ある日Pマーク担当になった人のために 第2回「プライバシーマーク審査の実態」

2016/04/20
Pマーク審査の実態のイメージ画像

読者の皆様こんにちは。前回は個人情報保護の基本を開設させていただきました。

今回は審査を受ける際のポイントについて解説しようと思います。

そもそも、プライバシーマークの審査とはどのようなものなのでしょうか。

 

プライバシーマーク審査とは

プライバシーマーク審査とは、審査機関が2年に1回、個人情報保護体制や、個人情報の取り扱いの実態について調査し、問題のあるところがないかを確認するものになります。

その審査は、文書審査と現場審査に分かれており、認定の期限日から逆算して、8カ月前から更新申請が可能であり、4カ月前までが申請の期限となっています。

 

文書審査

まず文書審査は、申請時に提出した文書の審査になり、次の基準で審査されます。

この際に、文書だけでは読み取れない部分については、現場確認になります。

ところが、この審査は、チェック担当者のさじ加減で判断が分かれることが多く、前回の審査で認められたものが、審査基準は変わっていないのに、次の審査では認められない、といったことも頻繁に起こります。

そのため、明らかに文書を修正したほうが早いものを除いて、判断が難しいものは、次の現場審査まで持ち込むことが推奨です。

 

現場審査

文書審査の次に現場審査が来ます。

現場審査は、通常本社に審査が来ます。他の拠点を見ることはまずありません。

審査員は23名で来社し、原則としては個人情報保護管理者に対してインタビューをします。

ただし、審査の最初に事業者の代表者へのインタビューがあるので、必ず代表者をアサインするのを忘れないようにしましょう。

代表者のインタビューは、実態としては審査というよりも、業務概要の確認や、体制の確認が主であり、代表者への質問でNGが出ることはほとんどありません。

代表者へのインタビューのあと、個人情報保護管理者へのインタビューが始まります。

審査は大きく分けて体制面審査、個人情報の取り扱い状況の実態調査に分かれます。

 

現場審査~体制面審査

体制面の審査で確認するのは、次のポイントです。

  • 個人情報保護方針
  • 個人情報の特定、およびリスクの特定
  • 個人情報の委託状況
  • 個人情報の管理体制、役割
  • 教育
  • 内部監査
  • 事業者の代表者による見直し

これらの審査上重視されるのは、実施の記録があるかというところです。

上記の項目はすべて、定期的に実施が求められるところであるため、何かしらの記録が発生していなければ運用されているとみなされなくなります。

 

それぞれの記録で必要となるものは次のものです。

項目 記録 チェックポイント
個人情報保護方針 個人除法保護方針の文面 更新日が最新になっているか
ホームページなどに掲載されているものと内容があっているか
個人情報の特定、およびリスクの特定 個人情報管理台帳、リスク調査の記録 台帳に実際に取り扱っている個人情報がすべて特定されているか
台帳に特定された個人情報が、すべてリスク調査の対象になっているか
個人情報の委託状況 委託先の評価記録、委託先との契約 定期的に委託先は評価されているか
個人情報の管理体制、役割 組織図など 体制は最新のものに更新されているか
教育 教育計画、教育記録、テストなど 教育は毎年計画されているか
全員参加しているか
教育の有効性は判定されているか(テストなど)
内部監査 内部監査計画、内部監査チェックリスト、内部監査報告書 内部監査は毎年計画されているか
全部署が監査されているか
監査結果の指摘はすべて対応完了しているか
フォローアップされ、監査結果は問題なく解決されているか
事業者の代表者による見直し 事業者の代表者による見直し 事業者の代表者による見直し記録は毎年作成されているか

次回は個人情報の取り扱い状況の実態調査についてお話しします。

佐々木秀林

情報セキュリティアドミニストレータ(2003年取得)

中堅コンサルティング会社に在籍、主にISO9001(QMS)、ISO14001(EMS)を支援する傍ら、ISO27001(ISMS)、JISQ15001(Pマーク)、ISO20000(ITSMS)などのコンサルティング事業を新たに立ち上げる。

実績としては、
・ISMS+QMSの同時認証取得(当時国内初)
・ISMS+Pマークの統合マネジメントシステム構築(当時国内初)
・ISMS+QMSの統合マネジメントシステム構築および認証取得(当時国内初)
・QMS+ITSMSの統合マネジメントシステム構築及び認証取得(国内第一号の認定授与)
・QMS+ISMS+ITSMSの統合マネジメントシステム構築及び認証取得(当時国内初)

特にマネジメントシステムの統合や、既存システムの改善を得意としている。

また、QMS(品質マネジメントシステム)をベースとした知識に基づき、業務の標準化、効率化及び経営改善などにも取り組んでいる。

 

所属:株式会社リアライフ

関連記事

ピックアップ記事

  1. 情シスは、目まぐるしく移りゆくITトレンドと果たしてどう向き合うべきか? 毎回その道に造詣の…
  2. 「攻めの情シス」が求められるとともに、昨今専任CIOの存在感が高まりを見せています。一方、日本におい…
  3. 『多くの人々の「笑顔」のために「感動」を届ける。』を企業理念に、人材・IT・サービスの3軸で…
  4. 2018/07/09 ITコンサルティング事業を主力とするハイブリィド株式…
  5. 2018/06/20 情シスの現場では「管理会計」というキーワードは、果たしてどのくらい浸透し…
  1. 使える! 情シス三段用語辞典73「IPoE」

  2. 【ET & IoT Technology 2018】序章・ETもIoTも情シスは知っておくべき!?

  3. APIでつながる、新しいクラウドサービス(SaaS)の形

  4. 【情シス×ストレッチ】~第4回~腰痛対策ストレッチ「腰レッチ①」

  5. PCNW【第一回ITトレンド勉強会】RPAに情シスはどう関わるべき?

  6. 【情シス基礎知識】Win10導入、覚えておくべき10の掟

  7. 【情シス基礎知識】知らなかったじゃ済まない「NIST SP800-171」とは?

  8. 【情シス女子】第44回「人と人を紡ぐ『笑顔』をこれからも大切にしていきたい」岡田真由さん

  9. ひとり情シスの功罪

  10. いまさら聞けない【情シス基礎知識】VPNってなに?

関連サイト

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  2. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  3. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
  4. 業務にもようやく慣れてきた。そうなると気になるのが業務の効率化。作業をもっと素早く、ラクにできないも…
  5. 「IOT(コネクテッド・インダストリーズ)税制」の受付が今年6月よりスタートしました。コネクテッド・…
  6. だいぶ普及した感のある公衆無線LAN。外国人観光者はもとより、パケット代に敏感な中高生だけでなく、ビ…
ページ上部へ戻る