ある日Pマーク担当になった人のために 第2回「プライバシーマーク審査の実態」

2016/04/20
Pマーク審査の実態のイメージ画像

読者の皆様こんにちは。前回は個人情報保護の基本を開設させていただきました。

今回は審査を受ける際のポイントについて解説しようと思います。

そもそも、プライバシーマークの審査とはどのようなものなのでしょうか。

 

プライバシーマーク審査とは

プライバシーマーク審査とは、審査機関が2年に1回、個人情報保護体制や、個人情報の取り扱いの実態について調査し、問題のあるところがないかを確認するものになります。

その審査は、文書審査と現場審査に分かれており、認定の期限日から逆算して、8カ月前から更新申請が可能であり、4カ月前までが申請の期限となっています。

 

文書審査

まず文書審査は、申請時に提出した文書の審査になり、次の基準で審査されます。

この際に、文書だけでは読み取れない部分については、現場確認になります。

ところが、この審査は、チェック担当者のさじ加減で判断が分かれることが多く、前回の審査で認められたものが、審査基準は変わっていないのに、次の審査では認められない、といったことも頻繁に起こります。

そのため、明らかに文書を修正したほうが早いものを除いて、判断が難しいものは、次の現場審査まで持ち込むことが推奨です。

 

現場審査

文書審査の次に現場審査が来ます。

現場審査は、通常本社に審査が来ます。他の拠点を見ることはまずありません。

審査員は23名で来社し、原則としては個人情報保護管理者に対してインタビューをします。

ただし、審査の最初に事業者の代表者へのインタビューがあるので、必ず代表者をアサインするのを忘れないようにしましょう。

代表者のインタビューは、実態としては審査というよりも、業務概要の確認や、体制の確認が主であり、代表者への質問でNGが出ることはほとんどありません。

代表者へのインタビューのあと、個人情報保護管理者へのインタビューが始まります。

審査は大きく分けて体制面審査、個人情報の取り扱い状況の実態調査に分かれます。

 

現場審査~体制面審査

体制面の審査で確認するのは、次のポイントです。

  • 個人情報保護方針
  • 個人情報の特定、およびリスクの特定
  • 個人情報の委託状況
  • 個人情報の管理体制、役割
  • 教育
  • 内部監査
  • 事業者の代表者による見直し

これらの審査上重視されるのは、実施の記録があるかというところです。

上記の項目はすべて、定期的に実施が求められるところであるため、何かしらの記録が発生していなければ運用されているとみなされなくなります。

 

それぞれの記録で必要となるものは次のものです。

項目 記録 チェックポイント
個人情報保護方針 個人除法保護方針の文面 更新日が最新になっているか
ホームページなどに掲載されているものと内容があっているか
個人情報の特定、およびリスクの特定 個人情報管理台帳、リスク調査の記録 台帳に実際に取り扱っている個人情報がすべて特定されているか
台帳に特定された個人情報が、すべてリスク調査の対象になっているか
個人情報の委託状況 委託先の評価記録、委託先との契約 定期的に委託先は評価されているか
個人情報の管理体制、役割 組織図など 体制は最新のものに更新されているか
教育 教育計画、教育記録、テストなど 教育は毎年計画されているか
全員参加しているか
教育の有効性は判定されているか(テストなど)
内部監査 内部監査計画、内部監査チェックリスト、内部監査報告書 内部監査は毎年計画されているか
全部署が監査されているか
監査結果の指摘はすべて対応完了しているか
フォローアップされ、監査結果は問題なく解決されているか
事業者の代表者による見直し 事業者の代表者による見直し 事業者の代表者による見直し記録は毎年作成されているか

次回は個人情報の取り扱い状況の実態調査についてお話しします。

佐々木秀林

情報セキュリティアドミニストレータ(2003年取得)

中堅コンサルティング会社に在籍、主にISO9001(QMS)、ISO14001(EMS)を支援する傍ら、ISO27001(ISMS)、JISQ15001(Pマーク)、ISO20000(ITSMS)などのコンサルティング事業を新たに立ち上げる。

実績としては、
・ISMS+QMSの同時認証取得(当時国内初)
・ISMS+Pマークの統合マネジメントシステム構築(当時国内初)
・ISMS+QMSの統合マネジメントシステム構築および認証取得(当時国内初)
・QMS+ITSMSの統合マネジメントシステム構築及び認証取得(国内第一号の認定授与)
・QMS+ISMS+ITSMSの統合マネジメントシステム構築及び認証取得(当時国内初)

特にマネジメントシステムの統合や、既存システムの改善を得意としている。

また、QMS(品質マネジメントシステム)をベースとした知識に基づき、業務の標準化、効率化及び経営改善などにも取り組んでいる。

 

所属:株式会社リアライフ

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 「ゼロから学ぶ」ゼロトラスト#02:ゼロトラストモデルが求める7つの要件とは

  2. 怪しい添付ファイルやURLリンクを開いてしまったときの対処法【2020年】-is702

  3. 中小企業向けテレワーク(在宅勤務)ツール14選~コラボ業務編~

  4. 情報セキュリティ関連文書(NIST)を翻訳&公開-IPA

  5. 松田軽太の「一人情シスのすゝめ」#11:複雑な関数やVBAをやめたら属人化Excelは無くなるのか?

  6. いまさら聞けない【情シス知識】SSLとTLSって何?

  7. シリーズ”ウィズコロナ”#01:テレワークと安全配慮義務

  8. 「ゼロから学ぶ」ゼロトラスト#01:守るから許すセキュリティへ

  9. テレワークの意識調査:安全のためにセキュリティ教育が重要なワケ-セキュリティブログ

  10. 【知っ得スキル】もらってうれしいRFP ~第2章~システム要件

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. Google検索におけるページランクのアルゴリズムやChromeの安全性を高めるための手段として、「…
  2. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  3. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
  4. WebサイトのURLには「http://」で始まるものと「https://」で始まるものの2種類があ…
  5. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
ページ上部へ戻る