ある日Pマーク担当になった人のために 第2回「プライバシーマーク審査の実態」

2016/04/20
Pマーク審査の実態のイメージ画像

読者の皆様こんにちは。前回は個人情報保護の基本を開設させていただきました。

今回は審査を受ける際のポイントについて解説しようと思います。

そもそも、プライバシーマークの審査とはどのようなものなのでしょうか。

 

プライバシーマーク審査とは

プライバシーマーク審査とは、審査機関が2年に1回、個人情報保護体制や、個人情報の取り扱いの実態について調査し、問題のあるところがないかを確認するものになります。

その審査は、文書審査と現場審査に分かれており、認定の期限日から逆算して、8カ月前から更新申請が可能であり、4カ月前までが申請の期限となっています。

 

文書審査

まず文書審査は、申請時に提出した文書の審査になり、次の基準で審査されます。

この際に、文書だけでは読み取れない部分については、現場確認になります。

ところが、この審査は、チェック担当者のさじ加減で判断が分かれることが多く、前回の審査で認められたものが、審査基準は変わっていないのに、次の審査では認められない、といったことも頻繁に起こります。

そのため、明らかに文書を修正したほうが早いものを除いて、判断が難しいものは、次の現場審査まで持ち込むことが推奨です。

 

現場審査

文書審査の次に現場審査が来ます。

現場審査は、通常本社に審査が来ます。他の拠点を見ることはまずありません。

審査員は23名で来社し、原則としては個人情報保護管理者に対してインタビューをします。

ただし、審査の最初に事業者の代表者へのインタビューがあるので、必ず代表者をアサインするのを忘れないようにしましょう。

代表者のインタビューは、実態としては審査というよりも、業務概要の確認や、体制の確認が主であり、代表者への質問でNGが出ることはほとんどありません。

代表者へのインタビューのあと、個人情報保護管理者へのインタビューが始まります。

審査は大きく分けて体制面審査、個人情報の取り扱い状況の実態調査に分かれます。

 

現場審査~体制面審査

体制面の審査で確認するのは、次のポイントです。

  • 個人情報保護方針
  • 個人情報の特定、およびリスクの特定
  • 個人情報の委託状況
  • 個人情報の管理体制、役割
  • 教育
  • 内部監査
  • 事業者の代表者による見直し

これらの審査上重視されるのは、実施の記録があるかというところです。

上記の項目はすべて、定期的に実施が求められるところであるため、何かしらの記録が発生していなければ運用されているとみなされなくなります。

 

それぞれの記録で必要となるものは次のものです。

項目 記録 チェックポイント
個人情報保護方針 個人除法保護方針の文面 更新日が最新になっているか
ホームページなどに掲載されているものと内容があっているか
個人情報の特定、およびリスクの特定 個人情報管理台帳、リスク調査の記録 台帳に実際に取り扱っている個人情報がすべて特定されているか
台帳に特定された個人情報が、すべてリスク調査の対象になっているか
個人情報の委託状況 委託先の評価記録、委託先との契約 定期的に委託先は評価されているか
個人情報の管理体制、役割 組織図など 体制は最新のものに更新されているか
教育 教育計画、教育記録、テストなど 教育は毎年計画されているか
全員参加しているか
教育の有効性は判定されているか(テストなど)
内部監査 内部監査計画、内部監査チェックリスト、内部監査報告書 内部監査は毎年計画されているか
全部署が監査されているか
監査結果の指摘はすべて対応完了しているか
フォローアップされ、監査結果は問題なく解決されているか
事業者の代表者による見直し 事業者の代表者による見直し 事業者の代表者による見直し記録は毎年作成されているか

次回は個人情報の取り扱い状況の実態調査についてお話しします。

佐々木秀林

情報セキュリティアドミニストレータ(2003年取得)

中堅コンサルティング会社に在籍、主にISO9001(QMS)、ISO14001(EMS)を支援する傍ら、ISO27001(ISMS)、JISQ15001(Pマーク)、ISO20000(ITSMS)などのコンサルティング事業を新たに立ち上げる。

実績としては、
・ISMS+QMSの同時認証取得(当時国内初)
・ISMS+Pマークの統合マネジメントシステム構築(当時国内初)
・ISMS+QMSの統合マネジメントシステム構築および認証取得(当時国内初)
・QMS+ITSMSの統合マネジメントシステム構築及び認証取得(国内第一号の認定授与)
・QMS+ISMS+ITSMSの統合マネジメントシステム構築及び認証取得(当時国内初)

特にマネジメントシステムの統合や、既存システムの改善を得意としている。

また、QMS(品質マネジメントシステム)をベースとした知識に基づき、業務の標準化、効率化及び経営改善などにも取り組んでいる。

 

所属:株式会社リアライフ

関連記事

ピックアップ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  3. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  1. ファイルレスとモジュール化を採用した新たなボット型マルウェア「Novter」-セキュリティブログ

  2. 働き方改革の”カギ”とそのために必要なこと

  3. 使える! 情シス三段用語辞典96「SAML」

  4. 情シス歳末交流会「どやった?今年の情シス2019」@大阪-PCNW

  5. 【.NEXT Japan 2019】Disruption=創造的破壊がDXを加速する

  6. ゼロトラストとは何なのか、歴史と議論をひも解く-セキュリティブログ

  7. 【情シス基礎知識】OpenID Connectとは?

  8. 情シスとデジタルトランスフォーメーション(DX)の関係【後編】

  9. 【トレンドウォッチ】情シス業務から運用が消えるのか!?自律型データベースってなに?

  10. 情シスとデジタルトランスフォーメーション(DX)の関係【前編】

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. 個人情報の取り扱いには要注意。国内では個人情報保護法、欧州ではGDPRと個人情報を取り巻く情勢は大き…
  2. あなたの会社のホームページ(HP)はGDPRの対応がお済ですか? なんとなく気になっていてもアクショ…
  3. Windows 7サポート終了でWindows 10に切り替わるこの時期、アプリケーションや端末利用…
  4. Windowsに無料でついてくるセキュリティソフト「Windows Defender」。わざわざセキ…
  5. 欧州でのGDPR(一般データ保護規則)の施行や企業情報を狙ったサイバー犯罪の流行の中、情シスは顧客情…
ページ上部へ戻る