プライバシーマーク(以下、Pマーク)は、個人情報の保護に対して適切な取り組みを行っている事業者に付与される登録商標です。Pマークを取得すれば、取引先や顧客への信用拡大に繋がります。そのため、今では業種や事業規模を問わず、多くの企業が取得をしています。しかし、Pマークの取得といっても、必要な書類を集めて申請すれば終わりというわけではなく、企業側で取得審査に向けて準備をしなくてはいけません。今回は、Pマークを取得するために何をすればいいのか、おさえておきたいポイントをご紹介したいと思います。
以下の記事では、Pマーク取得に関する基礎知識をわかりやすく解説しておりますので、ぜひあわせてご覧ください。
目次
Pマークを取得するためにクリアしなくてはならない審査とは?
Pマークを取得するためには審査機関による審査を受けなくてはいけません。しかし、その前に企業側では以下の準備が必要となります。
・「個人情報保護マネジメントシステム(PMS)」を構築し、PDCAを回す
・PMSを運用している記録やそれを裏付ける文書を、審査機関に提出する
審査前の準備とはいえ、専門的な知識を持っていないとかなりの時間が必要となりますので、不安な場合にはコンサルティング会社にサポートを依頼するのもオススメです。
そして、上記の準備を終えると、次に待っているのが審査です。どのような審査をクリアしなくてはいけないのか、3つのステップに分けてご紹介します。
形式審査
形式審査は、提出したPMSに関する書類において、形式上の不備がないかを確認するものです。万が一、ここで不備があった場合や提出書類の不足が見つかった場合でも、修正指示や追加書類の提出に適切に対応することで審査は受けられますので、安心してください。
ここで、すべての書類が揃っていて形式上の不備もないと確認されると、次の書面審査に進めます。
申請から申請受理までにかかる期間はおおむね1か月程度となっていますが、不備や修正などの対応が必要となると、1か月を超えることもあります
文書審査
文書審査は、形式審査をパスしたPMSに関する書類が、JIS Q15001に基づく「プライバシーマーク付与適格性審査基準」に適合しているかどうかの審査が行われます。PMSの運用に必要な手順が、内部規定に定められているものであるかが審査機関内で確認され、文書で必要な手順が証明できない場合や、運用そのものが適格性審査基準を満たさない場合には「指摘事項」として取り扱われます。
この審査は審査機関で行うものとなるため、申請者側での対応は特にありません。結果は申請からおおよそ1か月半後に届き、現地審査の2~3週間ほど前になると、郵送で結果が通知されます。「指摘事項」があった場合には、現地審査までの期間内に修正が必要です。
現地審査
現地審査は、その名のとおり事業所で行われる審査です。基本的には本社で行われますが、本社で行っている業務内容によって、他の拠点で実施するケースもあります。所要時間は8時間程度となりますが、必要があれば従業員が呼ばれることがあるため、当日はいつ呼ばれてもいいように準備をしておき、周囲にもその旨を知らせておくとスムーズです。
審査で見られるのは、PMSの体制がきちんと整備されているかと、定められているとおりに運用されているかという点です。そして以下の3名は、それぞれ対応が必須となっています。
トップマネジメント(組織の代表)
業務内容や従業員数、Pマーク取得のきっかけ、PMSにおいて力を入れた点などを、トップマネジメントに聞かれます。特に難しい質問はありませんが、現地審査までトップマネジメントがノータッチという状態になってしまうと、答えられないこともあるので、注意が必要です。
・個人情報保護管理者
従業員数や運用などの体制面、リスクアセスメントについて確認されます。
・個人情報保護監査責任者
内部監査について確認されます。
現地審査のほとんどが会議室で行われますが、運用状況を確認するために各部門を回ることもあります。最終退室時の施錠のチェックや、データの定期的なバックアップ、セキュリティ対策についてなどは、実際の対応を確認されます。
Pマークの取得に必要なセキュリティ対策とは?
Pマークを取得するためには、設備や機器などのハード面のセキュリティ対策に加えて、社内のルール整備や従業員への教育といった。ソフト面でのセキュリティ対策も求められます。それぞれ、具体的にどのような対策をすればいいのか、例を挙げていきます。
ハード面
・事業所内で使用している鍵の管理
個人情報を含む書類は、鍵付きのキャビネットなどに保管して、閲覧できる人を限定しておきましょう。また、トラブルが発生したときに備えて、事業所の鍵は開閉時間とその担当者を把握できるような体制を整えておく必要があります。
・ワイヤーロック
パソコンの盗難は、保有する個人情報や機密情報の漏洩に直結する重大なインシデントとなります。そのため、ワイヤーロックで盗難を防ぐ対策をしておくのがオススメです。
・シュレッダー
個人情報は取得に加えて破棄する際にも注意が必要です。事業所内にはシュレッダーを設置し、個人情報の破棄を適切に行う環境を整えましょう。
ソフト面
・リモートワーク時のルール作り
リモートワーク時は、業務専用の端末を用意する、フリーWi-Fiを使用しないなど、さまざまな場所で業務に取り組むことを想定したルール作りが必要です。
・ウイルス対策ソフトの定期的なアップデート
業務で使用するパソコンには、ウイルス対策ソフトを導入しましょう。ウイルスは、日々新しいものが登場している状況が続いています。導入とともに、定期的なアップデートは必須です。
ここに挙げたのはほんの一例に過ぎません。事業所の規模や業務内容によって、適切なセキュリティ対策をしたうえで、Pマーク取得の審査に臨みましょう。
事業内容によって特定の審査機関が対応する場合もあり!
Pマークを取得するためには、事前準備をしてから審査を受けなくてはいけない、というのは先述したとおりです。では、肝心の審査はどこに依頼をするのでしょうか。
根幹となる組織は日本情報経済社会推進協会(JIPDEC)となりますが、実は審査機関は全部で20機関ほどあり、事業内容によって特定の審査機関のみが対応するケースもあります。
例えば、保険・医療・福祉分野の事業者がPマーク取得の審査を受ける場合は、その申請先はMEDIS(医療情報システム開発センター)となります。また、地方に本社がある場合には、JIPDECから地域ごとに指定されたPマーク認定審査機関があるので、そちらに申請をしたほうがスムーズです。
JIPDECでの審査は時間がかかる場合も多いため、一日でも早く取得したいという場合は、コンサルティング会社を使って準備にかかる工数を減らすといいでしょう。
Pマーク取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業20年で、3500件を超える支援を行ってきました。さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速く、短期取得(約6か月)のサポートができる
- 3万円/月~の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-ラーニングツールを無料提供している
弊社ではPマークの取得をするのと同時に、御社の情報セキュリティの水準アップが実現できるように全力でサポート致します。
お客様のセキュリティの水準がアップすることで、安心、安全を達成し、お客様が本業にまい進していただける状態を作ることを理想と考えているからです。
これからPマークを取得される事業者様はぜひ、お気軽にご相談下さい。
