキュリティ対策
プライバシーマーク(Pマーク)取得の際、必要になるのがセキュリティ対策です。
セキュリティは建物や事務所などハードだけではなく、パソコンに入っている情報などソフト面も重要になります。
基本の対策から時代に合わせた対応も求められますので、注意が必要です。
(1)カギの管理
何時に誰がオフィスのカギを開けたか、何時にカギを閉めたか、を把握する必要があります。
トラブル時に人がいたのか、また最終チェックが行われていたかによって必要な対応も異なります。
また、個人情報を含む書類は鍵のかかるスペースに保管し、閲覧できる人間を限定することでリスクを減らすことができます。
(2)来訪者の管理
誰が、いつからいつまでいたか、を把握しましょう。
何かが起きたときに原因を追究することができます。
また来訪者との打合せスペースに個人情報を置かない、というのも対策の1つとして考えられます。
(3)ウイルス対策ソフトの導入
ウイルス対策はパソコン利用の基本です。
必ずウイルス対策ソフトを導入しておきましょう。
(4)アクセスログの管理
データの情報漏洩事故があった場合、原因が内部なのか外部なのかも探る必要があります。そのため、サーバ等はアクセスログを取っておく必要があります。
最近ではクラウドサーバを使っている企業も多いと思いますが、ログ管理がどうなっているかは事前に把握しておく方が安心です。
(5)リモートワークの環境づくり
コロナ禍でリモートワークを導入している企業も多いと思います。リモートワークのデメリットは、「従業員が働いている環境が見えない」ことです。
そんなの当たり前だろうと思わず、パソコンの家族共用禁止や、フリーWi-fi禁止、といった考え方もルールに盛り込んだ方が安心です。
5.審査で慌てないために…コンサル会社によるサポートも検討してみる
「プライバシーマーク担当者が急に退職したので分かる人がいなくなった」
「審査直前になり書類の更新が出来ていないことが発覚した」
なんていうお問合せを多くいただきます。
そのような事態であわててつじつま合わせの対応をすると、通常業務の時間を大幅に削られてしまったり、
準備不足で審査でたくさん不適合が出てしまったり…なんてことが発生してしまいます。
そのような事態を防ぐために、自分たちで運用をやりながらも、
管理や作業は外注して審査直前に慌てるという事が無いような形態にするのもひとつの選択です。
よろしければこちらの記事も参考にしてください。
プライバシーマーク(Pマーク)取得支援を考えた時にコンサル会社を選ぶ5つのポイント
コンサルティングについて、弊社スリーエーコンサルティングの場合は月額4万円~でPマーク取得、運用サポートを提供しています。審査費用・コンサルティング費用の具体的な金額が知りたい方はお気軽にお見積り依頼ください。
6.そもそもプライバシーマーク(Pマーク)のメリットは?
プライバシーマーク(Pマーク)を取得・維持するメリットは大きく3つになります。
① 顧客要求、入札の条件を満たすことが出来る
② 対外的なアピールになる
③ 社内の現状を把握し、ルールの統制がはかれる
詳しくは以下で御確認ください。
プライバシーマーク(Pマーク)を取得するメリットとデメリット
7.実はISMS(ISO27001)も似ている?Pマークと比較してみよう
プライバシーマーク(Pマーク)を取得する際、同時に検討されるのがISMS(ISO27001)です。
どちらも情報保護に関する認証だからです。
しかし、ISMS(ISO27001)とプライバシーマークは似て非なるものです。
目的、考え方、準拠する規格はもちろんですが、適用範囲の設定も異なります。
大きく違う点は、プライバシーマークでは個人情報が対象となるのに対し、ISMS(ISO27001)では個人情報を含む情報資産全般が対象となるところです。
詳しくはこちらのコラムをご覧ください。
プライバシーマーク(Pマーク)とISMSの違いを徹底比較!結局どっちが良いの?
まとめ
いかがでしたでしょうか。
プライバシーマーク(Pマーク)の審査は、『形式審査』『文書審査』『現地審査』の3段階に分かれています。
現地審査のスケジュールは、概ね9:00~18:00で、
時間によって必要なメンバーが変わることがあるので、
事前に確認しておくと審査時にスムーズな対応ができます。
プライバシーマーク(Pマーク)審査項目ごとの対策としては、
(1)トップインタビュー
(2)業務ヒアリング
(3)記録類・安全管理対策への確認 を抑えておくといいでしょう。
審査で慌てないためにコンサル会社によるサポートを検討してみるのも一つの手です。
定期的に個人情報が正しく取り扱えていることを証明することが目的ということを忘れずに、
プライバシーマーク(Pマーク)の更新準備や審査準備を計画的に進めていきましょう。
ISO・Pマークについてのお悩みはありませんか?
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
新規取得・運用別に
役立つ資料をお届けします
新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ