Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

Pマーク(プライバシーマーク)の要求事項っていったい何?

2019年8月6日

さて、今回のお題は“Pマーク(プライバシーマーク)の要求事項っていったい何?”です。

過去にPマーク(プライバシーマーク)の審査を受けたことがある方は耳にしたことがあるかもしれませんが、審査中に審査員の方が「要求事項では~」や「JISでは~」もしくは「3.3.1の~では」とよく言われます。

審査中に「要求事項では~」というような言い方をされてもよくわからないですよね。
よくわからないような難しい言い回しで指摘されてイラっとされた経験がある方もいらっしゃるのではないでしょうか。

そこで今回は、要求事項とは何のことを言われているのかを解説していきたいと思います。

我々は要求事項には下記の4種類あると考えています。

①顧客要求事項
②法令の要求事項
③自社の要求事項
④規格の要求事項

一つずつ見ていきましょう。

①顧客要求事項

1つ目は顧客要求事項です。

お客様から取引をするうえで要求されていることがある場合これに当たります。

例えばUSBメモリの使用禁止や私用携帯電話の持ち込みは禁止といった感じです。

②法令の要求事項

2つ目は法令の要求事項です。

法律や国が定めるその他の指針などがこれに当たります。

知らず知らずのうちに法律を破ってしまっていた!なんてことがあっては企業の存続にかかわる問題になりますよね。

③自社の要求事項

3つ目は自社の要求事項です。

会社で定められたルールは守らないといけませんよね。

もう少し具体的に言うと社長の要求事項です。
今度社長がやると決めたことはその会社のルールになりますから絶対に守らなければいけませんね。これも大事な要求事項です。

④規格の要求事項

そして4つ目の要求事項が規格の要求事項です。

Pマーク(プライバシーマーク)はJIS Q 15001という工業規格を基盤にして制度が成り立っています。
そのためPマーク(プライバシーマーク)を取得しようと思えばこの規格の要求することにその企業が適合する必要があります。これがよく審査で耳にする要求事項に当たります。
つまり審査員はこの要求事項に基づいて審査を行っていると言えます。

逆に言えば顧客要求事項や法令の要求事項、社長の要求事項について審査員があれこれという資格はありませんね。
審査員は法律の専門家でもなければあなたの会社のお客様でもありませんし、会社のルールにケチをつける権利は一切ありません。
つまりこの規格の要求事項にさえ適合していればPマーク(プライバシーマーク)は必ず取得できるということになります。

もしPマーク(プライバシーマーク)だけ早急に欲しいということであれば、それ以外の要求事項についてはPマーク(プライバシーマーク)とは別で考えるのが得策です。
理由は簡単ですね。先ほども言ったようにPマーク(プライバシーマーク)の審査基準は、その企業が規格の要求事項に適合しているかどうかなので、わざわざそれ以外の要求事項も一緒にしてPマーク(プライバシーマーク)ルールを作らなくても良いからです。

よくある初歩的なミス

ここでよくある初歩的なミスが4つの要求事項をごちゃまぜにして考えてしまうことです。

Pマーク(プライバシーマーク)を取ったからといって社内の情報安全管理が向上するわけではありません。
Pマーク(プライバシーマーク)はあくまでもマークです。

そこを勘違いしてしまうとわざわざ規格要求事項以外のことも一緒に考えてしまい、自分で審査の基準を高くしてしまうことになります。

もし規格要求事項に加えてそれ以外の要求事項も一緒にしてしまってルールを作ったり、書類を作ったりしてしまうとそれも審査の対象になってしまうからです。
なので非常に効率が悪いとわかりますね。

取引要求等でPマーク(プライバシーマーク)だけが取れれば良いという場合、原理原則は審査に通るために必要最低限の要求事項に適合したうえで必要最低限の書類だけを作成し、審査に挑むということです。

JIS Q 15001の規格要求

ではPマーク(プライバシーマーク)でいうJIS Q 15001の規格要求とはいったい何でしょうか。

難しい話はさておき、これはすべて明文化されています。ネットでも検索すれば3千円ほどで購入することができます。
これには規格の要求事項が難しい言葉でびっしりと書かれていますが、はっきりいってこれを読んでも意味不明だと思います。

その代わり、これをもっと実務的にわかりやすく書いてくれているものがあります。
それが「JIS Q 15001 個人情報保護マネジメントシステム実施のためのガイドライン」です。

ここには規格要求事項を噛み砕いて書かれており、規格に適合するためには何をしなければならないのかが書かれています。
なのでPマーク(プライバシーマーク)を取得したい場合は、これを基にして仕組みを構築、運用し、求められた文書や記録を作成のうえ審査に挑めばPマーク(プライバシーマーク)が取得できます。

実際の審査でも審査員の方はこのガイドラインを基に審査をしているとおっしゃっていました。
つまりこれに書かれた内容=規格要求事項と考えても良いのではないでしょうか。

最後に

いかがでしたでしょうか。

手間をかけずに審査に挑むポイントは正しく規格要求事項を理解することです。
そうすれば審査で理不尽な指摘を出されることも少なくなると思います。

もし、規格要求事項について理解がお手間という方は是非一度弊社までお問い合わせください。

\ お問い合わせフォームはこちら /
WEBお問い合わせ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。